Kaspersky Security Bulletin 2006: Ewolucja szkodliwego oprogramowania

Alexander Gostev
Starszy analityk wirus贸w, Kaspersky Lab

Raport ten prezentuje najistotniejsze wydarzenia zwi膮zane ze z艂o艣liwym oprogramowaniem, jakie mia艂y miejsce w zesz艂ym roku. Zawiera r贸wnie偶 przegl膮d ewolucji nielegalnego rynku z艂o艣liwego oprogramowania oraz analiz臋 obecnej sytuacji. Przedstawiono w nim r贸wnie偶 dane statystyczne.

Tekst przeznaczony jest g艂贸wnie dla specjalist贸w ds. bezpiecze艅stwa IT. Mo偶e r贸wnie偶 okaza膰 si臋 ciekawy dla u偶ytkownik贸w zainteresowanych z艂o艣liwymi programami.

  1. Ewolucja szkodliwego oprogramowania
  2. Szkodliwe programy dla system贸w uniksowych
  3. Mobilne szkodliwe programy
  4. Ataki internetowe
  5. Spam w 2006 roku

W 2006 roku z艂o艣liwy kod nadal ewoluowa艂 zgodnie z trendami ustanowionymi we wcze艣niejszym okresie: liczba program贸w troja艅skich znacznie przewy偶szy艂a liczb臋 robak贸w; wzros艂a r贸wnie偶 liczba nowych z艂o艣liwych program贸w atakuj膮cych elektroniczne finanse u偶ytkownik贸w.

艁膮czna liczba nowych z艂o艣liwych program贸w wzros艂a o 41% w stosunku do roku 2005.

Do najbardziej interesuj膮cych trend贸w w 2006 roku nale偶a艂 sta艂y wzrost liczby trojan贸w szpieguj膮cych (spy) przeznaczonych do kradzie偶y danych u偶ytkownik贸w gier online oraz ci膮g艂a ewolucja trojan贸w szyfruj膮cych dane u偶ytkownika - trojany te zacz臋艂y wykorzystywa膰 profesjonalne algorytmy szyfrowania. Warto r贸wnie偶 wspomnie膰 o du偶ej liczbie nowych luk zidentyfikowanych w pakiecie Microsoft Office, kt贸re sk艂oni艂y tw贸rc贸w wirus贸w do wypuszczenia nowych z艂o艣liwych program贸w wykorzystuj膮cych te dziury.

Do wa偶nych wydarze艅 2006 roku mo偶na r贸wnie偶 zaliczy膰 pierwsze "prawdziwe" wirusy i robaki dla systemu operacyjnego MacOS X oraz trojany dla platformy przeno艣nej J2ME; te ostatnie mia艂y na celu kradzie偶 pieni臋dzy z kont u偶ytkownik贸w "mobilnych". Pojawi艂o si臋 wiele interesuj膮cych innowacji w technologiach rootkit i anti-rootkit - zar贸wno teoretycznych, jak i praktycznych. Przyk艂adem mo偶e by膰 stworzony przy u偶yciu zasob贸w Microsoftu rootkit typu "proof of concept" - SubVirt - czy BluePill Joanny Rutkowskiej.

R贸wnie interesuj膮ca by艂a decyzja tw贸rc贸w wirus贸w o powrocie do korzeni; wida膰 to na przyk艂adzie ewolucji technologii polimorficznych, kt贸re wykorzystywano nie tylko w wirusach plikowych, ale r贸wnie偶 skryptowych.

Autorzy z艂o艣liwych program贸w zacz臋li aktywniej wykorzystywa膰 niestandardowe wektory infekcji: komunikatory internetowe, takie jak ICQ, AOL i MSN, sta艂y si臋 powa偶nym zagro偶eniem dla bezpiecze艅stwa. Jest to bezpo艣rednio zwi膮zane z du偶膮 liczb膮 luk w popularnych przegl膮darkach internetowych, szczeg贸lnie w Internet Explorerze.

Og贸lnie, z technicznego punktu widzenia by艂 to do艣膰 interesuj膮cy rok. Na szcz臋艣cie, nie wyst膮pi艂a 偶adna powa偶na globalna epidemia por贸wnywalna do tych, jakie mia艂y miejsce w 2005 roku, jak na przyk艂ad epidemia spowodowana robakiem Mytob. Z drugiej strony, miejsce epidemii globalnych zaj臋艂y dobrze zorganizowane epidemie lokalne obejmuj膮ce specyficzne obszary geograficzne (np. Chiny, Rosja) oraz bardzo kr贸tkotrwa艂e epidemie.

Wszystkie te wydarzenia zosta艂y szczeg贸艂owo przedstawione w naszych kwartalnych raportach za rok 2006; niniejszy raport zawiera dodatkowe informacje statystyczne.

Najwi臋ksze epidemie wirusowe w 2006 roku

W 2006 roku odnotowano w sumie 7 du偶ych epidemii wirus贸w, o po艂ow臋 mniej ni偶 w poprzednim roku (14).

Epidemie 2006 roku mo偶na podzieli膰 na cztery grupy: epidemia robaka Nyxem.e, robaka Bagle, robaka Warezov oraz kilku wariant贸w trojana szyfruj膮cego dane u偶ytkownika - Gpcode.

Pod koniec stycznia 2006 roku zosta艂 masowo rozes艂any nowy wariant robaka pocztowego Nyxem. By艂 to do艣膰 interesuj膮cy wariant, poniewa偶 zosta艂 tak zaprogramowany, 偶e zmusza艂 zainfekowane maszyny do odwiedzenia okre艣lonej strony z licznikiem wizyt. Na przestrzeni kilku dni licznik zarejestrowa艂 setki tysi臋cy odwiedzin tej strony, co dostarczy艂o firmom antywirusowym dow贸d na wyst膮pienie du偶ej epidemii. Dodatkowa analiza wykaza艂a, 偶e wi臋kszo艣膰 zainfekowanych komputer贸w zlokalizowana by艂a w Indiach i krajach Ameryki Po艂udniowej (zw艂aszcza w Peru). Szkodliwa funkcja Nyxema polega艂a na usuwaniu wszystkich plik贸w, dokument贸w oraz archiw贸w u偶ytkownika trzeciego dnia ka偶dego miesi膮ca. Gdy do 3 lutego 2006 roku Nyxem.e zdo艂a艂 zainfekowa膰 ponad milion komputer贸w, media zacz臋艂y podawa膰 szczeg贸艂y dotycz膮ce tego szkodnika, aby ostrzec u偶ytkownik贸w komputer贸w przed zagro偶eniem. Pomog艂o to zapobiec masowej utracie danych - u偶ytkownicy wiedzieli, 偶e powinni uwa偶a膰 na oznaki infekcji i, w razie konieczno艣ci, usun膮膰 szkodnika z komputera. W rezultacie, 3 lutego na stronie internetowej odnotowano niewielk膮 liczb臋 odwiedzin.

Mimo to Nyxem.e nie znikn膮艂 i w 2006 roku jego udzia艂 w z艂o艣liwym kodzie w ruchu pocztowym nadal by艂 stosunkowo wysoki. Szczyt aktywno艣ci robak ten osi膮gn膮艂 po raz drugi w sierpniu i we wrze艣niu. Og贸lnie, Nyxem.e by艂 pi膮tym najbardziej powszechnym z艂o艣liwym programem w ruchu pocztowym w 2006 roku.

Opr贸cz Nyxema w styczniu 2006 roku pojawi艂 si臋 r贸wnie偶 trojan, kt贸ry wykorzystywa艂 profesjonalny algorytm kryptograficzny w celu szyfrowania danych u偶ytkownika. Gpcode.ac wykorzystywa艂 56-bitowy klucz RSA. Trojan ten szyfruje pliki u偶ytkownika, a nast臋pnie wy艣wietla komunikat z 偶膮daniem pieni臋dzy; dane u偶ytkownika zostan膮 odszyfrowane, po tym jak cyberprzest臋pca otrzyma pieni膮dze.

Program ten zosta艂 masowo rozes艂any przy pomocy poczty elektronicznej i powszechnie wyst臋powa艂 w rosyjskim Internecie. Mimo wielu ostrze偶e艅 przed otwieraniem za艂膮cznik贸w od nieznanych nadawc贸w jego ofiar膮 pad艂a ogromna liczba u偶ytkownik贸w. Na szcz臋艣cie, firma Kaspersky Lab szybko opublikowa艂a procedur臋 deszyfrowania.

Na pocz膮tku 2006 roku rozes艂ano trzy dalsze warianty Gpcode?a; w ka偶dej kolejnej wersji wykorzystano d艂u偶szy klucz szyfrowania, utrudniaj膮c analitykom z艂amanie szyfrowania.

Gpcode.ae wykorzystywa艂 klucz 260-bitowy, natomiast Gpcode.af - klucz 330-bitowy. Odszyfrowanie kluczy wykorzystywanych w modyfikacjach trojana Gpcode.af (klucz 330-bitowy) wymaga艂o u偶ycia najnowszych technologii i dziesi臋ciu godzin intensywnej pracy analityk贸w wirus贸w firmy Kaspersky Lab. P贸藕niej pojawi艂 si臋 kolejny nowy wariant, Gpcode.ag, kt贸ry wykorzystywa艂 klucz 660-bitowy. Jednak analitycy z Kaspersky Lab poradzili sobie r贸wnie偶 z tak d艂ugim kluczem. Od tej pory nie pojawi艂y si臋 ju偶 偶adne nowe warianty Gpcode'a.

Ewolucj臋 Bagla, rodziny niezwykle z艂o艣liwych robak贸w pocztowych, 艣ledzimy od 2004 roku. Programy z tej rodziny ewoluowa艂y z prostych robak贸w do z艂o偶onych z艂o艣liwych program贸w posiadaj膮cych funkcjonalno艣膰 serwera proxy, trojana downloadera oraz trojana spy, jak r贸wnie偶 szereg r贸偶nych procedur rozprzestrzeniania si臋. Szczyt aktywno艣ci Bagla przypada na 2005 rok, w nast臋pnym roku tw贸rcy tego robaka wykazali si臋 znacznie mniejsz膮 aktywno艣ci膮. Mimo to w lutym i czerwcu spowodowali dwie stosunkowo powa偶ne epidemie. Po ka偶dej z nich znacznie wzros艂a ilo艣膰 spamu; komputery zainfekowane Baglem wykorzystywane by艂y jako troja艅skie serwery proxy.

Bardzo podobn膮 taktyk臋 (kr贸tkotrwa艂e, zlokalizowane masowe wysy艂ki) zastosowali p贸藕niej nieznani autorzy robaka Warezov. Funkcjonalno艣膰 tego szkodnika bardzo przypomina funkcjonalno艣膰 Bagla. Jego celem jest umo偶liwienie cyberprzest臋pcom wykorzystywania zainfekowanych komputer贸w do rozsy艂ania spamu. Od wrze艣nia do ko艅ca 2006 roku wykryto ponad 300 wariant贸w tego robaka; w niekt贸re dni laboratorium antywirusowe Kaspersky Lab odnotowywa艂o ponad 20 nowych modyfikacji, z kt贸rych ka偶da rozprzestrzenia艂a si臋 za po艣rednictwem poczty elektronicznej. Mimo wszechstronno艣ci 偶aden z wariant贸w Warezova nie zdo艂a艂 zaklasyfikowa膰 si臋 do pierwszej dziesi膮tki z艂o艣liwych program贸w w ruchu pocztowym. Mimo to Warezov jest obecnie jednym z najszybciej ewoluuj膮cych i najniebezpieczniejszych rodzin z艂o艣liwych program贸w w Internecie.

Pozycja Nazwa Zmiana w 2006 roku
1 Net-Worm.Win32.Mytob.c 0
2 Email-Worm.Win32.LovGate.w +4
3 Email-Worm.Win32.NetSky.b +2
4 Email-Worm.Win32.NetSky.t Nowo艣膰
5 Email-Worm.Win32.Nyxem.e Nowo艣膰
6 Email-Worm.Win32.NetSky.q -4
7 Net-Worm.Win32.Mytob.u +2
8 Net-Worm.Win32.Mytob.t +7
9 Net-Worm.Win32.Mytob.q -1
10 Email-Worm.Win32.Scano.gen Nowo艣膰
Dziesi臋膰 najbardziej rozpowszechnionych z艂o艣liwych program贸w w ruchu pocztowym w 2006 r.

Typy z艂o艣liwych program贸w: 2006

W systemie klasyfikacji firmy Kaspersky Lab wyr贸偶nia si臋 trzy klasy z艂o艣liwych program贸w:

  • TrojWare: klasa ta obejmuje szereg r贸偶nych z艂o艣liwych program贸w, kt贸re nie potrafi膮 samodzielnie si臋 rozprzestrzenia膰 (backdoory, rootkity i wszystkie typy trojan贸w);
  • VirWare: samodzielnie rozprzestrzeniaj膮ce si臋 z艂o艣liwe programy (wirusy i robaki);
  • MalWare: programy wykorzystywane przez szkodliwych u偶ytkownik贸w w celu tworzenia z艂o艣liwych program贸w i przeprowadzania atak贸w.


艢rednia liczba nowych z艂o艣liwych program贸w w miesi膮cu

poni偶szy diagram ukazuje udzia艂 procentowy nowych rodzin i wariant贸w z艂o艣liwych program贸w:


Rozk艂ad z艂o艣liwych program贸w wed艂ug kategorii pod koniec 2006 roku

Klasa Udzia艂 procentowy Zmiana pod koniec roku
TrojWare 91,79% +2,79%
VirWare 4,70% -1,3%
MalWare 3,51% -1,49%
Zmiana udzia艂u procentowego poszczeg贸lnych klas z艂o艣liwych program贸w na przestrzeni roku

Ogromn膮 wi臋kszo艣膰 z艂o艣liwych program贸w stanowi膮 r贸偶ne trojany - podobnie jak w kilku poprzednich latach. Jednak wzrost liczby trojan贸w w stosunku do 2005 roku (2,79%) jest znacznie mniejszy w por贸wnaniu do 2004 roku (8,76%). Pisanie z艂o艣liwych program贸w z tej klasy, a nast臋pnie wykorzystanie ich do kradzie偶y informacji, tworzenia botnet贸w i wysy艂ania spamu jest stosunkowo proste (w por贸wnaniu z tworzeniem robak贸w i wirus贸w). Z tego powodu liczba trojan贸w w Internecie nieustannie wzrasta. Potwierdza to du偶y udzia艂 procentowy trojan贸w (90%) w liczbie nowych z艂o艣liwych program贸w.

Liczba robak贸w i wirus贸w (VirWare) spad艂a, jednak nie tak znacznie jak w 2005 roku (- 6,53%). Wynika to z niewielkiego udzia艂u program贸w z klasy VirWare w 艂膮cznej liczbie z艂o艣liwych program贸w. W niedalekiej przysz艂o艣ci liczba program贸w z klasy VirWare nadal b臋dzie spada膰 albo osi膮gnie stan r贸wnowagi. Nic nie wskazuje na to, ze robaki i wirusy znikn膮 - w 2007 roku ich liczba mo偶e wzrosn膮膰. To, czy tak si臋 stanie, b臋dzie zale偶a艂o od wykrycia nowych krytycznych luk w Windowsie, w szczeg贸lno艣ci w Vi艣cie.

Najmniej liczn膮 klas膮 z艂o艣liwych program贸w jest MalWare. Programy z tej grupy wykazuj膮 szeroki wachlarz zachowa艅, a najciekawsze z nich to exploity. Najwa偶niejszym wydarzeniem w 2006 roku dotycz膮cym tej klasy by艂o pojawienie si臋 sporej liczby exploit贸w dla MS Office. W 2007 roku przewidujemy wzrost liczby tego typu zagro偶e艅. Jednak b臋dzie zale偶a艂o to od sytuacji systemu Windows Vista i nowego pakietu MS Office 2007.

Zmiany w obr臋bie poszczeg贸lnych klas zosta艂y szczeg贸艂owo zanalizowane w dalszej cz臋艣ci artyku艂u.

Trojany

poni偶szy wykres ukazuje liczb臋 nowych program贸w z klasy TrojWare, wykrywanych ka偶dego miesi膮ca przez analityk贸w firmy Kaspersky Lab:


Liczba nowych program贸w z klasy TrojWare, wykrywanych ka偶dego miesi膮ca przez analityk贸w firmy Kaspersky Lab

Nawet pobie偶ny rzut oka na wykres pozwala stwierdzi膰, 偶e liczba program贸w troja艅skich stale wzrasta艂a. Ilo艣膰 tego typu program贸w stanowi coraz wi臋ksze zagro偶enie, poniewa偶 wi臋kszo艣膰 z nich to trojany, kt贸rych celem jest spowodowanie strat finansowych.

Liczebno艣膰 trojan贸w jest tak du偶a, 偶e nawet techniczny wzrost liczby nowych trojan贸w (+46% w por贸wnaniu z +124% w 2005 r.) nie oznacza, 偶e powinni艣my spodziewa膰 si臋 spadku aktywno艣ci cyberprzest臋pc贸w. Z ka偶dym miesi膮cem przybywaj膮 tysi膮ce nowych trojan贸w i zwi臋ksza si臋 katalog zachowa艅 trojan贸w.

poni偶szy diagram pokazuje rozk艂ad zachowa艅 trojan贸w:


TrojWare: rozk艂ad zachowa艅 w obr臋bie klasy

poni偶sze dane liczbowe ukazuj膮 pe艂niejszy obraz zmian w tej klasie:

Zachowanie Zmiana pod koniec roku
Backdoor +29%
Trojan +11%
Trojan-Clicker +3%
Trojan-Downloader +93%
Trojan-Dropper -15%
Trojan-Proxy +58%
Trojan-PSW +125%
Trojan-Spy +27%
TrojWare +46%
Zmiany liczby nowych z艂o艣liwych program贸w w klasie TrojWare na przestrzeni 20006 roku

Spo艣r贸d klasy TrojWare jedynie liczba trojan贸w dropper贸w spad艂a w stosunku do 2005 r. Nie powinno to nikogo dziwi膰, szczeg贸lnie gdy we藕miemy pod uwag臋 212% wzrost odnotowany przez t臋 klas臋 w 2005 r. - trojany droppery nale偶膮 do najbardziej rozpowszechnionych z艂o艣liwych program贸w. Trudno utrzyma膰 tak du偶y wsp贸艂czynnik wzrostu, a 15% spadek nie oznacza, 偶e trojany droppery stanowi膮 mniejsze zagro偶enie. Liderami 2006 r. by艂y trojany downloadery oraz trojany PSW, kt贸rych liczba wzros艂a odpowiednio o 93% i 125%.

Tak du偶a liczba nie jest niczym niezwyk艂ym w przypadku Trojan贸w downloader贸w (kt贸re w 2005 r. odnotowa艂y 270% wzrost). Stanowi膮 one najbardziej rozpowszechnione zachowanie, a szkodliwi u偶ytkownicy s膮 szczeg贸lnie zainteresowani takimi programami, poniewa偶 trojan downloader to uniwersalny spos贸b infekowania komputer贸w z艂o艣liwych kodem. Trojan ten potrafi, jak sugeruje jego nazwa, pobra膰 inne z艂o艣liwe programy do systemu, kt贸re zapewniaj膮 jego tw贸rcy r贸偶ne mo偶liwo艣ci wykorzystania zainfekowanego systemu.

Trojan PSW to jedyne zachowanie, kt贸re wykaza艂o wzrost w stosunku do 2005 r. Liczba Trojan贸w PSW zwi臋kszy艂a si臋 o 125% w 2006 r. (w poprzednim roku wzrost wynosi艂 122%). Wi臋kszo艣膰 z tych program贸w wykorzystywanych jest do kradzie偶y szczeg贸艂贸w dotycz膮cych kont u偶ytkownik贸w popularnych gier online. Gry online prze偶ywaj膮 obecnie szczyt popularno艣ci, zw艂aszcza World of Warcraft, Lineage oraz Legend of Mir, kt贸re posiadaj膮 miliony fan贸w. Szczeg贸lnie popularne s膮 w krajach azjatyckich. Posta膰 z gry lub inne przedmioty kosztuj膮 nierzadko dziesi膮tki tysi臋cy dolar贸w. Cyberprzest臋pcy kradn膮 dost臋p do kont oraz wirtualne przedmioty, aby nast臋pnie sprzeda膰 je na internetowych stronach aukcyjnych.

Trojany zwi膮zane z grami zaliczane by艂y w 2006 roku do dziesi臋ciu najwi臋kszych zagro偶e艅, a ich ewolucja pokazuje, 偶e w niedalekiej przysz艂o艣ci mog膮 nale偶e膰 do najszybciej zwi臋kszaj膮cych si臋 zachowa艅 spo艣r贸d z艂o艣liwych program贸w. W 2007 roku pojawi si臋 najprawdopodobniej kilka nowych gier online, kt贸re przyci膮gn膮 miliony nowych wirtualnych graczy, a nast臋pnie, cyberprzest臋pc贸w.

Warto przyjrze膰 si臋 bli偶ej dynamice trojan贸w proxy. W 2005 roku liczba trojan贸w z tej kategorii zwi臋kszy艂a si臋 o 68%, a w 2006 roku o kolejne 58%. Programy te nadal s膮 popularne, poniewa偶 mog膮 by膰 wykorzystywane do wysy艂ania spamu za po艣rednictwem zainfekowanych komputer贸w. Niestety, mimo dzia艂a艅 podejmowanych w celu zwalczania spamu - zar贸wno na polu technicznym, jak i legislacyjnym - ilo艣膰 spamu nadal ro艣nie. Do ko艅ca 2006 roku spam stanowi艂 oko艂o 80% wszystkich wiadomo艣ci w ruchu pocztowym. Istnieje wyra藕na wsp贸艂zale偶no艣膰 mi臋dzy liczb膮 nowych trojan贸w proxy a wzrostem ilo艣ci spamu. Je艣li wsp贸艂czynnik wzrostu tego typu trojan贸w spadnie w 2007 roku, nast膮pi r贸wnie偶 spadek ilo艣ci spamu w Internecie.

Do klasy TrojWare nale偶膮 r贸wnie偶 rootkity. W tabeli ukazuj膮cej zachowania trojan贸w rootkity nie zosta艂y zaliczone do oddzielnej klasy, poniewa偶 obecnie ich liczba jest stosunkowo niewielka (mniejsza nawet ni偶 liczba trojan贸w clicker贸w). Jednak rootkity cz臋sto stosowane s膮 do ukrywania r贸偶nych trojan贸w i ten sam rootkit mo偶e by膰 wykorzystywany przez kilku szkodliwych u偶ytkownik贸w jednocze艣nie. W 2005 roku (gdy zacz臋li艣my klasyfikowa膰 rootkity jako oddzielne zachowanie) ich liczba gwa艂townie wzros艂a, osi膮gaj膮c na przestrzeni roku bezprecedensowy 415% wsp贸艂czynnik wzrostu. W tym okresie rootkity nale偶a艂y do najcz臋艣ciej dyskutowanych temat贸w w bran偶y antywirusowej, a tw贸rcy wirus贸w aktywnie dzia艂ali na tym polu. Po tak ogromnym wzro艣cie spodziewano si臋 spadku; jednak liczba rootkit贸w pozosta艂a na stosunkowo wysokim poziomie - w 2006 roku wsp贸艂czynnik wzrostu tych program贸w wynosi艂 74%. 艢wiadczy to o tym, 偶e rootkity nadal stanowi膮 powa偶ne zagro偶enie. Jeste艣my ciekawi, co stanie si臋 z rootkitami po opublikowaniu Visty. Wed艂ug Microsoftu, rootkity po prostu nie b臋d膮 mog艂y dzia艂a膰 w tym systemie operacyjnym.

Jedn膮 z najwi臋kszych podgrup w kategorii trojan贸w szpieguj膮cych, kt贸ra w 2006 roku odnotowa艂a 27% wzrost, by艂y tak zwane trojany bankowe. Celem tych program贸w jest kradzie偶 informacji wykorzystywanych do uzyskania dost臋pu do r贸偶nych system贸w p艂atno艣ci online oraz system贸w bankowo艣ci elektronicznej. Poza tym trojany te stanowi膮 narz臋dzie wykorzystywane do oszustw zwi膮zanych z kartami kredytowymi, kt贸re nale偶y do najpowszechniejszych rodzaj贸w cyberprzest臋pstw. W 2006 roku liczba program贸w w obr臋bie tej kategorii nadal ros艂a, a liczba nowych wariant贸w Bankera wzros艂a prawie dwukrotnie (+97%). Wsp贸艂czynnika wzrostu tego typu trojan贸w nie zahamowa艂y ani dzia艂ania podj臋te przez banki w celu ochrony u偶ytkownik贸w przed tym zagro偶eniem, ani znaczny wzrost atak贸w phishing wykorzystywanych do kradzie偶y informacji osobistych. Dost臋p do konta u偶ytkownika, mo偶liwo艣膰 zarz膮dzania kontem poprzez Internet oraz wykorzystywanie Internetu jako miejsca dokonywania zakup贸w przyci膮ga coraz wi臋cej u偶ytkownik贸w, co oznacza, 偶e w 2007 roku ogromna wi臋kszo艣膰 trojan贸w b臋dzie tworzona w celu kradzie偶y informacji osobistych.

Robaki i wirusy

poni偶szy wykres pokazuje liczb臋 nowych program贸w z klasy VirWare wykrywanych przez analityk贸w firmy Kaspersky Lab w poszczeg贸lnych miesi膮cach:


Liczba nowych program贸w z klasy VirWare wykrywanych przez analityk贸w firmy Kaspersky Lab w poszczeg贸lnych miesi膮cach

Jak wynika z wykresu, klasa VirWare wykaza艂a wzgl臋dn膮 stabilno艣膰 na przestrzeni dw贸ch lat (2004 - 2005). Sytuacja zmieni艂a si臋 w 2006 roku: liczba program贸w zaliczanych do klasy VirWare zacz臋艂a wzrasta膰, zw艂aszcza w drugiej po艂owie 2006 roku. Spowodowane by艂o to tym, 偶e w poprzednich sze艣ciu miesi膮cach tw贸rcy wirus贸w zacz臋li aktywniej stosowa膰 pewne taktyki maj膮ce na celu wywo艂anie wielu kr贸tkotrwa艂ych epidemii wirusowych. Wyra藕nie wida膰 to na przyk艂adzie autor贸w rodziny robak贸w Warezov. W niekt贸re dni wykrywali艣my ponad dwa tuziny nowych niewiele r贸偶ni膮cych si臋 od siebie wariant贸w tego robaka. Ka偶dy wariant rozprzestrzeniany by艂 na innym obszarze geograficznym (niekt贸re z tych robak贸w zosta艂y masowo rozes艂ane w Rosji, inne w Niemczech itd.). Ze wzgl臋du na pojawienie si臋 licznych wariant贸w w kr贸tkim czasie Warezov stanowi艂 najszybciej zwi臋kszaj膮c膮 si臋 rodzin臋 ze wszystkich z艂o艣liwych program贸w w 2006 roku.

Opr贸cz Warezova du偶y wp艂yw na kategori臋 VirWare mia艂 r贸wnie偶 azjatycki robak Viking. Robak ten rozprzestrzenia艂 si臋 aktywnie mi臋dzy innymi w Chinach. R贸wnie偶 on wyr贸偶nia艂 si臋 du偶膮 ilo艣ci膮 wariant贸w, kt贸re spowodowa艂y 8% wzrost liczby nowych program贸w w kategorii VirWare w stosunku do 2005 roku, w kt贸rym liczba tego typu z艂o艣liwych program贸w spad艂a o 2%.

Podobnie jak w 2005 roku, klasa ta, mimo stosunkowej stabilno艣ci, odnotowa艂a og贸lny wzrost spowodowany rozpowszechnieniem si臋 dw贸ch typ贸w zachowa艅: robak贸w pocztowych i robak贸w.

poni偶szy diagram ukazuje rozk艂ad r贸偶nych podgrup w obr臋bie kategorii VirWare:


Rozk艂ad zachowa艅 w obr臋bie klasy VirWare

W 2006 roku robaki i robaki pocztowe nale偶a艂y do najbardziej konsekwentnych zachowa艅 (wykazuj膮c zmiany na poziomie odpowiednio +2 i -3) z wszystkich z艂o艣liwych program贸w w tej klasie. Przewidujemy, 偶e w 2007 roku zachowania te b臋d膮 stanowi艂y si艂臋 nap臋dow膮 tej klasy.

Zachowanie Zmiany do ko艅ca roku
Email-Worm +43%
IM-Worm -45%
IRC-Worm -63%
Net-Worm -55%
P2P-Worm -5%
Worm +221%
Virus -29%
VirWare +8%
Zmiany liczby nowych program贸w z klasy VirWare w 2006 roku

Jak ju偶 zauwa偶yli艣my, spo艣r贸d z艂o艣liwych program贸w w tej kategorii najwy偶szy wzrost osi膮gn臋艂y w 2005 roku robaki Email-Worm.Win32.Warezov oraz Worm.Win32.Viking.

Czytelnicy powinni zauwa偶y膰 znaczny spadek liczby nowych robak贸w sieciowych. Jest to najbardziej niebezpieczny i najszybciej rozprzestrzeniaj膮cy si臋 typ robak贸w, kt贸rego najwi臋ksza aktywno艣膰 przypada na poprzednie lata. G艂贸wne epidemie spowodowa艂y z艂o艣liwe programy wykazuj膮ce to zachowanie, takie jak Lovesan (2003), Sasser (2004) oraz Mytob (2005). W 2005 roku zachowanie to odnotowa艂o 43% wzrost. Na szcz臋艣cie, w 2006 r. sytuacja zmieni艂a si臋 (spadek o 55% w stosunku do 2005 r.). Spowodowane to by艂o g艂贸wnie stosunkowo niewielk膮 liczb膮 krytycznych luk wykrytych w aplikacjach opartych na Windowsie oraz za艂ataniem wi臋kszo艣ci starych luk. Poza tym, zapory ogniowe sta艂y si臋 powszechnym elementem bezpiecze艅stwa komputer贸w, podobnie jak oprogramowanie antywirusowe. Du偶膮 role odegrali r贸wnie偶 dostawcy us艂ug internetowych poprzez instalowanie system贸w filtrowania oraz rozwi膮za艅 sprz臋towych, kt贸re powstrzymywa艂y epidemie zanim jeszcze dotkn臋艂y u偶ytkownik贸w.

Istnieje bardzo du偶e prawdopodobie艅stwo, 偶e w 2007 roku utrzyma si臋 tendencja spadkowa obserwowana w艣r贸d robak贸w sieciowych, a ich istnienie b臋dzie zale偶a艂o od tego, czy t臋 metod臋 rozprzestrzeniania b臋dzie mo偶na po艂膮czy膰 z innymi wektorami infekcji (poczta elektroniczna, zasoby sieciowe, robaki komunikator贸w internetowych itd.).

Interesuj膮ce jest to, 偶e robaki komunikator贸w internetowych nie zdoby艂y silnej pozycji. W 2005 roku tw贸rcy wirus贸w zacz臋li po艣wi臋ca膰 wi臋cej czasu na rozwijanie tego typu z艂o艣liwego oprogramowania, mimo 偶e pierwszy robak komunikator贸w internetowych pojawi艂 si臋 ju偶 w 2001 roku. Do ko艅ca 2005 r. miesi臋cznie wykrywane by艂y 32 nowe robaki komunikator贸w internetowych. Na pocz膮tku 2006 r. dynamika robak贸w komunikator贸w internetowych osi膮gn臋艂a faz臋 plateau, a wkr贸tce potem rozpocz膮艂 si臋 sta艂y spadek liczby tych szkodnik贸w. Po raz kolejny mo偶emy podzi臋kowa膰 producentom komunikator贸w internetowych, takim jak AOL i MSN za podj臋te dzia艂ania w celu zwalczania tego typu zagro偶enia. Firmy te wprowadzi艂y kilka filtr贸w i restrykcji do swoich program贸w, co znacznie utrudni艂o tw贸rcom robak贸w komunikator贸w internetowych wykorzystanie tych narz臋dzi jako wektora infekcji. Rezultatem by艂 45% spadek liczby nowych robak贸w komunikator贸w internetowych. Spodziewamy si臋, 偶e w 2007 r. ich liczba nadal b臋dzie spada膰, a偶 robaki komunikator贸w internetowych niemal zupe艂nie znikn膮.

Nadal spada liczba klasycznych wirus贸w plikowych, nie oznacza to jednak, 偶e tw贸rcy wirus贸w stracili zainteresowanie technologiami infekowania plik贸w. Wprost przeciwnie, metoda ta wykorzystywana jest coraz cz臋艣ciej w po艂膮czeniu z innymi metodami rozprzestrzeniania. Jednym z przyk艂ad贸w jest robak Worm.Win32.Viking, kt贸ry mo偶e by膰 wykorzystywany do infekowania plik贸w. Co wi臋cej, wirusy staj膮 si臋 coraz bardziej z艂o偶one i coraz cz臋艣ciej wykorzystuj膮 kod polimorficzny, kt贸ry od zawsze przyprawia艂 firmy antywirusowe o b贸l g艂owy. Og贸lnie mo偶na powiedzie膰, 偶e chocia偶 zachowanie to odnotowa艂o spadek, w 2006 roku spadek ten by艂 wolniejszy - liczba wirus贸w plikowych spad艂a tylko o 29% (dla por贸wnania: w 2005 r. ich liczba zmniejszy艂a si臋 o 45%, a w 2004 r. o 54%).

Pozosta艂e zachowania robak贸w i wirus贸w nie s膮 szeroko rozpowszechnione i maj膮 coraz mniejszy udzia艂 w liczbie z艂o艣liwych program贸w z kategorii VirWare. Z tego wzgl臋du nie s膮 szczeg贸lnie interesuj膮ce.

Pozosta艂e typy szkodliwych program贸w

Klasa MalWare, mimo 偶e stanowi najmniej rozpowszechnion膮 klas臋 z艂o艣liwych program贸w, zawiera spor膮 liczb臋 odr臋bnych zachowa艅.

Z danych liczbowych z ko艅ca roku wynika, 偶e udzia艂 program贸w z tej klasy w ca艂kowitej liczbie z艂o艣liwych program贸w nie tylko spad艂, ale zmiana liczby nowych program贸w w tej kategorii jest 艣rednio ni偶sza ni偶 wsp贸艂czynnik wzrostu w pozosta艂ych dw贸ch kategoriach.


Liczba nowych program贸w z klasy MalWare wykrywanych przez analityk贸w z Kaspersky Lab w poszczeg贸lnych miesi膮cach

Powolny wzrost liczby nowych z艂o艣liwych program贸w w tej klasie, jaki mogli艣my obserwowa膰 w latach 2004 - 2005 (odpowiednio 13 i 14%), gwa艂townie zmniejszy艂 si臋 w 2006 roku do poziomu 7%, dlatego nie mogli艣my okre艣li膰 wyra藕nych trend贸w w dynamice tej kategorii. Jednak bior膮c pod uwag臋 og贸lny spadek udzia艂u oprogramowania wykorzystywanego w tej kategorii w ca艂kowitej liczbie z艂o艣liwych program贸w, mo偶na spekulowa膰, 偶e tw贸rcy wirus贸w trac膮 zainteresowanie tego typu programami.

poni偶szy diagram ukazuje rozk艂ad r贸偶nych zachowa艅 reprezentowanych w klasie MalWare:


Rozk艂ad r贸偶nych zachowa艅 reprezentowanych w kategorii MalWare

Z wszystkich rodzaj贸w zachowa艅 mieszcz膮cych si臋 w tej kategorii, tylko siedem zas艂uguje na wzmiank臋. Z艂o艣liwe programy wykazuj膮ce inne zachowania s膮 do艣膰 rzadkie, z tego powodu nie ewoluuj膮. Siedem g艂贸wnych zachowa艅 ukazuje poni偶sza tabela:

Zachowanie Zmiany do ko艅ca roku
Constructor -18%
BadJoke, Hoax +167%
Exploit -21%
Flooder -34%
HackTool -21%
IM-Flooder +40%
SpamTool +107%
Inne -64%
Inne programy MalWare -7%
Zmiany liczby nowych program贸w zaklasyfikowanych do klasy MalWare w 2006 r.

Exploity stanowi膮 najwi臋ksz膮 podgrup臋 w klasie MalWare. W 2006 roku ich liczba spad艂a z powodu stosunkowo niewielkiej liczby luk, kt贸re mog膮 by膰 wykorzystywane przez szkodliwych u偶ytkownik贸w. Luki, kt贸re spowodowa艂y najwi臋cej problem贸w w 2006 r., to b艂臋dy w MS Office. Z艂o艣liwe programy, kt贸re wykorzysta艂y te luki, zosta艂y zaklasyfikowane przez ekspert贸w firmy Kaspersky Lab nie jako exploity, ale jako trojany. Podobnie jak w przypadku innych kategorii, prognoza na rok 2007 dla z艂o艣liwych program贸w z klasy MalWare zale偶y od tego, jakie luki zostan膮 zidentyfikowane w systemie Windows Vista oraz pakiecie MS Office 2007. Je艣li zostanie wykrytych wiele luk krytycznych, zamiast obecnego spadku liczby exploit贸w (21%) z pewno艣ci膮 nast膮pi sta艂y wzrost.

Szczeg贸lnie interesuj膮cy jest wzrost egzotycznego niegdy艣 programu IM-Flooder. Programy tego typu wykorzystywane s膮 do atak贸w spamowych na komunikatory internetowe, takie jak ICQ, AOL czy MSN. Odnotowany w 2006 r. 40% wzrost wynika艂 z popularno艣ci tego rodzaju spamu oraz braku odpowiednich filtr贸w w komunikatorach internetowych, kt贸re mog艂yby zapewni膰 ten sam poziom ochrony co systemy antyspamowe poczty elektronicznej.

Celem program贸w zaliczanych do grupy SpamTool jest zbieranie adres贸w e-mail na zainfekowanych komputerach i wysy艂anie ich z艂o艣liwym u偶ytkownikom, kt贸rzy wykorzystuj膮 je podczas wysy艂ania spamu. W 2005 r. byli艣my 艣wiadkami niewielkiego, ale sta艂ego zainteresowania tym zachowaniem. W 2006 r. zainteresowanie nim gwa艂townie wzros艂o (+107%). Jednak pod koniec roku liczba program贸w z tej grupy zacz臋艂a spada膰. Spowodowane to by艂o g艂贸wnie tym, 偶e autorzy innych trojan贸w i robak贸w, szczeg贸lnie robaka Email-Worm.Win32.Warezov, zacz臋li implementowa膰 do swoich twor贸w procedury przechwytywania e-maili.

Rok 2006 nie by艂 pomy艣lny dla program贸w z kategorii MalWare. W okresie tym ich popularno艣膰 spada艂a, ros艂a natomiast popularno艣膰 program贸w z klasy TrojWare.

Podobne trendy

RansomWare

Jednym z najniebezpieczniejszych trend贸w w 2006 r. by艂 wzrost liczby incydent贸w, w kt贸rych wykorzystywano programy w celu modyfikowania lub szyfrowania danych na zaatakowanym komputerze. W zamian za przywr贸cenie danych zdalny szkodliwy u偶ytkownik 偶膮da艂 pieni臋dzy. Programy takie s膮 bardzo do siebie podobne. Uniemo偶liwiaj膮 normalne dzia艂anie komputera lub blokuj膮 dost臋p do okre艣lonych danych.

W styczniu 2006 r. grupa program贸w RansomWare mia艂a tylko jednego reprezentanta. By艂 nim Trojan.Win32.Krotten. Autorzy tego szkodnika rozsy艂ali jego regularne modyfikacje co dwa tygodnie, ci膮gle zmieniaj膮c kod. W ten spos贸b chcieli zapobiec wykryciu Krottena.

W okresie najwi臋kszej aktywno艣ci tego szkodnika pojawi艂a si臋 ca艂a seria podobnych trojan贸w, z kt贸rych najbardziej godny uwagi jest Gpcode. W ci膮gu zaledwie sze艣ciu miesi臋cy Gpcode przeszed艂 gwa艂town膮 ewolucj臋: z pocz膮tku wykorzystywa艂 standardowe symetryczne algorytmy szyfrowania, nast臋pnie algorytmy asymetryczne, a d艂ugo艣膰 klucza zwi臋ksza艂a si臋 z 56 bit贸w do 64, 260, 330, a nast臋pnie 660.

Wi臋cej informacji o tym z艂o艣liwym programie mo偶na znale藕膰 na stronie http://www.viruslist.pl/analysis.html?newsid=251.

W pierwszej po艂owie 2006 roku liczba rodzin trojan贸w wykorzystywanych jako RansomWare zwi臋kszy艂a si臋 z dw贸ch do sze艣ciu (Krotten, Daideneg, Schoolboys, Cryzip, MayArchive i Gpcode). Na pocz膮tku roku tw贸rcy wirus贸w dopiero zaczynali rozwija膰 tego typu programy, kt贸re geograficznie ogranicza艂y si臋 do Rosji i kraj贸w By艂ego Zwi膮zku Radzieckiego. Jednak w po艂owie roku rozprzestrzeni艂y si臋 dalej: wykrywane by艂y r贸wnie偶 w Niemczech, Wielkiej Brytanii i w wielu innych krajach.

AdWare

Inn膮 g艂贸wn膮 podgrup膮 klasy MalWare jest AdWare. Obejmuje ona programy, kt贸re dostarczaj膮 r贸偶ne formy reklamy internetowej. W 2006 roku liczba program贸w AdWare spad艂a o 29%. Jak pisali艣my we wcze艣niejszym artykule, (http://www.viruslist.pl/analysis.html?newsid=85) granice mi臋dzy poszczeg贸lnymi zachowaniami w tej podgrupie zacieraj膮 si臋, dlatego jednoznaczne zidentyfikowanie programu jako z艂o艣liwego nie zawsze jest proste. Potwierdza to coraz wi臋ksze rozpowszechnienie program贸w AdWare wykorzystuj膮cych technologie wirusowe. W 2005 roku wsp贸艂czynnik wzrostu grupy AdWare zacz膮艂 znacznie spada膰 (o 63%). Przewidywali艣my wtedy dalsze zmniejszanie si臋 liczby program贸w z tej grupy. Tak te偶 si臋 sta艂o. G艂贸wnie dlatego, 偶e w wi臋kszo艣ci kraj贸w proceder ten uznano za nielegalny i wielu producent贸w AdWare zosta艂o poci膮gni臋tych do odpowiedzialno艣ci za swoje dzia艂ania lub zmieni艂o kod w swoich programach w taki spos贸b, aby firmy antywirusowe zaniecha艂y pow贸dztwa dotycz膮cego takich program贸w.

Istnieje du偶e prawdopodobie艅stwo, 偶e w 2007 roku liczba program贸w AdWare odnotuje jeszcze wi臋kszy spadek.

Sygnatury zagro偶e艅

Firma Kaspersky Lab skr贸ci艂a sw贸j czas reakcji na zwi臋kszaj膮c膮 si臋 liczb臋 i coraz szybsze tempo rozprzestrzeniania si臋 nowych zagro偶e艅 poprzez publikowanie wi臋kszej liczby aktualizacji sygnatur zagro偶e艅.

W 2006 roku liczba nowych wpis贸w dodawanych w ci膮gu miesi膮ca do antywirusowej bazy danych firmy Kaspersky Lab waha艂a si臋 od oko艂o 5 tys. do dziesi膮tek tysi臋cy pod koniec roku. 艢rednia miesi臋czna liczba nowych wpis贸w wynosi艂a 7 240 (nie licz膮c wpis贸w w bazach rozszerzonych). Dla por贸wnania, 艣rednia miesi臋czna liczba nowych wpis贸w w 2005 roku wynosi艂a 4 496.


Liczba nowych wpis贸w do antywirusowych baz danych (偶贸艂tym kolorem oznaczono bazy standardowe; czerwonym - bazy rozszerzone)

Jak pokazuje powy偶szy wykres, liczba wpis贸w dodawanych w ci膮gu miesi膮ca do antywirusowych baz danych wzrasta艂a nier贸wnomiernie na przestrzeni roku. Po wzro艣cie nast臋powa艂 spadek. Jednak pod koniec roku mia艂 miejsce sta艂y wzrost, kt贸ry spowodowa艂 rekordow膮 liczb臋 wpis贸w - ponad 10 tys. w ci膮gu miesi膮ca.

Reakcja firmy Kaspersky Lab na pojawienie si臋 nowych z艂o艣liwych program贸w obejmuje publikowanie dw贸ch rodzaj贸w aktualizacji sygnatur zagro偶e艅: aktualizacji standardowych (mniej wi臋cej co godzin臋) oraz pilnych (podczas epidemii).

W 2006 r. ca艂kowita liczba standardowych aktualizacji sygnatur zagro偶e艅 przekroczy艂a 7 tys., a 艣rednia miesi臋czna wynios艂a 600.


Liczba standardowych aktualizacji w poszczeg贸lnych miesi膮cach

Szczeg贸lnie interesuj膮ce s膮 dane dotycz膮ce aktualizacji pilnych. Przede wszystkim ukazuj膮 one ca艂kowit膮 liczb臋 sytuacji "epidemiologicznych" w 2006 roku i umo偶liwiaj膮 por贸wnanie tych informacji z danymi z 2005 roku. Opr贸cz tego, pomagaj膮 艣ledzi膰 epidemie i przewidzie膰, kiedy mog膮 nast膮pi膰.


Liczba aktualizacji pilnych w poszczeg贸lnych miesi膮cach

Liczby te pokazuj膮, 偶e w 2006 roku wyst膮pi艂o prawie o 30% mniej zdarze艅 zwi膮zanych z opublikowaniem aktualizacji pilnych ni偶 w 2005 r. W 2005 r. w jednym miesi膮cu publikowali艣my 艣rednio 30 aktualizacji pilnych, natomiast w 2006 r. mniej ni偶 20.

Wykres pokazuje r贸wnie偶, 偶e w 2006 roku tw贸rcy wirus贸w wykazali si臋 szczeg贸ln膮 aktywno艣ci膮 dwa razy: w okresie luty-kwiecie艅 oraz pa藕dziernik-grudzie艅. Z danych wynika r贸wnie偶, 偶e tradycyjny letni zast贸j mia艂 miejsce w czerwcu i lipcu.

Prognozy

Uwzgl臋dniaj膮c wszystkie trendy i wydarzenia, o kt贸rych pisali艣my w raporcie, spodziewamy si臋, 偶e w 2007 roku tw贸rcy wirus贸w nadal b臋d膮 koncentrowa膰 swoje wysi艂ki wok贸艂 r贸偶nych typ贸w trojan贸w wykorzystywanych w celu kradzie偶y informacji osobistych. Celami atak贸w b臋d膮 g艂贸wnie u偶ytkownicy r贸偶nych system贸w bankowych i system贸w p艂atno艣ci, jak r贸wnie偶 gier online. Symbioza mi臋dzy tw贸rcami wirus贸w a spamerami spowoduje, 偶e zainfekowane komputery b臋d膮 wykorzystywane zar贸wno do przeprowadzania epidemii i atak贸w, jak i do wysy艂ania spamu.

G艂贸wnymi wektorami infekcji pozostan膮 luki w przegl膮darkach oraz poczta elektroniczna. Mniej rozpowszechnione b臋dzie wykorzystywanie bezpo艣rednich atak贸w na porty, kt贸re b臋dzie ca艂kowicie uzale偶nione od wykrycia krytycznych luk w us艂ugach systemu Windows. Sieci P2P czy kana艂y IRC nie b臋d膮 powszechnie wykorzystywane do infekowania maszyn, w pewnym stopniu jednak b臋d膮, szczeg贸lnie w odniesieniu do infekcji lokalnych (na przyk艂ad klient sieci P2P Winny, kt贸ry cieszy si臋 du偶a popularno艣ci膮 w Japonii, mo偶e sta膰 si臋 powa偶nym zagro偶eniem dla azjatyckich u偶ytkownik贸w w 2007 r.). Komunikatory internetowe nadal b臋d膮 zalicza艂y si臋 do trzech najaktywniej wykorzystywanych sposob贸w przeprowadzania atak贸w, chocia偶 nie przewidujemy znacznego wzrostu wykorzystywania tych system贸w w szkodliwych celach.

Og贸lnie, epidemie i ataki wirus贸w b臋d膮 zdefiniowane pod wzgl臋dem obszar贸w geograficznych. Na przyk艂ad, trojany wykorzystywane do kradzie偶y danych dotycz膮cych kont u偶ytkownik贸w popularnych gier online i robaki z funkcjonalno艣ci膮 wirus贸w s膮 typowe dla Azji, podczas gdy w Europie i Stanach Zjednoczonych wyst臋puj膮 zazwyczaj trojany szpieguj膮ce i backdoory. Ameryka Po艂udniowa "n臋kana" jest zwykle r贸偶nymi trojanami bankowymi.

G艂贸wnym tematem 2007 roku b臋dzie bez w膮tpienia nowy system operacyjny Microsoftu Vista oraz jego luki. Luki i ograniczenia Visty b臋d膮 mia艂y decyduj膮cy wp艂yw na rozw贸j "przemys艂u" wirusowego w nast臋pnych latach. Chocia偶 nie przewidujemy 偶adnych szybko post臋puj膮cych czy powa偶nych zmian, najnowszy system operacyjny Microsoftu z pewno艣ci膮 wyznaczy trendy w przysz艂ym roku.

Powstan膮 coraz bardziej zaawansowane technicznie z艂o艣liwe programy, kt贸re b臋d膮 wykorzystywa膰 r贸偶ne metody ukrywania swojej obecno艣ci w zainfekowanych systemach. Jeszcze bardziej rozpowszechni si臋 kod polimorficzny, zaciemnianie kodu oraz technologie rootkit, a ich wykorzystywanie stanie si臋 standardem w wi臋kszo艣ci nowych z艂o艣liwych program贸w.

Prawdopodobnie znacznie zwi臋kszy si臋 r贸wnie偶 liczba z艂o艣liwych program贸w dla innych system贸w operacyjnych, g艂ownie dla MacOS X i system贸w uniksowych. Do pewnego stopnia tw贸rcy wirus贸w skoncentruj膮 swoje wysi艂ki na konsolach do gier, takich jak PlayStation i Nintendo. Wzrost liczby takich urz膮dze艅 oraz mo偶liwo艣ci wykorzystania ich do interakcji online mo偶e zwr贸ci膰 uwag臋 tw贸rc贸w wirus贸w, chocia偶 najprawdopodobniej b臋d膮 nimi zainteresowani tylko ze wzgl臋d贸w "badawczych". Istnieje prawdopodobie艅stwo, 偶e wirusy przeznaczone dla innych urz膮dze艅 ni偶 komputery dokonaj膮 prze艂omu i znajd膮 si臋 w fazie g艂贸wnego rozwoju. Jednak szanse na to s膮 niewielkie, a incydenty b臋d膮 prawdopodobnie ogranicza艂y si臋 do sporej liczby z艂o艣liwych program贸w typu "proof of concept".

Zwi臋kszy si臋 liczba precyzyjnych atak贸w na 艣rednie i du偶e przedsi臋biorstwa. Opr贸cz tradycyjnej kradzie偶y danych celem tych atak贸w b臋d膮 wymuszenia pieni臋dzy od atakowanych organizacji z wykorzystaniem szyfrowania (tj. RansomWare). Do g艂贸wnych wektor贸w infekcji b臋d膮 nale偶a艂y pliki MS Office oraz luki w tym pakiecie.

殴r贸d艂o:
Kaspersky Lab