Czasami zachęcanie użytkowników do odwiedzin przybiera niecodzienne formy. W Stanach Zjednoczonych dość popularne były fałszywe mandaty za złe parkowanie, w których oprócz informacji o samym wykroczeniu, opisywano link do strony, na której rzekomo miały być zdjęcia samochodu. Po zainstalowaniu polecanego "paska narzędziowego" przy każdym restarcie wyświetlane było ostrzeżenie, zachęcające do zakupu i instalacji konkretnego oprogramowania antywirusowego. Zamiast niego, instalowany był koń trojański. "Jest to pierwszy znany przypadek, gdy przestępcy wykorzystali podrobiony urzędowy dokument z realnego świata, aby oszukać ludzi w Internecie" - mówi Lenny Zeltser, analityk instytutu SANS. Można oczekiwać, że kombinowanie technik ze świata rzeczywistego i Internetu będzie coraz częstsze.

Kawałek po kawałku

Malware jest skonstruowane modułowo, przy czym proces instalacji odbywa się w kilku etapach, wynikowy plik jest składany z różnych części, niejednokrotnie pobieranych wewnątrz zaszyfrowanego połączenia SSL. Program instalujący przy pobieraniu obiektów potrafi wstrzyknąć kod do przeglądarki Internet Explorer, zapobiegając wykryciu przez typowe firewalle. Analiza kodu niewiele daje, lepiej sprawdzać reputację pobieranych plików. "Ze względu na bardzo dużą zmienność kodu, programy antywirusowe bazujące na sygnaturach są bezradne, podejście wykorzystujące reputację plików i nadawcy analizowaną w modelu cloud jest o wiele pewniejsze" - mówi Raimund Genes, CTO TrendMicro.

Złośliwe oprogramowanie nie tylko infekuje Windows, ale także integruje się z nim w taki sposób, aby jego usuwanie było możliwie trudne. Przykładem może być wirus oznaczany PE_VIRUX, który infekuje pliki wykonywalne, szyfrując zawartość. Potrafi on także zainfekować pliki skryptowe (.PHP, .ASP., HTML), umieszczając w nich kod IFrame, wykonywany automatycznie po uruchomieniu skryptu. Jeśli taki plik zostanie opublikowany w Internecie (przekopiowany na serwer WWW), również będzie rozsiewał wirusa.

Usunięcie tego wirusa jest trudne, gdyż przestępcy wdrożyli nie tylko aktualizacje online, ale także centralne zarządzanie "flotą" przejętych maszyn, oczyszczony z jednego ze składników wirus, nadal pozostaje aktywny w innej postaci. "Dostarczenie narzędzi do usuwania nowego wirusa trwa godziny, a nawet dni, niektóre firmy nie mają tyle czasu na odzyskanie sprawności swoich systemów. Najszybciej odtworzyć system z kopii bezpieczeństwa. W dobie trudnych do usunięcia wirusów, kopia bezpieczeństwa jest bardzo ważna" - mówi Raimund Genes.