Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Raport: Ewolucja szkodliwego oprogramownia: styczeń - marzec 2005

Tagi:

Kaspersky Lab przedstawia kwartalne podsumowanie ewolucji szkodliwego oprogramowania przygotowane przez Alexandra Gosteva, analityka laboratorium antywirusowego. Raport porusza następujące kwestie: dlaczego robaki przestały wywoływać epidemie, zwiększenie liczby robaków atakujących komunikatory internetowe, jaki efekt na bezpieczeństwo miało opublikowanie przez firmę Microsoft uaktualnienia SP2 dla systemu Windows XP, a także czemu słowa adware i spyware stały się tak modne w branży bezpieczeństwa IT.

  1. Robaki komunikatorów internetowych (IM-Worm)
  2. Botnety
  3. Zmierzch robaków pocztowych
  4. Socjotechnika oraz phishing
  5. Brak nowych krytycznych luk w zabezpieczeniach systemów Windows
  6. Gry on-line: nowa arena
  7. Adware, spyware oraz wirusy: czy jest między nimi różnica?
  8. Mobilne szkodliwe oprogramowanie

Robaki komunikatorów internetowych (IM-Worm)

Robaki komunikatorów internetowych (IM-Worm): robaki rozprzestrzeniające się za pośrednictwem komunikatorów internetowych wysyłając adresy URL do wszystkich użytkowników zapisanych w lokalnych książkach adresowych. Przesyłane przez robaki adresy URL prowadzą do stron zawierających zainfekowany kod. Mechanizm ten wykorzystywany jest także przez robaki pocztowe.

Jednym z najciekawszych wydarzeń początku roku 2005 było pojawienie się robaków atakujących komunikatory internetowe, które zyskują coraz większą popularność wśród internautów, jednak mało kto postrzega je jako źródło potencjalnego zagrożenia.

Analiza robaków IM-Worm, które pojawiły się dotychczas daje pogląd na trendy, które mogą rozwinąć się w przyszłości.

Nazwa Komunikator Warianty Język programowania Metoda rozprzestrzeniania
Aimes AOL 4 VB Plik
Atlex ICQ 1 C Odsyłacz
Bropia MSN 18 VB Odsyłacz
Kelvir MSN 4 VB Odsyłacz
Nemesix MSN 1 VB Odsyłacz
Sumom MSN 3 VB Odsyłacz
VB MSN 9 VB Odsyłacz

Powyższa tabela ukazuje, że większość robaków IM-Worm atakuje komunikator MSN Messenger, który jest bardzo popularny w Stanach Zjednoczonych, jednak w Polsce i Rosji jest on używany sporadycznie. Wszystkie robaki z wyjątkiem szkodnika Atlex powstały przy użyciu języka programowania Visual Basic.

Te dwa czynniki wskazują, że robaki IM-Worm znajdują się dopiero w początkowej fazie ewolucji. Wybierany przez ich twórców język programowania (Visual Basic) świadczy o tym, że są to nowicjusze w branży wirusów i niedoświadczeni programiści. VB jest jednym z najłatwiejszych języków programowania, jednak nie pozwala na tworzenie zaawansowanych projektów ze względu na duże pliki wynikowe i znaczne spowolnienie systemu.

Wybór komunikatora MSN jako medium świadczy o tym, że nowe robaki bazują na swoich poprzednikach. Szczegółowa analiza przeprowadzona przez analityków z firmy Kaspersky Lab potwierdza tę tezę. Kody źródłowe wczesnych robaków IM-Worm zostały także opublikowane na wielu stronach WWW przeznaczonych dla twórców wirusów, co sprzyja powstawaniu modyfikacji.

Obserwowana sytuacja bardzo przypomina rozwój robaków P2P w latach 2002-2004. Pierwsze robaki P2P także powstawały przy użyciu Visual Basica i koncentrowały się na najpopularniejszym kliencie P2P, którym była wówczas KaZaA. Jako, że robaki P2P tworzyło się stosunkowo łatwo, a współczynnik ich rozprzestrzeniania był bardzo wysoki, błyskawicznie pojawiły się setki rodzin, z których każda zawierała wiele modyfikacji. Szczyt wzrostu popularności tych robaków nastąpił w 2003 roku, kiedy to każdego tygodnia pojawiało się ponad 10 nowych szkodników.

Obserwowany obecnie rozwój robaków IM-Worm przypomina ewolucję robaków P2P odbywającą się w latach 2002-2004.

Eksperci z firmy Kaspersky Lab z uwagą przyglądali się nagłemu wzrostowi popularności robaków P2P. Wnikliwa analiza wykazała, że w pewnym momencie co drugi plik przesyłany w sieci KaZaA zawierał robaka P2P. W tym okresie większość robaków pocztowych wykorzystywało sieci P2P jako alternatywne medium. Gwałtowny wzrost popularności robaków P2P zatrzymał się w roku 2004. Obecnie ich udział wśród szkodliwego oprogramowania krążącego w Internecie jest coraz mniejszy. Wszystko wskazuje, że taki sam los czeka robaki IM-Worm.

Jednym z najbardziej interesujących aspektów robaków IM-Worm jest sposób w jaki zainfekowane pliki są dostarczane do potencjalnych ofiar. Z pewnego powodu twórcy tych szkodników nie korzystają z możliwości przesyłania plików, którą oferuje każdy komunikator (prawdopodobnie użycie tej funkcji jest zbyt skomplikowane z programistycznego punktu widzenia). Zamiast tego twórcy wszystkich robaków IM-Worm (z wyjątkiem autora szkodnika Aimes) wykorzystują metodę wprowadzoną w robakach pocztowych w 2004 roku: do atakowanego użytkownika wysyłany jest odsyłacz do strony WWW zawierającej właściwy kod robaka. Użytkownik sądzi, że odsyłacz ten przesyłany jest przez zaufaną osobę, ponieważ robaki wykorzystują namiary zapisane w książkach adresowych lokalnych komunikatorów. Potencjalna ofiara nie ma zatem żadnych wątpliwości i klika odsyłacz. Robaki penetrują atakowane systemy przy użyciu luk w zabezpieczeniach przeglądarki Internet Explorer lub pozwalają użytkownikom na samodzielne zainfekowanie swoich komputerów poprzez uruchomienie ściągniętego pliku.

Biorąc pod uwagę to, że twórcy robaków IM-Worm zademonstrowali ich potencjał w szybkim rozprzestrzenianiu się administratorzy systemów powinni traktować komunikatory internetowe jako poważne zagrożenie. Brutalnym rozwiązaniem byłoby całkowite zakazanie internetowych pogaduszek w firmach, aż do momentu gdy wypracowane zostaną wiarygodne mechanizmy zabezpieczające. Monitorowanie przychodzącego ruchu http w poszukiwaniu wirusów (co powinno być składnikiem każdej rozsądnej polityki bezpieczeństwa) pozwala na zablokowanie robaków atakujących systemy za pośrednictwem luk w zabezpieczeniach przeglądarek.

Większość robaków IM-Worm dodatkowo instaluje w zainfekowanych systemach inne szkodliwe programy. Przykładowo, robaki z rodziny IM-Worm.Bropia (najpopularniejsza rodzina IM-Worm w czasie pisania niniejszego artykułu) instalują backdoora Backdoor.Win32.Rbot zmieniającego zainfekowany komputer w tzw. "maszynę zombie", która może być wykorzystana do rozsyłania spamu.

Botnety

Botnety są istotnym zagadnieniem od kilku lat. Pierwsze botnety pojawiły się w sprzedaży na czarnym rynku w 2002 roku. Od tego czasu liczba botnetów wzrasta proporcjonalnie do liczby użytkowników Internetu oraz luk wykrywanych w systemach Windows.

Obecnie termin botnet wykorzystywany jest jako nazwa sieci zainfekowanych komputerów kontrolowanych przez jednego, zdalnego użytkownika. Na początku zainfekowane komputery łączyły się za pomocą kanałów IRC i tą samą drogą otrzymywały polecenia od zdalnego użytkownika. Jest to ciągle najpopularniejsza metoda kontrolowania botnetów - wykorzystują ją, między innymi, rodziny Agobot, Rbot oraz SdBot. Wszystkie te robaki infekują komputery przy użyciu popularnych luk w zabezpieczeniach systemów Windows, najczęściej RPC DCOM oraz LSASS. Istnieją także szkodniki wykorzystujące nawet osiem luk. Współczesne boty wykorzystują także mechanizmy generujące hasła, co pozwala im na infekowanie chronionych zasobów sieciowych.

Termin botnet oznacza sieć zainfekowanych komputerów kontrolowaną zdalnie przez jednego użytkownika.

16 lipca 2003, kiedy to w systemach Windows 2000 oraz XP wykryto lukę RPC DCOM, był bardzo ważnym dniem dla współczesnych botnetów. Drugim kamieniem węgielnym był robak pocztowy Mydoom, który pojawił się w styczniu 2004. Mydoom otwierał port z przedziału 3127 - 3198, co pozwalało każdemu zdalnemu użytkownikowi na uzyskanie dostępu do zainfekowanego systemu. Mydoom wyposażony był także w możliwość uruchamiania plików pobranych z Internetu. Mydoom nie był jednak pozbawiony błędów. Specjalna pięciobajtowa kombinacja pozwalała na uzyskanie dostępu do backdoora wbudowanego w kod tego szkodnika. Twórcy szkodliwego oprogramowania bardzo szybko wykryli tę lukę i Internet został zalany szkodnikami atakującymi komputery, które zostały już zainfekowane robakiem Mydoom.

Krytyczna luka w usłudze LSASS, wykryta w kwietniu 2004, była trzecim czynnikiem sukcesu botnetów. Korzystając z tej luki robak Sasser zainfekował bardzo wiele komputerów zamieniając je w maszyny zombie. Twórcy szkodliwego oprogramowania natychmiast dostrzegli nowe możliwości i rozpoczęli wykorzystywanie komputerów zainfekowanych Sasserem, jak również luki LSASS do zwiększenia zasięgu swoich dzieł.

Analitycy szacują, że liczba maszyn zombie tworzących botnety każdego miesiąca zwiększała się się o 300 000 - 350 000. Całkowita liczba maszyn zombie szacowana jest na kilka milionów. Wszystkie te komputery są wykorzystywane przez cyber-przestępców jako platformy do wysyłania spamu, co sprowadza się do celów zarobkowych. Botnety mogą być również wykorzystywane do przeprowadzania ataków DoS oraz do rozsyłania nowych szkodliwych programów. Umożliwia to cyber-przestępcom szantażowanie korporacji - "zapłaćcie nam to nie zaatakujemy waszego serwisu". Botnety są także wykorzystywane do rozsyłania koni trojańskich, które gromadzą i wysyłają poufne informacje użytkowników dotyczące bankowości elektronicznej. Obecnie ta cześć cyber-przestępczego świata zdominowana jest przez hakerów z Brazylii.

Botnety są obecnie największym znanym zagrożeniem Internetu. Stymulują tworzenie nowych szkodliwych programów, gdyż do podtrzymywania istnienia botnetów konieczne jest ciągłe rotowanie szkodników oraz maszyn zombie. Wykrywanie i zapobieganie działaniom botnetów powinno stać się priorytetem zarówno dla branży IT, jak i dla użytkowników końcowych.

Zmierzch robaków pocztowych

Pod koniec roku 2004 wielu analityków z branży IT przewidywało stopniowe wygasanie popularności robaków pocztowych. Wydarzenia z roku 2005 potwierdziły te szacunki. Robaki pocztowe są stopniowo wypierane przez robaki sieciowe wyposażone w funkcje trojańskie.

W roku 2004 byliśmy świadkami kilku dużych epidemii robaków takich jak Mydoom, NetSky, Bagle oraz Zafi. Jednak koniec roku 2004 i początek 2005 był od takich epidemii prawie całkowicie wolny.

Powodem spadku popularności robaków pocztowych może być szybka reakcja przemysłu antywirusowego mająca na celu zablokowanie tych szkodników. Wielu producentów zastosowało przełomowe technologie, takie jak wykrywanie robaków w archiwach zabezpieczonych hasłami, czy wstępna analiza wiadomości zawierających wykonywalne załączniki.

W porównaniu z epidemiami z roku 2004 obserwujemy gwałtowny spadek popularności robaków pocztowych.

Z kolei robaki sieciowe wykorzystujące luki w zabezpieczeniach systemów Windows stają się coraz poważniejszym zagrożeniem . Z punktu widzenia bezpieczeństwa, krytyczne staje się skanowanie ruchu sieciowego oraz pocztowego.

Jest bardzo mało prawdopodobne, że w najbliższym czasie będziemy świadkami epidemii robaków rozprzestrzeniających się jako załączniki zainfekowanych wiadomości e-mail. Pierwszym powodem jest opublikowanie przez firmę Microsoft łat dla wszystkich znanych krytycznych luk w programach Outlook oraz Outlook Express. Po drugie informacje udostępniane przez producentów oprogramowania antywirusowego oraz szum medialny związany ze szkodliwymi aplikacjami spowodował, że użytkownicy stali się znacznie bardziej podejrzliwi wobec wiadomości e-mail zawierających załączniki.

Twórcy wirusów będą musieli wypracować nowe metody nakłaniania użytkowników do otwierania załączników wiadomości e-mail.

Socjotechnika oraz phishing

Socjotechnika, czyli technika wykorzystywana przez cyber-przestępców w celu nakłaniania użytkowników do ujawniania swoich poufnych danych, przez cały czas zyskuje popularność. Nie powstały wprawdzie żadne nowe metody, jednak stare i sprawdzone mechanizmy wykorzystywane są na ogromną skalę. Najczęstszą i najbardziej skuteczną formą cyber-przestępczości wykorzystującą socjotechnikę stał się phishing.

Phishing jest formą oszustwa mającego na celu nakłonienie użytkowników do ujawnienia własnych poufnych danych. Phishing polega na wysyłaniu wiadomości e-mail (pochodzących rzekomo od znanych firm), w których zamieszczone są odsyłacze do sfałszowanych stron WWW zawierających formularze, gdzie nieświadomy użytkownik może podać informacje dotyczące numerów kont, kart kredytowych itp.

Z danych udostępnionych przez organizację Anti-Phishing Working Group wynika, że w styczniu 2005 phisherzy wysłali 12 845 unikatowych wiadomości e-mail zawierających odsyłacze do 2 560 sfałszowanych stron WWW.

Jest to o 47% więcej niż w grudniu 2004, kiedy to liczba wykrytych sfałszowanych stron WWW wyniosła 1 740, i prawie dwa razy więcej niż w październiku 2004 (1 186 wykrytych sfałszowanych stron WWW). W porównaniu z grudniem 2004 liczba ataków typu phishing wzrosła w styczniu 2005 o 42%.

Głównym celem ataków tego typu są znane systemy bankowości elektronicznej, takie tak: Citibank, Paypal, E-Gold, US Bank, czy WAMU. Phisherzy podszywają się także pod inne witryny, które potencjalnie mogą żądać od swoich subskrybentów informacji osobowych i finansowych, jak chociażby Ebay.

Ataki typu phishing przeprowadzane są przy użyciu technik spamowych i wykorzystują botnety. Brazylijscy hakerzy i twórcy wirusów wiodą prym w wykorzystywaniu botnetów do rozsyłania oprogramowania szpiegującego (spyware), które ma na celu kradzież poufnych informacji związanych z bankowością.

Socjotechnika wykorzystywana jest nie tylko w atakach typu phishing. Szum medialny związany z oprogramowaniem szpiegującym i idące za nim zwiększenie świadomości użytkowników utworzyło nowe możliwości dla cyber-przestępców. Kiedy tylko firma Microsoft opublikowała wersję beta darmowej aplikacji typu anti-spyware, twórcy wirusów błyskawicznie skorzystali z możliwości podszycia własnych dzieł pod nową i udoskonaloną wersję tej aplikacji.

Analitycy z laboratorium antywirusowego firmy Kaspersky Lab zauważyli znaczne zwiększenie ilości spamu wysyłanego za pośrednictwem usługi Windows Messenger. Spam ten wykorzystuje wbudowane funkcje usługi Messenger, co oznacza, że wiadomości mają postać standardowych okienek wyskakujących.

W większości przypadków okienka te informują użytkownika o wykryciu na jego komputerze dużej liczby programów typu spyware i nalegają na odwiedzenie witryny WWW, na której rzekomo można pobrać darmowe narzędzie anti-spyware. Oczywiście na komputerze nie odbywa się żadne skanowane, a oferowane aplikacje to konie trojańskie lub, w najlepszym wypadku, całkowicie bezużyteczne programy.

Cyber-przestępcy wykorzystują do swoich celów tragiczne wydarzenia. Niszczycielskie tsunami na Oceanie Indyjskim spowodowało prawdziwy zalew oszustw i zainfekowanych wiadomości e-mail. Konie trojańskie ukrywane były pod postacią zdjęć lub tajnych raportów dotyczących prawdziwej liczby ofiar. Inni oszuści tworzyli fałszywe strony WWW, dzięki którym można było rzekomo wspomóc ofiary tej tragedii poprzez datki finansowe.

Brak nowych krytycznych luk w zabezpieczeniach systemów Windows

Kolejnym powodem ostudzenia atmosfery na froncie wirusów jest fakt, iż w tym roku nie pojawiły się jeszcze tak poważne luki w zabezpieczeniach systemów Windows, jak LSASS lub RPC DCOM. Ostatnia luka mogąca stanowić duże zagrożenie - WINS server NetBIOS naming issue - została wykryta 26 listopada 2004. Firma Microsoft błyskawicznie opublikowała odpowiednią łatę i dotychczas nie wykryto żadnego przypadku wykorzystywania tej luki.

Oczywiście w roku 2005 pojawiły się luki uznane przez firmę Microsoft za krytyczne:

jednak dotychczas żadna z nich nie została wykorzystana przez twórców szkodliwych programów do wywołania ogólnoświatowej epidemii. Luki te były jedynie wykorzystywane przez programy szpiegujące.

Nadzieję na spokojniejszą przyszłość daje także fakt, iż starsze wersje systemów Windows nie zawierają krytycznych luk oraz trend polegający na instalowaniu uaktualnienia Service Pack 2 dla systemu Windows XP. Wygląda na to, że zwiększenie przez firmę Microsoft nacisku na bezpieczeństwo jest jednym z głównych powodów umiarkowanej ciszy wirusowej w pierwszym kwartale roku 2005.

Obecny brak ogólnoświatowych epidemii może być spowodowany dwoma czynnikami: brak nowych krytycznych luk w systemach Windows oraz popularyzacja uaktualnienia Service Pack 2 dla systemu Widnows XP.

Z drugiej strony za wiele infekcji odpowiedzialne są luki w zabezpieczeniach przeglądarki Internet Explorer. Analiza przeprowadzona przez ekspertów z firmy Kaspersky Lab wykazała, że obecnie najczęściej wykorzystywaną przez twórców wirusów luką jest MHTML URL Processing Vulnerability (CAN-2004-0380).

Luka ta pozwala na ukrycie wykonywalnych plików napisanych w języku programowania VBS lub JS w plikach CHM (Microsoft Compiled Help) i na wysyłanie ich do Internetu. Po uruchomieniu zainfekowanego pliku CHM ukryte pliki są wypakowywane i uruchamiane z uprawnieniami zalogowanego użytkownika. Takie skrypty CHM najczęściej wykorzystywane są przez trojany typu Trojan-Downloader oraz Trojan-Dropper, które instalują w systemach inne konie trojańskie.

Luka ta nie jest jednak nowa, a firma Microsoft opublikowała odpowiednią łatę (MS04-013) ponad rok temu - 13 kwietnia 2004.

Gry on-line: nowa arena

Współcześni cyber-przestępcy nie ograniczają się do kradzieży numerów kont i informacji bankowych. Celem są także gry on-line. Gry takie zyskały ogromną popularność, a wykorzystywane w nich przedmioty, czy postaci sprzedawane są na aukcjach internetowych za dziesiątki tysięcy dolarów. Przykładowo wirtualna wyspa z gry "Project Entropia" została sprzedana za 26 500 dolarów. Była to największa kwota wydana na gry on-line w historii. W przemysł gier on-line inwestuje się obecnie miliardy dolarów.

Naturalnie obecność prawdziwych pieniędzy w biznesie gier on-line nie mogła umknąć uwadze cyber-przestępców. Pierwszy atak na gry on-line został przeprowadzony na początku roku 2003, kiedy to wykryto konie trojańskie stworzone w celu kradzieży danych związanych z azjatycką grą "Legend of Mir" (obecnie w grze tej uczestniczy ponad 3 miliony użytkowników, głównie z Korei Południowej). Aktualnie znanych jest ponad 700 szkodliwych programów, które na różne sposoby atakują grę "Legend of Mir". Szczegółowa analiza tych programów wykazała, że większość z nich pochodzi z Korei Południowej oraz Chin.

Coraz większe pieniądze inwestowane w rynek gier on-line przyciągają cyber-przestępców.

Drugim celem wybranym przez cyber-przestępców jest "Lineage", kolejna koreańska gra on-line. Pierwsze trojany atakujące tę grę pojawiły się w październiku 2004. W ciągu sześciu miesięcy ich liczba wzrosła do kilkuset.

Pośród szkodliwych aplikacji atakujących gry on-line jest także rodzina koni trojańskich kradnących informacje od uczestników projektu "Gamania". Pierwszy trojan został wykryty w lutym 2005, a obecnie rodzina ta powiększa się o nowego członka przynajmniej raz na tydzień.

Rosyjscy twórcy wirusów także uczestniczą w nowej formie cyber-przestępczości. Skupili oni swoje wysiłki na popularnej w Rosji grze "Boitsovsky Klub" (Fight Club). Pojedyncze obiekty wykorzystywane w tej grze osiągają cenę tysięcy dolarów. Administratorzy gry zdali sobie sprawę z potencjalnego zagrożenia ze strony szkodliwych programów i zwrócili się o pomoc do firmy Kaspersky Lab. Administratorzy przesyłają do analityków z laboratorium antywirusowego wszelkie wirusy, skrypty i konie trojańskie atakujące portale związane z grą, a eksperci z firmy Kaspersky Lab prawie natychmiast publikują specjalne szczepionki. Jest to unikatowa w skali światowej współpraca twórcy gry on-line z producentem oprogramowania antywirusowego.

Adware, spyware oraz wirusy: czy jest między nimi różnica?

Adware oraz spyware to obecnie jedne z modniejszych słów w branży IT. Niniejszy artykuł nie ma na celu wdawania się w szczegóły legalności programów tego typu. Jednak nasze najnowsze badania wskazują na kilka ciekawostek, którymi z pewnością warto się podzielić.

Granica między nieszkodliwymi programami adware, a niebezpiecznymi aplikacjami zatarła się. Każdego dnia analitycy z laboratorium antywirusowego firmy Kaspersky Lab wykrywają coraz więcej programów, które z pozoru są aplikacjami adware, ale mają cechy koni trojańskich. Cechy te ujawniają się podczas instalacji (przykładowo poprzez wykorzystywanie luk w przeglądarce internetowej) lub działania.

Obecnie granica między nieszkodliwymi programami adware, a niebezpiecznymi aplikacjami zatarła się.

Współczesne programy adware ukrywają swoją obecność w systemie i często są bardzo trudne do usunięcia. Ponadto wiele z nich szuka i usuwa aplikacje konkurencyjne. Programy adware często mają na celu wysyłanie poufnych informacji zapisanych na komputerze do zdalnych użytkowników. Mogą to być informacje o stronach odwiedzanych przez użytkownika, a także dane pozostawione w wypełnianych formularzach. Twórcy oprogramowania adware zaczęli stosować te techniki w 2004 roku. W roku 2005 pojawiło się nowe podejście: adware zaczyna pojawiać się pod postacią wirusów plikowych, dinozaurów, które zdaniem wielu ekspertów z branży IT już dawno wyginęły.

Przykładem takiego wirusa jest Virus.Win32.Bube, który instaluje się na komputerze gdy użytkownik odwiedza strony zawierające exploity wykorzystujące lukę w przeglądarce Internet Explorer (MHTML URL Processing Vulnerability) lub błąd w Microsoft VM. Po dostaniu się do systemu Bube dopisuje własny kod do końca pliku explorer.exe, i działa jako Trojan-Downloader pobierający inne programy adware. Taka metoda pozwala szkodnikowi na omijanie niektórych zapór ogniowych.

Bube jest doskonałym przykładem zatarcia granicy między oprogramowaniem adware, a innymi szkodliwymi aplikacjami. Programy adware, wirusy i konie trojańskie posiadają teraz wspólne cechy, co oznacza, że aplikacje chroniące wyłącznie przed oprogramowaniem adware należy traktować z dużą dawką sceptycyzmu - aplikacje te po prostu nie są w stanie zapewnić skutecznej ochrony.

Mobilne szkodliwe oprogramowanie

Rok 2004 otworzył nowy rozdział w historii bezpieczeństwa informacji. W połowie czerwca wykryty został pierwszy szkodliwy program atakujący telefony komórkowe - Cabir. Od tego czasu szkodniki przeznaczone dla urządzeń przenośnych pojawiają się coraz częściej.

Kod źródłowy robaka Cabir został opublikowany w Internecie, co zaowocowało błyskawicznym pojawieniem się jego klonów pochodzących z Brazylii i Chin.

Zamiast tworzenia własnych robaków, twórcy szkodliwego oprogramowania zafundowali przemysłowi antywirusowego nowe typy mobilnych szkodników: trojany oraz hybrydy łączące cechy robaków i wirusów:

Nazwa Typ Pierwszy wariant* Liczba wariantów*
Cabir Robak Bluetooth Czerwiec 2004 10
Mosquit Trojan Sierpień 2004 1
Skuller Trojan Listopad 2004 6
Lasco Robak Bluetooth/Wirus Styczeń 2005 1
Locknut Trojan Luty 2005 2
Comwar Robak MMS Marzec 2005 2
Dampig Trojan Marzec 2005 1
Drever Trojan Marzec 2005 3

*klasyfikacja firmy Kaspersky Lab – nazwy i liczby wariantów mogą się różnić od danych udostępnianych przez innych producentów oprogramowania antywirusowego.

Powyższa tabela ukazuje, że w ciągu roku pojawiły się trzy nowe typy mobilnego szkodliwego oprogramowania: robaki, wirusy i konie trojańskie. Charakterystyka tych szkodników odpowiada ich komputerowym krewnym. Niepokojące jest to, że w przypadku komputerów ewolucja tych typów szkodników trwała ponad dziesięć lat, a zaadoptowanie ich do środowiska mobilnego zajęło niecały rok. Perspektywy nie są optymistyczne - pojawienie się superrobaka "Warhol Worm" infekującego wszystkie istniejące platformy jest coraz bardziej prawdopodobne.

Pierwsza próba stworzenia takiego robaka miała miejsce w marcu 2005 roku. Na szczęście ComWar, robak MMS, zawierał wiele błędów znacznie spowalniających jego rozprzestrzenianie. Teoretycznie robak rozprzestrzeniający się za pośrednictwem wiadomości MMS może doprowadzić do przeładowania sieci GSM, a nawet do ich całkowitego zablokowania. Szkodniki tego typu są zatem poważnym problemem zarówno dla twórców oprogramowania antywirusowego, jak i dla operatorów telefonii komórkowej.

Twórcy szkodliwego oprogramowania działającego na urządzeniach przenośnych są o krok od stworzenia superrobaka "Warhol Worm", który będzie się bardzo szybko rozprzestrzeniał na wszystkich istniejących platformach.

Do momentu pisania tego artykułu nie pojawił się żaden nowy robak Bluetooth. Jednak mimo ograniczeń jakie nakłada standard Bluetooth (limitowany zasięg oraz prędkość przesyłu danych), klony Cabira zostały wykryte w 17 krajach. Biorąc pod uwagę, że liczba użytkowników "inteligentnych" telefonów bardzo szybko rośnie, nowy robak będzie mógł dotrzeć jeszcze dalej niż Cabir.

Dotychczas wykryto 5 rodzin trojanów przeznaczonych dla urządzeń przenośnych. Większość z nich po zainstalowaniu zastępuje zainstalowane aplikacje własnym kodem, doprowadzając do uniemożliwienia pracy. Większość z tych szkodników zawiera jedną z wersji Cabira, która wykorzystywana jest do dalszego rozprzestrzeniania.

Jeden z robaków, Lasco, jest wart dokładniejszego opisu. Szkodnik ten to hybryda łącząca cechy robaka i wirusa. Po zainstalowaniu Lasco skanuje urządzenie w poszukiwaniu archiwów SIS i infekuje je poprzez dopisanie własnego kodu. W chwili obecnej istnieją dwie wersje tego szkodnika - jedna z nich infekuje archiwa SIS zapisane na urządzeniach Win32, natomiast druga działa w środowisku Symbian. Procedura infekowania poprzez technologię Bluetooth została przeniesiona żywcem z kodu źródłowego Cabira.

Z mobilnym szkodliwym oprogramowaniem wiąże się jeszcze jedna kwestia: analitycy z firmy Kaspersky Lab przeprowadzili wiele testów mających za zadanie wyłonienie odpowiedzi na pytanie, czy komputery wykorzystujące system Symbian montowane w samochodach mogą zostać zainfekowane. Okazało się, że póki co jest to niemożliwe. Może to jednak być kolejny cel twórców szkodliwego oprogramowania i możemy mieć pewność, że prace nad takimi szkodnikami trwają.

Podsumowując, robaki i trojany tworzone dla urządzeń przenośnych zwiastują nadchodzącą burzę - inteligentne telefony, inteligentne domy, urządzenia i technologie przyszłości zapewnią nieskończone możliwości dla kolejnych pokoleń cyber-przestępców.

Podsumowanie

Wydarzenia z pierwszego kwartału 2005 roku potwierdzają przewidywania ekspertów z branży bezpieczeństwa IT. Faktem stał się zmierzch robaków pocztowych i zastępowanie ich miejsca przez robaki sieciowe oraz wykorzystujące komunikatory internetowe.

Robaki IM-Worm znajdują się jeszcze we wczesnym stadium rozwoju, co w połączeniu z udoskonalonym bezpieczeństwem systemu Windows XP dało nam trzy spokojne miesiące. Obserwujemy jednak rosnącą liczbę ataków typu phishing, łączenie cech programów adware ze szkodliwym kodem, coraz większy udział botnetów oraz szkodniki przeznaczone dla urządzeń przenośnych. Istnieje duże prawdopodobieństwo, że te trzy miesiące to tylko cisza przed burzą.

Nieustannie udoskonalane technologie antywirusowe oraz zwiększająca się świadomość użytkowników zmuszają twórców szkodliwego oprogramowania do tworzenia nowych metod wnikania do systemów.

Ostatecznie, coraz większe zainteresowanie jakim cieszą się gry on-line oraz potencjalne zyski oferowane przez ten przemysł przyciągają coraz większą liczbę cyber-przestępców.