Kaspersky Security Bulletin, stycze艅 - czerwiec 2006: Ewolucja z艂o艣liwego oprogramowania

Yury Mashevsky
Starszy analityk wirus贸w, Kaspersky Lab
  1. Ewolucja z艂o艣liwego oprogramowania
  2. Z艂o艣liwe oprogramowanie dla platform innych ni偶 Win32
  3. Ataki internetowe
  4. Z艂o艣liwe programy dla urz膮dze艅 przeno艣nych
  5. Raport o spamie

Najnowszy p贸艂roczny raport przedstawia najwa偶niejsze zmiany w ewolucji z艂o艣liwego oprogramowania w ci膮gu ostatnich sze艣ciu miesi臋cy i zawiera wiele prognoz dotycz膮cych rozwoju sytuacji w oparciu o posiadane statystyki.

Raport ten przeznaczony jest g艂贸wnie dla ekspert贸w z bran偶y IT, kt贸rzy specjalizuj膮 si臋 w zakresie z艂o艣liwego oprogramowania, oraz u偶ytkownik贸w zainteresowanych tym tematem.

Ewolucja z艂o艣liwego oprogramowania: Wyniki dla pierwszej po艂owy 2006 roku

Sze艣膰 pierwszych miesi臋cy 2006 roku przynios艂o znaczne zmiany. Liczba nowych z艂o艣liwych program贸w (艂膮cznie z modyfikacjami) zwi臋ksza艂a si臋 ka偶dego miesi膮ca 艣rednio o 8% w stosunku do tego samego okresu w 2005 roku (zobacz Rysunek 1).


Rysunek 1. Liczba nowych modyfikacji z艂o艣liwych program贸w wykrytych w ci膮gu jednego miesi膮ca.

Jak wynika z Rysunku 1, trojany stanowi膮 ogromn膮 wi臋kszo艣膰 z艂o艣liwych program贸w. Jest to jedyny rodzaj z艂o艣liwego oprogramowania, kt贸ry w pierwszej po艂owie 2006 wykazywa艂 wzrost pod wzgl臋dem liczby nowych modyfikacji (9%). Rosn膮ca liczba trojan贸w odgrywa istotn膮 rol臋 w kszta艂towaniu si臋 og贸lnego wzrostu liczby z艂o艣liwych program贸w.

Tak jak mo偶na si臋 by艂o spodziewa膰, nieznacznie zmniejszy艂a si臋 liczba wirus贸w i robak贸w (1,1%). Najwi臋kszy spadek odnotowa艂a kategoria MalWare: liczba z艂o艣liwych program贸w z tej grupy zmniejszy艂a si臋 o 2,3% w por贸wnaniu z tym samym okresem w 2005 roku.

W dalszej cz臋艣ci artyku艂u zajmiemy si臋 bardziej szczeg贸艂owym om贸wieniem tych trzech kategorii z艂o艣liwego oprogramowania.

Trojany

Programy troja艅skie rozwijaj膮 si臋 szybciej ni偶 inne klasy z艂o艣liwego kodu. Jak ju偶 wspominali艣my, wzrost liczby nowych modyfikacji trojan贸w wynosi艂 w pierwszej po艂owie 2006 roku 9%.


Rysunek 2. Liczba nowych modyfikacji koni troja艅skich wykrytych w ci膮gu jednego miesi膮ca.

Rozk艂ad trojan贸w ze wzgl臋du na kategori臋 pokazuje Rysunek 3.


Rysunek 3. Rozk艂ad trojan贸w ze wzgl臋du na kategori臋.

Z program贸w zaliczanych do kategorii koni troja艅skich najpopularniejsze typy to: Backdoor (30%), Trojan-Downloader (26%), Trojan-PSW (12%) oraz Trojan-Spy (13%). Z czego wynika popularno艣膰 tych program贸w? Odpowied藕 na to pytanie jest o wiele prostsza ni偶 mog艂oby si臋 wydawa膰 na pierwszy rzut oka: ogromn膮 rol臋 odgrywa tutaj aspekt finansowy. Trojany te stanowi膮 kluczowy element podczas kradzie偶y poufnych informacji czy tworzenia botnet贸w (sieci zainfekowanych komputer贸w). W艂a艣nie dlatego ciesz膮 si臋 popularno艣ci膮 w艣r贸d z艂o艣liwych u偶ytkownik贸w, kt贸rzy w coraz wi臋kszym stopniu zorientowani s膮 na zysk.

Popularno艣膰 program贸w typu Trojan-Downloader czy Backdoor mo偶na wyja艣ni膰 tym, 偶e cz臋sto wykorzystywane s膮 do tworzenia botnet贸w. Aby przej膮膰 kontrol臋 nad komputerem ofiary, z艂o艣liwy u偶ytkownik infekuje go niewielkim, wyspecjalizowanym programem typu Trojan-Downloader. Zadaniem takiego trojana jest zainstalowanie w systemie innych z艂o艣liwych program贸w: bardzo cz臋sto s膮 to Backdoory, kt贸re przekazuj膮 pe艂ny zdalny dost臋p do komputera ofiary.

Istniej膮 r贸wnie偶 programy typu Trojan-Spy i Trojan-PSW. Jak wskazuj膮 ich nazwy, trojany te zajmuj膮 si臋 szpiegowaniem i kradzie偶膮 poufnych informacji. Za ich pomoc膮 mo偶na "wyci膮gn膮膰" niemal ka偶dy rodzaj danych osobowych: od hase艂 do gier i system贸w finansowych po informacje, kt贸re mog膮 zosta膰 wykorzystane w badaniach marketingowych - wszystko to bez wzbudzania najmniejszych podejrze艅 u偶ytkownika.

W przeciwie艅stwie do z艂o艣liwego kodu, kt贸ry jest zdolny do rozmna偶ania si臋 (wirusy, robaki), programy troja艅skie musz膮 zosta膰 "dostarczone" na komputer ofiary. Ostatnio trojany dostarczane s膮 za po艣rednictwem spamu z z艂膮cznikami zawieraj膮cymi z艂o艣liwy kod albo wykorzystuje si臋 do tego exploity na luki w systemach operacyjnych i aplikacjach. Z艂o艣liwi u偶ytkownicy preferuj膮 obecnie metod臋 masowych wysy艂ek. Tysi膮c infekcji kosztuje w granicach 40-60 dolar贸w, chocia偶 nikt nie obiecuje klientowi, 偶e "jego" z艂o艣liwy program b臋dzie jedynym na zainfekowanym komputerze.

W przysz艂o艣ci wzrost liczby program贸w zaliczanych do kategorii koni troja艅skich utrzyma si臋 prawdopodobnie na mniej wi臋cej sta艂ym poziomie. Mo偶liwy jest jednak nieznaczny spadek.

Wirusy i robaki

Od ponad roku jeste艣my 艣wiadkami spadku liczby wirus贸w i robak贸w. Poni偶szy wykres przedstawia liczb臋 nowych modyfikacji wirus贸w i robak贸w wykrywanych w kolejnych miesi膮cach.


Rysunek 4. Liczba nowych modyfikacji wirus贸w i robak贸w na miesi膮c.

Z danych dla pierwszej po艂owy 2006 roku wynika, 偶e liczba nowych modyfikacji wirus贸w i robak贸w zmniejszy艂a si臋 o 1,1%.

Rysunek 5 (poni偶ej) pokazuje r贸偶ne rodzaje wirus贸w i robak贸w wykrytych w pierwszej po艂owie 2006 roku.


Rysunek 5. Rozk艂ad rodzaj贸w wirus贸w i robak贸w wykrytych w pierwszej po艂owie 2006 roku.

Liczba nowych modyfikacji spad艂a w obr臋bie tej klasy, od wirus贸w do robak贸w pocztowych i innych. Powodem tego spadku jest prosty rachunek ekonomiczny: taniej jest stworzy膰 prymitywny program troja艅ski ni偶 samodzielnie rozprzestrzeniaj膮cy si臋 z艂o艣liwy kod, taki jak robak.

O zmniejszeniu si臋 liczby robak贸w 艣wiadcz膮 zar贸wno liczne statystyki, jak i inne czynniki. Na przyk艂ad liczba globalnych epidemii znacznie zmniejszy艂a si臋 w ci膮gu ostatnich sze艣ciu miesi臋cy w por贸wnaniu z tym samym okresem w 2005 roku.

Spadek liczby epidemii z pewno艣ci膮 przyczyni si臋 do zmniejszenia strat finansowych i innych szk贸d. Jednak, wci膮偶 istnieje ryzyko, 偶e u偶ytkownicy nie wyka偶膮 si臋 odpowiedni膮 ostro偶no艣ci膮, stwarzaj膮c tym samym okazje szkodliwym u偶ytkownikom.

W przysz艂o艣ci liczba wirus贸w i robak贸w nadal b臋dzie spada膰.

Inne z艂o艣liwe programy

Sekcja ta po艣wi臋cona jest ostatniej klasie z艂o艣liwego kodu wykrywanego przez nasze sygnatury zagro偶e艅. Ewolucj臋 z艂o艣liwego kodu nale偶膮cego do klasy MalWare ukazuje Rysunek 6 poni偶ej.


Rysunek 6. Liczba modyfikacji program贸w z klasy MalWare.

Liczba nowych modyfikacji program贸w z klasy MalWare spad艂a o 2,3% w por贸wnaniu z tym samym okresem w 2005 roku.

Rysunek 7 przedstawia r贸偶ne typy z艂o艣liwych program贸w z klasy MalWare zgodnie z systemem klasyfikacji firmy Kaspersky Lab


Rysunek 7. Rozk艂ad r贸偶nych typ贸w program贸w z klasy MalWare.

Exploity, najpopularniejsza grupa w obr臋bie klasy MalWare, stanowi膮 30%. S膮 one integraln膮 cz臋艣ci膮 mechanizmu wykorzystywanego przez z艂o艣liwe oprogramowanie do rozprzestrzeniania si臋.

Szanta偶 - niebezpieczny trend

Jednym z najniebezpieczniejszych trend贸w w ostatnich miesi膮cach by艂 wzrost liczby incydent贸w, polegaj膮cych na tym, 偶e szkodliwi u偶ytkownicy wykorzystywali okre艣lony program do zmodyfikowania danych na komputerze ofiary, a nast臋pnie szanta偶owali u偶ytkownika. Wiele z tych program贸w jest bardzo podobnych do siebie, a ich celem jest uszkodzenie funkcji komputera ofiary lub zablokowanie dost臋pu do danych. Wzrost liczby nowych modyfikacji takich program贸w przedstawia Rysunek 8.


Rysunek 8. Liczba program贸w modyfikuj膮cych dane i wykorzystywanych do szanta偶u.

W styczniu 2006 roku programy tego typu reprezentowane by艂y w zasadzie przez jednego trojana - by艂 to Trojan.Win32.Krotten. W ci膮gu zaledwie dw贸ch tygodni autor Krottena wypu艣ci艂, z niezwyk艂膮 regularno艣ci膮, a偶 13 modyfikacji tego z艂o艣liwego kodu. Aby uniemo偶liwi膰 wykrycie Krottena nieustannie zmienia艂 kod. Wyja艣nia to ukazany na wykresie gwa艂towny wzrost, jaki nast膮pi艂 na pocz膮tku pierwszej po艂owy 2006 roku.

Komputerowi szanta偶y艣ci zacz臋li zwraca膰 nasz膮 uwag臋 od lutego 2006 roku: pojawia艂y si臋 wtedy nowe rodzaje z艂o艣liwego oprogramowania z tej grupy, tworzone przez r贸偶nych autor贸w. Jednak pod wzgl臋dem nowych modyfikacji Krotten wci膮偶 pozostaje na prowadzeniu.

Pod koniec stycznia pojawi艂 si臋 nast臋pca Krottena - Virus.Win32.Gpcode. Trojan.Win32.Krotten nigdy nie modyfikowa艂 plik贸w u偶ytkownika (a jedynie rejestr systemowy, aby utrudni膰 u偶ytkownikowi usuni臋cie trojana oraz korzystanie z zainfekowanego komputera). To oznacza艂o, przynajmniej teoretycznie, mo偶liwo艣膰 przywr贸cenia komputera ofiary do stanu sprzed infekcji. Gpcode nie pozostawi艂 u偶ytkownikowi tej szansy. Przez pierwsze sze艣膰 miesi臋cy 2006 roku program ten gwa艂townie rozwija艂 si臋: autor odszed艂 od typowego symetrycznego algorytmu szyfrowania na rzecz niesymetrycznego, zwi臋kszaj膮c d艂ugo艣膰 wykorzystywanego klucza z 56 bit贸w do 64, 260, 330 i tak dalej, a偶 do 660.

W ci膮gu pierwszej po艂owy tego roku liczba trojan贸w wykorzystywanych do szanta偶u zwi臋kszy艂a si臋 z dw贸ch do sze艣ciu (Krotten, Daideneg, Schoolboys, Cryzip, MayArchive, Gpcode). W okresie ich najwi臋kszego rozwoju ataki tych trojan贸w ogranicza艂y si臋 do Rosji i Wsp贸lnoty Niepodleg艂ych Pa艅stw. Jednak pod koniec lipca ich autorzy lub u偶ytkownicy wyra藕nie zwi臋kszyli zasi臋g - podobne przypadki szanta偶u pojawi艂y si臋 w Niemczech, Wielkiej Brytanii i kilku innych pa艅stwach.

Nic nie stoi na przeszkodzie dalszego rozwoju z艂o艣liwych program贸w tego typu - fakt ten stanowi szczeg贸lny pow贸d do niepokoju. Znamy przypadki, gdy pocz膮tkuj膮cy u偶ytkownicy, kt贸rzy zaledwie dzie艅 wcze艣niej ledwo potrafili pos艂ugiwa膰 si臋 myszk膮, pr贸buj膮 teraz szcz臋艣cia w cyberszanta偶u. Niekt贸re z takich pr贸b s膮 zupe艂nie absurdalne - zdarza艂o si臋, 偶e z艂o艣liwy u偶ytkownik za偶膮da艂 okre艣lon膮 kwot臋 okupu i powiadomi艂, w jaki spos贸b nale偶y przekaza膰 pieni膮dze, ale zapomnia艂 o zamieszczeniu swoich danych kontaktowych. Przyk艂adem takiego trojana jest Trojan.WinREG.Schoolboys.a.

Wniosek

Niestety, przysz艂o艣膰 nie wygl膮da r贸偶owo: techniki wykorzystywane przez cyberprzest臋pc贸w nadal b臋d膮 ewoluowa艂y, a liczba z艂o艣liwych program贸w ros艂a.

Liczba nowych modyfikacji z艂o艣liwych program贸w zwi臋ksza si臋 w sta艂ym tempie: tylko w pierwszej po艂owie tego roku odnotowali艣my 8 procentowy wzrost.

Najbardziej rozpowszechnione s膮 obecnie z艂o艣liwe programy z grupy Trojan-Spy, Trojan-PSW, Trojan-Downloader oraz Backdoor: innymi s艂owy, wszystkie z艂o艣liwe programy wykorzystywane do tworzenia botnet贸w i kradzie偶y danych osobowych oraz w艂asno艣ci cybernetycznej u偶ytkownik贸w.

Coraz popularniejsze staje si臋 r贸wnie偶 wykorzystywanie z艂o艣liwych program贸w do przeprowadzania atak贸w na sprecyzowane cele.

W pierwszej po艂owie 2006 roku z艂o艣liwi u偶ytkownicy wyra藕nie preferowali infekowanie komputer贸w przy u偶yciu exploit贸w. Popularno艣膰 tej metody wynika z tego, 偶e z艂o艣liwy program jest do pewnego stopnia niewykrywalny na komputerze u偶ytkownika, tj. z艂o艣liwy kod nie musi by膰 aktywowany przez u偶ytkownika.

Powy偶sze wnioski mog膮 brzmie膰 dosy膰 gro藕nie, jednak sytuacja nie jest a偶 tak z艂a. Regularna aktualizacja sygnatur zagro偶e艅 oraz instalowanie 艂at bezpiecze艅stwa dla oprogramowania pomo偶e uchroni膰 komputer lub system przed wi臋kszo艣ci膮 wymienionych zagro偶e艅.

殴r贸d艂o:
Kaspersky Lab
Wi臋cej informacji
Analizy
Kaspersky Security Bulletin, stycze艅 - czerwiec 2006: Z艂o艣liwe oprogramowanie dla platform innych ni偶 Win32
Kaspersky Security Bulletin, stycze艅 - czerwiec 2006: Ataki internetowe
Kaspersky Security Bulletin, stycze艅 - czerwiec 2006: Z艂o艣liwe programy dla urz膮dze艅 przeno艣nych
Kaspersky Security Bulletin, stycze艅 - czerwiec 2006: Raport o spamie