Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kaspersky Security Bulletin 2006: Ewolucja szkodliwego oprogramowania

Tagi:

Alexander Gostev
Starszy analityk wirusów, Kaspersky Lab

Raport ten prezentuje najistotniejsze wydarzenia związane ze złośliwym oprogramowaniem, jakie miały miejsce w zeszłym roku. Zawiera również przegląd ewolucji nielegalnego rynku złośliwego oprogramowania oraz analizę obecnej sytuacji. Przedstawiono w nim również dane statystyczne.

Tekst przeznaczony jest głównie dla specjalistów ds. bezpieczeństwa IT. Może również okazać się ciekawy dla użytkowników zainteresowanych złośliwymi programami.

  1. Ewolucja szkodliwego oprogramowania
  2. Szkodliwe programy dla systemów uniksowych
  3. Mobilne szkodliwe programy
  4. Ataki internetowe
  5. Spam w 2006 roku

W 2006 roku złośliwy kod nadal ewoluował zgodnie z trendami ustanowionymi we wcześniejszym okresie: liczba programów trojańskich znacznie przewyższyła liczbę robaków; wzrosła również liczba nowych złośliwych programów atakujących elektroniczne finanse użytkowników.

Łączna liczba nowych złośliwych programów wzrosła o 41% w stosunku do roku 2005.

Do najbardziej interesujących trendów w 2006 roku należał stały wzrost liczby trojanów szpiegujących (spy) przeznaczonych do kradzieży danych użytkowników gier online oraz ciągła ewolucja trojanów szyfrujących dane użytkownika - trojany te zaczęły wykorzystywać profesjonalne algorytmy szyfrowania. Warto również wspomnieć o dużej liczbie nowych luk zidentyfikowanych w pakiecie Microsoft Office, które skłoniły twórców wirusów do wypuszczenia nowych złośliwych programów wykorzystujących te dziury.

Do ważnych wydarzeń 2006 roku można również zaliczyć pierwsze "prawdziwe" wirusy i robaki dla systemu operacyjnego MacOS X oraz trojany dla platformy przenośnej J2ME; te ostatnie miały na celu kradzież pieniędzy z kont użytkowników "mobilnych". Pojawiło się wiele interesujących innowacji w technologiach rootkit i anti-rootkit - zarówno teoretycznych, jak i praktycznych. Przykładem może być stworzony przy użyciu zasobów Microsoftu rootkit typu "proof of concept" - SubVirt - czy BluePill Joanny Rutkowskiej.

Równie interesująca była decyzja twórców wirusów o powrocie do korzeni; widać to na przykładzie ewolucji technologii polimorficznych, które wykorzystywano nie tylko w wirusach plikowych, ale również skryptowych.

Autorzy złośliwych programów zaczęli aktywniej wykorzystywać niestandardowe wektory infekcji: komunikatory internetowe, takie jak ICQ, AOL i MSN, stały się poważnym zagrożeniem dla bezpieczeństwa. Jest to bezpośrednio związane z dużą liczbą luk w popularnych przeglądarkach internetowych, szczególnie w Internet Explorerze.

Ogólnie, z technicznego punktu widzenia był to dość interesujący rok. Na szczęście, nie wystąpiła żadna poważna globalna epidemia porównywalna do tych, jakie miały miejsce w 2005 roku, jak na przykład epidemia spowodowana robakiem Mytob. Z drugiej strony, miejsce epidemii globalnych zajęły dobrze zorganizowane epidemie lokalne obejmujące specyficzne obszary geograficzne (np. Chiny, Rosja) oraz bardzo krótkotrwałe epidemie.

Wszystkie te wydarzenia zostały szczegółowo przedstawione w naszych kwartalnych raportach za rok 2006; niniejszy raport zawiera dodatkowe informacje statystyczne.

Największe epidemie wirusowe w 2006 roku

W 2006 roku odnotowano w sumie 7 dużych epidemii wirusów, o połowę mniej niż w poprzednim roku (14).

Epidemie 2006 roku można podzielić na cztery grupy: epidemia robaka Nyxem.e, robaka Bagle, robaka Warezov oraz kilku wariantów trojana szyfrującego dane użytkownika - Gpcode.

Pod koniec stycznia 2006 roku został masowo rozesłany nowy wariant robaka pocztowego Nyxem. Był to dość interesujący wariant, ponieważ został tak zaprogramowany, że zmuszał zainfekowane maszyny do odwiedzenia określonej strony z licznikiem wizyt. Na przestrzeni kilku dni licznik zarejestrował setki tysięcy odwiedzin tej strony, co dostarczyło firmom antywirusowym dowód na wystąpienie dużej epidemii. Dodatkowa analiza wykazała, że większość zainfekowanych komputerów zlokalizowana była w Indiach i krajach Ameryki Południowej (zwłaszcza w Peru). Szkodliwa funkcja Nyxema polegała na usuwaniu wszystkich plików, dokumentów oraz archiwów użytkownika trzeciego dnia każdego miesiąca. Gdy do 3 lutego 2006 roku Nyxem.e zdołał zainfekować ponad milion komputerów, media zaczęły podawać szczegóły dotyczące tego szkodnika, aby ostrzec użytkowników komputerów przed zagrożeniem. Pomogło to zapobiec masowej utracie danych - użytkownicy wiedzieli, że powinni uważać na oznaki infekcji i, w razie konieczności, usunąć szkodnika z komputera. W rezultacie, 3 lutego na stronie internetowej odnotowano niewielką liczbę odwiedzin.

Mimo to Nyxem.e nie zniknął i w 2006 roku jego udział w złośliwym kodzie w ruchu pocztowym nadal był stosunkowo wysoki. Szczyt aktywności robak ten osiągnął po raz drugi w sierpniu i we wrześniu. Ogólnie, Nyxem.e był piątym najbardziej powszechnym złośliwym programem w ruchu pocztowym w 2006 roku.

Oprócz Nyxema w styczniu 2006 roku pojawił się również trojan, który wykorzystywał profesjonalny algorytm kryptograficzny w celu szyfrowania danych użytkownika. Gpcode.ac wykorzystywał 56-bitowy klucz RSA. Trojan ten szyfruje pliki użytkownika, a następnie wyświetla komunikat z żądaniem pieniędzy; dane użytkownika zostaną odszyfrowane, po tym jak cyberprzestępca otrzyma pieniądze.

Program ten został masowo rozesłany przy pomocy poczty elektronicznej i powszechnie występował w rosyjskim Internecie. Mimo wielu ostrzeżeń przed otwieraniem załączników od nieznanych nadawców jego ofiarą padła ogromna liczba użytkowników. Na szczęście, firma Kaspersky Lab szybko opublikowała procedurę deszyfrowania.

Na początku 2006 roku rozesłano trzy dalsze warianty Gpcode?a; w każdej kolejnej wersji wykorzystano dłuższy klucz szyfrowania, utrudniając analitykom złamanie szyfrowania.

Gpcode.ae wykorzystywał klucz 260-bitowy, natomiast Gpcode.af - klucz 330-bitowy. Odszyfrowanie kluczy wykorzystywanych w modyfikacjach trojana Gpcode.af (klucz 330-bitowy) wymagało użycia najnowszych technologii i dziesięciu godzin intensywnej pracy analityków wirusów firmy Kaspersky Lab. Później pojawił się kolejny nowy wariant, Gpcode.ag, który wykorzystywał klucz 660-bitowy. Jednak analitycy z Kaspersky Lab poradzili sobie również z tak długim kluczem. Od tej pory nie pojawiły się już żadne nowe warianty Gpcode'a.

Ewolucję Bagla, rodziny niezwykle złośliwych robaków pocztowych, śledzimy od 2004 roku. Programy z tej rodziny ewoluowały z prostych robaków do złożonych złośliwych programów posiadających funkcjonalność serwera proxy, trojana downloadera oraz trojana spy, jak również szereg różnych procedur rozprzestrzeniania się. Szczyt aktywności Bagla przypada na 2005 rok, w następnym roku twórcy tego robaka wykazali się znacznie mniejszą aktywnością. Mimo to w lutym i czerwcu spowodowali dwie stosunkowo poważne epidemie. Po każdej z nich znacznie wzrosła ilość spamu; komputery zainfekowane Baglem wykorzystywane były jako trojańskie serwery proxy.

Bardzo podobną taktykę (krótkotrwałe, zlokalizowane masowe wysyłki) zastosowali później nieznani autorzy robaka Warezov. Funkcjonalność tego szkodnika bardzo przypomina funkcjonalność Bagla. Jego celem jest umożliwienie cyberprzestępcom wykorzystywania zainfekowanych komputerów do rozsyłania spamu. Od września do końca 2006 roku wykryto ponad 300 wariantów tego robaka; w niektóre dni laboratorium antywirusowe Kaspersky Lab odnotowywało ponad 20 nowych modyfikacji, z których każda rozprzestrzeniała się za pośrednictwem poczty elektronicznej. Mimo wszechstronności żaden z wariantów Warezova nie zdołał zaklasyfikować się do pierwszej dziesiątki złośliwych programów w ruchu pocztowym. Mimo to Warezov jest obecnie jednym z najszybciej ewoluujących i najniebezpieczniejszych rodzin złośliwych programów w Internecie.

Pozycja Nazwa Zmiana w 2006 roku
1 Net-Worm.Win32.Mytob.c 0
2 Email-Worm.Win32.LovGate.w +4
3 Email-Worm.Win32.NetSky.b +2
4 Email-Worm.Win32.NetSky.t Nowość
5 Email-Worm.Win32.Nyxem.e Nowość
6 Email-Worm.Win32.NetSky.q -4
7 Net-Worm.Win32.Mytob.u +2
8 Net-Worm.Win32.Mytob.t +7
9 Net-Worm.Win32.Mytob.q -1
10 Email-Worm.Win32.Scano.gen Nowość
Dziesięć najbardziej rozpowszechnionych złośliwych programów w ruchu pocztowym w 2006 r.

Typy złośliwych programów: 2006

W systemie klasyfikacji firmy Kaspersky Lab wyróżnia się trzy klasy złośliwych programów:

  • TrojWare: klasa ta obejmuje szereg różnych złośliwych programów, które nie potrafią samodzielnie się rozprzestrzeniać (backdoory, rootkity i wszystkie typy trojanów);
  • VirWare: samodzielnie rozprzestrzeniające się złośliwe programy (wirusy i robaki);
  • MalWare: programy wykorzystywane przez szkodliwych użytkowników w celu tworzenia złośliwych programów i przeprowadzania ataków.


Średnia liczba nowych złośliwych programów w miesiącu

poniższy diagram ukazuje udział procentowy nowych rodzin i wariantów złośliwych programów:


Rozkład złośliwych programów według kategorii pod koniec 2006 roku

Klasa Udział procentowy Zmiana pod koniec roku
TrojWare 91,79% +2,79%
VirWare 4,70% -1,3%
MalWare 3,51% -1,49%
Zmiana udziału procentowego poszczególnych klas złośliwych programów na przestrzeni roku

Ogromną większość złośliwych programów stanowią różne trojany - podobnie jak w kilku poprzednich latach. Jednak wzrost liczby trojanów w stosunku do 2005 roku (2,79%) jest znacznie mniejszy w porównaniu do 2004 roku (8,76%). Pisanie złośliwych programów z tej klasy, a następnie wykorzystanie ich do kradzieży informacji, tworzenia botnetów i wysyłania spamu jest stosunkowo proste (w porównaniu z tworzeniem robaków i wirusów). Z tego powodu liczba trojanów w Internecie nieustannie wzrasta. Potwierdza to duży udział procentowy trojanów (90%) w liczbie nowych złośliwych programów.

Liczba robaków i wirusów (VirWare) spadła, jednak nie tak znacznie jak w 2005 roku (- 6,53%). Wynika to z niewielkiego udziału programów z klasy VirWare w łącznej liczbie złośliwych programów. W niedalekiej przyszłości liczba programów z klasy VirWare nadal będzie spadać albo osiągnie stan równowagi. Nic nie wskazuje na to, ze robaki i wirusy znikną - w 2007 roku ich liczba może wzrosnąć. To, czy tak się stanie, będzie zależało od wykrycia nowych krytycznych luk w Windowsie, w szczególności w Viście.

Najmniej liczną klasą złośliwych programów jest MalWare. Programy z tej grupy wykazują szeroki wachlarz zachowań, a najciekawsze z nich to exploity. Najważniejszym wydarzeniem w 2006 roku dotyczącym tej klasy było pojawienie się sporej liczby exploitów dla MS Office. W 2007 roku przewidujemy wzrost liczby tego typu zagrożeń. Jednak będzie zależało to od sytuacji systemu Windows Vista i nowego pakietu MS Office 2007.

Zmiany w obrębie poszczególnych klas zostały szczegółowo zanalizowane w dalszej części artykułu.

Trojany

poniższy wykres ukazuje liczbę nowych programów z klasy TrojWare, wykrywanych każdego miesiąca przez analityków firmy Kaspersky Lab:


Liczba nowych programów z klasy TrojWare, wykrywanych każdego miesiąca przez analityków firmy Kaspersky Lab

Nawet pobieżny rzut oka na wykres pozwala stwierdzić, że liczba programów trojańskich stale wzrastała. Ilość tego typu programów stanowi coraz większe zagrożenie, ponieważ większość z nich to trojany, których celem jest spowodowanie strat finansowych.

Liczebność trojanów jest tak duża, że nawet techniczny wzrost liczby nowych trojanów (+46% w porównaniu z +124% w 2005 r.) nie oznacza, że powinniśmy spodziewać się spadku aktywności cyberprzestępców. Z każdym miesiącem przybywają tysiące nowych trojanów i zwiększa się katalog zachowań trojanów.

poniższy diagram pokazuje rozkład zachowań trojanów:


TrojWare: rozkład zachowań w obrębie klasy

poniższe dane liczbowe ukazują pełniejszy obraz zmian w tej klasie:

Zachowanie Zmiana pod koniec roku
Backdoor +29%
Trojan +11%
Trojan-Clicker +3%
Trojan-Downloader +93%
Trojan-Dropper -15%
Trojan-Proxy +58%
Trojan-PSW +125%
Trojan-Spy +27%
TrojWare +46%
Zmiany liczby nowych złośliwych programów w klasie TrojWare na przestrzeni 20006 roku

Spośród klasy TrojWare jedynie liczba trojanów dropperów spadła w stosunku do 2005 r. Nie powinno to nikogo dziwić, szczególnie gdy weźmiemy pod uwagę 212% wzrost odnotowany przez tę klasę w 2005 r. - trojany droppery należą do najbardziej rozpowszechnionych złośliwych programów. Trudno utrzymać tak duży współczynnik wzrostu, a 15% spadek nie oznacza, że trojany droppery stanowią mniejsze zagrożenie. Liderami 2006 r. były trojany downloadery oraz trojany PSW, których liczba wzrosła odpowiednio o 93% i 125%.

Tak duża liczba nie jest niczym niezwykłym w przypadku Trojanów downloaderów (które w 2005 r. odnotowały 270% wzrost). Stanowią one najbardziej rozpowszechnione zachowanie, a szkodliwi użytkownicy są szczególnie zainteresowani takimi programami, ponieważ trojan downloader to uniwersalny sposób infekowania komputerów złośliwych kodem. Trojan ten potrafi, jak sugeruje jego nazwa, pobrać inne złośliwe programy do systemu, które zapewniają jego twórcy różne możliwości wykorzystania zainfekowanego systemu.

Trojan PSW to jedyne zachowanie, które wykazało wzrost w stosunku do 2005 r. Liczba Trojanów PSW zwiększyła się o 125% w 2006 r. (w poprzednim roku wzrost wynosił 122%). Większość z tych programów wykorzystywanych jest do kradzieży szczegółów dotyczących kont użytkowników popularnych gier online. Gry online przeżywają obecnie szczyt popularności, zwłaszcza World of Warcraft, Lineage oraz Legend of Mir, które posiadają miliony fanów. Szczególnie popularne są w krajach azjatyckich. Postać z gry lub inne przedmioty kosztują nierzadko dziesiątki tysięcy dolarów. Cyberprzestępcy kradną dostęp do kont oraz wirtualne przedmioty, aby następnie sprzedać je na internetowych stronach aukcyjnych.

Trojany związane z grami zaliczane były w 2006 roku do dziesięciu największych zagrożeń, a ich ewolucja pokazuje, że w niedalekiej przyszłości mogą należeć do najszybciej zwiększających się zachowań spośród złośliwych programów. W 2007 roku pojawi się najprawdopodobniej kilka nowych gier online, które przyciągną miliony nowych wirtualnych graczy, a następnie, cyberprzestępców.

Warto przyjrzeć się bliżej dynamice trojanów proxy. W 2005 roku liczba trojanów z tej kategorii zwiększyła się o 68%, a w 2006 roku o kolejne 58%. Programy te nadal są popularne, ponieważ mogą być wykorzystywane do wysyłania spamu za pośrednictwem zainfekowanych komputerów. Niestety, mimo działań podejmowanych w celu zwalczania spamu - zarówno na polu technicznym, jak i legislacyjnym - ilość spamu nadal rośnie. Do końca 2006 roku spam stanowił około 80% wszystkich wiadomości w ruchu pocztowym. Istnieje wyraźna współzależność między liczbą nowych trojanów proxy a wzrostem ilości spamu. Jeśli współczynnik wzrostu tego typu trojanów spadnie w 2007 roku, nastąpi również spadek ilości spamu w Internecie.

Do klasy TrojWare należą również rootkity. W tabeli ukazującej zachowania trojanów rootkity nie zostały zaliczone do oddzielnej klasy, ponieważ obecnie ich liczba jest stosunkowo niewielka (mniejsza nawet niż liczba trojanów clickerów). Jednak rootkity często stosowane są do ukrywania różnych trojanów i ten sam rootkit może być wykorzystywany przez kilku szkodliwych użytkowników jednocześnie. W 2005 roku (gdy zaczęliśmy klasyfikować rootkity jako oddzielne zachowanie) ich liczba gwałtownie wzrosła, osiągając na przestrzeni roku bezprecedensowy 415% współczynnik wzrostu. W tym okresie rootkity należały do najczęściej dyskutowanych tematów w branży antywirusowej, a twórcy wirusów aktywnie działali na tym polu. Po tak ogromnym wzroście spodziewano się spadku; jednak liczba rootkitów pozostała na stosunkowo wysokim poziomie - w 2006 roku współczynnik wzrostu tych programów wynosił 74%. Świadczy to o tym, że rootkity nadal stanowią poważne zagrożenie. Jesteśmy ciekawi, co stanie się z rootkitami po opublikowaniu Visty. Według Microsoftu, rootkity po prostu nie będą mogły działać w tym systemie operacyjnym.

Jedną z największych podgrup w kategorii trojanów szpiegujących, która w 2006 roku odnotowała 27% wzrost, były tak zwane trojany bankowe. Celem tych programów jest kradzież informacji wykorzystywanych do uzyskania dostępu do różnych systemów płatności online oraz systemów bankowości elektronicznej. Poza tym trojany te stanowią narzędzie wykorzystywane do oszustw związanych z kartami kredytowymi, które należy do najpowszechniejszych rodzajów cyberprzestępstw. W 2006 roku liczba programów w obrębie tej kategorii nadal rosła, a liczba nowych wariantów Bankera wzrosła prawie dwukrotnie (+97%). Współczynnika wzrostu tego typu trojanów nie zahamowały ani działania podjęte przez banki w celu ochrony użytkowników przed tym zagrożeniem, ani znaczny wzrost ataków phishing wykorzystywanych do kradzieży informacji osobistych. Dostęp do konta użytkownika, możliwość zarządzania kontem poprzez Internet oraz wykorzystywanie Internetu jako miejsca dokonywania zakupów przyciąga coraz więcej użytkowników, co oznacza, że w 2007 roku ogromna większość trojanów będzie tworzona w celu kradzieży informacji osobistych.

Robaki i wirusy

poniższy wykres pokazuje liczbę nowych programów z klasy VirWare wykrywanych przez analityków firmy Kaspersky Lab w poszczególnych miesiącach:


Liczba nowych programów z klasy VirWare wykrywanych przez analityków firmy Kaspersky Lab w poszczególnych miesiącach

Jak wynika z wykresu, klasa VirWare wykazała względną stabilność na przestrzeni dwóch lat (2004 - 2005). Sytuacja zmieniła się w 2006 roku: liczba programów zaliczanych do klasy VirWare zaczęła wzrastać, zwłaszcza w drugiej połowie 2006 roku. Spowodowane było to tym, że w poprzednich sześciu miesiącach twórcy wirusów zaczęli aktywniej stosować pewne taktyki mające na celu wywołanie wielu krótkotrwałych epidemii wirusowych. Wyraźnie widać to na przykładzie autorów rodziny robaków Warezov. W niektóre dni wykrywaliśmy ponad dwa tuziny nowych niewiele różniących się od siebie wariantów tego robaka. Każdy wariant rozprzestrzeniany był na innym obszarze geograficznym (niektóre z tych robaków zostały masowo rozesłane w Rosji, inne w Niemczech itd.). Ze względu na pojawienie się licznych wariantów w krótkim czasie Warezov stanowił najszybciej zwiększającą się rodzinę ze wszystkich złośliwych programów w 2006 roku.

Oprócz Warezova duży wpływ na kategorię VirWare miał również azjatycki robak Viking. Robak ten rozprzestrzeniał się aktywnie między innymi w Chinach. Również on wyróżniał się dużą ilością wariantów, które spowodowały 8% wzrost liczby nowych programów w kategorii VirWare w stosunku do 2005 roku, w którym liczba tego typu złośliwych programów spadła o 2%.

Podobnie jak w 2005 roku, klasa ta, mimo stosunkowej stabilności, odnotowała ogólny wzrost spowodowany rozpowszechnieniem się dwóch typów zachowań: robaków pocztowych i robaków.

poniższy diagram ukazuje rozkład różnych podgrup w obrębie kategorii VirWare:


Rozkład zachowań w obrębie klasy VirWare

W 2006 roku robaki i robaki pocztowe należały do najbardziej konsekwentnych zachowań (wykazując zmiany na poziomie odpowiednio +2 i -3) z wszystkich złośliwych programów w tej klasie. Przewidujemy, że w 2007 roku zachowania te będą stanowiły siłę napędową tej klasy.

Zachowanie Zmiany do końca roku
Email-Worm +43%
IM-Worm -45%
IRC-Worm -63%
Net-Worm -55%
P2P-Worm -5%
Worm +221%
Virus -29%
VirWare +8%
Zmiany liczby nowych programów z klasy VirWare w 2006 roku

Jak już zauważyliśmy, spośród złośliwych programów w tej kategorii najwyższy wzrost osiągnęły w 2005 roku robaki Email-Worm.Win32.Warezov oraz Worm.Win32.Viking.

Czytelnicy powinni zauważyć znaczny spadek liczby nowych robaków sieciowych. Jest to najbardziej niebezpieczny i najszybciej rozprzestrzeniający się typ robaków, którego największa aktywność przypada na poprzednie lata. Główne epidemie spowodowały złośliwe programy wykazujące to zachowanie, takie jak Lovesan (2003), Sasser (2004) oraz Mytob (2005). W 2005 roku zachowanie to odnotowało 43% wzrost. Na szczęście, w 2006 r. sytuacja zmieniła się (spadek o 55% w stosunku do 2005 r.). Spowodowane to było głównie stosunkowo niewielką liczbą krytycznych luk wykrytych w aplikacjach opartych na Windowsie oraz załataniem większości starych luk. Poza tym, zapory ogniowe stały się powszechnym elementem bezpieczeństwa komputerów, podobnie jak oprogramowanie antywirusowe. Dużą role odegrali również dostawcy usług internetowych poprzez instalowanie systemów filtrowania oraz rozwiązań sprzętowych, które powstrzymywały epidemie zanim jeszcze dotknęły użytkowników.

Istnieje bardzo duże prawdopodobieństwo, że w 2007 roku utrzyma się tendencja spadkowa obserwowana wśród robaków sieciowych, a ich istnienie będzie zależało od tego, czy tę metodę rozprzestrzeniania będzie można połączyć z innymi wektorami infekcji (poczta elektroniczna, zasoby sieciowe, robaki komunikatorów internetowych itd.).

Interesujące jest to, że robaki komunikatorów internetowych nie zdobyły silnej pozycji. W 2005 roku twórcy wirusów zaczęli poświęcać więcej czasu na rozwijanie tego typu złośliwego oprogramowania, mimo że pierwszy robak komunikatorów internetowych pojawił się już w 2001 roku. Do końca 2005 r. miesięcznie wykrywane były 32 nowe robaki komunikatorów internetowych. Na początku 2006 r. dynamika robaków komunikatorów internetowych osiągnęła fazę plateau, a wkrótce potem rozpoczął się stały spadek liczby tych szkodników. Po raz kolejny możemy podziękować producentom komunikatorów internetowych, takim jak AOL i MSN za podjęte działania w celu zwalczania tego typu zagrożenia. Firmy te wprowadziły kilka filtrów i restrykcji do swoich programów, co znacznie utrudniło twórcom robaków komunikatorów internetowych wykorzystanie tych narzędzi jako wektora infekcji. Rezultatem był 45% spadek liczby nowych robaków komunikatorów internetowych. Spodziewamy się, że w 2007 r. ich liczba nadal będzie spadać, aż robaki komunikatorów internetowych niemal zupełnie znikną.

Nadal spada liczba klasycznych wirusów plikowych, nie oznacza to jednak, że twórcy wirusów stracili zainteresowanie technologiami infekowania plików. Wprost przeciwnie, metoda ta wykorzystywana jest coraz częściej w połączeniu z innymi metodami rozprzestrzeniania. Jednym z przykładów jest robak Worm.Win32.Viking, który może być wykorzystywany do infekowania plików. Co więcej, wirusy stają się coraz bardziej złożone i coraz częściej wykorzystują kod polimorficzny, który od zawsze przyprawiał firmy antywirusowe o ból głowy. Ogólnie można powiedzieć, że chociaż zachowanie to odnotowało spadek, w 2006 roku spadek ten był wolniejszy - liczba wirusów plikowych spadła tylko o 29% (dla porównania: w 2005 r. ich liczba zmniejszyła się o 45%, a w 2004 r. o 54%).

Pozostałe zachowania robaków i wirusów nie są szeroko rozpowszechnione i mają coraz mniejszy udział w liczbie złośliwych programów z kategorii VirWare. Z tego względu nie są szczególnie interesujące.

Pozostałe typy szkodliwych programów

Klasa MalWare, mimo że stanowi najmniej rozpowszechnioną klasę złośliwych programów, zawiera sporą liczbę odrębnych zachowań.

Z danych liczbowych z końca roku wynika, że udział programów z tej klasy w całkowitej liczbie złośliwych programów nie tylko spadł, ale zmiana liczby nowych programów w tej kategorii jest średnio niższa niż współczynnik wzrostu w pozostałych dwóch kategoriach.


Liczba nowych programów z klasy MalWare wykrywanych przez analityków z Kaspersky Lab w poszczególnych miesiącach

Powolny wzrost liczby nowych złośliwych programów w tej klasie, jaki mogliśmy obserwować w latach 2004 - 2005 (odpowiednio 13 i 14%), gwałtownie zmniejszył się w 2006 roku do poziomu 7%, dlatego nie mogliśmy określić wyraźnych trendów w dynamice tej kategorii. Jednak biorąc pod uwagę ogólny spadek udziału oprogramowania wykorzystywanego w tej kategorii w całkowitej liczbie złośliwych programów, można spekulować, że twórcy wirusów tracą zainteresowanie tego typu programami.

poniższy diagram ukazuje rozkład różnych zachowań reprezentowanych w klasie MalWare:


Rozkład różnych zachowań reprezentowanych w kategorii MalWare

Z wszystkich rodzajów zachowań mieszczących się w tej kategorii, tylko siedem zasługuje na wzmiankę. Złośliwe programy wykazujące inne zachowania są dość rzadkie, z tego powodu nie ewoluują. Siedem głównych zachowań ukazuje poniższa tabela:

Zachowanie Zmiany do końca roku
Constructor -18%
BadJoke, Hoax +167%
Exploit -21%
Flooder -34%
HackTool -21%
IM-Flooder +40%
SpamTool +107%
Inne -64%
Inne programy MalWare -7%
Zmiany liczby nowych programów zaklasyfikowanych do klasy MalWare w 2006 r.

Exploity stanowią największą podgrupę w klasie MalWare. W 2006 roku ich liczba spadła z powodu stosunkowo niewielkiej liczby luk, które mogą być wykorzystywane przez szkodliwych użytkowników. Luki, które spowodowały najwięcej problemów w 2006 r., to błędy w MS Office. Złośliwe programy, które wykorzystały te luki, zostały zaklasyfikowane przez ekspertów firmy Kaspersky Lab nie jako exploity, ale jako trojany. Podobnie jak w przypadku innych kategorii, prognoza na rok 2007 dla złośliwych programów z klasy MalWare zależy od tego, jakie luki zostaną zidentyfikowane w systemie Windows Vista oraz pakiecie MS Office 2007. Jeśli zostanie wykrytych wiele luk krytycznych, zamiast obecnego spadku liczby exploitów (21%) z pewnością nastąpi stały wzrost.

Szczególnie interesujący jest wzrost egzotycznego niegdyś programu IM-Flooder. Programy tego typu wykorzystywane są do ataków spamowych na komunikatory internetowe, takie jak ICQ, AOL czy MSN. Odnotowany w 2006 r. 40% wzrost wynikał z popularności tego rodzaju spamu oraz braku odpowiednich filtrów w komunikatorach internetowych, które mogłyby zapewnić ten sam poziom ochrony co systemy antyspamowe poczty elektronicznej.

Celem programów zaliczanych do grupy SpamTool jest zbieranie adresów e-mail na zainfekowanych komputerach i wysyłanie ich złośliwym użytkownikom, którzy wykorzystują je podczas wysyłania spamu. W 2005 r. byliśmy świadkami niewielkiego, ale stałego zainteresowania tym zachowaniem. W 2006 r. zainteresowanie nim gwałtownie wzrosło (+107%). Jednak pod koniec roku liczba programów z tej grupy zaczęła spadać. Spowodowane to było głównie tym, że autorzy innych trojanów i robaków, szczególnie robaka Email-Worm.Win32.Warezov, zaczęli implementować do swoich tworów procedury przechwytywania e-maili.

Rok 2006 nie był pomyślny dla programów z kategorii MalWare. W okresie tym ich popularność spadała, rosła natomiast popularność programów z klasy TrojWare.

Podobne trendy

RansomWare

Jednym z najniebezpieczniejszych trendów w 2006 r. był wzrost liczby incydentów, w których wykorzystywano programy w celu modyfikowania lub szyfrowania danych na zaatakowanym komputerze. W zamian za przywrócenie danych zdalny szkodliwy użytkownik żądał pieniędzy. Programy takie są bardzo do siebie podobne. Uniemożliwiają normalne działanie komputera lub blokują dostęp do określonych danych.

W styczniu 2006 r. grupa programów RansomWare miała tylko jednego reprezentanta. Był nim Trojan.Win32.Krotten. Autorzy tego szkodnika rozsyłali jego regularne modyfikacje co dwa tygodnie, ciągle zmieniając kod. W ten sposób chcieli zapobiec wykryciu Krottena.

W okresie największej aktywności tego szkodnika pojawiła się cała seria podobnych trojanów, z których najbardziej godny uwagi jest Gpcode. W ciągu zaledwie sześciu miesięcy Gpcode przeszedł gwałtowną ewolucję: z początku wykorzystywał standardowe symetryczne algorytmy szyfrowania, następnie algorytmy asymetryczne, a długość klucza zwiększała się z 56 bitów do 64, 260, 330, a następnie 660.

Więcej informacji o tym złośliwym programie można znaleźć na stronie http://www.viruslist.pl/analysis.html?newsid=251.

W pierwszej połowie 2006 roku liczba rodzin trojanów wykorzystywanych jako RansomWare zwiększyła się z dwóch do sześciu (Krotten, Daideneg, Schoolboys, Cryzip, MayArchive i Gpcode). Na początku roku twórcy wirusów dopiero zaczynali rozwijać tego typu programy, które geograficznie ograniczały się do Rosji i krajów Byłego Związku Radzieckiego. Jednak w połowie roku rozprzestrzeniły się dalej: wykrywane były również w Niemczech, Wielkiej Brytanii i w wielu innych krajach.

AdWare

Inną główną podgrupą klasy MalWare jest AdWare. Obejmuje ona programy, które dostarczają różne formy reklamy internetowej. W 2006 roku liczba programów AdWare spadła o 29%. Jak pisaliśmy we wcześniejszym artykule, (http://www.viruslist.pl/analysis.html?newsid=85) granice między poszczególnymi zachowaniami w tej podgrupie zacierają się, dlatego jednoznaczne zidentyfikowanie programu jako złośliwego nie zawsze jest proste. Potwierdza to coraz większe rozpowszechnienie programów AdWare wykorzystujących technologie wirusowe. W 2005 roku współczynnik wzrostu grupy AdWare zaczął znacznie spadać (o 63%). Przewidywaliśmy wtedy dalsze zmniejszanie się liczby programów z tej grupy. Tak też się stało. Głównie dlatego, że w większości krajów proceder ten uznano za nielegalny i wielu producentów AdWare zostało pociągniętych do odpowiedzialności za swoje działania lub zmieniło kod w swoich programach w taki sposób, aby firmy antywirusowe zaniechały powództwa dotyczącego takich programów.

Istnieje duże prawdopodobieństwo, że w 2007 roku liczba programów AdWare odnotuje jeszcze większy spadek.

Sygnatury zagrożeń

Firma Kaspersky Lab skróciła swój czas reakcji na zwiększającą się liczbę i coraz szybsze tempo rozprzestrzeniania się nowych zagrożeń poprzez publikowanie większej liczby aktualizacji sygnatur zagrożeń.

W 2006 roku liczba nowych wpisów dodawanych w ciągu miesiąca do antywirusowej bazy danych firmy Kaspersky Lab wahała się od około 5 tys. do dziesiątek tysięcy pod koniec roku. Średnia miesięczna liczba nowych wpisów wynosiła 7 240 (nie licząc wpisów w bazach rozszerzonych). Dla porównania, średnia miesięczna liczba nowych wpisów w 2005 roku wynosiła 4 496.


Liczba nowych wpisów do antywirusowych baz danych (żółtym kolorem oznaczono bazy standardowe; czerwonym - bazy rozszerzone)

Jak pokazuje powyższy wykres, liczba wpisów dodawanych w ciągu miesiąca do antywirusowych baz danych wzrastała nierównomiernie na przestrzeni roku. Po wzroście następował spadek. Jednak pod koniec roku miał miejsce stały wzrost, który spowodował rekordową liczbę wpisów - ponad 10 tys. w ciągu miesiąca.

Reakcja firmy Kaspersky Lab na pojawienie się nowych złośliwych programów obejmuje publikowanie dwóch rodzajów aktualizacji sygnatur zagrożeń: aktualizacji standardowych (mniej więcej co godzinę) oraz pilnych (podczas epidemii).

W 2006 r. całkowita liczba standardowych aktualizacji sygnatur zagrożeń przekroczyła 7 tys., a średnia miesięczna wyniosła 600.


Liczba standardowych aktualizacji w poszczególnych miesiącach

Szczególnie interesujące są dane dotyczące aktualizacji pilnych. Przede wszystkim ukazują one całkowitą liczbę sytuacji "epidemiologicznych" w 2006 roku i umożliwiają porównanie tych informacji z danymi z 2005 roku. Oprócz tego, pomagają śledzić epidemie i przewidzieć, kiedy mogą nastąpić.


Liczba aktualizacji pilnych w poszczególnych miesiącach

Liczby te pokazują, że w 2006 roku wystąpiło prawie o 30% mniej zdarzeń związanych z opublikowaniem aktualizacji pilnych niż w 2005 r. W 2005 r. w jednym miesiącu publikowaliśmy średnio 30 aktualizacji pilnych, natomiast w 2006 r. mniej niż 20.

Wykres pokazuje również, że w 2006 roku twórcy wirusów wykazali się szczególną aktywnością dwa razy: w okresie luty-kwiecień oraz październik-grudzień. Z danych wynika również, że tradycyjny letni zastój miał miejsce w czerwcu i lipcu.

Prognozy

Uwzględniając wszystkie trendy i wydarzenia, o których pisaliśmy w raporcie, spodziewamy się, że w 2007 roku twórcy wirusów nadal będą koncentrować swoje wysiłki wokół różnych typów trojanów wykorzystywanych w celu kradzieży informacji osobistych. Celami ataków będą głównie użytkownicy różnych systemów bankowych i systemów płatności, jak również gier online. Symbioza między twórcami wirusów a spamerami spowoduje, że zainfekowane komputery będą wykorzystywane zarówno do przeprowadzania epidemii i ataków, jak i do wysyłania spamu.

Głównymi wektorami infekcji pozostaną luki w przeglądarkach oraz poczta elektroniczna. Mniej rozpowszechnione będzie wykorzystywanie bezpośrednich ataków na porty, które będzie całkowicie uzależnione od wykrycia krytycznych luk w usługach systemu Windows. Sieci P2P czy kanały IRC nie będą powszechnie wykorzystywane do infekowania maszyn, w pewnym stopniu jednak będą, szczególnie w odniesieniu do infekcji lokalnych (na przykład klient sieci P2P Winny, który cieszy się duża popularnością w Japonii, może stać się poważnym zagrożeniem dla azjatyckich użytkowników w 2007 r.). Komunikatory internetowe nadal będą zaliczały się do trzech najaktywniej wykorzystywanych sposobów przeprowadzania ataków, chociaż nie przewidujemy znacznego wzrostu wykorzystywania tych systemów w szkodliwych celach.

Ogólnie, epidemie i ataki wirusów będą zdefiniowane pod względem obszarów geograficznych. Na przykład, trojany wykorzystywane do kradzieży danych dotyczących kont użytkowników popularnych gier online i robaki z funkcjonalnością wirusów są typowe dla Azji, podczas gdy w Europie i Stanach Zjednoczonych występują zazwyczaj trojany szpiegujące i backdoory. Ameryka Południowa "nękana" jest zwykle różnymi trojanami bankowymi.

Głównym tematem 2007 roku będzie bez wątpienia nowy system operacyjny Microsoftu Vista oraz jego luki. Luki i ograniczenia Visty będą miały decydujący wpływ na rozwój "przemysłu" wirusowego w następnych latach. Chociaż nie przewidujemy żadnych szybko postępujących czy poważnych zmian, najnowszy system operacyjny Microsoftu z pewnością wyznaczy trendy w przyszłym roku.

Powstaną coraz bardziej zaawansowane technicznie złośliwe programy, które będą wykorzystywać różne metody ukrywania swojej obecności w zainfekowanych systemach. Jeszcze bardziej rozpowszechni się kod polimorficzny, zaciemnianie kodu oraz technologie rootkit, a ich wykorzystywanie stanie się standardem w większości nowych złośliwych programów.

Prawdopodobnie znacznie zwiększy się również liczba złośliwych programów dla innych systemów operacyjnych, głownie dla MacOS X i systemów uniksowych. Do pewnego stopnia twórcy wirusów skoncentrują swoje wysiłki na konsolach do gier, takich jak PlayStation i Nintendo. Wzrost liczby takich urządzeń oraz możliwości wykorzystania ich do interakcji online może zwrócić uwagę twórców wirusów, chociaż najprawdopodobniej będą nimi zainteresowani tylko ze względów "badawczych". Istnieje prawdopodobieństwo, że wirusy przeznaczone dla innych urządzeń niż komputery dokonają przełomu i znajdą się w fazie głównego rozwoju. Jednak szanse na to są niewielkie, a incydenty będą prawdopodobnie ograniczały się do sporej liczby złośliwych programów typu "proof of concept".

Zwiększy się liczba precyzyjnych ataków na średnie i duże przedsiębiorstwa. Oprócz tradycyjnej kradzieży danych celem tych ataków będą wymuszenia pieniędzy od atakowanych organizacji z wykorzystaniem szyfrowania (tj. RansomWare). Do głównych wektorów infekcji będą należały pliki MS Office oraz luki w tym pakiecie.

Źródło:
Kaspersky Lab