Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja szkodliwego oprogramowania: styczeń - czerwiec 2007

Tagi:

Alexander Gostev
Starszy analityk wirusów, Kaspersky Lab

W raporcie tym, obejmującym pierwszą połowę 2007 roku, zbadano zmiany, jakie zaszły w szkodliwym oprogramowaniu w porównaniu z drugą połową 2006 roku. Raport ten został przygotowany w oparciu o inną metodę statystyczną. Podane tu dane liczbowe dla 2006 r. również zostały obliczone z wykorzystaniem nowej metody, dlatego mogą róznić się od tych zawartych w ostatnim raporcie rocznym.



Różne typy szkodliwego oprogramowania wykrywanego w pierwszej połowie 2007 r.

System klasyfikacji firmy Kaspersky Lab wyróżnia trzy klasy szkodliwego oprogramowania:

  • TrojWare: różne programy trojańskie, które nie potrafią samodzielnie się rozprzestrzeniać (backdoory, rootkity i wszystkie typy trojanów);
  • VirWare: samodzielnie rozprzestrzeniające się złośliwe programy (wirusy i robaki);
  • Inne rodzaje MalWare: programy aktywnie wykorzystywane przez szkodliwych użytkowników w celu tworzenia złośliwych programów i przeprowadzania ataków.

Pierwsza połowa 2007 roku przyniosła kilka istotnych zmian. Liczba szkodliwych programów wykrywanych każdego miesiąca wzrosła średnio o 89 proc. w stosunku do drugiej połowy 2006 roku i wyniosła 15 292,2 (w drugiej połowie 2006 r. miesięcznie wykrywanych było średnio 8 108,5 szkodliwych programów). W badanym okresie wykryto w sumie 91 753 nowych szkodników.

W pierwszej połowie 2007 r. utrzymał się trend zaobserwowany w poprzednich latach: udział trojanów wzrósł, zmalała natomiast liczba szkodników z klasy VirWare oraz Inne rodzaje MalWare.



Rysunek 2. Udział procentowy różnych klas szkodliwego oprogramowania.

W pierwszej połowie tego roku udział procentowy trojanów wzrósł o 2,6 proc. do 91,3 proc. Duży wzrost liczby trojanów w Internecie spowodowany był dwoma czynnikami, (1) tworzenie trojanów jest stosunkowo łatwe (w porównaniu z wirusami i robakami); (2) programy te potrafią kraść dane i mogą zostać użyte do tworzenia botnetów, wykorzystywanych następnie do przeprowadzania wysyłek spamu.

Spadek udziału procentowego robaków i wirusów (o 2,26 proc.) nie jest tak znaczny jak w poprzednich latach. W najbliższym czasie klasa VirWare prawdopodobnie nie odnotujue dalszego spadku. Spodziewamy się, że liczba tych szkodników osiągnie stały poziom. Robaki i wirusy nie znikną całkowicie ze sceny. W 2007 roku wiele z nich może odnotować nawet niewielki wzrost w zależności od tego, czy zostaną wykryte nowe luki krytyczne w zabezpieczeniach systemów operacyjnych z rodziny Windows, w szczególności w Viście.

Jeżeli chodzi o Inne rodzaje MalWare (w szczególności różne typy exploitów), mimo wzrostu w stosunku do drugiej połowy 2006 roku liczba szkodników z tej klasy odnotowała w tym roku 0,36 proc. spadek, a ich udział wynosił zaledwie 1,95 proc.

Przyjrzyjmy się teraz dokładniej zmianom, jakie zaszły w obrębie poszczególnych klas.

Trojany

Poniższy wykres pokazuje liczbę nowych trojanów wykrywanych w poszczególnych miesiącach przez firmę Kaspersky Lab.

Nawet pobieżny rzut oka na wykres pokazuje, że liczba trojanów stale wzrasta. Programy te stają się coraz większym zagrożeniem, tym bardziej ze przeważająca większość trojanów to programy, których celem jest spowodowanie strat finansowych użytkowników Internetu.

Poniższy rysunek pokazuje rozkład różnych podkategorii trojanów.

Aby lepiej zrozumieć zmiany, jakie zachodzą w klasie trojanów, można zbadać dynamikę wzrostu różnych zachowań szkodliwego oprogramowania w obrębie tej klasy. Znaczny wzrost odnotowały prawie wszystkie typy trojanów:


  %% Zmiana 2006 2007
Inne 0,07 -9% 68 62
Trojan clicker 1,36 57% 722 1137
Trojan dropper 1,92 27% 1270 1611
Trojan proxy 2,27 11% 1710 1901
Trojan szpiegujący 8,51 69% 4216 7131
Trojan 9,75 42% 5737 8170
Trojan downloader 21,56 46% 12363 18076
Trojan PSW 24,33 135% 8694 20393
Backdoor 30,24 202% 8397 25345
TrojWare   94% 43177 83826


W pierwszej połowie 2007 backdoory wykazały największy wzrost spośród wszystkich trojanów (202 proc.). W latach 2002-2004 podobny wzrost odnotowały tylko robaki pocztowe. Jak wynika z naszych statystyk, obecnie większość backdoorów - ponad 30 proc. - powstaje w Chinach.

Tak duże współczynniki wzrostu backdoorów zmieniły rozkład zachowań szkodliwego oprogramowania w obrębie klasy TrojWare. W 2006 roku największy udział procentowy miały trojany downloadery, obecnie jednak downloadry stanowią tylko jedną trzecią programów w tej grupie.

Oprócz backdoorów, które stanowią obecnie prawie jedną trzecią wszystkich trojanów (i niemal jedną trzecią wszystkich szkodliwych programów), znacznie wzrosła również liczba trojanów PSW, które kradną konta użytkowników do wielu różnych serwisów, aplikacji i gier (o 135 proc.). To konkretne zachowanie w obrębie klasy TrojWare uplasowało się na drugim miejscu - podobnie jak w drugiej połowie 2006 roku - utrzymując wysoką pozycję mimo wciąż wysokiej liczby trojanów downloaderów.

Obecnie istnieją trzy główne typy zachowań w obrębie klasy TrojWare:

  1. Backdoory, trojany PSW oraz trojany downloadery. Są to najbardziej rozpowszechnione rodzaje trojanów i stanowią ponad 70 proc. całej klasy TrojWare (udział każdej z tych podkategorii przekracza 20 proc.).
  2. Trojany oraz trojany szpiegujące. Udział procentowy tych podgrup wynosi średnio od 8 do 10 proc. Jest bardzo niewielkie prawdopodobieństwo, że programy te odnotują tak duży wzrost, że znajdą się w pierwszej grupie. Z drugiej strony, równie mało prawdopodobny jest ich spadek do trzeciej kategorii.
  3. Trojany proxy, trojany droppery, trojany clickery oraz inne trojany. Udział każdego z tych zachowań wynosi mniej niż 3 proc. Z wyjątkiem trojanów clickerów współczynnik wzrostu zachowań w tej grupie nie przekracza 30 proc. Liczba programów w tej kategorii może wzrosnąć i mogą one wejść do drugiej grupy, mimo że bardziej prawdopodobny jest dalszy spadek ich udziału procentowego, ponieważ liczba przedstawicieli pierwszej grupy nadal wzrasta.

Trojany atakujące gry

W pierwszej połowie 2007 roku liczba trojanów PSW wzrosła o 135 proc. i wiele wskazuje na to, że trend ten utrzyma się. Trojany PSW zdołały poprawić wyniki uzyskane w 2006 roku (125 proc. wzrost). Tak wysoka liczba wynika z tego, że 68 proc. trojanów PSW to trojany tworzone dla gier online, których celem jest kradzież danych użytkownika dotyczących wielu różnych gier online.

Gry online przeżywają obecnie szczyt popularności. W World of Warcraft, Lineage czy Legend of Mir grają obecnie miliony osób na całym świecie, zwłaszcza w Azji. Postacie czy przedmioty z gier online warte są często dziesiątki tysięcy dolarów. Bez wątpienia przyciąga to zainteresowanie cyberprzestępców, którzy kradną dane dotyczące kont, a następnie sprzedają skradzione wirtualne przedmioty na internetowych stronach aukcyjnych.

Trojany, których celem są gry online, obejmują następujące rodziny trojanów szpiegujących:


  I-2007 II-2007 Wzrost Udział
OnlineGames 8783 640 127% 63,58
Lmir 477 601 -21% 3,45
Nilage 2602 2034 28% 18,83
WOW 510 594 -14% 3,69
Magania 1181 462 156% 8,55
Gamec 36 85 -58% 0,26
Tibia 45 15 200% 0,33
Hangame 181 155 17% 1,31
  13815 4586 201% 100,00


W pierwszej połowie 2007 roku 64% trojanów atakujących gry online stanowiła rodzina OnlineGames. Różni się ona od innych rodzin z tej kategorii trojanów tym, że składa się z programów stworzonych w celu kradzieży informacji dotyczących kont do dwóch lub większej liczby gier oraz programów atakujących mniej popularne gry. Firma Kaspersky Lab zaczęła wyodrębniać tę rodzinę w drugiej połowie 2006 roku. Naturalnie obserwowany 127 proc. wzrost nie odzwierciedla rzeczywistej sytuacji, ponieważ okres, dla którego tworzone były statystyki, jest zbyt krótki. Dane, które dokładniej obrazują obecną sytuację, dostępne będą za następne sześć miesięcy.

Lmir, najstarsza - a w pewnym okresie również najliczniejsza - rodzina trojanów tworzonych dla gier online, atakuje Legend of Mir. Od pewnego czasu rodzina ta odnotowuje spadek. W 2007 roku udział procentowy tych trojanów szpiegujących zmniejszył się o 21%. Niewielki spadek odnotowały również trojany atakujące World of Warcraft.

Z drugiej strony, twórcy wirusów wykazali wyraźnie większe zainteresowanie innymi wirtualnymi światami, takimi jak Gamania (rodzina trojanów Magania) oraz Tibia. Mimo że Tibia odnotował 200 proc. wzrost liczba nowych trojanów (45) była stosunkowo niewielka. Z kolei Gamania stanowi obecnie drugi najczęściej atakowany wirtualny świat.

Trojany bankowe

Za 69 proc. wzrost udziału trojanów szpiegujących odpowiedzialne są tzw. trojany bankery. Są to trojany stworzone w celu kradzieży danych dostępu do różnych systemów płatności online, internetowych serwisów bankowych oraz danych dotyczących kart kredytowych. Oprócz trojanów szpiegujących do grupy bankerów należą również niektóre trojany downloadery (rodzina Banload), które pobierają na zainfekowany komputer różne bankery. Cecha ta pozwala sklasyfikować rodzinę Banload do grupy trojanów bankerów.

W 2006 roku trojany bankery nadal ewoluowały, a liczba nowych programów tego typu wzrosła niemal dwukrotnie w stosunku do 2005 roku (o 97 proc.). W 2007 roku nastąpił niewielki spadek ich tempa wzrostu, a wzrost odnotowany na przestrzeni półrocza wyniósł 62 proc. w stosunku do drugiej połowy 2006 r. To oznacza ponad 4 500 nowych trojanów.

Rootkity

Na wzmiankę zasługują również rootkity. Programy te nie zostały uwzględnione w diagramach ukazujących rozkład zachowań trojanów, ponieważ jest ich nawet mniej niż trojanów clickerów. Jednak rootkity często stanowią przykrywkę dla wielu różnych rodzajów trojanów, a ten sam rootkit może zostać wykorzystany przez więcej niż jednego szkodliwego użytkownika. Do rootkitów można zaklasyfikować szereg różnych szkodliwych programów; zarówno tych zawierających słowo "rootkit" w swojej nazwie klasyfikacyjnej, jak również niektóre inne rodziny trojanów wykorzystujących technologie rootkit, takie jak Backdoor.Win32.HacDef.

W 2005 roku (gdy po raz pierwszy sklasyfikowaliśmy rootkity jako oddzielne zachowanie) rootkity wykazały bezprecedensowy 413 proc. wzrost. W tym czasie programy te stanowiły jeden z najgorętszych tematów w branży antywirusowej, a twórcy wirusów aktywnie pracowali nad ich rozwojem. Chociaż w takiej sytuacji należałoby się spodziewać niewielkiego spowolnienia tempa wzrostu rootkitów, w 2006 r. ich liczba zwiększyła się o 74 proc.

W pierwszej połowie 2007 r. rootkity odnotowały kolejny spektakularny wzrost wynoszący 178 proc.

Technologię rootkit najaktywniej wykorzystywały w tym roku rodziny robaków Zhelatin oraz backdoory stworzone w Chinach.

Nie wiadomo, w jaki sposób opublikowanie systemu Windows Vista wpłynie na rozwój technologii rootkit. Twórcy systemu Windows zapewniali, że rootkity nie mogą przetrwać w środowisku Vista.

Robaki i wirusy

Poniższy wykres ukazuje liczbę nowych programów z klasy VirWare wykrytych przez firmę Kaspersky Lab w poszczególnych miesiącach.

Przez ostatnie dwa lata (2004-2005) w klasie VirWare niewiele się działo. Sytuacja zaczęła się zmieniać pod koniec 2006 roku, gdy nastąpiło ożywienie. Wzrost w tej klasie utrzymywał się w pierwszej połowie 2007 roku, mimo że liczba tych programów nie osiągnęła rekordowo wysokiego poziomu z października zeszłego roku, gdy na scenie pojawiły się setki nowych wariantów robaka Warezov.

Poniższy diagram obrazuje wzrost różnych zachowań w obrębie tej klasy.

  %% Zmiana 2006 2007
Robak IRC 0,36 -4% 22 23
Robak P2P 2,54 77% 156 88
Robak sieciowy 2,82 73% 173 100
Robak komunikatorów internetowych 4,07 51% 250 166
Wirus 16,57 237% 1017 302
Robak 22,52 103% 1382 680
Robak pocztowy 51,12 5% 3137 2993
VirWare   41% 6137 4352

W pierwszej połowie 2007 roku największy wzrost spośród wszystkich szkodliwych programów (o 237%) odnotowały tak zwane klasyczne wirusy. W dużej mierze spowodowane to było powszechnym wykorzystywaniem pamięci flash w celu rozprzestrzeniania wirusów. W 2007 roku powstało 200 kolejnych nowych wariantów z rodziny wirusów Win32.Autorun. Miały miejsce tysiące incydentów związanych z infekcją pamięci flash, łącznie z tą wykorzystywaną w aparatach fotograficznych, telefonach oraz odtwarzaczach mp3. Wirusy wykorzystują przy tym lukę w zabezpieczeniach systemu Windows: domyślnie system ten automatycznie uruchamia pliki z przenośnych nośników danych. Należy pamiętać, że rodzina Autorun zawiera kilkadziesiąt robaków Viking, co zostało omówione poniżej.

Wśród szkodników reprezentujących zachowanie Robak utrzymał się trend zapoczątkowany w 2006 roku, gdy programy te odnotowały przeszło 200 proc. wzrost. W 2007 r. robaki nieco "zwolniły", jednak współczynnik wzrostu nadal przekracza 100 proc. Liderem został po raz kolejny azjatycki robak Viking. Vikinga, jego historię oraz przyczyny chińskiej epidemii zbadaliśmy w naszym kwartalnym raporcie (http://www.viruslist.pl/analysis.html?newsid=435). Mimo aresztowania jego autora źródło tego robaka nadal jest dostępne w Internecie, a firmy antywirusowe otrzymują coraz więcej nowych modyfikacji tego szkodnika tworzonych przez innych ludzi.

Rozkład różnych zachowań z klasy VirWare został ukazany na poniższym diagramie:

Najpowszechniejszym zachowaniem w tej klasie nadal jest robak pocztowy, który stanowi ponad połowę wszystkich reprezentantów VirWare. W 2006 roku wzrost liczby robaków pocztowych wyniósł 43 proc. (głównie dzięki "październikowemu szaleństwu" robaka Warezov). Jednak w 2007 r. współczynnik wzrostu spadł do zaledwie 5 proc. Większość robaków pocztowych nadal należy do trzech głównych rodzin: Warezov, Zhelatin oraz Bagle. Wyeliminowanie ze sceny jednej z nich bez wątpienia przyczyniłoby się do spadku ogólnego udziału procentowego tego zachowania.

W klasie VirWare można wyróżnić dwie główne grupy:

  1. Robak pocztowy, robak oraz wirus: Udział procentowy każdego z tych zachowań wynosi ponad 15 proc. całej klasy VirWare. Obecnie liderem nadal jest robak pocztowy, podczas gdy liczba robaków i wirusów nadal wzrasta. W drugiej połowie 2007 r. kategoria wirusów może znaleźć się na drugim miejscu razem z kategorią robaków.
  2. Robak komunikatorów internetowych (IM-Worm), robak sieciowy (Net-Worm), robak P2P oraz robak IRC. Udział procentowy każdego z tych zachowań stanowi mniej niż 5 proc. całej klasy VirWare. Średni współczynnik wzrostu wynosi od 50 do 80 proc. Swą liczebność zwiększą prawdopodobnie tylko robaki komunikatorów internetowych ze względu na szybką ewolucję komunikatorów internetowych, takich jak Skype. Sytuacja nadal pogarsza się jeżeli chodzi o robaki sieciowe. Spowodowane jest to brakiem luk krytycznych w zabezpieczeniach usług sieciowych systemu Windows, w wyniku czego twórcy wirusów nie mogą stosować nowych podejść czy wykorzystywać tego wektora ataków.

Ogólnie współczynnik wzrostu w obrębie klasy VirWare jest mniejszy niż w obrębie klasy TrojWare (41 proc. w stosunku do 94 proc.) a nawet klasy Inne rodzaje MalWare, którą omówimy poniżej.

Inne rodzaje MalWare

Klasa ta jest najmniej rozpowszechniona pod względem liczby wykrywanych szkodliwych programów, posiada jednak największą różnorodność zachowań.

W latach 2004 - 2005 obserwowaliśmy powolny wzrost liczby nowych szkodliwych programów w tej klasie (odpowiednio 13 i 14 proc.) W 2006 roku ich liczba zmniejszyła się nawet o 7 proc. Jednak pierwsza połowa 2007 roku pokazała, że rok 2006 był prawdopodobnie okresem stabilizacji dla tej klasy, umacniającej swoją pozycję przed osiągnięciem nowego poziomu. W szczególności było to widoczne w drugim kwartale 2007 roku, gdy liczba nowych programów z tej klasy wykrywanych w ciągu miesiąca praktycznie podwoiła się.

Ogólnie, pod koniec pierwszej połowy 2007 roku klasa ta odnotowała prawie 60 proc. wzrost. Jednak jej udział we wszystkich szkodliwych programach spadł z 2,51 proc. w 2006 roku do 1,95 proc. w 2007 r.

Poniższy diagram pokazuje rozkład zachowań z klasy Inne rodzaje MalWare.

Poniższy diagram ilustruje współczynnik wzrostu zachowań z klasy Inne rodzaje MalWare, ukazując wyraźniejszy obraz zmian w obrębie tej klasy.


  %% Zmiana 2006 2007
Sniffer 0,06 -75% 1 4
SMS-Flooder 0,22 0% 4 4
Email-Flooder 0,28 -62% 5 13
Spoofer 0,34 50% 6 4
Nuker 1,40 178% 25 9
VirTool 1,62 93% 29 15
BadJoke 1,73 -39% 31 51
DoS 1,90 209% 34 11
Flooder 2,29 28% 41 32
IM-Flooder 3,07 -11% 55 62
Other 7,54 22% 135 111
HackTool 12,07 47% 216 147
Constructor 12,85 23% 230 187
Hoax 12,85 23% 230 187
SpamTool 20,50 222% 367 114
Exploit 28,83 83% 516 282
MalWare   56% 1925 1233


W 2007 roku spam oraz ataki DoS stanowiły dwa z głównych tematów wiadomości z dziedziny bezpieczeństwa informatycznego. Od października zeszłego roku, gdy Warezov zaczął budować potężne botnety, w Internecie nastąpił "okres rozkwitu" spamu: pojawiło się więcej wiadomości spamowych oraz więcej nowych typów spamu. Istnieje kilka powodów, dla których te dwie rzeczy można ze sobą łączyć. Warezov przechwytywał bazę adresów email i wysłał je szkodliwym użytkownikom. Co więcej, szkodnik ten instalował szereg różnych modułów na zaatakowanych komputerach, które mogły być następnie wykorzystywane do przeprowadzania wysyłek spamowych. Dwa inne robaki pocztowe - Zhelatin oraz Bagle - wykazywały podobne zachowanie.

W 2005 r. firma Kaspersky Lab zauważyła, że cyberprzestępcy interesują się programami klasyfikowanymi jako SpamTool. W 2006 r. liczba szkodliwych programów wykazujących takie zachowanie wzrosła o 107 proc., a klasa Inne rodzaje MalWare zawierała pięć różnych rodzajów programów SpamTool. W pierwszej połowie 2007 roku SpamTool był bezsprzecznym liderem w tej klasie pod względem współczynników wzrostu (222 proc.) i stanowił drugi najpowszechniej reprezentowany typ programów Inne rodzaje MalWare.

Ataki DoS były najbardziej rozpowszechnione w latach 2002-2003, po czym na długi czas straciły na popularności. Prawdopodobnie spowodowane to było zmianą pokoleniową wśród cyberprzestępców. Ci, którzy 4-5 lat temu stosowali ataki DoS, zaczęli wykorzystywać bardziej "subtelne" sposoby zarabiania pieniędzy, takie jak wysyłanie spamu, kradzież danych oraz instalowanie AdWare. Pojawiło się nowe pokolenie dzieciaków skryptowych, którzy nie potrafią jeszcze zrobić niczego samodzielnie i wolą wykorzystywać to, co stworzyli inni ludzie, zamiast "finezji" stosując siłę. To właśnie było przyczyną zwiększonego wykorzystywania kilku programów DoS (o 209 proc.), które pomagają w przeprowadzaniu ataków DoS i wykorzystują te same botnety na całym świecie. Mimo że liczba tych zachowań nadal jest niewielka, mamy do czynienia z wyraźnym wzrostem i jest całkiem prawdopodobne, że w tym roku będzie ich kilkaset.

Najbardziej rozpowszechnionymi nowymi rodzajami szkodliwych programów z klasy Inne rodzaje MalWare są nadal exploity, których celem są różne luki w zabezpieczeniach. Być może czytelnicy przypominają sobie kilka głośnych incydentów, gdy kolekcje exploitów zostały zaoferowane na sprzedaż przez różne grupy hakerów, a następnie znalezione na tysiącach stron, które padły ofiarą włamania (zobacz Mpack w raporcie za drugi kwartał).

Ogólnie, wzrost liczby exploitów można uznać za średni, był jednak zbyt niski, aby ich udział w klasie Inne rodzaje MalWare wyniósł tak jak poprzednio 30 proc. Liczba programów SpamTool prawdopodobnie nie przewyższy exploitów.

Twórcy wirusów nadal są zainteresowani wykorzystywaniem najróżniejszych typów programów konstruktorów. To także świadczy o podejściu nowego pokolenia. Wykorzystywanie konstruktorów oznacza, że nie trzeba tworzyć niczego od podstaw - nie trzeba nawet umieć programować, aby za pomocą takiego programu w przeciągu kilku minut stworzyć szkodliwy program.

Platformy i systemy operacyjne

Kaspersky Lab nie publikował wcześniej szczegółowych statystyk dotyczących liczby szkodliwych programów atakujących różne systemy operacyjne i platformy, ograniczając się do oddzielnej analizy systemów innych niż Windows, które budzą największe zainteresowanie (*nix, Mac OS oraz Symbian). Jednak w tym raporcie zostanie przeanalizowana cała sytuacja.

Systemy operacyjne oraz aplikacje mogą być podatne na atak ze strony szkodliwych programów, jeśli i gdy potrafią uruchomić program, który nie jest częścią samego systemu. Warunek ten spełniają wszystkie systemy operacyjne, wiele aplikacji biurowych, edytorów graficznych, systemów planowania projektów oraz zestawów oprogramowania z wbudowanymi językami skryptowymi.

Tylko w pierwszej połowie 2007 roku firma Kaspersky Lab napotkała szkodliwe programy dla 30 różnych platform i systemów operacyjnych.

Naturalnie, przeważająca większość istniejących szkodliwych programów jest przeznaczona do działania w środowisku Win32 i są to wykonywalne pliki binarne. Szkodliwe programy atakujące inne systemy operacyjne oraz platformy stanowią niecałe 4 proc. wszystkich szkodników.

W pierwszej połowie 2007 r. odsetek szkodliwych programów działających w środowisku innym niż Win32 wzrósł z 3,18 do 3,42 proc. Mimo że liczby te wciąż są stosunkowo niskie, tempo ich wzrostu osiągnęło prawie 111 proc. i jest większe niż tempo wzrostu szkodliwego oprogramowania działającego w środowisku Win32 (96 proc.). Wszystko wskazuje na to, że w przyszłości odsetek programów atakujących system Win32 zmniejszy się, ze względu na to że więcej szkodliwych programów będzie tworzonych z myślą o systemie Win64 i wzrośnie popularność innych systemów operacyjnych.

Miejsce Platforma K3-K4 2006 K1-K2 2007 %% Wzrost
1 Win32 49551 97100 96,0
2 JS 247 1186 380,2
3 VBS 261 580 122,2
4 HTML 272 402 47,8
5 BAT 166 339 104,2
6 MSWord 77 150 94,8
7 Linux 79 123 55,7
8 Perl 55 115 109,1
9 PHP 28 86 207,1
10 ASP 32 72 125,0
11 IRC 90 52 -42,2
12 MSIL 38 34 -10,5
13 DOS 36 24 -33,3
14 MSExcel 11 19 72,7
15 SymbOS 52 19 -63,5
16 WinREG 13 19 46,2
17 MSPPoint 23 18 -21,7
18 SunOS 10 18 80,0
19 NSIS 22 15 -31,8
20 Java 9 13 44,4
21 HTA 15 6 -60,0
22 MSAccess 3 5 66,7
23 Python 4 5 25,0
24 RAR 6 4 -33,3
25 Unix 6 4 -33,3
26 MSOffice 1 3 200,0
27 Ruby 1 3 200,0
28 SWF 11 3 -72,7
29 ALS 2 1 -50,0
30 Win9x 3 1 -66,7
31 WMA 2 1 -50,0


Poniższy diagram ilustruje współczynniki wzrostu szkodliwych programów dla wszystkich platform:

W przypadku blisko połowy platform i systemów operacyjnych, liczba tworzonych dla nich szkodliwych programów odnotowała spadek. Dotyczy to szkodliwego oprogramowania dla powszechnie wykorzystywanych systemów operacyjnych, takich jak Unix (np. szkodliwe programy, które mogą działać na systemach operacyjnych *nix) oraz Symbian. W ciągu jednego roku (od lipca 2006 r.) nie pojawił się żaden szkodliwy program dla systemu Mac OS. To pokazuje, że twórców wirusów nie interesują systemy operacyjne, które nie są tak bardzo rozpowszechnione; ograniczyli się do stworzenia garstki programów typu "proof of concept", po czym z powrotem zwrócili swoją uwagę w kierunku popularnych aplikacji i systemów operacyjnych.

W pierwszej dziesiątce najbardziej popularnych środowisk dla wirusów znajdują się praktycznie wszystkie skryptowe języki programowania: JS, VBS, HTML, BAT, Perl, PHP oraz ASP. Mimo że w przeszłości liczby dla trzech platform skryptowych (JS, VBS oraz HTML) były mniej więcej takie same (prawie 205 szkodliwych programów dla każdej platformy w drugiej połowie 2006 roku), w 2007 roku platforma JavaScript odnotowała pozytywny trend.

Liczba szkodliwych programów dla platformy JavaScript zwiększyła się o 380 proc., zostawiając daleko w tyle platformę VisualBasic Script. Bez wątpienia głównym powodem tego wzrostu było zwiększenie się liczby różnych exploitów w powszechnie wykorzystywanych przeglądarkach, takich jak Internet Explorer oraz Mozilla Firefox. Poza tym, szkodliwe programy dla platformy JavaScript często działają jako trojany downloadery.

Linux stanowił drugą platformę pod względem popularności wśród twórców wirusów: pojawiło się 123 nowych szkodliwych programów dla tego systemu, a ich liczba wzrosła w stosunku do drugiej połowy 2006 roku o 55 proc.

Jeżeli chodzi o aplikacje, które potrafią działać w więcej niż jednym systemie operacyjnym, najwięcej szkodliwych programów zostało stworzonych dla MS Worda. Liczba nowych szkodników atakujących tę aplikację wyniosła 150, co oznacza 95 proc. wzrost. Wśród programów tych znalazły się zarówno tradycyjne makrowirusy, jak również bardziej destrukcyjne trojany droppery, które wykorzystują wykryte w zeszłym roku luki w zabezpieczeniach aplikacji MS Word. Stanowią one przeważającą większość współczesnych zagrożeń dla MS Worda.

Nastąpił również 80 proc. wzrost liczby szkodliwych programów przeznaczonych dla słabo rozpowszechnionych systemów operacyjnych, takich jak SunOS. Obecnie istnieją dziesiątki znanych zagrożeń dla tego systemu, co naturalnie oznacza, że firmy antywirusowe będą uważnie przyglądać się rozwojowi wypadków w tym obszarze, a w najbliższej przyszłości być może przeprowadzą nawet osobne badanie.

Aktualizacje antywirusowych baz danych

W odpowiedzi na wzrost liczby wirusów oraz coraz częstsze pojawianie się nowych zagrożeń firma Kaspersky Lab publikowała aktualizacje antywirusowych baz danych w przeciągu jeszcze krótszego czasu, szybciej reagując na nowe zagrożenia.

Nowe wpisy do antywirusowych baz danych

Liczba nowych wpisów dodawanych miesięcznie do bazy antywirusowej firmy Kaspersky Lab wynosiła na początku 2007 roku 8 000, natomiast pod koniec badanego okresu - 25 000. Średnia miesięczna dla pierwszej połowy 2007 roku to 15 518 wpisów, a dla drugiej połowie 2006 roku 8 221 wpisów. Ten 80 proc. wzrost koresponduje ze zwiększoną liczbą nowo wykrytych szkodliwych programów.

Jak wynika z powyższego diagramu, w pierwszej połowie tego roku liczba wpisów dodawanych każdego miesiąca do antywirusowej bazy danych charakteryzowała się bardziej lub mniej stałym wzrostem. Maj był jedynym miesiącem, który "wyłamał się" z ogólnego trendu - firma Kaspersky Lab wykryła rekordowo wysoką liczbę nowych szkodliwych programów (25 205 wpisów).

Regularne i pilne aktualizacje

Firma Kaspersky Lab reaguje na pojawianie się nowych szkodliwych programów poprzez publikowanie dwóch rodzajów aktualizacji antywirusowych baz danych: regularnych (mniej więcej co jedną godzinę) oraz pilnych (w przypadku epidemii). W pierwszej połowie tego roku całkowita liczba regularnych aktualizacji przekroczyła 4 000, a średnia miesięczna wyniosła 700.

Liczby dotyczące uaktualnień pilnych są interesujące z dwóch względów. Po pierwsze, obrazują całkowitą liczbę sytuacji "epidemicznych" w pierwszej połowie 2007 roku i pozwalają na porównanie tych danych ze statystykami dotyczącymi epidemii dla 2006 roku. Co więcej, pokazują zależność między wybuchem epidemii a poszczególnymi miesiącami roku.

Z danych tych wynika, że w pierwszej połowie 2007 r. było o 33 proc. mniej incydentów związanych z pilnymi aktualizacjami niż w ciągu tego samego okresu w 2006 roku oraz o 4 proc. mniej niż w drugiej połowie 2006 roku. W każdym miesiącu opublikowanych zostało średnio około 16 uaktualnień pilnych.

Wniosek

Nasze prognozy na rok 2007 okazały się prawie trafne. Tak jak spodziewaliśmy się w zeszłym roku, twórcy wirusów wykorzystywali prawie wyłącznie trojany przeznaczone do kradzieży informacji użytkowników. Kluczowymi celami ataków nadal są klienci różnych systemów bakowych oraz płatności, jak również gracze gir online.

Nadal istnieją silne powiązania między spamerami i autorami szkodliwych programów. Celem wszystkich największych epidemii w 2007 roku (wywołanych przez robaki Warezov, Zhelatin, i Bagle) było stworzenie botnetów, które mogły być następnie wykorzystywane do wysyłania spamu oraz przechwytywania adresów email w celu utworzenia spamowych baz mailingowych.

Do najważniejszych wektorów infekcji nadal należy poczta elektroniczna oraz luki w zabezpieczeniach przeglądarki. Głównym powodem niewystępowania poważniejszych epidemii spowodowanych przez robaki sieciowe przeprowadzające bezpośrednie ataki za pośrednictwem portów komputerowych jest brak nowych krytycznych luk w zabezpieczeniach systemu Windows.

Współczynnik wzrostu szkodliwych programów wykorzystujących sieci P2P oraz komunikatory internetowe pozostanie na średnim poziomie. W drugiej połowie 2007 r. nie spodziewamy się żadnych poważniejszych zmian.

W pierwszej połowie 2007 roku wyłonił się wyraźny trend: występowały lokalne epidemie ograniczone do tego czy innego segmentu Internetu, które nie rozprzestrzeniały się dalej na użytkowników w innych częściach świata.

Mimo prognoz ekspertów system Windows Vista nie stał się jeszcze głównym tematem bezpieczeństwa informatycznego w 2007 roku. Wynika to głównie z tego, że system ten jest znacznie mniej rozpowszechniony niż spodziewano się; liczba użytkowników, którzy przeszli na Vistę nie jest wystarczająco wysoka, aby systemem tym zainteresowali się hakerzy i twórcy wirusów.

Niewielkim zainteresowaniem twórców wirusów cieszył się również systemem MacOS, mimo że popularność tej platformy wzrosła i wykryto wiele poważnych luk w jej zabezpieczeniach. Podobna sytuacja ma miejsce również w przypadku Symbiana oraz Windows Mobile - liczba ich użytkowników wzrasta, ale pojawia się niewiele nowych szkodliwych programów atakujących te platformy. Z drugiej strony, pojawiło się więcej trojanów stworzonych dla J2ME, która działa również na telefonach komórkowych.

Do końca roku najprawdopodobniej nie wystąpią żadne poważniejsze zmiany i sytuacja będzie rozwijała się według przewidzianych scenariuszy.