Črv Dridex začel širiti čist protivirusni program
Matej Huš
5. feb 2016 ob 22:26:37
Dridex je znan črv, ki okuži računalnike ob odprtju elektronskega sporočila, potem pa zbira prijavne podatke za dostop do različnih spletnih storitev ter zlorablja okužene računalnike za pošiljanje spama ter izvajanje koordiniranih napadov DDoS. Razsaja od predlanskega novembra, policija je že aretirala moldavskega državljana, črv pa je vmes povzročil več milijonov dolarjev škode. Zanimivo je, da Dridex ne uporablja nobene znane ranljivosti, temveč se zanaša na uporabnika, da bo odprl okužen dokument in dopustil izvajanje makrojev.
Ta teden pa se je zgodil zanimiv zasuk dogodkov, saj je Dridex prek svojih nadzornih strežnikov začel širiti čisto kopijo brezplačnega protivirusnega programa Avira. Kot je potrdil proizvajalec Avire, je kopija resnično benevolentna, ni pa še čisto jasno, zakaj se je to zgodilo. Dridex je konec minulega leta namreč po aretacijah čisto zamrl, sedaj pa se je vrnil.
V Aviri pravijo, da sta možnosti načeloma dve. Bodisi je v strežnike za nadzor Dridexa vdrl dobronamerni heker (white hat) in zamenjal škodljivi tovor (payload) s protivirusnim programom bodisi gre za napako piscev virusa. Ni namreč nezaslišano, da virusi vsebujejo protivirusni program, ki pred okužbo počisti morebitno drugo zalego, da si lahko v miru podredijo računalnik. CryptoLocker in Teslacrypt sta imela tudi vgrajen protivirusni modul za lastne potrebe, čeprav ga nista pogosto uporabljala.