Havěť která žila dva roky bez detekce?

Havěť která žila dva roky bez detekce?

Některé antivirové společnosti se předhánějí v tom, která vytvoří větší množství aktualizačních balíčků během dne. Přesto lze občas narazit na škodlivý kód, který se šířil třeba i několik let bez povšimnutí, tedy bez zajištění adekvátní detekce...

Speciálním případem byla havěť s názvem Win32/Induc z roku 2009, která se šířila velice úspěšně a bez povšimnutí antivirových programů téměř rok. Právě absence typického mechanismu šíření mohla být jedním z důvodů, proč si tohoto zmetka nikdo nevšiml a on se zatím mohl velice úspěšně rozšířit i do počítačů IT profesionálů. Virus Induc se totiž šířil pouze na počítačích vývojářů, kteří vytvářeli vlastní aplikace v prostředí Delphi. Právě proces vzniku aplikace si tato havěť podchytila a přidala i svůj kód. Na oficiálních stránkách producentů známých aplikací jako Burn4Free (vypalovací SW) nebo QIP (IM komunikátor) se tak nějakou dobu nabízely ke stažení zavirované verze těchto aplikací. Po téměř roce, kdy antiviry začaly zpětně označovat celou dobu čisté soubory Burn4Free, QIP apod. za infikované, to byl o to větší problém.

Z jiného soudku je havěť s názvy Flame (relativně horká novinka), Duqu a Stuxnet. Tato havěť je pro běžného uživatele vzdálenější, daleko zajímavější je však pro novináře a odbornou veřejnost. Jde totiž o havěť s cíleným útokem a je téměř jisté, že je psána na zakázku nějakým státem (USA?, Izrael?). Například cílem útoku Stuxnetu byla továrna Natanz pro obohacování uranu v Iránu a havěti se patrně podařilo zkomplikovat (zasahovala do chování cintrifug) vývoj jaderných zbraní.

Tato speciální havěť, která nevykrádá data běžných uživatelů, je tak pro antiviry velkým problémem. Posuďte sami:

Stuxnet: více než rok bez detekce a to včetně "zero-day" exploitu (tj. dokázal se do počítače nabourat bez vědomí uživatele a to díky bezpečnostní chybě ve Windows - tato chyba existovala bez opravy více než rok, nikdo o ní nevěděl!)
Duqu: více než rok bez detekce
Flame: společnost F-Secure informuje o tom, že tuto havěť našla již v archivu roku 2010! Tehdy ji ale sebral automatizovaný systém pro sběr podezřelých souborů, nicméně neusoudil, že by byl vhodný pro prozkoumání zaměstnancem virové laboratoře.

Zdroj: www.viry.cz