Ewolucja stron www zawieraj膮cych szkodliwy kod: stycze艅 - czerwiec 2007

Costin Raiu
Szef dzia艂u bada艅 i rozwoju, Kaspersky Lab Romania

  1. Metody rozprzestrzeniania
  2. 20 najcz臋艣ciej rozprzestrzenianych szkodliwych program贸w za po艣rednictwem Internetu
  3. 20 pa艅stw, w kt贸rych zlokalizowanych jest najwi臋cej zainfekowanych stron internetowych
  4. Specjalne przypadki
  5. Wnioski

Jest to pierwszy z serii raport贸w firmy Kaspersky Lab dotycz膮cych ewolucji zainfekowanych stron www oraz szkodliwych program贸w dostarczanych za po艣rednictwem Internetu.

W ostatnich latach zmieni艂y si臋 mechanizmy dostarczania szkodliwego oprogramowania - w miejsce sta艂ych no艣nik贸w (dyskietek, p艂yt CD) wykorzystywana jest poczta elektroniczna (np. nies艂awny robak pocztowy LoveLetter) oraz bezpo艣rednie ataki sieciowe (np. CodeRed). Ostatnim krokiem w procesie ewolucji jest dostarczanie szkodliwego oprogramowania za po艣rednictwem Internetu.

Wzrost liczby szkodliwych program贸w dostarczanych za po艣rednictwem Internetu spowodowany by艂 kilkoma czynnikami. Jednym z nich jest naturalnie stosunkowo du偶a liczba luk w zabezpieczeniach programu Microsoft Internet Explorer wykrytych w latach 2003-2006. Innym powodem jest niezgodno艣膰 "filozoficzna" czy te偶 projektowa mi臋dzy wi臋kszo艣ci膮 silnik贸w antywirusowych a sposobem uzyskiwania dost臋pu do stron www za po艣rednictwem Internetu. Poniewa偶 do ustalenia, czy dany plik jest zainfekowany czy nie, wi臋kszo艣膰 silnik贸w antywirusowych potrzebuje jego pe艂nej kopii, podczas skanowania strumieni danych pojawiaj膮 si臋 problemy. Naturalnie pomocne mog膮 tu by膰 rozwi膮zania na poziomie proxy, kt贸re buforuj膮 strumie艅, a nast臋pnie - gdy zostanie ca艂kowicie pobrany - przekazuj膮 go do silnika antywirusowego. Jednak s膮 one jeszcze stosunkowo ma艂o popularne.

Kolejnym czynnikiem, kt贸ry mia艂 wp艂yw na wzrost liczby szkodliwych program贸w dostarczanych za po艣rednictwem Internetu, s膮 prawdopodobnie pr贸by blokowania wykonywalnych za艂膮cznik贸w w mailach. Jeszcze w 2003 i 2004 roku, gdy wi臋kszo艣膰 szkodliwych program贸w by艂a dostarczana za po艣rednictwem wiadomo艣ci e-mail (pliki .EXE/.SCR/.PIF itd.), wielu administrator贸w ca艂kowicie blokowa艂o za艂膮czniki wykonywalne. To spowodowa艂o, 偶e w celu rozprzestrzeniania swoich "dzie艂" tw贸rcy szkodliwego oprogramowania zacz臋li wykorzystywa膰 archiwa - na przyk艂ad pliki ZIP. W 2006 roku popularnym wektorem atak贸w by艂y r贸wnie偶 dokumenty Microsoft Office zawieraj膮ce exploity.

Tw贸rcy szkodliwego oprogramowania znale藕li proste rozwi膮zanie: zamiast dostarcza膰 cia艂o szkodliwego programu za po艣rednictwem poczty elektronicznej zacz臋li wysy艂a膰 adresy URL prowadz膮ce do zainfekowanych stron www. Poniewa偶 bramy pocztowe sprawdzaj膮 tylko tre艣膰 wiadomo艣ci pocztowej, rozwi膮zanie antywirusowe nie jest w stanie wykry膰 szkodliwego oprogramowania, do kt贸rego prowadzi odsy艂acz zawarty w mailu.

Wymienione wy偶ej czynniki wyja艣niaj膮, dlaczego w miejsce szkodliwego oprogramowania dostarczanego bezpo艣rednio do skrzynek odbiorczych pojawi艂y si臋 szkodliwe programy umieszczane na serwerach internetowych, kt贸re albo uruchamiane s膮 r臋cznie przez u偶ytkownik贸w (socjotechnika), albo wykorzystuj膮 luk臋 w zabezpieczeniach przegl膮darki internetowej.

Metody rozprzestrzeniania

Szkodliwe oprogramowanie umieszczone na stronie internetowej mo偶e zainfekowa膰 komputer na dwa sposoby:

Pierwsz膮 metod膮 jest atak z wykorzystaniem socjotechniki. Na przyk艂ad, osoba atakuj膮ca wysy艂a wiadomo艣膰 email zawieraj膮c膮 adres URL, kt贸ry rzekomo prowadzi do strony internetowej mog膮cej zainteresowa膰 odbiorc臋. Oto przyk艂ad takiej wiadomo艣ci:


Rys. 1: Email zawieraj膮cy odsy艂acz,
kt贸ry prowadzi do szkodliwego oprogramowania.

W przedstawionym mailu odsy艂acz do serwisu YouTube stanowi tylko przyn臋t臋 i prowadzi do strony "video missing". Odsy艂acz HREF do filmu wskazuje na adres IP, pod kt贸rym znajduje si臋 strona www. Oto, co zobaczy u偶ytkownik, gdy wejdzie na t臋 stron臋:


Rys. 2. Fa艂szywa strona zawieraj膮ca szkodliwy plik wykonywalny.

Odsy艂acz "click here" wskazuje na plik wykonywalny o nazwie "video.exe", b臋d膮cy wariantem robaka Zhelatin (http://www.viruslist.pl/encyclopedia.html?cat=13&uid=4763&o=2) (znanego r贸wnie偶 pod nazw膮 "Storm").

Inn膮 metod膮 wykorzystywan膮 przez szkodliwe oprogramowanie w celu infekowania systemu za po艣rednictwem Internetu jest wykorzystywanie exploit贸w atakuj膮cych przegl膮darki internetowe. Oto przyk艂ad:


Rys.3. 殴r贸d艂o strony w HTML-u zawieraj膮cej exploit atakuj膮cy przegl膮dark臋 Mozilla Firefox.

Powy偶ej znajduje si臋 fragment strony zawieraj膮cej zaszyfrowany exploit atakuj膮cy przegl膮dark臋 internetow膮. Wi臋kszo艣膰 stron www zawieraj膮cych exploity atakuj膮ce przegl膮darki internetowe wykorzystuje pewien rodzaj zaciemniania w celu unikni臋cia wykrycia przez system IDS co jest mo偶liwe za pomoc膮 skanowania strumienia TCP/IP w celu znalezienia znanych schemat贸w, jak r贸wnie偶 prostych system贸w antywirusowych opartych na sygnaturach. Po odszyfrowaniu mo偶na przeanalizowa膰 kod exploita:


Rys. 4. Fragment odszyfrowanego exploita (Trojan-Downloader.JS.Agent.ep)

W takim przypadku szkodliwy kod pr贸buje za艂adowa膰 plik ".WMV" o bardzo d艂ugiej nazwie, kt贸ry jest exploitem Windows Media Player Plug-In EMBED Overflow (udokumentowanym w Microsoft Security Bulletin MS06-006 - "Usterka w dodatku plug-in Windows Media Player do przegl膮darek internetowych innych producent贸w umo偶liwia zdalne wykonanie kodu" (911564)). Wsp贸艂czesne przegl膮darki przeka偶膮 takie 偶膮dania do Windows Media Player i je艣li b臋dzie on podatny na ataki, dojdzie do infiltracji systemu. Interesuj膮ce jest to, 偶e nawet je艣li system posiada najnowsz膮 wersj臋 przegl膮darki internetowej, ale podatny na ataki Windows Media Player, zostanie zainfekowany.

Jak ju偶 wspomnieli艣my wcze艣niej, istniej膮 dwa g艂贸wne sposoby przenikania szkodliwego oprogramowania do atakowanego komputera za po艣rednictwem Internetu: poprzez wykorzystanie metod socjotechniki lub exploity atakuj膮ce przegl膮darki internetowe. Nikogo nie powinno dziwi膰, 偶e w celu zwi臋kszenia szans na powodzenie tw贸rcy szkodliwego oprogramowania stosuj膮 w wi臋kszo艣ci przypadk贸w obie metody w po艂膮czeniu.

Dobrym przyk艂adem po艂膮czenia tych metod jest robak Zhelatin, o kt贸rym wspominali艣my ju偶 wcze艣niej. Kod strony internetowej, poprzez kt贸r膮 rozprzestrzeniany jest szkodnik, zosta艂 stworzony w j臋zyku PHP i zanim wy艣wietli u偶ytkownikowi zainfekowan膮 stron臋, wykonuje kilka rzeczy. Przede wszystkim sprawdza ci膮g identyfikuj膮cy przegl膮dark臋 "User-Agent". Je艣li ci膮g ten jest mniej rozpowszechniony, jak w przypadku przegl膮darki Safari w systemie MacOS lub Lynx w Linuksie, b臋dzie pr贸bowa艂 wy艣wietli膰 stron臋, kt贸ra wykorzystuje socjotechnik臋. Je偶eli ci膮g identyfikuj膮cy przegl膮dark臋 b臋dzie nale偶a艂 do Internet Explorera, np. "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)", wy艣wietli specjaln膮 stron臋 zawieraj膮c膮 okre艣lone exploity atakuj膮ce przegl膮dark臋 IE. To samo odnosi si臋 do przegl膮darki Firefox.

20 najcz臋艣ciej rozprzestrzenianych szkodliwych program贸w za po艣rednictwem Internetu

Na pocz膮tku 2006 r. wzros艂a liczba szkodliwych program贸w rozprzestrzenianych za po艣rednictwem Internetu w por贸wnaniu z klasycznymi w tym czasie metodami rozprzestrzeniania szkodliwego oprogramowania za po艣rednictwem poczty elektronicznej i atak贸w sieciowych. Dlatego firma Kaspersky Lab opracowa艂a "Akross", system, kt贸ry nieustannie monitoruje strony internetowe w celu znalezienia szkodliwej zawarto艣ci. Od tego czasu Akross zidentyfikowa艂 ponad 53000 unikatowych stron www zawieraj膮cych szkodliwe programy, z czego ponad 28000 w pierwszej po艂owie 2007 roku.

Miejsce Nazwa szkodliwego programu %%
1 Trojan-Downloader.Win32.Small.on 11,26
2 Trojan-Downloader.Win32.Zlob.bbr 6,01
3 Trojan-Downloader.Win32.Zlob.bjt 4,59
4 Trojan.Win32.DNSChanger.is 3,19
5 Trojan-Downloader.Win32.Zlob.bon 3.17
6 Trojan.Win32.DNSChanger.ih 2,74
7 Trojan.Win32.DNSChanger.hk 2,50
8 not-a-virus:Porn-Dialer.Win32.PluginAccess.s 2,08
9 Trojan.Win32.DNSChanger.io 1,77
10 Trojan.Win32.DNSChanger.jb 1.02
11 Trojan.Win32.DNSChanger.ik 0,76
12 Trojan-Downloader.Win32.Small.damtd> 0,62
13 Trojan-Spy.Win32.Banker.ciy 0,59
14 Trojan-PSW.Win32.OnLineGames.es 0,48
15 Backdoor.Win32.Rbot.gen 0,48
16 Trojan-Spy.Win32.Banker.anv 0,42
17 Trojan-Spy.Win32.Banker.awa 0,40
18 Trojan-Downloader.Win32.CWS.j 0,36
19 Trojan.Win32.DNSChanger.hj 0,36
20 Trojan-Spy.Win32.Bancos.zm 0,34
Rys. 5. 20 szkodliwych program贸w najcz臋艣ciej pobieranych z zainfekowanych stron internetowych (stycze艅 - czerwiec 2007)

Znajduj膮cy si臋 na szczycie rankingu Trojan-Downloader.Win32.Small.on jest typowym trojanem downloaderem, kt贸ry pobiera inny plik wykonywalny z wbudowanego w jego kod adresu URL, a nast臋pnie wykonuje go. Trojany downloadery zwykle s膮 powszechnie wykorzystywane na wielopoziomowych stronach www zawieraj膮cych szkodliwy kod, gdzie zazwyczaj rezyduj膮cy w pami臋ci exploit 艂aduje niewielkiego trojana downloadera, kt贸ry nast臋pnie 艂aduje ostatni膮 funkcj臋 szkodliw膮 lub kolejnego downloadera.

Innym interesuj膮cym przyk艂adem jest Zlob, kt贸rego kilka wariant贸w znajduje si臋 na szczycie rankingu. Na pocz膮tku tego roku Zlob by艂 bardzo popularny; jednak liczba tych program贸w zacz臋艂a si臋 zmniejsza膰 do tego stopnia, 偶e obecnie rzadko mo偶na je spotka膰. W wi臋kszo艣ci przypadk贸w Zlob instalowany by艂 przy u偶yciu socjotechniki: stworzono strony www rzekomo oferuj膮ce wideokodeki do pobrania, kt贸re mia艂y umo偶liwi膰 odtworzenie p艂yt DVD oraz film贸w w r贸偶nych formatach.


Rys. 6. Fa艂szywe strony wykorzystywane do rozprzestrzeniania wariant贸w trojana Zlob.

Jak wynika z listy 20 najcz臋艣ciej rozprzestrzenianych szkodliwych program贸w za po艣rednictwem Internetu, do艣膰 rozpowszechniony jest DNSChanger. Mi臋dzy trojanem Zlob a DNSChanger istnieje pewien zwi膮zek - wed艂ug nas, szkodniki te zosta艂y stworzone przez ten sam gang. Mimo 偶e w ci膮gu swojego 偶ycia DNSChanger przeszed艂 wiele zmian, jego podstawowe dzia艂anie polega na tym, 偶e na zaatakowanym komputerze manipuluje adresami serwer贸w DNS i kieruje je na dwa ustalone adresy IP. Adresy IP wybierane s膮 spo艣r贸d du偶ej puli. Kr膮偶膮 tysi膮ce wariant贸w trojana DNSChanger, z kt贸rych ka偶dy ustawia serwery DNS na inne adresy IP. Mimo 偶e zmiana serwer贸w DNS nie jest czym艣 szczeg贸lnie szkodliwym, osoba, kt贸ra to zrobi, mo偶e w rzeczywisto艣ci wyrz膮dzi膰 wiele szk贸d - na przyk艂ad, przekierowa膰 strony www, takie jak Amazon.com czy Bank Of America na strony phishingowe, tak aby u偶ytkownik w og贸le si臋 nie zorientowa艂. Aby utrudni膰 usuwanie takich program贸w, najnowsze wersje trojana DNSChangers zawieraj膮 komponenty rootkit贸w, a nawet pobieraj膮 dodatkowe szkodliwe oprogramowanie.

Jak sugeruje jego nazwa, not-a-virus:Porn-Dialer.Win32.PluginAccess.s, nie jest wirusem. Szkodnik ten nale偶y do rodziny program贸w, kt贸re znajduj膮 si臋 na granicy szkodliwego oprogramowania oraz oprogramowania, kt贸re mo偶e by膰 przydatne dla niekt贸rych u偶ytkownik贸w.


Rys. 7. Dwa pliki wykonywalne programu 'not-a-virus:Porn-Dialer.Win32.PluginAccess.s' z charakterystycznymi ikonami

Warianty PluginAccess.s zawieraj膮 zazwyczaj szereg r贸偶nych p艂atnych numer贸w specyficznych dla danego pa艅stwa, kt贸re s膮 wybierane w zale偶no艣ci od regu艂 wybierania numer贸w danego telefonu kom贸rkowego oraz appletu "Modem Options Control Panel" w systemie Windows. Po tym, jak u偶ytkownik wybierze p艂atny numer, otrzyma znacznik uwierzytelniaj膮cy, kt贸ry umo偶liwia dost臋p do r贸偶nych us艂ug za po艣rednictwem Internetu. W celu zainstalowania PluginAccess wykorzystuje si臋 najcz臋艣ciej socjotechnik臋, poniewa偶 program przedstawiany jest zazwyczaj jako metoda umo偶liwiaj膮ca wej艣cie na r贸偶ne strony przeznaczone dla doros艂ych. Koszt dost臋pu jest podany, dlatego przypadkowe infekcje trojanem PluginAccess s膮 rzadkie. Z tego powodu program ten nie jest klasyfikowany jako szkodliwe oprogramowanie, ale "not-a-virus". Popularno艣膰 takich program贸w wynika prawdopodobnie z tego, 偶e umo偶liwiaj膮 one dost臋p do r贸偶nych p艂atnych serwis贸w bez konieczno艣ci posiadania karty kredytowej - koszt obci膮偶a bezpo艣rednio rachunek telefoniczny u偶ytkownika.

Na uwag臋 zas艂uguje r贸wnie偶 Trojan-Spy.Win32.Banker.ciy. Trojany bankery to szkodliwe programy, kt贸re pr贸buj膮 kra艣膰 dane dost臋pu do bankowo艣ci elektronicznej; niekt贸re przeprowadzaj膮 nawet ataki typu "man-in-the-middle" na sesj臋 internetow膮 u偶ytkownika. Szczeg贸lnie w ostatnich miesi膮cach wzros艂a liczba atak贸w na banki przeprowadzanych z u偶yciem trojan贸w z rodziny banker贸w. Trojan-Spy.Win32.Banker.ciy uzyska艂 nawet miano najbardziej pazernego trojana atakuj膮cego karty p艂atnicze na li艣cie 20 najbardziej charakterystycznych szkodliwych program贸w w marcu 2007 r. (http://www.viruslist.pl/weblog.html?weblogid=397). Szkodnik ten zas艂u偶y艂 sobie na ten tytu艂 tym, 偶e atakuje 5 system贸w kart p艂atniczych.

Innym istotnym trendem w ewolucji szkodliwego oprogramowania jest tworzenie i rozprzestrzenianie trojan贸w, kt贸re kradn膮 wirtualne przedmioty z gier online, takich jak World of Warcraft, EVE Online czy Legend of Mir. Gry te s膮 szczeg贸lnie popularne w krajach azjatyckich, zw艂aszcza w Korei i Chinach, jednak na ca艂ym 艣wiecie maj膮 miliony fan贸w. Rzadkie przedmioty wirtualne w tych grach mog膮 by膰 bardzo drogie, poza tym, istnieje powszechna praktyka handlowania nimi na eBayu czy innych stronach aukcyjnych za wirtualn膮 got贸wk臋 lub prawdziwe pieni膮dze. Ze wzgl臋du na du偶e zapotrzebowanie na nie wzrasta liczba oszustw z wykorzystaniem wirtualnych przedmiot贸w. Przyk艂adem tego, ile jest wart wirtualny przedmiot, jest najdro偶szy statek kosmiczny w grze EVE Online (http://www.eve-online.com/), kt贸ry mo偶e kosztowa膰 r贸wnowarto艣膰 10 000 dolar贸w. Dlatego te偶 nikogo nie powinno dziwi膰, 偶e istnieje tak du偶e zainteresowanie tworzeniem szkodliwego oprogramowania, kt贸rego celem jest wirtualna w艂asno艣膰 - mo偶liwo艣膰 uzyskania korzy艣ci finansowych jest oczywistym motorem.

Trojan-PSW.Win32.OnLineGames.es jest typowym przedstawicielem swojego rodzaju. Mimo 偶e istnieje wiele modyfikacji tego trojana, wi臋kszo艣膰 z nich atakuje gr臋 World of Warcraft (http://www.worldofwarcraft.com/). Trojany te monitoruj膮 proces gry i zbieraj膮 informacje o wszystkich uderzeniach klawiszy przez u偶ytkownika, kt贸re s膮 nast臋pnie przesy艂ane do os贸b atakuj膮cych. Nast臋pnie osoby te mog膮 zalogowa膰 si臋 do gry przy pomocy skradzionego konta i sprzedawa膰 przedmioty, walut臋 oraz postacie. Aby unikn膮膰 wykrycia, wykorzystywane s膮 skomplikowane operacje wirtualnego prania brudnych pieni臋dzy, co znacznie utrudnia 艣ledzenie wirtualnych pieni臋dzy.

Na koniec warto wspomnie膰 jeszcze o trojanie Trojan-Downloader.Win32.CWS.j, kt贸ry cz臋sto wyst臋puje na zainfekowanych stronach. Szkodnik ten pobiera i instaluje warianty programu CWS, by膰 mo偶e bardziej znanego jako CoolWebSearch. CoolWebSearch to szkodliwy program, kt贸ry po raz pierwszy zosta艂 wykryty w 2003 roku. Od tego czasu na wolno艣ci znaleziono ogromn膮 liczb臋 nowych wariant贸w tego trojana, z kt贸rych wi臋kszo艣膰 dzia艂a艂a wed艂ug tego samego schematu: "porywanie" strony startowej przegl膮darki i wy艣wietlanie pornograficznych okienek wyskakuj膮cych. Z czasem warianty trojana CWS stawa艂y si臋 coraz bardziej z艂o偶one, a najnowsze zawiera艂y komponenty rootkit贸w oraz funkcje retro, kt贸rych celem jest wy艂膮czenie program贸w antywiruswych.

Podsumowuj膮c, wi臋kszo艣膰 szkodliwych program贸w rozprzestrzenianych za po艣rednictwem stron internetowych w pierwszej po艂owie 2007 roku mo偶na podzieli膰 na cztery g艂贸wne kategorie: fa艂szywe odtwarzacze film贸w/DVD oraz kodeki, kt贸re s膮 instalowane z wykorzystaniem socjotechniki (Zlob itd.), trojany "bankowe", szkodliwe oprogramowanie atakuj膮ce gry online oraz tak zwane oprogramowanie "szarej strefy", kt贸re u艂atwia dost臋p do stron internetowych przeznaczonych dla doros艂ych.

20 pa艅stw, w kt贸rych zlokalizowanych jest najwi臋cej zainfekowanych stron internetowych

Sk膮d wi臋c pochodz膮 te wszystkie szkodliwe programy? Aby odpowiedzie膰 na to pytanie, nale偶y przyjrze膰 si臋 rozwi膮zaniom wykorzystywanym przez cyberprzest臋pc贸w w celu utrzymywania stron zawieraj膮cych szkodliwe oprogramowanie.

Szkodliwe oprogramowanie umieszczone na stronach internetowych mo偶e znale藕膰 si臋 tam na wiele r贸偶nych sposob贸w. Mo偶e wyst臋powa膰 na zaatakowanych komputerach, kt贸re zosta艂y zainfekowane botami kontrolowanymi przez niewielkie serwery HTTP, kt贸re staj膮 si臋 punktami rozprzestrzeniania szkodliwego kodu. Mo偶e r贸wnie偶 znale藕膰 si臋 na stronach dostawc贸w us艂ug internetowych na skutek w艂amania. Autorzy szkodliwego oprogramowania wykorzystuj膮 r贸wnie偶 firmy, kt贸re bezp艂atnie udost臋pniaj膮 u偶ytkownikom niewielkie ilo艣ci wolnego miejsca w Internecie na stworzenie w艂asnych stron domowych. Przyk艂adem mo偶e by膰 www.pochta.ru, www.googlepages.com, www.100freemb.com, www.dump.ru or www.home.ro. Znane s膮 r贸wnie偶 przypadki wykorzystywania skradzionych kart kredytowych do zakupu nazwy domeny oraz pakietu hostingowego od legalnego dostawcy us艂ug internetowych i wykorzystania ich do rozprzestrzeniania szkodliwego oprogramowania.

Na pocz膮tku tego roku 艣redniej wielko艣ci ameryka艅ska firma hostingowa pad艂a ofiar膮 ataku, w kt贸rym cyberprzest臋pcy wykorzystali niezabezpieczon膮 wersj臋 Panelu Sterowania i zdobyli dost臋p do wszystkich kont utrzymywanych na serwerach firmy. Osoby atakuj膮ce przejrza艂y strony kodowe (index) wszystkich stron www utrzymywanych na zaatakowanych maszynach i doda艂y niewielki skrypt wykorzystuj膮cy luk臋 w zabezpieczeniach przegl膮darki IE. Nast臋pnie exploit ten instalowa艂 szkodliwe oprogramowanie, 艂膮cznie z rootkitem. Podobnie, w lutym zosta艂a zaatakowana strona internetowa stadionu Super Bowl Dolphins Stadium, a do jej kodu 藕r贸d艂owego zosta艂y wstrzykni臋te exploity. Najnowszy incydent w historii w艂ama艅 na strony internetowe dotyczy strony Bank of India, na kt贸r膮 w艂amano si臋 pod koniec sierpnia 2007 r. Hakerzy zmodyfikowali kod strony g艂贸wnej, tak aby zawiera艂 exploit IE IFRAME, kt贸ry rozprzestrzenia艂 szkodliwe oprogramowanie.

Na podstawie adres贸w IP, z kt贸rych pochodzi艂y szkodliwe programy wykryte przy u偶yciu Akross, sporz膮dzono list臋 pokazuj膮c膮 rozk艂ad geograficzny zainfekowanych stron www.

Miejsce Pa艅stwo %%
1 Chiny 31,44
2 Stany Zjednoczone 25,90
3 Rosja 11,05
4 Brazylia 4,40
5 Korea Po艂udniowa 3,64
6 Argentyna 2,90
7 Niemcy 2,31
8 Francja 1,70
9 Panama 1,53
10 Holandia 1,31
11 Ukraina 1,26
12 Kanada 1,24
13 Hiszpania 1,15
14 Wielka Brytania 1,15
15 Hong Kong 0,83
16 W艂ochy 0,72
17 Portugalia 0,70
18 Rumunia 0,68
19 Taiwan 0,65
20 Malezja 0,52
Rys. 8. 20 pa艅stw, w kt贸rych znajduje si臋 najwi臋cej stron www rozprzestrzeniaj膮cych szkodliwe oprogramowanie

Na pierwszym miejscu listy pa艅stw, w kt贸rych zlokalizowanych jest najwi臋cej zainfekowanych stron internetowych, znajduj膮 si臋 Chiny (31,44 proc. wszystkich stron), na drugim Stany Zjednoczone (25,90 proc.). W ostatnich latach pa艅stwa te zdominowa艂y prawie wszystkie statystyki dotycz膮ce szkodliwego oprogramowania, a ich kolejno艣膰 zmienia艂a si臋 w zale偶no艣ci od trend贸w w rozwoju szkodliwego oprogramowania oraz ewolucji system贸w operacyjnych. Interesuj膮ce jest to, 偶e podczas gdy w Chinach szkodliwe oprogramowanie rozprzestrzeniane jest g艂贸wnie poprzez w艂amania na strony internetowe oraz poprzez tak zwany "bullet-proof hosting", w Stanach Zjednoczonych g艂贸wnie poprzez w艂amania na strony internetowe ".com" oraz poprzez legalne pakiety hostingowe kupione przy u偶yciu skradzionych kart.

Na trzecim i czwartym miejscu uplasowa艂y si臋 Rosja i Brazylia. W obu pa艅stwach najwi臋cej szkodliwego oprogramowania znajduje si臋 w "darmowych pakietach hostingowych".

W pozosta艂ych pa艅stwach z rankingu 偶aden z wykorzystywanych no艣nik贸w szkodliwego oprogramowania: zaatakowane komputery, darmowe pakiety hostingowe oraz legalne pakiety hostingowe kupione za skradzione pieni膮dze, nie jest dominuj膮cy.

Specjalne przypadki

Podczas monitorowania zainfekowanych stron internetowych w 2007 r. wykryto szereg stron, kt贸re by艂y czym艣 wi臋cej ni偶 zwyk艂ymi serwerami internetowymi dostarczaj膮cymi na 偶膮danie plik wykonywalny lub wy艣wietlaj膮cymi stron臋 w HTML-u zawieraj膮c膮 exploit.

Najciekawszymi z tych przypadk贸w s膮 prawdopodobnie te zawieraj膮ce "polimorfizm po stronie serwera". Tradycyjnie, polimorficzne szkodliwe oprogramowanie reprezentowane jest w wi臋kszo艣ci przez wirusy polimorficzne, kt贸re modyfikuj膮 sw贸j kod podczas ka偶dego cyklu reprodukcyjnego. Poniewa偶 odpowiedzialny za modyfikacj臋 kod znajduje si臋 w samym wirusie, mo偶na przewidzie膰 wszystkie warianty i stworzy膰 odpowiednie algorytmy wykrywania.

Dla przyk艂adu: na pocz膮tku 2006 r. wykryli艣my na stronie internetowej plik EXE, kt贸ry wygl膮da艂 inaczej za ka偶dym razem, gdy by艂 pobierany. W tym konkretnym przypadku plik EXE nie r贸偶ni艂 si臋 bardzo (zmienia艂 si臋 od czasu do czasu). Jednak ostatnie 42 bajty pliku by艂y inne wraz z ka偶dym pobraniem. W tym konkretnym przypadku wygl膮da艂o na to, 偶e na koniec dodawana by艂a kombinacja datownika i adresu IP pobierania jako znacznik pobranego szkodliwego oprogramowania. P贸藕niej, gdy szkodnik (trojan szpieguj膮cy) meldowa艂 si臋 swojemu autorowi, zawiera艂 znacznik z ko艅ca pliku. W ten spos贸b autor m贸g艂 powi膮za膰 ka偶d膮 unikatow膮 wersj臋 szkodliwego oprogramowania z adresem IP, kt贸ry go pobra艂, oraz z infekcjami na ca艂ym 艣wiecie.

W 2006 roku zdarza艂y si臋 przypadki, 偶e osoba atakuj膮ca tworzy艂a od 1000 do 5000 wersji trojana poprzez spakowanie go za pomoc膮 wewn臋trznego narz臋dzia, kt贸re wykorzystywa艂o losowy klucz szyfrowania za ka偶dym razem, gdy by艂o wywo艂ywane. Nast臋pnie front-end PHP wybiera艂 losowo pr贸bk臋 i wy艣wietla艂 j膮 u偶ytkownikowi. Dla firmy antywirusowej nieznaj膮cej tej metody z pocz膮tku wygl膮da艂o to jak nieko艅cz膮cy si臋 strumie艅 nowych infekcji, przynajmniej do czasu gdy mo偶na by艂o zebra膰 wystarczaj膮co du偶o pr贸bek, aby mo偶liwe by艂o wykrywanie generyczne. 艢cis艂e monitorowanie tej strony i podobnych do niej pozwoli艂o na opracowanie wykrywania generycznego, a w niekt贸rych przypadkach generycznego rozpakowywania dla nieustannie pojawiaj膮cych si臋 trojan贸w.

Inny interesuj膮cy przypadek zaobserwowali艣my na pocz膮tku tego roku, gdy zacz臋li艣my dok艂adnie monitorowa膰 stron臋 internetow膮 rozprzestrzeniaj膮c膮 pr贸bki Zhelatina. Warianty na serwerze zmienia艂y si臋 mniej wi臋cej co 90 sekund, jednak mniej wi臋cej co 500. pr贸bk臋 mogli艣my zaobserwowa膰 ciekaw膮 rzecz. Wydawa艂o si臋, 偶e wykorzystywane narz臋dzie do szyfrowania opiera si臋 na losowej warto艣ci o rozmiarze oko艂o 9 bit贸w. W przypadku okre艣lonych liczb (0?), pr贸bka pozostawa艂a niezaszyfrowana. Pozwoli艂o nam to na otrzymanie kilku pr贸bek rodziny Zhelatin zerowej generacji, przydatnych podczas analizy ze wzgl臋du na brak zaciemnienia kodu.

Wnioski

Obserwuj膮c nieustannie zmieniaj膮ce si臋 metody rozprzestrzeniania szkodliwego kodu, mo偶na si臋 spodziewa膰, 偶e tw贸rcy szkodliwych program贸w nadal b臋d膮 wymy艣lali nowe sposoby infekowania komputer贸w. Obecne trendy obejmuj膮 rozprzestrzenianie szkodliwego oprogramowania za po艣rednictwem sieci P2P oraz poprzez oprogramowanie o jawnym kodzie 藕r贸d艂owym.

Obecnie preferowanym medium rozprzestrzeniania szkodliwego oprogramowania jest Internet. Szczyt popularno艣ci metoda ta osi膮gn臋艂a w maju 2007 r. Od tego czasu liczba nowych zainfekowanych stron internetowych troch臋 si臋 zmniejszy艂a. Z pewno艣ci膮 jest to dobra wiadomo艣膰. Jednak ka偶dego dnia nadal pojawia si臋 wiele nowych zainfekowanych stron internetowych, a metody socjotechniki czy exploity wykorzystywane do zwabienia na nie u偶ytkownik贸w staj膮 si臋 coraz bardziej wyrafinowane.

Pod wzgl臋dem liczby zainfekowanych stron internetowych na pierwszym miejscu znajduj膮 si臋 Chiny oraz Stany Zjednoczone. Mimo sporych wysi艂k贸w podejmowanych przez w艂adze tych pa艅stw wydaj膮 si臋 one niekwestionowanymi liderami w tej niechlubnej dziedzinie. Podczas gdy w Stanach Zjednoczonych zainfekowana strona internetowa mo偶e zosta膰 zdj臋ta w ci膮gu mniej ni偶 48 godzin, nie jest to mo偶liwe w przypadku Chin. Znamy przypadki zainfekowanych stron w Chinach, kt贸re by艂y aktywne przez ponad rok i wszelkie pr贸by zamkni臋cia ich ko艅czy艂y si臋 niepowodzeniem. Z tego mo偶na wnioskowa膰, 偶e w Chinach b臋dzie znajdowa膰 si臋 coraz wi臋cej zainfekowanych stron internetowych.

Firma Kaspersky Lab nadal b臋dzie monitorowa艂a sytuacj臋; dane zawarte w kolejnych artyku艂ach poka偶膮, czy po艂膮czone wysi艂ki firm antywirusowych i organ贸w zajmuj膮cych si臋 艣ciganiem cyberprzest臋pc贸w b臋d膮 mia艂y pozytywny wp艂yw na liczb臋 stron internetowych zawieraj膮cych szkodliwy kod.

Tymczasem u偶ytkownicy powinni aktualizowa膰 swoje systemy operacyjne i przej艣膰 z Internet Explorera 6 na takie przegl膮darki jak Firefox, IE7 oraz Opera, kt贸re maj膮 opini臋 bezpieczniejszych. Ponadto, niezb臋dny jest produkt antywirusowy, kt贸ry potrafi monitorowa膰 ruch sieciowy, poniewa偶 jak wynika z tego artyku艂u, Internet jest obecnie g艂贸wnym wektorem infekcji dla szkodliwego oprogramowania.