Sergey Golovanov
Alexander Gostev
Denis Maslennikov

W raporcie przeanalizowano trendy w ewolucji szkodliwego oprogramowania występujące w pierwszej połowie 2008 roku i porównano je z danymi dla drugiej połowy 2007 roku.

Artykuł przeznaczony jest głównie dla ekspertów z dziedziny bezpieczeństwa IT, którzy zajmują się szkodliwymi programami, może jednak okazać się przydatny również dla szerszego grona czytelników zainteresowanych wirusologią komputerową.

• Wyniki dla pierwszego półrocza
• Szkodliwe programy
  • Trojany
  • Robaki i wirusy
  • Inne szkodliwe programy
• Potencjalnie niechciane programy
  • AdWare
  • RiskWare oraz PornWare
• Platformy i systemy operacyjne
• Wnioski

Wyniki dla pierwszego półrocza

Pierwsze sześć miesięcy 2008 potwierdziły nasze przewidywania z końca minionego roku dotyczące ewolucji szkodliwych programów, a mianowicie:

• ciągłą ewolucję tak zwanych technologii Malware 2.0
• ewolucję rootkitów
• powrót wirusów plikowych
• ataki na serwisy społecznościowe
• zagrożenia dla urządzeń mobilnych

Jednym z najbardziej znamiennych szkodliwych programów w pierwszej połowie 2008 roku był bez wątpienia robak Storm (sklasyfikowany przez Kaspersky Lab jako Zhelatin). Należy on do awangardy Malware 2.0. Wystąpiło kilkanaście poważnych epidemii tego szkodnika, z których wszystkie wykorzystywały sprawdzone metody: masowe wysyłki wiadomości zawierających odsyłacze do zhakowanych lub specjalnie stworzonych w tym celu serwerów, na których umieszczone było ciało robaka. Te same odsyłacze były umieszczane w serwisach społecznościowych lub rozprzestrzeniane za pośrednictwem komunikatorów internetowych.

Jeżeli chodzi o rootkity, problem "bootkitów" (który wyłonił się pod koniec 2007 roku) zaczął stanowić poważniejsze zagrożenie wraz z pojawieniem się nowych modyfikacji Sinowala. Mimo że program ten nie ewoluował, nie można powiedzieć, że bootkity przestały stanowić problem. Technologie bootkit stawiają kilka poważnych wyzwań przed technologiami antywirusowymi, a obecny brak bootkitów należy uznać bardziej jako przerwę niż całkowite odejście twórców wirusów od rozwoju takich szkodliwych programów.

Jeśli chodzi o "klasyczne" rootkity, w końcu udało się zidentyfikować "mitycznego" rootkita o nazwie Rustock.c. Wydarzenie to przysporzyło kilku problemów branży antywirusowej, nie tylko pod względem wykrywania i leczenia, ale również metod wykorzystywanych do zbierania i analizowania nowych próbek oraz szybkości reakcji producenta na nowe zagrożenia.

Z technologii wykorzystywanych w rootkicie Rustock.c można zbudować dwa wątki - logiczny i techniczny, z których oba prowadzą do kolejnych dwóch istotnych kwestii: zaciemniania i polimorfizmu. Celem "śmieciowego kodu" zaimplementowanego w Rustocku jest utrudnienie w maksymalnym stopniu metod analizy i zwalczania tego rootkita - podejście, które od dłuższego czasu było aktywnie wykorzystywane w wirusach plikowych. Podejścia te są rozwijane głównie przez chińskich twórców wirusów. W rezultacie, spowodowało to dodawanie funkcji wirusowych do szeregu różnych backdoorów i robaków, zamiast tworzenia nowych wirusów plikowych.

Dzisiejsze wirusy nie ograniczają się do prostych infektorów plików. Są to raczej potężne komponenty botnetów tworzone w celu kradzieży danych użytkownika i przeprowadzania ataków DDoS. Do najbardziej charakterystycznych przykładów należy Virut, Alman, Allaple, oraz robaki Fujack i Autorun. W pierwszej połowie 2008 roku szkodniki te spowodowały ogromną ilość infekcji na całym świecie, skłaniając nas do wniosku, że w najbliższej przyszłości funkcjonalność wirusów będzie nadal aktywnie dodawana do backdoorów i robaków.

Serwisy społecznościowe stanowią cel największych ataków w historii. W rezultacie te popularne serwisy nie tylko są atakowane przez robaki XSS, ale stanowią "plac zabaw" dla technologii wirusowych i spamowych. Twórcy wirusów odeszli od szukania luk w zabezpieczeniach silników serwisów społecznościowych - obecnie wykorzystują wypróbowane metody socjotechniki, ucząc się wysyłać wiadomości od "przyjaciół" zawierające odsyłacze do zainfekowanych stron internetowych. Wśród najczęściej atakowanych stron znajduje się MySpace i Orkut, Facebook natomiast stał się celem ataków znacznie później. Rosyjscy użytkownicy są atakowani przez robaki i trojany rozprzestrzeniające się za pośrednictwem Odnoklassniki.ru i Vkontakte.

Mobilne zagrożenia nagle zmieniły kierunek: twórcy wirusów postanowili zmienić swoją taktykę i zamiast atakowania smartfonów zaczęli specjalizować się w trojanach dla J2ME, które potrafią działać na prawie każdym telefonie komórkowym. Programy te (wykryto prawie 50) posiadają tę samą funkcję szkodliwą: wysyłają wiadomości SMS na numery o podwyższonej opłacie, wyczyszczając z pieniędzy konto użytkownika i zasilając kieszeń autora trojana.

W pierwszej połowie 2008 roku do naszych antywirusowych baz danych dodaliśmy 440 311 programów, dla porównania w poprzednim półroczu liczba ta wynosiła 136 953.

viruslist.pl/images/vlanalysis/

 
Całkowita liczba wykrytych nowych programów (II połowa 2007 r. i I połowa 2008 r.)

Rozkład wykrytych programów według klasy

Jak pokazują powyższe dane, całkowita liczba zagrożeń wykrytych w pierwszej połowie 2008 roku wzrosła trzykrotnie w stosunku do poprzedniego półrocza.

Statystyki wykorzystane w tym raporcie zostały stworzone przy użyciu wielu wpisów dodanych do antywirusowych baz danych firmy Kaspersky Lab w pierwszej połowie 2008 roku. W chwili obecnej branża nie wykształciła żadnego standardu obliczania liczby szkodliwych programów. Wykorzystywane są głównie dwie metody: obliczanie liczby unikatowych plików oraz obliczanie liczby wpisów lub sygnatur wykorzystywanych do wykrywania szkodliwego oprogramowania. Każde podejście ma swoje plusy i minusy. Obliczanie liczby unikatowych plików (np. tych posiadających unikatowy MD5) w kolekcji firmy antywirusowej jest dobrym sposobem na kalkulowanie liczby zagrożeń. (Należy zauważyć, że liczba unikatowych plików nie będzie równa liczbie wpisów.) Wykorzystanie tej metody jest szczególnie uzasadnione w chwili obecnej, gdy ogromną większość współczesnych zagrożeń stanowią trojany, które nie modyfikują swojego ciała i nie infekują innych plików.

Należy jednak podkreślić, że znaczną część unikatowych plików będą stanowiły pliki zainfekowane wirusami plikowymi. Nawet jeśli dwa lub więcej plików zostało zainfekowanych przez tego samego wirusa, każdy plik nadal będzie posiadał unikatowy MD5. Liczbę unikatowych plików zwiększają również programy instalujące / droppery. Mimo że programy te same z siebie nie są szkodliwe, a pliki różnią się od siebie, dwa lub więcej plików nadal będzie zawierało ten sam program trojański. Liczbę unikatowych plików zwiększają również pliki skryptowe, html oraz dokumenty biurowe. Jednak nawet jeśli poszczególne pliki są unikatowe, jeżeli będziemy mieć do czynienia z tym samym zagrożeniem, dwa różne pliki będą wykrywane przy pomocy tego samego wpisu.

Jak już wspomnieliśmy wcześniej, liczba sygnatur nie odpowiada liczbie unikatowych plików. Dodatkowo, liczba ta będzie różniła się w zależności od firmy antywirusowej ze względu na różnicę w stosowanych technologiach i silnikach.

Jednak w przypadku analizowania danych jednej firmy antywirusowej, liczenie sygnatur jest najodpowiedniejszą metodą, dokładnie odzwierciedlającą trendy w ewolucji zagrożeń.

W pierwszej połowie 2008 roku firma Kaspersky Lab zidentyfikowała ponad 5 000 000 unikatowych plików. Ponad 440 000 wpisów dodanych do antywirusowych baz danych wykrywa wszystkie zagrożenia obecne w tych plikach, przy stosunkowo równomiernym rozkładzie liczby plików wykrywanych przez każdy wpis.

Biorąc pod uwagę obecne trendy w tempie pojawiania się nowych szkodliwych programów, do końca 2008 roku liczba unikatowych plików zawierających szkodliwe i potencjalnie niechciane programy może wynieść 15 000 000.

Szkodliwe programy

W pierwszej połowie 2008 roku analitycy z firmy Kaspersky Lab wykryli 367 772 nowych szkodliwych programów - 2,9 razy więcej niż w drugiej połowie 2007 roku. Średnio każdego miesiąca wykrywano 61 295,33 nowych szkodliwych programów.

Ogólnie, liczba nowych programów wzrosła o 188,85%. Ten współczynnik wzrostu znacznie przewyższa współczynnik z 2007 roku, gdy wykryto o 114% więcej szkodliwych programów niż w 2006 roku.

Zgodnie z klasyfikacją firmy Kaspersky Lab, wyróżnia się trzy klasy szkodliwych programów:

1. TrojWare: programy trojańskie, które nie potrafią rozprzestrzeniać się samodzielnie (np. backdoory, rootkity i wszystkie typy trojanów)
2. VirWare: szkodliwe programy, które potrafią samodzielnie rozprzestrzeniać się (wirusy i robaki)
3. Inne programy MalWare: programy wykorzystywane w celu tworzenia zagrożeń lub przeprowadzania ataków

Rok 2008 nie przyniósł żadnych znaczących zmian w rozkładzie klas szkodliwych programów. Klasa TrojWare nadal jest niekwestionowanym liderem, stanowiąc ponad 92% wszystkich szkodliwych programów. Liczba nowych trojanów wykrytych w pierwszej połowie 2009 roku zwiększyła się o 190,2% w stosunku do poprzedniego półrocza. Jednak odsetek programów z klasy TrojWare wśród wszystkich szkodliwych programów zmienił się o zaledwie 0,43%, znacznie mniej niż ponad 2 proc. wzrost odnotowany w 2007 roku.

Zmieniły się trendy obowiązujące na przestrzeni dwóch ostatnich lat, gdy udział różnych programów trojańskich zwiększał się, podczas gdy liczba szkodliwego oprogramowania z klasy VirWare i Inne programy MalWare zmniejszała się. W pierwszej połowie 2008 roku udział szkodników z klasy Inne programy MalWare zwiększył się. Nawiasem mówiąc, wzrost ten (ponad 0,5%) przewyższył tę samą liczbę dla dominującej klasy TrojWare.

Rozkład szkodliwych programów według klasy

Liczba szkodliwych programów wykrytych w okresie od stycznia do czerwca 2008 roku według klasy

Rok temu - latem 2007 roku - programy z klasy Inne programy MalWare stanowiły 1,95% wszystkich szkodników. Liczba ta zaczęła zwiększać się w drugiej połowie 2007 r. (2,87%). W pierwszej połowie 2008 roku wzrost ten utrzymał się. Ogólnie, w pierwszym półroczu klasa Inne MalWare stanowiła 3,48%. Biorąc pod uwagę fakt, że liczba nowych programów z tej klasy wzrosła 3,5 razy w stosunku do drugiej połowy 2007 roku, można powiedzieć, ze liczba różnych "nieklasycznych" zagrożeń stale rośnie.

Liczba nowych programów z klasy Inne programy MalWare zwiększyła się o prawie 250%, zrównując się niemal z klasą VirWare. W ciągu pierwszego półrocza liczba wykrytych programów z klasy Inne programy MalWare była mniejsza niż liczba programów z klasy VirWare zaledwie o 1 776. Jeżeli te trendy wzrostowe utrzymają się w obu klasach, pod koniec roku klasa Inne programy MalWare może znaleźć się na drugim miejscu pod względem liczby szkodliwych programów w klasie.

Wystąpiły również dodatkowe czynniki, które wpłynęły na wzrost liczby programów w klasie Inne programy MalWare: pojawienie się dużej liczby nowych exploitów oraz znaczny rozrost klasy szkodliwych zachowań, do której zaliczono również zachowania, które wcześniej nie były uznawane za szkodliwe, np. FraudTool. Takie zachowania zostały dodane do antywirusowych baz danych w pierwszej połowie 2008 roku.

Podobne spowolnienie wzrostu w obrębie klasy VirWare, które rozpoczęło się 5 lat temu, spowodowało, że wirusy i robaki, które dominowały w tamtym czasie, niemal przestały ewoluować. Spadek udziału procentowego programów z klasy VirWare nadal trwał w 2008 roku: dane dla pierwszej połowy roku dotyczące programów z tej klasy stanowiły niecałe 4% wszystkich szkodliwych programów - o 1,03% mniej niż w drugiej połowie 2007 roku. Ponadto, współczynnik spadku w obrębie klasy VirWare przewyższył współczynnik dla poprzedniego roku. Wzrost liczby nowych wirusów i robaków jest znacznie mniejszy niż wzrost, jaki miał miejsce w pozostałych klasach: klasa VirWare liczyła o 129% więcej programów niż w poprzednim półroczu. Ogólnie, w rozkładzie programów z różnych klas szkodliwego oprogramowania obserwujemy obecnie okres stabilności. Obiektywnymi powodami takiego stanu rzeczy jest zarówno dominacja trojanów, jak i zmiana wektorów i celi ataków, o której wspominaliśmy już wcześniej.

Poniżej przedstawiamy bardziej szczegółowy obraz zmian, jakie zaszły w obrębie każdej z klas.

Trojany

Poniższy wykres pokazuje liczbę nowych trojanów wykrywanych każdego miesiąca przez analityków z firmy Kaspersky Lab:

Liczba nowych programów z klasy TrojWare wykrywanych przez analityków z Kaspersky Lab w każdym miesiącu (lipiec 2007 - czerwiec 2008)

W drugiej połowie 2007 roku liczba nowych trojanów wykrywanych w każdym miesiącu zaczęła spadać. Jednak na początku 2008 roku zaczęła zwiększać się i pod koniec półrocza stanowiła 190,2%. W pierwszym półroczu 2008 roku odnotowano trzy wartości szczytowe: w styczniu, w marcu i w maju. Po każdym takim maksymalnym wzroście następował niewielki spadek lub okres stabilności, po którym miał miejsce kolejny aktywny wzrost liczby nowych trojanów. Obraz ten stanowi częściowo powtórkę trendów z 2007 roku, gdy zaobserwowaliśmy dwa punkty szczytowe, w maju i w sierpniu, po których nastąpiły spadki. Opisana wyżej sytuacja całkowicie różni się od tej, jaka miała miejsce w 2006 roku, gdy liczba nowych trojanów stale wzrastała.

Wydaje się prawdopodobne, że w najbliższej przyszłości utrzyma się agresywny wzrost liczby trojanów. Jednak wzrostowi temu nie towarzyszy odpowiedni wzrost "wyrafinowania" wykorzystywanych technologii. Ogromna większość trojanów to nadal dość prymitywne twory napisane przez słabo wykształcone dzieciaki skryptowe, a wzrost liczby takich programów wynika wyłącznie z dostępności trojanów na czarnym rynku oraz ze stosunkowo łatwego rozprzestrzeniania takich programów.

Najistotniejsza zmiana w rozkładzie zachowań w obrębie tej klasy dotyczy zachowania typu trojan, które awansowało z piątego miejsca na trzecie i obecnie stanowi jedno z najczęstszych zachowań.

Rozkład trojanów według zachowania

Aby lepiej zrozumieć zmiany, jakie zaszły w obrębie tej klasy, przyjrzyjmy się wzrostowi liczby różnych zachowań wykazywanych przez szkodliwe programy.

Liczba nowych trojanów według zachowania

Wzrost liczby nowych szkodliwych programów w klasie TrojWare

W pierwszej połowie 2008 roku następujące zachowania wykazały największy wzrost (tj. 200%+): Trojan-Dropper, Trojan, Trojan-Clicker oraz Rootkit. (Liczby programów reprezentujących zachowanie Trojan-AOL, Trojan-IM oraz Trojan-SMS nie są brane pod uwagę, ponieważ liczba takich programów jest bardzo niewielka.)

Zachowanie trojan dropper uzyskało o wiele bardziej imponujący wynik, ponad 660% wzrost liczby tych programów stanowił rekord dla wszystkich trojanów w ciągu ostatnich kilku lat. Wzrost ten wynika z tego, że coraz więcej twórców wirusów zaczyna wykorzystywać taktykę ukrywania plików trojanów w plikach instalacyjnych innych programów, aby w ten sposób zapewnić, że maksymalna liczba różnych trojanów zostanie jednocześnie zainstalowana na zainfekowanych maszynach. Sytuacja ta wynika z tego, że w świecie cyberprzestępczym za rozprzestrzenianie szkodliwych programów odpowiedzialne są wyspecjalizowane grupy, a nie autorzy programów czy klienci, którzy je kupują.

Te same przyczyny wpływają prawdopodobnie na ilość trojanów downloaderów. Zachowanie to, najbardziej rozpowszechnione w 2006 roku, uplasowało się w zeszłym roku na drugim miejscu, za zachowaniem Backdoor. W pierwszej połowie 2008 roku zachowanie Trojan-Downloader zdołało utrzymać drugą pozycję (wyprzedzając programy trojańskie o zaledwie 1%); towarzyszył temu stały spadek liczby downloaderów wśród wszystkich programów trojańskich (- 2,4%).

Interesujący jest wzrost liczby "zwykłych" trojanów - w pierwszej połowie 2008 roku wyniósł on 488%. Wcześniej, programy wykazujące zachowanie Trojan były drugorzędne i nie było powodów, aby przypuszczać, że nastąpi znaczny wzrost ich liczby. Liczba programów reprezentujących zachowanie Trojan w pierwszej połowie 2008 roku w dużej mierze spowodowana była próbami stworzenia uniwersalnego kodu przez twórców wirusów. Często zamiast tworzyć kilka współpracujących ze sobą modułów implementują oni wszystkie funkcje w ramach jednej aplikacji. Podejście to stanowi reakcję szkodliwych użytkowników na coraz skuteczniejsze technologie antywirusowe - znacznie łatwiej jest zwiększyć okres czasu między opublikowaniem szkodliwego programu a dodaniem go do antywirusowej bazy danych w przypadku jednego programu niż kilku.

Rosnąca popularność trojanów clickerów spowodowana jest tym, że cyberprzestępcy zaczynają interesować się jednym ze sposobów nielegalnego zarabiania pieniędzy w Internecie, czyli płaceniem za "klikanie" odsyłaczy z reklamami oraz "nabijanie" statystyk internetowych. Tego typu scam istnieje już od jakiegoś czasu; jednak przed 2008 rokiem twórcy wirusów nie zwracali na niego zbyt wielkiej uwagi. Sytuacja zmieniła się w 2008 roku. W rezultacie, w badanym okresie wykryto o 250% więcej trojanów clickerów niż w ciągu poprzednich sześciu miesięcy.

Jeżeli chodzi o rootkity, chociaż ich liczba znacznie wzrosła (246%), wzrost ten był nieznaczny w stosunku do wszystkich programów trojańskich - zaledwie 0,9%.

W czerwcu 2008 roku firma Kaspersky Lab zaklasyfikowała kilka rodzin szkodliwych programów (których zachowanie różniło się od znanych w tym czasie zachowań) do dwóch nowych kategorii zachowań: Trojan-Mailfinder oraz Trojan-Ransom.

Główną funkcją programów sklasyfikowanych jako zachowanie Trojan-Mailfinder jest przechwytywanie adresów e-mail z zainfekowanych maszyn w celu dodania ich do baz spamerów. Do tego typu zachowania zaliczane są zarówno różne programy trojańskie, jak również wiele programów, które wcześniej były klasyfikowane jako zachowanie SpamTool i umieszczone w klasie Inne programy MalWare.

Programy sklasyfikowane do grupy Trojan-Ransom, mimo że ich liczba jest stosunkowo niewielka, nadal stanowią poważne zagrożenie. Zachowanie Trojan-Ransom obejmuje wszystkie szkodliwe programy, które w pewien sposób wywierają niekorzystny wpływ na działanie systemu operacyjnego i szyfrują pliki użytkownika w celu żądania pieniędzy w zamian za ich przywrócenie.

W lipcu 2008 roku do klasyfikacji firmy Kaspersky Lab zostały dodane dwa kolejne zachowania: Trojan-Banker oraz Trojan-GameThief.

Zachowanie Trojan-Banker obejmuje wszystkie programy trojańskie tworzone w celu uzyskania nielegalnego dostępu do kont bankowości online oraz kart kredytowych. Wcześniej programy te były w większości klasyfikowane jako Trojan-Spy lub Trojan-PSW.

Trojan-GameThief obejmuje szereg różnych trojanów tworzonych w celu kradzieży danych użytkownika dotyczących popularnych gier online. Należy podkreślić, że w zeszłym roku trojany te stanowiły najbardziej rozpowszechniony typ szkodliwych programów. Kilka rodzin, klasyfikowanych wcześniej jako Trojan-Spy i Trojan-PSW, jest teraz klasyfikowanych jako Trojan-GameThief.

Wyodrębnienie tych nowych zachowań w klasyfikacji powinno mieć znaczący wpływ na rozkład programów trojańskich według zachowania. Wyniki uwzględniające te nowe zachowania zostaną zawarte w naszym kolejnym raporcie: Ewolucja Szkodliwego Oprogramowania 2008.

Obecnie klasa TrojWare zawiera trzy grupy zachowań:

1. Backdoor, Trojan downloader, Trojan, Trojan PSW. Jest to najbardziej rozpowszechniony typ programu trojańskiego, stanowiący około 85% całej klasy TrojWare (każde zachowanie posiada ponad 17% udział w klasie)
   W pierwszym półroczu zachowanie Trojan znalazło się w grupie liderów, wykazując 9% wzrost udziału wśród wszystkich programów trojańskich. Należy zauważyć, że z czterech zachowań z pierwszej grupy tylko zachowanie Trojan zwiększyło swój udział, natomiast liczba programów reprezentujących inne zachowania zmniejszyła się (np. udział backdoorów spadł o ponad 4%).
   Istnieje prawdopodobieństwo, że w drugiej połowie liczba programów z tej grupy szybko wzrośnie (o ponad 150%). Udział zachowania Trojan nadal będzie wzrastał, natomiast udział programów reprezentujących zachowanie Trojan-Downloader i Trojan-PSW będzie spadał. Backdoory pozostaną najbardziej rozpowszechnionym typem szkodliwych programów, głównie dzięki wysiłkom chińskich twórców wirusów.
2. Trojan spy i Trojan dropper. W pierwszej połowie 2008 roku zachowanie Trojan przesunęło się z drugiej grupy do pierwszej, natomiast do drugiej grupy z trzeciej awansowało zachowanie Trojan-Dropper. Udział programów reprezentujących zachowania z drugiej grupy wynosił 5 - 7%. Współczynniki wzrostu dla grup programów reprezentujących zachowania Trojan-Spy i Trojan-Dropper znacznie różnią się (programy reprezentujące zachowanie trojan dropper ustanowiły rekord - ich liczba wzrosła o 663,1%).
   W drugiej połowie 2008 roku udział programów reprezentujących zachowanie Trojan-Dropper wśród wszystkich programów trojańskich prawdopodobnie nadal będzie wzrastał, przez co liczba programów reprezentujących to zachowanie zbliży się do liczby programów z pierwszej grupy. Możliwe, że niedawno zdefiniowane zachowania Trojan-Banker oraz Trojan-GameThief wejdą do drugiej grupy.
3. Trojan proxy, Trojan clicker, Inne. Udział każdego zachowania w grupie stanowi niecałe 1,2%. Z wyjątkiem zachowania Trojan-Clicker współczynniki wzrostu dla wszystkich zachowań w obrębie tej grupy są nieznaczne.
   Nie można wykluczyć wzrostu liczby programów wykazujących określone zachowanie na tym samym poziomie co druga grupa (Trojan clicker). Jednak o wiele bardziej prawdopodobne jest to, że liczba szkodliwych programów w tej grupie nadal będzie spadać, ponieważ są one wypychane przez programy z pierwszej grupy.

Z trzeciej grupy szczególnie interesującymi programami są trojany SMS. W pierwszej połowie 2008 roku ich liczba zwiększyła się o 422%, zbliżając się do 50. Naturalnie w porównaniu z ponad 100 000 nowymi backdoorami jest to bardzo niewiele; jednak trojany SMS różnią się od innych szkodliwych programów tym, że działają na telefonach komórkowych, przez co stanowią najprawdopodobniej najbardziej realne zagrożenie dla urządzeń mobilnych.

Szkodniki mobilne: początek kryminalizacji

Pierwsza połowa 2008 roku była interesująca z punktu widzenia mobilnego szkodliwego oprogramowania, w szczególności mam tu na myśli ewolucję trojanów, które ukradkiem wysyłają wiadomości SMS na krótkie numery.

W ewolucji trojanów należy podkreślić następujące zjawiska:

1. Wzrost liczby szkodliwych programów wykazujących zachowanie Trojan-SMS
2. Wieloplatformowy charakter mobilnych trojanów - zagrożony jest każdy telefon komórkowy obsługujący aplikacje Java lub posiadający interpreter Python
3. Wzrost liczby stron WAP, na których umieszczone są takie trojany
4. Pojawienie się spamu ICQ, który reklamuje strony WAP oraz szkodliwe programy zlokalizowane na takich stronach
5. Wykorzystywanie szeregu różnych metod socjotechniki w celu rozprzestrzeniania i ukrywania szkodliwych programów
6. Identyfikacja krótkich numerów, na które wysyłane są potajemnie krótkie wiadomości

Przyjrzymy się zatem bliżej tym i innym trendom.

Zacznijmy od wzrostu liczby szkodliwych programów wykazujących zachowanie Trojan-SMS. W pierwszej połowie 2008 roku wykryto więcej takich programów niż od czasu wykrycia pierwszego takiego programu. (Trojan-SMS.J2ME.RedBrowser.a, pierwszy Trojan-SMS, został wykryty 27 lutego 2006 r.)

Liczba nowych trojanów SMS wykrywanych przez analityków z firmy Kaspersky Lab w 2008 r.

W pierwszej połowie 2008 roku wykryto o 422% więcej nowych trojanów SMS niż w drugiej połowie 2007 roku.

Obecnie istnieje dziewięć rodzin szkodliwego oprogramowania atakującego platformę J2ME, trzy rodziny atakujące platformę Symbian i jedna atakująca Python.

Trojany te to stosunkowo prymitywne twory.

W przypadku trojanów J2ME, ogromna większość z nich posiada następującą strukturę: archiwum JAR zawierające kilka plików klasy. Jeden z tych plików wysyła wiadomość SMS na krótki numer (naturalnie użytkownik nie jest pytany, czy taka wiadomość powinna zostać wysyłana, i nie jest informowany, ile kosztuje wysłanie takiej wiadomości). Inne pliki klasy znajdują się tam tylko po to, aby zamaskować szkodliwy program. Archiwum może zawierać wiele obrazów (w większości przypadków będzie to erotyka) oraz plik-wykaz, który w niektórych przypadkach jest również wykorzystywany przez szkodliwe oprogramowanie do wysyłania wiadomości.

W przypadku rodziny Trojan-SMS.Python.Flocker, jej prymitywna natura i funkcja szkodliwa są zasadniczo takie same - różnią się tylko platformą. Główny skrypt odpowiedzialny za wysyłanie wiadomości SMS na krótkie numery jest napisany w języku Python i zlokalizowany w archiwum SIS, które zawiera również dodatkowe skrypty, których celem jest maskowanie aktywności szkodliwego oprogramowania.

Jednym z powodów, dla których trojany SMS stanowią zagrożenie, jest ich wieloplatformowy charakter. Jeśli telefon (odnosi się to do telefonów, które nie są smartfonami) posiada zintegrowaną maszynę Java, Trojan-SMS.J2ME będzie mógł bez problemów działać na takim urządzeniu. W przypadku trojana Trojan-SMS.Python, wieloplatformowość dotyczy smartfonów działających pod kontrolą systemu operacyjnego Symbian. Jeśli telefon (który może działać pod kontrolą każdej wersji systemu operacyjnego) zawiera interpreter Python, Trojan-SMS.Python będzie mógł działać.

Najpowszechniejszą metodą rozprzestrzeniania takich szkodliwych programów są portale WAP, które oferują użytkownikowi możliwość ściągania dzwonków, obrazów, gier oraz innych aplikacji dla telefonów komórkowych. Ogromna większość programów trojańskich jest maskowana albo pod postacią aplikacji, które mogą być wykorzystywane do bezpłatnego wysyłania wiadomości SMS oraz korzystania z Internetu, albo aplikacji o charakterze erotycznym/pornograficznym.

Niekiedy twórcy wirusów wymyślają oryginalne sposoby maskowania szkodliwej funkcji swoich tworów. Na przykład, po tym jak użytkownik uruchomi trojana Trojan-SMS.J2ME.Swapi.g, w telefonie pojawia się komunikat zachęcający użytkownika do obejrzenia pornografii. W tym celu użytkownik musi wcisnąć przycisk "TAK", w czasie gdy gra melodyjka. (Archiwum JAR programu zawiera zarówno plik graficzny png, jak i plik muzyczny midi.) Skupiając się na tym, aby wcisnąć przycisk na czas, użytkownik nie zauważa, że za każdym razem, gdy wciskany jest przycisk (w czasie gdy gra muzyka lub gdy nie gra), wysyłany jest SMS na krótki numer, a za każdą wysłaną wiadomość pobierana jest opłata.

Prawie wszystkie strony, na których znajdują się szkodliwe programy, oferują użytkownikowi możliwość wrzucenia na stronę swoich plików. Rejestracja jest prosta - wystarczy tylko kilka kliknięć - a wolny dostęp pozwala twórcom wirusów bez przeszkód rozprzestrzeniać swoje prymitywne twory. Muszą tylko nadać swojemu plikowi możliwie najbardziej atrakcyjną nazwę (np. free_gprs_internet, otpravka_sms_besplatno [wyślij_sms_bezpłatnie], goloya_devushka [naga_dziewczyna] itd.), napisać kilka zachęcających linijek opisujących program, a później już tylko czekać, aż użytkownik zdecyduje się wysłać darmowego SMS-a lub obejrzeć zdjęcia erotyczne.

Po tym, jak szkodliwe oprogramowanie zostanie umieszczone na takiej stronie, należy je w jakiś sposób rozreklamować. W tym celu wykorzystuje się masowe wysyłki odsyłaczy za pośrednictwem ICQ lub fora spamowe. Dlaczego ICQ? Ten klient IM jest bardzo popularny w Rosji i krajach należących do Wspólnoty Niepodległych Państw i wielu użytkowników, którzy chcą pozostać w stałym kontakcie, korzysta z mobilnych klientów ICQ. Naturalnie, dla szkodliwego użytkownika takie osoby stanowią potencjalne ofiary.

Prowadzi to do powstania interesującego łańcucha: zostaje stworzony szkodliwy program › program ten, z przyciągającą uwagę nazwą i opisem, jest umieszczany na stronie WAP › przeprowadzana jest masowa wysyłka, która może dotrzeć do użytkowników mobilnych klientów ICQ.

Do zbadania pozostaje jeszcze tylko jedna kwestia - krótkie numery wykorzystywane przez trojany mobilne. Do numerów najczęściej wykorzystywanych przez szkodliwe programy wykryte przez firmę Kaspersky Lab należą 1171, 1161 i 3649. Numery te nie tylko są wykorzystywane przez szkodliwych użytkowników, ale również przez wiele legalnych firm, które oferują szereg różnych usług. Zapłata za wiadomości SMS jest przydzielana zgodnie z prefiksem numeru, z którego jest wysyłany SMS. Prefiksy te zmieniają się w różnych programach Trojan-SMS, czasami jednak powtarzają się.

Ten rodzaj cyberprzestępczości stał się popularny, zwłaszcza w Rosji, ze względu na niezwykle prostą metodę dokonywania płatności za pośrednictwem SMS-ów.

Operatorzy telefonii komórkowych oferują dzierżawę krótkich numerów. Wydzierżawienie takiego numeru byłoby bardzo kosztowne dla osoby prywatnej, istnieją jednak dostawcy zawartości, którzy wydzierżawiają te numery, a następnie - po dodaniu określonego prefiksu - poddzierżawiają je innym.

Na przykład pewien dostawca jest właścicielem krótkiego numeru 1171. Jeśli na numer ten zostanie wysłana wiadomość rozpoczynająca się od "S1", system dostawcy przeleje część kosztu SMS-a na konto osoby, która go poddzierżawia.

Operatorowi telefonii komórkowej przypada od 45% do 49% kosztu SMS-a wysłanego na krótki numer, natomiast dostawca wydzierżawiający numer otrzymuje około 10%. Pozostała kwota jest przelewana poddzierżawcy - w tym przypadku szkodliwemu użytkownikowi.

Podsumowując, pierwsza połowa 2008 roku stanowiła pierwszy okres, w którym nastąpił znaczny wzrost liczby szkodliwych programów dla telefonów komórkowych wysyłających wiadomości SMS na krótkie numery bez wiedzy właściciela telefonu. Nie ma wątpliwości, że programy te zostały stworzone w jednym celu: w celu zarobienia pieniędzy z wykorzystaniem krótkich numerów, a dokładnie, wiadomości SMS ukradkowo wysyłanych na te numery. Ponieważ programy te można łatwo tworzyć i rozprzestrzeniać, w drugiej połowie 2008 roku może mieć miejsce stały wzrost liczby szkodliwych programów wykazujących zachowanie Trojan-SMS. Będziemy monitorowali sytuację.

Trojany atakujące gry: gra trwa

Jednym z wyraźnych trendów, jakie zaobserwowaliśmy w zeszłym roku, był znaczny wzrost liczby nowych szkodliwych programów tworzonych w celu kradzieży haseł do gier online. Trend ten utrzymał się w pierwszej połowie 2008 roku - w okresie tym wykryto 49 094 nowych trojanów atakujących gry. Jest to o 1,5 razy więcej niż liczba podobnych trojanów wykrytych w 2007 roku oraz o 264,6% więcej niż liczba takich trojanów wykrytych w poprzednim półroczu.

Liczba nowych trojanów kradnących hasła do gier online, które zostały wykryte przez analityków Kaspersky Lab

Liczba nowych trojanów atakujących gry wykrytych przez analityków z firmy Kaspersky Lab (lipiec 2007- czerwiec 2008)

95% nowych trojanów atakujących gry, wykrytych w pierwszej połowie 2008 roku, kradnie hasła do więcej niż jednej gry onlie. Takie trojany obejmują programy z rodziny Trojan-PSW.Win32.OnLineGames oraz Trojan-PSW.Win32.Magania.

Rodzina OnLineGames jest najliczniejszą rodziną trojanów atakujących gry, stanowiącą 57,6% wszystkich takich trojanów. Liczba szkodliwych programów z tej rodziny znacznie wzrosła w pierwszej połowie 2008 roku, przewyższając wzrost liczby trojanów kradnących hasła do jednej gry onlie.

Trojany z rodziny Magania są interesujące z tego względu, że atakują użytkowników jednego popularnego portalu (http://en.wikipedia.org/wiki.Gamania). Chociaż w maju popularność tej rodziny zaczęła szybko spadać z powodu zamknięcia kilku światów online na tym portalu (łącznie z MapleStory), do końca pierwszego półrocza stanowiła ona 37,4% wszystkich nowych trojanów atakujących gry.

 
Liczba nowych szkodliwych programów z najbardziej rozpowszechnionych rodzin trojanów atakujących gry (według miesiąca, 2008)

Trojan-PSW.Win32.OnLineGames - kradnie hasła do kilku gier
Trojan-PSW.Win32.Magania - atakuje portal z grami onlne Gamania
Trojan-PSW.Win32.Ganhame - atakuje Hangame Online
Trojan-PSW.Win32.Lmir - Legend of Mir
Trojan-PSW.Win32.Nilage - Lineage
Trojan-PSW.Win32.WOW - World of Warcraft

Popularność gier online wśród twórców wirusów zależy bezpośrednio od popularności takich gier wśród graczy oraz od stopnia rozwoju rynku wirtualnych przedmiotów pochodzących z danej gry. Znaczna część trojanów tworzonych w celu kradzieży haseł do jednej gry dotyczy czterech gier: popularnych w Chinach Legend of Mir oraz Hangame oraz Lineage i World of Warcraft, w które grają użytkownicy z całego świata.

Rozkład najbardziej rozpowszechnionych trojanów atakujących jedną grę

Jak pokazuje powyższy diagram, największą grupę trojanów stanowią programy stworzone w celu kradzieży haseł do gry Lineage. Według statystyk na stronie internetowej www.mmogchart.com (patrz niżej), pod względem liczby subskrybentów przez cztery lata zwycięzcą był Lineage, jedna z pierwszych gier, jakie pojawiły się w Internecie (w 1999 roku). Obecnie Lineage posiada najbardziej rozwiniętą ekonomię ze wszystkich gier online oraz w pełni rozwinięty rynek wirtualnych przedmiotów, które są sprzedawane za prawdziwe pieniądze.

World of Warcraft, który obecnie prowadzi na rynku gier online, znajduje się na drugim miejscu pod względem popularności wśród twórców wirusów. Jednak to właśnie ta gra bije miesięczny rekord pod względem liczby nowych trojanów. W maju wykryto 209 trojanów atakujących graczy World of Warcraft - od 6 do 7 nowych trojanów dziennie.

 
Rozkład subskrybentów gier online
Źródło: mmogchart.com

W pierwszej połowie 2008 roku zmieniła się główna metoda stosowana w celu rozprzestrzeniania szkodliwych programów kradnących hasła do gier online. W 2007 roku szkodliwi użytkownicy preferowali wykorzystywanie samodzielnie rozprzestrzeniających się programów (robaków i wirusów) w celu dystrybucji swoich tworów. Obecnie najpopularniejszą metodą dostarczania na komputery trojanów atakujących gry jest masowe włamywanie się na strony internetowe (na przykład wykorzystywanie wstrzykiwania SQL) i wykorzystywanie exploitów w celu pobierania trojanów na komputery, na których przeglądane są takie strony.

Wydaje się, że ta metoda propagacji była dość skuteczna. Jednak większość ataków nie jest ukierunkowania: trojan atakujący gry może zainfekować wszystkich, którzy odwiedzają zhakowaną stronę, nie tylko tych, którzy grają w gry online. Szkodliwi użytkownicy postanowili wykorzystać swój sukces do uzyskania korzyści finansowych, dlatego rozszerzyli funkcjonalność trojanów atakujących gry, dodając do nich moduł backdoora, umożliwiając połączenie zainfekowanych komputerów w sieć zombie.

Wydarzenia te świadczą o tym, że w pierwszej połowie 2008 roku biznes przestępczy związany z kradzieżą postaci i przedmiotów wirtualnych z gier online nadal się rozwijał. Firma Kaspersky Lab wykrywała średnio 273 nowych trojanów atakujących gry, z których 259 potrafiło kraść hasła do więcej niż jednej gry online. Na drugim miejscu pod względem najbardziej rozpowszechnionych rodzin z klasy TrojWare znalazł się Trojan-PSW.Win32.OnLineGames, którego wyprzedził jedynie Backdoor.Win32.Hupigon.

Twórcy wirusów zoptymalizowali stosowany wcześniej schemat ataków. Do rozprzestrzeniania swoich tworów zaczęli wykorzystywać zhakowane strony. O ile trojany tworzone w celu kradzieży haseł do gier online stanowiły wcześniej zagrożenie jedynie dla graczy takich gier, obecnie zagrażają wszystkim użytkownikom, ponieważ ogromna większość trojanów atakujących gry, które zostały wykryte w ostatnich kilku miesiącach, jest wyposażona w funkcję backdoora.

W najbliższej przyszłości szkodliwe oprogramowanie atakujące gry nadal będzie ewoluowało.

Robaki i wirusy

Z wszystkich trzech klas szkodliwego oprogramowania najwolniejsze tempo wzrostu odnotowała klasa VirWare - "tylko" 129%. Jednak nawet tak skromne liczy w praktyce oznaczają ponad 2 tysiące nowych wirusów i robaków miesięcznie.

Poniższy wykres pokazuje liczbę nowych programów z kategorii VirWare wykrywanych przez analityków z firmy Kaspersky Lab każdego miesiąca.

Liczba nowych programów z klasy VirWare wykrywanych przez analityków z Kaspersky Lab w każdym miesiącu (lipiec 2007 - czerwiec 2008)

Na pierwszy rzut oka, wzrost liczby nowych szkodliwych programów w klasie VirWare przypomina wzrost w klasie TrojWare, w której obserwujemy podobne wzrosty i następujące po nich spadki. Jednak w pierwszej połowie 2008 roku w klasie VirWare nastąpiły dwa takie wzrosty, natomiast w klasie TrojWare - trzy. Świadczy to o tym, że szkodliwe programy z klasy VirWare istnieją i ewoluuj według własnych reguł. Stosunkowo powolny wzrost liczby szkodliwych programów z klasy VirWare, wynoszący 129%, pokazuje różnicę między wirusami i robakami a innymi klasami. W pierwszej połowie 2008 roku spowodowało to kolejny spadek udziału tych programów o ponad 1%.

Jeśli trend ten utrzyma się w drugiej połowie 2008 roku, klasa VirWare może przesunąć się na trzecie miejsce, podczas gdy klasa MalWare wskoczy na drugie.

W badanym okresie nastąpiło znaczne przesunięcie w obrębie klasy VirWare. Poniższy wykres pokazuje rozkład zachowań z tej klasy.

Rozkład zachowań w klasie VirWare

Aby lepiej zrozumieć zmiany, jakie zaszły w obrębie klasy VirWare, przyjrzyjmy się wzrostowi liczby szkodliwych programów reprezentujących różne zachowania.

Liczba nowych programów w klasie VirWare

Wzrost liczby nowych szkodliwych programów z klasy VirWare

Największe zmiany w klasie VirWare dotyczyły klasycznych wirusów plikowych. Jednak trudno wyjaśnić zmiany, jakie zaszły w pierwszej połowie 2008 roku. W 2007 roku liderami pod względem współczynników wzrostu (390%) wśród wszystkich szkodliwych programów były wirusy, które w ostatnim półroczu znalazły się na pierwszym miejscu w kategorii VirWare (z 38,8 proc. udziałem). W pierwszej połowie 2008 roku wirusy wykazały ujemny wzrost (-73%), a pod koniec badanego okresu ich udział wynosił niewiele ponad 4,5%.

Spodziewaliśmy się wzrostu liczby bardziej zaawansowanych wirusów oraz nieustannej ewolucji technologii polimorficznych. Wydaje się jednak, że cyberprzestępcy skupiają się głównie na pisaniu trojanów i nie posiadają wystarczającej wiedzy technicznej, aby implementować technologie wirusowe. Bez wątpienia jest to dobry znak dla branży antywirusowej.

Zdecydowanie prowadzą programy reprezentujące zachowanie Robak. Współczynnik wzrostu liczby takich programów (352%) spowodował podwojenie udziału tych programów w klasie VirWare oraz ich awans na pierwsze miejsce z udziałem bliskim 44%. Usuwanie takich robaków, rozprzestrzeniających się za pośrednictwem nośników wymiennych i sieci lokalnych z komputerów użytkowników, jest bardzo trudnym zadaniem.

W pierwszej połowie 2008 roku największy wzrost wykazały robaki sieciowe. Co więcej, ponad 1 200 proc. wzrost takich robaków w stosunku do poprzedniego półrocza okazał się bezprecedensowy. Zachowanie to zniknęło w 2007 roku, po czym niespodziewanie pojawiło się na drugim miejscu. Powód tego znaczącego wzrostu związany jest z nieustanną ewolucją robaków, które obecnie wchodzą w nowy etap rozwoju. Ich autorzy zaczynają wykorzystywać stare metody rozprzestrzeniania szkodliwego kodu na nowym poziomie. Z powodu braku krytycznych luk (wykorzystywanych w przeszłości przez takie robaki jak Lovesan oraz Sasser) współczesne robaki sieciowe coraz częściej wykorzystują zhakowane strony internetowe oraz serwisy społecznościowe w celu rozprzestrzeniania się.

W 2008 roku utrzymywał się stały wzrost liczby robaków pocztowych, jaki obserwowaliśmy w ciągu ostatnich kilku miesięcy. Nie był on jednak wystarczająco wysoki, aby programy te przesunęły się na drugie miejsce. W pierwszej połowie roku liczba robaków pocztowych zwiększyła się o 6,7%, zajmując trzecie miejsce (z udziałem wynoszącym 19%.). To oznacza, że co piąty program z klasy VirWare jest robakiem rozprzestrzeniającym się za pośrednictwem poczty elektronicznej. Podobnie jak w 2007 roku, za wzrost ten odpowiedzialne są w głównej mierze trzy rodziny robaków pocztowych - Warezov, Zhelatin i Bagle.

W klasie VirWare można wyróżnić dwie główne grupy zachowań:

1. Robak pocztowy, Robak, Robak sieciowy
   

   Każde zachowanie stanowi ponad 18% wszystkich programów w klasie VirWare. Robaki pocztowe, które wcześniej prowadziły w tej klasie, znajdują się obecnie w fazie plateau, podczas gdy robaki i robaki sieciowe wykazują gwałtowny wzrost.

2. Robak IM, Wirus, Robak P2P, Robak IRC
   

   Każde zachowanie stanowi mniej niż 6% całej klasy VirWare. Współczynniki wzrostu różnią się znacząco, od ujemnego wzrostu do wzrostu wynoszącego ponad 300%. Jednak tylko zachowanie Wirus może znacznie zwiększyć swój udział, jako że inne zachowania są uzależnione od usług internetowych drugiego poziomu (IM, IRC, P2P).

Inne szkodliwe programy

Programy w tej klasie są mniej rozpowszechnione pod względem liczby wykrytych programów. Z drugiej strony klasa ta posiada największą liczbę zachowań.

Niezwykle trudno jest przedstawić jakiekolwiek prognozy odnośnie liczby szkodliwych programów w klasie Inne programy MalWare: w latach 2004-2005 miał miejsce niewielki wzrost liczby programów z tej klasy, w 2006 roku nastąpił niewielki spadek, natomiast w 2007 roku liczba takich programów wzrosła o 27%. Z kolei w pierwszej połowie 2008 roku liczba programów z tej klasy zwiększyła się o 249,3% w stosunku do drugiej połowy 2007 roku.

Liczba nowych programów z klasy Inne programy Malware wykrytych przez analityków firmy Kaspersky Lab (lipiec 2007 - czerwiec 2008)

Poniższy diagram pokazuje rozkład zachowań w obrębie klasy Inne programy MalWare:

Rozkład programów w obrębie klasy Inne programy MalWare według zachowania

Aby lepiej zrozumieć zmiany, jakie miały miejsce w obrębie tej klasy, przyjrzyjmy się, w jaki sposób zwiększyła się liczba poszczególnych zachowań:

Liczba nowych programów z klasy Inne programy MalWare

Wzrost liczby nowych szkodliwych programów w obrębie klasy Inne programy MalWare

MalWare	2008-I	2007-II	Wzrost	2008%	"+/-"
Hoax	3 371	1 085	210,69%	26,367%	-3,28%
FraudTool	3 339	387	762,79%	26,117%	15,54%
Exploit	1 975	711	177,78%	15,448%	-3,98%
HackTool	1 377	306	350%	10,77%	2,41%
Constructor	731	292	150.34%	5,718%	-2,26%
Packed	509	403	26,30%	3,981%	-7,03%
SpamTool	431	184	134,24%	3,371%	-1,66%
IM-Flooder	287	55	421,82%	2,245%	0,74%
Flooder	196	51	284,31%	1,533%	0,14%
BadJoke	174	69	152,17%	1,361%	-0,52%
VirTool	153	50	206%	1,197%	-0,17%
Email-Flooder	77	8	862,5%	0,602%	0,38%
DoS	75	37	102,7%	0,587%	-0,42%
Spoofer	36	6	500%	0,282%	0,12%
Sniffer	24	10	140%	0,188%	-0,09%
SMS-Flooder	15	4	275%	0,117%	0,01%
Nuker	15	2	650%	0,117%	0,06%
Łącznie	12 785	3 660	249,32%	100%

Najpopularniejszym zachowaniem w tej klasie Inne programy MalWare nadal jest Hoax - trzeci rok z rzędu liczba takich programów odnotowała znaczny wzrost: z 150% do 286%. Mimo to w pierwszej połowie 2008 roku udział tego zachowania w klasie Inne programy MalWare zmniejszył się o zaledwie 3%.

Zachowanie Exploit, które kiedyś stanowiło najliczniejszą grupę, nadal traci pozycję. Mimo wzrostu wynoszącego 178% nie zdołało utrzymać drugiego miejsca. Obecnie znajduje się na trzeciej pozycji i stanowi 15,5% klasy Inne programy MalWare.

Packed oraz FraudTool, dwa nowe zachowania dodane do naszej klasyfikacji w 2007 roku, przemieszczają się w obrębie klasy w odmienny sposób.

Packed, który z zeszłym roku odnotował znaczny wzrost, w pierwszej połowie 2008 roku nieco zahamował (26%). Spowodowało to ponad 7% spadek udziału programów reprezentujących to zachowanie w klasie Inne programy Malware.

FraudTool wraz z zachowaniem Hoax to liderzy w klasie Inne programy MalWare. Liczba takich programów wzrosła o ponad 760%. A wzrost ten jest spowodowany tym, że twórcy wirusów nadal aktywnie wykorzystują te programy. Głównym typem programów reprezentujących zachowanie FraudTool są tak zwane "oszukańcze" programy antywirusowe, które występują "pod przebraniem" w pełni funkcjonalnych rozwiązań antywirusowych. Gdy takie programy zostaną zainstalowane na komputerach, "wykryją" pewien rodzaj wirusa (nawet jeśli maszyna jest zupełnie czysta) i poinformują użytkownika, żeby zapłacił za wersję programu w celu wyleczenia systemu. Oprócz oszukiwania użytkowników takie programy posiadają również funkcjonalność adware.

Potencjalnie niechciane programy

W zeszłym roku zaczęliśmy uwzględniać w naszych raportach potencjalnie niechciane programy. Istnieją programy, które są rozwijane i dystrybuowane przez legalne firmy, ale ich funkcje umożliwiają wykorzystywanie ich w szkodliwych celach. Programy te nie mogą zostać kategorycznie sklasyfikowane albo jako zagrożenia, albo jako nieszkodliwe programy: wszystko zależy od tego, w jaki sposób są wykorzystywane.

Istnieją trzy klasy programów, które firma Kaspersky Lab klasyfikuje jako potencjalnie niechciane:

1. AdWare: programy, których celem jest pokazywanie reklam, przekierowywanie żądań wyszukania na strony reklamowe oraz zbieranie danych marketingowych (na przykład, które strony odwiedza użytkownik).
2. RiskWare: są to legalne programy, które mogą być wykorzystywane w szkodliwym celu do atakowania systemu użytkownika oraz jego danych (np. niszczenia, blokowania, modyfikowania lub kopiowania informacji, niekorzystnie wpływając na wydajność komputera lub sieci).
3. PornWare: są to narzędzia, których celem jest pokazywanie pornografii w dowolnej formie (klasa ta zawiera tylko trzy zachowania: Porn-Tool, Porn-Dialer oraz Porn-Downloader).

AdWare

Jest to najbardziej stabilna klasa - drugi rok z rzędu współczynnik wzrostu dla programów AdWare wynosi 450%. Liczba nowych próbek wynosi miesięcznie około 8 000, co daje programom AdWare drugie miejsce wśród wszystkich programów wykrytych przez Kaspersky Anti-Virus.

Poniższy wykres pokazuje liczbę nowych programów AdWare wykrywanych przez analityków firmy Kaspersky Lab każdego miesiąca.

Liczba nowych programów AdWare wykrytych przez analityków Kaspersky Lab (lipiec 2007 - czerwiec 2008)

Na powyższym wykresie widać gwałtowny wzrost liczby programów AdWare, jaki nastąpił z początkiem 2008 roku. Należy podkreślić, że wysiłki organów ścigania na całym świecie, aby programy te były uznawane za nielegalne, oraz próby ich legalizacji jak dotąd nie odniosły sukcesów. Co prawda wielu twórców AdWare zmodyfikowało funkcje i zachowanie swoich produktów, częściowo z powodu wzrostu liczby programów AdTool (więcej szczegółów na ten temat poniżej), jednak jest to wyraźnie za mało, aby pomóc użytkownikom w ich walce przeciwko natrętnym reklamom.

Jeszcze bardziej niepokojące jest to, że wiele programów AdWare posiada funkcjonalność trojana, włączając wykorzystywanie technologii rootkit w celu ukrywania obecności w systemie. Przykładem jest Virtumonde: kilka lat temu był on zwykłym programem AdWare, teraz jednak klasyfikujemy go jako trojana, ponieważ twórcy tego szkodnika wykorzystują do rozprzestrzeniania go metody podstępu.

RiskWare i PornWare

Ponieważ w grupie PornWare można wyróżnić tylko trzy zachowania, a liczba takich programów wykrytych przez analityków z firmy Kaspersky Lab w pierwszej połowie 2008 roku stanowiła 11,7% wszystkich potencjalnie niechcianych programów, w dalszej części artykułu zajmiemy się analizą programów PornWare oraz RiskWare.

Poniższy wykres pokazuje liczbę nowych programów RiskWare i PornWare wykrywanych przez analityków z firmy Kaspersky Lab każdego miesiąca.

Liczba nowych programów RiskWare i PornWare wykrytych przez firmę Kaspersky Lab (lipiec 2007 - czerwiec 2008)

W pierwszej połowie 2008 roku analitycy z firmy Kaspersky Lab wykryli ponad 26 000 programów RiskWare oraz PornWare, a współczynniki wzrostu w tych klasach wyniosły ponad 1 700%.

Wynika to z tego, że do antywirusowych baz danych zostało dodanych kilka tysięcy programów sklasyfikowanych jako AdTool. Na wykresie wyraźnie widać, że punkt szczytowy nastąpił w marcu; po czym liczby programów RiskWare i PornWare utrzymywały się na stałym poziomie zgodnie z przewidywaniami.

Poniższy wykres pokazuje rozkład zachowań w obrębie klas RiskWare i PornWare.

Rozkład programów RiskWare + PornWare według zachowania

Liczba nowych programów RiskWare oraz PornWare według zachowania

Wśród zachowań z klas RiskWare oraz PornWare można wyróżnić dwóch wyraźnych liderów: AdTool (51,33%) oraz Porn-Dialer (31,48%).

Programy AdTool to moduły reklamowe, których nie można sklasyfikować jako AdWare, ponieważ posiadają atrybuty legalnego oprogramowania, np. umowy licencyjne, wyraźnie pokazują swoją obecność w systemie i informują użytkownika o swoich akcjach. Czołowa pozycja zajmowana przez AdTool była do przewidzenia, biorąc pod uwagę liczbę programów wykazujących to zachowanie dodanych do antywirusowych baz danych za jednym razem (patrz wyżej).

Programy Porn-Dialer łączą się z numerami o podwyższonej płatności, co często prowadzi do sporów prawnych między abonentami a operatorami telefonicznymi.

Liczba programów reprezentujących zachowanie Monitor, które w 2007 roku znajdowało się na prowadzeniu, wykazuje znaczny spadek. Zachowanie Monitor obejmuje legalne keyloggery, które są oficjalnie rozwijane i sprzedawane. Jednak ze względu na to, że programy te ukrywają się w systemie, mogą być wykorzystywane jako trojany szpiegujące. W pierwszej połowie 2008 roku liczba tych programów zmniejszyła się o ponad 35% i obecnie znajdują się na trzecim miejscu spośród wszystkich potencjalnie niechcianych programów.

PSW-Tool i Downloader to nadal stosunkowo rozpowszechnione zachowania. Pierwsze z nich ma na celu odzyskiwanie zapomnianych haseł, może jednak być wykorzystywane do szkodliwych celów, do przechwytywania haseł z komputera bez wzbudzania jakichkolwiek podejrzeń ofiary. Programy drugiego typu mogą być wykorzystywane do pobierania szkodliwej zawartości na maszynę ofiary.

Należy zauważyć, że nastąpił znaczny spadek liczby programów RemoteAdmin (-6,5%).

Platformy i systemy informatyczne

W zeszłym roku zaczęliśmy publikować szczegółowe statystyki dotyczące rozkładu szkodliwych i potencjalnie niechcianych programów według systemu operacyjnego.

System operacyjny lub aplikacja mogą zostać zaatakowane przez szkodliwy program, jeżeli możliwe jest uruchomienie programu, który nie stanowi części samego systemu. Umożliwiają to wszystkie systemy operacyjne, wiele aplikacji biurowych, edytory grafiki i inne pakiety posiadające wbudowane języki skryptowe.

W pierwszej połowie 2008 roku analitycy z firmy Kaspersky Lab wykryli szkodliwe i potencjalnie niechciane programy dla 41 różnych systemów operacyjnych i platform.

Naturalnie w przeważającej większości programy te są tworzone dla środowiska Win32 i są binarne pliki wykonywalne. Stanowią one 98,31% wykrytych programów.

Programy atakujące inne systemy operacyjne i platformy stanowią niecałe 2% wszystkich wykrytych programów. W pierwszej połowie 2008 roku liczba szkodliwych i potencjalnie niechcianych programów wzrosła o 233% w stosunku do poprzedniego półrocza. Współczynnik wzrostu dla programów atakujących inne systemy operacyjne i platformy wynosił tylko 39%, mniej niż w 2007 roku (63%). Świadczy to o tym, że wbrew oczekiwaniom twórcy wirusów nie przerzucili się z systemu Win32 na inne platformy. Wprost przeciwnie, obserwowany wcześniej wzrost liczby zagrożeń przeznaczonych dla systemu innego niż Win32 został zahamowany, a liczba zagrożeń zaczęła się zmniejszać. (Należy zauważyć, że programy te stanowią 4% wszystkich zagrożeń w 2007 roku.)

Liczba nowych i potencjalnie niechcianych programów według atakowanej platformy

Jak wynika z powyższej tabeli, liczba nowych programów dla różnych systemów operacyjnych i platform znacznie się różni. Poniżej wyszczególnione zostały najważniejsze zmiany:

• Znacznie zmniejszyło się wykorzystanie języków skryptowych VBS oraz JS (które w zeszłym roku należały do grupy liderów) jako platformy "wirus".
• Liczba szkodliwych programów dla platformy J2ME zwiększyła się o 583%. O wzroście liczby programów Trojan-SMS, z których większość została stworzona dla tej platformy, powiedzieliśmy już wcześniej.
• Liczba szkodliwych programów w postaci plików XLS, które zwykle wykorzystują luki w zabezpieczeniach aplikacji MS EXCEL, zwiększyła się o 840%. W zeszłym roku zidentyfikowano kilkadziesiąt takich luk w zabezpieczeniach - wszystkie z nich były powszechnie wykorzystywane przez twórców wirusów, zwłaszcza chińskich.
• Liczba programów stworzonych dla platformy .NET zwiększyła się o 955%. Już wcześniej spodziewaliśmy się takiego wzrostu - rozpoczął się w 2008 roku. W przyszłości platforma ta może stanowić drugą najczęściej atakowaną, wyprzedzając Java Script. Jedną z interesujących cech platformy .NET, która szczególnie przyciąga twórców wirusów, jest możliwość uruchamiania takich plików nie tylko na komputerach działających pod kontrolą systemu Windows, ale również na urządzeniach przenośnych z systemem Windows Mobile.
• Liczba szkodliwych programów w postaci plików SWF zwiększyła się o ponad 8 500%. Powodem była niezwykle niebezpieczna luka w zabezpieczeniach zidentyfikowana w przetwarzaniu takich plików. Cyberprzestępcy zareagowali błyskawicznie i zaczęli wykorzystywać SWF jako nowy sposób dostarczania szkodliwych programów. W rezultacie, wiosną tego roku w Internecie pojawiło się ponad 250 wariantów szkodliwych plików SWF.

W poniższej tabeli wszystkie systemy operacyjne i platformy atakowane w pierwszej połowie 2008 roku zostały pogrupowane według systemu operacyjnego, który jest ostatecznie atakowany. Na przykład JS i VBS zaliczają się do grupy Windows, Ruby i Perl do grupy *nix, itd.

Wnioski

Ewolucja zagrożeń w pierwszej połowie 2008 roku była zgodna z trendami 2007 roku: twórcy wirusów nadal wykorzystują wyrafinowane technologie, przedkładając ilość nad jakość szkodliwych programów.

Liczba nowych zagrożeń wykazuje postęp geometryczny: zagrożenia wykryte na wolności posiadają krótszą żywotność. Z tysięcy nowych trojanów wykrywanych każdego dnia po tygodniu czy miesiącu tylko kilkadziesiąt wciąż stanowi zagrożenie dla użytkowników. Wszystkie pozostałe są "neutralizowane", zastępowane nowymi modyfikacjami, tworzonymi w celu uniknięcia wykrycia przez rozwiązania antywirusowe.

Jednak wzrostowy trend w liczbie nowych szkodliwych programów musi kiedyś się skończyć - być może już w tym roku nastąpi spowolnienie tego wzrostu lub nawet wejście w fazę stabilizacji. Chociaż liczba takich programów (około 500 000 nowych szkodliwych programów na przestrzeni pół roku) utrzyma się na tym samym poziomie, większość firm antywirusowych będzie w stanie poradzić sobie z takimi zagrożeniami.

Obecnie branża antywirusowa musi zmierzyć się z innymi problemami niż te, które występowały w przeszłości: w szczególności, firmy antywirusowe muszą skoncentrować swoje wysiłki na wczesnym wykrywaniu zagrożeń. O ile w przeszłości mogły reagować na nowe zagrożenia w ciągu kilku godzin (a czasami w ciągu kilku dni), obecnie czas reakcji liczy się w minutach. To oznacza, że eksperci ds. walki ze szkodliwym oprogramowaniem muszą identyfikować nowy szkodliwy kod w Internecie, analizować go, opublikować zabezpieczenie i dostarczyć je użytkownikom końcowym.

Źródło: Kaspersky Lab