Ewolucja złośliwego oprogramowania IV-VI 2006

Przeczytaj także: Wirusy, robaki i trojany dla systemów Unix w 2005

Po zbadaniu luk przez analityków Kaspersky Lab okazało się, że u ich podstaw leży ten sam problem. Microsoft powinien był sprawdzić wszystkie pola obiektów OLE (których jest ponad 100) zamiast publikować osobne łaty na każdą lukę.

Sytuację pogarsza dodatkowo fakt, że prawie wszystkie z tych luk zostały po raz pierwszy zidentyfikowane przez członków społeczności tzw. czarnych kapeluszy (hakerów wykorzystujących swoje zdolności do wyrządzania szkód) i wykorzystane do rozprzestrzeniania złośliwego kodu. W tej grze twórcy wirusów mają teraz przewagę i znajdują się w doskonałej pozycji, aby opublikować nowe, niebezpieczne programy w Internecie.

Kaspersky Lab zaleca wszystkim użytkownikom i administratorom systemów, aby zaimplementowali i egzekwowali politykę bezpieczeństwa odnośnie dokumentów MS Office; nie należy otwierać plików pochodzących z nieznanego źródła i zawsze skanować je w poszukiwaniu złośliwego kodu. Naturalnie należy instalować wszystkie dostępne łaty.

Łamacze kodów - walka z programami typu RansomWare

Tematem tym zajmujemy się już od jakiegoś czasu. Prawie wszystkie nasze poprzednie raporty kwartalne zawierały szczegóły dotyczące nowych programów RansomWare. Wirusy stosujące szantaż, wśród których prym wiedzie niesławny Gpcode, po raz pierwszy pojawiły się na początku 2004 roku, w następnym roku szybko ewoluowały, szczyt swojej aktywności osiągnęły natomiast w 2006 roku.

Chociaż autorzy takich wirusów ograniczali się początkowo do wykorzystywania prymitywnych algorytmów szyfrowania (tak jak w przypadku Gpcode'a) lub zmieniali po prostu rejestr systemu (Krotten), obecnie stosują oni bardziej skomplikowane algorytmy szyfrowania (RSA), jak również określone techniki umieszczania danych w archiwach chronionych hasłem.

Poprzednio pisaliśmy o szkodniku Cryzip, trojanie atakującym amerykańskich użytkowników, aktywując dane w plikach ZIP, które chronione były za pomocą haseł o długości ponad 30 symboli. Podobne podejście zastosował w Wielkiej Brytanii w maju 2006 roku trojan MayArchive. Wielu ekspertów antywirusowych uważa, że trojan ten jest po prostu nowym wariantem Cryzipa. Ogólnie, trojany, które archiwizują dane, stanowią zagrożenie dla użytkowników z Zachodu; rosyjscy twórcy wirusów stosują szyfrowanie danych głównie do szantażu.

W styczniu 2006 pojawił się pierwszy wirus szyfrujący, Gpcode.ac, który wykorzystywał zaawansowany algorytm szyfrowania. Autor wykorzystał algorytm RSA w celu stworzenia 56-bitowego klucza. Złamanie go nie stanowiło żadnego problemu dla firm antywirusowych. To oznacza, że procedury deszyfrowania zostały dostarczone użytkownikom, których dane zostały zaszyfrowane. Wydaje się, że szybkość, z jaką problem ten został rozwiązany, skłoniła twórcę wirusa do przemyślenia swojego podejścia. W czerwcu rosyjski segment Internetu został zaatakowany przez nową wersję Gpcode'a, tym razem jednak wykorzystywał on klucz 260-bitowy. Również ten dłuższy klucz nie stanowił problemu dla naszych analityków, którzy zdołali go złamać w niecałe 5 minut. Rozpoczęła się rywalizacja - kto jest bardziej wytrwały, kto ma lepszą wiedzę z dziedziny kryptografii, kto ma dostęp do największej mocy obliczeniowej? Chociaż autor Gpcode'a skłonny był poddać się, firmy antywirusowe nie zamierzały rezygnować; użytkownicy potrzebowali ochrony.