Na pierwszy rzut oka drugi kwartał 2006 roku wydawał się jednym z najspokojniejszych w ostatnich latach. Nie zaobserwowaliśmy prawie żadnych poważnych epidemii robaków pocztowych ani sieciowych. Większość głównych producentów oprogramowania antywirusowego opublikowała wersje beta albo całkowicie funkcjonalne produkty nowej generacji. Twórcy wirusów "zrobili sobie wakacje", aby mieć czas na rozwijanie nowych metod zwalczania programów antywirusowych. W rezultacie walka rozgrywała się głównie na polu rozwiązań technicznych, dlatego dla zwykłych użytkowników pozostawała w ukryciu. Czasami skutki tych ukrytych wojen docierały do użytkowników za pośrednictwem mediów. Najnowszy raport Kaspersky Lab zawiera szczegółową analizę zjawisk pozostających w cieniu wydarzeń, które przyciągnęły uwagę zarówno użytkowników, jak producentów programów antywirusowych.

• Liczne luki w produktach MS Office
• Łamacze kodów - walka z programami typu RansomWare
• Skrypty polimorficzne
• Koncepty

Liczne luki w produktach MS Office

Powszechnie wiadomo, że w ciągu trzech ostatnich lat pojawiła się ogromna liczba krytycznych luk w zabezpieczeniach systemu Windows. Pojęcia, takie jak RPC DCOM, LSASS, WINS i PnP nie tylko stanowiły temat dyskusji administratorów systemów i programistów, ale także przyprawiały o ból głowy analityków wirusów i stanowiły prawdziwą zmorę dla zwykłych użytkowników. Poważne dziury w aplikacjach systemu Windows zapewniły twórcom wirusów dostęp do dziesiątek lub setek milionów komputerów na całym świecie. Luki te umożliwiły powstanie takich historycznych robaków, jak Lovesan, Sasser i Mytob, nie wspominając o setkach innych, które - chociaż mniej znane dla ogółu - stanowiły w rzeczywistości nie mniejsze zagrożenie.

Stopniowo Microsoftowi udało się usunąć do jesieni 2005 roku to morze luk. Niezwykle pomocna okazała się tu aktywna promocja dodatku Service Pack 2 dla systemu Windows XP. Hakerzy porzucili główne moduły systemu Windows i skupili się na modułach drugorzędnych. Najbardziej widoczne było to w grudniu 2005 roku, kiedy udało im się wykorzystać lukę w przetwarzaniu plików WMF. Inna część społeczności hakerskiej skoncentrowała się na identyfikowaniu problemów bezpieczeństwa w rozwiązaniach antywirusowych i sprzęcie sieciowym. W końcu, na przełomie wiosny i lata 2006 zaatakowany został MS Office, drugi z najważniejszych produktów Microsoftu (i najbardziej opłacalny).

Specjaliści ds. bezpieczeństwa IT od dawna alarmowali, że sposób, w jaki aplikacje MS Office działają z plikami OLE, może powodować problemy z bezpieczeństwem. Pomimo stosunkowo dobrej dokumentacji ten format plików pozostaje, do pewnego stopnia, czarną skrzynką. Istnieje zbyt wiele obszarów krytycznych, a interakcja pomiędzy polami obiektów OLE posiada zbyt skomplikowaną strukturę. Wszystkie te czynniki spowodowały, że w 2003 roku wykryto krytyczną lukę w zabezpieczeniu dokumentów MS Office (MS03-037). Luka ta umożliwiała wykonanie dowolnego kodu pod warunkiem otworzenia specjalnie spreparowanego dokumentu. Przez długi czas luka ta była często wykorzystywana przez liczne grupy chińskich hakerów. Mamy powody przypuszczać, że grupy te były zamieszane w wydarzenia, które zostały zapoczątkowane w marcu 2006 roku.

Luka MS06-012 dotyczyła wszystkich produktów MS Office od wersji 2000. Był to pierwszy sygnał ostrzegawczy. Dotarł on nie tylko do firmy Microsoft, ale również do wielu hakerów, którzy rozpoczęli intensywne badania formatu dokumentów OLE. Niestety hakerzy okazali się skuteczniejsi od Microsoftu. Luki wykryte w ciągu trzech ostatnich miesięcy niewiele różniły się od siebie. U podstaw ich wszystkich leżał ten sam problem: błędne sprawdzanie niektórych danych w opisie OLE. Microsoft opublikował jedynie ograniczoną łatę, pośpieszną poprawkę, w której nie uwzględniono faktu, że należy sprawdzić również sąsiednie pola w plikach. Dzień po opublikowaniu łaty pojawiły się informacje o nowej luce. Jak na ironię liczne problemy w MS Office, szczególnie w aplikacji Excel, ujrzały światło dzienne niemal w tym samym czasie, gdy Google wprowadził swój własny arkusz kalkulacyjny.

Poniżej przedstawiono luki w produktach Microsoftu w porządku chronologicznym (według danych US-CERT).

• 03/14/2006 Microsoft Office routing slip buffer overflow
• 03/14/2006 Microsoft Excel malformed record memory corruption vulnerability
• 03/14/2006 Microsoft Excel fails to properly perform range validation when parsing document files
• 03/14/2006 Microsoft Excel malformed graphic memory corruption vulnerability
• 03/14/2006 Microsoft Excel malformed description memory corruption vulnerability
• 03/14/2006 Microsoft Excel malformed parsing format file memory corruption vulnerability
• 05/19/2006 Microsoft Word object pointer memory corruption vulnerability
• 06/13/2006 Microsoft PowerPoint malformed record vulnerability
• 06/16/2006 Microsoft Excel vulnerability

Największe zagrożenie przedstawiała luka zidentyfikowana 19 maja. Lukę ujawniono dopiero po odkryciu, że wykorzystujący ją program trojański został masowo rozesłany przy użyciu technik spamerskich. Oznaczało to kolejny przypadek, gdy twórcy wirusów wykorzystali lukę, o której nikt wcześniej nie wiedział - jest to tak zwany exploit "zero day". Takie luki są niezwykle niebezpieczne, ponieważ twórcy oprogramowania muszą poświęcać czas na rozwijanie i publikowanie łaty, pomimo tego, że złośliwy kod już krąży i rozprzestrzenia się poprzez Internet.

Opublikowanie łat na lukę MS06-027 (Word remote code execution) i MS06-028 (Powerpoint remote code execution) zajęło Mocrosoftowi prawie miesiąc. Naturalnie, użytkownicy przyzwyczaili się już do tego, że Microsoft z niemal fanatyczną dokładnością trzyma się ustalonego grafiku publikacji łat - łaty udostępniane są w drugi czwartek każdego miesiąca. Byłoby to całkiem rozsądne, gdyby dwa dni po opublikowaniu łat nie zidentyfikowano niemal identycznej luki w aplikacji MS Excel. Trudno wyjaśnić, dlaczego podczas opracowywania łaty nie sprawdzono, czy istnieje podobny problem w Excelu. Trzeciego czerwca pojawiły się dwie kolejne luki w MS Office - Microsoft Windows Hyperlink Object Library Buffer Overflow oraz Microsoft Excel 'Shockwave Flash Object'.

Po zbadaniu luk przez analityków Kaspersky Lab okazało się, że u ich podstaw leży ten sam problem. Microsoft powinien był sprawdzić wszystkie pola obiektów OLE (których jest ponad 100) zamiast publikować osobne łaty na każdą lukę.

Sytuację pogarsza dodatkowo fakt, że prawie wszystkie z tych luk zostały po raz pierwszy zidentyfikowane przez członków społeczności tzw. czarnych kapeluszy (hakerów wykorzystujących swoje zdolności do wyrządzania szkód) i wykorzystane do rozprzestrzeniania złośliwego kodu. W tej grze twórcy wirusów mają teraz przewagę i znajdują się w doskonałej pozycji, aby opublikować nowe, niebezpieczne programy w Internecie.

Kaspersky Lab zaleca wszystkim użytkownikom i administratorom systemów, aby zaimplementowali i egzekwowali politykę bezpieczeństwa odnośnie dokumentów MS Office; nie należy otwierać plików pochodzących z nieznanego źródła i zawsze skanować je w poszukiwaniu złośliwego kodu. Naturalnie należy instalować wszystkie dostępne łaty.

Łamacze kodów - walka z programami typu RansomWare

Tematem tym zajmujemy się już od jakiegoś czasu. Prawie wszystkie nasze poprzednie raporty kwartalne zawierały szczegóły dotyczące nowych programów RansomWare. Wirusy stosujące szantaż, wśród których prym wiedzie niesławny Gpcode, po raz pierwszy pojawiły się na początku 2004 roku, w następnym roku szybko ewoluowały, szczyt swojej aktywności osiągnęły natomiast w 2006 roku.

Chociaż autorzy takich wirusów ograniczali się początkowo do wykorzystywania prymitywnych algorytmów szyfrowania (tak jak w przypadku Gpcode'a) lub zmieniali po prostu rejestr systemu (Krotten), obecnie stosują oni bardziej skomplikowane algorytmy szyfrowania (RSA), jak również określone techniki umieszczania danych w archiwach chronionych hasłem.

Poprzednio pisaliśmy o szkodniku Cryzip, trojanie atakującym amerykańskich użytkowników, aktywując dane w plikach ZIP, które chronione były za pomocą haseł o długości ponad 30 symboli. Podobne podejście zastosował w Wielkiej Brytanii w maju 2006 roku trojan MayArchive. Wielu ekspertów antywirusowych uważa, że trojan ten jest po prostu nowym wariantem Cryzipa. Ogólnie, trojany, które archiwizują dane, stanowią zagrożenie dla użytkowników z Zachodu; rosyjscy twórcy wirusów stosują szyfrowanie danych głównie do szantażu.

W styczniu 2006 pojawił się pierwszy wirus szyfrujący, Gpcode.ac, który wykorzystywał zaawansowany algorytm szyfrowania. Autor wykorzystał algorytm RSA w celu stworzenia 56-bitowego klucza. Złamanie go nie stanowiło żadnego problemu dla firm antywirusowych. To oznacza, że procedury deszyfrowania zostały dostarczone użytkownikom, których dane zostały zaszyfrowane. Wydaje się, że szybkość, z jaką problem ten został rozwiązany, skłoniła twórcę wirusa do przemyślenia swojego podejścia. W czerwcu rosyjski segment Internetu został zaatakowany przez nową wersję Gpcode'a, tym razem jednak wykorzystywał on klucz 260-bitowy. Również ten dłuższy klucz nie stanowił problemu dla naszych analityków, którzy zdołali go złamać w niecałe 5 minut. Rozpoczęła się rywalizacja - kto jest bardziej wytrwały, kto ma lepszą wiedzę z dziedziny kryptografii, kto ma dostęp do największej mocy obliczeniowej? Chociaż autor Gpcode'a skłonny był poddać się, firmy antywirusowe nie zamierzały rezygnować; użytkownicy potrzebowali ochrony.

Na złamanie 260-bitowego klucza autor Gpcode'a odpowiedział opublikowaniem kolejnej wersji. Gdy zastosował 330-bitowy klucz, stawka wzrosła i niektóre firmy antywirusowe poddały się. Jednak analitycy z Kaspersky Lab zdołali złamać ten klucz w niecałe 24 godziny.

Mimo to autor Gpcode'a wciąż nie zamierzał się poddawać. 7 czerwca 2006 roku tysiące rosyjskich użytkowników pobrało z zainfekowanej strony na swój komputer wirusa Gpcode.ag. Ten ostatni wariant wykorzystywał 660-bitowy klucz - najdłuższy, jaki został kiedykolwiek złamany. Szacuje się, że przy użyciu komputera z procesorem 2,2 GHz złamanie takiego klucza zajęłoby co najmniej 30 lat. Mieliśmy jednak szczęście - nasi analitycy w ciągu jednego dnia zdołali dodać do antywirusowych baz danych procedury deszyfrowania dla plików, które zostały zaszyfrowane przy użyciu tego klucza. W tym miejscu nie będę wdawał się w szczegóły, wystarczy powiedzieć, że złamanie tego klucza zapisze się wielkimi literami na kartach historii wirusologii komputerowej.

Chociaż analitycy Kaspersky Lab zajęci byli tworzeniem algorytmu deszyfrującego, postaraliśmy się również, aby zamknięto stronę, na której znajdował się złośliwy program. Następnego dnia strona ta nie była już dostępna. W momencie pisania tego artykułu nie wykryto żadnych nowych wariantów Gpcode'a. Jednak kolejny wariant, z dłuższym kluczem, może pojawić się w każdej chwili.

Metody stosowane przez wirusa w celu rozprzestrzeniania się są wyjątkowo nowatorskie - atakował on jeden z najpopularniejszych rosyjskich portali przeznaczonych dla ludzi poszukujących pracy. Kandydaci, którzy wyrazili zainteresowanie oferowanymi miejscami pracy, otrzymywali wiadomość, która wyglądała jak odpowiedź na ich zapytanie, w rzeczywistości jednak zawierała trojana. Zastosowanie socjotechniki zapewniło wysoki współczynnik infekcji wśród potencjalnych ofiar.

Historia Gpcode'a to prawdziwa powieść kryminalna, która może mieć swój dalszy ciąg. Szczegóły dotyczące tego trojana można znaleźć w artykule Szantażysta: historia Gpcode'a w Encyklopedii Wirusów firmy Kaspersky Lab (www.viruslist.pl).

Spójrzmy w przyszłość i spróbujmy przewidzieć, w jakim kierunku może ewoluować wykorzystywanie szyfrowania asymetrycznego w złośliwych programach. Chociaż w przeciągu stosunkowo krótkiego czasu zdołaliśmy odszyfrować 330- i 660-bitowe klucze, klucze takiej długości już teraz wyznaczają granice współczesnej kryptografii. Gdyby RSA (lub inny podobny algorytm wykorzystujący klucz publiczny) został właściwie zaimplementowany w nowym szkodniku, firmy antywirusowe byłyby bezsilne, nawet gdyby do odszyfrowania klucza wykorzystano maksymalną moc obliczeniową. Według mnie, jedynym zabezpieczeniem jest regularne sporządzanie kopii zapasowych wszystkich dokumentów, baz danych i pocztowych. Oczywiście firmy antywirusowe muszą nieustannie pracować nad ochroną proaktywną, która uniemożliwi szkodliwym użytkownikom szyfrowanie lub archiwizowanie danych użytkowników.

Niestety autorzy Gpcode'a, Cryzipa i Krottena wciąż przebywają na wolności. Jednak nawet gdyby zostali aresztowani, nic nie powstrzyma innych agresorów przed zaimplementowaniem takich technologii w celu osiągnięcia korzyści finansowych. Z tego względu programy z kategorii RansomWare będą nadal przyprawiały branżę antywirusową o ból głowy, przynajmniej jeśli chodzi o najbliższą przyszłość.

Skrypty polimorficzne

Termin polimorfizm stosowany jest w odniesieniu do wirusów komputerowych od 1990 roku. Polimorfizm ewoluował z prostego szyfrowania XOR do złożonych metamorfoz stosujących skomplikowane algorytmy, łącznie z algorytmami kryptograficznymi. Na ich temat powstało wiele artykułów i rozpraw naukowych.

Wirusy polimorficzne ewoluowały mniej więcej do początku 21. wieku - wtedy to twórcy wirusów postanowili skoncentrować swoje wysiłki na rozwijaniu robaków i trojanów. Najwidoczniej uznali, że kod, który mutuje w celu utrudnienia wykrycia go przez rozwiązania antywirusowe, nie jest już technologią, której potrzebują.

Jednak od początku 2003 roku twórcy wirusów zaczęli wykorzystywać w swoich tworach kod polimorficzny. Powodem było pojawianie się coraz lepszych rozwiązań antywirusowych, przez co wykorzystywanie w celu ukrycia złośliwego kodu takich metod, jak pakowanie - popularne w tym czasie wśród twórców wirusów - stawało się coraz mniej skuteczne. Szkodliwi użytkownicy odkurzyli więc klasyczne wirusy polimorficzne: DarkAvenger, Black Baron i Zombie. Programy te zostały zmodyfikowane przy użyciu nowych technik i wiedzy. W konsekwencji w Internecie zaczęła pojawiać się nowa generacja wirusów polimorficznych (ich liczba wciąż jest ograniczona).

W ciągu ostatnich kilku lat analitycy wirusów napotykali kod polimorficzny i kod "śmieć", który umieszczany był w złośliwych programach w celu utrudnienia ich analizy. Na przełomie 2005 i 2006 roku techniki polimorficzne implementowane były nawet w wirusach skryptowych (tj. robakach) - co uważane było wcześniej za niemożliwe.

Firmy antywirusowe już dawno opracowały szereg emulatorów i narzędzi analizy heurystycznej do zwalczania polimorficznego kodu binarnego. Jednak do niedawna nie było potrzeby rozwijania takich narzędzi dla wirusów skryptowych. Istniało tylko kilka exploitów wykorzystujących luki w przeglądarce oraz programów typu Trojan-Downloader napisanych w językach skryptowych. Okres rozkwitu wirusów skryptowych nastąpił pod koniec 20. wieku, gdy zaatakował robak LoveLetter.

Jednym z najaktywniejszych naukowców zajmujących się zastosowaniem polimorfizmu w skryptach był australijski uczeń występujący pod pseudonimem Spth. Zdołał on stworzyć bardzo interesujący algorytm polimorficzny Cassa - był to wirus napisany w języku Java Script. Temat ten zainteresował także innych: webmasterzy chcieli na przykład wykorzystać to podejście do zabezpieczenia kodu swoich stron przed kradzieżą. Pojawiło się kilka programów, które umożliwiały szyfrowanie stron html. Programy te opierały się na funkcjach Java Script, które deszyfrowały zawartość stron w locie, zapewniając poprawne wyświetlanie się stron w przeglądarce.

Programy takie skutecznie dawały do rąk szkodliwych użytkowników gotowe konstruktory wirusów; aby wykorzystywać je nie trzeba było posiadać żadnej wiedzy z dziedziny polimorfizmu. Pojawiły się dzieciaki skryptowe (słowo "skryptowy" można tutaj rozumieć dosłownie) stając się zmorą firm antywirusowych, które musiały znaleźć sposoby na pokonanie ich zaszyfrowanych exploitów i trojanów. Zadanie to komplikował fakt, że tradycyjne metody emulacji nie były bardzo przydatne; sprawdzanie strony internetowej w momencie ładowania jej do przeglądarki i wynikające z tego niewielkie opóźnienie wywołałyby skargi użytkowników.

Niestety, twórcy niektórych legalnych programów przeznaczonych do szyfrowania stron html posunęli się o krok dalej i ujawnili swój kod publicznie. Oznaczało to, że każdy, kto chciał, mógł zmodyfikować niektóre dość silne algorytmy polimorficzne (np. HTML Guard).

W rezultacie, w ciągu pierwszych sześciu miesięcy 2006 roku napotykaliśmy na robaki pocztowe, takie jak Feebs i Scano, które nie tylko aktywnie rozprzestrzeniały się, ale również stanowiły poważne zagrożenie.

Oba robaki rozprzestrzeniają się za pośrednictwem wiadomości e-mail jako zainfekowane pliki Java Script załączone do zainfekowanych wiadomości. Wyglądają jak standardowe strony HTML. W ten sposób zostaje uśpiona czujność użytkowników, którzy myślą, że wirusy rozsyłane są jako pliki wykonywalne lub pliki MS Office. Większość użytkowników nie uważa stron HTML za wykonywalne ani za obiekty, które potencjalnie mogą zawierać złośliwy kod.

Po otwarciu takiego pliku wykonywany jest kod polimorficzny. W rezultacie w systemie zainstalowany zostanie standardowy plik wykonywalny zawierający ciało robaka. Oprócz innych funkcji dodatkowych, robaki zaczynają generować własne kopie jako pliki Java Script. Pliki te tak bardzo różnią się od siebie nawzajem, że nie można znaleźć nawet jednej identycznej kopii - spowodowane jest to funkcją polimorficzną robaka. Pliki te wysyłane są następnie na adresy e-mail zebrane z komputera ofiary i cały cykl zaczyna się od nowa. Aby jeszcze bardziej utrudnić pracę firmom antywirusowym, autorzy tych robaków wypuszczali nowe warianty co dwa trzy dni.

Stare technologie zostały zmodyfikowane, aby dostosować je do nowych warunków. Stosuje się socjotechnikę wykorzystującą fakt, że użytkownicy nie wiedzą, że strony html mogą zawierać złośliwe skrypty. Opracowanie metod wykrywania takich wirusów jest trudne, ponieważ duże znaczenie ma tu szybkość, poza tym legalnie zaszyfrowane strony mogą być przyczyną fałszywych trafień.

Chociaż zarówno technologie wirusowe jak i antywirusowe nieustannie ewoluują, klasyczne podejścia wciąż okazują się najskuteczniejsze. Niestety, istnieje wiele firm antywirusowych, które są zupełnie nowe w branży i nie posiadają dużego doświadczenia w zwalczaniu starych zagrożeń. Wiele nowych technologii, takich jak skanowanie ruchu http w locie, nie znajduje zastosowania w walce z wirusami polimorficznymi.

Koncepcje

Wygląda na to, że twórcom wirusów brakuje inspiracji. Coraz częściej wykorzystują starsze, prawie zapomniane technologie. Tematy wywołujące w ostatnich latach żywą dyskusję, takie jak rootkity, botnety i luki w produktach Microsoftu, nie są już niczym niezwykłym. Szkodliwi użytkownicy nieustannie szukają nowych metod, które mogą wykorzystać do zainfekowania możliwie największej liczby użytkowników. Najbardziej znamienne są programy typu "proof of concept". Być może nie znajdą one powszechnego zastosowania w przyszłości, wciąż jednak oznaczają, że firmy antywirusowe muszą odpowiednio reagować na nowe potencjalne zagrożenie.

Rok 2006 był jednym z najpłodniejszych okresów w całej historii wirusologii komputerowej pod względem "koncepcji". W pierwszym kwartale pojawiły się takie zagrożenia, jak pierwszy trojan dla J2ME (który działał na większości telefonów komórkowych) oraz pierwszy "prawdziwy" wirus dla Mac OS X, a następnie robak rozprzestrzeniający się za pośrednictwem Bluetooth. Naukowcy z Michigan University, sponsorowani przez firmę Microsoft, stworzyli SubVirt, rootkita opartego na technologii maszyn wirtualnych. O wszystkich tych innowacjach użytkownicy mogli przeczytać w naszym poprzednim raporcie kwartalnym.

Tę nietypową aktywność można wyjaśnić rozbiciem niesławnej grupy twórców wirusów 29A. Udało się tego dokonać dzięki wysiłkom organów ścigania na całym świecie. Grupa ta skupiała wcześniej głównych twórców kodu "proof of concept". Powstałą próżnię wypełniły nowe osoby, które pragnęły zapisać się na kartach historii wirusologii.

Twórcy wirusów nie próżnowali od naszego ostatniego raportu kwartalnego. Poniżej prezentujemy nowe złośliwe programy typu "proof of concept", na które natrafiliśmy w ciągu ostatnich trzech miesięcy.

Zacznijmy od pierwszego wirusa dla kolejnego produktu Microsoftu - MS Publisher. Program ten jest jednym z najstarszych produktów tej firmy i - jak wskazuje jego nazwa - służy do tworzenia materiałów biznesowych i marketingowych. Był on bardzo popularny w latach dziewięćdziesiątych, jednak stopniowo konkurencja przejęła jego udział w rynku. Aż do teraz twórcy wirusów nie byli szczególnie zainteresowani tym programem. Jednak pogoń za uznaniem skłoniła autorów złośliwego kodu do bliższego przyjrzenia się temu rozwiązaniu. Jest całkiem prawdopodobne, że wirus dla MS Publishera powstał tylko po to, aby udowodnić, że możliwe jest stworzenie złośliwego kodu dla praktycznie całego zestawu produktów firmy Microsoft.

Wirus ten został stworzony przez Ukrainkę, znaną w kręgach twórców wirusów jako Patiavara. W kwietniu 2006 roku Patiavara wysłała swojego wirusa dla programu MS Publisher 3.0 firmie Kaspersky Lab; nazwaliśmy go Avarta.

Z powodu błędów w procedurze rozprzestrzeniania się i zbyt oczywistej funkcji destrukcyjnej Avarta nie miałby szans na wolności. Trzy, cztery lata temu stanowiłby interesujący przykład zastosowania nowych technologii. Jednak makrowirusy praktycznie już wymarły i Avarta był jedynie wirusem typu "proof of concept", który nigdy nie mógłby stać się rzeczywistym zagrożeniem.

W okresie tym sporym zainteresowaniem cieszyły się również wirusy wieloplatformowe (tj. wirusy, które mogą jednocześnie działać na dwóch i większej liczbie platform, na przykład w systemach Windows i Linux). Koncepcja wieloplatformowych złośliwych programów powstała już jakiś czas temu; w kwietniu otrzymaliśmy próbkę najnowszego programu tego typu. Bi.a potrafi infekować pliki w bieżącym folderze, określając system (Windows lub Linux), w którym plik został uruchomiony i w zależności od tego wykorzystuje odpowiedni algorytm do infekowania plików.

Ujawniając informacje na temat Bi wywołaliśmy zamieszanie w społeczności linuksowej. Do dyskusji włączył się nawet Linus Torvalds. Po tym jak zapoznał się z wynikami analizy wirusa Bi i dowiedział się, że kod zawiera błędy, przez które wirus ten nie mógł działać w niektórych jądrach Linuksa, opublikował łatę. Faktem jest, że wirusy wieloplatformowe dla systemów Windows i Linux wciąż pozostają w sferze zainteresowań twórców wirusów, którzy bez wątpienia będą nadal rozwijali ten rodzaj złośliwego kodu.

Inną ciekawostką był Gabol, wirus atakujący pakiet Matlab, który pojawił się na przełomie kwietnia i maja. Został napisany we wbudowanym języku skryptowym Matlaba i miał na celu infekowanie wszystkich plików roboczych, zapisując swoje ciało na początek każdego pliku. Xic.a, kolejny wirus dla Matlaba, był bardziej złożony i wykorzystywał technologie polimorficzne (patrz wyżej). Ze względu na niewielkie rozpowszechnienie pakietu Matlab trudno wyobrazić sobie wykorzystanie tych wirusów do spowodowania ogromnej liczby infekcji. Nie ma zatem wątpliwości, że programy te zostały napisane w celu pokazania możliwości ich autorów.

Bardziej niebezpiecznym wirusem typu "proof of concept" był StarDust, makrowirus atakujący StarOffice. Pakiet ten jest jednym z głównych konkurentów MS Office'a i cieszy się dużą popularnością wśród użytkowników Linuksa. Dostępna jest również wersja StarOffice'a dla systemu Windows. Do tej pory makrowirusy atakowały tylko pakiet MS Office. Jednak dość silny język skryptowy użyty w StarOffice, jak również to, że twórcy wirusów pragnęli pokazać, że nie tylko programy Microsoftu mogły stanowić pożywkę dla złośliwych programów, przyczyniły się do powstania StarDusta. Mówiąc ściśle, szkodnik ten jest bardziej trojanem niż wirusem, jednak koncepcja pozostaje taka sama. Kolejny produkt został dodany do listy produktów, które narażone są na atak złośliwego kodu.

Najniebezpieczniejszym wirusem typu "proof of concept" w tym kwartale był bez wątpienia robak Yamanner. Należy on do bardzo nielicznej grupy robaków, które wykorzystują unikatowe metody rozprzestrzeniania się. W rzeczywistości, grupa ta zawiera tak niewiele robaków, że każdy z nich stanowi technologiczną innowację i prawie wszystkie od razu pojawiają się na wolności i trafiają do czołówek gazet.

Mówimy o robakach, które wykorzystują lukę i błędy w silnikach skryptów popularnych zasobów internetowych, takich jak darmowe strony emailowe i blogowe. Robaki te nie muszą przenikać do komputerów ofiar, aby je zainfekować. Wystarczy tylko, aby użytkownik uaktywnił złośliwy kod, w ten czy inny sposób, albo w wyniku przeglądania wiadomości w przeglądarce, albo odwiedzenia strony zawierającej złośliwy kod. Prawie wszystkie z tych robaków wykorzystywały lukę cross site scripting. Przykładem może być robak, który zainfekował interfejs WWW serwisu Mail.ru, oraz SpaceHero, robak, który w październiku 2005 roku zainfekował miliony blogów na MySpace.

W czerwcu 2006 roku prawie 200 milionów użytkowników Yahoo! Mail stało się potencjalnymi ofiarami tego robaka. Yamanner jest interesującym okazem, ponieważ aby aktywować złośliwy kod, użytkownik musi tylko otworzyć wiadomość e-mail w swojej przeglądarce internetowej przy użyciu interfejsu WWW Yahoo! Mail. Po otwarciu wiadomości wykonywany jest skrypt, który wysyła robaka na wszystkie adresy z książki adresowej użytkownika zawierające domenę @yahoo.com lub @yahoogroups.com. Dodatkowo otwierana jest strona internetowa (która obecnie nie działa), a książka adresowa zainfekowanego konta wysyłana jest na określony serwer. Jedyni użytkownicy Yahoo! Mail, którzy nie byli zagrożeni, to ci, którzy wykorzystywali POP3 w celu otrzymywania poczty za pośrednictwem osobnego klienta pocztowego. Ponieważ platformą rozprzestrzeniania się robaka to JavaScript, który obsługiwany jest przez wszystkie w pełni funkcjonalne przeglądarki, pod względem bezpieczeństwa wybór przeglądarki nie miał znaczenia.

Jedynym sposobem na zabezpieczenie się przed takimi robakami jest wyłączenie wykonywania skryptów w przeglądarce. Uniemożliwia to jednak korzystanie z interfejsu sieciowego Yahoo! Mail. Yahoo! podjął działania mające na celu filtrowanie wiadomości e-mail, które wykorzystują tę lukę, zmodyfikował interfejs i zachęcił użytkowników do przejścia na Yahoo Mail Beta, nową wersję usługi, która nie zawiera tej luki.

Podobna historia może przytrafić się każdej usłudze internetowej. Wszystkie serwisy pocztowe, które wykorzystują interfejs sieciowy (takie jak gmail) są potencjalnie narażone. Jedynie duża liczba łat zainstalowanych w systemie ograniczy funkcjonalność wirusa czy robaka JavaScript. Oczywiście może się to wkrótce zmienić - wraz z wykryciem nowej luki. Błędy w programowaniu, które mogą prowadzić do wystąpienia luki cross site scripting, są niezwykle powszechne, a ich wykrycie wymaga dużych wysiłków.

Nie ma wątpliwości, że granica pomiędzy komputerami osobistymi a zasobami internetowymi została już dawno zburzona; komputer może nie zawierać ciała wirusa, mimo to możesz brać udział w rozprzestrzenianiu złośliwego kodu poprzez samo uaktualnienie swojego blogu lub czytanie poczty. Zagrożenie to będzie poważne w przyszłości, szczególnie wraz z nadejściem Web 2.0.

Źródło: Kaspersky Lab