Ewolucja złośliwego oprogramowania VII-IX 2006

Przeczytaj także: Ewolucja złośliwego oprogramowania I-VI 2006

Naturalnie, twórcy wirusów nie pozostali obojętni na te wiadomości. Zaledwie kilka dni po opublikowaniu łaty przez firmę Microsoft pojawiły się liczne programy wykorzystujące lukę MS06-040 na wolności. Pierwszym z nich był Backdoor.Win32.Vanbot (znany również jako Mocbot). Na szczęście, program ten potrafił atakować tylko komputery działające pod kontrolą systemu Windows 2000 i Windows XP SP1. Użytkownicy, którzy zainstalowali dodatek SP 2 dla systemu XP, byli bezpieczni. Szkodnik ten nie spowodował globalnej epidemii z jeszcze innego powodu: Backdoor.Win32.Vanbot nie był robakiem zdolnym do samodzielnego rozprzestrzeniania się, ale backdoorem kontrolowanym poprzez sieć IRC. Backdoor mógł się rozprzestrzeniać tylko po otrzymaniu odpowiedniej instrukcji od swojego autora, co ograniczało jego propagację. Wygląda na to, że autor zamierzał wykorzystać ten program do stworzenia botnetu, który mógłby dalej wykorzystać.

W ciągu kolejnych kilku dni pojawiło się wiele innych programów wykorzystujących lukę MS06-040. Wszystkie z nich stanowiły wariację na temat botneta składającego się z backdoorów. Wiele ze starych złośliwych programów, takich jak Rbot i SdBot, zostały po prostu wyposażone w nowe exploity. Zaczęły pojawiać się programy mutanty zawierające kilkanaście z najbardziej niebezpiecznych exploitów dla systemu Windows, które wykorzystywały szereg różnych luk, od MS03-026 do najnowszej luki MS06-040. Oczywiście, programy takie miały większą szansę niż inne na przeniknięcie do komputerów ofiar. Na szczęście, natura samej luki i skład exploitów nie różniły się tak bardzo od tych, które były już nam znane (były bardzo podobne do luki MS04-011 i MS05-039), dzięki czemu wiele producentów oprogramowania antywirusowego i zapór ogniowych mogło zablokować ataki wirusów bez konieczności łatania swoich produktów. Zażegnano w ten sposób niebezpieczeństwo epidemii, a sierpień 2006 roku nie był kolejnym czarnym miesiącem dla firm antywirusowych.

Sytuacja mogła ulec zmianie w kolejnym miesiącu, gdy 19 września w Internecie zaczęła krążyć wiadomość o najnowszej luce w przeglądarce Internet Explorer. Luka w przetwarzaniu dokumentów VML (Vector Markup Language) pozwalała zdalnemu szkodliwemu użytkownikowi na stworzenie skryptu, który wykonywałby dowolny kod na komputerze ofiary, gdy użytkownik odwiedzał zainfekowaną stronę.

Tego samego dnia Sunbelt Software ogłosił wykrycie exploita wykorzystującego lukę na niektórych rosyjskich stronach pornograficznych stworzonych przez hakerów. Wiele osób sądziło, że za stworzenie i rozprzestrzenienie exploita odpowiedzialni byli rosyjscy hakerzy, tak jak w przypadku wykrytej w grudniu 2005 r. luki w przetwarzaniu plików WMF. Jednak badanie przerpowadzone przez autorów raportu nie wykazało żadnego oczywistego związku pomiędzy luką VML a Rosjanami.

Szwedzka firma Secunia oceniła tę lukę jako "ekstremalnie krytyczną". Luka ta otrzymała najwyższy z możliwych poziomów zagrożenia, ponieważ mogła być wykorzystywana na każdej wersji systemu Windows, gdy użytkownicy korzystali z przeglądarki Internet Explorer.

Kolejne dni przyniosły ogromną ilość stron hakerskich zawierających exploity skryptowe wykorzystujące lukę VML. Wielu twórców wirusów próbowało wykorzystać sytuację, aby dostarczyć swoje trojany na komputery użytkowników. Sytuację jeszcze bardziej komplikował fakt, że luka VML była tak zwaną luką "zero-day" - Microsoft nie opublikował żadnej łaty. Zgodnie z grafikiem, łata miała być opublikowana po trzech tygodniach, 10 października. Taka sytuacja wydarzyła się już po raz drugi: twórcy wirusów aktywnie wykorzystywali lukę, infekcje występowały na masową skalę, nie udostępniono jednak poprawki. Pierwszy taki przypadek miał miejsce w grudniu 2005 roku i dotyczył luki WMF. Tym razem, tak jak poprzednio, niezależni specjaliści ds. bezpieczeństwa opublikowali własne, nieoficjalne łaty. W ten sposób chciano zapewnić użytkownikom przynajmniej częściową ochronę do czasu opublikowania przez Microsoft oficjalnej łaty.

Na szczęście, Microsoft szybko docenił wagę sytuacji i natychmiast opublikował łatę. Łata została udostępniona 26 września, zaledwie tydzień po jej zidentyfikowaniu. Została zawarta w Biuletynie Bezpieczeństwa Microsoft MS06-055 i znacznie zmniejszyła liczbę infekcji. Jednak luka ta, jak również szereg innych dobrze znanych luk w przeglądarce Internet Explorer, nadal jest wykorzystywana przez hakerów. Zalecamy wszystkim użytkownikom, aby aktualizację swoich systemów potraktowali jako sprawę priorytetową.