- W i r u s P C - polskie centrum antywirusowe - Zagrożenia związane z komunikatorami internetowymi

Bądź na bieżąco! Kanały RSS

Artykuły

Zagrożenia związane z komunikatorami internetowymi

Denis Maslennikov
Boris Yampolsky

Klienty IM
Zagrożenia związane z komunikatorami internetowymi
Zagrożenia związane z ICQ
Scenariusz ataków
Odpieranie ataków na systemy IM
Wniosek

Klienty IM

Dla wielu osób komunikacja online stanowi integralną częścią ich codziennego życia. Internet oferuje wiele możliwości komunikowania się z innymi osobami - pocztę elektroniczną, czaty, fora, blogi itd. Jedną z popularnych opcji są komunikatory internetowe (ang. Instant Messenger - IM), które pozwalają użytkownikom rozmawiać ze sobą w czasie rzeczywistym w dowolnym miejscu na świecie.

Aby móc korzystać z komunikatora internetowego, użytkownik potrzebuje łącza internetowego i aplikacji klienckiej zainstalowanej na swoim komputerze. Istnieje duży wybór aplikacji IM i prawie wszystkie obsługują te same podstawowe funkcje, umożliwiając szukanie innych użytkowników o podobnych zainteresowaniach, dostęp do profili osobowych, wybór trybów itd. Wiele klientów IM oferuje również dodatkowe funkcje.

Najpopularniejszym klientem IM w Rosji jest bez wątpienia ICQ - żartobliwy skrót frazy "I seek you". Każdy użytkownik ICQ posiada unikatowy numer, lub UIN (Unified Identification Number), przy pomocy którego loguje się. Każdy UIN jest zabezpieczony hasłem ustawionym przez użytkownika. Wiadomości są wysyłane za pośrednictwem protokołu TCP/IP przy pomocy formatu specjalnie stworzonego przez twórcę tego komunikatora, firmę Mirabilis. Z reguły, jedna wiadomość składa się z jednego pakietu TCP. Kilka innych klientów wykorzystuje zmodyfikowane wersje tego protokołu w celu wysyłania wiadomości, np. QIP (Quiet Internet Pager) oraz Miranda.

MSN Messenger (lub Windows Live Messenger) firmy Microsoft to kolejny klient IM, który jest popularny wśród użytkowników z Zachodu. MSN Messenger wykorzystuje Microsoft Notification Protocol (MSNP, znany również jako Mobile Status Notification Protocol). Protokół MSNP2 jest publicznie dostępny, natomiast inne wersje nie są. Najnowsza wersja komunikatora MSN Messenger wykorzystuje wersję MSNP14.

W Chinach bardzo popularny jest QQ, komunikator podobny do ICQ.

Rys. 1. Chiński klient IM QQ.

Skype, oprócz standardowych funkcji komunikatora internetowego, oferuje również komunikację głosową. Ten popularny na całym świecie program umożliwia użytkownikom darmowe komunikowanie się za pomocą głosu. Aby móc skorzystać z tych funkcji, użytkownik musi posiadać słuchawki z mikrofonem (lub zewnętrzny mikrofon podłączony do komputera), samą aplikację oraz łącze internetowe. Przy pomocy Skype'a można również wykonać rozmowę telefoniczną z dowolnym numerem, jednak usługa ta nie jest darmowa.

Zagrożenia związane z komunikatorami internetowymi

Niestety świat wirtualny jest otwarty na nadużycia, podatne są na nie również komunikatory internetowe. Komunikatory internetowe często są celem następujących szkodliwych działań:

Kradzież haseł do kont komunikatorów internetowych przy pomocy ataku "brute force" lub socjotechniki.
Rozprzestrzenianie szkodliwego oprogramowania (można tego dokonać na dwa sposoby):
- Wysyłanie wiadomości zawierających odsyłacze; po kliknięciu przez użytkownika odsyłacza na jego komputer PC zostanie pobrany plik szkodliwego programu. W celu nakłonienia użytkownika do otwarcia pliku wykorzystuje się socjotechnikę, czego efektem jest uruchomienie szkodliwego programu.
- Wysyłanie wiadomości zawierających odsyłacze do zainfekowanych stron internetowych.
Spam.

Wszystkie komunikatory internetowe są podatne na pewne rodzaje zagrożeń. Weźmy na przykład popularny chiński komunikator QQ. Rozpowszechniony w Chinach Trojan-PSW.Win32.QQPass i podobny do niego Worm.Win32.QQPass zostały specjalnie stworzone w celu kradzieży haseł do klienta QQ. WormWin32.QQPass rozprzestrzenia się poprzez kopiowanie siebie na nośniki przenośne wraz z plikiem autorun.inf (przez co zapewnia sobie uruchomienie się na niezainfekowanym komputerze, pod warunkiem że jest włączona funkcja Autorun).

Również Skype nie umknął uwadze twórców wirusów. Worm.Win32.Skipi rozprzestrzenia się za pośrednictwem Skype'a poprzez wysyłanie odsyłacza do swojego pliku wykonywalnego do wszystkich kontaktów Skype'a na zaatakowanej maszynie. Robak rozprzestrzenia się również poprzez kopiowanie się na nośniki przenośne wraz z plikiem o nazwie "autorun.inf". Ponadto, poprzez edytowanie pliku hosts uniemożliwia aktualizację rozwiązań antywirusowych i systemu Windows oraz próbuje zakończyć procesy związane z aplikacjami bezpieczeństwa. Oczywiście obraz nie byłby kompletny bez trojana: Trojan-PSW.Win32.Skyper został stworzony w celu kradzieży haseł do kont Skype'a.

MSN Messenger firmy Microsoft jest aktywnie wykorzystywany do rozprzestrzeniania botów IRC. Wiele z nich potrafi rozprzestrzeniać się za pośrednictwem komunikatora internetowego po otrzymaniu polecenia od zdalnego użytkownika za pośrednictwem backdoora. Na przykład, jeżeli cyberprzestępca posiada niewielki botnet, który che rozszerzyć, wysyła polecenie do backdoorów na zainfekowanych maszynach. Polecenie to "instruuje" maszyny, aby wysłały wiadomość z odsyłaczem, takim jak http://www.***.com/www.funnypics.com, do wszystkich kontaktów komunikatora MSN Messenger na tych maszynach. Później wszystko zależy już od osoby, która otrzyma taką wiadomość. Jeżeli zdecyduje się obejrzeć "śmieszne zdjęcia", może to oznaczać, że kolejny komputer zostanie dodany do sieci zombie - poprzez kliknięcie odsyłacza użytkownik pobiera backdoora na swoją maszynę.

Szkodliwi użytkownicy wykorzystują komunikator MSN Messenger, ponieważ wchodzi on w skład pakietu instalacyjnego systemu Windows. To oznacza, że wszyscy użytkownicy tego systemu automatycznie posiadają klienta MSN na swoich maszynach. Popularność MSN na całym świecie czyni go jeszcze bardziej atrakcyjnym dla cyberprzestępców, którzy chcą zwiększyć liczbę zainfekowanych komputerów w swoich botnetach.

Rysunek 2. Fragment Backdoor.Win32.SdBot.clg.
Podkreślone sekcje pokazują polecenia wykorzystywane do rozprzestrzeniania trojana.

Zagrożenia związane z ICQ

Sekcja ta zawiera przegląd najpowszechniejszych metod ataków na klienty IM na przykładzie ICQ.

Kradzież haseł

Jak już wspominaliśmy wcześniej wszyscy użytkownicy ICQ posiadają niepowtarzalny numer identyfikacyjny lub UIN. Obecnie najpowszechniejsze są numery dziewięciocyfrowe. Jednak wielu użytkowników chciałoby, aby ich UIN był taki sam jak ich numer telefonu komórkowego, aby był to liczbowy palindrom, lub składał się z tych samych cyfr. Takie numery są łatwe do zapamiętania, a dla niektórych posiadanie takiego numeru jest sprawą prestiżu. Pięcio-, sześcio- lub siedmiocyfrowe numery ICQ, które składają się z dwóch różnych liczb, są uważane za szczególnie cenne.

"Atrakcyjne" numery UIN są sprzedawane, często nawet po wysokich cenach. Wiele stron posiada również serwis, za pomocą którego można zamówić numer, i obiecuje "uzyskanie" pożądanego przez klienta numeru. Ponadto osobom zainteresowanym wysyłaniem masowych wiadomości oferowane są niewyróżniające się numery dziewięciocyfrowe. Wykorzystywanie wielu różnych numerów do dystrybuowania spamu pomaga uniknąć czarnych list antyspamowych wykorzystywanych przez zirytowanych użytkowników w celu ignorowania określonych numerów.

Sprzedawcy takich "prestiżowych" numerów rzadko wspominają, w jaki sposób zostały one uzyskane. Strony e-handlu zapewniają, że numery UIN są sprzedawane legalnie. Jednak w większości przypadków sprzedawca uzyskał numery ICQ w sposób nielegalny.

Do kradzieży numerów UIN wykorzystuje się wiele metod. Wiele sklepów internetowych sprzedających atrakcyjne numery UIN często bierze udział w poszukiwaniu haseł na skalę przemysłową i kradzieży kont. Inną metodą jest kradzież hasła do poczty elektronicznej użytkownika ICQ, a następnie wykorzystanie go do zmiany oryginalnego hasła UIN bez wiedzy użytkownika. Poniżej szczegółowo opisaliśmy, w jaki sposób to działa.

Pomoc techniczna dla ICQ oferuje usługę dla użytkowników, którzy zapomnieli swoich haseł UIN. Proces przywracania hasła został kilkakrotnie zmodyfikowany i obecnie jest dość wyrafinowany. Stanowi teraz całkiem dobre zabezpieczenie przed kradzieżą haseł. Użytkownicy muszą odpowiedzieć na pytanie, które sami zadali. Jeżeli nie pamiętają odpowiedzi, pytanie może zostać zmienione przy pomocy poczty elektronicznej - adresu e-mail podanego w informacjach kontaktowych podczas rejestracji. Proces jest dość bezpieczny, jeżeli jednak osoba trzecia w jakiś sposób uzyska dostęp do poczty elektronicznej, bez trudu zdobędzie też UIN. Po uzyskaniu hasła do poczty elektronicznej szkodliwy użytkownik może skontaktować się z ICQ, podszywając się pod właściciela konta, który zapomniał swojego hasła UIN. Szkodliwy użytkownik może w ten sposób uniemożliwić pierwotnemu właścicielowi uzyskanie dostępu nie tylko do jego własnego konta ICQ, ale również do pierwotnego konta poczty elektronicznej, zmieniając jedynie stare hasło. Kradzież tego typu nie jest łatwa - uzyskanie haseł do kont e-mail połączonych z numerami ICQ wymaga potężnego komputera, a nawet sieci.

Jednak najpopularniejszą metodą kradzieży numerów ICQ jest wykorzystanie szkodliwych programów, w szczególności trojana Trojan-PSW.Win32.LdPinch. W ciągu kilku minionych lat ta rodzina trojanów zaczęła stanowić zagrożenie dla użytkowników. LdPinch nie tylko kradnie hasła do ICQ i innych klientów IM, takich jak Miranda, ale również do kont poczty elektronicznej, różnych programów FTP, gier online itd. Istnieją wyspecjalizowane konstruktory programów do tworzenia określonych typów szkodliwych trojanów. Takie programy umożliwiają ustawienie parametrów określających, które hasła użytkownika zostaną ukradzione przez szkodliwy program po zainstalowaniu się na maszynie. Po skonfigurowaniu programu szkodliwy użytkownik musi tylko podać adres e-mail, na który zostaną wysłane poufne informacje. Łatwość, z jaką można stworzyć takie szkodliwe programy, powoduje, że są rozpowszechnione nie tylko w ruchu pocztowym, ale również w ruchu IM.

Rysunek 3. Konstruktor wykorzystany do stworzenia trojana Trojan-PSW.Win32.LdPinch.

Rozprzestrzenianie szkodliwych programów

Ruch poczty e-mail zawiera szereg różnych rodzin szkodliwych programów, które rozprzestrzeniają własne kopie lub są wysyłane za pośrednictwem spamu. ICQ jest głównie wykorzystywany do rozprzestrzeniania trzech rodzajów szkodliwych programów:

Robaków IM - szkodniki te wykorzystują klienta IM w celu samodzielnego rozprzestrzenia się.
Trojanów przeznaczonych do kradzieży haseł, łącznie z hasłami do klientów ICQ (w większości przypadków jest to Trojan-PSW.Win32.LdPinch).
Szkodliwych programów sklasyfikowanych przez firmę Kaspersky Lab jako Hoax.Win32.*.* (szkodliwe oprogramowanie stworzone w celu wyłudzania od użytkowników pieniędzy).

W jaki sposób wykorzystuje się ICQ do rozprzestrzeniania szkodliwego oprogramowania?

Robaki IM wymagają niewielkiej interakcji w celu rozprzestrzeniania się. Po uruchomieniu wiele robaków IM swój kod do kontaktów IM zapisanych na zaatakowanej maszynie. Robaki te posiadają szereg funkcji: mogą kraść hasła, tworzyć botnety, czasem ich funkcja jest czysto destrukcyjna (np. usuwanie wszystkich plików .mp3 z zaatakowanej maszyny). Szkodliwe programy, takie jak Email-Worm.Win32.Warezov oraz Email-Worm.Win32.Zhelatin (Storm Worm) w celu aktywnego rozprzestrzeniania się wykorzystywały ICQ.

Jednak w większości przypadków, aby atak mógł się powieść niezbędne jest działanie ze strony użytkownika. Aby nakłonić potencjalną ofiarę do kliknięcia odsyłacza i otwarcia pliku pobranego z odsyłacza, stosuje się szereg sztuczek socjotechnicznych.

Oto przykład ataku, którego celem jest pobieranie szkodliwego oprogramowania na maszynę użytkownika. Najpierw szkodliwy użytkownik tworzy kilka kont użytkownika zawierających nęcące informacje w profilu (np. "ładna dziewczyna, 22 lata, szuka chłopaka"). Następnie z numerem tego profilu łączone są boty (niewielkie programy o prymitywnej inteligencji, które potrafią obsługiwać podstawową konwersację). Pierwszą rzeczą, jaką użytkownik chce zobaczyć, jest zwykle zdjęcie owej "ładnej dziewczyny"; bot odpowiada na takie żądania wysyłając odsyłacz. Nie trzeba mówić, że odsyłacz ten nie prowadzi do zdjęcia, ale do szkodliwego programu.

Odmianą tej metody jest przypadek, gdy odsyłacz do szkodliwego programu jest zawarty w danych osobowych "dziewczyny". Tego typu atak wymaga większego wysiłku niż poprzednia metoda. Na przykład, należy wypełnić przynajmniej niektóre z głównych pól dla informacji osobowych i wybrać potencjalne ofiary. Później należy zacząć rozmowę, tak aby przekonać użytkowników do kliknięcia odsyłacza prowadzącego do "fajnych zdjęć z wybrzeża Pacyfiku" w danych osobowych "dziewczyny".

Sztuczki socjotechniczne stosowane są również podczas rozprzestrzeniania szkodliwych programów za pośrednictwem spamu ICQ. Mówiąc ściśle, to nie szkodliwe oprogramowanie jest rozprzestrzeniane - użytkownicy otrzymują odsyłacze do szkodliwego oprogramowania.

Odsyłacze w spamie mogą również prowadzić do stron (zarówno tych legalnych, które padły ofiarą włamania hakerów, jak i specjalnie stworzonych w tym celu) zawierających trojany downloadery. Trojany te instalują następnie szkodliwe oprogramowanie na zaatakowanej maszynie. Poniżej znajduje się szczegółowy opis takich ataków.

Luki w przeglądarkach internetowych (zwłaszcza te w Internet Explorerze) są często wykorzystywane do pobierania szkodliwego oprogramowania za pomocą szkodliwego kodu, który został wcześniej zamieszczony na stronie internetowej. Najpierw atakowana jest popularna, legalna witryna internetowa, na której stronach umieszcza się kod (np. ramka lub zaszyfrowany JavaScript). Kod ten pobiera z kolei szkodliwy program na komputery osób odwiedzających stronę. Inną techniką jest stworzenie prostej strony na tanim lub bezpłatnym serwerze WWW, która zawiera podobny kod downloadera. Strona taka będzie następnie reklamowana przy pomocy masowej wysyłki za pośrednictwem komunikatorów internetowych. Jeżeli użytkownik kliknie prowadzący do niej odsyłacz szkodliwe oprogramowanie zostanie ukradkiem pobrane na maszynę. Użytkownik może nawet nie podejrzewać, że strona, którą odwiedził, została zaatakowana lub jest fałszywa. W tym czasie LdPinch lub IRCBot uruchomią się na zainfekowanym komputerze.

Luki wykorzystywane do przeprowadzania takich ataków mogą być obecne w samych komunikatorach internetowych. W wielu przypadkach luka może powodować przepełnienie buforu i wykonanie losowo wybranego kodu w systemie lub zapewnić zdalny dostęp do komputera bez wiedzy czy zgody użytkownika.

Jeżeli szkodliwy kod, który został uruchomiony w systemie na skutek przepełnienia bufora jest zdolny do samodzielnego rozprzestrzeniania się, wtedy przy pomocy tej samej luki w zabezpieczeniach aplikacji znajdującej się na innych maszynach program może przeniknąć do komputerów dużej liczby użytkowników, wywołując epidemię. Wykorzystywanie luk w zabezpieczeniach wymaga dużych umiejętności technicznych, co w pewnym stopniu ogranicza opcje dostępne dla cyberprzestępców.

Ostatnio spam ICQ wykorzystywany był do rozprzestrzeniania fałszywych programów, które rzekomo generują PIN-y do kart, przy pomocy których można płacić za różne usługi telefonii komórkowej. Firma Kaspersky Lab wykrywa takie programy jako not-virus.Hoax.Win32.GSMgen. W rzeczywistości takie oprogramowanie generuje nieskończoną ilość losowo wygenerowanych numerów, które rzekomo stanowią kody PIN do kart służących do doładowywania kont telefonów komórkowych. Numery wygenerowane przez program są szyfrowane i aby je odszyfrować należy uzyskać klucz od autora, za który trzeba naturalnie zapłacić. Kwota jest zwykle niewielka - około 10-15 dolarów - co czyni ofertę jeszcze bardziej atrakcyjną. Ludzie zwykle myślą tak: "Raz zapłacę 15 dolarów i przez resztę życia będę używał telefonu komórkowego za darmo!" Fakt, że otrzymany po zapłaceniu numer nie doładowuje konta, czyni z tego przypadku zwykłą kradzież. Należy zauważyć, że gdyby program rzeczywiście generował kody PIN wykorzystywane do płacenia za usługi telefonii komórkowej, cena byłaby znacznie wyższa, a autorzy staraliby się działać bardziej z ukrycia, tak aby nie zwrócić na siebie uwagi operatorów telefonii komórkowej i organów ścigania.

Spam ICQ

W przeciwieństwie do spamu rozsyłanego za pośrednictwem poczty elektronicznej, spam ICQ nie został dokładnie zbadany. Poniżej przedstawiamy wyniki badania przeprowadzonego w dniach od 23 lutego do 23 marca 2008 roku. Badanie polegało na kategoryzacji tematów niechcianych wiadomości wysłanych do użytkowników ICQ i wykonaniu analizy porównawczej spamu ICQ i spamu rozsyłanego za pośrednictwem poczty elektronicznej.

Popularne tematy w spamie ICQ

Tematy wiadomości spamowych ICQ są dość zróżnicowane i mogą zawierać reklamy nowych stron internetowych lub serwerów gier, prośby o głosowanie na określonego uczestnika konkursu, oferty zakupu drogich telefonów komórkowych po obniżonych cenach lub wiadomości zawierające adresy URL prowadzące do szkodliwych programów. Odsyłacz w spamie może prowadzić do strony internetowej zawierającej exploita wykorzystującego luki w zabezpieczeniach przeglądarki Internet Explorer lub innych popularnych przeglądarek (dla celów tego badania wiadomości zawierające zainfekowane odsyłacze nie zostały sklasyfikowane jako oddzielna kategoria).

Rysunek 4. Rozkład spamu ICQ według tematu

Na pierwszym miejscu znalazła się reklama stron oferujących rozrywkę (18,47%). Kategoria ta prawdopodobnie nadal będzie prowadziła w statystykach dotyczących spamu ICQ. Głównym powodem popularności tego rodzaju spamu jest jego skuteczność. Weźmy typową sytuację, gdy osoba pracująca na komputerze od dłuższego czasu otrzymuje wiadomość ICQ o nowej stronie zawierającej mnóstwo zabawnych zdjęć/historyjek/filmów wideo itd. Istnieje duże prawdopodobieństwo, że znużony użytkownik kliknie odsyłacz, aby na chwilę oderwać się od pracy.

Na drugim miejscu uplasowała się kategoria Spam dla dorosłych (17,19%) zawierająca wiadomości przypominające spam rozsyłany za pośrednictwem poczty elektronicznej, który reklamuje strony randkowe, zasoby pornograficzne, prywatne strony zawierające materiały erotyczne itd.

Kategoria Zysk online (15,83%) obejmuje wiadomości, które obiecują zarobienie pieniędzy w zamian za klikanie banerów, odwiedzanie określonych stron internetowych i oglądanie reklam. Należą do niej również oferty marketingu sieciowego.

Kategoria Inny Spam (12,77%) obejmuje wiadomości o różnych tematach. Każdy z nich odpowiada za stosunkowo niski odsetek ruchu spamowego, dlatego nie można sklasyfikować ich do oddzielnych kategorii. Niektórzy z autorów wiadomości z tej kategorii wykazują się dużą wyobraźnią. Wysyłają na przykład łańcuszki, reklamy pasty do zębów, przewidywania arcybiskupów dotyczące faszystowskiej dyktatury w Rosji itd. Wśród reklamowanych artykułów dominują filmy DVD i części samochodowe. Do kategorii Inny Spam należą również wiadomości phishingowe ICQ, które zostaną omówione w dalszej części artykułu.

Na piątym miejscu znalazły się wiadomości związane z ICQ (8,17%). Interesującym zjawiskiem są "łańcuszki ICQ", z których większość zawiera następujący tekst (przetłumaczony z języka rosyjskiego):

"UWAGA!!! Od 01.12 ICQ będzie usługą płatną.
Możesz zapobiec temu wysyłając tę wiadomość do
20 osób z twojej listy kontaktów. To nie jest żart
(źródło www.icq.com). Jeżeli wyślesz tę wiadomość 20
razy, otrzymasz e-maila i twój kwiatek zrobi się niebieski.
To znaczy będziesz wśród tych, którzy są przeciwko.
W przypadku przegłosowania ICQ pozostanie darmowy."

Jedyną rzeczą, która się zmienia, jest data i liczba osób, do których należy wysłać tę wiadomość. Interesujące jest to, że niektóre wiadomości zawierają wielopoziomowe cytowanie, co oznacza, że wielu użytkowników naprawdę wierzy, że pewnego dnia "ich kwiatek zrobi się niebieski" i ICQ pozostanie darmowy na zawsze.

Regularnie wysyłane są również wiadomości w różnych językach nakłaniające użytkowników do aktualizacji klienta ICQ do nowej, szóstej wersji. Na początku nie było wiadomo, dlaczego wiadomości tego typu są tak popularne wśród spamerów. Pojawiła się niepotwierdzona informacja, że ICQ 6.x zawiera lukę w zabezpieczeniach, która prowadzi do błędów podczas przetwarzania wiadomości utworzonych w pewien sposób. 28 lutego 2008 roku informacja ta została potwierdzona: według http://bugtraq.ru, "...wysłanie stworzonej w określony sposób... wiadomości (najprostszym przypadkiem jest "%020000000s") użytkownikowi z zainstalowanym ICQ 6.x spowoduje błąd podczas generowania kodu HTML w celu wyświetlenia wiadomości w osadzonym komponencie Internet Explorera. Błąd ten może prowadzić do wykonania dowolnego kodu w zdalnym systemie". Luka ta nie dotyczy najnowszej wersji klienta ICQ.

Wiadomości z kategorii Gry komputerowe (5,79%) można podzielić na dwie duże grupy. Wiadomości z pierwszej grupy reklamują różne gry online oparte na przeglądarce, wiadomości z drugiej grupy - serwery gier, głównie dla Lineage II oraz Counter-Strike.

Oferty Nielegalnych usług (5,45%) znajdują się tylko o jedną trzecią punktu procentowego za reklamami gier komputerowych. Oferują one użytkownikom możliwość uzyskania hasła do określonej skrzynki pocztowej, przeprowadzenie ataku DoS, wykonanie fałszywych dokumentów (zarówno rosyjskich i nierosyjskich) oraz kursy łamania kart kredytowych lub możliwość uzyskania informacji niezbędne do osiągnięcia tego - wszystko za odpowiednią cenę.

Na ósmej pozycji (5,28%) znalazła się kategoria zawierająca wiadomości proszące odbiorców o głosowanie na określonych uczestników różnych konkursów internetowych.

Na dziewiątym miejscu uplasowały się oferty pracy i wspólnego biznesu (4,17%), na dziesiątym natomiast oferty usług komputerowych, łącznie z hostingiem (3,22%).

Znajdująca się na samym dole rankingu kategoria Mobilny spam (2,72%) składa się z dwóch typów wiadomości. Pierwszy typ obejmuje wiadomości reklamujące strony internetowe, na których sprzedawane są telefony komórkowe. Ceny popularnych modeli na takich stronach często są znacznie niższe od cen rynkowych, wzbudzając podejrzenia odnośnie pochodzenia i legalności takich telefonów. Drugi typ obejmuje wiadomości reklamujące strony zawierające różne treści przygotowane z myślą o telefonach komórkowych.

W okresie od 23 lutego do 23 marca 2008 roku tylko 1% wiadomości w spamie ICQ reklamowało lekarstwa lub usługi zdrowotne.

Od czasu do czasu do użytkowników ICQ wysyłane są wiadomości phishingowe. Wiadomości te nie zostały zaklasyfikowane do oddzielnej grupy, ponieważ występują stosunkowo rzadko. Cyberprzestępcy wykorzystują socjotechnikę, próbując uzyskać hasła do numerów UIN użytkowników. Powodzenie lub klęska takich ataków w dużym stopniu zależy od tego, jak dobrze poinformowany jest użytkownik. Jeżeli istnieją rzeczywiste problemy, oficjalny dział pomocy technicznej ICQ poinformuje o nich użytkowników, nigdy jednak nie poprosi ich, aby wysłali swoje hasła za pośrednictwem poczty elektronicznej lub podali je w formularzu na stronie internetowej.

Rysunek 5. Wiadomość phishingowa wysłana w celu uzyskania hasła do konta ICQ

[Tłumaczenie wiadomości: Witam, ta wiadomość została wysłana przez system bezpieczeństwa ICQ.
Próbowano ukraść twój numer ICQ. Aby już nigdy podobny przypadek nie miał miejsca, zalecamy,
abyś wysłał swój numer ICQ oraz hasło w celu przetworzenia na nasz adres administrat-icqo2008@rambler.ru.
Otrzymasz odpowiedź w przeciągu godziny. Dziękujemy za korzystanie z naszego systemu.]

Popularne tematy w spamie ICQ

W przeciwieństwie do poczty elektronicznej, ICQ umożliwia szukanie osób na podstawie ich zainteresowań podanych w informacjach kontaktowych. Dzięki temu cyberprzestępcy mogą kierować spam do określonych osób. Spamerzy mogą bez trudu uzyskać odpowiednie dane (w większości przypadków, jest to wiek i zainteresowania użytkowników) i wykorzystać je w celu przyciągnięcia uwagi odbiorców spamu.

Praktycznie wszystkie wiadomości spamowe pochodzą z numerów UIN, które nie znajdują się na liście kontaktów użytkownika. Liczba niechcianych wiadomości otrzymywanych przez użytkownika w danym czasie zależy od numeru UIN. Użytkownicy posiadający sześciocyfrowe numery UIN otrzymują średnio od 15 do 20 niechcianych wiadomości w każdej godzinie, z których wiele zawiera odsyłacze do trojana Trojan-PSW.Win32.LdPinch. Użytkownicy posiadający niczym niewyróżniające się numery dziewięciocyfrowe otrzymują każdego dnia średnio od 10 do 14 takich wiadomości, podczas gdy właściciele "atrakcyjnych" numerów dostają od 2 do 2,5 razy więcej spamu.

Pod względem tematów wiadomości, spam ICQ znacznie różni się od spamu rozsyłanego za pośrednictwem poczty elektronicznej. Podczas gdy około 90% spamu rozsyłanego za pośrednictwem poczty elektronicznej reklamuje różne towary i usługi, odsetek takich reklam w spamie ICQ wynosi niecałe 13% (całkowity udział kategorii Nielegalne usługi, Usługi komputerowe, Spam mobilny), z czego Nielegalne usługi (5,45%) stanowią największą z wszystkich kategorii oferujących usługi.

Ogólnie, w spamie ICQ dominują tematy związane z rozrywką. Wynika to z tego, że ICQ jest rzadko wykorzystywany do komunikacji biznesowej, a większość użytkowników to ludzie młodzi. Spamerzy uwzględniają zainteresowania swoich grup docelowych: w spamie ICQ dominują zaproszenia do odwiedzenia stron oferujących rozrywkę oraz reklamy "dla dorosłych". Spam w kategorii Gry komputerowe, Głosowanie oraz Mobilny spam również wysyłany jest do młodych ludzi. Ogólnie młodzi ludzie stanowią cel około 50% wszystkich wiadomości spamowych.

Niewielki udział spamu "medycznego" (tradycyjnie wiodąca kategoria w spamie rozsyłanym za pośrednictwem poczty elektronicznej) jest również zdeterminowany przez odbiorców docelowych. W spamie ICQ udział tej kategorii wynosi poniżej 1%. Najwidoczniej użytkownicy ICQ nie reagują w sposób zgodny z oczekiwaniami na reklamy towarów i usług medycznych.

Cechy wyróżniające spam ICQ:

Jego celem są młodzi ludzie.
Zorientowany na rozrywkę.
Praktycznie nie reklamuje produktów konsumenckich. Wyjątkiem są oferty telefonów komórkowych i produktów farmaceutycznych, jak również niewielka liczba wiadomości należących do kategorii Inny spam.
Stosunkowo duży odsetek wiadomości związanych z samym ICQ (8,17%).
Znaczny udział (5,45%) wiadomości oferujących nielegalne usługi. Najbardziej popularne oferty dotyczą włamań do poczty elektronicznej i ICQ, fałszywych dokumentów, łamania kart kredytowych.

Scenariusz ataków

Użytkownik uruchamia plik pobrany za pomocą odsyłacza otrzymanego za pośrednictwem ICQ, jednak obiecane przez spamera zdjęcie nie pojawiają się na ekranie. Użytkownik czeka minutę lub dwie, a w tym czasie trojan przeszukuje jego komputer w celu znalezienia przechowywanych na nim haseł. Niektóre hasła są zaszyfrowane, jednak cyberprzestępcy potrafią je bez trudu odszyfrować. Następnie trojan zbiera wszystkie hasła znalezione w komputerze i tworzy wiadomość e-mail zawierającą wszystkie zebrane poufne informacje. Wiadomość zostaje wysłana na adres e-mail cyberprzestępcy, który został utworzony kilka dni przed atakiem. Aby uniemożliwić systemowi Windows ostrzeżenie użytkownika o zagrożeniu, trojan wyłącza zaporę sieciową poprzez zmodyfikowanie odpowiedniego klucza rejestru. Trojan wykonuje podobne działanie w stosunku do innych programów, które mogłyby uniemożliwić mu kradzież haseł i innych istotnych informacji użytkownika. Na koniec szkodliwy program tworzy plik .bat, który usuwa zarówno samego siebie jak i trojana, niszcząc tym samym ślady szkodliwej aktywności.

Zanim użytkownik zacznie coś podejrzewać, haker przetworzy dziesiątki lub setki wiadomości (w zależności od rozmiaru wysyłki) z hasłami przesłanymi przez trojana. Nawiasem mówiąc, wielu użytkowników w ogóle nie zdaje sobie sprawy, że miała miejsce jakakolwiek szkodliwa aktywność. Jedynym dowodem, jaki posiada użytkownik, jest odsyłacz do nieistniejącego zdjęcia, dlatego szanse na wyśledzenie cyberprzestępcy są bardzo niewielkie.

Użytkownicy często pocieszają się tym, że i tak nie mieli niczego ważnego na swoich komputerach. Jednak haker lub cyberprzestępca jest zupełnie innego zdania: znalazł się w posiadaniu imponującej listy haseł do kont e-mail, klientów FTP i gier online, jak również konta bankowego użytkownika i oczywiście samego konta ICQ.

Ktoś mógłby zapytać, do czego hakerowi potrzebny jest jeszcze jeden dziewięciocyfrowy numer, którego nikt nie zna. Oto dlaczego: haker wprowadzi hasło do klienta ICQ i uzyska dostęp do listy kontaktów użytkownika. Do wszystkich użytkowników na liście kontaktów zostanie wysłana wiadomość z prośbą o pożyczenie 50 e-dolarów i obietnicą zwrócenia ich następnego dnia. Reszta będzie zależała od hojności odbiorcy wiadomości i ich relacji z użytkownikiem, którego konto zostało skradzione. Przekonanie do tego zwykle nie jest trudne. W tym samym czasie haker będzie rozmawiał z innymi osobami z listy kontaktów, aby ich również nakłonić do pożyczenia mu pieniędzy. Nawet jeśli tylko jedna osoba z listy kontaktów każdej ofiary zgodzi się zapłacić hakerowi wirtualne pieniądze, zbierze on całkiem sporą sumkę w porównaniu z dziennym zarobkiem dobrego programisty - i to tylko za godzinę czatowania.

A co z kontem FTP? Co będzie, jeżeli na serwerze FTP, do którego cyberprzestępca uzyskał dostęp przy pomocy skradzionego hasła, przechowywane są strony WWW wystarczająco popularnej witryny internetowej? Cyberprzestępca będzie mógł dodać prostą ramkę lub zaszyfrowany kod JavaScript na koniec każdej strony, który będzie ukradkiem pobierał i uruchamiał szkodliwy program na wszystkich komputerach, z których dana strona będzie oglądana.

Wszystkie opisane wyżej działania można łatwo zautomatyzować. Na różnych serwisach randkowych i forach cyberprzestępca łatwo może znaleźć numery UIN ICQ, na które wyśle spam. Mówiąc ściśle dokona tego specjalny program wykonujący wszystkie rutynowe działania, łącznie z odfiltrowywaniem dublujących się numerów i sprawdzaniem listy spamowej w celu znalezienia nieaktywnych numerów. Następnie haker "wrzuci" trojana na stronę zarejestrowaną w darmowej usłudze hostingowej i będzie wysyłał odsyłacz do tej strony z pomocą listy spamowej stworzonej przez oprogramowanie hakera. Następnie inny program posortuje ogromne ilości wiadomości wysłanych przez trojany uruchomione na zaatakowanych komputerach i skategoryzuje otrzymane hasła. Lista nowych numerów ICQ otrzymanych od trojana zostanie przekształcona na nową listę spamową. Jeżeli numer zainfekowanego użytkownika ICQ jest atrakcyjny (np. łatwy do zapamiętania), może zostać później sprzedany za sporą sumę pieniędzy. Ostatnim etapem jest wysyłanie wiadomości z przekonującymi prośbami o pożyczenie niewielkiej kwoty pieniędzy. Po otrzymaniu odpowiedzi na takie żądanie wkracza haker, który wykorzystuje swoją wiedzę psychologiczną i socjotechniczną. Następnie "porwane" numery mogą zostać sprzedane hurtowo spamerom. Opisany wyżej proces może wydawać się fikcją, w rzeczywistości jednak takie oszustwa są dość częste.

W podsumowaniu przedstawiamy listę powodów, dla których cyberprzestępcy przeprowadzają ataki an klienty IM:

Sprzedawanie skradzionych numerów ICQ (dziewięciocyfrowe numery sprzedawane są hurtowo, natomiast "atrakcyjne" numery sprzedawane są indywidualnie za znaczną kwotę pieniędzy).
Tworzenie list spamowych przeznaczonych do sprzedaży spamerom lub w celu masowej dystrybucji szkodliwych programów.
Wykorzystywanie list kontaktów zaatakowanych użytkowników jako zaufanych źródeł, od których można "pożyczyć" pieniądze.
Pobieranie szkodliwych programów przy użyciu luk w zabezpieczeniach oprogramowania.
Zmiana stron WWW legalnych witryn internetowych (przy użyciu haseł do serwera FTP) w celu pobrania szkodliwego oprogramowania na komputery osób odwiedzających strony.
Tworzenie botnetów lub rozszerzanie istniejących sieci zombie.
Inna szkodliwa aktywność.

Odpieranie ataków na systemy IM

W jaki sposób użytkownicy mogą przeciwstawić się wyrafinowanym lub nieustannym atakom? Naturalnie, muszą bronić się przed nimi! Poniżej przedstawiamy kilka wskazówek, w jaki sposób użytkownicy mogą zabezpieczyć się przed zagrożeniami rozprzestrzeniającymi się za pośrednictwem klientów IM.

Przede wszystkim, nie należy bezmyślnie klikać odsyłaczy zawartych w otrzymywanych wiadomościach. Poniżej przedstawiamy kilka typów wiadomości, które użytkownicy powinni przeglądać z największą ostrożnością:

Wiadomości otrzymywane od nieznanych użytkowników z dziwnymi nikami (takimi jak SbawpathzsoipbuO).
Wiadomości od użytkowników z Twojej listy kontaktów, którzy proszą cię o obejrzenie zdjęć o rozszerzeniu pliku .exe.
Wiadomości zawierające rzekomo sensacje na temat romansu między dwiema sławnymi osobami wraz ze "sprawozdaniem z miejsca". "Sprawozdanie" stanowi w takim przypadku odsyłacz do następującego pliku: http://www.******.com/movie.avi.exe. Istnieje duże prawdopodobieństwo, że odsyłacz ten będzie prowadził do trojana Trojan-PSW.Win32.LdPinch.
Wiadomości sugerujące użytkownikowi pobranie programu, który zapewni mu nowe możliwości, np. "NOWY BŁĄD w ICQ umożliwiający stworzenie dowolnego numeru, który nie istnieje". Odsyłacz w wiadomości bez wątpienia będzie prowadził do programu, jednak program będzie kradł numer UIN użytkownika zamiast tworzyć nowy numer konta.

Takie wiadomości należy po prostu ignorować.

Jeżeli wiadomość pochodzi od użytkownika, którego znasz, ustal, czy rzeczywiście został przez niego wysłany. Nie pobieraj i nie uruchamiaj pliku z rozszerzeniem .exe. Nawet jeżeli rozszerzenie pliku nie jest określone w odsyłaczu, możesz zostać przekierowany na inną stronę zawierającą szkodliwy program.

Jak zawsze, użytkownicy powinni przestrzegać podstawowych zasad "higieny komputerowej": na komputerze należy zainstalować produkt antywirusowy z aktualną bazą danych oraz zaporą sieciową, która blokuje nieautoryzowane połączenia sieciowe. Dobrze byłoby, gdyby produkt antywirusowy zawierał ochronę proaktywną, które wykrywa szkodliwe programy na podstawie ich zachowania i/lub mechanizm analizy heurystycznej.

Użytkownicy często nie są świadomi, że na ich komputerze został uruchomiony szkodliwy program. Przyjaciele lub kontakty mogą pomóc w zidentyfikowaniu infekcji komputera PC. Przykładem może być pytanie przyjaciela: "Dlaczego gdy wczoraj rozmawialiśmy przez ICQ, poprosiłeś mnie, abym pożyczył ci 50 jednostek WebMoney?", gdy w rzeczywistości prawdziwy właściciel konta ICQ nie prosił o żadną pożyczkę. Inną, jeszcze bardziej oczywistą wskazówka infekcji jest bezowocna próba wykorzystania loginu lub hasła do usługi: nieudane próby autoryzacji oznaczają, że hasło zostało zmienione. Pytanie, przez kogo? Przez oficjalnego dostawcę usług lub przez cyberprzestępcę. W pierwszym przypadku, użytkownik otrzyma nowe hasło lub zawiadomienie o zmianie hasła zostanie wysłane za pośrednictwem poczty elektronicznej lub w inny sposób. Jeżeli sprawcą jest cyberprzestępca, coś takiego nie będzie miało miejsca.

Co należy zrobić w sytuacji, gdy trojan dostarczył swoją szkodliwą funkcję, a następnie usunął się z komputera? Po pierwsze należy sprawdzić, czy komputer jest naprawdę czysty, wykonując skanowanie za pomocą programu antywirusowego. Następnie, jeśli jest to możliwe, należy zmienić wszelkie hasła, jakie mógł skraść trojan. W tym celu trzeba postarać się przypomnieć sobie, które programy wymagają hasła i spróbować wprowadzić te hasła. Jeżeli taka próba zakończy się powodzeniem, należy natychmiast zmienić hasło. Najrozsądniej byłoby również ostrzec wszystkich użytkowników na liście twoich kontaktów i poprosić ich, aby nie odpowiadali na prośby o pożyczenie pieniędzy wysyłane z twojego konta IM, oraz aby nie próbowali oglądać zdjęć poprzez klikanie odsyłaczy w wiadomościach wysyłanych za pośrednictwem komunikatora internetowego.

Zainstalowanie najnowszej wersji ICQ pobranej z oficjalnej strony ICQ może pomóc zapobiec wykonanie losowo wybranego kodu w systemie, które jest możliwe dzięki luce w zabezpieczeniach ICQ 6.x związanej z przetwarzaniem kodu HTML.

W celu ochrony przed spamem ICQ można podjąć następujące działania:

Ponieważ spamerzy mogą sprawdzić status ICQ użytkownika przy pomocy strony internetowej, rozsądnie jest zablokować tę funkcję w kliencie ICQ. Wysyłki spamowe zwykle wysyłane są do osób, które aktywnie rozmawiają za pomocą ICQ lub przynajmniej są ciągle online. Z tego powodu najlepiej jest pozostać w trybie niewidocznym, jeśli tylko jest to możliwe. Jednak niektóre programy mogą "powiedzieć" innym użytkownikom, czy rzeczywiście jesteś offline, czy jedynie w trybie niewidocznym. W takiej sytuacji możesz użyć botu antyspamowego - prostego modułu obsługiwanego przez niektóre klienty IM (takie jak QIP). Poniższy zrzut ekranu pokazuje konfigurację prostego bota antyspamowego.

Rysunek 7. Konfiguracja prostego bota antyspamowego

W jaki sposób działa bot antyspamowy? Jeżeli użytkownik, który nie znajduje się na twojej liście kontaktów, chce z tobą czatować, będzie musiał najpierw odpowiedzieć na pytanie. Nie będzie mógł wysłać ci żadnej wiadomości, dopóki nie odpowie na to pytanie. Dobrym rozwiązaniem jest stosowanie pytań, na które każdy zna odpowiedź, takich jak "ile jest 2+2*2?" lub "jak się nazywa nasza planeta?" Jeżeli użytkownik odpowie "6" lub "Ziemia" i wyśle wiadomość, będzie mógł wysyłać ci dalsze wiadomości. Taka ochrona jest stosunkowo skuteczna w blokowaniu szeregu różnych botów, które wysyłają spam, mimo że niektóre z tych botów mogą być wystarczająco inteligentne, aby odpowiedzieć na większość popularnych pytań, np. na domyślne pytania wykorzystywane w modułach ochrony.

Wniosek

Komunikatory internetowe są bardzo atrakcyjne dla wszelkiej maści szkodliwych użytkowników i z tego względu problem rozprzestrzeniania szkodliwych programów za pośrednictwem klientów IM jest poważny. Nowe wersje klientów IM zawierają nieznane jeszcze luki w zabezpieczeniach, które mogą zostać wykryte najpierw przez hakerów, a następnie przez programistów. Takie sytuacje mogą łatwo prowadzić do masowych epidemii. Niektórzy użytkownicy są zmęczeni otrzymywaniem niechcianych wiadomości (IM spam).

Obecnie nie istnieją żadne metody czy rozwiązania przeznaczone do ochrony klientów IM. Jednak przestrzeganie prostych zasad "higieny komputerowej" oraz wykorzystywanie dobrze skonfigurowanego bota antyspamowego w połączeniu z niewielką dawką zdrowego rozsądku może pomóc użytkownikom bez obaw czatować za pośrednictwem Internetu.

Źródło:

Kaspersky Lab

WirusPC.pl

Zagrożenia

Porady

Polecamy

Sponsorzy

Artykuły

Zagrożenia związane z komunikatorami internetowymi

Klienty IM

Zagrożenia związane z komunikatorami internetowymi

Zagrożenia związane z ICQ

Kradzież haseł

Rozprzestrzenianie szkodliwych programów

Spam ICQ

Scenariusz ataków

Odpieranie ataków na systemy IM

Wniosek

Źródło: