Az antivírusgyártókat heccelik a vírusírók

forrás Prim Online, 2005. november 18. 19:07
A legújabb Win32/Sober.X trójai vírus kódja gúnyos megjegyzésekkel illeti az antivírusgyártókat.
A féreg a washingtoni és kínai biztonságtechnikai konferenciák ideje alatt jelent meg az interneten, amikor a világ vezető biztonságtechnikai szakemberei éppen az előadótermekben ültek. Nem először fordult elő, hogy a vírusok készítői figyelembe vették a vírusvadászok időbeosztását.

A víruskészítők egyre gyakrabban próbálják meg kihasználni az antivírusgyártó cégek szakemberei számára elfoglaltságot jelentő eseményeket - figyelmeztet az ESET Software. Októberben a Sober.R a dublini Virus Bulletin konferencia alatt bukkant fel, most pedig a Win32/Sober.X készítői indítottak útnak egy nagyobb fertőzéshullámot, miközben a vírusvadászok Washingtonban és Kína több városában képezték magukat.

Az antivírusgyártókra gunyoros megjegyzéseket tartalmazó kóddal titkosított kórokozót a NOD32 antivírusrendszer fejlett heurisztikus elemző képességének köszönhetően proaktívan, emberi beavatkozás nélkül megállította.

Andrew Lee, az ESET technológiai igazgatója az eseményekkel kapcsolatban figyelmeztet arra, hogy az úgynevezett nulladik napi fenyegetések ellen - azaz az olyan fertőzésekkel szemben, melyekre még nem létezik ellenszer - csak a heurisztikus technológia jelent védelmet.

"A mai kórokozók szerzőit már nem a bizonyítási vágy vezérli, hanem anyagi ösztönzők hajtják. A fertőzések számának emelkedése nehéz helyzetbe hozza a hagyományos reaktív elveken működő biztonságtechnikai termékek gyártóit, akik először gyorsan visszafejtik a kórokozót, majd csak ezt követően adják ki az ellenszert" - állítja a szakember, aki szerint egyre nagyobb technológiai előnyre tesznek szert a fejlett heurisztikát alkalmazó antivírus megoldások gyártói. A szakember szavait alátámasztja a VirusTotal.com statisztikája, mely szerint a NOD32 a legutóbbi 16 nulladik napi fenyegetés 88%-át proaktívan ismerte fel.

A most megjelent Win32/Sober.X féreg két Visual Basic nyelven írt végrehajtható fájlból áll. Az egyik ezek közül egy trójai program, ami feltehetően más kórokozók elhelyezésének megkönnyítésére szolgál, a másik pedig fertőzött e-mailek tömeges kiküldését végzi. Ez utóbbi "Your email" "Haben Sie diese EMail verschickt?“ tárggyal rendelkező elektronikus leveleket küld, csatolmányként a trójai program .zip formátumú tömörített változatával. Amennyiben a felhasználó megnyitja a trójai programot, az a végrehajtás után rögtön törli önmagát és egy hamis hibaüzenetet jelenít meg. Ezalatt a trójai néhány üres fájlt helyez el a rendszerkönyvtárban, ami lehetővé teszi, hogy a kórokozó minden rendszerindításkor lefusson. Végül a trójai e-mail címek után kutatva végigfésüli a felhasználó számítógépét, annak érdekében, hogy későbbi terjedését előkészítse.