Trojský kůň Win32/Nemim.gen.A je zářným příkladem toho, že tvůrci malwaru při vývoji škodlivých virů využívají stále sofistikovanějších metod. Poté, co stažené komponenty poslouží svému účely, totiž dojde k jejich nenávratnému odstranění, takže je nelze izolovat a provést jejich následnou analýzu.
„Při analýze viru jsme nebyli schopni dohledat žádné stažené soubory. Nepomohlo ani použití nástrojů pro obnovu smazaných souborů,“ napsal ve svém blogovém příspěvku Jonathan San Jose z Centra ochrany proti malwaru, které provozuje Microsoft. Výzkumníci tak narazili na některé soubory s podezřelými názvy, už ale nedokázali identifikovat jejich obsah.
Microsoftu se alespoň podařilo zachytit nějaké komponenty při jejich přenosu ze vzdáleného serveru. Zjistili tak, že vir má dvojí účel. Jednak se snaží o infikování spustitelných souborů na externím úložišti a současně usiluje o získání přístupových dat k emailovým účtům a službám Windows Messenger/Live Messenger, Gmail Notifier, Google Desktop či Google Talk.
Pro viry tohoto typu je typické, že jeho jediným účelem je doručení malwaru na uživatelský počítač. V tomto případě je však trojský kůň dále používán.
„V zásadě lze říci, že malware, který se snaží skrýt stopy svého působení před komunitou bezpečnostních výzkumníků, se stal již jakousi normou,“ říká analytik Paul Henry ze společnosti Lumension.
Některý malware je dokonce už natolik sofistikovaný, že sám rozpozná, když se nachází ve virtualizované pracovní stanici používané pro analýzu škodlivých kódů. V takovém případě se automaticky uvede do stavu nečinnosti, takže jej nelze jednoduše objevit.
Jiný malware zase vkládá svůj škodlivý kód přímo do systémové paměti, takže nikdy nezanechá stopy v registrech ani na pevném disku. „Běžně používaná bezpečnostní řešení jsou proti tomu naprosto neúčinná,“ dodal Henry.
PŘEDPLATNÉ
ČLÁNKY DO MAILU