Ewolucja złośliwego oprogramowania VII-IX 2006

Przeczytaj także: Ewolucja złośliwego oprogramowania I-VI 2006

Co więcej, stało się oczywiste, że twórcy wirusów dostosowali swoje działania do zwyczaju Microsoftu, który publikuje łaty według ustalonego grafiku, w każdy drugi wtorek miesiąca. Twórcy złośliwego oprogramowania zaczęli wypuszczać swoje twory zaledwie kilka dni po opublikowaniu przez Microsoft najnowszych łat. W rezultacie, użytkownicy pozostawali bez ochrony przez prawie miesiąc, a hakerzy mogli w tym czasie wykorzystywać najnowsze luki.

Nie jest to jednak największy problem. Analizując złośliwe programy, które w celu rozprzestrzeniania się wykorzystują luki w pakiecie Office, zarówno Kaspersky Lab jak i inne firmy antywirusowe badały również luki w zabezpieczeniach. Stało się jasne, że u podstaw wszystkich tych luk leżał jeden problem w dokumentach OLE (pliki stworzone przy użyciu pakietu Microsoft Office). Opublikowanie łaty dla każdej luki nie rozwiązałoby problemu - Microsoft musiałby całkowicie zmienić technologię stosowaną do przetwarzania obiektów OLE. Publikowanie łat każdego miesiąca było jak przyklejanie małych plastrów na dużą ranę - liczba potencjalnych luk w zabezpieczeniach obiektów OLE przekroczyła 100.

W okresie między lipcem a wrześniem nic tak naprawdę się nie zmieniło. Szkodliwi użytkownicy - z których najaktywniejszymi byli chińscy hakerzy - nadal atakowali produkty Microsoftu nowymi trojanami, a Microsoft nadal publikował łaty zgodnie z swoim grafikiem.

lipiec (3 luki):

• Microsoft Security Bulletin MS06-037 - Luki w zabezpieczeniach programu Microsoft Excel mogą pozwolić na zdalne wykonanie kodu (917285)
• Microsoft Security Bulletin MS06-038 - Luki w zabezpieczeniach pakietu Microsoft Office mogą pozwolić na zdalne wykonanie kodu (917284)
• Microsoft Security Bulletin MS06-039 - Luki w filtrach pakietu Microsoft Office mogą pozwolić na zdalne wykonanie kodu (915384)

sierpień (2 luki):

• Microsoft Security Bulletin MS06-047 - Luki w zabezpieczeniach Microsoft Visual Basic for Applications mogą pozwolić na zdalne wykonanie kodu (921645)
• Microsoft Security Bulletin MS06-048 - Luki w zabezpieczeniach pakietu Microsoft Office mogą pozwolić na zdalne wykonanie kodu (922968)

wrzesień (1 luka):

• Microsoft Security Bulletin MS06-054 - Luki w zabezpieczeniach programu Microsoft Publisher mogą pozwolić na zdalne wykonanie kodu (910729)

Chińscy twórcy wirusów wykazali się szczególną aktywnością w wykorzystywaniu tych luk i używaniu ich do rozprzestrzeniania programów trojańskich. Użytkownicy z Europy, Azji i Stanów Zjednoczonych padli ofiarą ataków backdoorów Hupigon, PcClient i HackArmy. Ataki DoS na producentów oprogramowania antywirusowego, które przeprowadzane były z sieci zombie stworzonych przez te trojany, stanowiły prawdopodobnie produkt uboczny toczącej się walki pomiędzy hakerami a firmami antywirusowymi.

Zdaniem autora raportu to, czego jesteśmy teraz świadkami, nie jest zwykłą aktywnością hakerów, ale dokładnie zaplanowanym i przeprowadzonym atakiem na firmę Microsoft. Jeśli jest tak w rzeczywistości, kto za tym stoi i jakie są jego motywy.