До сих пор Web-черви не могли легко
распространяться между различными
серверами и их легко было обнаружить.
Однако два исследователя написали proof-of-concept-версию более опасного и стойкого червя
нового поколения, который может
существовать и в клиентских броузерах, и на
веб-серверах - и избегать сигнатурного
анализа.

Так называемый "гибридный Web-червь "
(hybrid Web worm) обладает большей стойкостью,
чем предыдущее поколение червей - таких как,
например, известный червь Samy, прошедшейся
по MySpace
- они были ограничены лишь одним
доменом и использовали одну уязвимость для
распространения.

"Старые черви были подобны эпидемии
оспы на маленьком острове", - говорит
Билли Хоффман, ведущий исследователь SPI
Dynamics' Labs и соавтор POC червя "Samy не мог
покинуть MySpace."

На конференции BlackHat, которая пройдет в
следующем месяце, Хоффман и его приятель
Джон Террилл продемонстрируют прототип
червя нового поколения
в ходе доклада "The
Little Hybrid Web Worm that Could". Их творение будет
мутировать для уклонения от сигнатурных
антивирусов и даже использовать для
поражения других броузеров и серверов
информацию об уязвимостях с таких сайтов,
как, например, Secunia. Червь будет получать
информацию о новых уязвимостях и
использовать их для дальнейшего
продвижения в Сети. "Получение данных с
Secunia хорошо автоматизируемо, так что червь
сможет получать баги, пока они еще свежие."
В таком случае и поиск в черве определенных
сигнатур может не сработать, единственный
способ его остановить - изучить его
поведение и понять соответствующие
характеристики. Даже если он будет
мутировать, то все равно останется червем,
говорят его авторы.

Пока Хоффман и Террилл создали только
клиентскую часть червя и не хотят
публиковать пример, так как опасаются его
попадания в неправильные  руки. "Мы не
хотим создавать нечто действительно
вредоносное", - комментируют они свое
дело. "Это proof-of-concept для клиента, но он также будет работать и на сервере."

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии