Ewolucja złośliwego oprogramowania IV-VI 2006

Przeczytaj także: Wirusy, robaki i trojany dla systemów Unix w 2005

Bardziej niebezpiecznym wirusem typu "proof of concept" był StarDust, makrowirus atakujący StarOffice. Pakiet ten jest jednym z głównych konkurentów MS Office'a i cieszy się dużą popularnością wśród użytkowników Linuksa. Dostępna jest również wersja StarOffice'a dla systemu Windows. Do tej pory makrowirusy atakowały tylko pakiet MS Office. Jednak dość silny język skryptowy użyty w StarOffice, jak również to, że twórcy wirusów pragnęli pokazać, że nie tylko programy Microsoftu mogły stanowić pożywkę dla złośliwych programów, przyczyniły się do powstania StarDusta. Mówiąc ściśle, szkodnik ten jest bardziej trojanem niż wirusem, jednak koncepcja pozostaje taka sama. Kolejny produkt został dodany do listy produktów, które narażone są na atak złośliwego kodu.

Najniebezpieczniejszym wirusem typu "proof of concept" w tym kwartale był bez wątpienia robak Yamanner. Należy on do bardzo nielicznej grupy robaków, które wykorzystują unikatowe metody rozprzestrzeniania się. W rzeczywistości, grupa ta zawiera tak niewiele robaków, że każdy z nich stanowi technologiczną innowację i prawie wszystkie od razu pojawiają się na wolności i trafiają do czołówek gazet.

Mówimy o robakach, które wykorzystują lukę i błędy w silnikach skryptów popularnych zasobów internetowych, takich jak darmowe strony emailowe i blogowe. Robaki te nie muszą przenikać do komputerów ofiar, aby je zainfekować. Wystarczy tylko, aby użytkownik uaktywnił złośliwy kod, w ten czy inny sposób, albo w wyniku przeglądania wiadomości w przeglądarce, albo odwiedzenia strony zawierającej złośliwy kod. Prawie wszystkie z tych robaków wykorzystywały lukę cross site scripting. Przykładem może być robak, który zainfekował interfejs WWW serwisu Mail.ru, oraz SpaceHero, robak, który w październiku 2005 roku zainfekował miliony blogów na MySpace.

W czerwcu 2006 roku prawie 200 milionów użytkowników Yahoo! Mail stało się potencjalnymi ofiarami tego robaka. Yamanner jest interesującym okazem, ponieważ aby aktywować złośliwy kod, użytkownik musi tylko otworzyć wiadomość e-mail w swojej przeglądarce internetowej przy użyciu interfejsu WWW Yahoo! Mail. Po otwarciu wiadomości wykonywany jest skrypt, który wysyła robaka na wszystkie adresy z książki adresowej użytkownika zawierające domenę @yahoo.com lub @yahoogroups.com. Dodatkowo otwierana jest strona internetowa (która obecnie nie działa), a książka adresowa zainfekowanego konta wysyłana jest na określony serwer. Jedyni użytkownicy Yahoo! Mail, którzy nie byli zagrożeni, to ci, którzy wykorzystywali POP3 w celu otrzymywania poczty za pośrednictwem osobnego klienta pocztowego. Ponieważ platformą rozprzestrzeniania się robaka to JavaScript, który obsługiwany jest przez wszystkie w pełni funkcjonalne przeglądarki, pod względem bezpieczeństwa wybór przeglądarki nie miał znaczenia.

Jedynym sposobem na zabezpieczenie się przed takimi robakami jest wyłączenie wykonywania skryptów w przeglądarce. Uniemożliwia to jednak korzystanie z interfejsu sieciowego Yahoo! Mail. Yahoo! podjął działania mające na celu filtrowanie wiadomości e-mail, które wykorzystują tę lukę, zmodyfikował interfejs i zachęcił użytkowników do przejścia na Yahoo Mail Beta, nową wersję usługi, która nie zawiera tej luki.

Podobna historia może przytrafić się każdej usłudze internetowej. Wszystkie serwisy pocztowe, które wykorzystują interfejs sieciowy (takie jak gmail) są potencjalnie narażone. Jedynie duża liczba łat zainstalowanych w systemie ograniczy funkcjonalność wirusa czy robaka JavaScript. Oczywiście może się to wkrótce zmienić - wraz z wykryciem nowej luki. Błędy w programowaniu, które mogą prowadzić do wystąpienia luki cross site scripting, są niezwykle powszechne, a ich wykrycie wymaga dużych wysiłków.

Nie ma wątpliwości, że granica pomiędzy komputerami osobistymi a zasobami internetowymi została już dawno zburzona; komputer może nie zawierać ciała wirusa, mimo to możesz brać udział w rozprzestrzenianiu złośliwego kodu poprzez samo uaktualnienie swojego blogu lub czytanie poczty. Zagrożenie to będzie poważne w przyszłości, szczególnie wraz z nadejściem Web 2.0.