Ewolucja szkodliwego oprogramowania: stycze艅 - marzec 2008

Alexander Gostev
Starszy analityk wirus贸w, Kaspersky Lab

Opublikowany kilka miesi臋cy temu coroczny raport na temat ewolucji szkodliwego oprogramowania w 2007 roku zawiera艂 prognozy dotycz膮ce ewolucji krajobrazu zagro偶e艅 w 2008 roku. Teraz, gdy min臋艂y trzy pierwsze miesi膮ce roku, mo偶emy zacz膮膰 wyci膮ga膰 wst臋pne wnioski.

Niestety, jak cz臋sto bywa w bran偶y antywirusowej, wnioski s膮 do艣膰 ponure. Nadal ro艣nie tempo, w jakim zwi臋ksza si臋 liczba szkodliwych program贸w - codziennie wykrywane s膮 tysi膮ce nowych wariant贸w. Jednocze艣nie szkodniki staj膮 si臋 coraz bardziej zaawansowane technicznie. Szkodliwi u偶ytkownicy zmieniaj膮 wektory atak贸w, kieruj膮c swoj膮 uwag臋 na s艂abiej chronione pliki, takie jak technologie Web 2.0 oraz urz膮dzenia mobilne.

Nadal jeste艣my 艣wiadkami reinkarnacji starych koncepcji i technik, a ich implementacja na nowych poziomach zwi臋ksza stopie艅 zagro偶enia. Przyk艂adem mo偶e by膰 infekowanie sektor贸w startowych na atakowanych maszynach, rozprzestrzenianie szkodliwych program贸w za po艣rednictwem no艣nik贸w przeno艣nych oraz infekowanie plik贸w.

Wydaje si臋, 偶e pierwszy kwarta艂 2008 roku przyni贸s艂 symboliczn膮, ale ostateczn膮 艣mier膰 starej szko艂y pisania wirus贸w. Pod koniec lutego "legendarna" grupa 29A oficjalnie o艣wiadczy艂a na swojej stronie, 偶e przestaje istnie膰.


Pod presj膮 wzrastaj膮cej kryminalizacji 艣wiata wirus贸w z biznesu wycofali si臋 autorzy takich szkodnik贸w, jak "Cap" (pierwszy makrowirus, kt贸ry spowodowa艂 globaln膮 epidemi臋), "Stream" (pierwszy wirus dla alternatywnych strumieni NTFS), "Donut" (pierwszy wirus dla platformy .NET), "Rugrat" (pierwszy wirus dla platformy Win64), mobilny wirus Cabir, Duts i wiele innych. Nikt ju偶 nie tworzy szkodliwych program贸w w celach badawczych, ani nie traktuje tego zaj臋cia jako sposobu na wyra偶enie siebie - o wiele bardziej op艂aca si臋 stworzy膰 setki prymitywnych program贸w troja艅skich, a nast臋pnie sprzeda膰 je.

Rozwi膮zanie grupy 29A komentowa艂y prawie wszystkie najwi臋ksze firmy antywirusowe: ka偶da z nich rzuci艂a wirtualn膮 grudk臋 ziemi na gr贸b tej grupy, kt贸ra w swoim czasie przysporzy艂a analitykom wirus贸w wiele problem贸w.

W poni偶szych rozdzia艂ach zosta艂y om贸wione trendy, kt贸re w 2008 roku zast膮pi艂y "romantyczny" idea艂 pisania wirus贸w:

  1. Bootkit
  2. Robak Storm ci膮g dalszy
  3. TrojanGet
  4. Kilka towarzyskich robak贸w
  5. Mobilne wie艣ci

Bootkit

Na pocz膮tku 2008 roku g艂贸wny problem w bran偶y antywirusowej stanowi艂y rootkity bootkit - rootkity z mo偶liwo艣ci膮 uruchamiania si臋 z sektora startowego dowolnego urz膮dzenia. Chocia偶 wi臋kszo艣膰 u偶ytkownik贸w nie zdaje sobie sprawy z wagi tego problemu i nie rozumie wysi艂k贸w czynionych w celu pokonania go, w najbli偶szej przysz艂o艣ci temat ten mo偶e dotyczy膰 wszystkich nas.

Pocz膮tek historii

Wszystko zacz臋艂o si臋 w listopadzie 2007 roku, albo ju偶 w 2005 roku. 呕adna z tych dat nie jest jednak poprawna. Wybierzmy si臋 w kr贸tk膮 podr贸偶 w przesz艂o艣膰 i przypomnijmy sobie, co zdarzy艂o si臋 22 lata temu, w 1986 roku.

Oto, jak wydarzenia z tego roku zosta艂y opisane w Encyklopedii Wirus贸w VirusList.pl (http://www.viruslist.pl/encyclopedia.html?chapter=articles&id=4):

Wykryto pierwsz膮 globaln膮 epidemi臋 wirus贸w na komputerach IBM. Wirus Brain, kt贸ry infekowa艂 sektor startowy, zdo艂a艂 praktycznie w ci膮gu miesi臋cy rozprzestrzeni膰 si臋 na ca艂ym 艣wiecie. Niemal ca艂kowita ignorancja spo艂eczno艣ci informatycznej w kwestiach ochrony antywirusowej przyczyni艂a si臋 do odniesienia przez tego wirusa sukcesu. Liczne publikacje, jakie pojawi艂y si臋 na ten temat w dziedzinie science-fiction, zamiast informowa膰 o zabezpieczeniach, zaostrzy艂y tylko wywo艂an膮 panik臋.

Wirusa Brain napisa艂 19-letni pakista艅ski programista Basit Farooq Alvi oraz jego brat Amjad. Wirus zawiera艂 ci膮g tekstowy z ich imionami, adresami i numerami telefon贸w. Autorzy wirus贸w, pracuj膮cy w dziale sprzeda偶y firmy zajmuj膮cej si臋 oprogramowaniem komputerowym, chcieli rzekomo zmierzy膰 poziom piractwa w kraju. Dzia艂anie wirusa ograniczy艂o si臋 do zainfekowania sektora startowego dysku i zmiany nazwy dysku na '© Brain'; wirus posiada艂 dodatkow膮 funkcj臋 i nie niszczy艂 danych. Niestety bracia stracili kontrol臋 nad 'eksperymentem' i Brain rozprzestrzeni艂 si臋 na ca艂ym 艣wiecie.

Ciekawostk膮 jest fakt, 偶e Brain by艂 r贸wnie偶 pierwszym 'ukrywaj膮cym si臋 wirusem'. Po wykryciu pr贸by odczytania zainfekowanego sektora wirus wy艣wietla艂 oryginalne, niezainfekowane dane.

W ten spos贸b wszystko si臋 zacz臋艂o. Przez ponad 10 lat wirusy sektora startowego stanowi艂y najbardziej rozpowszechniony typ szkodliwych program贸w.

Zasada dzia艂ania tych wirus贸w jest stosunkowo prosta: wykorzystuj膮 one algorytmy, kt贸re uruchamiaj膮 system operacyjny w momencie w艂膮czenia lub powt贸rnego uruchomienia komputera. Program 艂aduj膮cy system czyta pierwszy fizyczny sektor dysku startowego (A:, C: lub nap臋d CD-ROM, w zale偶no艣ci od parametr贸w BIOS-u) i przekazuje do niego kontrol臋. Je偶eli sektor startowy zawiera wirusa, wtedy przejmuje on kontrol臋.

Znana jest tylko jedna metoda infekowania dyskietek: wirus zast臋puje oryginalny kod sektora startowego w艂asnym kodem. Dysk twardy mo偶e zosta膰 zainfekowany na trzy r贸偶ne sposoby - wirus zast臋puje kod sektora MBR w艂asnym kodem; zast臋puje kod sektora startowego na dysku startowym (zwykle jest to C:) swoim w艂asnym kodem lub modyfikuje adres aktywnego sektora startowego na tablicy partycji dysku zlokalizowanej w sektorze MBR dysku twardego.

W wi臋kszo艣ci przypadk贸w podczas infekowania dysku wirus przenosi oryginalny sektor startowy (lub MBR) na inny sektor dysku (na przyk艂ad pierwszy wolny).

Tw贸rcy rozwi膮za艅 antywirusowych zacz臋li dodawa膰 mechanizmy ochrony maj膮ce na celu uniemo偶liwienie zapisywania do MBR-a. Pojawi艂 si臋 system Windows 95/98, dyskietki zacz臋艂y wychodzi膰 z u偶ycia, a po prawie dekadzie wirusy sektora startowego znikn臋艂y z krajobrazu zagro偶e艅, przechodz膮c do historii wirusologii.

Jednak na zorganizowanej w Stanach Zjednoczonych w 2005 roku konferencji Black Hat Derek Soeder i Ryan Permeh, dw贸ch naukowc贸w z eEye Digital Security, zaprezentowali BootRoota. Technologia ta pozwala艂a na umieszczenie kodu w sektorze startowym dysku - kodu, kt贸ry przechwytywa艂 uruchamianie j膮dra Windowsa i uruchamia艂 backdoora, umo偶liwiaj膮c zdalne zarz膮dzanie maszyn膮 za po艣rednictwem lokalnej sieci.

Praca ta przyci膮gn臋艂a spor膮 uwag臋. W styczniu 2006 roku John Hesman z Next-Generation Security Software og艂osi艂, 偶e funkcje zarz膮dzania zasilaniem komputera (tak zwany ACPI - Advanced Configuration and Power Interface) umo偶liwiaj膮 stworzenie program贸w implementuj膮cych funkcje rootkit, kt贸re mog膮 zosta膰 zapisane do pami臋ci flash BIOS. Szkodliwy kod zapisany w takiej lokalizacji (BIOS) jest trudniejszy do wykrycia ni偶 backdoor sektora startowego. Hesman stworzy艂 r贸wnie偶 prototypowy kod, kt贸ry umo偶liwia zwi臋kszenie przywilej贸w systemowych i czytanie danych z pami臋ci komputera.

Rok p贸藕niej, pod koniec 2007 roku dw贸ch programist贸w, Nitin i Vipin Kumar, zaprezentowa艂o Vbootkita - rootkita posiadaj膮cego funkcj臋 umo偶liwiaj膮c膮 mu uruchamianie si臋 z sektora startowego dowolnego urz膮dzenia. Program mo偶e r贸wnie偶 dzia艂a膰 w systemie Windows Vista. Kod 藕r贸d艂owy nie zosta艂 upubliczniony, ale zosta艂 przekazany niekt贸rym firmom antywirusowym.

G艂贸wna zasada dzia艂ania Vbootkita zosta艂a pokazana poni偶ej:

BIOS --> kod Vbootkita (z CD, PXE itp.) --> MBR --> sektor startowy NT --> Mened偶er rozruchu Windows --> Loader Windows --> J膮dro systemu Vista.

Autorzy obiecali zaimplementowa膰 infekcj臋 BIOS w kolejnej wersji bootkita.

Innymi s艂owy, to, co si臋 wydarzy艂o, nie by艂o 偶adn膮 niespodziank膮 - stara technologia infekowania sektora startowego zosta艂a po艂膮czona z modnym rootkitem. Mimo 偶e obecnie prawie wszystkie firmy antywirusowe potrafi膮 skanowa膰 sektor startowy dysk贸w, nadal trudno jest wykry膰, czy funkcje systemu zosta艂y przechwycone lub zast膮pione. Odnosi si臋 to nawet do trojana oraz programu antywirusowego dzia艂aj膮cych w jednym systemie operacyjnym.

To, co napisali艣my, brzmi jak potencjalna mieszanka wybuchowa, kt贸ra w ka偶dej chwili mo偶e mo偶e eksplodowa膰. Taki wybuch nast膮pi艂 w listopadzie 2007 roku, jednak wiadomo艣膰 o nim pojawi艂a si臋 troch臋 p贸藕niej, pod koniec grudnia, gdy kilka tysi臋cy u偶ytkownik贸w (nie ma dok艂adnych danych dotycz膮cych liczby infekcji) pad艂o ofiar膮 pierwszej szkodliwej implementacji bootkita.

Bootkit

Mi臋dzy 19 a 28 grudnia pojawi艂o si臋 kilka stron internetowych, kt贸re stosowa艂y ataki drive-by download (infekowanie maszyny poprzez umieszczenie exploit贸w na stronie internetowej, kt贸re nast臋pnie pobiera艂y szkodliwy program). Szczeg贸艂owa analiza szkodliwego programu ujawni艂a kod ze zdolno艣ci膮 infekowania MBR-a oraz sektor贸w dysku twardego.

Po przedostaniu si臋 do atakowanej maszyny szkodliwy kod modyfikuje MBR, zapisuje cz臋艣膰 b臋d膮c膮 rootkitem na sektorze dysku, wypakowuje z siebie backdoora Windows, instaluje backdoora, a nast臋pnie usuwa si臋.


Podczas infekowania MBR-a instrukcje przekazuj膮 kontrol臋 do g艂贸wnej cz臋艣ci rootkita, kt贸ry jest umieszczony na kilku sektorach dysku twardego i nie jest reprezentowany jako pliki w systemie. Cz臋艣膰 ta monitoruje za艂adowany ju偶 system operacyjny Windows i podczas czytania ukrywa zainfekowany MBR oraz "brudne" sektory, przedstawiaj膮c w ich miejsce czyste. W tym celu przechwytuje i zast臋puje funkcje systemu.


Opr贸cz ukrywania swojej obecno艣ci w systemie szkodliwy kod instaluje backdoora w systemie Windows; backdoor kradnie dane u偶ytkownika, 艂膮cznie z danymi dotycz膮cymi r贸偶nych system贸w bankowo艣ci online.

Rekonstrukcja zdarze艅 na podstawie wykrytych wariant贸w rootkit贸w, analiza zainfekowanych stron oraz kodu szkodliwego programu pobieranego z tych stron pokaza艂a, 偶e od listopada 2007 r. nieznani autorzy przygotowywali si臋 do aktywowania swojego kodu na ca艂ym 艣wiecie. Kilka z pierwszych wariant贸w tego szkodliwego programu pochodzi z okresu mi臋dzy po艂ow膮 listopada a po艂ow膮 grudnia; s膮 to wersje alfa zawieraj膮ce powa偶ne b艂臋dy w kodzie wskazuj膮ce na to, 偶e autorzy szukali optymalnych wariant贸w.

Wypuszczony pod koniec grudnia kod by艂 do艣膰 skuteczny. Szkodliwy program 艂膮cz膮cy funkcje bootkita i backdoora zosta艂 sklasyfikowany przez nas jako Backdoor.Win32.Sinowal, jako 偶e wiele z funkcji tego backdoora, jak r贸wnie偶 metoda wykorzystywana do "za艣miecania" kodu by艂y identyczne z tymi znanymi nam z trojana Trojan-PSW.Win32.Sinowal.

Mimo coraz wi臋kszego wyrafinowania i wielu zaimplementowanych innowacji bootkit potrafi jedynie chroni膰 samego siebie - przez co plik backdoora jest podatny na wykrycie i usuni臋cie. To oznacza, 偶e za rozwojem bootkita i backdoora sta艂y r贸偶ne osoby, i wskazuje na to, 偶e bootkit zosta艂 stworzony przez Rosjan. Znane s膮 przypadki wsp贸艂pracy tw贸rc贸w wirus贸w. Jednak s膮dz膮c z rezultatu w tym przypadku mieli艣my do czynienia raczej z wojownikiem, kt贸ry po艣piesznie przywdzia艂 przekut膮 zbroj臋 kogo艣 innego, ta jednak okaza艂a si臋 bezu偶yteczna.

Mimo to wydaje si臋, 偶e bootkit jest samowystarczaln膮 platform膮 - czym艣, co mo偶na doda膰 do istniej膮cego szkodliwego programu w celu zabezpieczenia go i zamaskowania jego obecno艣ci w systemie. By膰 mo偶e w najbli偶szej przysz艂o艣ci pojawi膮 si臋 bootkity na sprzeda偶, przez co technologia ta b臋dzie dost臋pna dla tysi臋cy dzieciak贸w skryptowych. S膮dz膮c po tempie, w jakim wzrasta liczba szkodliwych program贸w, bootkit mo偶e sta膰 si臋 jednym z najbardziej rozpowszechnionych zagro偶e艅.

Ochrona przed bootkitami: problemy

Dlaczego ochrona przed bootkitami jest tak trudna? Problemy, jakie napotykamy tu, s膮 nast臋puj膮ce:

  1. Szkodliwy kod przejmuje kontrol臋 przed uruchamianiem systemu operacyjnego, a tym samym jest inicjowany jeszcze przed programem antywirusowym
  2. Z zainfekowanego systemu operacyjnego trudno jest wykry膰 przechwycenie funkcji
  3. Przywracanie przechwyconych funkcji mo偶e prowadzi膰 do za艂amania si臋 ca艂ego systemu operacyjnego
  4. Wyleczenie MBR-a mo偶liwe jest tylko pod warunkiem wykrycia oryginalnego MBR-a

Naturalnie najlepsz膮 ochron膮 jest w og贸le nie dopu艣ci膰 do zainfekowania systemu - w ko艅cu bootkit nie pojawia si臋 znik膮d. W jaki艣 spos贸b musi przedosta膰 si臋 do komputera. Niekt贸re programy antywirusowe potrafi膮 zapobiec infekcji nawet nieznanych wariant贸w szkodliwego oprogramowania. Jednak zawsze istnieje mo偶liwo艣膰, 偶e szkodnik mimo wszystko przeniknie przez tak膮 ochron臋. Powstaje wi臋c pytanie, w jaki spos贸b wyleczy膰 zainfekowan膮 ju偶 maszyn臋.

Istniej膮 dwie opcje - w systemie mo偶e by膰 ju偶 zainstalowany program antywirusowy (w takim przypadku powy偶sze cztery punkty dotycz膮 rozwi膮zania antywirusowego) lub nie jest wykorzystywane 偶adne oprogramowanie antywirusowe i nale偶y je zainstalowa膰. W drugim przypadku napotykamy dodatkowy problem zwi膮zany z tym, kt贸ry zosta艂 opisany w punkcie 1; szkodliwy kod mo偶e blokowa膰 pr贸by zainstalowania rozwi膮zania antywirusowego w zainfekowanym systemie.

Tw贸rcy wirus贸w przeanalizowali sposoby rozwi膮zywania przez firmy antywirusowe opisanych wy偶ej problem贸w i w lutym 2008 r. pojawi艂a si臋 nowa, ulepszona wersja bootkita. Wszystkie wcze艣niejsze metody zwalczania bootkit贸w okaza艂y si臋 bezu偶yteczne.

Jednocze艣nie bootkit zacz膮艂 rozprzestrzenia膰 si臋 na nowe sposoby. Na wielu europejskich stronach, zaatakowanych przez haker贸w, zosta艂y wykryte odsy艂acze do stron zawieraj膮cych exploity instaluj膮ce bootkita.

Jak dot膮d opr贸cz Sinowala nie wykryli艣my 偶adnego innego szkodliwego programu wyposa偶onego w bootkita. Obecnie mi臋dzy firmami antywirusowymi a tw贸rcami wirus贸w panuje sytuacja patowa, kt贸ra nast膮pi艂a po klasycznej sekwencji ataku i kontrataku. Nawet najnowsze warianty bootkita mog膮 by膰 zwalczane bez konieczno艣ci zaimplementowania w rozwi膮zaniach antywirusowych znacznych innowacji.

Jednak nie ma w膮tpliwo艣ci, 偶e wcze艣niej czy p贸藕niej tylko jedna metoda b臋dzie gwarantowa艂a wykrywanie i usuwanie takich szkodliwych program贸w. Jednak b臋dzie to wymaga艂o przej艣cia z ochrony za pomoc膮 oprogramowania na ochron臋 za pomoc膮 sprz臋tu.

Kluczowym pytaniem jest: co pierwsze przejmie kontrol臋 - je艣li b臋dzie to wirus, wtedy rozwi膮zanie antywirusowe stanie si臋 bezu偶yteczne.

Tak wi臋c wirusy po raz kolejny zacz臋艂y wykorzystywa膰 MBR. 10 lat temu rozwi膮zali艣my ten problem z pomoc膮 dysku rozruchowego wyposa偶onego w oprogramowanie antywirusowe. By膰 mo偶e nadchodzi czas powrotu nie tylko starych technologii wirusowych ale r贸wnie偶 starych technologii antywirusowych.

Robak Storm ci膮g dalszy

W po艂owie stycznia 2008 roku mieli艣my pierwsz膮 rocznic臋 pojawienia si臋 pierwszych pr贸bek robaka, znanego na ca艂ym 艣wiecie jako Zhelatin, Nuwar lub Storm Worm. Do tego czasu wirusologia komputerowa nie zna艂a przypadku tak szybko ewoluuj膮cego szkodliwego programu.

Zhelatin wykorzystywa艂 i rozwija艂 koncepcje zaimplementowane w robakach Bagle i Warezov. Szkodnik zapo偶yczy艂 swoj膮 struktur臋 modularn膮 od Bagle'a, a w cz臋sto wypuszczanych nowych wariantach wzorowa艂 si臋 na Warezovie. Podobnie jak Warezov w celu rozprzestrzeniania szkodliwego kodu zamiast masowo rozsy艂a膰 g艂贸wny komponent za po艣rednictwem poczty elektronicznej wykorzystywa艂 setki zainfekowanych stron, Skype'a i inne komunikatory internetowe. Opr贸cz tego wykorzystywa艂 socjotechnik臋, technologi臋 rootkit, kontrataki na firmy antywirusowe oraz zdecentralizowany botnet. W ci膮gu nieca艂ego roku, z powodu swojego niemal偶e mitycznego botnetu, Storm Worm sta艂 si臋 g艂贸wnym problemem bran偶y bezpiecze艅stwa informatycznego.

Dok艂adne rozmiary botnetu robaka Storm pozostaj膮 tajemnic膮. W 2007 roku pojawi艂y do艣膰 rozbie偶ne szacunki dotycz膮ce liczby zainfekowanych maszyn. Na przyk艂ad we wrze艣niu niekt贸rzy eksperci szacowali, 偶e botnet sk艂ada si臋 z 2 milion贸w maszyn; inni m贸wili o przedziale od 250 000 do jednego miliona, wed艂ug trzeciej grupy, botnet sk艂ada艂 si臋 z 150 000 maszyn. Byli r贸wnie偶 tacy kt贸rzy, szacowali, 偶e botnet sk艂ada si臋 z 50 milion贸w zainfekowanych komputer贸w! Nie trudno domy艣li膰 si臋, sk膮d tak du偶a rozbie偶no艣膰 - z powodu zdecentralizowanej natury tego botnetu nie jest mo偶liwe okre艣lenie dok艂adnej liczby maszyn zombie. Szacunki mog膮 by膰 oparte jedynie na niebezpo艣rednich wska藕nikach, kt贸re naturalnie s膮 dyskusyjne.

Niezale偶nie od jego rozmiar贸w nie ulega w膮tpliwo艣ci, 偶e botnet Storm istnia艂. By艂 jednak nieaktywny. Nie wykryto "klasycznej" aktywno艣ci botnetu; nie by艂 wykorzystywany do masowej wysy艂ki lub do przeprowadzania atak贸w DDoS (co nie wyklucza, 偶e botnet zosta艂 stworzony przez cyberprzest臋pc臋 w celach przest臋pczych). Wygl膮da艂o na to, 偶e botnet nie wykonywa艂 偶adnej funkcji poza rozprzestrzenianiem robaka Storm (dokonywa艂 tego rozsy艂aj膮c nowe wiadomo艣ci zawieraj膮ce odsy艂acze do zainfekowanych stron, a nast臋pnie umieszczaj膮c modu艂y na zainfekowanych maszynach, kt贸re nast臋pnie by艂y pobierane na nowe komputery). Nie by艂o jasne, w jakim celu stworzono botnet: czy偶by sztuka dla sztuki? Co艣 takiego jednak si臋 nie zdarza - stworzenie i utrzymanie botnet贸w wymaga zbyt wielu zasob贸w.

Oko艂o pa藕dziernika 2007 roku cz臋stotliwo艣膰 masowych wysy艂ek przeprowadzanych przez Zhelatina zacz臋艂a zmniejsza膰 si臋. Eksperci, kt贸rzy wcze艣niej m贸wili o milionach zainfekowanych maszyn, zacz臋li teraz szacowa膰 rozmiar botnetu na 150 000 - 200 000 komputer贸w. Podejrzewano, 偶e botnet mia艂 by膰 sprzedany w cz臋艣ciach. Mniej wi臋cej w tym samym czasie wykryto pierwsze masowe wysy艂ki spamu z komputer贸w zainfekowanych robakiem Storm. Nie mo偶na by艂o jednak jednoznacznie stwierdzi膰, 偶e spam by艂 rozsy艂any za po艣rednictwem botnetu, a nie innych szkodliwych program贸w, kt贸re mog艂y znajdowa膰 si臋 na zaatakowanych maszynach.

Koniec 2007 roku i pierwsze miesi膮ce 2008 roku da艂y odpowied藕 na pytanie, co dzia艂o si臋 z robakiem Storm.

Robak ten wyp艂yn膮艂 na nowo w 艣wi臋ta Bo偶ego Narodzenia. Botnet zacz膮艂 rozsy艂a膰 miliony wiadomo艣ci o takich tytu艂ach, jak: "Find Some Christmas Tail", "Warm up this Christmas" oraz "Mrs. Clause Is Out Tonight!". Celem tych wiadomo艣ci by艂o zwabienie u偶ytkownika na stron臋 merrychristmasdude.com zawieraj膮c膮 exploity, kt贸re przeprowadza艂y ataki drive-by download zapewniaj膮ce przedostanie si臋 robaka Storm na atakowane maszyny. Merrychristmasdude.com nie by艂a pojedyncz膮 stron膮 internetow膮, kt贸rej zamkni臋cie mog艂o zatrzyma膰 infekcj臋. Zhelatin stosowa艂 fast-flux, technik臋 zmieniania adres贸w DNS, kt贸ra polega na nieustannej zmianie lokalizacji strony, kt贸ra mo偶e mie艣ci膰 si臋 na jednym z ponad tysi膮ca specjalnie przygotowanych komputer贸w.

Podobne ataki trwa艂y przez kilka nast臋pnych dni, a偶 do 15 stycznia. Jednak niespodziewanie wydarzy艂o si臋 co艣 dziwnego. Na skutek 偶artu lub b艂臋du autor贸w szkodliwych program贸w botnet zacz膮艂 rozsy艂a膰 wiadomo艣ci zawieraj膮ce kartki walentynkowe, mimo 偶e 14 lutego by艂 dopiero za miesi膮c.


Wiadomo艣ci spamowe opatrzone by艂y takimi tytu艂ami jak: "Sent with Love", "Our Love is Strong", "Your Love Has Opened" itp. Naturalnie kierowa艂y u偶ytkownika na aktualnie wykorzystywan膮 stron臋 fast-flux.

Styczniowe masowe wysy艂ki zosta艂y przeprowadzone na wi臋ksz膮 skal臋 i by艂y bardziej natr臋tne ni偶 te z drugiej po艂owy 2007 r. By艂y to r贸wnie偶 najwi臋ksze masowe wysy艂ki, jakie przeprowadzono w pierwszym kwartale 2008 roku. Autorzy Zhelatina wymierzyli seri臋 cios贸w, aby przywr贸ci膰 botnet do jego pierwotnego rozmiaru lub nawet powi臋kszy膰 go. Komputery zainfekowane Zhelatinem zacz臋艂y by膰 wykorzystywane do przeprowadzania atak贸w DoS. MessageLabs zacz膮艂 szacowa膰, 偶e z pomoc膮 botnetu robaka Storm rozes艂ane zosta艂o prawie 20% kr膮偶膮cego spamu.

Mniej wi臋cej w tym samym czasie Fortinet stwierdzi艂, 偶e botnet wykorzystywany by艂 do przeprowadzania atak贸w na banki Barclays i Halifax. Je偶eli tak by艂o w rzeczywisto艣ci, by艂by to pierwszy przypadek wykorzystania botnetu robaka Storm do klasycznych cel贸w cyberprzest臋pczych.

Jednocze艣nie wraz ze wzrostem aktywno艣ci robaka Storm m贸wi艂o si臋 o konieczno艣ci schwytania i ukarania jego autor贸w. Jednak eksperci nie mogli zgodzi膰 si臋 nawet co do narodowo艣ci os贸b odpowiedzialnych za stworzenie tego robaka.

Obecnie dominuj膮 dwa punkty widzenia. Dmitry Alperovitch z Secure Computing uwa偶a, 偶e botnet stworzy艂 Rosjanin. Alperovitch wykaza艂 podobie艅stwa mi臋dzy nies艂awn膮 organizacj膮 Russian Business Network (RBN) a autorami exploit贸w Mpack. Wielu ekspert贸w popiera pogl膮d o rosyjskim pochodzeniu robaka.

Inni uwa偶ali, 偶e robak Storm zosta艂 stworzony przez Amerykan贸w. Za argumentem tym przemawia fakt, 偶e podczas stosowania socjotechniki jego autorzy wykazali si臋 podejrzanie dobr膮 znajomo艣ci膮 ameryka艅skiego stylu 偶ycia i psychologii. W masowych wysy艂kach odwo艂ywano si臋 do konkretnych incydent贸w i zdarze艅, szczeg贸lnie wa偶nych dla Amerykan贸w. Zdarzenia te mog艂y by膰 zupe艂nie obce dla tw贸rc贸w wirus贸w z innych pa艅stw, w szczeg贸lno艣ci dla Rosjan.

Nie posiadamy informacji na poparcie 偶adnego z tych punkt贸w widzenia. Wed艂ug najwi臋kszego prawdopodobie艅stwa, za aktywno艣ci膮 t膮 stoi mi臋dzynarodowa grupa posiadaj膮ca wyra藕ny podzia艂 obowi膮zk贸w. Kto艣 tworzy robaka; kto艣 inny jest odpowiedzialny za masowe wysy艂ki; jeszcze inna osoba umieszcza robaka na zainfekowanych stronach; kolejna w艂amuje si臋 na strony; jeszcze inna rozprzestrzenia szkodliwy program za po艣rednictwem komunikator贸w internetowych, nast臋pna zajmuje si臋 tworzeniem exploit贸w.

Rozpowszechnienie robaka Storm oraz wykorzystywane wektory atak贸w s膮 zbyt szerokie, aby by艂 on dzie艂em jednej, dw贸ch lub nawet trzech os贸b. Je偶eli nasze przypuszczenia s膮 s艂uszne, robak Storm to podr臋cznikowy przyk艂ad wsp贸艂czesnej cyberprzest臋pczo艣ci wraz z jej mi臋dzynarodowym podzia艂em pracy. Wci膮偶 jednak nie wiemy, w jaki spos贸b cyberprzest臋pcy zarabiaj膮 na nim pieni膮dze.

Gdy wci膮偶 poszukiwali艣my odpowiedzi na pytania, jakie pojawi艂y si臋 w zwi膮zku z robakiem Storm, pod koniec marca jego autorzy rozes艂ali ostatni膮 fal臋 wiadomo艣ci. Okazj膮 by艂 1 kwietnia, dzie艅 znany w ca艂ych Stanach Zjednoczonych, Europie i Rosji jako Prima Aprilis.

Pozostaje pytanie: kto b臋dzie 艣mia艂 si臋 ostatni?


TrojanGet

Przypadki rozprzestrzeniania infekcji przez legalne programy i firmy antywirusowe, cho膰 stosunkowo rzadkie, zdarzaj膮 si臋 jednak w 艣wiecie bezpiecze艅stwa informatycznego. Obejmuj膮 one ro偶ne przypadki - od zainfekowanych pakiet贸w instalacyjnych po zainfekowane dokumenty rozsy艂ane klientom i partnerom.

Ka偶dy taki incydent ma powa偶ny wp艂yw na reputacj臋 firmy antywirusowej lub firmy, kt贸ra zosta艂a dotkni臋ta takim incydentem. Wp艂ywa na u偶ytkownik贸w, kt贸rzy przestrzegaj膮 podstawowych regu艂 bezpiecze艅stwa komputerowego i stwarza problemy firmom antywirusowym, kt贸re traktuj膮 legalne oprogramowanie oraz 藕r贸d艂a, z jakich pochodzi, jako godne zaufania.

Pierwszy kwarta艂 2008 roku przyni贸s艂 najnowszy przypadek tego rodzaju.

Na pocz膮tku marca analitycy z firmy Kaspersky Lab otrzymali wiadomo艣ci od u偶ytkownik贸w, w kt贸rych informowali firm臋, 偶e katalog popularnego klienta FlashGet zawiera艂 trojana. Analiza pokaza艂a, 偶e problem ten dotkn膮艂 u偶ytkownik贸w z ca艂ego 艣wiata. Do symptom贸w infekcji nale偶a艂o pojawienie si臋 w systemie plik贸w o nazwie inapp4.exe, inapp5.exe oraz inapp6.exe. Kaspersky Anti-Virus wykrywa艂 te pliki jako Trojan-Dropper.Win32.Agent.exo, Trojan-Dropper.Win32.Agent.ezo oraz Trojan-Downloader.Win32.Agent.kht.

Sytuacja by艂a dziwna: nie wykryto 偶adnego innego trojana, kt贸ry m贸g艂 umie艣ci膰 tego trojana w systemie. Niekt贸re z ofiar posiada艂y w pe艂ni za艂atane systemy operacyjne i przegl膮darki. Zatem w jaki spos贸b szkodniki te zdo艂a艂y przenikn膮膰 do zainfekowanych maszyn?

Nasz膮 uwag臋 przyku艂a lokalizacja trojan贸w - w katalogu FlashGet. Szybko okaza艂o si臋, 偶e opr贸cz obecno艣ci plik贸w trojana niedawno stworzono i zmodyfikowano plik FGUpdate3.ini (niebieski tekst pokazuje r贸偶nice w stosunku do pierwotnego pliku):

[Add]
fgres1.ini=1.0.0.1035
FlashGet_LOGO.gif=1.0.0.1020
inapp4.exe=1.0.0.1031
[AddEx]
[fgres1.ini]
url=http://dl.flashget.com/flashget/fgres1.cab
flag=16
path=%product%
[FlashGet_LOGO.gif]
url=http://dl.flashget.com/flashget/FlashGet_LOGO.cab
flag=16
path=%product%
[inapp4.exe]
url=http://dl.flashget.com/flashget/appA.cab
flag=2
path=%product%

Odsy艂acz do inapp4.exe (pliku trojana) prowadzi艂 do prawdziwej strony FlashGet: trojan pobiera艂 z tej strony plik o nazwie appA.cab.

Nie pojawi艂y si臋 偶adne informacje na temat incydentu na stronie FlashGet. Wystarczy艂o jednak spojrze膰 na forum, aby znale藕膰 wiele wpis贸w na temat infekcji oraz o tym, 偶e autorzy milczeli na ten temat.

Z informacji znalezionych w Internecie wynika艂o, 偶e pierwsze przypadki infekcji zosta艂y wykryte ju偶 29 lutego. Najnowsza infekcja, o jakiej wiedzieli艣my w tym czasie, mia艂a miejsce 9 marca. Przez 10 dni legalny program dzia艂a艂 jak trojan downloader instaluj膮c i uruchamiaj膮c na atakowanych maszynach trojany umieszczone na stronie autor贸w.

Mog艂o wydawa膰 si臋, 偶e incydent znalaz艂 sw贸j koniec - gdy publikowali艣my o nim informacje, trojan zosta艂 ju偶 usuni臋ty ze strony, a plik FGUpdate3.ini (kt贸ry r贸wnie偶 jest pobierany z Internetu) przywr贸cony do pierwotnego stanu. Jednak w ci膮gu nieca艂ych dw贸ch tygodni, 22 marca Steve Bass, redaktor popularnego magazynu PC World, wykry艂 w swoim katalogu FlashGet trojana o nazwie Trojan-Downloader.Win32.Agent.kht. Wygl膮da艂o to na powt贸rk臋 z historii - szkodliwy kod rozprzestrzeniany by艂 zar贸wno ze strony FlashGet, jak i przez sam program.

FlashGet m贸g艂 zosta膰 zmieniony w trojana downloadera na jeden z dw贸ch sposob贸w.

Pierwszy jest najbardziej oczywisty - kto艣 w艂ama艂 si臋 na stron臋. W rezultacie szkodliwy u偶ytkownik m贸g艂 zast膮pi膰 standardowy plik konfiguracyjny plikiem, kt贸ry prowadzi艂 do trojana umieszczonego na tej stronie. Nie wiemy, dlaczego hakerzy nie wykorzystali innej strony - by膰 mo偶e uznali, 偶e najlepszym ukryciem b臋dzie umieszczenie na widoku (np. odsy艂acz do pliku FlashGet w pliku konfiguracyjnym nie wzbudzi艂by podejrze艅).

Postanowili艣my sprawdzi膰, czy za pomoc膮 tego triku mo偶na pobra膰 inne pliki z innych stron. Okaza艂o si臋, 偶e tak. Wystarczy tylko doda膰 odsy艂acz do pliku FGUpdate3.ini. Odsy艂acz mo偶e prowadzi膰 do czegokolwiek - po ka偶dym uruchomieniu FlashGeta zostanie to automatycznie pobrane i uruchomione na komputerze. Nawet je艣li nie wci艣niesz "Od艣wie偶", FlashGet wykorzysta informacje z pliku .ini.

"Luka" ta dotyczy wszystkich wersji mened偶era FlashGet 1.9.xx. To oznacza, 偶e chocia偶 strona FlashGeta zosta艂a przywr贸cona do stanu sprzed w艂amania si臋 haker贸w, nadal istnieje luka w systemie u偶ytkownika. Trojan potrafi modyfikowa膰 lokalny plik .ini FlashGet, przez co dzia艂a jak trojan downloader. To w艂a艣nie druga ze wspomnianych metod.

Nie trzeba chyba podkre艣la膰, 偶e FlashGet jest zwykle traktowany jako aplikacja zaufana i ka偶da aktywno艣膰 sieciowa wygenerowana przez ten program jest uwa偶ana za legaln膮.

Do tej pory nie by艂o 偶adnej oficjalnej reakcji ze strony chi艅skiej firmy, kt贸ra tworzy program FlashGet. Prawdziwa przyczyna incydentu pozostaje nieznana, nie ma r贸wnie偶 gwarancji, 偶e sytuacja nie powt贸rzy si臋.

Firmy antywirusowe, kt贸re same mog膮 zdecydowa膰, czy FlashGet jest potencjalnie szkodliwy, zacz臋艂y klasyfikowa膰 go jako riskware. I mia艂y po temu wiele powod贸w.

Kilka towarzyskich robak贸w

W naszym rocznym raporcie pisali艣my o zagro偶eniu, jakie stanowi膮 portale spo艂eczno艣ciowe. Przewidywali艣my wtedy, 偶e w 2008 roku portale spo艂eczno艣ciowe stan膮 si臋 g艂贸wnym celem atak贸w phishingowych. Wzro艣nie zapotrzebowanie szkodliwych u偶ytkownik贸w na dane dotycz膮ce kont w takich serwisach jak Facebook, MySpace, LiveJournal, Blogger i innych. B臋dzie to niebezpieczna alternatywa umieszczania szkodliwych program贸w na zhakowanych stronach. W 2008 roku wiele trojan贸w b臋dzie rozprzestrzenia艂o si臋 za po艣rednictwem kont u偶ytkownik贸w na serwisach spo艂eczno艣ciowych, na ich blogach i profilach.

W lutym 2008 roku przewidywania te spe艂ni艂y si臋 ca艂kowicie. Po raz kolejny zaatakowany zosta艂 Orkut, popularny portal spo艂eczno艣ciowy nale偶膮cy do Google.

Orkut jest niezwykle popularny w wielu pa艅stwach na ca艂ym 艣wiecie, zw艂aszcza w Brazylii i Indiach. Wed艂ug danych dostarczonych przez Alexa.com, 67% zapyta艅 do Orkuta pochodzi z Brazylii, a ponad 15% z Indii.

Przez ostatnie kilka lat Brazylia uwa偶ana by艂a za jedno z najbardziej zawirusowanych pa艅stw na 艣wiecie. Brazylijscy tw贸rcy wirus贸w znani s膮 z tysi臋cy r贸偶nych trojan贸w, jakie stworzyli w celu kradzie偶y danych u偶ytkownika dotycz膮cych kont bankowych. Rodziny Bancon, Banpaes i Banload prawie w 100% sk艂adaj膮 si臋 z trojan贸w rozwini臋tych w Ameryce Po艂udniowej.

Bankowo艣膰 online jest niezwykle popularna w Brazylii. Podobnie jak Orkut. Ponadto w Brazylii jest wielu tw贸rc贸w wirus贸w. Te trzy czynniki w po艂膮czeniu daj膮 nast臋puj膮cy rezultat: pojawienie si臋 robaka, kt贸ry rozprzestrzenia si臋 za po艣rednictwem Orkuta i kradnie dane dotycz膮ce kont w systemach bankowo艣ci online.

Z wszystkich portali spo艂eczno艣ciowych Orkut posiada najd艂u偶sz膮 list臋 szkodliwych program贸w, kt贸re go atakuj膮. W 2006 i 2007 roku portal ten pad艂 ofiar膮 epidemii wirus贸w, a w latach 2005-2007 wykrywano w nim wiele luk w zabezpieczeniach i by艂 celem atak贸w haker贸w. Ostatnim nag艂o艣nionym incydentem by艂o pojawienie si臋 w grudniu 2007 r. robaka skryptowego, kt贸ry zainfekowa艂 ponad 700 000 u偶ytkownik贸w.

Zaledwie dwa miesi膮ce p贸藕niej, w lutym 2008 roku wybuch艂a nowa epidemia. Tym razem hakerzy nie zadawali sobie trudu szukaniem czy wykorzystywaniem luk XSS na portalu Orkut. Nowy robak dzia艂a艂 wed艂ug stosunkowo prostych zasad:

  1. U偶ytkownik otrzymuje wiadomo艣膰 od jednego ze swoich kontakt贸w. Wiadomo艣膰 zawiera zdj臋cie pornograficzne w formacie flash movie.
  2. Po klikni臋ciu tego zdj臋cia zostanie przekierowany na zainfekowan膮 stron臋.
  3. U偶ytkownik jest pytany, czy chce zainstalowa膰 aplikacj臋 do odtwarzania format贸w Flash, kt贸ra w rzeczywisto艣ci jest trojanem.
  4. Po tym, jak trojan zostanie pobrany i uruchomiony, b臋dzie pobiera艂 inne komponenty trojana na zaatakowany komputer za po艣rednictwem Internetu.
  5. Konto u偶ytkownika jest nast臋pnie wykorzystywane do tworzenia nowych wiadomo艣ci, zgodnie z punktem 1.
  6. Szkodliwy modu艂 艣ledzi wykorzystywanie przez u偶ytkownika portalu Orkut.
  7. Inne modu艂y przechwytuj膮 dane, kt贸re u偶ytkownik wprowadza z klawiatury podczas korzystania z brazylijskich system贸w bankowo艣ci online.

Nie jest mo偶liwe okre艣lenie dok艂adnej liczby ofiar, jednak nasi koledzy z Symanteca szacuj膮, 偶e ucierpia艂o co najmniej 13 000 u偶ytkownik贸w.

Incydent ten po raz kolejny pokazuje, jak bardzo podatni na ataki mog膮 by膰 u偶ytkownicy portali spo艂eczno艣ciowych. Czynniki, kt贸re sprawiaj膮, 偶e serwisy Web 2.0 s膮 popularne zar贸wno w艣r贸d u偶ytkownik贸w, jak i haker贸w, zosta艂y wymienione poni偶ej:

  1. Migracja danych u偶ytkownika z komputera PC do Internetu
  2. Mo偶liwo艣膰 uzyskania dost臋pu do wielu r贸偶nych serwis贸w z jednego konta
  3. Szczeg贸艂owe informacje o u偶ytkowniku
  4. Informacje o kontaktach i znajomych u偶ytkownika
  5. Miejsce, w kt贸rym mo偶na opublikowa膰 dowoln膮 tre艣膰
  6. Zaufanie mi臋dzy kontaktami

Problem ju偶 teraz jest do艣膰 powa偶ny i wiele wskazuje na to, 偶e b臋dzie stanowi艂 realne zagro偶enie dla bezpiecze艅stwa informatycznego. W niedalekiej przysz艂o艣ci opublikujemy artyku艂 po艣wi臋cony temu tematowi.

Wie艣ci mobilne

W pierwszym kwartale 2008 roku 艣wiat mobilnej wirusologii obfitowa艂 w wiele wydarze艅. Obserwowali艣my nie tylko dalszy rozw贸j technologii, ale r贸wnie偶 wzrost liczby os贸b zaanga偶owanych na tym polu: zar贸wno tw贸rc贸w wirus贸w, jak i firm antywirusowych. Innowacje w zakresie szkodliwego kodu roz艂o偶y艂y si臋 mniej wi臋cej r贸wnomiernie na cztery cele: Symbiana, Windows Mobile'a, J2ME oraz iPhone'a.

Symbian

Symbian zosta艂 zaatakowany przez najnowszego robaka z ca艂kowicie nowej rodziny. Do tego momentu istnia艂y dwa typy zagro偶e艅: Cabir, kt贸ry rozprzestrzenia艂 si臋 za po艣rednictwem Bluetootha, oraz ComWar, kt贸ry wykorzystywa艂 do tego celu MMS-y. Naturalnie istnia艂o kilka wariant贸w obu tych robak贸w.

Pod koniec grudnia do naszych antywirusowych baz danych dodali艣my program, kt贸ry na pierwszy rzut oka zdawa艂 si臋 by膰 nowym klonem ComWara: ComWar.y. Jednak pojawienie si臋 tego programu w styczniu w ruchu jednego z najwi臋kszych operator贸w kom贸rkowych sk艂oni艂o nas do dok艂adniejszego przyjrzenia si臋 tej nowej pr贸bce.

Analiza przeprowadzona przez jednego z naszych partner贸w, fi艅sk膮 firm臋 F-Secure, pokaza艂a, 偶e w rzeczywisto艣ci szkodnik ten nale偶a艂 do zupe艂nie nowej rodziny, kt贸ra nie mia艂a nic wsp贸lnego z ComWarem.

Robak ten, sklasyfikowany jako Worm.SymbOS.Beselo.a (Beselo.b zostal wykryty nied艂ugo po nim) dzia艂a w bardzo podobny spos贸b do ComWara, stosuj膮c typowe dla tego rodzaju robak贸w podej艣cie. Rozprzestrzenia si臋 poprzez wysy艂anie zainfekowanych plik贸w SIS za po艣rednictwem MMS-贸w oraz Bluetootha. Po uruchomieniu na atakowanym urz膮dzeniu robak zaczyna wysy艂a膰 swoje kopie do kontakt贸w znajduj膮cych si臋 w telefonie, jak r贸wnie偶 do wszystkich dost臋pnych urz膮dze艅 z komunikacj膮 Bluetooth, kt贸re znalaz艂y si臋 w zasi臋gu.

Co w tym nowego? Fakt, 偶e istnieje nowa, aktywna rodzina robak贸w dla urz膮dze艅 mobilnych (co wskazuje na istnienie aktywnych tw贸rc贸w wirus贸w) oraz wyst臋powanie tego robaka na wolno艣ci. Nowe warianty Beselo mog艂y spowodowa膰 powa偶ne lokalne epidemie - co艣 podobnego mia艂o miejsce wiosn膮 zesz艂ego roku, gdy ofiar膮 hiszpa艅skiej modyfikacji robaka ComWar pad艂o 115 000 u偶ytkownik贸w smartfon贸w.

Windows Mobile

Na wzmiank臋 zas艂uguje r贸wnie偶 pojawienie si臋 nowego szkodliwego programu dla systemu Windows Mobile, kt贸ry do tej pory nie stanowi艂 g艂贸wnego celu szkodliwych u偶ytkownik贸w. Jednak InfoJack, trojan, kt贸ry zosta艂 wykryty pod koniec lutego, jest interesuj膮cy z nast臋puj膮cych powod贸w:

InfoJack.a

  1. atakuje system Windows Mobile
  2. zosta艂 wykryty na wolno艣ci
  3. rozprzestrzenia si臋 w Chinach
  4. kradnie dane

Jest to pierwszy szkodliwy kod atakuj膮cy system Windows Mobile, kt贸ry zosta艂 wykryty na wolno艣ci i spowodowa艂 znaczn膮 liczb臋 infekcji. Kod rozprzestrzenia艂 si臋 z chi艅skiej strony zawieraj膮cej szeroki wachlarz legalnego oprogramowania. Trojan ten zosta艂 dodany do plik贸w instalacyjnych produkt贸w mobilnych, takich jak Google Maps i klienty gier. W艂a艣ciciel strony, z kt贸rej rozprzestrzenia艂 si臋 trojan, o艣wiadczy艂, 偶e nie chcia艂 zrobi膰 niczego nielegalnego, zbiera艂 jedynie informacje o u偶ytkownikach strony w celu usprawnienia serwisu oraz analizy rynku mobilnych aplikacji.

Po przedostaniu si臋 do systemu trojan pr贸buje wy艂膮czy膰 mechanizm ochrony uniemo偶liwiaj膮cy instalacj臋 aplikacji, kt贸re nie posiadaj膮 podpisu cyfrowego tw贸rcy. Gdy zainfekowany smartfon zostanie pod艂膮czony do Internetu, InfoJack zaczyna wysy艂a膰 poufne informacje z urz膮dzenia na stron臋 trojana. Informacje te obejmuj膮 numer seryjny urz膮dzenia, informacje o systemie operacyjnym i zainstalowanych aplikacjach. Trojan mo偶e r贸wnie偶 bez wiedzy u偶ytkownika pobiera膰 na telefon dodatkowe pliki i uruchomi膰 je - mo偶e to zrobi膰, poniewa偶 ochrona przed uruchomieniem niepodpisanych aplikacji zosta艂a wy艂膮czona.

Kilka dni p贸藕niej aktywno艣膰 tej strony zosta艂a wstrzymana prawdopodobnie w zwi膮zku z dochodzeniem prowadzonym przez chi艅sk膮 policj臋.

Pisali艣my ju偶, co si臋 mo偶e zdarzy膰, gdy tw贸rcy wirus贸w zainteresuj膮 si臋 popularnymi serwisami (np. ataki na portal Orkut w Brazylii). Chiny bez w膮tpienia s膮 艣wiatowym liderem pod wzgl臋dem tworzenia szkodliwego kodu; obecnie ponad 50% wszystkich nowych szkodliwych program贸w w naszych antywirusowych bazach danych powsta艂o w Chinach. Do tej pory chi艅scy hakerzy atakowali u偶ytkownik贸w gier online wykorzystuj膮cych komputery osobiste. Jednak przypadek InfoJacka pokazuje, 偶e mo偶liwe jest zorganizowanie masowej epidemii i stworzenie mobilnych wirus贸w.

Chiny by艂y pierwszym krajem, kt贸ry zaatakowa艂 trojan dla systemu Windows Mobile. Ca艂kiem mo偶liwe, 偶e autor InfoJacka nie chcia艂 zrobi膰 niczego nielegalnego. Teraz jednak, gdy fundament zosta艂 ju偶 po艂o偶ony, tysi膮ce chi艅skich haker贸w, kt贸rzy tworz膮 wirusy dla komputer贸w osobistych, mo偶e go wykorzystywa膰.

J2ME

W pierwszym kwartale 2008 roku trojany dla J2ME (kt贸re dzia艂aj膮 na prawie ka偶dym wsp贸艂czesnym urz膮dzeniu mobilnym, nie tylko na smartfonach) zacz臋艂y pojawia膰 si臋 z przera偶aj膮c膮 regularno艣ci膮. W styczniu wykryli艣my Smarm.b, nast臋pnie Smarm.c oraz Swapi.a, a w marcu SMSFree.d.

Wszystkie te trojany zosta艂y wykryte w Rosji i stosuj膮 t臋 sam膮 metod臋 zarabiania pieni臋dzy na u偶ytkownikach: wysy艂anie wiadomo艣ci SMS na numery o podwy偶szonych op艂atach. (Dochodzenie w sprawie podobnego trojana wysy艂aj膮cego SMS-y, Vivera, kt贸re przeprowadzili艣my w zesz艂ym roku, pokaza艂o, 偶e w ci膮gu trzech dni autor trojana zdo艂a艂 zarobi膰 oko艂o 500 dolar贸w). Mimo wszystkich tych incydent贸w rosyjscy dostawcy zawarto艣ci mobilnej nadal zachowuj膮 anonimowo艣膰 os贸b, kt贸re rejestruj膮 numery o podwy偶szonej op艂acie. W ten spos贸b tw贸rc贸w wirus贸w trudno jest postawi膰 przed s膮dem: pojawienie si臋 nowych wariant贸w szkodliwych program贸w oraz brak informacji o aresztowaniach wyra藕nie potwierdza to.

Opr贸cz trojan贸w dla J2ME, o kt贸rych pisali艣my wcze艣niej, istniej膮 jeszcze inne dwa szkodliwe programy, kt贸re wysy艂aj膮 wiadomo艣膰 SMS, za kt贸r膮 pobierana jest op艂ata. Flocker.d i Flocker.e, kt贸re zosta艂y napisane w j臋zyku Python i mia艂y na celu atakowanie smartfon贸w, zosta艂y wykryte w styczniu 2008 roku.

Szkodniki te wykorzystuj膮 t臋 sam膮 metod臋 propagacji co InfoJack: rozprzestrzeniaj膮 si臋 za po艣rednictwem popularnych stron oferuj膮cych oprogramowanie dla telefon贸w kom贸rkowych. Trojany te wyst臋puj膮 w przebraniu legalnych narz臋dzi lub s膮 zintegrowane z innymi produktami.

iPhone

Sekcj臋 dotycz膮c膮 mobilnych zagro偶e艅 zako艅czymy informacjami dotycz膮cymi d艂ugo oczekiwanego wydarzenia: opublikowaniem w marcu SDK dla iPhone'a.

S膮dzili艣my, 偶e udost臋pnienie SDK spowoduje pojawienie si臋 licznych szkodliwych program贸w dla iPhone'a. Jednak mo偶liwo艣ci, jakie zapewnia otwarte SDK Apple'a, s膮 bardzo ograniczone.

Apple poszed艂 艣ladem Symbiana: model tworzenia i dystrybucji program贸w dla iPhone'a opiera si臋 na koncepcji "podpisanych" aplikacji. G艂贸wne ograniczenia zosta艂y okre艣lone w umowie korzystania z SDK dla iPhone'a: "呕aden interpretowany kod nie mo偶e by膰 pobrany i wykorzystany w aplikacji z wyj膮tkiem kodu, kt贸ry jest interpretowany i uruchamiany przez API opublikowane przez firm臋 Apple oraz wbudowany do programu interpretuj膮cego. Aplikacja nie mo偶e sama instalowa膰 ani uruchamia膰 innego kodu wykonywalnego w 偶aden spos贸b, w艂膮czaj膮c bez ogranicze艅 wykorzystywanie architektury wtyczki, wywo艂ywanie innych struktur, innych ni偶 API".

Ograniczenia te nie tylko utrudniaj膮 偶ycie tw贸rc贸w wirus贸w, ale r贸wnie偶 skutecznie wykluczaj膮 takie aplikacje jak Firefox, Opera i wiele gier, klient贸w IM oraz wiele innych u偶ytecznych program贸w: aplikacji, kt贸re mog膮 sta膰 si臋 niezwykle popularne w艣r贸d u偶ytkownik贸w iPhone'a i kt贸re mog膮 rozszerzy膰 mo偶liwo艣ci urz膮dzenia.

Przez cztery dni od momentu opublikowania SDK pobrano ponad 100 000 razy. Wygl膮da na to, 偶e tak du偶a liczba potencjalnych konstruktor贸w powinna doprowadzi膰 do wzrostu liczby nowych aplikacji stworzonych przy pomocy SDK. Tak si臋 jednak nie dzieje.

W sensie formalnym Apple spe艂ni艂 swoj膮 obietnic臋, udost臋pniaj膮c SDK. Na razie jednak nie jest jasne, w jaki spos贸b krok ten wp艂ynie nawet na rozw贸j legalnego oprogramowania dla telefon贸w. Ograniczenia s膮 zbyt du偶e i zbyt wiele funkcji w SDK pozostaje niedost臋pnych.

Drugim powa偶nym ograniczeniem jest to, 偶e aplikacje stworzone przy u偶yciu SDK, mog膮 by膰 dystrybuowane tylko za po艣rednictwem sklepu internetowego firmy Apple. Tworzy to du偶o dodatkowych barier, pocz膮wszy od liczby uprawnionych "producent贸w" (tw贸rc贸w), sko艅czywszy na ograniczeniach geograficznych (tylko osoby za Stan贸w Zjednoczonych mog膮 uczestniczy膰).

Jest oczywiste, 偶e w tych warunkach nie b臋dzie mo偶liwe uruchomienie produktu antywirusowego dla iPhone'a - nie z powod贸w technicznych, ale z powodu problem贸w opisywanych poni偶ej.

Szacuje si臋, 偶e 45% - 50% wszystkich sprzedanych urz膮dze艅 zosta艂o "odblokowanych". Wszystkie te urz膮dzenia mog膮 zosta膰 zainfekowane przez dowolny szkodliwy program dla iPhone'a podczas pobierania przez u偶ytkownika plik贸w z wielu r贸偶nych nieoficjalnych 藕r贸de艂. W 偶aden spos贸b nie mo偶na tego kontrolowa膰: u偶ytkownicy zmodyfikowanych telefon贸w nie s膮 uprawnieni do oficjalnej pomocy technicznej, dlatego nie b臋dziemy mogli zapewni膰 im 偶adnej ochrony antywirusowej.

W najbli偶szej przysz艂o艣ci liczba os贸b wykorzystuj膮cych iPhone'y prawdopodobnie zr贸wna si臋 z liczb膮 u偶ytkownik贸w smartfon贸w z systemem Symbian w 2004 roku - czyli wtedy, gdy pojawi艂 si臋 Cabir.

Wnioski

Wydarzenia z pierwszych trzech miesi臋cy 2008 roku pokazuj膮, 偶e okres technicznej stagnacji w krajobrazie zagro偶e艅 dobiega ko艅ca.

W zesz艂ym roku opisywali艣my mechanizm typu przeno艣nik ta艣mowy: proces, w kt贸rym generowane s膮 liczne prymitywne programy na艣ladowcze, w kt贸rych nie s膮 implementowane nowe technologie wirusowe. Zjawisko to mo偶na wyja艣ni膰 w nast臋puj膮cy spos贸b: tw贸rcy wirus贸w woleli stosowa膰 wypr贸bowane metody, poniewa偶 w tym czasie nawet stare i dobrze znane podej艣cia mog艂y przynie艣膰 zyski, je偶eli zosta艂y zastosowane na skal臋 przemys艂ow膮.

Nast膮pi艂a jednak znacz膮ca zmiana kierunku, widoczna przede wszystkim w pojawieniu si臋 pierwszej szkodliwej implementacji bootkita. Opr贸cz tego coraz cz臋艣ciej wykorzystywane s膮 metody infekcji plik贸w, cz臋sto w po艂膮czeniu ze z艂o偶onymi technikami polimorficznymi. Nale偶y r贸wnie偶 pami臋ta膰, 偶e tw贸rcy wirus贸w zapo偶yczaj膮 pewne technologie 偶e 艣wiata antywirusowego. Na przyk艂ad, wykryli艣my ju偶 szkodliwe programy, kt贸re w celu zwalczania rozwi膮za艅 antywirusowych poprzez usuwanie ich lub blokowanie zawieraj膮 wykrywanie sygnatur plik贸w antywirusowych. Wcze艣niej tw贸rcy wirus贸w ograniczali si臋 do projektowania swoich twor贸w w taki spos贸b, aby szuka艂y plik贸w wed艂ug nazwy.

Obecnie stare technologie s膮 rewidowane i implementowane na nowych poziomach. Walka wirus贸w z rozwi膮zaniami antywirusowymi przesuwa si臋 z poziomu oprogramowania na poziom sprz臋tu.

Chocia偶 nie mo偶na jeszcze powiedzie膰, 偶e wydarzenia z pierwszego kwarta艂u 2008 roku tworz膮 okre艣lony trend, poruszone kwestie mog膮 mie膰 du偶y wp艂yw na ca艂膮 bran偶臋 bezpiecze艅stwa informatycznego w najbli偶szej przysz艂o艣ci.

殴r贸d艂o:
Kaspersky Lab