Sality.AO er et forholdsvis nytt virus som har blitt spredt i økende grad de siste dagene.
Ifølge PandaLabs, laboratoriet til Panda Security, kombinerer Sality.AO tradisjonelle virusegenskaper, som infisering av filer på flest mulig maskiner for å spre frykt og å gjøre skaperne beryktet, med målene for ny skadevare, det vil si å skaffe inntekter til de kriminelle som står bak.
PandaLabs skriver i en pressemelding at det har registrert et økende antall infeksjoner de siste dagene, som skyldes denne skadevaren. Samtidig registreres det nye varianter som bruker de samme teknikkene. Selskapet mener derfor at et massivt angrep kan være forestående.
Dette stemmer godt overens med det Thomas Næss, sjef for Trend Micro i Norge, fortalte digi.no i et intervju i desember. Der sa han at det er overveiende sannsynlig at gamle virus, gjerne kaldt retro-virus, vil dukke opp igjen.
Sality.AO benytter ifølge PandaLabs enkelte teknikker som ikke har blitt sett på mange år. Dette inkluderer Entry Point Obscuring (EPO) og Cavity, som begge er knyttet til måten den opprinnelige filen er blitt endret på, for å kunne infisere den. Disse metodene er laget for å gjøre det vanskeligere å oppdage endringene og å desinfisere filene.
Begge teknikkene er ifølge PandaLabs langt mer komplekse en det som kan oppnås med verktøy for automatisk generering av skadevare. De krever langt kunnskap om ondsinnet programmering.
Av de mer moderne teknikkene Sality.AO benytter, er å bruke IRC-kanaler for å motta kommandoer. Dette åpner for å gjøre de infiserte PC-ene til zombier i et såkalt botnet. Slike botnet kan bestå av mange tusen infiserte PC-er som kontrolleres av ondsinnede via Internett. Zombiene brukes typisk til å sende ut søppelpost, til å utføre tjenestenektangrep eller å skape nye zombier ved å spre mer skadevare.
Infeksjonene skal heller ikke være begrenset til selve filene, noe som gjerne var tilfellet for de gamle virusene. Det er også mulig for Sality.AO å spre seg via Internett, ved å ta i bruk innskutte iframe-elementer i skript eller HTML-filene til nettsteder som ofrene normalt ikke har noen grunn til å ha mistro til.
Fra den kanskje skjulte iframe-en kan ondsinnet programvare utnytte potensielle sårbarheter på ofrenes PC, uten at offeret merker noe til det.
- Vi spår i vår årlige rapport at distribusjon av klassisk, ondsinnet kode slik som virus vil være en viktig trend i 2009, sier Luis Correns, teknisk direktør for PandaLabs, i en pressemelding.
Det er ikke gitt at alle antivirus-leverandører er på tå hev overfor disse gamle teknikkene. Det kan også være at enkelte ikke lenger har den nødvendige kompetansen innen disse teknikkene, som var langt vanligere for ti år siden.
PandaLabs har skrevet mer om Sality.AO og dets teknikker på denne siden.
Les også:
- [11.12.2008] Frykter retro-virus
