Polowanie na wirusy – gdzie ONE się schowały?

Dawno, dawno temu trafiłem na taką informację Microsoft hunts web nasties with honey monkeys. Jak widać wiadomość ta ma już prawie 4 lata. Od czasu do czasu pomysł ten wracał do mnie. Dziś spróbowałem to znowu i... jak na razie bez powodzenia.

Cały eksperyment to taki “aktywny honeypot”. Chcę po prostu osiągnąć sytuację, gdy korzystając z dziurawej przeglądarki użytkownik pracujący z prawami administratora, łapie wirusa. Chodzi mi tu o sytuację, gdy infekcja ma miejsce bez współudziału użytkownika (pobranie/uruchomienie pliku).

Mój “zaawansowany system” oparty był o prosty skrypt w JScript , który wykorzystywał obiekt WebBrowser Control. Całe “czołganie” zaczynało się od Google , gdzie wyszukiwane były “złe” słowa kluczowe typu crack, warez, xxx, (...). A następnie poprzez “klikanie” czego popadnie – przeglądarka wystawiała się na strzał. Całość oczywiście uruchomiona w VirtualPC , system to Windows XP SP3, przeglądarka IE 6, całość uruchomiona z prawami administratora. Rezultat – nie udało się nic załapać...

Podejście drugie zakłada użycie listy znanych stron z malware dostępnej tu. Lista ta zawiera ponad 17 000 adresów. Właśnie mój nowy skrypt przechodzi ją (od najnowszych wpisów) próbując coś załapać. Z tego co widzę, jak na razie bez rezultatów. Chyba muszę poszukać jeszcze lepszej listy złych stron.

Oryginał tego wpisu dostępny jest pod adresem Polowanie na wirusy – gdzie ONE się schowały?

Autor: Paweł Goleń