Perché i creatori di malware utilizzano tecnologie così intelligenti per scopi così sciocchi?

Naviga le tue risposte
27

Alcuni giorni fa sono stato infettato da un malware, probabilmente qualcosa di nuovo e molto intelligente, dato che è andato avanti senza interruzioni e nessuno strumento di scansione è stato in grado di rilevarlo in seguito (vedere questa domanda ).

Si trattava di un'infezione a due stadi: dapprima un malware ovvio è entrato in Internet Explorer (completamente rattoppato, quindi probabilmente c'è ancora un buco sconosciuto) e ha iniziato a girare e fare cose stupide come nascondere tutti i miei file e il sistema falso lampeggiante popup di avvertenza che mi chiedono di riavviare a causa di un "malfunzionamento del controller del disco"; questo era probabilmente un modo per ingannarmi nel riavvio per caricare il malware reale. Poi, dopo che questo è stato rimosso (molto facilmente, una semplice chiave Run Registry), ha lasciato un rootkit dietro il quale era assolutamente inosservabile ... ma che continuava a fare anche cose stupide, come il dirottamento delle ricerche su Google e il lancio background iexplore.exe processi che erano chiaramente visibili nel Task Manager (chiedo cosa stavano facendo, però). Alla fine, sono stato in grado di liberarmene riscrivendo l'MBR del sistema di avvio e il settore di avvio, dove era stato nascosto un codice del caricatore; Non so ancora cosa che abbia effettivamente caricato, comunque.

Quello che mi chiedo ora è: le persone che scrivono malware stanno diventando sempre più intelligenti, usando tecniche stealth sempre più avanzate ... eppure continuano a usare questi potenti strumenti per fare cose stupide come mostrare pubblicità, che ormai quasi tutti riconosce come un sicuro segno di infezione da malware (e chi mai fa clic su di essi, comunque?). Se non fosse stato per i processi di hijacking di ricerca e background iexplore.exe , non avrei mai immaginato che un rootkit fosse ancora lì dopo l'infezione "principale" ... e, se l'infezione "principale" non avesse giocato con attrib.exe per farmi pensare che tutti i miei file erano scomparsi, non l'avrei notato e sarebbe stato libero di caricare il rootkit al prossimo riavvio (che, essendo un computer di casa, sarebbe sicuramente successo a più un giorno).

Un tale rootkit stealth avrebbe potuto rimanere lì per un tempo lungo , se non avesse compiuto sforzi simili per mostrare la sua presenza; e avrebbe potuto fare un danno reale , come installare un keylogger o prendere parte a una botnet; che forse anche ha , ma ... visto che era così ovvio che la macchina era infetta, ho iniziato a cercare un modo per pulirlo, e l'ho trovato (o altrimenti avrei solo formattato , che farò comunque, solo per essere sicuro).

Quindi, la domanda rimane: perché tutte queste tecniche furtive di infezione e furtività vengono sprecate nel mostrare pubblicità inutili?

    
posta Massimo 13.07.2011 - 10:39
fonte

6 risposte

23

Diversi motivi:

L'attaccante spesso non è lo sviluppatore - Gli sviluppatori di malware vendono i pacchetti a chiunque - il carico utile verrà quindi definito dall'attaccante. Alcuni malintenzionati vogliono essere furtivi - alcuni non lo fanno, anzi alcuni sono contenti di essere ovvi e famosi.

Esercizi - tecniche di sviluppo

Apatia / Ignoranza - gli utenti finali non sono in grado di risolvere i problemi che non possono essere risolti facendo clic su pulitori antivirus o malware.

Soldi : click-thrus e clickjacking possono guadagnare bene. Lo spam del Viagra / Cialis fa anche soldi. I download di strumenti di rimozione di falsi-malware possono fare un sacco di soldi.

    
risposta data 13.07.2011 - 12:03
fonte
12

La risposta è semplice ed è un fenomeno simile al principio antropico , chiamato pregiudizio per i sopravvissuti . Ci sono molti molti, molti virus furtivi che rimangono sul posto da molto tempo, perché non lo fanno, ma non li senti o non li pensi, proprio perché sono furtivo. Ricorda, quello che stai veramente chiedendo è: "Perché vedo così tanti virus non nascosti rispetto al numero di virus invisibili che vedo?" Ma certo, non vedi quelli furtivi.

    
risposta data 03.03.2013 - 00:59
fonte
1

La mia prima ipotesi è: soldi. E il mio secondo sarebbe: sfida. Alla fine potresti aggiungere: scherzi. (Forse per il primo malware che è stato sviluppato: D)

Ma i malware sono anche worm e virus. Quindi possiamo aggiungere ai potenziali guadagni:

  • Avere accesso al computer (botnet, proxy) = > Stealth
  • Ruba dati di valore elevato = > potere, reputazione
  • Spaventa l'utente finale e guadagna denaro = > inganno

Direttamente o indirettamente, ciò implica denaro.

Forse uno di questi è per il dominio del mondo però. (Scherzo?)

    
risposta data 13.07.2011 - 10:55
fonte
0

Quello che stai descrivendo è simile a FakeAlert o falso antivirus / pc booster / software di ottimizzazione del sistema. L'unico scopo del software è quello di farti comprare l'edizione "Full" per cavalcare problemi inesistenti o problemi che ha creato. Potrebbero aggiungere pubblicità sul lato, quindi deviare la ricerca su Google ... ecc.

Non è un malware stupido. È lì per fare soldi, anche se non farà molto su un sistema individuale, un grande dispiegamento sul numero massimo di computer porta di solito buoni rendimenti. Inoltre gli operatori usano solo un kit che hanno acquistato, quindi non ha senso in un primo momento utilizzando kit complesso per tali scopi.

    
risposta data 16.10.2014 - 11:24
fonte
-1

Forse sono anche più intelligenti di quanto pensi: creano una evidente infezione con fastidiosi popup e un rootkit che viene facilmente rimosso. Quindi pensi di essere pulito ora. Tuttavia: la vera infezione è ancora lì ma è ancora più intelligentemente nascosta. Tieni d'occhio il tuo conto bancario ...

    
risposta data 20.03.2012 - 20:01
fonte
-3

Una risposta è che hai alcune classificazioni di quel modello di business. Solo se hai acquistato un franchising, acquisterai un comprovato "sistema" redditizio. Malware e botnet potrebbero essere considerati un equivalente digitale di questo.

Sfortunatamente è un circolo vizioso, ma non prevedo che si fermerà perché la natura umana include l'avidità. Dire che qualcuno in Cina o in Ucraina scrive un nuovo exploit di malware è più che probabile che lo faccia per soldi. I prossimi utenti si infettano e le aziende AV lo scoprono e creano una "correzione" e spingono le vendite delle loro suite sulla base di "Sul nostro prodotto di solito abbiamo correzioni per la maggior parte degli utenti infezioni in ore VS giorni".

Quindi le persone acquistano quel prodotto, ma poi vengono "infettate di nuovo", quindi di solito portano i loro sistemi a qualche tipo di negozio al dettaglio che può o non può sapere quello che sta facendo (lanciare moneta qui) per rimuovere la minaccia (s ). Se il negozio non riesce a capirlo, alcuni di noi (amministratori competenti / tecnici) ricevono una chiamata per "correggere" o rimuovere l'infezione (s). Dopo aver risolto il problema, installo sempre un file HOSTS di terze parti per bloccare un sacco di merda da cui iniziare. Perché le aziende AV non implementano una sorta di blocco degli host che potresti chiedere? $ MONEY $ è sempre la risposta. Il punto è che il cerchio fa guadagnare denaro, i cattivi, le società e i bravi ragazzi saranno pagati tutti in un dato momento.

    
risposta data 20.03.2012 - 19:46
fonte

Leggi altre domande sui tag

Come posso proteggere un'installazione di WordPress? In che modo OpenSSL è correlato a OpenSSH?