A rendkívül szofisztikált és hosszan tartó (marketing) kampányok listájának legújabb állomása a nyomok szerint orosz gyökerekkel rendelkező Uroburos akció, melynek nyomaira a GData szakértői bukkantak rá. Az elkészült elemzés szerencsére valamivel több információt közöl a kártevő működéséről a szokásos "tud képernyőképet készíteni és lehallgatja a Skype-ot [értsd: mikrofonodat] is" túristacsalogatónál.

Megtudhatjuk például, hogy a program képes P2P kommunikációra is az internetről szeparált rendszerekről történő adatkijuttatás érdekében, virtuális NTFS fájlrendszereket és rendes kriptót használ, a készítők tehát semmi képpen sem a legkissebb ellenállás irányába haladtak.

A(z eddigi) legérdekesebb részletre azonban a kernelmode.info fórumozói hívták fel a figyelmet:

A kártevő rootkitet telepít, de nem akárhogy: a kezdeti payload titkosítottan tartalmazza a VirtualBox egyik eredeti, bár elavult driverét, ami máig hiteles digitális aláírással rendelkezik, így egyszerű felhasználók számára is betölthető. A driver azonban tartalmaz egy sérülékenységet: a felhasználói módból érkező IOCTL-eket a meghajtó olyan pufferelési módban kapja, hogy az operációs rendszer semmilyen vizsgálatot nem végez az átadott struktúrákon illetve címeken. Mivel a driver maga sem implementál semmilyen ellenőrzést (ez okozza a sérülékenységet), a felhasználói módú program (esetünkben az Uroburos) korlátlan hozzáférést kap a kernel címtartományához.

A kártevő ezt arra használja ki, hogy kikapcsolja a Windows tanúsítványellenőrző rutinját, így ezek után Szása bármilyen aláíratlan drivert is simán betölthet.

A módszer amellett, hogy szerintem igen elegáns, felhívja a figyelmet a kód aláírás korlátaira (hiába aláírt a  kódod, ha sérülékeny, tágabban értelmezve a tanúsítvány csak a kód eredetét, nem a szándékát igazolja), illetve a tanúsítvány lejárati idők megfelelő megválasztásának fontosságára is.

Kernelszakértők javítsanak ki, ha valami ülyeséget írtam, köszi!