Model Malware 2.0 charakteryzuje się następującymi cechami:

• brakiem jednego centrum kontroli sieci zainfekowanych komputerów
• aktywnym wykorzystywaniem metod mających na celu uniemożliwienie analizy szkodliwego kodu oraz prób przejęcia kontroli nad botnetem
• krótkotrwałymi masowymi wysyłkami szkodliwego kodu
• skutecznym wykorzystywaniem socjotechniki
• wykorzystywaniem szeregu różnych metod w celu rozprzestrzeniania szkodliwych programów i stopniowym odchodzeniem od wykorzystywania metod przyciągających uwagę (np. e-mail)
• wykorzystywaniem wielu modułów (zamiast jednego) w celu dostarczania różnych szkodliwych funkcji

Ewolucja MalWare 2.0 przysparza branży antywirusowej wielu kłopotów. Największy problem, według nas, polega na tym, że tradycyjne rozwiązania antywirusowe, oparte wyłącznie na wykorzystywaniu sygnaturowej lub heurystycznej analizy plików, nie potrafią skutecznie zwalczać ataków wirusów (nie mówiąc już o leczeniu zainfekowanych systemów).

Spośród incydentów mających miejsce w 2008 roku reprezentujących zagrożenie, jakie stanowi MalWare 2.0, należy wspomnieć historię rootkita Rustock. (Szczegółowe informacje o tym rootkicie można znaleźć tutaj. W rootkicie tym zaimplementowano wiele nowych technologii, metod i podejść, które mogą mieć istotny wpływ na przyszłą ewolucję MalWare 2.0.

Najnowszy z takich incydentów, opisany w tym raporcie, jasno obrazuje współczesną sztukę wojny, jaka toczy się między twórcami wirusów a firmami antywirusowymi, i pokazuje wagę nowych technologii ochrony.

Interesujący incydent ponownego uruchamiania się komputerów

W połowie sierpnia na forach internetowych użytkownicy zaczęli się skarżyć, że po odwiedzeniu przez nich pewnych stron internetowych ich komputery zaczęły ponownie się uruchamiać. Co spowodowało takie zachowanie komputerów - nie wiadomo. Jedyne możliwe wyjaśnienie sugerowało, że przyczyna restartu komputerów znajduje się na odwiedzonych stronach.

Wstępne oględziny podejrzanych stron niczego nie ujawniły - strony okazały się nieszkodliwe. W większości przypadków, szkodliwi użytkownicy, którzy chcą zainfekować maszyny, włamują się na legalne strony i umieszczają odsyłacze do swoich zasobów, które zawierają exploity na tych stronach. Technika ta nosi nazwę 'drive-by download'. Gdy użytkownik odwiedzi zainfekowaną stronę, na jego maszynie zostanie zainstalowany szkodliwy kod, bez jego wiedzy czy zgody. Jednak na stronie niczego nie wykryto - żadnych podejrzanych ramek iframe czy skryptów.

Problem można było przypisać automatycznemu restartowi systemu Windows po zainstalowaniu aktualizacji; było to dość prawdopodobne, zwłaszcza że incydent ten zbiegł się w czasie z opublikowaniem przez firmę Microsoft najnowszej łaty. Sytuacja okazała się jednak o wiele poważniejsza.

Podczas przeprowadzania dochodzenia wykorzystaliśmy wiele maszyn wirtualnych, za pośrednictwem których odwiedzaliśmy podejrzane strony. Nie ograniczaliśmy się do odwiedzenia tych stron - aktywnie przechodziliśmy z jednej części strony do innej i klikaliśmy odsyłacze. Po pewnym czasie komputer testowy uruchomił się ponownie.

Analiza systemu wykazała zmiany w sektorze rozruchowym. Takie zmiany mogły wskazywać na obecność bootkita w systemie. O bootkitach i problemach, jakie mogą spowodować takie technologie, wspominaliśmy w naszym raporcie obejmującym pierwszy kwartał 2008 roku. Jednak od marca 2008 roku nie wykryto żadnych nowych wariantów bootkita. Czy to możliwe, że bootkit powrócił?

Podmienione odsyłacze

Gdy już ustaliliśmy, które strony i które odsyłacze powodowały restart komputerów użytkowników, mogliśmy przeprowadzić bardziej szczegółową analizę.

Jak się okazało, szkodliwi użytkownicy zastosowali stosunkowo oryginalne (aczkolwiek nie nowe) podejście do wstrzykiwania odsyłaczy. Do stron, na które włamali się, nie dodali własnej ramki iframe czy też skryptów, ponieważ tego typu modyfikacje są bardzo łatwe do wykrycia. Zamiast tego w miejsce "legalnych" odsyłaczy wstawiali "szkodliwe".

Legalny odsyłacz wyglądał tak: <a href="http://atm.n****.com"><B>atm.n****.com</B></a>

Po włamaniu się na stronę odsyłacz ten wyglądał tak: <a href="http://***.com/cgi-bin/index.cgi?dx"><B> atm.n****.com</B></a>

Aby komputer został zainfekowany, użytkownik musiał nie tylko otworzyć stronę na zhakowanej witrynie, ale również kliknąć podmieniony odsyłacz. W ten sposób liczba potencjalnych ofiar zmniejsza się, ale nieznacznie, szczególnie jeśli odsyłacze są podmieniane ręcznie i starannie wybierane przez szkodliwych użytkowników.

Informacje o witrynach, takich jak ***.com/cgi-bin/index.cgi?dx, zaczęły pojawiać się w Internecie mniej więcej na początku czerwca 2008 roku. Były to głównie skargi właścicieli witryny oraz użytkowników legalnych witryn dotyczące dziwnych odsyłaczy, które pojawiły się w zaufanych zasobach. Stało się jasne, że w Internecie znajdowało się wiele takich "centrów infekcji"; jednak mimo wielu różnych nazw domen wszystkie z nich utrzymywane były na wspólnych serwerach.

Poniższy diagram pokazuje niewielką liczbę stron, które wykryliśmy:

Lokalizacja serwerów, które zainfekowały użytkowników bootkitem (zaczynając od lewej: nazwa domeny, adres IP serwera, podsieć, w której jest zlokalizowany serwer, autonomiczny system).