Miért kerülik a merevlemezeket a vírusok?

A kártékony programok egyre gyakrabban kerülik a merevlemezeket. A védekezés szempontjából ennek pozitív és negatív hozadékai is vannak, de a támadások felderítését egyértelműen hátráltatja.
 

A legtöbb kártékony programról elmondható, hogy amikor valamilyen módon eljutnak egy számítógépre, akkor azokon lementik a saját fájljaikat a merevlemezre, majd gondoskodnak arról, hogy a rendszer újraindítását követően is be tudjanak töltődni, és folytatni tudják a nemkívánatos tevékenységeiket. Ez a módszer a támadók szempontjából akkor hatékony, ha egy-egy számítógépen hosszabb ideig akarják biztosítani a jelenlétüket. Ugyanakkor az állandó jelenlétnek hátulütői is vannak számukra, hiszen a vírusfelismerés valószínűsége, valamint a lebukás veszélye napról napra nő. Ezért egyre gyakrabban jelennek meg olyan károkozók, amelyeknek nem célja az, hogy folyamatosan rajta legyenek a fertőzött számítógépeken, vagyis mihelyt elvégzik a feladatukat, azonnal törlik a nyomaikat. Ez a vírusirtást ugyan megkönnyíti, hiszen a számítógép újraindításával a kártékony program megszűnik létezni. Sajnos azonban a helyzet nem ilyen egyszerű, ugyanis a víruskeresőknek sokkal gyorsabban kell reagálniuk az újonnan megjelenő kártevőkre, és a támadások, incidensek utólagos vizsgálata is sokkal nehezebbé válik.
 
Élet az újraindításig
 
Egy francia víruskutató, aki leginkább Kafeine néven ismert, egy érdekes felfedezést tett azon Angler károkozó kapcsán, amely számos módon képes segíteni a támadókat abban, hogy különféle trójai programokkal fertőzzék meg a számítógépeket. Az exploit kit - ahogy a társai is - alapesetben úgy működik, hogy amikor a felhasználó meglátogat egy fertőzött weboldalt, akkor az Angler megpróbál különféle (böngésző, Flash, Java stb.) sebezhetőségeket kihasználni annak érdekében, hogy a PC-re lementsen trójai és egyéb ártalmas programokat. Ekkor ezek rákerülnek a merevlemezre, sok esetben az átmeneti fájlok tárolására szolgáló (Temp) könyvtárba.
 
A legújabb Angler azonban nem olyan kegyes, hogy lementegesse a nemkívánatos fájlokat, mivel kifejezetten a memóriaalapú fertőzésekre koncentrál. Ahelyett, hogy felmásolná a rendszerekre a károkozókat, inkább a háttérben elindít különféle folyamatokat, amelyeket megfertőz, és azok mögül végzi a tevékenységét. A jelenlegi variánsa egy Internet Explorer (iexplore.exe) folyamatot használ fel a rejtőzködéshez. Mivel ez egy háttérben futó folyamat, ezért a vírus nem fog leállni a böngésző bezárásával. Kizárólag úgy lehet hatástalanítani, ha a Feladatkezelő segítségével a fertőzött folyamat leállításra kerül, vagy a számítógépet újraindítja a felhasználó.
 
"Azt vettem észre, hogy az exploit hash kódja nem változott meg, de amikor lefuttattam, akkor egyik biztonsági eszköz sem detektálta a payloadot, még a saját hosztalapú behatolásmegelőző rendszerem sem. Ekkor jöttem rá, hogy az Angler képes folyamatokat fertőzni, esetemben éppen egy webböngészőhöz tartozó folyamatot manipulált" - nyilatkozta Kafeine. A szakember hozzátette, hogy ebben az esetben a payload (XOR-alapú) dekódolása rögtön megtörténik, miközben kártékony kódok soha nem kerülnek a merevlemezre.
 
Sok problémát okozott már az Angler

Az exploit kit az elmúlt időszakban többször hallatott magáról. Legutóbb akkor, amikor reklámalapú (malvertising) károkozásokban kapott szerepet, és közvetve olyan weboldalakon keresztül kerülhetett fel a számítógépekre, mint például a Java.com, a TMZ.com, a DeviantArt.com vagy a Photobucket.com.