Wirusy i ataki sieciowe IV-VI 2005

Przeczytaj także: Ewolucja złośliwego oprogramowania 2008

Adware

Analitycy antywirusowi firmy Kaspersky Lab z zainteresowaniem śledzili rozwój programów Adware. Ta grupa szkodliwych programów ewoluuje w tempie niespotykanym w dzisiejszym świecie komputerowym; bezprecedensowa jest również liczba ich wariantów. Programy te pojawiły się kilka lat temu jako proste skrypty, które otwierały dodatkowe okna przeglądarki. Z niepożądanego, ale wciąż legalnego oprogramowania, ewoluowały do postaci złośliwych programów z wszystkimi ich cechami. W celu przeniknięcia do systemów i zamaskowania swojej obecności na zainfekowanych komputerach wiele programów adware stosuje technologie ze świata wirusów, takie jak wykorzysytywanie luk w przeglądarkach, technologia rootkit, dopisywanie swojego kodu do plików systemowych, zastępowanie aplikacji systemowych, zmiana plików na komputerze użytkownika itd.

Rozwój programów adware nie powinien nikogo dziwić biorąc pod uwagę ogromny rynek reklamy internetowej. Rynek ten szacowany jest na kilka miliardów dolarów i, co najważniejsze, udział w nim jest łakomym kąskiem, o który toczy się ostra walka. Aby go zdobyć, trzeba dotrzeć do jak największej liczby użytkowników i nie przebierać w środkach.
W czerwcu wykryliśmy program adware, który ukrywał swoją obecność w systemie przy pomocy sterownika rootkit. Jest to powód do niepokoju, ponieważ do tej pory zachowanie takie charakteryzowało tylko backdoory. Ogromna większość programów antywirusowych, jak również najnowsze rozwiązania przeznaczone do wykrywania adware/spyware nie potrafi wykrywać i usuwać rootkitów z systemów Windows. Jedynie wielofunkcyjny program antywirusowy, który pracuje z systemem operacyjnym na najniższych poziomach i monitoruje wszystkie funkcje systemowe, jest zdolny do wykrywania rootkitów w zainfekowanym systemie.

Ogólnie sytuacja związana z programami adware przypomina tradycyjną współzależność między programami złośliwymi a antywirusowymi. Im więcej pracy wkłada się w zwalczanie takich programów, tym bardziej przebiegłe i nielegalne stają się technologie stosowane do instalowania adware w systemach. Wygląda na to, że same programy antywirusowe, jak również te przeznaczone specjalnie do walki z adware, nie są w stanie rozwiązać problemu programów adware - potrzebny jest dialog między tymi, którzy zlecają i tworzą reklamę. Nie powinniśmy również zapominać, że przetrwanie Internetu zależy w dużej mierze od dochodów z reklamy, co stwarza oczywisty konflikt interesów.

Powrót technologii wirusowych

W ciągu ostatnich trzech czy czterech lat tradycyjne wirusy plikowe prawie całkowicie zniknęły ze sceny. Tak długi okres czasu może wskazywać na to, że aplikacje te niemalże wymarły, ponieważ nie pojawił się żaden program, który nie posiadając funkcji robaka potrafiłby wywołać poważną epidemię. Autorzy wirusów skupili się na tworzeniu trojanów i robaków, które nie są wprawdzie najszybszym narzędziem do spowodowania epidemii lub kradzieży danych, ale z pewnością znacznie prostszym od użycia wirusów plikowych.

Stworzenie wirusów plikowych, które będą działać poprawnie i infekować pliki więcej niż jednej wersji systemu Windows wymaga ogromnego doświadczenia w programowaniu. Polimorfizm jest istotną cechą takich wirusów, co oznacza, że programista musi posiadać doświadczenie w kodowaniu algorytmów.

Chociaż w przeciągu tego okresu nie wykryto żadnego poważnego wirusa plikowego, istnieje garstka takich wirusów stworzonych we wczesnym okresie. Zachowały również swoją zdolność rozprzestrzeniania się na całym świecie z wcześniej zainfekowanych komputerów.

Dlaczego nikt nie stosuje metod tworzenia takich wirusów, chociaż istnieją? Konsekwentne działania firm antywirusowych w zwalczaniu złośliwego oprogramowania zmusiły twórców wirusów do poszukiwania nowych sposobów przenikania komputerów i ukrywania ich obecności w zainfekowanych systemach. Jedną z najpopularniejszych metod jest wykorzystanie rootkitów, inną natomiast wprowadzanie złośliwego kodu do plików systemowych.