Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin, styczeń - czerwiec 2006: Ataki internetowe


Costin Raiu
Szef działu badań i rozwoju, Kaspersky Lab Rumunia

Ataki internetowe: styczeń - czerwiec, 2006
  1. Ewolucja złośliwego oprogramowania
  2. Złośliwe programy dla platform innych niż Win32
  3. Ataki internetowe
  4. Złośliwe programy dla urządzeń przenośnych
  5. Raport o spamie

W poprzednim raporcie Kaspersky Lab1 omówiliśmy najpopularniejsze formy ataków przeprowadzanych za pośrednictwem Internetu w 2005 roku oraz przedstawiliśmy rozkład tych ataków ze względu na państwo, w którym zostały zainicjowane. Raport zawierał również przegląd ewolucji niektórych popularnych złośliwych programów na przestrzeni roku. Głównym źródłem ataków okazały się Chiny: 38% ataków internetowych powodowały złośliwe programy, które powstały właśnie w tym państwie.

W najnowszym artykule analizujemy ataki przechwycone za pomocą sieci Smallpot w pierwszej połowie 2006 roku. Ponadto, przedstawimy rozkład tych ataków ze względu na źródłowy adres IP oraz państwo pochodzenia i określimy, czy od 2005 roku nastąpiły jakieś istotne zmiany. Ostatnia część artykułu poświęcona jest łatom opublikowanym w pierwszej połowie 2006 roku, które mogą mieć wpływ na ewolucję ataków internetowych i złośliwego oprogramowania, oraz zawiera wnioski i prognozy na przyszłość.

Statystyki

Pozycja Udział procentowy Typ Nazwa Biuletyn Zmiana pozycji
1 37,39 sonda HTTP GET Generic
2 12,72 sonda FTP +17
3 9,28 exploit Buffer Overrun in Microsoft RPC Interface MS03-026 +7
4 9,20 robak Slammer.A MS02-039
5 4,07 robak Lupper CVE-2005-1921, CVE-2005-0116, CVE-2005-1950 nowość
6 3,90 robak Blaster MS03-026 +6
7 3,81 sonda Webdav MS03-007 -2
8 3,77 sonda Radmin -6
9 3,27 sonda SSH bruteforce -1
10 2,27 sonda MSSQL -4
11 2,22 exploit Microsoft ASN.1 MS04-007 -2
12 0,87 exploit WINS MS04-045 +6
13 0,80 sonda HTTP CONNECT -3
14 0,44 exploit Microsoft SQL Server 2000 Resolution Service MS02-039 -7
15 0,22 sonda Dabber   +1
16 0,13 exploit Dameware VU#909678 -2
17 0,12 çîíä Dipnet   -14
18 0,11 sonda Kuang backdoor execute command nowość
19 0,09 sonda HTTP HEAD Generic nowość
20 0,09 sonda SSL Handshake nowość
20 najpopularniejszych sond i ataków internetowych w pierwszej połowie 2006 roku.

Ilość spamu wysyłanego za pośrednictwem Internetu nie uległa znacznemu zmniejszeniu, dlatego nikogo nie powinno dziwić, że pierwsze miejsce nadal zajmuje sonda generyczna HTTP GET. Ogólnie, odnotowaliśmy znaczny, 5 procentowy wzrost liczby sond. Świadczy to o tym, że poszukiwanie otwartych serwerów proxy, które mogą zostać później wykorzystane do wysyłania spamu, wciąż jest bardzo popularne. Przyczyną jest dochodowość tego procederu.

Na drugim miejscu znajdują się próby anonimowego logowania FTP. Od poprzedniego roku sondy te awansowały o siedemnaście miejsc i stanowią teraz 12% całkowitej liczby sond i ataków. W większości przypadków są one generowane przez automatyczne narzędzia przeznaczone do wyszukiwania stron ftp, które można wykorzystać do zamieszczenia i współdzielenia nielegalnego oprogramowania.

Głośna luka wykorzystywana przez robaka Blaster - przepełnienie bufora w interfejsie RPC, opisana w biuletynie MS03-026, również przesunęła się w górę, aż o siedem pozycji. Przyczyną może być wzrost liczby botów (warianty oparte na Rbot i IRCbot) wykorzystujących exploity na tę lukę. Ich kod źródłowy jest powszechnie dostępny. Jest to tylko jedna z luk wykorzystywanych przez takie boty, jednak zdecydowanie najpopularniejsza, pomimo tego że istnieje już od ponad trzech lat.

Slammer, robak atakujący serwery MS SQL, został wypuszczony w styczniu 2003 roku i wciąż aktywnie się rozprzestrzenia - liczba raportów dotyczących tego robaka rośnie. Szkodnik ten odpowiada za 9,20% wszystkich ataków internetowych, co oznacza, że dowolny komputer podłączony do Internetu stanie się ofiarą Slammera przynajmniej raz dziennie.

Na piątym miejscu znajduje się Lupper, stosunkowo młody robak dla Linuksa, który wykorzystuje różne exploity atakujące popularne skrypty/biblioteki PHP/CGI. Szkodnik ten pojawił się w listopadzie 2005 roku, potrzebował jednak trochę czasu, aby rozprzestrzenić się w Internecie. Ponad 4% wszystkich raportów otrzymanych w pierwszej połowie 2006 roku dotyczy Luppera.

Miesiąc Udział procentowy
Styczeń 62,73
Luty 23,24
Marzec 5,75
Kwiecień 1,65
Maj 0,20
Czerwiec 6,44
Ataki robaka Net-Worm.Linux.Lupper.a (i jego wariantów) styczeń-czerwiec, 2006

Jak wynika z tabeli, większość ataków przeprowadzonych przez tego robaka nastąpiło w styczniu i w lutym, po czym ich liczba spadła. Powodem czerwcowego wzrostu liczby ataków Luppera była ewolucja jego nowych wersji zdolnych do wykorzystywania nowo wykrytych exploitów.

Interesujące jest to, wraz z rozpowszechnieniem się luki przepełnienia bufora interfejsu RPC zwiększyła się liczba robaków Blaster, które wciąż rozprzestrzeniają się za pośrednictwem Internetu. Chociaż daleko mu do popularności Slammera, Blaster wciąż stanowi 4% wszystkich ataków.

Ataki Webdav (MS03-007), przeprowadzane za pomocą botów i narzędzi hakerskich, spadły o dwa miejsca. Takie ataki są stosunkowo stare i prawdopodobnie mniej skuteczne niż kiedyś. Wciąż jednak wykorzystują je powstałe niedawno robaki, które rozprzestrzeniają się za pośrednictwem nowszych luk.

Ataki Radmina, które w rankingu z 2005 roku znajdowały się na trzecim miejscu, spadły o sześć pozycji. Biorąc pod uwagę fakt, że dostępne są łaty na zagrożone wersje oprogramowania oraz powstają nowsze wersje Radmina, liczba tych ataków prawdopodobnie nadal będzie spadać.

Na miejscu dziewiątym i dziesiątym znajdują się ataki "SSH password brute force" oraz próby "MSSQL handshake" (po których następują zazwyczaj próby logowania brute force). Oba są mało skutecznymi metodami włamywania do systemu i dlatego częściej wykorzystywane są w atakach na sprecyzowane cele niż na dużą skalę. Naturalnie, po zidentyfikowaniu systemu jako działającego na serwerze SSH lub MSSQL osoba atakująca może rozpocząć atak słownikowy mający na celu złamanie hasła typowych kont, takich jak "root" czy "SA".

Liczba exploitów Microsoft ASN.1 spadła o około 0,5%, o dwie pozycje. W przeszłości exploity te przypisywane były wariantom Rbot i Bozori.c. Warianty Rbot wciąż rozprzestrzeniają się, jednak Bozori.c znajduje się obecnie na krawędzi wymarcia, co wyjaśnia spadek liczby ataków.

Z drugiej strony, rozpowszechniły się nowsze ataki WINS, które wykorzystywane są głównie w robakach sieciowych.

Największy spadek, z trzeciego miejsca w zeszłym roku na siedemnaste, wykazują sondy szukające backdoora zainstalowanego przez robaka Dipnet. Ponieważ jesienią 2005 roku Dipnet niemal całkowicie zniknął ze sceny, szanse znalezienia komputera, który byłby zainfekowany tym robakiem, są raczej niewielkie. Spamerzy wykorzystujący automatyczne narzędzia do wyszukiwania takich komputerów bez wątpienia dostosowali swoje taktyki do sytuacji.

Wśród 20 najpopularniejszych sond i ataków internetowych w pierwszej połowie 2006 roku znajdują się cztery nowości. Oprócz Luppera, przechwytywaliśmy coraz więcej sond poszukujących backdoora Kuang, żądań HTTP HEAD i żądań SSL handshake. Wzrost liczby pierwszej z sond można przypisać robakom, które potrafią rozmnażać się poprzez infekowanie komputerów, które zostały już zainfekowane backdoorem Kuang; pozostałe są typowymi sondami "request for information".

10 najpopularniejszych luk wykorzystywanych w atakach internetowych

Pozycja Biuletyn Opis
1 MS03-026 Przepełnienie bufora w interfejsie RPC może umożliwić uruchomienie kodu
2 MS02-039 Przepełnienie bufora w usłudze SQL Server 2000 Resolution Service może umożliwić uruchomienie kodu
3 MS03-007 Niesprawdzany bufor w składniku systemu Windows może być przyczyną złamania zabezpieczeń serwera sieci Web
4 MS04-007 Luka w technologii ASN.1 umożliwia wykonanie kodu
5 CVE-2005-1921 Luka w PEAR XML_RPC 1.3.0 i wcześniejszych wersjach (aka XML-RPC lub xmlrpc) oraz PHPXMLRPC (aka XML-RPC dla PHP lub php-xmlrpc) 1.1 i wcześniejszych wersjach
6 CVE-2005-0116 AWStats 6.1, i wersje wcześniejsze niż 6.3, pozwala zdalnemu agresorowi na wykonanie dowolnych poleceń poprzez metaznaki powłoki w parametrze configdir
7 CVE-2005-1950 hints.pl w Webhints 1.03 pozwala zdalnemu agresorowi na wykonanie dowolnych poleceń poprzez metaznaki powłoki w argumencie
8 MS04-045 Luka w usłudze WINS może pozwolić na zdalne wykonanie kodu
9 VU-909678 Luka: przepełnienie bufora w DameWare Mini Remote Control
10 MS03-051 Przepełnienie bufora w Microsoft FrontPage Server Extensions może pozwolić na wykonanie kodu
10 najpopularniejszych luk wykorzystywanych w atakach internetowych, styczeń-czerwiec 2006

W porównaniu z zeszłym rokiem wzrosła liczba prób wykorzystania luk w systemach operacyjnych i produktach producentów innych niż Microsoft. Niektóre z luk wykorzystywanych przez Luppera znalazły się w dwudziestce najpopularniejszych ataków internetowych i sond, zajmując piątą, szóstą i siódmą pozycję.

Najczęściej wykorzystywaną luką w atakach internetowych w pierwszej połowie 2006 roku była luka przepełnienia bufora w interfejsie RPC, opisana w biuletynie Microsoftu Security Bulletin MS03-026, która bardziej znana jest jako luka wykorzystywana przez Blastera.

Chociaż od czasu opublikowania ostatniego raportu liczba exploitów na luki opisane w biuletynach MS03-026 i MS03-007 spadła, programy te wciąż są powszechnie wykorzystywane, zarówno przez złośliwe oprogramowanie, jak i osoby atakujące.

Ostatnią poważną różnicę stanowi pojawienie się w rankingu luki opisanej w biuletynie MS03-051, która znajduje się na dziesiątym miejscu. Biuletyn Bezpieczeństwa, zatytułowany "Buffer Overrun in Microsoft FrontPage Server Extensions Could Allow Code Execution (813360)" zawiera odnośniki do aktualizacji bezpieczeństwa, które są niezbędne w celu załatania zagrożonych komputerów.

Wszystkie dziesięć najpopularniejszych luk zostało wykrytych jeszcze przed 2006 rokiem. Nie oznacza to, że nowsze luki nie są w ogóle wykorzystywane, a jedynie to, że ich wykorzystywanie nie odbywa się na dużą skalę.

20 portów najczęściej wykorzystywanych do ataków internetowych

Pozycja Udział procentowy Port
1 34,85 445
2 24,99 1026 (UDP)
3 17,89 80
4 5,07 1027 (UDP)
5 3,72 1025 (UDP)
6 3,09 21
7 2,64 135
8 2,63 1434 (UDP)
9 1,68 1433
10 0,89 4899
11 0,79 22
12 0,54 4444
13 0,31 3128
14 0,26 42
15 0,11 5554
16 0,11 6588
17 0,08 443
18 0,04 6129
19 0,03 17300
20 0,03 3127
20 portów najczęściej wykorzystywanych do ataków internetowych, styczeń - czerwiec 2006

W przeszłości lista 20 najczęściej wykorzystywanych portów w atakach internetowych okazała się cennym źródłem informacji na temat luk najbardziej poszukiwanych przez hakerów i cyberprzestępców. W 2005 roku najczęstszym celem w przypadku komputerów działających pod kontrolą systemów Windows był port 445. Nikogo nie powinno dziwić, że sondy portu 445 wciąż znajdują się na pierwszym miejscu listy dla pierwszej połowy 2006 roku. Już w poprzednim raporcie sformułowaliśmy wniosek, że celem ogromnej większości ataków internetowych są albo bardzo stare wersje systemów Windows, albo bardzo nowe, niezałatane luki.

Zauważyliśmy bardzo interesujący wzrost liczby sond i ataków na porty 1025, 1026 i 1027. Wszystkie z nich wykorzystywane są przez spamerów do wysyłania wiadomości poprzez Windows Messenger Service. Chociaż w nowszych wersjach systemów Windows są one domyślnie blokowane, ogromna liczba komputerów działających pod kontrolą systemów Windows 2000 i Windows XP bez SP2 sprawia, że porty te są popularnym celem.

Ataki na port 80 pozostawały na mniej więcej stałym poziomie. Interesujące jest to, że w niektórych przypadkach, maszyny Smallpot zostały trafione przez boty wyszukiwarek, które wydawały się sondować losowe adresy IP w Internecie. Po zidentyfikowaniu serwera sieciowego moduł silnika wyszukującego próbował schwytać stronę główną, a potem całą stronę www. Wyjaśnia to, dlaczego osoby, które stworzyły swoje serwisy internetowe na komputerach domowych, stwierdzały później, że adresy ich strony wymienione są w głównych wyszukiwarkach, chociaż nie opublikowały ich nigdzie w Internecie.

Zwiększyła się również liczba sond portu 21 (FTP), które awansowały na liście o 12 pozycji. Jak mówiliśmy w poprzednim rozdziale, port FTP stał się popularnym celem narzędzi identyfikujących strony, które mogą zostać wykorzystane do dystrybuowania pirackiego oprogramowania. Ma to bezpośredni związek ze wzrostem cyberprzestępczości, a zwłaszcza przestępczości internetowej.

Rozkład geograficzny ataków internetowych i sond

Pozycja Państwo Udział procentowy
1 Stany Zjednoczone 40,60
2 Chiny 17,22
3 Filipiny 4,58
4 Niemcy 4,14
5 Kanada 2,63
6 Finlandia 2,61
7 Wielka Brytania 2,25
8 Japonia 2,14
9 Korea Południowa 2,09
10 Rosja 1,77
11 Hong Kong 1,63
12 Holandia 1,32
13 Tajlandia 1,22
14 Hiszpania 0,74
15 Meksyk 0,73
16 Włochy 0,69
17 Norwegia 0,67
18 Australia 0,66
19 Szwecja 0,62
20 Belgia 0,42
Geograficzny rozkład ataków internetowych i sond, styczeń - czerwiec 2006

W 2004 roku Stany Zjednoczone były głównym źródłem przechwytywanych przez nas ataków i sond. Jednak w 2005 roku nastąpiła zmiana: Chiny wyprzedziły dotychczasowego lidera o ponad 6%. W tym roku natomiast sytuacja odwróciła się: 40,60% ataków na całym świecie pochodziła ze Stanów Zjednoczonych, a 17,22% z Chin. Spadek ten nie wynikał ze zmniejszenia się rzeczywistej liczby ataków pochodzących z Chin, ale ze znacznego wzrostu liczby ataków, których źródłem są Stany Zjednoczone.

Korea Południowa, która w zeszłym roku znajdowała się na trzeciej pozycji, spadła na dziewiąte miejsce, a jako trzecie uplasowały się Filipiny. Również Niemcy odnotowały zauważalny wzrost; w porównaniu z zeszłym rokiem przechwyciliśmy, średnio, trzy razy więcej ataków pochodzących z tego państwa.

Kolejna znaczna zmiana dotyczyła Francji, która przesunęła się na szóstą pozycję z czternastego miejsca zajmowanego w zeszłym roku. Z kolei Rosja spadła z miejsca szóstego na dziesiąte.

Nie trzeba mówić, że największą zmianą był znaczny wzrost liczby ataków i sond pochodzących ze Stanów Zjednoczonych. Był to dość nieoczekiwany wynik; w okresie objętym poprzednim raportem spadek liczby ataków pochodzących ze Stanów Zjednoczonych przypisywany był wzrastającej popularności rozwiązań bezpieczeństwa, jak również surowszym przepisom dotyczącym cyberprzestępczości. Zamiana miejsc na szczycie listy dla pierwszej połowy 2006 roku nie wygląda dość optymistycznie.

Znacznie wzrosła również liczba ataków określonych złośliwych programów zainicjowanych w Stanach Zjednoczonych. Tabela poniżej pokazuje geograficzny rozkład komputerów, które zostały zainfekowane przez warianty Luppera w pierwszej połowie 2006 roku.

Pozycja Państwo Udział procentowy
1 Stany Zjednoczone 29,71
2 Niemcy 9,97
3 Chiny 7,87
4 Francja 5,83
5 Japonia 4,42
6 Tajwan 4,27
7 Italia 3,99
8 Polska 2,78
9 Hiszpania 2,78
10 Meksyk 2,73
Państwa o największej liczbie komputerów zainfekowanych robakiem Net-Worm.Linux.Lupper.a (i jego wariantami)

W przeszłości większość komputerów zainfekowanych robakami sieciowymi zlokalizowanych było w Chinach. Obecnie jednak sytuacja wygląda inaczej. Prawie jedna trzecia wszystkich wykrytych infekcji robakiem Lupper została zapoczątkowana w Stanach Zjednoczonych, co stanowi znaczny odsetek. Polska, Japonia i Niemcy zawsze odnotowywały infekcje Linuksa. Spowodowane jest to popularnością tego systemu operacyjnego w tych państwach. Na trzecim miejscu znalazły się Chiny (7,87%), jednak przypadki złośliwych programów dla Linuksa są tam stosunkowo rzadkie; większość ataków związanych ze złośliwym oprogramowaniem pochodzących z Chin spowodowanych jest przez robaka Slammer. Wyraźnie wynika to z tabeli poniżej:

Pozycja Państwo Udział procentowy
1 Chiny 71,77
2 Stany Zjednoczone 5,47
3 Japonia 4,93
4 Wielka Brytania 1,29
5 Hong Kong 1,15
6 Indie 1,10
7 Tajwan 1,07
8 Brazylia 0,52
9 Szwecja 0,48
10 Francja 0,44
10 państw o największej liczbie infekcji robakiem Slammer

W porównaniu z poprzednim rokiem najbardziej znamienny jest fakt, że poza ogromnym odsetkiem infekcji robakiem Slammer zlokalizowanych w Chinach (71,77%) , szkodnik ten prawie wymiera w innych regionach świata.

Ważne łaty

Jak pokazują powyższe dane, osiągnęliśmy punkt w ewolucji rozwiązań bezpieczeństwa, w którym nowsze luki rzadko wykorzystywane są na większą skalę. Pojawiło się kilka głośnych wyjątków, jednak w tych przypadkach luki wykorzystywane były przez robaki, które używały dziur do rozmnażania się. Ogromna większość takich robaków została stworzona w celu osiągnięcia zysków finansowych.

Mimo to, nie powinniśmy lekceważyć znaczenia łat bezpieczeństwa, które powinny być instalowane natychmiast po ich opublikowaniu, aby zminimalizować okres, w czasie którego komputer pozostaje niechroniony. W ciągu trzech ostatnich lat, dzięki inicjatywie Trusted Computing Initiative, Microsoft nie tylko skoncentrował się na naprawianiu luk z zabezpieczeniu systemu Windows i innych produktach, ale również na ich szybszym dostarczaniu. Ponieważ lista 10 najczęściej wykorzystywanych luk w atakach internetowych nie zawiera żadnych luk wykrytych w 2006 roku, można powiedzieć, że jest to słuszne podejście.

W pierwszej połowie 2006 roku zidentyfikowano wiele poważnych luk w zabezpieczeniu oprogramowania Microsoftu (słowo "poważny" oznacza tutaj luki, które mogą zostać zdalnie wykorzystanie i prowadzą do wykonania dowolnego kodu). Do tej pory najczęściej wykorzystywane były luki wykryte w różnych produktach Microsoft Office, takich jak aplikacja Word czy PowerPoint. Pojawiły się doniesienia o występowaniu exploitów na te luki na wolności. Luki te zostały opisane w biuletynie Microsoft Security Bulletin MS06-027 zatytułowanym “Vulnerability in Microsoft Word Could Allow Remote Code Execution (917336) oraz w biuletynach Microsoft Security Bulletin MS06-028 i MS06-012.

Zdalnie wykorzystywane luki zostały zidentyfikowane również w innych wersjach systemu Windows. Najbardziej krytyczną z nich jest prawdopodobnie luka TCP/IP, opisana w Biuletynie Bezpieczeństwa Microsoftu MS06-032. Należy jednak pamiętać, że aby luka ta mogła zostać wykorzystana, musi zostać włączona funkcja IP Source Routing; funkcja ta jest domyślnie wyłączona w systemach Windows XP Service Pack 2 i Windows Server 2003 Service Pack 1. Kolejna krytyczna luka została opisana w Biuletynie Bezpieczeństwa Microsoftu MS06-025 “Vulnerability in Routing and Remote Access Could Allow Remote Code Execution (911280)”. Jeśli zostanie skutecznie wykorzystana, luka ta pozwala zdalnemu szkodliwemu użytkownikowi na przejęcie całkowitej kontroli nad systemem ofiary.

Aby załatać narażone systemy, odwiedź stronę http://update.microsoft.com/ przy użyciu przeglądarki Internet Explorer i upewnij się, że masz włączoną funkcję automatycznej aktualizacji systemu Windows.

Jeśli chodzi o systemy Linux, liczba wykrytych w nich krytycznych luk w pierwszej połowie 2006 roku była niewielka. Pomijając błędną konfigurację, niedawne przypadki ataków na Linuksa spowodowane były błędami w różnych bibliotekach i produktach innych producentów, takich jak "sendmail". Poważna luka w systemie pocztowym "sendmail" została zidentyfikowana w marcu tego roku i opisana w Secunia Security Advisory2. Wszystkie współczesne dystrybucje Linuksa dostarczane są wraz z narzędziem automatycznej aktualizacji, takim jak "yum"3, które można użyć do pobrania i zainstalowania najnowszych łat bezpieczeństwa dla zarejestrowanych pakietów w systemie.

Jak wynika z naszego raportu na ten temat4, MacOS X również nie był wolny od luk. Na szczęście, MacOS X jest domyślnie aktualizowany, użytkownicy muszą jedynie dopilnować, żeby system operacyjny został skonfigurowany, tak aby sprawdzał aktualizacje w określonych odstępach czasowych, wybierając System Preferences -> Software Update -> Check for updates -> Daily. Można tam także wybrać dodatkowe zabezpieczenie: “Download important updates in the background”.

Wnioski

Analiza danych zebranych w pierwszej połowie 2006 roku pozwala na sformułowanie dwóch wniosków.

Po pierwsze, nastąpił spory, niespodziewany wzrost liczby ataków pochodzących ze Stanów Zjednoczonych. Wzrost ten można przypisać nie tylko zmniejszeniu wydatków na rozwiązania bezpieczeństwa, ale również ewolucji nowych rodzajów ataków, które wykorzystują luki w takich rozwiązaniach. Zauważyliśmy również, że firmy inwestują wprawdzie w ochronę komputerów działających pod kontrolą systemów Windows, ale nie robią tego w stosunku do komputerów z systemem Linux. Być może spowodowane jest to fałszywym poczuciem bezpieczeństwa, które wydaje się powszechne w przypadku systemów uniksowych; bez względu na przyczynę, wygląda na to, że administratorzy systemów zaniedbali aktualizację systemów. Świadczy o tym fakt, że w Stanach Zjednoczonych znajdowała się jedna trzecia wszystkich komputerów zainfekowanych złośliwymi programami, które wykorzystywały wykryte niedawno luki w popularnych bibliotekach i narzędziach PHP. Na szczęście, większość z tych komputerów została załatana do tego czasu. Należy jednak pamiętać, że Lupper (i jego warianty) był drugim najbardziej rozpowszechnionych robakiem sieciowym w pierwszej połowie 2006 roku.

Po drugie, potwierdził się trend, który zauważyliśmy i o którym pisaliśmy od 2003 roku: rośnie liczba przypadków cyberprzestępczości. Z analizy danych przedstawionych w tym raporcie oraz innych danych dotyczących tego okresu jasno wynika, że coraz więcej środków inwestowanych jest w nielegalne zarabianie pieniędzy za pośrednictwem Internetu: poprzez wysyłanie spamu, sprzedaż pirackiego oprogramowania lub innych kradzionych przedmiotów. Obecnie większość osób zamieszanych w tego typu działalność mieszka w Stanach Zjednoczonych, jednak cyberprzestępczość nie ogranicza się do jednego państwa, ale stanowi zjawisko globalne.

W poprzednim raporcie przewidywaliśmy dalszy wzrost liczby ataków związanych ze spamem. Potwierdzają to dane przedstawione w niniejszym artykule. Pojawił się nowy rodzaj ataków związanych z cyberprzestępczością: znajdowanie kont FTP, które mogą zostać wykorzystane do nieodpłatnego przechowywania złośliwych programów, pirackiego oprogramowania i innych informacji. Ochrona przed takimi atakami sprowadza się zazwyczaj do zainstalowania najnowszych łat, skutecznej, dobrze skonfigurowanej zapory przeciwogniowej oraz rozwiązania antywirusowego. Oczywiście należy również upewnić się, że wszystkie konta, które "widoczne" z Internetu, posiadają odpowiednio mocne hasła, a dostęp do nich zawsze uzyskiwany jest poprzez bezpieczne połączenia (SSL, SSH).

Firma Kaspersky Lab będzie nadal monitorowała sytuację oraz informowała o najnowszych trendach w tworzeniu złośliwego oprogramowania, atakach internetowych i cyberprzestępczości. Kontynuacją cyklu artykułów poświęconych temu tematowi będzie raport "Ataki internetowe 2006", w którym przedstawimy dane zgromadzone i zanalizowane na przestrzeni całego roku.

Bibliografia:

  1. "Ataki internetowe 2005" na stronie www.viruslist.pl
  2. Secunia, http://secunia.com/advisories/19342/
  3. The Yellow Dog Updater, Modified (YUM), http://linux.duke.edu/projects/yum/
  4. "Rozwój złośliwego oprogramowania: luki w MacOS X 2005 - 2006" na stronie www.viruslist.pl
Źródło:
Kaspersky Lab
Więcej informacji
Analizy
Kaspersky Security Bulletin, <nobr>styczeń - czerwiec 2006</nobr>: Ewolucja złośliwego oprogramowania
Kaspersky Security Bulletin, <nobr>styczeń - czerwiec 2006:</nobr> Złośliwe oprogramowanie dla platform innych niż Win32
Kaspersky Security Bulletin, <nobr>styczeń - czerwiec 2006:</nobr> Złośliwe programy dla urządzeń przenośnych
Kaspersky Security Bulletin, <nobr>styczeń - czerwiec 2006:</nobr> Raport o spamie