Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin, styczeń - czerwiec 2006: Ewolucja złośliwego oprogramowania

Tagi:

Yury Mashevsky
Starszy analityk wirusów, Kaspersky Lab
  1. Ewolucja złośliwego oprogramowania
  2. Złośliwe oprogramowanie dla platform innych niż Win32
  3. Ataki internetowe
  4. Złośliwe programy dla urządzeń przenośnych
  5. Raport o spamie

Najnowszy półroczny raport przedstawia najważniejsze zmiany w ewolucji złośliwego oprogramowania w ciągu ostatnich sześciu miesięcy i zawiera wiele prognoz dotyczących rozwoju sytuacji w oparciu o posiadane statystyki.

Raport ten przeznaczony jest głównie dla ekspertów z branży IT, którzy specjalizują się w zakresie złośliwego oprogramowania, oraz użytkowników zainteresowanych tym tematem.

Ewolucja złośliwego oprogramowania: Wyniki dla pierwszej połowy 2006 roku

Sześć pierwszych miesięcy 2006 roku przyniosło znaczne zmiany. Liczba nowych złośliwych programów (łącznie z modyfikacjami) zwiększała się każdego miesiąca średnio o 8% w stosunku do tego samego okresu w 2005 roku (zobacz Rysunek 1).


Rysunek 1. Liczba nowych modyfikacji złośliwych programów wykrytych w ciągu jednego miesiąca.

Jak wynika z Rysunku 1, trojany stanowią ogromną większość złośliwych programów. Jest to jedyny rodzaj złośliwego oprogramowania, który w pierwszej połowie 2006 wykazywał wzrost pod względem liczby nowych modyfikacji (9%). Rosnąca liczba trojanów odgrywa istotną rolę w kształtowaniu się ogólnego wzrostu liczby złośliwych programów.

Tak jak można się było spodziewać, nieznacznie zmniejszyła się liczba wirusów i robaków (1,1%). Największy spadek odnotowała kategoria MalWare: liczba złośliwych programów z tej grupy zmniejszyła się o 2,3% w porównaniu z tym samym okresem w 2005 roku.

W dalszej części artykułu zajmiemy się bardziej szczegółowym omówieniem tych trzech kategorii złośliwego oprogramowania.

Trojany

Programy trojańskie rozwijają się szybciej niż inne klasy złośliwego kodu. Jak już wspominaliśmy, wzrost liczby nowych modyfikacji trojanów wynosił w pierwszej połowie 2006 roku 9%.


Rysunek 2. Liczba nowych modyfikacji koni trojańskich wykrytych w ciągu jednego miesiąca.

Rozkład trojanów ze względu na kategorię pokazuje Rysunek 3.


Rysunek 3. Rozkład trojanów ze względu na kategorię.

Z programów zaliczanych do kategorii koni trojańskich najpopularniejsze typy to: Backdoor (30%), Trojan-Downloader (26%), Trojan-PSW (12%) oraz Trojan-Spy (13%). Z czego wynika popularność tych programów? Odpowiedź na to pytanie jest o wiele prostsza niż mogłoby się wydawać na pierwszy rzut oka: ogromną rolę odgrywa tutaj aspekt finansowy. Trojany te stanowią kluczowy element podczas kradzieży poufnych informacji czy tworzenia botnetów (sieci zainfekowanych komputerów). Właśnie dlatego cieszą się popularnością wśród złośliwych użytkowników, którzy w coraz większym stopniu zorientowani są na zysk.

Popularność programów typu Trojan-Downloader czy Backdoor można wyjaśnić tym, że często wykorzystywane są do tworzenia botnetów. Aby przejąć kontrolę nad komputerem ofiary, złośliwy użytkownik infekuje go niewielkim, wyspecjalizowanym programem typu Trojan-Downloader. Zadaniem takiego trojana jest zainstalowanie w systemie innych złośliwych programów: bardzo często są to Backdoory, które przekazują pełny zdalny dostęp do komputera ofiary.

Istnieją również programy typu Trojan-Spy i Trojan-PSW. Jak wskazują ich nazwy, trojany te zajmują się szpiegowaniem i kradzieżą poufnych informacji. Za ich pomocą można "wyciągnąć" niemal każdy rodzaj danych osobowych: od haseł do gier i systemów finansowych po informacje, które mogą zostać wykorzystane w badaniach marketingowych - wszystko to bez wzbudzania najmniejszych podejrzeń użytkownika.

W przeciwieństwie do złośliwego kodu, który jest zdolny do rozmnażania się (wirusy, robaki), programy trojańskie muszą zostać "dostarczone" na komputer ofiary. Ostatnio trojany dostarczane są za pośrednictwem spamu z złącznikami zawierającymi złośliwy kod albo wykorzystuje się do tego exploity na luki w systemach operacyjnych i aplikacjach. Złośliwi użytkownicy preferują obecnie metodę masowych wysyłek. Tysiąc infekcji kosztuje w granicach 40-60 dolarów, chociaż nikt nie obiecuje klientowi, że "jego" złośliwy program będzie jedynym na zainfekowanym komputerze.

W przyszłości wzrost liczby programów zaliczanych do kategorii koni trojańskich utrzyma się prawdopodobnie na mniej więcej stałym poziomie. Możliwy jest jednak nieznaczny spadek.

Wirusy i robaki

Od ponad roku jesteśmy świadkami spadku liczby wirusów i robaków. Poniższy wykres przedstawia liczbę nowych modyfikacji wirusów i robaków wykrywanych w kolejnych miesiącach.


Rysunek 4. Liczba nowych modyfikacji wirusów i robaków na miesiąc.

Z danych dla pierwszej połowy 2006 roku wynika, że liczba nowych modyfikacji wirusów i robaków zmniejszyła się o 1,1%.

Rysunek 5 (poniżej) pokazuje różne rodzaje wirusów i robaków wykrytych w pierwszej połowie 2006 roku.


Rysunek 5. Rozkład rodzajów wirusów i robaków wykrytych w pierwszej połowie 2006 roku.

Liczba nowych modyfikacji spadła w obrębie tej klasy, od wirusów do robaków pocztowych i innych. Powodem tego spadku jest prosty rachunek ekonomiczny: taniej jest stworzyć prymitywny program trojański niż samodzielnie rozprzestrzeniający się złośliwy kod, taki jak robak.

O zmniejszeniu się liczby robaków świadczą zarówno liczne statystyki, jak i inne czynniki. Na przykład liczba globalnych epidemii znacznie zmniejszyła się w ciągu ostatnich sześciu miesięcy w porównaniu z tym samym okresem w 2005 roku.

Spadek liczby epidemii z pewnością przyczyni się do zmniejszenia strat finansowych i innych szkód. Jednak, wciąż istnieje ryzyko, że użytkownicy nie wykażą się odpowiednią ostrożnością, stwarzając tym samym okazje szkodliwym użytkownikom.

W przyszłości liczba wirusów i robaków nadal będzie spadać.

Inne złośliwe programy

Sekcja ta poświęcona jest ostatniej klasie złośliwego kodu wykrywanego przez nasze sygnatury zagrożeń. Ewolucję złośliwego kodu należącego do klasy MalWare ukazuje Rysunek 6 poniżej.


Rysunek 6. Liczba modyfikacji programów z klasy MalWare.

Liczba nowych modyfikacji programów z klasy MalWare spadła o 2,3% w porównaniu z tym samym okresem w 2005 roku.

Rysunek 7 przedstawia różne typy złośliwych programów z klasy MalWare zgodnie z systemem klasyfikacji firmy Kaspersky Lab


Rysunek 7. Rozkład różnych typów programów z klasy MalWare.

Exploity, najpopularniejsza grupa w obrębie klasy MalWare, stanowią 30%. Są one integralną częścią mechanizmu wykorzystywanego przez złośliwe oprogramowanie do rozprzestrzeniania się.

Szantaż - niebezpieczny trend

Jednym z najniebezpieczniejszych trendów w ostatnich miesiącach był wzrost liczby incydentów, polegających na tym, że szkodliwi użytkownicy wykorzystywali określony program do zmodyfikowania danych na komputerze ofiary, a następnie szantażowali użytkownika. Wiele z tych programów jest bardzo podobnych do siebie, a ich celem jest uszkodzenie funkcji komputera ofiary lub zablokowanie dostępu do danych. Wzrost liczby nowych modyfikacji takich programów przedstawia Rysunek 8.


Rysunek 8. Liczba programów modyfikujących dane i wykorzystywanych do szantażu.

W styczniu 2006 roku programy tego typu reprezentowane były w zasadzie przez jednego trojana - był to Trojan.Win32.Krotten. W ciągu zaledwie dwóch tygodni autor Krottena wypuścił, z niezwykłą regularnością, aż 13 modyfikacji tego złośliwego kodu. Aby uniemożliwić wykrycie Krottena nieustannie zmieniał kod. Wyjaśnia to ukazany na wykresie gwałtowny wzrost, jaki nastąpił na początku pierwszej połowy 2006 roku.

Komputerowi szantażyści zaczęli zwracać naszą uwagę od lutego 2006 roku: pojawiały się wtedy nowe rodzaje złośliwego oprogramowania z tej grupy, tworzone przez różnych autorów. Jednak pod względem nowych modyfikacji Krotten wciąż pozostaje na prowadzeniu.

Pod koniec stycznia pojawił się następca Krottena - Virus.Win32.Gpcode. Trojan.Win32.Krotten nigdy nie modyfikował plików użytkownika (a jedynie rejestr systemowy, aby utrudnić użytkownikowi usunięcie trojana oraz korzystanie z zainfekowanego komputera). To oznaczało, przynajmniej teoretycznie, możliwość przywrócenia komputera ofiary do stanu sprzed infekcji. Gpcode nie pozostawił użytkownikowi tej szansy. Przez pierwsze sześć miesięcy 2006 roku program ten gwałtownie rozwijał się: autor odszedł od typowego symetrycznego algorytmu szyfrowania na rzecz niesymetrycznego, zwiększając długość wykorzystywanego klucza z 56 bitów do 64, 260, 330 i tak dalej, aż do 660.

W ciągu pierwszej połowy tego roku liczba trojanów wykorzystywanych do szantażu zwiększyła się z dwóch do sześciu (Krotten, Daideneg, Schoolboys, Cryzip, MayArchive, Gpcode). W okresie ich największego rozwoju ataki tych trojanów ograniczały się do Rosji i Wspólnoty Niepodległych Państw. Jednak pod koniec lipca ich autorzy lub użytkownicy wyraźnie zwiększyli zasięg - podobne przypadki szantażu pojawiły się w Niemczech, Wielkiej Brytanii i kilku innych państwach.

Nic nie stoi na przeszkodzie dalszego rozwoju złośliwych programów tego typu - fakt ten stanowi szczególny powód do niepokoju. Znamy przypadki, gdy początkujący użytkownicy, którzy zaledwie dzień wcześniej ledwo potrafili posługiwać się myszką, próbują teraz szczęścia w cyberszantażu. Niektóre z takich prób są zupełnie absurdalne - zdarzało się, że złośliwy użytkownik zażądał określoną kwotę okupu i powiadomił, w jaki sposób należy przekazać pieniądze, ale zapomniał o zamieszczeniu swoich danych kontaktowych. Przykładem takiego trojana jest Trojan.WinREG.Schoolboys.a.

Wniosek

Niestety, przyszłość nie wygląda różowo: techniki wykorzystywane przez cyberprzestępców nadal będą ewoluowały, a liczba złośliwych programów rosła.

Liczba nowych modyfikacji złośliwych programów zwiększa się w stałym tempie: tylko w pierwszej połowie tego roku odnotowaliśmy 8 procentowy wzrost.

Najbardziej rozpowszechnione są obecnie złośliwe programy z grupy Trojan-Spy, Trojan-PSW, Trojan-Downloader oraz Backdoor: innymi słowy, wszystkie złośliwe programy wykorzystywane do tworzenia botnetów i kradzieży danych osobowych oraz własności cybernetycznej użytkowników.

Coraz popularniejsze staje się również wykorzystywanie złośliwych programów do przeprowadzania ataków na sprecyzowane cele.

W pierwszej połowie 2006 roku złośliwi użytkownicy wyraźnie preferowali infekowanie komputerów przy użyciu exploitów. Popularność tej metody wynika z tego, że złośliwy program jest do pewnego stopnia niewykrywalny na komputerze użytkownika, tj. złośliwy kod nie musi być aktywowany przez użytkownika.

Powyższe wnioski mogą brzmieć dosyć groźnie, jednak sytuacja nie jest aż tak zła. Regularna aktualizacja sygnatur zagrożeń oraz instalowanie łat bezpieczeństwa dla oprogramowania pomoże uchronić komputer lub system przed większością wymienionych zagrożeń.

Źródło:
Kaspersky Lab
Więcej informacji
Analizy
Kaspersky Security Bulletin, <nobr>styczeń - czerwiec 2006:</nobr> Złośliwe oprogramowanie dla platform innych niż Win32
Kaspersky Security Bulletin, <nobr>styczeń - czerwiec 2006:</nobr> Ataki internetowe
Kaspersky Security Bulletin, <nobr>styczeń - czerwiec 2006:</nobr> Złośliwe programy dla urządzeń przenośnych
Kaspersky Security Bulletin, <nobr>styczeń - czerwiec 2006:</nobr> Raport o spamie