Report Button

Κόμβος Ενημέρωσης

Νέα

Επαγρυπνείτε για τον Sality.AO: Ένας ιός που μας πηγαίνει πίσω στο μέλλον

Συνδυάζει τις επικίνδυνες τεχνικές μόλυνσης παλαιότερων ιών με τις νέες, οικονομικά παρακινούμενες τάσεις του κακόβουλου λογοσμικού (malware)
Οι χρήστες συμβουλεύονται να πάρουν τις απαραίτητες προφυλάξεις, έπειτα από την ανίχνευση ενός αυξανόμενου αριθμού μολύνσεων και νέων παραλλαγών αυτού του τύπου malware (ΠΡΟΤΑΞΗ)

Ο Sality.AO είναι ένας ιός που συνδυάζει τα χαρακτηριστικά των παραδοσιακών ιών (που μολύνουν αρχεία και προξενούν ζημιές σε όσο το δυνατόν περισσότερους υπολογιστές ώστε να επιτύχουν (κακή) φήμη για τους δημιουργούς τους) με τις επιδιώξεις του malware της σύγχρονης τάσης, δηλαδή τη δημιουργία οικονομικών απολαβών για τους κυβερνο-εγκληματίες. Τα PandaLabs -τα εργαστήρια ανίχνευσης και ανάλυσης malware της Panda Security- έχουν διαπιστώσει μια αύξηση στον αριθμό μολύνσεων που προκαλούνται από αυτό το malware κατά τη διάρκεια των πρόσφατων ημερών, καθώς επίσης και νέες παραλλαγές που χρησιμοποιούν τις ίδιες τεχνικές. Επομένως συμβουλεύουν τους χρήστες να βρίσκονται σε επαγρύπνηση ενάντια σε μια πιθανή μαζική επίθεση.
Ο ιός Sality.AO χρησιμοποιεί ορισμένες τεχνικές που δεν είχαμε δει για χρόνια, όπως το EPO ("Entry Point Obscuring") ή το Cavity. Αυτές οι τεχνικές σχετίζονται με τον τρόπο με τον οποίο το αρχικό αρχείο τροποποιείται για να μολυνθεί, καθιστώντας δυσκολότερη την ανίχνευση αυτών των αλλαγών και την απολύμανση. Συγκεκριμένα, το EPO είναι μια τεχνική όπου ο ιός αποκρύβει το σημείο εισόδου του στο σύστημα, αφήνοντάς το πρώτα να λειτουργήσει φυσιολογικά για κάποιο χρονικό διάστημα, δηλαδή επιτρέποντας σε μέρος ενός νόμιμου αρχείου να εκτελεστεί πριν από την έναρξη της μόλυνσης, καθιστώντας δύσκολη την ανίχνευση του malware. Το Cavity συνεπάγεται την παρεμβολή του κώδικα του ιού στα κενά διαστήματα του κώδικα του νόμιμου αρχείου, καθιστώντας δυσκολότερο τον εντοπισμό του, καθώς και την απολύμανση των μολυσμένων αρχείων.

Αυτές οι τεχνικές είναι πολύ πιο σύνθετες από εκείνες που μπορούν να επιτευχθούν με αυτόματα εργαλεία δημιουργίας malware, τα οποία είναι αρμόδια για ένα μεγάλο μέρος της αύξησης στον αριθμό των απειλών σε κυκλοφορία πρόσφατα. Απαιτούν πολύ μεγαλύτερες ικανότητες και γνώσεις προγραμματισμού του κακόβουλου κώδικα.

Επικίνδυνος συνδυασμός παλαιών και νέων τεχνικών μόλυνσης
Εκτός από αυτές τις πρώιμες malware, ο ιός Sality.AO περιλαμβάνει μια σειρά χαρακτηριστικών που συνδέονται με τις νέες τάσεις του malware, όπως η δυνατότητα σύνδεσης με τα κανάλια IRC για να λάβει απομακρυσμένες εντολές, μετατρέποντας ενδεχομένως το μολυσμένο υπολογιστή σε zombie. Τέτοιοι υπολογιστές zombie μπορούν να χρησιμοποιηθούν για την αποστολή spam, τη διανομή malware, την εξαπόλυση επιθέσεων τύπου Άρνησης Υπηρεσιών ("Denial of Service" attacks - DoS), κλπ.
Ομοίως, οι μολύνσεις δεν περιορίζονται μόνο στα αρχεία, όπως συνέβαινε με τους παλαιότερους ιούς, αλλά προσβλέπουν επίσης στην εξάπλωσή τους σε ολόκληρο το διαδίκτυο, σύμφωνα με τις νέες τάσεις. Για αυτόν τον λόγο, χρησιμοποιούν ένα iFrame (τεχνική που επιτρέπει ένα αρχείο HTML να εμπεδωθεί εντός κάποιου άλλου αρχείου HTML) για να μολύνουν τα αρχεία τύπου PHP, ASP και HTML στον υπολογιστή. Το αποτέλεσμα είναι ότι όταν οποιοδήποτε από αυτά τα αρχεία εκτελεστεί, η μηχανή αναζήτησης οδηγείται, χωρίς τη γνώση του χρήστη, σε μια κακόβουλη σελίδα που εξαπολύει μια επίθεση εκμετάλλευσης κενού ασφαλείας ("exploit") ενάντια σε έναν υπολογιστή προκειμένου να μεταφορτωθεί περισσότερο malware.
Αλλά δεν είναι μόνο αυτό. Εάν οποιοδήποτε από τα μολυσμένα αρχεία καταχωρηθεί σε μια ιστοσελίδα -και λάβετε υπ' όψιν σας ότι κατά κόρον αυτοί οι τύποι αρχείου φορτώνονται στον Παγκόσμιο Ιστό-, όποιος χρήστης κατεβάσει τα αρχεία, ή επισκεφθεί τις ιστοσελίδες θα μολυνθεί.

ΦΛΑΣΑΚΙ
Δυσοίωνη η πιθανή εξέλιξη Σύμφωνα με την αναφορά της ανάλυσης των PandaLabs, το αρχείο που κατεβαίνει μέσω αυτής της τεχνικής είναι γνωστό ως "υβρίδιο malware", καθώς συνδυάζει τις λειτουργίες των δούρειων ίππων ("Trojan horse") και των ιών. Ο δούρειος ίππος φέρει επιπλέον χαρακτηριστικά για τη μεταφόρτωση άλλων τύπων malware στον υπολογιστή. Τα URLs που χρησιμοποιήθηκαν από αυτό το downloader δεν ήταν ακόμα ενεργά κατά τη διάρκεια της ανάλυσης, αλλά θα μπορούσαν να γίνουν ενεργά, καθώς ο αριθμός των μολυσμένων υπολογιστών αυξάνεται.
Επίσης, σύμφωνα με τη συναφή ετήσια έκθεση των PandaLabs, προβλέπεται ότι διανομή του κλασικού κακόβουλου κώδικα όπως οι ιοί θα είναι μια σημαντική τάση το 2009. Η χρήση των όλο και περισσότερο περίπλοκων τεχνολογιών ανίχνευσης (π.χ. η "Συλλογική Νοημοσύνη", όπου η Panda Security ισχυρίζεται ότι είναι ικανή να ανιχνεύσει ακόμη και τις χαμηλού επιπέδου επιθέσεις και τις πλέον πρόσφατες τεχνικές malware) θα κάνει τους κυβερνο-απατεώνες να γυρίσουν στους παλαιότερους κώδικες, προσαρμόζοντάς τους στις νέες ανάγκες. Αυτό σημαίνει ότι δεν θα είναι ιοί σχεδιασμένοι απλά για να διαδοθούν ή να προξενήσουν ζημιές στους υπολογιστές, όπως ήταν πριν από 10 έτη, αλλά θα είναι σχεδιασμένοι, όπως σε αυτήν την περίπτωση, για να κρύψουν δούρειους ίππους ή να μετατρέψουν τους υπολογιστές σε zombies (Luis Corrons). Μπορείτε να ανατρέξετε για περισσότερες πληροφορίες στο blog των PandaLabs: www.pandalabs.com

Αυτή η διεύθυνση ηλεκτρονικού ταχυδρομείου προστατεύεται από τους αυτοματισμούς αποστολέων ανεπιθύμητων μηνυμάτων. Χρειάζεται να ενεργοποιήσετε τη JavaScript για να μπορέσετε να τη δείτε. | http://tringides.blogspot.com | www.cyprus-tube.com

Επιμέλεια: Ορέστης Τριγγίδης

Κωδικός άρθρου: 857272

ΠΟΛΙΤΗΣ - 08/03/2009, Σελίδα: 100