До сих пор Web-черви не могли легко
распространяться между различными
серверами и их легко было обнаружить.
Однако два исследователя написали proof-of-concept-версию более опасного и стойкого червя
нового поколения, который может
существовать и в клиентских броузерах, и на
веб-серверах - и избегать сигнатурного
анализа.
Так называемый "гибридный Web-червь "
(hybrid Web worm) обладает большей стойкостью,
чем предыдущее поколение червей - таких как,
например, известный червь Samy, прошедшейся
по MySpace - они были ограничены лишь одним
доменом и использовали одну уязвимость для
распространения.
"Старые черви были подобны эпидемии
оспы на маленьком острове", - говорит
Билли Хоффман, ведущий исследователь SPI
Dynamics' Labs и соавтор POC червя "Samy не мог
покинуть MySpace."
На конференции BlackHat, которая пройдет в
следующем месяце, Хоффман и его приятель
Джон Террилл продемонстрируют прототип
червя нового поколения в ходе доклада "The
Little Hybrid Web Worm that Could". Их творение будет
мутировать для уклонения от сигнатурных
антивирусов и даже использовать для
поражения других броузеров и серверов
информацию об уязвимостях с таких сайтов,
как, например, Secunia. Червь будет получать
информацию о новых уязвимостях и
использовать их для дальнейшего
продвижения в Сети. "Получение данных с
Secunia хорошо автоматизируемо, так что червь
сможет получать баги, пока они еще свежие."
В таком случае и поиск в черве определенных
сигнатур может не сработать, единственный
способ его остановить - изучить его
поведение и понять соответствующие
характеристики. Даже если он будет
мутировать, то все равно останется червем,
говорят его авторы.
Пока Хоффман и Террилл создали только
клиентскую часть червя и не хотят
публиковать пример, так как опасаются его
попадания в неправильные руки. "Мы не
хотим создавать нечто действительно
вредоносное", - комментируют они свое
дело. "Это proof-of-concept для клиента, но он также будет работать и на сервере."