Wstęp

W artykule tym przedstawiono analizę ewolucji robaków komunikatorów internetowych (IM-Worm) od początku 2005 roku. Tekst został napisany z europejskiego punktu widzenia: oznacza to, że nie zawiera informacji o niektórych robakach, które nie były szeroko rozpowszechnione w Europie. Nie uwzględnia również złośliwych programów dla pewnych komunikatorów, takich jak ICQ, które nie są szczególnie popularne w Europie.

Chociaż pierwszy robak komunikatorów internetowych pojawił się w 2001 roku, szkodniki tego typu rozpowszechniły się dopiero na początku 2005 roku. Przyglądając się temu okresowi, przekonamy się, jak ważne jest rozróżnienie robaków komunikatorów internetowych ze względu na cel, w jakim zostały napisane.

Robaki, takie jak Sumom, wywołały duże epidemie i dlatego przyciągnęły uwagę mediów. Tego typu robaki pisane były przez cyberwandali, którzy chcieli wyrządzić szkody i zwrócić na siebie uwagę. Ten rodzaj robaków stworzył ogólne wrażenie, że robaki komunikatorów internetowych są domeną cyberwandali, którzy chcą się wyróżnić. Całkiem niesłusznie. Dwie z najsławniejszych rodzin robaków komunikatorów internetowych Bropia oraz Kelvir motywowane były chęcią osiągnięcia zysków finansowych.

Pojawienie się robaków Bropia, Kelvir i Prex

Bropia, Kelvir i Prex rozprzestrzeniają się za pośrednictwem komunikatora MSN Messenger jako odnośniki do plików zlokalizowanych na serwerze http. Wraz z pojawieniem się w lutym 2005 roku rodziny Bropia nastąpił kolejny etap w ewolucji robaków komunikatorów internetowych. Chociaż z programistycznego punktu widzenia Bropia nie był szczególnie interesujący, wybierając nieznany wtedy program pakujący autor robaka pokazał, że jest poważnym przeciwnikiem. Wczesny wariant tego robaka został spakowany przy pomocy PEspin 1.1; żaden z głównych skanerów antywirusowych dostępnych w tym czasie nie obsługiwał tego typu pakowania. Po tym jak zauważyliśmy, że autor robaka Bropia wciąż używa tej metody, szybko dodaliśmy do antywirusowych baz danych odpowiednią technologię rozpakowującą

W odpowiedzi na wzrost współczynników wykrywania robaków z tej rodziny przez ochronę proaktywną firmy Kaspersky Lab autor (lub autorzy) zaczęli wykorzystywać inną, nieznaną jeszcze w tym czasie kompresję UPack. W czasie pisania (tego artykułu) UPack był jednym z najpowszechniej wykorzystywanych programów pakujących przez twórców złośliwych programów.

Dwa tygodnie po pojawieniu się pierwszego robaka Bropia wykryto pierwszego Kelvira. Te dwie rodziny są do siebie bardzo podobne, z jedną istotną różnicą.

Zarówno Bropia jak i Kelvir zawierają IRCBoty. Głównym celem tych robaków jest zainstalowanie programu IRCBot.

Podczas gdy Bropia rozsyłany jest jako jeden plik zawierający robaka komunikatorów internetowych, w którym jest osadzony IRCBot, Kelvir zazwyczaj przedostaje się do komputera jako samorozpakowujące się archiwum (RAR), które zawiera dwa oddzielne pliki - jest to robak komunikatorów internetowych i IRCBot.

Wczesne warianty robaków Bropia i Kelvir były regularnie umieszczane na holenderskich serwerach. To, jak również fakt, że Holandia posiada jeden z najwyższych na świecie odsetków użytkowników komunikatorów MSN w połączeniu z brakiem świadomości niebezpieczeństwa ze strony robaków komunikatorów internetowych, spowodowało znaczną liczbę lokalnych epidemii.

Programy IRCBot wykorzystywane były do masowej instalacji AdWare. Jest zatem całkiem prawdopodobne, że ich autorzy - którym płacono za każdy program adware zainstalowany na komputerze - osiągali spore zyski.

Prex, trzecia z opisywanych tutaj rodzin, oparta jest na kodzie z robaków Bropia/Kelvir. Robaki z rodziny Prex zostały zaklasyfikowane na początku do klasy trojanów komunikatorów internetowych (Trojan-IM), a nie robaków komunikatorów internetowych (IM-Worm). Powodem było to, że Prex rozprzestrzenia odnośnik do IRCBota, a nie do samego siebie. Zgodnie z klasyfikacją wirusów firmy Kaspersky Lab, programy takie są trojanami, a nie robakami. Jednak ze względu na to, że pliki na serwerach internetowych zawsze mogą zostać zmienione, zdecydowaliśmy się zaliczyć ten rodzaj złośliwego oprogramowania do klasy robaków komunikatorów internetowych. W rzeczywistości wciąż toczy się dyskusja, czy złośliwy program tego typu, który rozprzestrzenia się za pośrednictwem komunikatorów internetowych jest trojanem czy robakiem.

Ponieważ robaki Bropia, Kelvir i Prex są bardzo do siebie podobne, liczne warianty szkodników z wszystkich tych rodzin wykrywane są przy pomocy naszej sygnatury wirusa IM-Worm.Win32.Prex.dRewolucja społeczna - robaki komunikatorów internetowych i socjotechnika

Pierwsze warianty robaków komunikatorów internetowych wykorzystywały prymitywne i wypróbowane metody socjotechniki, aby zachęcić użytkowników do klikania wysłanego przez robaka odnośnika. Najczęściej chodziło o nazwy plików o rozszerzeniach .scr lub .pif. Plik lub odnośnik sugerował zazwyczaj, że zawartość ma charakter humorystyczny lub seksualny, w tym celu twórcy tych wirusów często posługiwali się osobą Paris Hilton.

Nasze dane jasno pokazują, że robaki, które wykorzystywały pliki o rozszerzeniach .pif, powodowały znacznie większe epidemie niż te o rozszerzeniach .scr. Wynika to z pewnością z tego, że ludzie błędnie odczytywali je jako gif (lub .tiff), który wskazuje na plik graficzny.

Oznaczało to, ze twórcy wirusów woleli wykorzystywać rozszerzenie .pif, ponieważ przynosiło im to lepsze rezultaty. Znacznie zwiększyła się również liczba robaków używających rozszerzenia .pif. Mimo to robaki wykorzystujące rozszerzenie .scr nie zniknęły całkowicie.

Duże epidemie przyczyniły się do tego, że robaki komunikatorów internetowych stały się mniej skuteczne; użytkownicy byli coraz bardziej świadomi zagrożeń i istniało coraz mniejsze prawdopodobieństwo, że zainfekują swoje komputery. Oznaczało to, że agresorzy musieli wymyślić nowe metody socjotechniki.

Twórcy wirusów zaczęli dodawać do odnośników różne treści, aby wydawały się bardziej prawdopodobne. Metoda ta okazała się skuteczna, o czym świadczył wzrost liczby zgłoszeń od zainfekowanych użytkowników. Jednak kolejne posunięcie twórców wirusów miało jeszcze poważniejsze skutki. W kwietniu 2005 roku zaczęliśmy obserwować warianty Kelvira, które rozprzestrzeniały się jako odnośnik do serwera obsługującego PHP.

W jaki sposób wykorzystywany jest w tym przypadku PHP? PHP używany jest głównie do tworzenia dynamicznych stron WWW i aplikacji serwerowych. Klient, w tym przypadku użytkownik, może dostarczyć dane do przetworzenia przez serwer.

Przykład:

Pictures.php jest uruchamianym na serwerze skryptem PHP. Wszystko, co znajduje siÄ™ za "?", to dane przekazane do przetworzenia przez skrypt PHP.

To, co nastąpi, zależy od tego, jak został napisany skrypt PHP. Najczęstszy scenariusz w przypadku robaka komunikatorów internetowych jest taki, że adres e-mail zostanie przechowany w bazie danych i wykorzystany podczas wysyłania spamu. Następnie pojawi się plik wykonywalny do pobrania przez użytkownika - w rzeczywistości będzie to robak komunikatorów internetowych.

Kelvir.k rozprzestrzenia się jako odnośnik do [serwer]/pictures.php?email=[adres e-mail odbiorcy]. Był to niezwykle wyrafinowany przykład socjotechniki.

Po pierwsze, odnośnik nie wygląda jak plik wykonywalny. Jest więc bardziej prawdopodobne, że użytkownik go kliknie. Kliknięcie odnośnika umożliwia przechwycenie adresu e-mail odbiorcy, nawet jeśli użytkownik nie wykona programu zaproponowanego do pobrania. Po drugie, dzięki włączeniu adresu e-mail wiadomość wydaje się bardziej spersonalizowana. Taka personalizacja jest kluczem do skutecznej socjotechniki. Po trzecie, odnośnik wydaje się prowadzić do galerii umieszczonej na serwerze.

Następnie został wykryty wariant Kelvira z funkcjonalnością "chatbota". Robak ten wykorzystywał zestaw fraz, aby nawiązywać rozmowę z potencjalną ofiarą, zanim wysyłał do niej odnośnik.

Jednak wysyłanie "odnośnika z rozszerzeniem .php" pozostało (i wciąż jest) ulubioną metodą autorów robaków komunikatorów internetowych, prawdopodobnie dlatego, że sposób ten uważany jest za najbardziej skuteczny. Ponieważ "odnośniki z rozszerzeniem .php" oferują wiele zmiennych, z punktu widzenia socjotechniki twórcy wirusów bez problemu mogą to wykorzystać.

Komunikator internetowy AOL

W pierwszej połowie 2005 roku, stało się oczywiste, że twórcy wirusów atakują głównie komunikatory MSN, ponieważ w ten sposób mogą zainfekować maksymalną liczbę użytkowników. Z tego powodu złośliwe programy dla innych komunikatorów nie przeszły przez tak oczywisty proces ewolucji pod względem socjotechniki i bardziej lub mniej przeskoczyły początkowe etapy ewolucji.

Na ewolucję złośliwych programów dla innych klientów komunikatorów internetowych wpłynął jeden istotny czynnik: analiza składniowa HTML. Komunikatory, takie jak AIM obsługują (podstawową) analizę składniową HTML, która oferuje twórcom wirusów stosującym socjotechnikę wiele opcji. Analizę składniową HTML można bardzo łatwo wykorzystać tworząc "fałszywe" odnośniki/adresy URL, które skłonią odbiorców do ich klikania.

To, że MSN nie obsługuje analizy składniowej HTML, jest jedną z trzech głównych przyczyn przejścia twórców wirusów z atakowania komunikatorów MSN na komunikatory AIM.

Drugi powód to taki, że niewiele osób wykorzystuje zarówno komunikatory MSN jak i AIM.

Trzecim i ostatnim według mnie powodem jest to, że podczas gdy twórcy wirusów mogli bez trudu zwieść użytkowników komunikatora AIM, oszukanie użytkowników MSN stało się o wiele trudniejsze. Nie dlatego, że społeczność użytkowników MSN jest bardziej świadoma potencjalnych zagrożeń, ale częściowo dlatego, że MSN podjął kilka drastycznych działań.

MSN blokował na przykład wszystkie wiadomości zawierające ".pif" na poziomie sieciowym. Blokowane były również wiadomości zawierające "gallery.php" i "download.php". Poza tymi zabezpieczeniami, późniejsze wersje komunikatora MSN Messenger nie przyjmują plików o rozszerzeniach, które mogą wskazywać na potencjalne niebezpieczeństwo, takich jak .pif, .scr i innych.

Chociaż istnieje wiele rodzin robaków komunikatorów internetowych, które atakują sieć AIM, obecnie nie są one tak istotne. Przykładem jest robak IM-Worm.Win32.Opanki: chociaż szkodnik ten stał się dość szeroko rozpowszechniony, posiada ograniczoną funkcjonalność IRCBota i może tylko pobierać pliki.

Niewidoczne robaki komunikatorów internetowych

Chociaż robaki komunikatorów internetowych wykorzystujących technologię rootkit w celu maskowania swojej aktywności zaczęliśmy wykrywać już w maju 2005 roku, sekcja ta poświęcona jest nieco innemu zagadnieniu.

Jedną z interesujących różnic między złośliwymi programami, które rozprzestrzeniają się poprzez MSN, a złośliwymi programami rozprzestrzeniającymi się poprzez AIM, jest to, że robak atakujący komunikator MSN jest osobnym komponentem/plikiem. W przypadku złośliwych programów, które rozprzestrzeniają się za pośrednictwem AIM, funkcjonalność ta zazwyczaj włączona jest do ciała złośliwego programu; procedura rozprzestrzeniania jest często drugorzędna w stosunku do głównej funkcji.

Istnieją złośliwe programy rozprzestrzeniające się poprzez MSN, które zachowują się w podobny sposób: na przykład niektóre warianty robaka Mytob zawierają komponent, który rozprzestrzenia się poprzez komunikator internetowy. Komponent ten wykrywany jest jako Mytob. Jednak więcej jest złośliwych programów, które rozprzestrzeniają się poprzez AIM: jedną z najbardziej znanych rodzin jest Backdoor.Win32.Aimbot, typowy IRCBot ze zdolnością do rozprzestrzeniania się poprzez AIM.

Jest także wiele SdBotów i Rbotów, których zdolność do rozprzestrzeniania się poprzez AIM stanowi jedynie jeden mały podzbiór ich funkcji. Niektóre szkodniki z kategorii Trojan-Downloader, takie jak rodzina Banload, posiadają podobną funkcjonalność.

Wszystko to utrudnia określenie liczby złośliwych programów ze zdolnością do rozprzestrzeniania się poprzez AIM. Jedno jest pewne: jest o wiele więcej złośliwych programów, które potrafią rozprzestrzeniać się za pośrednictwem AIM, niż mogłoby się wydawać na pierwszy rzut oka.

Jaki jest powód tej różnicy między liczbą złośliwych programów rozprzestrzeniających się za pośrednictwem MSN a tych rozprzestrzeniających się poprzez AIM? Prawie wszystkie kody robaków komunikatora MSN wciąż pisane są w języku Visual Basic, podczas gdy większość szkodników, które rozprzestrzeniają się poprzez AIM pisanych jest w języku C. Niedoświadczeni twórcy wirusów mogą skutecznie wyciąć i wkleić kod w języku C do kodu źródłowego IRCBota bez wpływu na jego funkcjonalność, ponieważ wszystkie popularne otwarte kody źródłowe IRCBotów pisane są w tym języku. Nie jest tak jednak w przypadku kodu w Visual Basic. Ta pula gotowych kodów prowadzi do zwiększenia liczby złośliwych programów, które rozprzestrzeniają się za pośrednictwem komunikatora AIM.

Ewolucja techniczna

Na początku tego artykułu podjęliśmy kilka kwestii dotyczących ewolucji technicznej robaków komunikatorów internetowych. Jednak zagadnienie to ma jeszcze inne interesujące aspekty.

W maju 2005 roku zauważyliśmy, że do robaków komunikatorów internetowych dodawane są pewne funkcje. Bropia.ad posiadał możliwość rozprzestrzeniania się za pośrednictwem P2P, podczas gdy IM-Worm.Win32.Kelvir.bm zawierał również rootkita.

Pakiety: robaki komunikatorów internetowych/backdoor, takie jak Kelvir i Bropia nie są już tak popularne. Wygląda na to, że twórcy złośliwych programów mieli kilka powodów, aby je rozdzielić.

Obecnie dość powszechny jest następujący scenariusz:

Użytkownik otrzymuje odnośnik za pośrednictwem komunikatora internetowego. Po kliknięciu go albo zostaje przeniesiony na stronę internetową, która zawiera exploita, a wtedy na jego komputerze zostaje automatycznie zainstalowany złośliwy program, albo proszony jest o pobranie i/lub uruchomienie pliku wykonywalnego, tj. IRCBota. Po tym jak Backdoor zostanie wykonany, pobierze automatycznie robaka komunikatorów internetowych, albo za pośrednictwem kanału IRC otrzyma polecenie, aby pobrać ten plik. Tego typu robaki są wciąż bardzo podobne do Kelvira, jest jednak jedna duża różnica: rozprzestrzeniają się tylko na polecenie.

Robak zacznie się rozprzestrzeniać dopiero po tym, jak operator IRC wyda określone polecenie w kanale, lub na jedną konkretną maszynę. Należy zwrócić uwagę na to, że w takich przypadkach robak rozprzestrzenia się jako odnośnik do Backdoora, a nie do samego siebie.

Podejście to posiada kilka zalet:

• Jeżeli polecenie pobrania wydawane jest poprzez kanaÅ‚ IRC, otrzymanie plików przez specjalistów od zabezpieczeÅ„ jest tylko kwestiÄ… czasu. CzÄ™sto kontaktujÄ… siÄ™ oni z dostawcami usÅ‚ug hostingowych obsÅ‚ugujÄ…cymi stronÄ™ WWW, która zawiera zainfekowane pliki, i proszÄ… ich o zdjÄ™cie strony. Jak tylko osoba obsÅ‚ugujÄ…ca bota zorientuje siÄ™, że strona internetowa zostaÅ‚a zdjÄ™ta, może wrzucić zainfekowany plik na inny serwer i zmodyfikować odsyÅ‚acz, który jest wysyÅ‚any do IRCBotów. W ten sposób botnet wciąż siÄ™ rozrasta.
• Utrudni to producentom antywirusowym uzyskanie próbki robaków komunikatorów internetowych, co przeciÄ…gnie w czasie stworzenie i opublikowanie sygnatury.
• NajwiÄ™ksze znaczenie ma jednak to, że w ten sposób można kontrolować rozmiar botneta. WczeÅ›niejsze warianty Kelvira nadal rozprzestrzeniaÅ‚yby siÄ™ w niekontrolowany sposób. Jeżeli jednak polecenie rozpoczÄ™cia rozprzestrzeniania siÄ™ otrzyma tylko jeden albo dwa IRCBoty, nie wystÄ…pi epidemia na dużą skalÄ™, która zwróciÅ‚aby uwagÄ™ firm antywirusowych, organów Å›cigania i mediów.

Istnieją warianty robaków Kelvir i Opanki, które potrafią wysyłać dynamiczne wiadomości i/lub pobierać odnośniki. Oznacza to, że osoba obsługująca bot posiada pełną kontrolę nad zawartością wysyłaną przez robaki komunikatorów internetowych. Jest to obecnie standard dla backdoorów, które potrafią rozprzestrzeniać się poprzez komunikator AIM.

W styczniu 2006 roku natrafiliśmy na IRCBot.lo

Szkodnik ten nie tylko potrafi rozprzestrzeniać odnośniki do dużej liczby sieci komunikatorów internetowych. Możliwe jest również zmienianie wiadomości i odsyłacza do szkodliwego kodu. Być może jest to najwyższa faza rozwoju funkcjonalności robaków komunikatorów internetowych.

Wniosek

W artykule tym nie przeanalizowano złośliwych programów, takich jak Trojan-PSW.Win32.PdPinch, które rozprzestrzeniają się poprzez ICQ i stanowią poważny problem dla Rosji i niektórych innych nieeuropejskich państw. Poza tym, próbowaliśmy dokonać przeglądu krajobrazu złośliwych programów komunikatorów internetowych.

Od czasu, gdy po raz pierwszy pojawiły się robaki komunikatorów internetowych, obserwowaliśmy znaczne zmiany: w metodach dystrybucji, w stopniu zaawansowania wykorzystywanego kodu i w celach ataków na sieci komunikatorów internetowych. Dodatkowo, wiadomości dynamiczne pomagają przedłużyć cykl życia złośliwych programów i botnetów, a dzięki kontrolowaniu rozprzestrzeniania złośliwych programów ich twórcy mogą uniknąć zwrócenia na siebie uwagi.

W większości przypadków, robak komunikatorów internetowych nie powinien być traktowany jako samodzielny złośliwy program, a raczej jako "sługa", który może pomagać w rozprzestrzenianiu się IRCBota.

Pojawienie się szkodnika IRCBot.lo pokazuje, że robak internetowy jest wektorem infekcji, który nie został jeszcze w pełni wyeksploatowany. Poza tym, kod ten można łatwo skopiować, co potencjalnie może prowadzić do znacznego wzrostu liczby IRCBotów mogących rozprzestrzeniać odnośniki we wszystkich dużych sieciach komunikatorów internetowych. Jest całkiem prawdopodobne, że w przyszłości zaczniemy otrzymywać zgłoszenia o rosnącej liczbie ataków na inne sieci komunikatorów internetowych.

Zdolność rozprzestrzeniania się poprzez komunikatory internetowe jest funkcjonalnością, którą bez wątpienia twórcy wirusów będą nadal wykorzystywać w swoich wielofunkcyjnych IRCBotach. Możliwe jednak, że w dłuższej perspektywie proces wymierania wyspecjalizowanych złośliwych programów, które rozprzestrzeniają się za pośrednictwem komunikatorów internetowych, będzie kontynuowany.

Źródło: Kaspersky Lab