Pravidelný občasník originálního humoru

Náhodný JavaScript pomáhá viru unikat antivirům

Autor chlívek (Bezpečnost) - vydáno 14.1.2008

Koncept viru útočí na základní podstatu antivirových programů, které většinu virů poznávají podle signatur, částí kódu případně jinak vyjádřitelných neměnných hodnot


S pomocí náhodného JavaScript kódu, která je navíc na určité IP adrese použit pouze jednou, se novém viru daří unikat klasickým antivirovým technikám. "Random JS Toolkit" je používán na hacknutých webových serverech a bez vědomí jejich majitelů se snaží infikovat počítače návštěvníků webových stránek. Slouží k šíření trojských koňů, keyloggerů i získávání počítačů do botnet aktivit.

Jak se uvádí například na Yahoo, virus šíří i poměrně známé a důvěryhodné zdroje a stal se i součástí inzertní sítě dodávající desítky milionů inzerátů týdně. Finjan uvádí, že v prosinci 2007 se podařilo kompromitovat více než 10 000 webů, které tento virus nyní šíří.

Kód ve webové stránce je generovaný JavaScript, který je měněn. Pro jednoho návštěvníka navíc není generován opakovaně. Mění se i jména souborů virem používané. Virus tak útočí na základní podstatu antivirových programů. Ty většinu virů poznávají podle signatur, částí kódu, případně jina vyjádřitelných neměnných hodnot. Virus má pochopitelně malou šanci uniknout antivirovým technikám, které dokáží vysledovat podezřelé chování. Takové techniky jsou ale poměrně časově náročné a nejsou zdaleka přítomné ve všech antivirových programech a liší se i schopnostmi.

Přítomnost "generátoru" viru na hacknutém webu navíc znesnadňuje i zjištění původce, stejně tak jako znemožňuje využívání černých listin webů (IP adres), které slouží k šíření virů. V některých případech virus odesílá data na určitý server, ale jak Finjan upozorňuje, tento není mezi žádnými známými stroji, používanými obvyklými autory škodlivého software. Původně byl tento server umístěn v Evropě, později byl přestěhován do Číny.

Finjan zveřejnil další detaily v pravidelné měsíční "Malicious Page of the Month" zprávě. Uvádí tam i příklady některých webů, které virus šířily. Zpráva obsahuje řadu zajímavých informací.

Štítky : Virus, Bezpečnost, Malware, Trojan




Poslední změna : 14.1.2008 19:57, Vytvořen : 14.1.2008 19:47, Vydán : 14.1.2008, 13041x

Komentáře pro ty z Facebooku

Aktuální články autora

Související články