Okuževalci datotek se vračajo od mrtvih

Trend Micro zaznava ponovno oživljanje vrste škodljivih programov, ki okužijo druge datoteke na trdem disku. Pred leti so virusi bili močno prevladujoča vrsta škodljive kode in praktično vsi so okužili napaden sistem tako, da so se “prilepili” k neki obstoječi datoteki na trdem disku, največkrat h programski datoteki (.EXE). Ko se je pojavilo mnogo drugih vrst škodljivih programov, je delež takih, ki okužijo datoteke, močno upadel in sčasoma praktično izginil. Trojanci, črvi in druga golazen se običajno širijo in skrivajo v samostojnih datotekah. Ampak lani so v Trend Micru zaznali ponoven porast te vrste napadov in do konca leta 2006 je deleže incidentov s tako vrsto okužb porastel kar na 25%, kar odkrivanje teh škodljivosti spet postavlja v prvi bojni plan. Poglejmo nekaj značilnosti nove generacije “okuževalcev datotek”.

Za primer bomo vzeli družino škodljivih programov pod oznako “PE_FUJACKS”, ki sicer napada uporabnike pecejev na kitajskem in zato na drugih različicah Windows običajno sploh ne deluje. A nič ne de, tudi druga koda te vrste deluje po istem principu, prav možno pa je da se bo kmalu pojavila tudi zahodnjaška varianta “PE_FUJACKS”.

“PE_FUJACKS” je sestavljen iz več komponent, širi se na več načinov, okuži različne tipe datotek, je predvsem spletno orientiran in namenjen pridobivanju dobička. Kot tak torej samo še bolj zamegljuje meje med posameznimi zvrstmi škodljive kode. Ko prispe na računalnik poišče in se prilepi na ustrezne programske datoteke tipa .EXE, .SCR, .PIF, ter .COM, hkrati jih posebej označi s čimer prepreči ponovno okužbo. Ker so datoteke te vrste tiste, ki jih administrator najprej podrobno preveri, ko sumi, da je s sistemom nekaj narobe, ima ta škodljivec še rezervni načrt – vrine se tudi v spletne datoteke .ASP, .ASPX, .HTM, .HTML., .JSP, ter .PHP in sicer tako, da svojo kodo zapiše v element IFrame. To mu poveča možnosti prikritja in mu hkrati ponudi dodatne poti za okužbo drugih računalnikov v primeru da je napadeni sistem spletni strežnik. Še ena pot, po kateri so širi, je deljeni diskovni prostor v lokalnem omrežju – nanj se vrine kot datoteka s privlačnim imenom “GameSetup.exe”. Pa to še ni vse, širi se tudi po sporočilnih sistemih (instant messaging), katere zlorablja za pošiljanje sporočil s povezavo, ki, če prejemnik sporočila klikne nanjo, samodejno sname in namesti novo kopijo “PE_FUJACKS” na prejemnikov računalnik brez njegove intervencije. Ko je enkrat zasidran na sistemu lahko opravlja različne naloge. V “aktivnem načinu delovanja” se poveže na neko spletno stran, s katere sname tekstovno zbirko, v kateri so naslovi drugih spletnih strani ali programske kode, ki jo naj sname s spleta. Vsebina te datoteke se lahko spreminja, zato lahko avtor programa to ponuja avtorjem raznih škodljivih in predvsem nadležnih addware ter spyware programčkov kot storitev za širjenje njihove golazni. Seveda je zmožen namestiti tudi trojance in drugo škodljivo programsko opremo, ki predvsem prinaša dobiček svojim avtorjem ter avtorju “PE_FUJACKS” oz. specifičnega napada izpeljanega z njim. Ena izmed povezav, ki je vedno v sneti tekstovni datoteki, kaže na server z najsodobnejšo različico “PE_FUJACKS”, tako da smo lahko prepričani, da se program redno izboljšuje in išče nove poti, kako se izogniti protivirusnim in drugim varnostnim aplikacijam.