Φόρουμ
Ο Sality.AO είναι ένας ιός που συνδυάζει τα χαρακτηριστικά των παραδοσιακών ιών (που μολύνουν αρχεία και προξενούν ζημιές σε όσο το δυνατόν περισσότερους υπολογιστές για να πετύχουν κακή φήμη για τους δημιουργούς) με τις επιδιώξεις του νέου malware, δηλ. τη δημιουργία οικονομικών απολαβών για τους κυβερνο-εγκληματίες. Τα PandaLabs, τα εργαστήρια ανίχνευσης και ανάλυσης malware της Panda Security, έχουν διαπιστώσει μια αύξηση στον αριθμό μολύνσεων που προκαλούνται από αυτό το malware κατά τη διάρκεια των πρόσφατων ημερών, καθώς επίσης και νέες παραλλαγές που χρησιμοποιούν τις ίδιες τεχνικές. Επομένως συμβουλεύουν τους χρήστες να βρίσκονται σε επαγρύπνηση ενάντια σε μια πιθανή μαζική επίθεση.
Ο ιός Sality.AO χρησιμοποιεί ορισμένες τεχνικές που δεν είχαμε δει για χρόνια, όπως το EPO (http://www.pandasecurity.com/homeusers/security-info/glossary/#EPO) ή το Cavity (http://www.pandasecurity.com/homeusers/security-info/glossary/#cavity). Αυτές οι τεχνικές σχετίζονται με τον τρόπο με τον οποίο το αρχικό αρχείο τροποποιείται για να μολυνθεί, καθιστώντας δυσκολότερη την ανίχνευση αυτών των αλλαγών και την απολύμανση. Το EPO επιτρέπει σε μέρος ενός νόμιμου αρχείου να εκτελεστεί πριν από την έναρξη της μόλυνσης, καθιστώντας δύσκολη την ανίχνευση του malware. Το Cavity συνεπάγεται την παρεμβολή του κώδικα του ιού στα κενά διαστήματα του κώδικα του νόμιμου αρχείου, καθιστώντας δυσκολότερο τον εντοπισμό του καθώς και την απολύμανση των μολυσμένων αρχείων.
Αυτές οι τεχνικές είναι πολύ πιό σύνθετες από εκείνες που μπορούν να επιτευχθούν με αυτόματα εργαλεία δημιουργίας malware, τα οποία είναι αρμόδια για ένα μεγάλο μέρος της αύξησης στον αριθμό των απειλών σε κυκλοφορία πρόσφατα. Απαιτούν πολύ μεγαλύτερες ικανότητες και γνώσεις προγραμματισμού του κακόβουλου κώδικα.
Εκτός από αυτές τις τεχνικές που σχετίζονται με το πρόωρο malware, ο ιός Sality.AO περιλαμβάνει μια σειρά χαρακτηριστικών που συνδέονται με τις νέες τάσεις του malware, όπως η δυνατότητα σύνδεσης με τα κανάλια IRC για να λάβει απομακρυσμένες εντολές, μετατρέποντας ενδεχομένως το μολυσμένο υπολογιστή σε zombie. Τέτοιοι υπολογιστές zombie μπορούν να χρησιμοποιηθούν για την αποστολή spam, τη διανομή malware, την εξαπόλυση επιθέσεων άρνησης υπηρεσιών (DOS), κ.λπ.
Ομοίως, οι μολύνσεις δεν περιορίζονται μόνο στα αρχεία, όπως συνέβαινε με τους παλαιότερους ιούς, αλλά προσβλέπουν επίσης στην εξάπλωσή τους σε ολόκληρο το Διαδίκτυο, σύμφωνα με τις νέες τάσεις. Για αυτόν τον λόγο, χρησιμοποιούν ένα iFrame για να μολύνουν τα αρχεία PHP, ASP και .HTML στον υπολογιστή. Το αποτέλεσμα είναι ότι όταν οποιοδήποτε από αυτά τα αρχεία εκτελεστεί η μηχανή αναζήτησης οδηγείται, χωρίς τη γνώση του χρήστη, σε μια κακόβουλη σελίδα που εξαπολύει μια εκμετάλλευση ενάντια σε έναν υπολογιστή προκειμένου να μεταφορτωθεί περισσότερο malware.
Αλλά δεν είναι μόνο αυτό. Εάν οποιοδήποτε από τα μολυσμένα αρχεία καταχωρηθεί σε μια ιστοσελίδα -και λάβετε υπ’ όψιν σας ότι αυτοί οι τύποι αρχείου φορτώνονται συνήθως στο Web-, όποιος χρήστης μεταφορτώσει τα αρχεία ή επισκεφθεί τις ιστοσελίδες θα μολυνθεί.
Το αρχείο που μεταφορτώνεται μέσω αυτής της τεχνικής είναι αυτό που τα PandaLabs αναφέρουν ως υβρίδιο malware, καθώς συνδυάζει τις λειτουργίες των δούρειων ίππων και των ιών. Ο δούρειος ίππος, έχει επιπλέον χαρακτηριστικά για τη μεταφόρτωση άλλων τύπων malware στον υπολογιστή. Τα URLs που χρησιμοποιήθηκαν από αυτό το downloader δεν ήταν ακόμα ενεργά κατά την διάρκεια της ανάλυσης των PandaLabs, αλλά θα μπορούσαν να γίνουν ενεργά καθώς ο αριθμός των μολυσμένων υπολογιστών αυξάνεται, σύμφωνα με τα εργαστήρια της Panda Security.
http://www.cosmo.gr/Internet/World/232644.html
Ο ιός Sality.AO χρησιμοποιεί ορισμένες τεχνικές που δεν είχαμε δει για χρόνια, όπως το EPO (http://www.pandasecurity.com/homeusers/security-info/glossary/#EPO) ή το Cavity (http://www.pandasecurity.com/homeusers/security-info/glossary/#cavity). Αυτές οι τεχνικές σχετίζονται με τον τρόπο με τον οποίο το αρχικό αρχείο τροποποιείται για να μολυνθεί, καθιστώντας δυσκολότερη την ανίχνευση αυτών των αλλαγών και την απολύμανση. Το EPO επιτρέπει σε μέρος ενός νόμιμου αρχείου να εκτελεστεί πριν από την έναρξη της μόλυνσης, καθιστώντας δύσκολη την ανίχνευση του malware. Το Cavity συνεπάγεται την παρεμβολή του κώδικα του ιού στα κενά διαστήματα του κώδικα του νόμιμου αρχείου, καθιστώντας δυσκολότερο τον εντοπισμό του καθώς και την απολύμανση των μολυσμένων αρχείων.
Αυτές οι τεχνικές είναι πολύ πιό σύνθετες από εκείνες που μπορούν να επιτευχθούν με αυτόματα εργαλεία δημιουργίας malware, τα οποία είναι αρμόδια για ένα μεγάλο μέρος της αύξησης στον αριθμό των απειλών σε κυκλοφορία πρόσφατα. Απαιτούν πολύ μεγαλύτερες ικανότητες και γνώσεις προγραμματισμού του κακόβουλου κώδικα.
Εκτός από αυτές τις τεχνικές που σχετίζονται με το πρόωρο malware, ο ιός Sality.AO περιλαμβάνει μια σειρά χαρακτηριστικών που συνδέονται με τις νέες τάσεις του malware, όπως η δυνατότητα σύνδεσης με τα κανάλια IRC για να λάβει απομακρυσμένες εντολές, μετατρέποντας ενδεχομένως το μολυσμένο υπολογιστή σε zombie. Τέτοιοι υπολογιστές zombie μπορούν να χρησιμοποιηθούν για την αποστολή spam, τη διανομή malware, την εξαπόλυση επιθέσεων άρνησης υπηρεσιών (DOS), κ.λπ.
Ομοίως, οι μολύνσεις δεν περιορίζονται μόνο στα αρχεία, όπως συνέβαινε με τους παλαιότερους ιούς, αλλά προσβλέπουν επίσης στην εξάπλωσή τους σε ολόκληρο το Διαδίκτυο, σύμφωνα με τις νέες τάσεις. Για αυτόν τον λόγο, χρησιμοποιούν ένα iFrame για να μολύνουν τα αρχεία PHP, ASP και .HTML στον υπολογιστή. Το αποτέλεσμα είναι ότι όταν οποιοδήποτε από αυτά τα αρχεία εκτελεστεί η μηχανή αναζήτησης οδηγείται, χωρίς τη γνώση του χρήστη, σε μια κακόβουλη σελίδα που εξαπολύει μια εκμετάλλευση ενάντια σε έναν υπολογιστή προκειμένου να μεταφορτωθεί περισσότερο malware.
Αλλά δεν είναι μόνο αυτό. Εάν οποιοδήποτε από τα μολυσμένα αρχεία καταχωρηθεί σε μια ιστοσελίδα -και λάβετε υπ’ όψιν σας ότι αυτοί οι τύποι αρχείου φορτώνονται συνήθως στο Web-, όποιος χρήστης μεταφορτώσει τα αρχεία ή επισκεφθεί τις ιστοσελίδες θα μολυνθεί.
Το αρχείο που μεταφορτώνεται μέσω αυτής της τεχνικής είναι αυτό που τα PandaLabs αναφέρουν ως υβρίδιο malware, καθώς συνδυάζει τις λειτουργίες των δούρειων ίππων και των ιών. Ο δούρειος ίππος, έχει επιπλέον χαρακτηριστικά για τη μεταφόρτωση άλλων τύπων malware στον υπολογιστή. Τα URLs που χρησιμοποιήθηκαν από αυτό το downloader δεν ήταν ακόμα ενεργά κατά την διάρκεια της ανάλυσης των PandaLabs, αλλά θα μπορούσαν να γίνουν ενεργά καθώς ο αριθμός των μολυσμένων υπολογιστών αυξάνεται, σύμφωνα με τα εργαστήρια της Panda Security.
http://www.cosmo.gr/Internet/World/232644.html
