Tendencje w dziedzinie wiruslogii, jakie obecnie obserwujemy, miały swoje korzenie w drugiej połowie 2003 r. Robaki internetowe: Lovesan, Sobig, Swen i Sober nie tylko wywołały globalne epidemie, ale również trwale zmieniły krajobraz złośliwych programów. Każdy z nich wyznaczył nowe standardy twórcom wirusów.

Gdy tylko pojawia się złośliwy program, który wykorzystuje całkowicie nowe techniki rozprzestrzeniania się lub infekowania komputerów, twórcy wirusów natychmiast przyjmują nowe podejście. Obecnie wszystkie nowe zagrożenia zawierają właściwości robaków Lovesan, Sobig, Swen czy Sober. Dlatego, aby zrozumieć, czym zajmują się obecnie twórcy wirusów i móc przewidzieć, co przyniesie przyszłość, należy dokładnie zanalizować tę 'czwórkę' robaków.

Lovesan

Lovesan pojawił się w sierpniu 2003 i w ciągu zaledwie kilku dni zdołał zainfekować miliony komputerów na całym świecie. Ten robak internetowy rozprzestrzeniał się wykorzystując krytyczną lukę w systemie MS Windows. Rozprzestrzeniał się bezpośrednio przez Internet, przenosząc się z komputera na komputer, ignorując popularne wtedy metody, jak IRC, P2P oraz wiadomości e-mail. Po raz pierwszy zastosował tę metodę rozprzestrzeniania robak Morris w 1988 r. Minęło więc 15 lat, zanim wykorzystał ją inny twórca wirusów.

Wykorzystując lukę w MS Windows Lovesan poszedł w ślady Slammera. Jednak, Slammer, który zaatakował w styczniu 2003 r. infekując około pół miliona komputerów, nie uzyskał tak imponujących wyników jak Lovesan.

Slammer był również pierwszym klasycznym robakiem bezplikowym - niewątpliwe osiągnięcie twórcy, ponieważ napisanie takiego robaka wymaga dużych umiejętności programistycznych. W marcu 2004 r. pojawił się robak Witty. Był to jedyny od czasu Slamera w miarę 'skuteczny' robak bezplikowy.

Lovesan zapoczątkował kolejny trend - częścią dodatkowej funkcji robaka było przeprowadzanie ataków DoS na stronach korporacyjnych. Gdyby atak Lovesana na Microsoft udał się, miliony użytkowników na całym świecie nie mogłoby pobrać łat, mających chronić ich komputery przed tym robakiem. Na szczęście, atak DoS nie powiódł się. Microsoft przebudował jednak architekturę swojego serwera sieci.

Podsumowując, Lovesan wyznaczył następujące trendy:

• wykorzystywanie krytycznych luk w MS Windows,
• rozprzestrzenianie przez Internet poprzez bezpoÅ›rednie Å‚Ä…czenie siÄ™ z atakowanymi komputerami,
• próby przeprowadzania ataków DoS i DDoS na duże serwisy WWW.

Sobig.f

W sierpniu 2003 r. Sobig.f poszedł w ślady robaka Lovesan i spowodował pierwszą poważną epidemię robaków dwudziestego pierwszego wieku. W czasie największego natężenia epidemii jedna na dziesięć wiadomości była zainfekowana przez tego robaka. Ruch pocztowy zwiększył się dziesięciokrotnie. Tworzyły go również miliony wiadomości przesyłanych przez programy antywirusowe informujące nadawców o wykryciu w wiadomościach złośliwych programów, które należy usunąć.

Sobig.f nie wykorzystywał żadnych luk. Atrybuty wiadomości (temat wiadomości itd.) również nie wyróżniały się niczym szczególnym. Jednak, robak zawierał dodatkową funkcję - backdoora, który sprawił, że eksperci z branży antywirusowej z niepokojem oczekiwali dnia 22 sierpnia. W tym dniu wszystkie kontrolowane przez robaka maszyny zombie miały otrzymać tajemnicze polecenie. Na szczęście, serwer, z którego polecenie miało zostać uruchomione, został na czas zamknięty. Sobig.f, który wciąż należy do najpopularniejszych na świecie wirusów, nie przestał jednak nękać społeczności internetowej.

Klasyczne robaki wypuszczane na wolność z kilku komputerów nie są w stanie wywołać epidemii na szeroką skalę. Robaki te osiągają szczyt aktywności po tygodniach, a nawet miesiącach. Sobig.f nie był wyjątkiem od reguły: wykorzystał komputery zainfekowane przez poprzednie wersje. W styczniu 2003 r. pojawił się Sobig.a, a w ślad za nim kilka modyfikacji, które systematycznie, komputer po komputerze, tworzyły sieć zainfekowanych komputerów. Gdy sieć przybrała krytyczne rozmiary, nastąpił atak robaka Sobig.f.

W 2004 r. Sobig.f zapoczątkował falę epidemii przeprowadzanych na szeroką skalę przez robaki internetowe. Trend ten utrzymywał się do momentu wykrycia nowej techniki. Do świata złośliwych programów Sobig wniósł dwie innowacyjne techniki:

• tworzenie sieci zainfekowanych komputerów sÅ‚użących jako platformy dla przeprowadzania epidemii,
• masowe rozsyÅ‚anie zÅ‚oÅ›liwych programów przy użyciu technik spamerskich.

Swen

Przenieśmy się teraz w czasie do dnia 18 września 2003 r. Wczesnym rankiem do firmy Kaspersky Lab nadeszła próbka z Nowej Zelandii. Robak wyglądał interesująco, nikt jednak nie przewidywał epidemii. 6 godzin później użytkownicy zainfekowanych komputerów na całym świecie wołali o pomoc. Do wojny przystąpił nowy niebezpieczny wirus!

Na pierwszy rzut oka Swen wydawał się kolejnym robakiem stosującym standardowe metody rozprzestrzeniania - wiadomości e-mail, IRC i sieci P2P. Tym, co wyróżniało robaka z tłumu, była nadzwyczaj skuteczna socjotechnika. Robak pojawił się pod przykrywką łaty wydanej przez Microsoft, mającej rzekomo zabezpieczyć wszystkie luki. Wiadomość zawierała logo firmy, odsyłacze do rzeczywistych zasobów Microsoftu oraz bardzo przekonujący tekst. Odbiorcy, którzy mieli świeżo w pamięci przerażające skutki epidemii robaków Lovesan i Sobig oraz przekonali się, jak ważne jest łatanie, posłusznie klikali odsyłacz. Wiadomość była tak przekonująca, że wśród nieświadomych użytkowników, którzy uruchomili robaka, znalazło się wielu doświadczonych specjalistów.

Epidemia nie była tak poważna jak te wywołane robakami Lovesan i Sobig (do rozprzestrzenienia Swena użyto jedynie 350 serwerów). Swen udowodnił jednak, że socjotechnika jest skuteczna, szczególnie gdy jest właściwie stosowana.

Sober

Sober zamyka listę najbardziej interesujących robaków 2003 r. Chociaż bazował na robaku Sobig, posiadał jednak kilka innowacyjnych funkcji. Zainfekowane wiadomości pisane były w wielu językach, w zależności od adresu IP użytkownika. Robak ten wykorzystywał również socjotechnikę podszywając się pod narzędzie usuwające Sobiga.

2004

Rok 2004 przyniósł wiele nowych i oryginalnych złośliwych programów. Niektóre z nich zawierały technologie znane już w poprzednim roku. Jednak, wiele nowych funkcji oraz wirusów typu proof-of-concept (tworzonych wyłącznie w celu zademonstrowania nowych technologii) świadczyło o tym, że podziemie komputerowe wciąż się rozwija.

Styczeń 2004

W pierwszym tygodniu nowego roku pojawił się nowy trojański serwer proxy, Mitglieder. Tysiące użytkowników ICQ otrzymało wiadomości z zaproszeniem do odwiedzenia określonej strony. Ci, którzy kliknęli odsyłacz musieli później szukać pomocy u producentów programów antywirusowych. Strona zawierała trojana, który wykorzystując lukę w MS IE bez wiedzy użytkownika instalował i uruchamiał serwer proxy na jego komputerze. Trojan otwierał port umożliwiając zdalnemu użytkownikowi wysyłanie i otrzymywanie wiadomości e-mai przy pomocy zainfekowanego komputera. Komputery te zostały zmienione w zombie rozsiewające spam. Twórcy wirusów szybko przejęli dwie nowe techniki wprowadzone przez Mitgliedera:

• masowe rozsyÅ‚anie wiadomoÅ›ci zawierajÄ…cych odsyÅ‚acze do zainfekowanych stron przez pocztÄ™ elektronicznÄ… lub ICQ,
• trojaÅ„skie serwery proxy staÅ‚y siÄ™ oddzielnÄ… klasÄ… zÅ‚oÅ›liwych programów Å›ciÅ›le zwiÄ…zanych ze spamerami

Mitglieder stworzył również sieć komputerów zombie - jednak świat dowiedział się o tym dopiero przy okazji ataku robaka Bagle.

Wydaje się, że robaka Bagle stworzyła ta sama grupa, co Mitgliedera. Bagle instalował trojański serwer proxy lub ściągał go z Internetu. W obu przypadkach, robak ten był ulepszoną wersją Mitgliedera posiadającą zdolność rozprzestrzeniania się za pomocą poczty. Poza tym, Bagle rozsyłany był z komputerów zainfekowanych Mitgliedrem.

Na koniec najpoważniejsza epidemia w historii komputerów: robak Mydoom.a. Do rozprzestrzeniania robak wykorzystywał sieć zainfekowanych wcześniej komputerów zombie (podobnie jak Sobig); w sprytny sposób stosował metody socjotechniki (podobnie jak Swen), zawierał skuteczną funkcję backdoor i został zaprogramowany do przeprowadzenia ataku DoS na stronach korporacyjnych (podobnie jak Lovesan).

Dzięki połączeniu funkcji trzech bardzo skutecznych robaków Mydoom.a pobił wszelkie rekordy. Wygenerował większy ruch pocztowy niż dotychczasowy lider Sobig.f; zainfekował miliony komputerów na całym świecie otwierając porty na dostęp z zewnątrz oraz powodując załamanie stron SCO.

W celu wywołania największej w historii wirusologii komputerowej epidemii Mydoom.a nie tyko skutecznie wykorzystał techniki swoich poprzedników, ale również wprowadził pewne innowacje. Backdoora instalowanego przez Mydooma wykorzystali inni twórcy złośliwych programów. Wkrótce pojawiły się nowe wirusy wyszukujące element backdoora Mydooma. Większość z nich przenikała komputery przez backdoory, usuwała Mydooma i instalowała się w jego miejsce. Niektórzy z tych naśladowców wywołali lokalne epidemie i zmusili lokalne segmenty sieci komputerów zombie stworzonej przez Mydooma, aby słuchały ich zamiast pierwotnego robaka.

Tym samym rozpowszechniła się kolejna technika:

• wykorzystywanie luk stworzonych przez inne wirusy.

Luty 2004

NetSky.b

Ten robak pocztowy wykorzystywał do rozprzestrzeniania sieć zainfekowanych komputerów pozostawionych po szkodniku Backdoor.Agobot. NetSky.b zastosował większość z wymienionych wyżej technik, usuwał również wiele robaków: Mydoom, Bagle i Mimail. Idea tak zwanego wirusa 'antywirusa' nie jest nowa. Pierwszym przykładem tego z pozoru użytecznego gatunku był szkodnik Welchia, który pojawił się w 2003 r. Welchia nie tylko przenikał komputery w celu usunięcia robaków Lovesan, ale przede wszystkim pozorował ściąganie łaty dla systemu Windows mającej usunąć luki wykorzystywane przez Lovesana.

NetSky nie tylko usuwał konkurencyjne wirusy, uwikłał również ich autorów w wojnę na słowa polegającą na zakodowaniu w kodzie szkodnika obraźliwych słów. Autor Mydooma nie podjął wyzwania, zrobili to jednak autorzy Bagle i rozpoczęła się wojna wirusów. W najbardziej aktywnym okresie w jednym dniu pojawiały się trzy wersje każdego z tych robaków.

Oprócz wojny słownej, autorzy robaków Baglei Netsky wprowadzili kilka innowacji:

• aktywne usuwanie konkurencyjnych wirusów,
• rozprzestrzenianie zarchiwizowanych plików (warianty Bagle i NetSky),
• rozprzestrzenianie w skompresowanych plikach zabezpieczonych hasÅ‚em: hasÅ‚a wprowadzane byÅ‚y w postaci ciÄ…gów tekstowych lub grafiki (Bagle),
• rezygnacja z poczty elektronicznej: zÅ‚oÅ›liwe programy rozprzestrzeniaÅ‚y siÄ™ poprzez odsyÅ‚acze do stron zawierajÄ…cych kod robaka lub poprzez Å›ciÄ…ganie go z wczeÅ›niej zainfekowanych komputerów (NetSky)

Wymienione cechy nie tylko wywarły ogromny wpływ na twórców wirusów, ale również na rozwój architektury i funkcjonalności współczesnych rozwiązań antywirusowych.

Szczególne znaczenie miało zrezygnowanie z przesyłania kodu robaka. Prawie równocześnie z wariantem NetSky.q, który rozprzestrzeniał się wysyłając wiadomości e-mail zawierające odsyłacze do zainfekowanych wcześniej komputerów, pojawił się Bizex. Bizex był pierwszym robakiem, który przenikał komputery przez ICQ. Robak ten wysyłał odsyłacze do strony zawierającej zainfekowany kod pod wszystkie kontakty ICQ znalezione na zainfekowanych komputerach. Po kliknięciu odsyłacza kod robaka ściągał się z zainfekowanej strony WWW i cykl zaczynał się od nowa. Bizex skutecznie łączył w sobie właściwości Mitgliedera (rozprzestrzenianie przez ICQ) i robaka NetSky (wysyłanie odsyłaczy do zainfekowanych stron WWW).

Marzec 2004

Snapper i Wallon

Te robaki internetowe utrwaliły techniki wprowadzone przez dwa szkodniki: Netsky i Bizex. Oba robaki skanowały na zainfekowanych komputerach książki adresów e-mail i wysyłały pod nie odsyłacze do zainfekowanych stron. Twórcy wirusów umieścili na zainfekowanych stronach trojany skryptowe: trojany te następnie wykorzystywały luki w przeglądarce Internet Explorer w celu instalowania głównych składników na atakowanych komputerach.

Nawet dzisiaj, wiadomości zawierające odsyłacze nie są traktowane ostrożnie. Użytkownik skwapliwie otwiera odsyłacz myśląc, że przysłał go przyjaciel, nawet gdy ma pewne podejrzenia. Niewątpliwie, technika ta będzie wykorzystywana, aż użytkownicy nauczą się ostrożności w stosunku do odsyłaczy zawartych w wiadomościach e-mail tak samo, jak do załączników wiadomości. Wykrywanie wciąż nowych luk w programach Internet Explorer i Outlook prawdopodobnie doda tylko oliwy do ognia.

Sasser

Ostatnim przełomowym wirusem 2004 r. był Sasser, który pojawił się pod koniec kwietnia. Ten robak internetowy wykorzystywał krytyczną lukę w systemie MS Windows i rozprzestrzeniał się, podobnie jak Lovesan, łącząc się przez Internet bezpośrednio z atakowanym komputerem. Sasser spowodował poważną epidemię w Europie i pozostawił lukę w serwerze FTP, która natychmiast została wykorzystana przez robaki Dabber i Cycle. Po aresztowaniu Sven Jaschan, nastoletni autor robaka Sasser, przyznał się do stworzenia rodziny robaków NetSky.

Sasser był dowodem na to, że twórcy wirusów przetwarzają i przywłaszczają skuteczne techniki: Jaschan wykorzystał techniki zastosowane przez Lovesana, inni twórcy wirusów wkrótce podchwycili nowe pomysły.

Plexus

Plexus przeszedł do historii jako pierwszy robak od czasu szkodnika Nimda (2001), który zastosował wszystkie dostępne techniki rozprzestrzeniania: Internet, wiadomości e-mail, sieci P2P i LAN. Minęły trzy lata, zanim twórcy wirusów wykorzystywali jednocześnie tak wiele zasobów.

Plexus był potencjalnie bardzo groźnym robakiem opartym na kodzie źródłowym Mydooma. Autor wirusa poszedł w ślady twórcy Sobera. Niektóre elementy fragmenty nowego szkodnika były czystym plagiatem Sobera. W rezultacie powstał bardzo skuteczny robak.

Na szczęście, żadna z wersji Plexusa nie wywołała poważnych epidemii. Najprawdopodobniej dlatego, że do początkowego rozprzestrzeniania żadna z nich nie stosowała spamerskich technik masowego rozsyłania wiadomości. Autorzy tych robaków nie stosowali również żadnych skutecznych metod socjotechniki. Jeśli jednak powstałyby nowe wersje uwzględniające powyższe kwestie, być może pojawiłoby się zagrożenie poważną epidemią.

Poza robakami

Opisane wyżej robaki wywołały epidemie, które zyskały największy rozgłos w historii IT. Jednak, również inne rodzaje złośliwych programów mogą stanowić poważne zagrożenie dla bezpieczeństwa komputerów i danych. Dlatego, aby dokładnie zrozumieć obecne trendy, należy dokonać oceny ogólnego obrazu, łącznie ze środowiskami innymi niż Windows.

Inne złośliwe programy

Trojany

Według powszechnej opinii, trojany są miej niebezpieczne niż robaki, ponieważ nie mogą rozprzestrzeniać się czy przemieszczać samodzielnie. Jednak, jest to błędna opinia: większość z dzisiejszych złośliwych programów łączy w sobie kilka elementów, a wiele robaków posiada trojany jako część ich dodatkowych funkcji. Trojany te położyły fundament pod tworzenie sieci zainfekowanych komputerów.

Trojany stają się coraz bardziej wyrafinowane. Mnożą się szpiegowskie programy typu Trojan-Spy. Codziennie pojawiają się dziesiątki nowych wersji. Wersje te różnią się między sobą w niewielkim stopniu, wszystkie mają jednak na celu kradzież poufnych informacji finansowych.

Niektóre z tych programów są prostymi keyloggerami, które przesyłają autorowi lub użytkownikowi programu raport o danych wprowadzanych z klawiatury. Rozwinięte wersje zapewniają całkowitą kontrolę nad zainfekowanymi komputerami, przesyłając dane do odległych serwerów, jak również otrzymując i wykonując polecenia.

Często celem twórców trojanów jest przejęcie całkowitej kontroli nad komputerami ofiar. Zainfekowane komputery zazwyczaj połączone są w sieci często przy użyciu kanałów IRC lub stron WWW, gdzie umieszczane są nowe polecenia. Bardziej złożone trojany, takie jak wiele wariantów Agobota, łączą wszystkie zainfekowane komputery w jedną sieć P2P.

Po stworzeniu sieci zainfekowanych komputerów, wypożyczane są one spamerom lub wykorzystywane do przeprowadzania ataków DDoS. Wzrastająca komercjalizacja pisania wirusów prowadzi do tworzenia coraz bardziej złożonych sieci zainfekowanych komputerów (zwanych botnetami).

Konie trojańskie typu Trojan-Dropper i Trojan-Downloader

Oba programy mają jeden cel: instalują na komputerze ofiary dodatkowy program, robaka lub innego trojana. Od trojanów różniły się tylko stosowanymi metodami.

Droppery instalują inne złośliwe programy lub nowe wersje wcześniej zainstalowanych programów. Mogą zawierać kilka zupełnie różnych złośliwych programów o odmiennym działaniu, które często napisane zostały przez niezależnych autorów. W rezultacie, droppery działają jak archiwizery, które mogą kompresować wiele różnych rodzajów złośliwych programów.

Droppery wykorzystywane są często do przenoszenia znanych trojanów. Znacznie łatwiej jest napisać droppera niż nowego trojana, który nie jest wykrywany przez programy antywirusowe. Większość dropperów napisanych jest w VBS lub JS, co tłumaczy ich popularność; same języki są stosunkowo proste i mogą być stosowane na różnych platformach.

Twórcy wirusów często używają downloaderów w ten sam sposób, co dropperów. Jednak, ten drugi typ programów może być bardziej użyteczny niż pierwszy. Po pierwsze, downloadery są znacznie mniejsze od dropperów. Po drugie, można wykorzystać je do ściągnięcia niezliczonych nowych wersji atakowanych złośliwych programów. Podobnie jak droppery, downloadery zazwyczaj pisane są w językach skryptowych, takich jak VBS i JS, a także często wykorzystują jednak luki w Internet Explorerze.

Co więcej, oba programy wykorzystywane są nie tylko do instalowania innych trojanów, ale także złośliwych programów, takich jak adware czy pornware.

Klasyczne wirusy plikowe

Klasyczne wirusy plikowe dominowały w latach 90.; obecnie jednak niemal całkowicie zniknęły ze sceny. Wciąż aktywnych jest około 10 wirusów plikowych. Wykazują one szczyt swojego działania, gdy infekują wykonywalne pliki robaków: wirus plikowy przemieszcza się następnie wraz z zainfekowanym plikiem robaka. Na przykład, często widzimy próbki robaków MyDoom, NetSky i Bagle, które infekowane są przez wirusy plikowe, takie jak Funlove, Xorala, Parite czy Spaces.

Ogólnie, nie istnieje poważne niebezpieczeństwo spowodowania epidemii przez klasyczne wirusy plikowe. Nic nie wskazuje na to, że nawet Rugrat, pierwszy wirus dla Win64 typu proof-of-concept, zmieni coś w niedalekiej przyszłości.

Inne środowiska

Linux

Do dnia dzisiejszego platformy oparte na Linuksie padały ofiarą jedynie programów typu rootkit oraz prostych wirusów plikowych. Jednak coraz większa liczba nagłośnionych przypadków wykrycia luk oznacza, że wzrastająca liczba użytkowników przechodzących na Linuksa nie uchroni się przed złośliwymi programami.

Komputery typu handheld

Komputery typu PDA stały się obecnie niemal urządzeniami domowego użytku. Twórcy wirusów nie próżnowali i szybko wykorzystali ich wzrastającą popularność. Pierwszy trojan dla Palm OS pojawił się we wrześniu 2000 r. Trochę dłużej - aż do lipca 2004 r. - musieliśmy czekać na pierwszego wirusa typu proof-of-concept dla komputerów typu Pocket PC - był to Dut. Jak dotąd nie było żadnej poważnej epidemii wirusów w świecie komputerów typu handheld, ale to tylko kwestia czasu. Jak tylko twórcy wirusów uznają, że warto uzyskać dostęp do informacji zapisywanych na takich komputerach, na pewno nastąpi szybka ewolucja złośliwych programów dla tych urządzeń.

Telefony komórkowe

Telefony komórkowe przeszły długą drogę. Obecnie są bardzo złożone i rozpowszechnione. Te dwa czynniki wystarczyły do przyciągnięcia uwagi twórców wirusów, zwłaszcza po wprowadzeniu telefonów komórkowych smart phone posiadających możliwości komputerów. Pierwszy wirus typu proof-of-concept dla telefonów komórkowych działających pod kontrolą systemu Symbian pojawił się w czerwcu 2004 r. Jedynym brakującym elementem jest zastosowanie komercyjne - wirusy dla telefonów komórkowych pojawią się natychmiast, gdy tylko ktoś wymyśli, w jaki sposób można je wykorzystać do zarabiania pieniędzy.