Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Trend roku: ewolucja szkodliwych programów atakujących użytkowników gier online

Tagi:

Sergey Golovanov
  1. Ewolucja szkodliwego oprogramowania w 2007 r.
  2. Trend roku: ewolucja szkodliwych programów atakujących użytkowników gier online
  3. Raport o spamie
  4. Szkodliwe oprogramowanie rozprzestrzeniające się za pośrednictwem poczty elektronicznej

Rok 2007 można określić jako "rok oszustw w świecie online" lub "rok wykorzystywania biednych graczy". W tym czasie nastąpił ogromny postęp w ewolucji szkodliwych programów atakujących użytkowników gier online. Pod względem różnorodności oraz skali rozprzestrzeniania się programy takie prawie dorównują już robakom i wirusom wywołującym epidemie (zobacz listę "On-line Scanner Top 20" dla listopada 2007 r.). Pod względem złożoności znajdują się na tym samym poziomie co najbardziej zaawansowane szkodliwe programy do tworzenia sieci zombie (zobacz artykuł "Gry online i oszustwa: źródło łatwych pieniędzy").

W 2007 roku liczba szkodliwych programów, których działanie ogranicza się do atakowania użytkowników gier online, wzrosła o 145% w stosunku do 2006 roku. Było to zgodne z istniejącym trendem gwałtownego wzrostu oraz ogólną sytuacją dotyczącą kradzieży wirtualnej własności online.

ksb_golovanov_1s.jpg
Liczba szkodliwych programów kradnących hasła do gier online w poszczególnych latach


Bardziej szczegółową analizę wzrostu liczby szkodliwych programów atakujących gry online umożliwi podział tych szkodników na dwie kategorie: TrojWare i VirWare.

TrojWare: trojany atakujące gry online

Wśród szkodliwych programów atakujących użytkowników gier online udział trojanów (tj. programów, których celem jest wyłącznie kradzież haseł) wynosi 96%.

Do najważniejszych przedstawicieli tych trojanów należą:

  • Trojan-PSW.Win32.OnlineGames,
  • Trojan-PSW.Win32.Lmir,
  • Trojan-PSW.Win32.Nilage,
  • Trojan-PSW.Win32.WOW,
  • Trojan-PSW.Win32.Magania,
  • Trojan-PSW.Win32.Gamec,
  • Trojan-PSW.Win32.Tibia,
  • Trojan-PSW.Win32.Hangame.

W ogólnej liczbie nowych trojanów stworzonych w celu kradzieży poufnych informacji (tj. trojanów PSW) udział trojanów atakujących gry wynosił dla całego roku 69,8%. Liczba tego typu trojanów nieustannie wzrasta: podczas gdy w styczniu ich udział wynosił około 65%, we wrześniu przekroczył 75%, a pod koniec roku wzrósł do ponad 80%. Można powiedzieć, że cyberprzestępców o wiele bardziej interesują hasła do gier online niż hasła do kont pocztowych, komunikatorów internetowych czy bankowości online.

ksb_golovanov_2s.jpg
Stosunek trojanów atakujących gry online do wszystkich trojanów
kradnących poufne dane (trojany PSW)
(dla poszczególnych miesięcy 2007 r.)


Porównując kod różnych trojanów atakujących gry dochodzimy do wniosku, że rok 2006 i pierwsza połowa 2007 roku były okresami testowania nowych technologii kradzieży haseł, kluczy i innych danych, które umożliwiają cyberprzestępcom wykonywanie operacji na cudzej własności wirtualnej. W drugiej połowie 2007 roku cyberprzestępcy doskonalili te technologie, wypróbowane i przetestowane, w odpowiedzi na nowe łaty opublikowane przez twórców gier online lub modyfikowali je, aby uniemożliwić ich wykrycie przez programy antywirusowe.

Szybki wzrost liczby nowych trojanów na początku 2007 roku oraz spowolnienie pod koniec roku, w połączeniu z brakiem nowych technologii, również świadczy o tym, że metody kradzieży postaci z gier oraz wirtualnej własności osiągnęły w drugiej połowie 2007 roku odpowiedni poziom zaawansowania.

ksb_golovanov_3s.jpg
Liczba szkodliwych programów kradnących hasła do gier online (TrojWare)
(w poszczególnych miesiącach 2007 r.)


Spadek liczby nowych trojanów kradnących hasła, jaki nastąpił w czerwcu, można przypisać okresowi letnich wakacji oraz mniejszej częstotliwości publikowania aktualizacji gier online. W takich warunkach cyberprzestępcy nie muszą wypuszczać dużej liczby nowych trojanów, ponieważ okres życia starych trojanów jest wydłużony.

Jeśli chodzi o kierunek rozwoju trojanów atakujących gry, rok 2007 był rokiem przejściowym. W tym czasie odchodzono od trojanów atakujących określone gry na rzecz szkodliwych programów tworzonych w celu kradzieży haseł do kilku gier jednocześnie.

ksb_golovanov_4s.jpg
Liczba trojanów stworzonych w celu kradzieży haseł do kilku gier
w porównaniu z liczbą trojanów atakujących określone gry (w poszczególnych miesiącach 2007 r.)


Jeśli chodzi o liczebność nowych programów, najliczniejszą rodziną w 2007 roku była rodzina trojanów Trojan-PSW.Win32.OnlineGames, które polują na hasła do kilku gier online jednocześnie (liczba atakowanych gier waha się od dwóch do dziesięciu).

ksb_golovanov_5s.jpg
Najliczniejsze rodziny trojanów atakujących gry w 2007 r.


Poprzez oszacowanie udziału każdego trojana atakującego określoną grę online we wszystkich trojanach, których celem są gry online, możemy ustalić, jakie są najpopularniejsze gry online wśród autorów trojanów.

ksb_golovanov_6s.jpg
Udział trojanów atakujących określone gry online w całkowitej liczbie trojanów atakujących gry
(w poszczególnych miesiącach 2007 r.)


Jak wynika z powyższego wykresu, popularność gry Lineage 2 (atakowanej przez trojana Trojan-PSW.Win32.Nilage) wśród autorów trojanów spadła w ciągu roku, podczas gdy popularność gry Gamania (atakowanej przez trojana Trojan-PSW.Win32.Magania) wzrosła w drugiej połowie 2007 roku. Popularność gry World of Warcraft utrzymywała się na mniej więcej stałym poziomie, przy czym w sierpniu wzrosła.

Aby ocenić popularność Lineage2 oraz World of Warcraft wśród użytkowników gier online, można skorzystać z google.com/trends (poniższe diagramy pokazują liczbę odsyłaczy znalezionych przez Google dla odpowiednich zapytań).

ksb_golovanov_7s.png
Wyniki wyświetlone przez google.com/trends dla zapytania "lineage"
[http://www.google.com/trends?q=lineage&ctab=0]




ksb_golovanov_8s.png
Wyniki wyświetlone przez google.com/trends dla zapytania "wow"
[http://www.google.com/trends?q=wow&ctab=0]


Jak pokazują diagramy, zainteresowanie użytkowników grą Lineage2 zmniejszyło się w ciągu roku, podczas gdy popularność World of Warcraft utrzymywała się na stałym poziomie. To świadczy o tym, że istnieje związek między popularnością gier online wśród autorów trojanów oraz popularnością, jaką cieszą się te gry wśród użytkowników.

VirWare

Spośród wszystkich szkodliwych programów, które atakują użytkowników gier online, udział programów z klasy VirWare (tj. szkodliwych programów, które potrafią samodzielnie się rozprzestrzeniać) wynosi jedynie 4%, jednak do tej kategorii należy kilka niesławnych szkodliwych programów:

  • Worm.Win32.Viking,
  • Worm.Win32.Fujack,
  • Virus.Win32.Alman,
  • Virus.Win32.Hala,
  • Worm.Win32.AutoRun.

Udział szkodliwych programów atakujących gry online w całkowitej liczbie programów należących do klasy VirWare zmieniał się w ciągu roku.

ksb_golovanov_9s.jpg
Udział samodzielnie rozprzestrzeniających się szkodliwych programów atakujących gry online w całej klasie VirWare
(w poszczególnych miesiącach 2007 r.)


Jak pokazuje powyższy wykres, zimą, gdy użytkownicy gier są najbardziej aktywni, mniej więcej co piąty samodzielnie rozprzestrzeniający się szkodliwy program został stworzony w celu kradzieży haseł do gier online.

Jak można zobaczyć na poniższym wykresie, na początku i pod koniec 2007 roku twórcy wirusów aktywnie rozwijali nowe szkodniki z klasy VirWare atakujące gry online:

ksb_golovanov_10s.jpg
Liczba samodzielnie rozprzestrzeniających się szkodliwych programów (VirWare), które kradną hasła do gier online
(dla poszczególnych miesięcy 2007 r.)


Twórcy nowych programów z klasy VirWare atakujących gry online wykazali największą aktywność w lipcu. Za to natężenie aktywności odpowiedzialny był jeden z najbardziej skutecznych robaków atakujących gry, Worm.Win32.AutoRun, który pojawił się w tym miesiącu.

Robak ten zawdzięcza swoją skuteczność wykorzystywanej metodzie propagacji: szkodnik rozprzestrzenia się za pośrednictwem kart pamięci flash. Po udanym debiucie AutoRun nie stracił na popularności. To właśnie ten robak w dużej mierze przyczynił się do szczytu popularności, jaki osiągnęły w grudniu nowe szkodniki z klasy VirWare atakujące gry online.

Wnioski

Gry online już od dawna przestały być czymś niezwykłym. Stały się częścią codziennego życia, tak samo jak ICQ, poczta elektroniczna czy telefony komórkowe.

Ewolucja szkodliwych programów atakujących gry online w 2007 roku jest wynikiem ewolucji gier online oraz całej tej branży. Kradzież własności wirtualnej oraz postaci z gier stanowi obecnie dochodowy biznes. O ile na początku roku nie istniały żadne uniwersalne algorytmy kradzieży haseł do gier online, pod koniec roku już się pojawiły.

Obecnie na całym świecie pojawia się codziennie od 8 do 9 nowych robaków tworzonych w celu kradzieży haseł do gier online i 5 do 6 trojanów co godzinę. Poziom zaawansowania nowej generacji szkodników atakujących gry jest porównywalny do poziomu wielofunkcyjnych trojanów wykorzystywanych do tworzenia sieci zombie.

Istnieje dobrze wykształcony czarny rynek cennych przedmiotów związanych z grami online, który ewoluuje zgodnie z prawami ekonomii. Twórcy wirusów uważnie śledzą tę ewolucję.

Poniższe wykresy pokazują liczbę odsyłaczy znalezionych przez Google (google.com/trends) dla następujących zapytań: "sprzedaj konto (wykres niebieski)", "kup konto (wykres czerwony)" oraz "włam się do konta" (wykres zielony).

ksb_golovanov_11s.png
Wynik wyświetlony przez google.com/trends dla zapytania
"sprzedaj konto, kup konto, włam się do konta"
[http://www.google.com/trends?q=sell+account%2C+buy+account%2C+hack+account&ctab=0&geo=all&date=all&sort=0]


Diagram ten rzuca światło na stosunkową popularność tych tematów. Ponieważ lwia część ofert zakupu lub sprzedaży konta jest związana z grami online, można wnioskować, że zapotrzebowanie przewyższa podaż na rynku cennych przedmiotów związanych z grami online. To że wzrost popularności zapytań dotyczących sprzedaży i zakupu kont pokrywa się ze wzrostem popularności zapytań dotyczących włamania się na konto, świadczy o tym, że rynek ten charakteryzuje się dużym stopniem kryminalizacji.

Ponieważ liczba osób, które chcą kupić postacie, wirtualną walutę lub własność związaną z grami online, nieustannie rośnie, rynek ten będzie ciągle się rozszerzał. To z kolei oznacza, że twórcy wirusów w najbliższym czasie z pewnością nie stracą zainteresowania grami online i szkodliwe programy atakujące użytkowników gier online nadal będą ewoluować. Twórcy szkodliwych programów bardziej zainteresują się autoochroną szkodliwych programów atakujących gry online i będą integrować rozwijaną przez siebie funkcję kradzieży haseł do szkodliwych programów reprezentujących inny rodzaj zachowania, np. backdoorów.

Źródło:
Kaspersky Lab