Odporny na wirusy

Działanie. Plik (tzw. dropper, czyli wkraplacz) pobierał dwa dodatkowe intruzy z Internetu. Jeden wpisywał się obok Userinit.exe do klucza automatycznego uruchamiania w rejestrze (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon). Oprócz tego sprawdzał co 500 milisekund, czy program Kaspersky AntiVirus ostrzega użytkownika o intruzie. Jeśli tak, usiłował natychmiast zamknąć okno z komunikatem.

Odporny na wirusy

Szkodliwy kod potrafi wykryć, czy jest uruchomiony w wirtualnym pececie, np. za pomocą określonego rejestru procesora, jak opisano w tej witrynie.

Złośliwy kod wykradał dane logowania do internetowej gry "World of Warcraft". Można na nich zarobić pokaźne sumy pieniędzy. Sprawdzał ponadto, czy nie jest uruchomiony w obrębie maszyny wirtualnej (np. VMware lub Virtual PC). Jeśli tak, zaniechał wszelkich czynności.

Specjaliści w laboratoriach antywirusowych przywołują złośliwy kod wirtualnych pecetach. W ten sposób mogą lepiej obserwować zachowania intruzów. Autorom niektórych szkodników zależy na tym, aby pokrzyżować ich plany. Dlatego programują szkodliwy kod tak, aby starał się wykrywać uruchomienie w środowisku wirtualnym i wówczas nie podejmował żadnych akcji. Złośliwy kod może to sprawdzać na różne sposoby. na przykład - przywołać zawartość rejestru procesora hypervisor present bit. Jeśli wartość jest równa 1, ma do czynienia z wirtualnym procesorem (więcej informacji pod adresemhttp://talhatariq.wordpress.com/category/virtualisation/ ).

zCodec - wirus dla dorosłych

Wprawdzie zCodec ujrzał światło dzienne już w 2006 r., jednak w kolejnym roku pojawiali się jego liczni następcy. Szkodnik maskował się jako kodek wideo.

Rozprzestrzenianie. Użytkownicy pobierali zCodec dobrowolnie z witryny internetowej. Cyberprzestępcy zwabiali potencjalne ofiary rzekomymi filmami wideo, które można odtworzyć ponoć tylko za pomocą tego "kodeka". Następcy zCodeca czyhali najczęściej na stronach internetowych tylko dla dorosłych, kusząc pikantnymi materiałami wideo. Najwyraźniej właśnie w ten sposób można pozyskać najwięcej chętnych.

Działanie. Zamiast zainstalować określony kod w systemie, szkodnik umieszczał swój duplikat w katalogu %windir%\System32 i wstawiał swój wpis do klucza rejestru, który umożliwiał mu automatyczne uruchamianie wraz z systemem Windows ("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run").

Ponadto zapisywał w rejestrze nowy serwer DNS. W ten sposób mógł przekierowywać nieświadomą ofiarę na dowolne witryny wyłudzające hasła (phishing) i inne poufne dane. W dalszej kolejności złośliwy kod nawiązywał połączenie z serwerem w Internecie, skąd wgrywał do komputera inne szkodliwe elementy. Spreparowanym w ten sposób systemem agresor może sterować z zewnątrz - modyfikować rejestr, a także wgrywać do peceta dowolne pliki i uruchamiać je. Jeden z wariantów zCodeca zagnieżdża się w Internet Explorerze, aby złośliwy kod uaktywniał się za każdym razem, gdy użytkownik korzysta z przeglądarki.

Analiza - czego pragną wirusy?

Trzy powyższe przykłady unaoczniają, w jaki sposób rozprzestrzenia się większość wirusów i w jakich warunkach czują się najlepiej.

Odporny na wirusy

W Internecie są informacje, iż zCodec to nie kodek, lecz przynęta instalująca w systemie ofiary trojany i inne szkodliwe moduły. Mimo to wielu dało się nabrać.

Jako środek rozprzestrzeniania się nadal ogromną popularnością cieszą się załączniki wiadomości pocztowych. Ponadto szkodliwy kod coraz częściej znajduje się w witrynach internetowych, skąd przedostaje się automatycznie do systemu ofiary w trakcie odwiedzania strony internetowej lub kusi użytkownika, aby pobrał go ręcznie i sam zainstalował w swoim komputerze. Obecnie cyberprzestępcy coraz rzadziej próbują wdzierać się do witryn instytucji, aby umieszczać w nich złośliwy kod. Zamiast tego włamują się i preparują strony internetowe o mniejszym znaczeniu - takie, na których nikt nie spodziewa się zaatakowania przez intruzów. Witryna obiektu sportowego Dolphin Stadium (patrz wyżej) to tylko jeden przykład. Ulubionym celem autorów szkodliwego kodu stały się przede wszystkim strony portali społecznościowych, takich jak np. MySpace. Zainteresowały ich z dwóch powodów. Po pierwsze, są odwiedzane przez ogromne rzesze internautów, po wtóre, stosowana w nich technologia Web 2.0 ułatwia włamanie.

Oprócz tego coraz większe znaczenie zaczynają znowu odgrywać starzy znajomi - wirusy sektora startowego. Kiedyś rozprzestrzeniały się za pomocą dyskietek, dziś czyhają na napędach pendrive i zewnętrznych twardych dyskach. Niemniej jednak nie rozmnażają się jeszcze na dużą skalę.

Najczęstszym działaniem wirusów jest umieszczanie swoich wpisów w kluczach rejestru. Umożliwia im to automatyczne wczytywanie się wraz z uruchamianiem systemu. Środowisko Windows ma aż 24 klucze tego rodzaju. Uprzednio intruzy umieściły swoje duplikaty na twardym dysku ofiary. Do najbardziej ulubionych lokalizacji należą %windir% i %windir%\system32. Przyczyny są oczywiste. Wymienione katalogi są proste do ustalenia, a ponadto występują w każdym komputerze z systemem Windows i znajdują się w obrębie domyślnych ścieżek wyszukiwania.

Niektóre szkodniki osadzają się alternatywnie w Internet Explorerze. Wówczas nie uaktywniają się podczas rozruchu systemu, lecz wkraczają do akcji, gdy użytkownik chce korzystać z Internetu.

Wiele intruzów nawiązuje kontakt z serwerem swojego mocodawcy w Internecie i otwiera jeden z portów w komputerze ofiary, aby przyjmować z zewnątrz polecenia cyberprzestępców. Żeby ich działania nie były zakłócane przez zapory sieciowe, złośliwy kod usiłuje je zamknąć lub dodaje się do listy dozwolonych aplikacji online.