Der tegner sig en ny trend. For at opnå succes i spredning af ondsindet kode skrives der nu flere varianter af samme orm. Det skal medvirke til at gøre spredningen hurtigere og dermed mere effektiv.
En spredning startes ofte via masseforsendelse til vilkårlig e-mail adresser, via flere indlæg til Usenet (nyhedsgrupper), eller igangsættes automatisk fra "zombier" der kan kontrolleres via f.eks. IRC (Internet Relay Chat).
For en succesfuld e-mail baseret orm er det vitalt, at den opnår effektiv spredning indenfor de første 3-4 timer af dens levetid "in-the-wild". Det er ofte det, som afgør hvor meget den kan sprede sig - naturligvis kombineret med en række andre faktorer.
Et større og større antal virusprogrammører frigiver samme kode med små modifikationer for på den måde, at gøre arbejdet vanskeligere for antivirus producenterne, men også opnå større chance for spredning.
Denne trend har været tydelig i de seneste måneder, men blev understreget, da hele fem varianter af MiMail, på stort set samme tid, blev frigivet. Formålet med en sådan handling, er naturligvis, at sætte antivirusproducenterne på prøve og på samme tid opnå større chance for effektiv spredning af ondsindede kode. En kode som ofte er let modificeret rekompileret og derefter pakket med exe-pakkere som ASPack, PEPack og UPX.
Det er almindeligt med trends i virus-skrivning. Først blev det populært at skrive orme med bagdørs-funktioner, som udover at inficere en maskine også kompromitterede den. Dernæst blev det populært at slette og deaktivere software-baserede sikkerhedsprodukter og anvende IRC til at overtage kontrollen med inficerede maskiner.
I dag er mange af disse trends smeltet sammen og anvendes på kryds og tværs. Men nu dannes der tilsyneladende en ny trend, hvor der frigives mange varianter af samme kode på kort tid.
Målet er, at sikre spredning og forvirre antivirus producenterne både i navngivning af de mange varianter, men også i analyse og skrivning af definitionsfiler, som kan anvendes til at fange den pågældende trussel.
Inden man har vurderet hvilken af de løsslupne orme der er mest vidt spredt kan skaden ofte være sket. Denne nye trend er blevet misbrugt af bl.a. Yaha, MyLife, Gaobot og MiMail.
Blaster, CodeRed, Nimda, eller Loveletter, som simpelthen modificeres af "kopister" tæller ikke med her. Det er først i den senere tid, at denne teknik er taget i anvendelse.
En anden årsag til at igangsætte spredning med flere varianter kan måske være at forvirre og gøre det mere besværligt for de mennesker, som efterfølgende skal analysere spredningsmønstre for at finde frem til personen bag ormen.
Et mål, som i øvrigt sjældent nås - medmindre, at tekst indlagt af forfatteren i ormekoden kan lede i retning af ophavsmanden.
Men frygten for flere varianter af samme orm var også til stede under den seneste Sobig plage. En begrundet frygt, hvor ingen med sikkerhed kunne garantere, at der ikke var flere varianter af samme orm i omløb.
En problemstilling der er væsentligt forværret af det faktum, at det er vanskeligt at bryde kryptering der anvendes i avanceret kode af denne type.
Sobig-F var programmeret til at kontakte et antal kompromitterede servere med det mål, at nedhente yderligere komponenter til den inficerede maskine. Det kunne være en åben proxy server eller en bagdør i lighed med sdbot.
Sobig blevet bremset fordi det lykkedes at knække krypteringen i koden, som indeholdt IP-adresserne på den kompromitterede server. Men hvis den havde været frigivet i flere udgaver, kunne andre varianter havde peget på andre IP-adresser end dem som blev lukket. Et yderst realistisk, men også skræmmende scenario som heldigvis aldrig gik i opfyldelse.
I den nærmeste fremtid vil trenden med at fremgive flere varianter af samme kode fortsætte. Vi ser desuden en forøget vækst i ondsindet kode der ankommer i populære pakkeformater som f.eks. zip og rar. Dette vil også være en tendens der vil fortsætte og som for øvrigt også blev påpeget i klummen "Virus i zipfiler", der blev bragt på ComON i Oktober sidste år.
Det er næppe nødvendigt, at gentage de mange råd, som kan medvirke til at holde sin pc fri for virus, men et par tommelfinger regler skader vel aldrig!
- Udvis skepsis og sund fornuft når du modtager vedhæftede filer i e-mail. Kig kritisk på indholdet. Ser e-mailen ud til at komme fra en som du kender og er indholdet pludseligt et andet sprog? Hvorfor modtager jeg overhovedet denne mail og er det ifølge aftale?
- Sørg for at holde dit system opdateret. Hvis du anvender Microsoft Windows bør du mindst en gang om ugen besøge Microsofts Windows Update, som normalt kan frembringes via Start menuen.
- Installerer antivirus software, som automatisk holder sig opdateret. Stil dig kritisk i forhold til kvaliteten af antivirus software. Der er forskel på kvalitet og pris.
- Installerer en personlig firewall og sæt dig ind i produktet. Læs manualen inden du begynder at anvende produktet. Manualen vil give dig en meget grundlæggende forståelse for advarsler som fremkommer.
Peter Kruse
Kruse Security
