Po kolejnym dniu zmagań z robakiem, zespół Michała Bućko wyciąga nowe wnioski.
Czy dochodzą do Was informacje o kolejnych zarażeniach?
“Dostałem dziś kilkanaście maili od ludzi zakażonych robakiem. Otrzymałem też od kilku osób ich własne analizy worma, aczkolwiek te analizy były wstępnymi analizami – jakkolwiek, chciałbym podziękować za pomoc i chęci. Otrzymałem też kody źródłowe plików wykonywalnych kilku wersji robaka.”
Kto przyczynił się do napisania robaka?
“Podejrzewamy, że najprostsza mutacja robaka została napisana przez innych ludzi niż mutacja bardziej zaawansowana. Wynika to ze stopnia zaawansowania technologii ukrywania się w systemie ofiary. W przypadku najprostszej wersji robaka mamy do czynienia z ludźmi, którzy wykorzystali znaną lukę tylko uczynili to w całkiem sprytny sposób – omijając dostępne AV. Nie potrafią się jednak dobrze ukryć w systemie.
Zaawansowana wersja robaka, choć rzadka (być może napisana dla hobby) mogła być napisana z pewnością przez nielicznych – przez wyższej klasy specjalistę, choćby ze względu na metody ukrywania się w systemach Windows (punkty zaczepienia w IAT, także wbudowane punkty zaczepienia) czy wykorzystanie zaawansowanych metod ataku na systemy teleinformatyczne, o których mówiłem wcześniej. Póki co, zgodnie z moją wiedzą, poczyniono kroki w celu wytropienia sprawców.”
Czy użytkownicy Firefox-a mogą czuć się bezpieczni?
“Przykro mi stwierdzić, ale istnieje duże ryzyko przeniesienia tego typu robaka na przeglądarkę Firefox, chociażby z wykorzystywaniem JS navigator vulnerability. O wynikach naszych badań i PoC budowania łatki poinformujemy największe organizacje zajmujące się pisaniem oprogramowania AV. Więcej informacji nie możemy ujawnić.”
