Yury Mashevsky
Virus Analyst, Kaspersky Lab

Raport ten zawiera dane statystyczne oraz komentarz do najistotniejszych wydarzeń 2005 roku. Ponadto analizuje zwiększający się rynek złośliwego kodu oraz aktualne zagrożenia cybernetyczne. Tekst przeznaczony jest dla ekspertów z branży bezpieczeństwa specjalizujących się w dziedzinie ochrony przed złośliwymi programami, a także dla wszystkich zainteresowanych zagrożeniami rynku IT.

• TrojWare - programy trojaÅ„skie
• VirWare - robaki i wirusy
• MalWare - inne zÅ‚oÅ›liwe programy
• Inne trendy
  • Bankowość internetowa
  • ZÅ‚oÅ›liwy kod dla nowych platform oraz wieloplatformowy zÅ‚oÅ›liwy kod
  • AdWare
• Wniosek

Rok 2005 przyniósł poważne zmiany w świecie złośliwych programów. Pod koniec zeszłego roku analitycy z Kaspersky Lab wykrywali średnio 6 368 złośliwych programów w miesiącu. Stanowi to 117% wzrost w stosunku do całego roku 2005 oraz 24% wzrost w stosunku do roku 2004. Liczby te wskazują na nieustannie zwiększające się zapotrzebowanie na złośliwe programy.

Stosowany przez firmę Kaspersky Lab system klasyfikacji obejmuje trzy klasy złośliwych programów:

• TrojWare: programy trojaÅ„skie, które nie sÄ… zdolne do samodzielnego rozmnażania siÄ™ (backdoory, rootkity i wszystkie inne typy trojanów)
• VirWare: zÅ‚oÅ›liwe programy, które potrafiÄ… rozmnażać siÄ™ samodzielnie (np. wirusy i robaki)
• MalWare: aplikacje aktywnie wykorzystywane do tworzenia zÅ‚oÅ›liwych programów i przeprowadzania ataków

Poniższy diagram pokazuje rozkład złośliwego oprogramowania według klasy, przechwyconego przez analityków Kaspersky Lab:

1. Rozkład procentowy złośliwego oprogramowania według klasy (koniec roku 2005)

Poniższa tabela ukazuje zmiany w rozkładzie procentowym złośliwego oprogramowania w porównaniu z 2004 r.:

Jak wynika z tabeli, nastąpił wzrost liczby programów z klasy TrojWare; jest to kontynuacja trendu z 2004 roku. Wzrost liczby złośliwych programów w obrębie klasy TrojWare związany jest ze zmniejszeniem się liczby programów należących do klasy VirWare i MalWare - spadek ten również rozpoczął się w 2004 roku.

Liczby te można wyjaśnić w kategoriach ekonomicznych: łatwiej i taniej jest tworzyć trojany niż pisać złośliwe programy, które potrafią samodzielnie się rozmnażać. Co więcej, rozesłane przy użyciu technik spamowych programy z klasy TrojWare szybciej dotrą do użytkowników niż robak pocztowy zdolny do samodzielnego rozprzestrzeniania się.

Przyjrzyjmy się dokładniej tym zmianom.

TrojWare — programy trojaÅ„skie

Poniższy wykres ukazuje liczbę programów trojańskich przechwytywanych przez analityków firmy Kaspersky Lab w poszczególnych miesiącach:

2. Wzrost liczby złośliwych programów z klasy TrojWare.

Jak wynika z diagramu, intensywny wzrost liczby programów trojańskich przechwytywanych w każdym miesiącu, który rozpoczął się w roku 2004, trwał przez cały rok 2005. Współczynnik wzrostu nieustannie zwiększał się, a pod koniec roku 2005 wyniósł 124%. Innymi słowy, w ciągu 2005 roku liczba programów z klasy TrojWare zwiększyła się ponad dwukrotnie.

Poniżej przedstawiamy rozkład procentowy programów trojańskich według zachowania:

3. Rozkład procentowy programów z klasy TrojWare ze względu na zachowanie (koniec 2005 r.)

Poniższa tabela pokazuje wzrost liczby programów z klasy TrojWare charakteryzujących się różnym zachowaniem w porównaniu z rokiem 2004. Znak "-" oznacza, że dane programy wykrywane były rzadko lub zmiany mieściły się w granicach błędu statystycznego.

Po bliższym przyjrzeniu się poszczególnym rodzajom programów z klasy TrojWare okazuje się, że ogromna większość z nich wykazywała stabilny wzrost.

Programy Trojan_AOL, Trojan-ArcBomb, Trojan-DDoS, Trojan-IM oraz Trojan_Notifier występują stosunkowo rzadko. Ich liczba pozostaje na stałym poziomie. W ciągu 2005 roku analitycy z Kaspersky Lab wykrywali kilka takich próbek miesięcznie.

Backdoor, Trojan-Downloader, Trojan-Dropper oraz Trojan-Proxy to programy z klasy TrojWare, których liczba wzrasta w najszybszym tempie. Wszystkie z tych programów wykorzystywane są przez szkodliwych użytkowników do tworzenia botnetów i ich aktualizacji. W tym miejscu warto wyjaśnić, czym są botnety. Botnety składają się z ogromnej liczby zainfekowanych komputerów połączonych w jedną sieć. Sieć zarządzana jest przez zdalnego szkodliwego użytkownika, który jest jej właścicielem. Ostatnio sieci takie stały się niezwykle popularne wśród cyberprzestępców, co wyjaśnia wzrost liczby tych programów. Coraz częściej trojany te rozprzestrzeniane są przy użyciu technik spamowych.

Rosnąca liczba wykrywanych programów Trojan-PSW oraz Trojan-Spy odzwierciedla nastawienie cyberprzestępców na osiąganie korzyści finansowych. Prawie wszystkie z tych programów wykorzystywane są do kradzieży danych z komputerów ofiar, w celu uzyskania nielegalnego dostępu do finansów. Analitycy z Kaspersky Lab wykryli programy Trojan-Spy, które potrafią zbierać informacje dotyczące kilkuset systemów bankowości internetowej i płatności elektronicznej. Dane te mogą być następnie odsprzedawane.

Programy Trojan-Clickers wykorzystywane są głównie do zwiększania liczby odwiedzin wybranych stron WWW. Jednak wzrost liczby tych programów jest mniejszy niż wzrost całej klasy. Oznacza to, że szkodliwi użytkownicy skupiają się na bardziej "dochodowych" programach.

Klasyczne konie trojańskie są niewątpliwie najstarszymi reprezentantami klasy TrojWare. Termin ten obejmuje wszystkie programy trojańskie, które z pewnych względów nie zostały zaklasyfikowane do wymienionych wyżej zachowań. Wzrost liczby tych programów jest mniejszy niż wzrost całej klasy, ale wciąż utrzymuje się na wysokim poziomie.

Rootkity są najmłodszymi członkami klasy TrojWare, które od 2-3 lat cieszą się coraz większym zainteresowaniem. Jak odnotowała firma Kaspersky Lab, liczba programów typu rootkit wzrosła w 2005 r. o 413%. Tak duży wzrost wynika częściowo z tego, że w 2004 r. pojawiało się średnio 6 nowych rootkitów na miesiąc, natomiast w 2005 r. wykrywano ich średnio aż 32. Dane te świadczą o dużym zapotrzebowaniu podziemia komputerowego na tego typu programy. W tym miejscu należy powiedzieć, że rootkity jako takie nie posiadają szkodliwych funkcji, ale coraz powszechniej wykorzystywane są do maskowania czynności wykonywanych przez inne złośliwe programy. Ze względu na wzrastającą popularność rootkitów, omówimy je szczegółowo w dalszej części artykułu.

Znamienne jest to, że większość programów z klasy TrojWare zwiększyła swoją liczbę w porównaniu z rokiem 2004. Jest to jedyna klasa złośliwych programów, która odnotowała tak znaczny wzrost w analizowanym okresie.

VirWare — robaki i wirusy

Poniższy wykres ukazuje dane dotyczące liczby programów z klasy VirWare, wykrytych przez firmę Kaspersky Lab:

4. Wzrost liczby programów z klasy VirWare.

Poniżej przedstawiamy rozkład procentowy programów z tej klasy według zachowania:

5. Rozkład klasy VirWare według zachowania (koniec 2005 r.)

Jak wynika z diagramu, klasa VirWare tkwi stagnacji, która rozpoczęła się już w 2004 roku i stale się pogłębia. Wzrost liczby wszystkich programów z tej klasy jest nieznaczny w porównaniu ze współczynnikiem wzrostu złośliwych programów w ogóle. Chociaż wzrosła liczba niektórych złośliwych programów z tej klasy, ilość pozostałych programów wciąż maleje. Tendencję tą wyraźnie pokazują dane zawarte w tabeli 3. Należy podkreślić, że zmniejszająca się liczba wielu rodzajów programów z klasy VirWare spowodowana jest wzrastającym zainteresowaniem członków podziemia komputerowego złośliwymi programami z klasy TrojWare.

Nieznaczny wzrost liczby robaków pocztowych spowodowany był aktywnością autorów robaka Bagle. Stworzone przez nich programy wciąż wykrywane są jako Email-Worms, pomimo tego, że często są to programy trojańskie, wykorzystywane do utrzymywania botnetów przy życiu. Gdyby nie aktywność jednej lub dwóch grup przestępczych, w roku 2005 z pewnością nastąpiłby spadek liczby robaków pocztowych. Co więcej, 2% wzrost jest o wiele mniejszy niż ogólny wzrost liczby złośliwych programów, co świadczy o powolnym zamieraniu robaków pocztowych. W ich miejsce tworzone są programy trojańskie - o wiele tańsze do napisania i rozprzestrzeniania.

Robaki IM-Worms po raz pierwszy pojawiły się w 2001 roku, jednak dopiero w połowie 2004 roku zaczęły być popularne. Pod koniec 2005 roku każdego miesiąca wykrywanych było średnio 35 nowych robaków tego typu.

Liczba robaków IRC-Worms wciąż spada, jednak programy te pojawiają się w nowym wcieleniu jako backdoory. Chociaż wciąż są wykrywane, stosunkowo rzadko pojawiają się nowe rodzaje.

W ciągu minionego roku ponad dwukrotnie zwiększył się współczynnik wzrostu robaków Net-Worms: w 2005 r. wyniósł on 43%, podczas gdy w roku 2004 - 21%. Jest to częściowo spowodowane pojawieniem się nowych luk, na przykład luk wyszczególnionych w Microsoft Security Bulletin MS05-39. Robak napisany w celu wykorzystania tej luki spowodował globalną epidemię. Duże znaczenie ma tutaj również fakt, że do rozprzestrzeniania tych robaków nie potrzebna jest interakcja człowieka (np. nie trzeba czekać, aż użytkownik uaktywni robaka otwierając załącznik). W rezultacie robaki te rozprzestrzeniają się szybciej.

Wciąż spada liczba programów P2P-Worms. Tendencja ta została zapoczątkowana w 2004 roku. Dużą rolę odegrały tu kampanie skierowane przeciwko sieciom współdzielenia plików, prowadzone między innymi przez organy ścigania oraz organizacje ponoszące straty na skutek łamania praw autorskich.

Robaki (Worms) kontynuują trend ustanowiony w 2004 roku; jest to jedyna grupa w obrębie klasy VirWare, której współczynnik wzrostu pozostaje na tym samym poziomie. Współczynnik wzrostu robaków wynosi -3%, mieści się w granicach błędu statystycznego i wyraźnie wskazuje na to, że ta grupa programów osiągnęła stagnację.

Przyjrzyjmy się teraz klasycznym wirusom - najstarszej grupie złośliwych programów przeznaczonych dla komputerów. W poprzednim roku liczba wykrywanych miesięcznie wirusów wciąż malała, jednak wolniej niż w 2004 roku (-45% w 2005 r. w porównaniu z -54% w 2004). Nie powinno to dziwić, zważywszy na fakt, że tworzenie wirusów jest najbardziej pracochłonne. Poza tym, szybkość infekcji klasycznych wirusów jest o dużo mniejsza niż szybkość, z jaką komputery infekowane są przez złośliwe programy rozprzestrzeniane, na przykład, za pomocą technik spamowych.

Niewielki spadek liczby niektórych programów z klasy VirWare został zrównoważony wzrostem złośliwych programów innego typu. Ogólnie, klasa ta wykazała nieznaczny spadek (-2%).

MalWare — inne zÅ‚oÅ›liwe programy

Złośliwe programy z tej klasy są najmniej rozpowszechnione, wykazują jednak największe zróżnicowanie pod względem zachowania. Dane statystyczne zgromadzone w ciągu całego roku wskazują na nieznaczne zwiększenie się liczby programów zaliczanych do tej klasy; natomiast ogólny współczynnik wzrostu jest najniższy spośród wszystkich złośliwych programów wykrywanych przez Kaspersky Lab.

6. Wzrost liczby programów z klasy MalWare.

Poniżej przedstawiamy rozkład procentowy programów z tej klasy według zachowania:

7. Rozkład procentowy programów z klasy MalWare według zachowania (koniec 2005)

Tylko pięć typów zachowań ujawnianych przez liczne programy z tej klasy zasługuje na bardziej szczegółowe omówienie. Pozostałe złośliwe programy występują stosunkowo rzadko; z tego powodu trudno jest mówić o jakiejkolwiek ewolucji tych programów.

Exploity wykazują najwyższy współczynnik wzrostu w klasie MalWare. Nieustanne wykrywanie nowych luk w systemach i oprogramowaniu umożliwiło exploitom osiągnięcie pozycji niekwestionowanego lidera w tej klasie. Nic nie wskazuje na to, że w najbliższej przyszłości sytuacja ulegnie zmianie. Eksploity dzierżą palmę pierwszeństwa pod względem liczby wykrywanych nowych programów i modyfikacji.

Narzędzia hakerskie wykorzystywane są do przeprowadzania szeregu różnych ataków. Chociaż odnotowany w 2005 r. 33% wzrost liczby tych programów jest niższy niż ogólny współczynnik wzrostu całej klasy MalWare, możemy mówić o zwiększającym się zainteresowaniu tego typu programami.

Konstruktory, stosowane do tworzenia nowych modyfikacji istniejących już złośliwych programów, odnotowały stosunkowo niewielki spadek.

Floodery (IM-Flooders, Email-Flooders, SMS-Flooders itd.) wykorzystywane są przez szkodliwych użytkowników do wysyłania ogromnych ilości przypadkowych wiadomości. Liczba programów wykazujących takie zachowanie zwiększyła się o 20%, tzn. współczynnik wzrostu tej grupy programów jest taki sam, jak współczynnik wzrostu całej klasy.

Narzędzia spamerskie przeznaczone są do zbierania adresów e-mail z komputerów ofiar. Adresy te przekazywane są zdalnemu użytkownikowi w celu wykorzystania ich do rozsyłania spamu. Chociaż liczba tych programów zwiększyła się w stosunkowo niewielkim stopniu, to stały wzrost świadczy o tym, że narzędzia spamerskie wciąż cieszą się popularnością wśród szkodliwych użytkowników.

Ogólnie, można powiedzieć, że rok 2005 nie był najlepszy dla klasy MalWare - wzrost liczby programów z tej klasy jest bardzo niski w porównaniu ze wzrostem liczby złośliwych programów w ogóle. W ciągu roku liczba programów w klasy MalWare wykazywała stały spadek, podczas gdy liczba programów z klasy TrojWare ciągle rosła.

Inne trendy

Bankowość internetowa

Należy podkreślić, że liczba programów trojańskich przeznaczonych do kradzieży informacji finansowych znacznie wzrosła. Informacje te wykorzystywane są przez szkodliwych użytkowników w celu uzyskania dostępu do kont bankowych osób trzecich oraz wyciągnięcia z nich pieniędzy.

Ta grupa złośliwych programów osiągnęła najwyższy współczynnik wzrostu ze wszystkich typów złośliwego oprogramowania (pod koniec roku wyniósł on rekordowe 402%). Poza tym, firma Kaspersky Lab wykryła próby stworzenia przez szkodliwych użytkowników czegoś, co przypomina botnet: po rozprzestrzenieniu programu, który instaluje trojana Trojan-Spy.Win32.Banker, szkodliwy użytkownik mógł skonfigurować botneta w taki sposób, aby kradł informacje związane z systemem bankowym.

Złośliwy kod dla nowych platform oraz wieloplatformowy złośliwy kod

Znamienne jest rosnące zainteresowanie cyberprzestępców i twórców wirusów nowymi platformami, jak również nieustanne próby tworzenia wieloplatformowych złośliwych programów. W 2005 roku analitycy Kaspersky Lab wykrywali złośliwe programy dla wielu nowych platform, takie jak np. Trojan.PSP.Brick.a (stworzony dla konsoli Sony PSP) oraz Trojan.NDS.Taihen.a (stworzony dla konsoli Nintendo DS). Pojawienie się kodu typu proof of concept (demonstrujących nowe technologie infekowania) dla tych platform po raz kolejny potwierdziło, że podziemie komputerowe nieustannie poszukuje nowych celów, w tym nowych platform, aby móc czerpać dochody z nowych źródeł.

Na uwagę zasługuje również kilka innych złośliwych programów. Jednym z nich jest Worm.SymbOS.Comwar.a, pierwszy robak dla urządzeń przenośnych działających pod kontrolą systemu Symbian, który potrafi rozprzestrzeniać się poprzez MMS. Szkodnik ten różni się od poprzednich robaków, które rozprzestrzeniały się poprzez Bluetooth, a więc mogły przenosić się tylko na urządzenia w promieniu 10/100 metrów.

Innym interesującym wydarzeniem poprzedniego roku było pojawienie się trojana Trojan.SymbOS.Cardtrap.a. Program ten jest standardowym plikiem SIS (charakterystycznym dla systemu Symbian). Jednak po uruchomieniu szkodnik zapisuje na przenośnym nośniku inny złośliwy program (tym razem dla platformy Win32). Chociaż pewne właściwości systemu Windows uniemożliwiają automatyczne uruchomienie tego programu na komputerze PC, próba stworzenia wieloplatformowego złośliwego programu jest powodem do poważnego niepokoju.

Wzrost popularności Uniksa jest przyczyną powstawania coraz większej liczby złośliwych programów dla tego systemu operacyjnego. W 2004 roku firma Kaspersky Lab wykrywała miesięcznie średnio 22 złośliwe programy dla tej platformy. W 2005 roku liczba ta wzrosła do 31 programów. Pod koniec 2005 roku współczynnik wzrostu szkodliwych programów dla tej platformy wyniósł 45%.

AdWare

Liczba programów z klasy AdWare wzrosła w 2005 r. o 63% w stosunku do roku 2004. Ale w porównaniu z 2004 rokiem jest to niższy współczynnik wzrostu, tak więc wszystko wskazuje na to, że programy tego typu wchodzą w "fazę plateau" swej ewolucji. Poprzednio wspominaliśmy, że większość programów z tej klasy znajdowała się na "ziemi niczyjej", gdzie różnica między programami złośliwymi a niezłośliwymi nie jest jasna. Coraz częściej jednak programy AdWare wykorzystują technologie wirusowe.

Firmy antywirusowe coraz częściej zaczynają wykrywać programy AdWare jako złośliwe oprogramowanie. Poza tym, rośnie liczba spraw kierowanych do sądu przeciwko firmom tworzącym programy AdWare.

Wniosek

W roku 2005 miało miejsce wiele znaczących zmian w świecie wirusów komputerowych. Powyższe dane dokładnie pokazują, w jaki sposób zmieniał się krajobraz złośliwego oprogramowania.

Znacznie wzrosła liczba prawie wszystkich rodzajów programów trojańskich. Jak już wielokrotnie wspominaliśmy, podziemie komputerowe ulega coraz większej kryminalizacji. Cyberprzestępcy skupiają się na uzyskiwaniu poufnych informacji otwierających dostęp do danych, które mogą przynieść im korzyści finansowe, takich jak zasoby systemowe, konta bankowe czy dane związane z grami online. Do tego celu wykorzystują konie trojańskie.

W roku 2005 wykrywaliśmy złośliwe programy dla nowych platform (trojany dla konsol do gier), pojawiły się również bardziej zaawansowane robaki oraz trojany dla systemu Symbian.

Trendy zaobserwowane w 2005 roku niewątpliwie doczekają się kontynuacji w 2006 roku: nowe technologie i narzędzia w pewnym stopniu będą miały wpływ na ewolucję złośliwego kodu.