Den russiske virusanalytikeren Alexander Gostev i Kaspersky Lab har publisert en analyse av utviklingen av ondsinnet kode i fjerde kvartal i fjor: Malware Evolution: October – December 2005. Her gjør han blant annet rede for historien bak WMF-angrepene som rystet internettbrukere i romjulen og de første dagene over nyttår.
Les også:
- [21.02.2006] Tilbyr dusør for sårbarheter
- [02.02.2006] Stadig flere angrep mot lynmeldere
- [10.01.2006] Microsoft benekter ny WMF-sårbarhet
- [06.01.2006] Microsoft tetter likevel kritisk WMF-hull
- [04.01.2006] Microsoft utsetter lapping av WMF-hull
- [02.01.2006] Uoffisiell fiks til Windows-sårbarhet
- [28.12.2005] Ny Windows-sårbarhet utnyttes allerede
Gostev forteller at omverdenen ble oppmerksom på WMF-ormene annen juledag, da flere antivirusleverandører fikk tilsendt mystiske WMF-filer. WMF er formatet til mellomlageret i Windows, og kan brukes til å formidle bilder og tekst mellom alle slags applikasjoner.
Analysen avdekket at filene inneholdt eksekverbar kode for å laste ned filer fra kjente spionvare- og adwarenettsteder. Koden ble aktivert når man åpnet WMF-filene, når man brukte Windows-utforsker til å åpne mappen der filene befant seg, eller når man så på filenes egenskaper. Alle 32-biters utgaver av Windows var sårbare.
I løpet av en uke ble det avslørt over ett tusen infiserte WMF-filer som ble spredd både gjennom e-post og gjennom lynmeldernett. Gostev skriver at hadde ikke dette skjedd i tidsrommet rundt jul og nyttår, ville spredningen blitt voldsom, og man ville stått overfor en større katastrofe.
Microsoft prøvde først å drøye en offisiell fiks til 10. januar, men ble presset til å sende den ut en uke tidligere.
Gostev og hans medarbeidere har prøvd å rekonstruere forløpet før 26. desember, da WMF-smitten ble oppdaget.
Han skriver at WMF-sårbarheten ble oppdaget av en ukjent person rundt 1. desember i fjor. Vanligvis oppdages sårbarheter av IT-sikkerhetseksperter, enten hos leverandøren selv, eller hos spesialiserte sikkerhetsselskaper. Gostev mener det er tankevekkende at en så alvorlig sårbarhet ble funnet av en hacker, i den russiske undergrunnen.
Innen midten av desember var de første innbruddskodene for WMF-sårbarheten til salgs for rundt 4000 dollar, fra to eller tre konkurrerende russiske hackergrupper. En av kjøperne var innblandet i forretninger rundt spionvare og adware, og det var denne kjøperen som sørget for den videre spredningen.
Gostev skriver at hackerne selv skjønte ikke hvor alvorlig sårbarheten var, og at de heller ikke forsto fullt ut hvordan den kunne utnyttes.
