Az antivírusgyártókat heccelik a vírusírók
forrás Prim Online, 2005. november 18. 19:07
A féreg a washingtoni és kínai biztonságtechnikai konferenciák ideje alatt jelent meg az interneten, amikor a világ vezető biztonságtechnikai szakemberei éppen az előadótermekben ültek. Nem először fordult elő, hogy a vírusok készítői figyelembe vették a vírusvadászok időbeosztását.
A víruskészítők egyre gyakrabban próbálják meg kihasználni az antivírusgyártó cégek szakemberei számára elfoglaltságot jelentő eseményeket - figyelmeztet az ESET Software. Októberben a Sober.R a dublini Virus Bulletin konferencia alatt bukkant fel, most pedig a Win32/Sober.X készítői indítottak útnak egy nagyobb fertőzéshullámot, miközben a vírusvadászok Washingtonban és Kína több városában képezték magukat.
Az antivírusgyártókra gunyoros megjegyzéseket tartalmazó kóddal titkosított kórokozót a NOD32 antivírusrendszer fejlett heurisztikus elemző képességének köszönhetően proaktívan, emberi beavatkozás nélkül megállította.
Andrew Lee, az ESET technológiai igazgatója az eseményekkel kapcsolatban figyelmeztet arra, hogy az úgynevezett nulladik napi fenyegetések ellen - azaz az olyan fertőzésekkel szemben, melyekre még nem létezik ellenszer - csak a heurisztikus technológia jelent védelmet.
"A mai kórokozók szerzőit már nem a bizonyítási vágy vezérli, hanem anyagi ösztönzők hajtják. A fertőzések számának emelkedése nehéz helyzetbe hozza a hagyományos reaktív elveken működő biztonságtechnikai termékek gyártóit, akik először gyorsan visszafejtik a kórokozót, majd csak ezt követően adják ki az ellenszert" - állítja a szakember, aki szerint egyre nagyobb technológiai előnyre tesznek szert a fejlett heurisztikát alkalmazó antivírus megoldások gyártói. A szakember szavait alátámasztja a VirusTotal.com statisztikája, mely szerint a NOD32 a legutóbbi 16 nulladik napi fenyegetés 88%-át proaktívan ismerte fel.
A most megjelent Win32/Sober.X féreg két Visual Basic nyelven írt végrehajtható fájlból áll. Az egyik ezek közül egy trójai program, ami feltehetően más kórokozók elhelyezésének megkönnyítésére szolgál, a másik pedig fertőzött e-mailek tömeges kiküldését végzi. Ez utóbbi "Your email" "Haben Sie diese EMail verschickt?“ tárggyal rendelkező elektronikus leveleket küld, csatolmányként a trójai program .zip formátumú tömörített változatával. Amennyiben a felhasználó megnyitja a trójai programot, az a végrehajtás után rögtön törli önmagát és egy hamis hibaüzenetet jelenít meg. Ezalatt a trójai néhány üres fájlt helyez el a rendszerkönyvtárban, ami lehetővé teszi, hogy a kórokozó minden rendszerindításkor lefusson. Végül a trójai e-mail címek után kutatva végigfésüli a felhasználó számítógépét, annak érdekében, hogy későbbi terjedését előkészítse.
A víruskészítők egyre gyakrabban próbálják meg kihasználni az antivírusgyártó cégek szakemberei számára elfoglaltságot jelentő eseményeket - figyelmeztet az ESET Software. Októberben a Sober.R a dublini Virus Bulletin konferencia alatt bukkant fel, most pedig a Win32/Sober.X készítői indítottak útnak egy nagyobb fertőzéshullámot, miközben a vírusvadászok Washingtonban és Kína több városában képezték magukat.
Az antivírusgyártókra gunyoros megjegyzéseket tartalmazó kóddal titkosított kórokozót a NOD32 antivírusrendszer fejlett heurisztikus elemző képességének köszönhetően proaktívan, emberi beavatkozás nélkül megállította.
Andrew Lee, az ESET technológiai igazgatója az eseményekkel kapcsolatban figyelmeztet arra, hogy az úgynevezett nulladik napi fenyegetések ellen - azaz az olyan fertőzésekkel szemben, melyekre még nem létezik ellenszer - csak a heurisztikus technológia jelent védelmet.
"A mai kórokozók szerzőit már nem a bizonyítási vágy vezérli, hanem anyagi ösztönzők hajtják. A fertőzések számának emelkedése nehéz helyzetbe hozza a hagyományos reaktív elveken működő biztonságtechnikai termékek gyártóit, akik először gyorsan visszafejtik a kórokozót, majd csak ezt követően adják ki az ellenszert" - állítja a szakember, aki szerint egyre nagyobb technológiai előnyre tesznek szert a fejlett heurisztikát alkalmazó antivírus megoldások gyártói. A szakember szavait alátámasztja a VirusTotal.com statisztikája, mely szerint a NOD32 a legutóbbi 16 nulladik napi fenyegetés 88%-át proaktívan ismerte fel.
A most megjelent Win32/Sober.X féreg két Visual Basic nyelven írt végrehajtható fájlból áll. Az egyik ezek közül egy trójai program, ami feltehetően más kórokozók elhelyezésének megkönnyítésére szolgál, a másik pedig fertőzött e-mailek tömeges kiküldését végzi. Ez utóbbi "Your email" "Haben Sie diese EMail verschickt?“ tárggyal rendelkező elektronikus leveleket küld, csatolmányként a trójai program .zip formátumú tömörített változatával. Amennyiben a felhasználó megnyitja a trójai programot, az a végrehajtás után rögtön törli önmagát és egy hamis hibaüzenetet jelenít meg. Ezalatt a trójai néhány üres fájlt helyez el a rendszerkönyvtárban, ami lehetővé teszi, hogy a kórokozó minden rendszerindításkor lefusson. Végül a trójai e-mail címek után kutatva végigfésüli a felhasználó számítógépét, annak érdekében, hogy későbbi terjedését előkészítse.
Kapcsolódó cikkek
- 5 csillagos a NOD32
- Piacvezető itthon a NOD32
- A Sicontact megkapta Ausztriát is
- Trójaiak a márciusi vírustoplista élén
- Néha még a rekordtartó is hibázik
- Újoncok a februári vírustoplista élén
- Vistán is a NOD32 a leggyorsabb
- NOD32 2.7 magyarul is
- NOD32: 2006 legjobb vírusirtója
- Kiváló minősítések a NOD32-nek