Награди и поздравления за добрата работа – това е равносметката от работата на лабораториите на ESET в Канада по разкриването и елиминирането на Операция Уиндиго. Наградите са от ежегодната конференция, посветена на информационната сигурност Virus Bulletin Conference. Поздравленията – от създателите на вируса, който стои зад самата Операция Уиндиго. Поздравлението, естествено, не е дошло по имейл или каквато и да е друга форма на комуникация. Подобно на самия вирус за Mac OS и Linux, който използва всевъзможни методи, за да остане извън полезрението на софтуерите за защита, и създателите му маскираха поздравителното си послание в… кода на вируса. Кратко, точно и ясно те казват: „Добра работа, ESET!“Една от причините посланието да бъде скрито в кода е фактът, че след разкриването на вируса, работата по следенето на еволюцията му не е спирала, тъй като той продължава да представлява сериозна опасност за собствениците на Mac и Linux компютри. Припомняме – Операция Уиндиго (кръстена е на митично чудовище от преданията на индианците уиндиго, притежаващо способност да променя външния си вид) достигна до над 25,000 Unix сървъра, които са били хакнати в рамките на 2 години, колкото е продължила самата операция.
„Само в рамките на месец станахме свидетели на нови версии на вируса, които се опитват да заобиколят създадените от нас фактори за засичане на заплахата,“ разказва Марк-Етиен Левил (на снимката), един от изследователите, открили заплахата. „Все още наблюдаваме Уиндиго – включително и блокираме трафик от сайтове, чиито сървъри са заразени с вируса,“ добавя той. Промените по Уиндиго от март (когато бе публикувано първото изследване на ESET за заплахата) до днес са:
- Нова версия на вируса - 1.5.1 (поне такава е най-новата версия, засечена от ESET). Версията от април 2014 г. е 1.4.1. Версията от първата публикация за Операция Уиндиго през март тази година е 1.3.5.
- Механизмът на действие на вируса е променен. В по-новите версии не се използва споделена памет за съхраняване на откраднатите лични данни за потребителите и комуникация с командния сървър. Вместо това, за тази цел се създава изцяло нов системен процес.
- Променен е алгоритъмът за генериране на имена, който се използва като резервен вариант за източване на информацията. Този вариант се използва в случай на липса на конфигурация от страна на оператора.
- Версия 1.5 не заразява файловете директно. Вирусът се намира в нов файл - libns2.so.
„Основният ни приоритет е да защитаваме потребителите си от всички заплахи – включително и най-новите,“ казва Левил. Усилията на екипа изследователи на ESET не останаха незабелязани. Освен признателността на киберпрестъпниците, те получиха и наградата Péter Szőr Award на Virus Bulletin.