Wirusy i ataki sieciowe IV-VI 2005

Przeczytaj także: Ewolucja złośliwego oprogramowania 2008

Ostatni raport kwartalny podawał szczegóły na temat wirusa Virus.Win32.Bube, złośliwego programu, który dopisywał swój kod do pliku iexplore.exe (plik wykonywalny przeglądarki Internet Explorer). Po uruchomieniu Internet Explorera wirus zachowywał się jak Trojan-Downloader. Oczywiście wykrycie i zablokowanie takiego zachowania przekraczało możliwości funkcjonalne większości współczesnych zapór ogniowych.

Problem ten interesował nie tylko profesjonalistów z branży antywirusowej, ale również twórców wirusów. Na początku roku wykryto epidemię bardzo specyficznego typu backdoora: każdy backdoor był legalnym typem pliku czy narzędzia (takiego jak winrar.exe), który zawierał kod trojana. Kod trojana dodawany był do standardowego pliku przy użyciu metod EPO (ukrywanie punktu wejściowego) i w zależności od tego, jaki podprogram był wywoływany w pliku głównym, aktywowany był kod trojana. Prawie wszystkie te backdoory EPO były wersją jednego z szeroko rozpowszechnionych programów bot - Agobot, Rbot lub SdBot. Z dużym prawdopodobieństwem pliki te (legalny program / narzędzie z dodanym backdoorem) tworzone były przy użyciu konstruktora wirusów, programu przeznaczonego do tworzenia złośliwych programów.

W maju i czerwcu nastąpił kolejny zwrot w "historii" pod tytułem kod trojana w plikach systemowych. Tym razem jednak użyto pakietu złośliwych programów. Głównym infektorem był Trojan-Downloader.Win32.Agent.ns - po przeniknięciu do systemu, oprócz ściągnięcia innych trojanów infekował również bibliotekę systemową wininet.dll. Niewielki fragment kodu dodany do tego pliku zapewnia dodatkowe funkcje pozwalające na przechwytywanie wszystkich odwołań do biblioteki (ma to miejsce podczas wykorzystywania przeglądarki Internet Explorer do surfowania po Internecie) oraz na ściąganie innych złośliwych programów. W tym przypadku wininet.dll został skutecznie zmieniony w wirusa (tj. program zainfekowany innym kodem).

Można powiedzieć, że w tym przypadku wirusem nazywany jest standardowy trojan, w końcu zainfekowany iexplore.exe lub wininet.dll nie zarazi innych plików w systemie. Być może klasyczny termin "wirus" nie został tu zastosowany poprawnie. Jednak jest to całkowicie nowa klasa złośliwych programów wykorzystujących metody tradycyjnie stosowane przez wirusy w celu umieszczenia własnego kodu w innych programach. Mimo to programy te różnią się od wirusów tym, że złośliwy kod nie powiela się samoczynnie. Z tego względu firma Kaspersky Lab klasyfikuje takie programy jako podgrupę wirusów, obok wirusów nadpisujących i towarzyszących. Jeśli w najbliższej przyszłości wirusy te rozpowszechnią się (istnieją przesłanki ku temu), prawdopodobnie utworzona zostanie dla nich osobna klasa.

Te nowe typy złośliwych programów ukazują, jak ważne jest, aby użytkownicy kontrolowali nie tylko nowe pliki na komputerze, ale również te starsze, które zostały już sprawdzone pod kątem infekcji; od czasu ostatniego skanowania w plikach tych mógł zostać zamieszczony złośliwy kod. Poza sprawdzaniem rozmiaru pliku należy jeszcze monitorować ich zawartość, ponieważ wirus nie musiał zmieniać rozmiaru zainfekowanego pliku. W rezultacie zwiększa się również potrzeba skutecznego monitorowania plików w programach.

Elektroniczni zakładnicy

W grudniu 2004 r. otrzymaliśmy pierwsze próbki plików zaszyfrowanych przez nieznany program szyfrujący. Nic nie wskazywało na to, że pół roku później pliki te będą tak powszechne, że będą napływać do nas w ilości kilkudziesięciu dziennie. Nikt nie podejrzewał również, że w ciągu jednego tygodnia w czerwcu liczba różnych metod szyfrowania przekroczy dwa tuziny.

Virus.Win32.Gpcode zapoczątkował nowy rozdział w historii cyber-przestępczości. Nowe podejście przypomina sytuację z zakładnikami i okupem. Lawina wiadomości e-mail od użytkowników z Rosji oraz znacznie mniejsza liczba zgłoszeń od ofiar z innych miejsc na świecie pokazuje, że szantaż i gangsterskie metody stają się powszechne w Internecie.

Niestety, wciąż nie jest do końca jasne, jak ten złośliwy program przenika do systemów ofiar. Większość zainfekowanych systemów należy do banków, organizacji finansowych i agencji reklamowych, głównych producentów, biur nieruchomości i innych organizacji charakteryzujących się dużym obiegiem dokumentów. Niewiele użytkowników domowych padło ofiarą tego złośliwego programu. Dlatego sadzi się, że był to atak wymierzony w konkretny cel. Jeśli tak, powstaje pytanie, w jaki sposób został przeprowadzony? Prawdopodobnie wiadomości zostały rozesłane przy użyciu technik spamowych na określone adresy, jednak w programach pocztowych ofiar nie wykryto żadnych trojanów - niektóre z zainfekowanych komputerów nie posiadają nawet poczty. Złośliwy program mógł przeniknąć przez lukę w przeglądarce Internet Explorer, jednak oznaczałoby to, że wszystkie poszkodowane organizacje odwiedziły tę samą zainfekowaną stronę; do tej pory przypuszczenia te nie zostały potwierdzone. Geograficzna lokalizacja ofiar pozwala sądzić, że była to epidemia lokalna, ograniczająca się do jednego miasta lub regionu. Na koniec, z ogromnej liczby różnych programów szyfrujących można wnioskować, że nie było jednego źródła infekcji - wszystkie ofiary zostały zainfekowane w różnym czasie, nie z jednego zewnętrznego źródła.