Trend roku: ewolucja szkodliwych program贸w atakuj膮cych u偶ytkownik贸w gier online

Sergey Golovanov
  1. Ewolucja szkodliwego oprogramowania w 2007 r.
  2. Trend roku: ewolucja szkodliwych program贸w atakuj膮cych u偶ytkownik贸w gier online
  3. Raport o spamie
  4. Szkodliwe oprogramowanie rozprzestrzeniaj膮ce si臋 za po艣rednictwem poczty elektronicznej

Rok 2007 mo偶na okre艣li膰 jako "rok oszustw w 艣wiecie online" lub "rok wykorzystywania biednych graczy". W tym czasie nast膮pi艂 ogromny post臋p w ewolucji szkodliwych program贸w atakuj膮cych u偶ytkownik贸w gier online. Pod wzgl臋dem r贸偶norodno艣ci oraz skali rozprzestrzeniania si臋 programy takie prawie dor贸wnuj膮 ju偶 robakom i wirusom wywo艂uj膮cym epidemie (zobacz list臋 "On-line Scanner Top 20" dla listopada 2007 r.). Pod wzgl臋dem z艂o偶ono艣ci znajduj膮 si臋 na tym samym poziomie co najbardziej zaawansowane szkodliwe programy do tworzenia sieci zombie (zobacz artyku艂 "Gry online i oszustwa: 藕r贸d艂o 艂atwych pieni臋dzy").

W 2007 roku liczba szkodliwych program贸w, kt贸rych dzia艂anie ogranicza si臋 do atakowania u偶ytkownik贸w gier online, wzros艂a o 145% w stosunku do 2006 roku. By艂o to zgodne z istniej膮cym trendem gwa艂townego wzrostu oraz og贸ln膮 sytuacj膮 dotycz膮c膮 kradzie偶y wirtualnej w艂asno艣ci online.


Liczba szkodliwych program贸w kradn膮cych has艂a do gier online w poszczeg贸lnych latach


Bardziej szczeg贸艂ow膮 analiz臋 wzrostu liczby szkodliwych program贸w atakuj膮cych gry online umo偶liwi podzia艂 tych szkodnik贸w na dwie kategorie: TrojWare i VirWare.

TrojWare: trojany atakuj膮ce gry online

W艣r贸d szkodliwych program贸w atakuj膮cych u偶ytkownik贸w gier online udzia艂 trojan贸w (tj. program贸w, kt贸rych celem jest wy艂膮cznie kradzie偶 hase艂) wynosi 96%.

Do najwa偶niejszych przedstawicieli tych trojan贸w nale偶膮:

  • Trojan-PSW.Win32.OnlineGames,
  • Trojan-PSW.Win32.Lmir,
  • Trojan-PSW.Win32.Nilage,
  • Trojan-PSW.Win32.WOW,
  • Trojan-PSW.Win32.Magania,
  • Trojan-PSW.Win32.Gamec,
  • Trojan-PSW.Win32.Tibia,
  • Trojan-PSW.Win32.Hangame.

W og贸lnej liczbie nowych trojan贸w stworzonych w celu kradzie偶y poufnych informacji (tj. trojan贸w PSW) udzia艂 trojan贸w atakuj膮cych gry wynosi艂 dla ca艂ego roku 69,8%. Liczba tego typu trojan贸w nieustannie wzrasta: podczas gdy w styczniu ich udzia艂 wynosi艂 oko艂o 65%, we wrze艣niu przekroczy艂 75%, a pod koniec roku wzr贸s艂 do ponad 80%. Mo偶na powiedzie膰, 偶e cyberprzest臋pc贸w o wiele bardziej interesuj膮 has艂a do gier online ni偶 has艂a do kont pocztowych, komunikator贸w internetowych czy bankowo艣ci online.


Stosunek trojan贸w atakuj膮cych gry online do wszystkich trojan贸w
kradn膮cych poufne dane (trojany PSW)
(dla poszczeg贸lnych miesi臋cy 2007 r.)


Por贸wnuj膮c kod r贸偶nych trojan贸w atakuj膮cych gry dochodzimy do wniosku, 偶e rok 2006 i pierwsza po艂owa 2007 roku by艂y okresami testowania nowych technologii kradzie偶y hase艂, kluczy i innych danych, kt贸re umo偶liwiaj膮 cyberprzest臋pcom wykonywanie operacji na cudzej w艂asno艣ci wirtualnej. W drugiej po艂owie 2007 roku cyberprzest臋pcy doskonalili te technologie, wypr贸bowane i przetestowane, w odpowiedzi na nowe 艂aty opublikowane przez tw贸rc贸w gier online lub modyfikowali je, aby uniemo偶liwi膰 ich wykrycie przez programy antywirusowe.

Szybki wzrost liczby nowych trojan贸w na pocz膮tku 2007 roku oraz spowolnienie pod koniec roku, w po艂膮czeniu z brakiem nowych technologii, r贸wnie偶 艣wiadczy o tym, 偶e metody kradzie偶y postaci z gier oraz wirtualnej w艂asno艣ci osi膮gn臋艂y w drugiej po艂owie 2007 roku odpowiedni poziom zaawansowania.


Liczba szkodliwych program贸w kradn膮cych has艂a do gier online (TrojWare)
(w poszczeg贸lnych miesi膮cach 2007 r.)


Spadek liczby nowych trojan贸w kradn膮cych has艂a, jaki nast膮pi艂 w czerwcu, mo偶na przypisa膰 okresowi letnich wakacji oraz mniejszej cz臋stotliwo艣ci publikowania aktualizacji gier online. W takich warunkach cyberprzest臋pcy nie musz膮 wypuszcza膰 du偶ej liczby nowych trojan贸w, poniewa偶 okres 偶ycia starych trojan贸w jest wyd艂u偶ony.

Je艣li chodzi o kierunek rozwoju trojan贸w atakuj膮cych gry, rok 2007 by艂 rokiem przej艣ciowym. W tym czasie odchodzono od trojan贸w atakuj膮cych okre艣lone gry na rzecz szkodliwych program贸w tworzonych w celu kradzie偶y hase艂 do kilku gier jednocze艣nie.


Liczba trojan贸w stworzonych w celu kradzie偶y hase艂 do kilku gier
w por贸wnaniu z liczb膮 trojan贸w atakuj膮cych okre艣lone gry (w poszczeg贸lnych miesi膮cach 2007 r.)


Je艣li chodzi o liczebno艣膰 nowych program贸w, najliczniejsz膮 rodzin膮 w 2007 roku by艂a rodzina trojan贸w Trojan-PSW.Win32.OnlineGames, kt贸re poluj膮 na has艂a do kilku gier online jednocze艣nie (liczba atakowanych gier waha si臋 od dw贸ch do dziesi臋ciu).


Najliczniejsze rodziny trojan贸w atakuj膮cych gry w 2007 r.


Poprzez oszacowanie udzia艂u ka偶dego trojana atakuj膮cego okre艣lon膮 gr臋 online we wszystkich trojanach, kt贸rych celem s膮 gry online, mo偶emy ustali膰, jakie s膮 najpopularniejsze gry online w艣r贸d autor贸w trojan贸w.


Udzia艂 trojan贸w atakuj膮cych okre艣lone gry online w ca艂kowitej liczbie trojan贸w atakuj膮cych gry
(w poszczeg贸lnych miesi膮cach 2007 r.)


Jak wynika z powy偶szego wykresu, popularno艣膰 gry Lineage 2 (atakowanej przez trojana Trojan-PSW.Win32.Nilage) w艣r贸d autor贸w trojan贸w spad艂a w ci膮gu roku, podczas gdy popularno艣膰 gry Gamania (atakowanej przez trojana Trojan-PSW.Win32.Magania) wzros艂a w drugiej po艂owie 2007 roku. Popularno艣膰 gry World of Warcraft utrzymywa艂a si臋 na mniej wi臋cej sta艂ym poziomie, przy czym w sierpniu wzros艂a.

Aby oceni膰 popularno艣膰 Lineage2 oraz World of Warcraft w艣r贸d u偶ytkownik贸w gier online, mo偶na skorzysta膰 z google.com/trends (poni偶sze diagramy pokazuj膮 liczb臋 odsy艂aczy znalezionych przez Google dla odpowiednich zapyta艅).


Wyniki wy艣wietlone przez google.com/trends dla zapytania "lineage"
[http://www.google.com/trends?q=lineage&ctab=0]





Wyniki wy艣wietlone przez google.com/trends dla zapytania "wow"
[http://www.google.com/trends?q=wow&ctab=0]


Jak pokazuj膮 diagramy, zainteresowanie u偶ytkownik贸w gr膮 Lineage2 zmniejszy艂o si臋 w ci膮gu roku, podczas gdy popularno艣膰 World of Warcraft utrzymywa艂a si臋 na sta艂ym poziomie. To 艣wiadczy o tym, 偶e istnieje zwi膮zek mi臋dzy popularno艣ci膮 gier online w艣r贸d autor贸w trojan贸w oraz popularno艣ci膮, jak膮 ciesz膮 si臋 te gry w艣r贸d u偶ytkownik贸w.

VirWare

Spo艣r贸d wszystkich szkodliwych program贸w, kt贸re atakuj膮 u偶ytkownik贸w gier online, udzia艂 program贸w z klasy VirWare (tj. szkodliwych program贸w, kt贸re potrafi膮 samodzielnie si臋 rozprzestrzenia膰) wynosi jedynie 4%, jednak do tej kategorii nale偶y kilka nies艂awnych szkodliwych program贸w:

  • Worm.Win32.Viking,
  • Worm.Win32.Fujack,
  • Virus.Win32.Alman,
  • Virus.Win32.Hala,
  • Worm.Win32.AutoRun.

Udzia艂 szkodliwych program贸w atakuj膮cych gry online w ca艂kowitej liczbie program贸w nale偶膮cych do klasy VirWare zmienia艂 si臋 w ci膮gu roku.


Udzia艂 samodzielnie rozprzestrzeniaj膮cych si臋 szkodliwych program贸w atakuj膮cych gry online w ca艂ej klasie VirWare
(w poszczeg贸lnych miesi膮cach 2007 r.)


Jak pokazuje powy偶szy wykres, zim膮, gdy u偶ytkownicy gier s膮 najbardziej aktywni, mniej wi臋cej co pi膮ty samodzielnie rozprzestrzeniaj膮cy si臋 szkodliwy program zosta艂 stworzony w celu kradzie偶y hase艂 do gier online.

Jak mo偶na zobaczy膰 na poni偶szym wykresie, na pocz膮tku i pod koniec 2007 roku tw贸rcy wirus贸w aktywnie rozwijali nowe szkodniki z klasy VirWare atakuj膮ce gry online:


Liczba samodzielnie rozprzestrzeniaj膮cych si臋 szkodliwych program贸w (VirWare), kt贸re kradn膮 has艂a do gier online
(dla poszczeg贸lnych miesi臋cy 2007 r.)


Tw贸rcy nowych program贸w z klasy VirWare atakuj膮cych gry online wykazali najwi臋ksz膮 aktywno艣膰 w lipcu. Za to nat臋偶enie aktywno艣ci odpowiedzialny by艂 jeden z najbardziej skutecznych robak贸w atakuj膮cych gry, Worm.Win32.AutoRun, kt贸ry pojawi艂 si臋 w tym miesi膮cu.

Robak ten zawdzi臋cza swoj膮 skuteczno艣膰 wykorzystywanej metodzie propagacji: szkodnik rozprzestrzenia si臋 za po艣rednictwem kart pami臋ci flash. Po udanym debiucie AutoRun nie straci艂 na popularno艣ci. To w艂a艣nie ten robak w du偶ej mierze przyczyni艂 si臋 do szczytu popularno艣ci, jaki osi膮gn臋艂y w grudniu nowe szkodniki z klasy VirWare atakuj膮ce gry online.

Wnioski

Gry online ju偶 od dawna przesta艂y by膰 czym艣 niezwyk艂ym. Sta艂y si臋 cz臋艣ci膮 codziennego 偶ycia, tak samo jak ICQ, poczta elektroniczna czy telefony kom贸rkowe.

Ewolucja szkodliwych program贸w atakuj膮cych gry online w 2007 roku jest wynikiem ewolucji gier online oraz ca艂ej tej bran偶y. Kradzie偶 w艂asno艣ci wirtualnej oraz postaci z gier stanowi obecnie dochodowy biznes. O ile na pocz膮tku roku nie istnia艂y 偶adne uniwersalne algorytmy kradzie偶y hase艂 do gier online, pod koniec roku ju偶 si臋 pojawi艂y.

Obecnie na ca艂ym 艣wiecie pojawia si臋 codziennie od 8 do 9 nowych robak贸w tworzonych w celu kradzie偶y hase艂 do gier online i 5 do 6 trojan贸w co godzin臋. Poziom zaawansowania nowej generacji szkodnik贸w atakuj膮cych gry jest por贸wnywalny do poziomu wielofunkcyjnych trojan贸w wykorzystywanych do tworzenia sieci zombie.

Istnieje dobrze wykszta艂cony czarny rynek cennych przedmiot贸w zwi膮zanych z grami online, kt贸ry ewoluuje zgodnie z prawami ekonomii. Tw贸rcy wirus贸w uwa偶nie 艣ledz膮 t臋 ewolucj臋.

Poni偶sze wykresy pokazuj膮 liczb臋 odsy艂aczy znalezionych przez Google (google.com/trends) dla nast臋puj膮cych zapyta艅: "sprzedaj konto (wykres niebieski)", "kup konto (wykres czerwony)" oraz "w艂am si臋 do konta" (wykres zielony).


Wynik wy艣wietlony przez google.com/trends dla zapytania
"sprzedaj konto, kup konto, w艂am si臋 do konta"
[http://www.google.com/trends?q=sell+account%2C+buy+account%2C+hack+account&ctab=0&geo=all&date=all&sort=0]


Diagram ten rzuca 艣wiat艂o na stosunkow膮 popularno艣膰 tych temat贸w. Poniewa偶 lwia cz臋艣膰 ofert zakupu lub sprzeda偶y konta jest zwi膮zana z grami online, mo偶na wnioskowa膰, 偶e zapotrzebowanie przewy偶sza poda偶 na rynku cennych przedmiot贸w zwi膮zanych z grami online. To 偶e wzrost popularno艣ci zapyta艅 dotycz膮cych sprzeda偶y i zakupu kont pokrywa si臋 ze wzrostem popularno艣ci zapyta艅 dotycz膮cych w艂amania si臋 na konto, 艣wiadczy o tym, 偶e rynek ten charakteryzuje si臋 du偶ym stopniem kryminalizacji.

Poniewa偶 liczba os贸b, kt贸re chc膮 kupi膰 postacie, wirtualn膮 walut臋 lub w艂asno艣膰 zwi膮zan膮 z grami online, nieustannie ro艣nie, rynek ten b臋dzie ci膮gle si臋 rozszerza艂. To z kolei oznacza, 偶e tw贸rcy wirus贸w w najbli偶szym czasie z pewno艣ci膮 nie strac膮 zainteresowania grami online i szkodliwe programy atakuj膮ce u偶ytkownik贸w gier online nadal b臋d膮 ewoluowa膰. Tw贸rcy szkodliwych program贸w bardziej zainteresuj膮 si臋 autoochron膮 szkodliwych program贸w atakuj膮cych gry online i b臋d膮 integrowa膰 rozwijan膮 przez siebie funkcj臋 kradzie偶y hase艂 do szkodliwych program贸w reprezentuj膮cych inny rodzaj zachowania, np. backdoor贸w.

殴r贸d艂o:
Kaspersky Lab