A Trend Micro szerint a "vírusháború" hatásai még mindig érezhetők

Augusztus 1. és 20. között a Trend Micro mintegy 3300 új rosszindulatú kódot (számítógépférget, vírust, trójait és más rosszindulatú programot) azonosított, amelyek nagy része a trójai, a hátsó ajtó és a féreg kategóriák valamelyikébe sorolható.

A hónap tíz legjelentősebb fenyegetése:
1. WORM_NETSKY.B
2. PE_ZAFI.B
3. WORM_NETSKY.P
4. HTML_NETSKY.P
5. WORM_NETSKY.D
6. WORM_NETSKY.B
7. WORM_NETSKY.Z
8. WORM_MYDOOM.M
9. JAVA_BYTEVER.A
10. TROJAN_AGENT.AE

A WORM_BAGLE, WORM_MYDOOM és WORM_NETSKY szerzői közötti "vírusháború" hatása még mindig érezhető, a tíz legjelentősebb fenyegetésből hat e kódok valamelyikéhez kapcsolódik. Ebben a hónapban a TrendLabs két globális közepes riasztást adott ki: a WORM_BAGLE.AC, illetve a WORM_RATOS.A férgekhez kapcsolódóan. Ezek a férgek semmilyen új technikát nem vezettek be. Közelebbről vizsgálva az e hónapban újonnan azonosított rosszindulatú kódok típusait láthatjuk, hogy a kódok körülbelül 53%-a hátsó ajtó vagy trójai program, 21%-a pedig féreg.

A rosszindulatú kódok íróinak célja már nem a lehető legtöbb számítógép megrongálása, hanem az, hogy a gépekhez hozzáférést szerezve adatokhoz jussanak. Egy lehetséges végcél a jelszavak és hitelkártya-számok értékesítése. Egy másik motiváció lehet olyan rejtett "sötét" hálózatok kiépítése, amelyeket a jövőben nagyléptékű támadásokhoz használhatnak fel.

Júliusban számos rosszindulatú kód jelent meg mobil eszközökre, és ebben a hónapban is észleltek ilyen kódokat. Ennek ellenére a hónap során elemzett legjelentősebb kódok valószínűleg a 64 bites operációs rendszerek megtámadására készült programok. A W64_RUGRAT.A jelent meg elsőként az ilyen kódok közül. Ez a vírus az IA64 (Intel Itanium) processzorokon futó 64 bites fájlokat és az AMD 64 bites rendszerein működő PE fájlokat fertőzi. A másodikként azonosított W64_SHRUGGLE.A a 64 bites Windows Portable Executable (PE) fájlokat fertőzi. Úgy tűnik, hogy ezeket a vírusokat ugyanaz a - magát "roy g biv"-nek nevező - szerző készítette. Mindkét 64 bites vírust "koncepció" vírusnak tekintikk, amelyek azért készültek, hogy bizonyítsák az ilyen rendszerek vírusok általi fertőzhetőségét. A két vírus viselkedése és fertőzési technikája hasonló. Mindkettő közvetlenül fertőz, és a Thread Local Storage (TLS) mechanizmust használja a kód elindításához.

A futtatás után a vírus célfájlokat keres az aktuális mappában és az almappákban, és megfertőzi az összes megtalált 64 bites fájlt (AMD64 rendszereken). Ezután megvizsgálja a fájlt bizonyos szűrőfeltételek alapján, a saját kódját hozzáfűzi a gazdafájl utolsó szakaszához, amelyet futtathatóként jelöl meg. A felismerés elkerülése érdekében a vírus esetleg némi "szemetet" is hozzáfűzhet a víruskód végéhez. A vírus nem fertőzi meg a 32 bites fájlokat és az olyan 32 bites processzoron futó rendszereket, melyek nem tartalmaznak AMD64 bites programokat támogató szoftvert.