En av de få fördelarna med att vara gammal är att även om ditt minne börjar blekna, så kan du fortfarande komma ihåg mer historia än unga personer. Det är därför jag alltid får de senaste malware-rapporterna skickade till mig från vänner, kollegor, kunder och andra reportrar, och sedan blir ombedd att bedöma hur allvarligt det senaste "superhotet".

Till exempel drog en vän nyligen min uppmärksamhet till en detaljerad genomgång av det skadliga programmet ZeroAccess/Sirefe. Det är en värsting som förutom att vara ett rootkit och botnätsprogram, skapar det också sin egen dolda partition på hårddisken och använder dolda alternativa dataströmmar för att dölja sig och frodas. Jag är imponerad...skulle man väl kunna säga.

Experter som arbetat med skadlig kod länge upprörs sällan över nya skadliga program. De flesta av hoten är regummerade av program vi har sett dussintals gånger sedan 1990-talet. Skadlig kod som döljer sig för nyfikna ögon och antimalware-program? Tekniker för att dölja sig fanns till och med i det allra första IBM pc-dataviruset, pakistanska Brain, från 1986. Malware som krypterar data och ber om en lösensumma för att ge dekrypteringsnyckeln? Det började med Aids trojan år 1989. Polymorfande, ständigt föränderlig skadlig kod som är svår att upptäcka? Prova Dark Avengers Mutation Engine från mars 1992. Han förvirrade och förargade världens bästa antivirusprogram och säkerhetsexperter, inklusive John McAfee, under flera års tid.

Det krävs verkligen något nytt
för att imponera på oss. Det händer ibland, framför allt med Stuxnet och Flame. Men även dessa program skakar inte om de flesta malware-experter eftersom de är cyberkrigföringsmedel som kräver grupper av personer med ett statligt sponsrat mål i sikte. De läskigaste delarna av dessa två program finner vi inte i traditionell skadlig kod.

Mitt domedags-malware
Nej, det är superbakterier med mer allmänna mål som skrämmer malware-kämpar. Även om de flesta antimalware-experter inte gärna erkänner det, särskillt inte till media, har alla en idé av det mest fruktade supermalware-programmet som de absolut inte vill se spridas ut bland allmänheten. Här är min idé.

Den viktigaste egenskapen är att det inte skulle kräva att slutanvändaren bidrar till spridningen. Tänk SQL Slammer eller Blaster. Så kallade remote buffer overflow-maskar är ganska sällsynta, men när de väl dyker upp och får fotfäste, kan de orsaka en hel del skada. Slammer är den snabbaste och mest effektiva vi sett, den infekterar nästan alla möjliga opatchade SQL-servrar anslutna till internet på knappt tio minuter. När vi väl vaknade upp till rapporterna om Slammer (det släpptes tidigt på morgonen på en söndag), hade den tagit över och styrt offrens servrar i nästan en hel arbetsdag.

Slammer hade några andra intressanta egenskaper. För det första innehöll den inte någon payload. Den tog bara snabbt över sitt offer och började aggressivt leta efter fler mål att utnyttja. I själva verket var det just aggressiviteten som avslöjade den. Eftersom Slammer försökte använda så många nätverksanslutningar kunde en admin snabbt uppmärksamma Slammers närvaro på deras nät.

Sida 1 / 2

Innehållsförteckning