До сих пор Web-черви не могли легко распространяться между различными серверами и их легко было обнаружить. Однако два исследователя написали proof-of-concept версию более опасного и стойкого червя нового поколения, который может существовать и в клиентских броузерах и на веб-серверах - и избегать сигнатурного анализа.
Так называемые "гибридный Web-червь" (hybrid Web worm) обладает большей стойкостью чем предыдущее поколение червей - таких, как например известный червь Samy, прошедшейся по MySpace - они были ограничены лишь одним доменом и использовали одну уязвимость для распространения.
"Старые черви были подобны эпидемии оспы на маленьком острове", - говорит Билли Хоффман, ведущий исследователь SPI Dynamics' Labs и соавтор POC червя "Samy не мог покинуть MySpace".
На конференции BlackHat, которая пройдет в следующем месяце, Хоффман и его приятель Джон Террилл продемонстрируют прототип червя нового поколения в ходе доклада "The Little Hybrid Web Worm that Could". Их творение будет мутировать для уклонения от сигнатурных антивирусов и даже использовать для поражения других броузеров и серверов информацию об уязвимостях с таких сайтов как например Secunia. Червь будет получать информацию о новых уязвимостях и использовать их для дальнейшего продвижения в Сети. "Получение данных с Secunia хорошо автоматизируемо, так что червь сможет получать баги пока они еще свежие". В таком случае и поиск в черве определенных сигнатур может не сработать, единственный способ его остановить - изучить его поведение и понять соответствующие характеристики. Даже если он будет мутировать, то все равно останется червем, говорят его авторы.
Пока Хоффман и Террилл создали только клиентскую часть червя и не хотят публиковать пример, так как опасаются его попадания в неправильные руки. "Мы не хотим создавать нечто действительно вредоносное", - комментируют они свое дело. "Это proof-of-concept для клиента, но он так же будет работать и на сервере".