Archiwum dla kategorii Malware

Wprawdzie moja absencja online nie była spowodowana żadnym atakiem wirusa (no, chyba że grypy na pracowników tpsy), ale właśnie temu tematowi pragnę poświęcić kilka następnych zdań.

Ilość komputerów zarażonych koniem trojańskim Storm powiększa się w każdej chwili w zastraszającym tempie. Nazwanie tego epidemią nie oddaje faktycznej stali problemu. Mamy do czynienia z Pierwszą Pandemią Internetową.

Szacunkowe dane ustalają liczbę zainfekowanych komputerów na kilkanaście milionów, a pesymistyczne dane nawet o 50 milionach. Teoretyczna szczepionka już istnieje - jest nią aktualizacją dla przeglądarek IE i FF, bowiem jest to podstawowa droga rozpowszechniania się tego zagrożenia. Niestety jak wykazują badanie nie ograniczyła ona stopnia rozwoju pandemii a obecna moc botnetu powstałego z połączenia wszystkich zarażonych komputerów w klaster obliczeniowy prawdopodobnie przewyższa (i to znacznie) dowolną inną instalację tego typu (legną lub nie) i pozwala między innymi na skuteczne deszyfrowanie danych (haseł, transmisji, itp.; nawet tych bardzo zaawansowanych).

Sam trojan jest bardzo ciekawy. Jego głównym zadaniem jest przejęcie kontroli nad komputerem i połączenia do jako węzła globalnego botnetu. Następnie umożliwia on przeprowadzenie złożonych rozproszonych obliczeń lub ataków typu DDoS. Infekcja przebiega najczęściej poprzez stronę internetową ze spreparowanych odpowiednio kodem JavaScript, który doprowadza do przepełniania bufora przeglądarki i w efekcie ściągnięcia i wykonania pliku wykonywalnego. Ze względu na polimorficzny charakter wirus jest ciężko wykrywalny przez oprogramowanie antywirusowa, co więcej, w pierwszej kolejności instaluje rootkita, który skutecznie dezaktywuje programowanie ochronne (a dokładniej je sandboxuje, co powoduje, iż nie potrafi on wykryć żadnego zagrożenia w systemie, pomimo iż działa normalnie). Storm posiada także wielopoziomowy system wykrywania próby usunięcia trojana. Jeżeli użytkownikowi (lub programowi) powiedzie się usunięcie jednego z zabezpieczeń natychmiast wykrywa to wyższa warstwa i ponawia infekcje. W efekcie usunięcie zagrożenia jest niezwykle kłopotliwe.

Sam miałem raz “przyjemność” walczyć ze Stormem u znajomego i z przykrością muszę stwierdzić, iż po kilku godzinach się poddałem, co ostatecznie skończyło się koniecznością reinstalowania Windowsa.

Artykuł na PC World Komputer:
http://www.pcworld.pl/news/128739.html

Ciekawa prezentacja autorstwa F-Secure:

 

 

Niedawno miałem wątpliwą przyjemność spotkania z tym niebezpiecznych trojanem. Na szczęście “spotkanie” było w pełni kontrolowane. Ale do rzeczy. Wprawdzie nie śledzę historii tego programu, ale sporo wskazuje, że właśnie ukazała się kolejna jest wersja. Przypuszczenie opieram na fakcie, iż otrzymałem plik zarażony tym trojanem, który… był szczątkowo wykrywany przez programy antywirusowe!

Test przeprowadzany przy pomocy scannera online VirusTotal wykazał, iż tylko ClamAV i VirusBuster potrafiły prawidłowo rozpoznać Ardamex, kilka innych wykryło nieznane potencjalne zagrożenie, a większość - w tym wszystkie najpopularniejsze(!) - uznały zarażony plik za czysty! Testowy system to Windows XP SP2 z zainstalowanymi aktualizacjami z maja 2007.

Dopiero odpalenie zarażonego pliku w systemie (zaznaczam, iż było to specjalnie przygotowane środowisko testowe) wykazało obecność trojana. Zainstalowany w tym systemie darmowy (i raczej kiepski, choć popularny) antywirus avast! nie zauważył niebezpieczeństwa.

Infekcja systemu przebiegała w ciekawy sposób - w jej czasie został wygenerowany plik graficzny JPG. Możliwe jest, że korzystając z nieznanej powszechnie luki w Windows w obsłudze plików graficznych, zaraził on cały OS. Jeżeli atak przy pomocy spreparowanego pliku graficznego się potwierdzi, będzie to oznaczać kolejne ogromne zagrożenie dla użytkowników systemu Windows. Są to jedynie moje przypuszczenie, nie jestem obecnie w stanie ich potwierdzić z całą pewnością.