Najbardziej charakterystyczne zagrożenia roku 2009

Panta rhei - “wszystko płynie”, to stwierdzenie padło ponad 2,5 tysiąca lat temu, lecz do dziś nie straciło na swej aktualności. Wszystko zmienia się, nic nie jest trwałe, mamy do czynienia z nieustannym ruchem, ciągłym postępem. Bardzo dobrze można to zaobserwować w świecie szeroko rozumianej techniki, gdzie każdy rok przynosi ze sobą coś nowego. Jedne rozwiązania zyskują na popularności, inne popadają w zapomnienie; miejsce starych, nie sprawdzających się już technologii zajmują nowe koncepcje, wdrażane są kolejne innowacyjne pomysły.

Ta zasada odnosi się również do dziedziny bezpieczeństwa komputerowego: projektowanie coraz lepszych zabezpieczeń w codziennej walce z cyberprzestępcami zmusza tych ostatnich do regularnej modernizacji swoich narzędzi i metod. Jakie więc zagrożenia były najbardziej charakterystyczne w minionym roku? Jakie szkodliwe programy były najbardziej rozpowszechnione, a które najniebezpieczniejsze? Czy pojawiły się zupełnie nowe, nieznane lub niepopularne wcześniej rozwiązania?

Najpopularniejsze zagrożenia 200. można rozpatrywać w trzech głównych kategoriach:

- zagrożenia rozprzestrzeniające się przy pomocy dysków przenośnych
- zagrożenia atakujące strony internetowe
- fałszywe oprogramowanie antywirusowe

Prawdziwą zmorą kafejek internetowych, pracowni szkolnych i akademickich oraz punktów ksero stały się robaki i trojany infekujące urządzenia przenośne (pendrive'y, dyski USB, odtwarzacze muzyki itp.). Kopiują się one na takie urządzenie i tworzą specjalny plik Autorun.inf, dzięki któremu - jeśli włączony jest mechanizm autostartu dysków przenośnych, co dla większości systemów Windows jest ustawieniem domyślnym - startują wraz z podpięciem dysku do komputera. Taki sposób infekcji zyskał ogromną popularność ze względu na skuteczność i szybkość rozprzestrzeniania się. Jednym z najczęściej spotykanych w Polsce zagrożeń, należących do tej kategorii są trojany z rodziny GameThief.Win32.Magania. O ile zagrożenie to było znane już wcześniej, intensywność jego występowania wzrosła kilkakrotnie właśnie w przeciągu ostatniego roku. Oprócz wykorzystywania dysków przenośnych, do zarażenia może dojść również w sposób “klasyczny”. dla trojanów - szkodniki z tej rodziny zazwyczaj podszywają się pod programy potencjalnie
atrakcyjne dla gracza, na przykład dodatki, generatory kluczy lub cracki do znanych gier komputerowych. Ich głównym celem jest wykradanie informacji dotyczących kont w różnego rodzaju grach online. Jaki interes mają w tym cyberprzestępcy? W czasach rosnącej popularności takich gier, dane te mogą stanowić całkiem niezłe źródło dochodu.

Kolejne zagrożenie, które na przestrzeni ostatniego roku przerodziło się w istną epidemię, stanowią szkodniki modyfikujące witryny internetowe. Atakują one serwery, na których znajdują się strony WWW i doklejają do kodu źródłowego wszystkich znalezionych plików index.php / index.html odpowiedni znacznik HTML bądź skrypt w języku JavaScript, który ma za zadanie przekierować użytkownika pod złośliwy adres URL. Jest to tzw. atak drive-by download. Królem tej kategorii jest odkryty w marcu 2009 trojan o nazwie Trojan-Downloader.JS.Gumblar (od nazwy domeny gumblar.cn, która swego czasu serwowała gigabajty szkodliwego oprogramowania, następnie została zastąpiona innymi adresami). Zainfekowana Gumblarem strona tworzy niewidoczną dla przeglądającego ją użytkownika ramkę, w której wczytywany jest adres, zawierający specjalnie spreparowany plik pdf bądź swf. Następnie poprzez luki w programach, takich jak Adobe Reader czy Flash Player, na komputerze ofiary instalowane jest szkodliwe oprogramowanie. Celem tego
oprogramowania jest między innymi dalsze rozprzestrzenianie się - toteż jedną z jego funkcji jest wykradanie haseł do kont ftp, logowanie się na te konta i infekowanie znajdujących się tam plików php/html.

Kolejną kategorią szkodników, która w roku 2009 przeżyła ponowny rozkwit, są aplikacje imitujące oprogramowanie antywirusowe. Sama idea nie jest nowa - pierwsze tego typu programy powstawały już na początku lat 90 - jednak ze względu na częstotliwość występowania, niewątpliwie należy je zaliczyć do charakterystycznych zagrożeń ubiegłego roku. Cel jest zawsze ten sam - wyłudzenie jak największej ilości pieniędzy od nieświadomych użytkowników. Metody mogą się różnić - od wzbudzania zaufania po zastraszenie czy ograniczenie funkcjonalności komputera. Spośród bardzo wielu fałszywych antywirusów, z jakimi mieliśmy do czynienia w 2009 roku, za jedną z
najczęściej spotykanych w Polsce można uznać aplikację o nazwie PC Antispyware 2010 występującą w kilku wersjach (m. in. jako Antivirus Pro 201. i Home Antivirus 2010). Po instalacji program ten przeprowadza symulację skanowania dysku i utwierdza nas w przekonaniu, że nasz komputer jest zainfekowany ogromną ilością wszelkiego rodzaju zagrożeń. Niestety ta wielce użyteczna aplikacja nie daje nam możliwości usunięcia rzekomych szkodników - w zamian za to zostajemy przekierowani na stronę, na której można zakupić licencję na program. Ceny wahają się od kilkudziesięciu do kilkuset dolarów, co w zestawieniu z bardzo szerokim rozpowszechnieniem fałszywych antywirusów pozwala szacować, że ich twórcy zarabiają na nich naprawdę potężne pieniądze.

Zagrożenia z tej kategorii z pewnością można również zaliczyć do najpopularniejszych zagrożeń 200. roku. Od wymienionych powyżej przypadków odróżnia je jednak większa szkodliwość i bardziej skomplikowany proces leczenia.

Któż nie słyszał o słynnym robaku sieciowym Net-Worm.Win32.Kido, znanym również jako Conficker alias Downadup? Gdy mówimy o szkodnikach popularnych w ubiegłym roku to właśnie on pierwszy nasuwa się na myśl. Najstarsze jego warianty pojawiły się pod koniec roku 2008. a już na początku 2009 mieliśmy do czynienia z poważną epidemią Kido, botnetem liczącym setki tysięcy komputerów. Robak ten rozprzestrzenia się na dwa sposoby: pierwszy z nich to (jakże charakterystyczny dla ubiegłorocznych szkodników!) mechanizm autostartu dysków przenośnych; drugi zaś polega na wykorzystaniu luki w usłudze Server systemów Microsoft Windows, dzięki której robak atakuje komputery znajdujące się w sieci lokalnej. Co przesądziło o tym, że Kido został zaliczony do najbardziej niebezpiecznych zagrożeń 2009? Z pewnością specyfika jego działania, polegająca na wykradaniu poufnych danych z zainfekowanego komputera, a także umiejętność sprytnego ukrywania się w systemie ofiary - nieświadomy użytkownik może przez długi czas
korzystać z maszyny nie podejrzewając, że znajduje się ona pod obcą kontrolą, i że za jej pomocą przeprowadzane są ataki czy popełniane przestępstwa. Przede wszystkim jednak zaważyła tu niesamowita szybkość, z jaką Kido się rozprzestrzenia, dołączając coraz to nowe stacje do swego rozsianego po całym świecie botnetu. Stworzona w ten sposób monstrualna sieć komputerów-zombie stanowi bardzo potężne narzędzie w rękach cyberprzestępców. Może posłużyć do wielu destruktywnych celów, spośród których masowe ataki DDoS czy wysyłanie spamu na ogromną skalę to tylko mniej wyrafinowane przykłady. Jak wiadomo, najbardziej niebezpieczne jest to, czego możliwości nie jesteśmy w stanie do końca ocenić - botnet Kido do takich właśnie rzeczy należy.

Kolejny szkodnik, który pojawił się w 2008 roku ale znaczna część jego rozwoju przypada na rok 2009 to Backdoor.Win32.Sinowal, znany również pod nazwą Mebroot. Pod względem sposobu rozprzestrzeniania się można go zaliczyć do tej samej kategorii co trojana Gumblar - wykorzystuje bowiem technikę drive-by download, stosując podmianę odsyłaczy na stronach I ściśle wyspecjalizowane, spersonalizowane exploity - jednak jego działanie jest o wiele bardziej skomplikowane I niebezpieczne. Łączy on w sobie tradycję dawnych wirusów sektora startowego z cechami zaawansowanego rootkita i funkcjonalnością backdoora. Sinowal modyfikuje sektor rozruchowy dysku (MBR), wprowadzając do niego własny kod, dzięki czemu może działać na komputerze zupełnie niewidoczny, wczytując się do pamięci jeszcze zanim nastąpi start systemu operacyjnego. Jako, że w sektorze MBR nie może znajdować się zbyt duża ilość kodu, właściwy plik backdoora pobierany jest z Internetu po każdym restarcie komputera; nie jest on zapisywany fizycznie
na dysku tylko wczytywany bezpośrednio do pamięci. Główne zadanie Sinowala to szpiegowanie użytkownika (ze szczególnym uwzględnieniem wpisywanych przez niego loginów i haseł do różnych aplikacji i portali internetowych) i przesyłanie tych danych na jeden ze szkodliwych serwerów. Zainfekowane komputery, podobnie jak w przypadku robaka Kido, tworzą ze wspólnie botnet zombie.

Innymi szkodnikami, które paraliżowały komputery w 2009 są dwa “klasyczne” wirusy infekujące pliki: Virus.Win32.Virut I Virus.Win32.Sality. Pierwszy z nich pojawił się pod koniec 2007. na początku 2008 zyskał miano jednego z najpopularniejszych zagrożeń, okupując raz za razem wysokie pozycje w comiesięcznych statystykach, a tradycję tę z powodzeniem kontynuował w roku ubiegłym. Drugi z wymienionych infektorów pojawił się nieco wcześniej i nieco później zdobył popularność, jednak w roku 2009 ramię w ramię z Virutem zajmował wysokie pozycje w naszych rankingach popularności szkodników, szczególnie zaś popularna jest jego wersja aa, która od wielu miesięcy znajduje się w pierwszej piątce najczęściej występujących infekcji - i nic nie wskazuje na to, by miała ją prędko opuścić.

Oba szkodniki mają wiele cech wspólnych; wykorzystują polimorfizm, co utrudnia producentom oprogramowania antywirusowego skuteczne dodawanie ich sygnatur do baz; oprócz plików wykonywalnych infekują również pliki php / html, dzięki czemu zyskują dodatkową metodę rozprzestrzeniania się - drive-by download. Najbardziej charakterystyczną cechą obu tych wirusów jest jednak to, że łączą się one z serwerami IRC w oczekiwaniu na polecenia, a co za tym idzie - działają jednocześnie jako backdoor. Zainfekowane komputery i w tym przypadku stają się komputerami zombie. Oba wirusy są na tyle trudne do usunięcia, że większość producentów oprogramowania antywirusowego stworzyła specjalne narzędzia do leczenia systemu zarażonego którymś z nich.

Kompletnie świeżym pomysłem, który po raz pierwszy pojawił się w 2009 roku, jest Virus.Win32.Induc. Na chwilę obecną dla przeciętnego użytkownika nie jest on w gruncie rzeczy bardzo niebezpieczny - infekuje pliki, lecz nie wyrządza żadnej szkody w systemie, nie przechwytuje żadnych informacji, nie otwiera “tylnej furtki”. Innowacyjność tego wirusa polega na tym, że jego działanie jest skierowane w stronę producentów oprogramowania: zamiast bezpośredniego zarażania plików wykonywalnych, poszukuje on na komputerze instalacji środowiska Borland Delphi, a następnie zaraża jedną z jego bibliotek, powodując, że wszystkie programy kompilowane w tym środowisku będą zawierać bonusa w postaci złośliwego kodu. Pierwsza wersja wirusa Induc została odkryta przez analityków Kaspersky Lab w sierpniu ubiegłego roku. Od razu trafiła ona na listę najczęściej spotykanych infekcji i do tej pory utrzymuje się w jej pierwszej dziesiątce. W grudniu 200. nastąpiła intensywna ekspansja wirusa - świadczy o tym chociażby liczba
jego modyfikacji dodawanych w grudniu do baz, która wynosi kilka, kilkanaście a nawet kilkadziesiąt rekordów dziennie.

Rok 200. zdecydowanie do spokojnych nie należał. Charakterystyczne dla roku 2008 trendy znacznie przybrały na intensywności (Magania, Sinowal, Sality, Virut), wybuchły nowe, bardzo niebezpieczne epidemie (Kido, Gumblar), powstały innowacyjne idee, które mogą zrewolucjonizować pojęcie malware'u (Induc). Słowa-klucze, którymi branża bezpieczeństwa IT może scharakteryzować miniony rok to:

- Drive-by download
- Autorun
- Botnet
- FakeAV
- Backdoor / GameThief
- Bootkit

Co zatem przyniesie ze sobą rok 2010. Na pewno kontynuację tych trendów, które sprawdziły się w roku ubiegłym, zapewniając cyberprzestępcom wymierne zyski. Przewiduje się między innymi dalszy rozwój ataków na / poprzez portale internetowe, a także kontynuację linii szkodników infekujących pendrive i dyski USB. Coraz bardziej wyrafinowane staje się fałszywe oprogramowanie antywirusowe, zyskuje ono nowe funkcje, coraz bardziej przypomina prawdziwe antywirusy. Bardzo ważną częścią cyberprzestępczego świata zdają się być potężne botnety, a ich siła rośnie wraz z każdym przyłączonym komputerem. Na popularności nie powinny stracić również trojany wyspecjalizowane do kradzieży danych związanych z grami online.

Ponadto niewątpliwie nastąpi rozwój szkodników atakujących portale społecznościowe - do tej pory w Polsce nie były one bardzo popularne, jednak na zachodzie jest to kolejne słowo-klucz dla roku 2009, wystarczy wspomnieć szeroko znanego robaka Net-Worm.Win32.Koobface. Wraz ze wzrastającą wśród polskich użytkowników popularnością międzynarodowych portali, takich jak Facebook, MySpace czy Twitter, można z dużym prawdopodobieństwem zakładać, że ilość infekcji rozprzestrzeniających się przez te portale szkodliwym oprogramowaniem na polskich komputerach również wzrośnie. Prawdopodobnie spotkamy się również z infekcjami specyficznymi dla polskich portali. Nie będzie to jednak całkowita nowość: pamiętajmy, że w lutym 200. nastąpił pierwszy taki atak na portal nasza-klasa.pl. Coraz częstszymi celami ataków stają się również sieci P2P, w szczególności zaś jeden z najbardziej znanych protokołów - BitTorrent. Wirus Induc może dać początek nowej generacji szkodników infekujących środowiska programistyczne i
kompilatory. Chociaż jest to dość egzotyczna idea, może ona stanowić duży potencjał finansowy dla cyberprzestępów.

Na temat sposobów ochrony przed wszystkimi z wymienionych rodzajami szkodników zostało napisane już wiele artykułów, ale nie zaszkodzi pokrótce przypomnieć najważniejsze zasady bezpieczeństwa:

- Wyłącz mechanizm autostartu dysków przenośnych w systemie Windows. W ten sposób skutecznie zminimalizujesz ryzyko infekcji z napędów USB (takich jak pendrive).
- Dbaj o regularne uaktualnianie systemu operacyjnego i oprogramowania na komputerze zredukujesz ryzyko zostania ofiarą ataku typu drive-by download.
- Bądź nieufny w stosunku do nieznanego, niezweryfikowanego oprogramowania. Pomoże Ci to uniknąć problemów zarówno z fałszywymi antywirusami, jak i trojanami kradnącymi dane z gier komputerowych.
- Zadbaj o prawidłowe skonfigurowanie zapory sieciowej, co ochroni Cię przed atakami z płynącymi z Sieci.
- Zainstaluj oprogramowanie antywirusowe i włącz jego automatyczną aktualizację oprogramowania antywirusowego z aktualną bazą danych i wysokim poziomem heurystyki minimalizuje ryzyko zarażenia wszelkim rodzajem szkodliwego oprogramowania

_ Autor: Marta Janus - analityk zagrożeń, Kaspersky Lab Polska _