Najbardziej charakterystyczne zagrożenia roku 2009

Najbardziej charakterystyczne zagrożenia roku 200917.02.2010 13:34
Źródło zdjęć: © Kaspersky

Panta rhei - “wszystko płynie”, to stwierdzenie padło ponad 2,5 tysiąca lat temu, lecz do dziś nie straciło na swej aktualności. Wszystko zmienia się, nic nie jest trwałe, mamy do czynienia z nieustannym ruchem, ciągłym postępem. Bardzo dobrze można to zaobserwować w świecie szeroko rozumianej techniki, gdzie każdy rok przynosi ze sobą coś nowego. Jedne rozwiązania zyskują na popularności, inne popadają w zapomnienie; miejsce starych, nie sprawdzających się już technologii zajmują nowe koncepcje, wdrażane są kolejne innowacyjne pomysły.

Ta zasada odnosi się również do dziedziny bezpieczeństwa komputerowego: projektowanie coraz lepszych zabezpieczeń w codziennej walce z cyberprzestępcami zmusza tych ostatnich do regularnej modernizacji swoich narzędzi i metod. Jakie więc zagrożenia były najbardziej charakterystyczne w minionym roku? Jakie szkodliwe programy były najbardziej rozpowszechnione, a które najniebezpieczniejsze? Czy pojawiły się zupełnie nowe, nieznane lub niepopularne wcześniej rozwiązania?

Największe epidemie 2009: Magania, Gumblar, PC Antispyware

Najpopularniejsze zagrożenia 200. można rozpatrywać w trzech głównych kategoriach:

- zagrożenia rozprzestrzeniające się przy pomocy dysków przenośnych
- zagrożenia atakujące strony internetowe
- fałszywe oprogramowanie antywirusowe

Prawdziwą zmorą kafejek internetowych, pracowni szkolnych i akademickich oraz punktów ksero stały się robaki i trojany infekujące urządzenia przenośne (pendrive'y, dyski USB, odtwarzacze muzyki itp.). Kopiują się one na takie urządzenie i tworzą specjalny plik Autorun.inf, dzięki któremu - jeśli włączony jest mechanizm autostartu dysków przenośnych, co dla większości systemów Windows jest ustawieniem domyślnym - startują wraz z podpięciem dysku do komputera. Taki sposób infekcji zyskał ogromną popularność ze względu na skuteczność i szybkość rozprzestrzeniania się. Jednym z najczęściej spotykanych w Polsce zagrożeń, należących do tej kategorii są trojany z rodziny GameThief.Win32.Magania. O ile zagrożenie to było znane już wcześniej, intensywność jego występowania wzrosła kilkakrotnie właśnie w przeciągu ostatniego roku. Oprócz wykorzystywania dysków przenośnych, do zarażenia może dojść również w sposób “klasyczny”. dla trojanów - szkodniki z tej rodziny zazwyczaj podszywają się pod programy potencjalnie
atrakcyjne dla gracza, na przykład dodatki, generatory kluczy lub cracki do znanych gier komputerowych. Ich głównym celem jest wykradanie informacji dotyczących kont w różnego rodzaju grach online. Jaki interes mają w tym cyberprzestępcy? W czasach rosnącej popularności takich gier, dane te mogą stanowić całkiem niezłe źródło dochodu.

Kolejne zagrożenie, które na przestrzeni ostatniego roku przerodziło się w istną epidemię, stanowią szkodniki modyfikujące witryny internetowe. Atakują one serwery, na których znajdują się strony WWW i doklejają do kodu źródłowego wszystkich znalezionych plików index.php / index.html odpowiedni znacznik HTML bądź skrypt w języku JavaScript, który ma za zadanie przekierować użytkownika pod złośliwy adres URL. Jest to tzw. atak drive-by download. Królem tej kategorii jest odkryty w marcu 2009 trojan o nazwie Trojan-Downloader.JS.Gumblar (od nazwy domeny gumblar.cn, która swego czasu serwowała gigabajty szkodliwego oprogramowania, następnie została zastąpiona innymi adresami). Zainfekowana Gumblarem strona tworzy niewidoczną dla przeglądającego ją użytkownika ramkę, w której wczytywany jest adres, zawierający specjalnie spreparowany plik pdf bądź swf. Następnie poprzez luki w programach, takich jak Adobe Reader czy Flash Player, na komputerze ofiary instalowane jest szkodliwe oprogramowanie. Celem tego
oprogramowania jest między innymi dalsze rozprzestrzenianie się - toteż jedną z jego funkcji jest wykradanie haseł do kont ftp, logowanie się na te konta i infekowanie znajdujących się tam plików php/html.

Źródło zdjęć: © Rys. 1. Skrypt oraz znacznik HTML doklejone przez trojana Gumblar do kodu strony (fot. Kaspersky Lab)
Źródło zdjęć: © Rys. 1. Skrypt oraz znacznik HTML doklejone przez trojana Gumblar do kodu strony (fot. Kaspersky Lab)
Źródło zdjęć: © Rys. 2. Skrypt po oczyszczeniu z zaciemnienia (fot. Kaspersky Lab)
Źródło zdjęć: © Rys. 2. Skrypt po oczyszczeniu z zaciemnienia (fot. Kaspersky Lab)

Kolejną kategorią szkodników, która w roku 2009 przeżyła ponowny rozkwit, są aplikacje imitujące oprogramowanie antywirusowe. Sama idea nie jest nowa - pierwsze tego typu programy powstawały już na początku lat 90 - jednak ze względu na częstotliwość występowania, niewątpliwie należy je zaliczyć do charakterystycznych zagrożeń ubiegłego roku. Cel jest zawsze ten sam - wyłudzenie jak największej ilości pieniędzy od nieświadomych użytkowników. Metody mogą się różnić - od wzbudzania zaufania po zastraszenie czy ograniczenie funkcjonalności komputera. Spośród bardzo wielu fałszywych antywirusów, z jakimi mieliśmy do czynienia w 2009 roku, za jedną z
najczęściej spotykanych w Polsce można uznać aplikację o nazwie PC Antispyware 2010 występującą w kilku wersjach (m. in. jako Antivirus Pro 201. i Home Antivirus 2010). Po instalacji program ten przeprowadza symulację skanowania dysku i utwierdza nas w przekonaniu, że nasz komputer jest zainfekowany ogromną ilością wszelkiego rodzaju zagrożeń. Niestety ta wielce użyteczna aplikacja nie daje nam możliwości usunięcia rzekomych szkodników - w zamian za to zostajemy przekierowani na stronę, na której można zakupić licencję na program. Ceny wahają się od kilkudziesięciu do kilkuset dolarów, co w zestawieniu z bardzo szerokim rozpowszechnieniem fałszywych antywirusów pozwala szacować, że ich twórcy zarabiają na nich naprawdę potężne pieniądze.

Źródło zdjęć: © Rys. 3. Jeden z fałszywych antywirusów z rodziny PC Antispyware (fot. Kaspersky Lab)
Źródło zdjęć: © Rys. 3. Jeden z fałszywych antywirusów z rodziny PC Antispyware (fot. Kaspersky Lab)

Najgroźniejsze szkodniki 2009: Kido, Sinowal, Virut & Sality

Zagrożenia z tej kategorii z pewnością można również zaliczyć do najpopularniejszych zagrożeń 200. roku. Od wymienionych powyżej przypadków odróżnia je jednak większa szkodliwość i bardziej skomplikowany proces leczenia.

Któż nie słyszał o słynnym robaku sieciowym Net-Worm.Win32.Kido, znanym również jako Conficker alias Downadup? Gdy mówimy o szkodnikach popularnych w ubiegłym roku to właśnie on pierwszy nasuwa się na myśl. Najstarsze jego warianty pojawiły się pod koniec roku 2008. a już na początku 2009 mieliśmy do czynienia z poważną epidemią Kido, botnetem liczącym setki tysięcy komputerów. Robak ten rozprzestrzenia się na dwa sposoby: pierwszy z nich to (jakże charakterystyczny dla ubiegłorocznych szkodników!) mechanizm autostartu dysków przenośnych; drugi zaś polega na wykorzystaniu luki w usłudze Server systemów Microsoft Windows, dzięki której robak atakuje komputery znajdujące się w sieci lokalnej. Co przesądziło o tym, że Kido został zaliczony do najbardziej niebezpiecznych zagrożeń 2009? Z pewnością specyfika jego działania, polegająca na wykradaniu poufnych danych z zainfekowanego komputera, a także umiejętność sprytnego ukrywania się w systemie ofiary - nieświadomy użytkownik może przez długi czas
korzystać z maszyny nie podejrzewając, że znajduje się ona pod obcą kontrolą, i że za jej pomocą przeprowadzane są ataki czy popełniane przestępstwa. Przede wszystkim jednak zaważyła tu niesamowita szybkość, z jaką Kido się rozprzestrzenia, dołączając coraz to nowe stacje do swego rozsianego po całym świecie botnetu. Stworzona w ten sposób monstrualna sieć komputerów-zombie stanowi bardzo potężne narzędzie w rękach cyberprzestępców. Może posłużyć do wielu destruktywnych celów, spośród których masowe ataki DDoS czy wysyłanie spamu na ogromną skalę to tylko mniej wyrafinowane przykłady. Jak wiadomo, najbardziej niebezpieczne jest to, czego możliwości nie jesteśmy w stanie do końca ocenić - botnet Kido do takich właśnie rzeczy należy.

Kolejny szkodnik, który pojawił się w 2008 roku ale znaczna część jego rozwoju przypada na rok 2009 to Backdoor.Win32.Sinowal, znany również pod nazwą Mebroot. Pod względem sposobu rozprzestrzeniania się można go zaliczyć do tej samej kategorii co trojana Gumblar - wykorzystuje bowiem technikę drive-by download, stosując podmianę odsyłaczy na stronach I ściśle wyspecjalizowane, spersonalizowane exploity - jednak jego działanie jest o wiele bardziej skomplikowane I niebezpieczne. Łączy on w sobie tradycję dawnych wirusów sektora startowego z cechami zaawansowanego rootkita i funkcjonalnością backdoora. Sinowal modyfikuje sektor rozruchowy dysku (MBR), wprowadzając do niego własny kod, dzięki czemu może działać na komputerze zupełnie niewidoczny, wczytując się do pamięci jeszcze zanim nastąpi start systemu operacyjnego. Jako, że w sektorze MBR nie może znajdować się zbyt duża ilość kodu, właściwy plik backdoora pobierany jest z Internetu po każdym restarcie komputera; nie jest on zapisywany fizycznie
na dysku tylko wczytywany bezpośrednio do pamięci. Główne zadanie Sinowala to szpiegowanie użytkownika (ze szczególnym uwzględnieniem wpisywanych przez niego loginów i haseł do różnych aplikacji i portali internetowych) i przesyłanie tych danych na jeden ze szkodliwych serwerów. Zainfekowane komputery, podobnie jak w przypadku robaka Kido, tworzą ze wspólnie botnet zombie.

Innymi szkodnikami, które paraliżowały komputery w 2009 są dwa “klasyczne” wirusy infekujące pliki: Virus.Win32.Virut I Virus.Win32.Sality. Pierwszy z nich pojawił się pod koniec 2007. na początku 2008 zyskał miano jednego z najpopularniejszych zagrożeń, okupując raz za razem wysokie pozycje w comiesięcznych statystykach, a tradycję tę z powodzeniem kontynuował w roku ubiegłym. Drugi z wymienionych infektorów pojawił się nieco wcześniej i nieco później zdobył popularność, jednak w roku 2009 ramię w ramię z Virutem zajmował wysokie pozycje w naszych rankingach popularności szkodników, szczególnie zaś popularna jest jego wersja aa, która od wielu miesięcy znajduje się w pierwszej piątce najczęściej występujących infekcji - i nic nie wskazuje na to, by miała ją prędko opuścić.

Oba szkodniki mają wiele cech wspólnych; wykorzystują polimorfizm, co utrudnia producentom oprogramowania antywirusowego skuteczne dodawanie ich sygnatur do baz; oprócz plików wykonywalnych infekują również pliki php / html, dzięki czemu zyskują dodatkową metodę rozprzestrzeniania się - drive-by download. Najbardziej charakterystyczną cechą obu tych wirusów jest jednak to, że łączą się one z serwerami IRC w oczekiwaniu na polecenia, a co za tym idzie - działają jednocześnie jako backdoor. Zainfekowane komputery i w tym przypadku stają się komputerami zombie. Oba wirusy są na tyle trudne do usunięcia, że większość producentów oprogramowania antywirusowego stworzyła specjalne narzędzia do leczenia systemu zarażonego którymś z nich.

Co nowego w 2009? Rewolucja w Delphi

Kompletnie świeżym pomysłem, który po raz pierwszy pojawił się w 2009 roku, jest Virus.Win32.Induc. Na chwilę obecną dla przeciętnego użytkownika nie jest on w gruncie rzeczy bardzo niebezpieczny - infekuje pliki, lecz nie wyrządza żadnej szkody w systemie, nie przechwytuje żadnych informacji, nie otwiera “tylnej furtki”. Innowacyjność tego wirusa polega na tym, że jego działanie jest skierowane w stronę producentów oprogramowania: zamiast bezpośredniego zarażania plików wykonywalnych, poszukuje on na komputerze instalacji środowiska Borland Delphi, a następnie zaraża jedną z jego bibliotek, powodując, że wszystkie programy kompilowane w tym środowisku będą zawierać bonusa w postaci złośliwego kodu. Pierwsza wersja wirusa Induc została odkryta przez analityków Kaspersky Lab w sierpniu ubiegłego roku. Od razu trafiła ona na listę najczęściej spotykanych infekcji i do tej pory utrzymuje się w jej pierwszej dziesiątce. W grudniu 200. nastąpiła intensywna ekspansja wirusa - świadczy o tym chociażby liczba
jego modyfikacji dodawanych w grudniu do baz, która wynosi kilka, kilkanaście a nawet kilkadziesiąt rekordów dziennie.

Podsumowanie

Rok 200. zdecydowanie do spokojnych nie należał. Charakterystyczne dla roku 2008 trendy znacznie przybrały na intensywności (Magania, Sinowal, Sality, Virut), wybuchły nowe, bardzo niebezpieczne epidemie (Kido, Gumblar), powstały innowacyjne idee, które mogą zrewolucjonizować pojęcie malware'u (Induc). Słowa-klucze, którymi branża bezpieczeństwa IT może scharakteryzować miniony rok to:

- Drive-by download
- Autorun
- Botnet
- FakeAV
- Backdoor / GameThief
- Bootkit

Co zatem przyniesie ze sobą rok 2010. Na pewno kontynuację tych trendów, które sprawdziły się w roku ubiegłym, zapewniając cyberprzestępcom wymierne zyski. Przewiduje się między innymi dalszy rozwój ataków na / poprzez portale internetowe, a także kontynuację linii szkodników infekujących pendrive i dyski USB. Coraz bardziej wyrafinowane staje się fałszywe oprogramowanie antywirusowe, zyskuje ono nowe funkcje, coraz bardziej przypomina prawdziwe antywirusy. Bardzo ważną częścią cyberprzestępczego świata zdają się być potężne botnety, a ich siła rośnie wraz z każdym przyłączonym komputerem. Na popularności nie powinny stracić również trojany wyspecjalizowane do kradzieży danych związanych z grami online.

Ponadto niewątpliwie nastąpi rozwój szkodników atakujących portale społecznościowe - do tej pory w Polsce nie były one bardzo popularne, jednak na zachodzie jest to kolejne słowo-klucz dla roku 2009, wystarczy wspomnieć szeroko znanego robaka Net-Worm.Win32.Koobface. Wraz ze wzrastającą wśród polskich użytkowników popularnością międzynarodowych portali, takich jak Facebook, MySpace czy Twitter, można z dużym prawdopodobieństwem zakładać, że ilość infekcji rozprzestrzeniających się przez te portale szkodliwym oprogramowaniem na polskich komputerach również wzrośnie. Prawdopodobnie spotkamy się również z infekcjami specyficznymi dla polskich portali. Nie będzie to jednak całkowita nowość: pamiętajmy, że w lutym 200. nastąpił pierwszy taki atak na portal nasza-klasa.pl. Coraz częstszymi celami ataków stają się również sieci P2P, w szczególności zaś jeden z najbardziej znanych protokołów - BitTorrent. Wirus Induc może dać początek nowej generacji szkodników infekujących środowiska programistyczne i
kompilatory. Chociaż jest to dość egzotyczna idea, może ona stanowić duży potencjał finansowy dla cyberprzestępów.

Jak się bronić?

Na temat sposobów ochrony przed wszystkimi z wymienionych rodzajami szkodników zostało napisane już wiele artykułów, ale nie zaszkodzi pokrótce przypomnieć najważniejsze zasady bezpieczeństwa:

- Wyłącz mechanizm autostartu dysków przenośnych w systemie Windows. W ten sposób skutecznie zminimalizujesz ryzyko infekcji z napędów USB (takich jak pendrive).
- Dbaj o regularne uaktualnianie systemu operacyjnego i oprogramowania na komputerze zredukujesz ryzyko zostania ofiarą ataku typu drive-by download.
- Bądź nieufny w stosunku do nieznanego, niezweryfikowanego oprogramowania. Pomoże Ci to uniknąć problemów zarówno z fałszywymi antywirusami, jak i trojanami kradnącymi dane z gier komputerowych.
- Zadbaj o prawidłowe skonfigurowanie zapory sieciowej, co ochroni Cię przed atakami z płynącymi z Sieci.
- Zainstaluj oprogramowanie antywirusowe i włącz jego automatyczną aktualizację oprogramowania antywirusowego z aktualną bazą danych i wysokim poziomem heurystyki minimalizuje ryzyko zarażenia wszelkim rodzajem szkodliwego oprogramowania

_ Autor: Marta Janus - analityk zagrożeń, Kaspersky Lab Polska _

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA