Ewolucja złośliwego oprogramowania I-VI 2006

Przeczytaj także: Ewolucja złośliwego oprogramowania IV-VI 2006

Szantaż - niebezpieczny trend

Jednym z najniebezpieczniejszych trendów w ostatnich miesiącach był wzrost liczby incydentów, polegających na tym, że szkodliwi użytkownicy wykorzystywali określony program do zmodyfikowania danych na komputerze ofiary, a następnie szantażowali użytkownika. Wiele z tych programów jest bardzo podobnych do siebie, a ich celem jest uszkodzenie funkcji komputera ofiary lub zablokowanie dostępu do danych. Wzrost liczby nowych modyfikacji takich programów przedstawia Rysunek 8.
W styczniu 2006 roku programy tego typu reprezentowane były w zasadzie przez jednego trojana - był to Trojan.Win32.Krotten. W ciągu zaledwie dwóch tygodni autor Krottena wypuścił, z niezwykłą regularnością, aż 13 modyfikacji tego złośliwego kodu. Aby uniemożliwić wykrycie Krottena nieustannie zmieniał kod. Wyjaśnia to ukazany na wykresie gwałtowny wzrost, jaki nastąpił na początku pierwszej połowy 2006 roku.

Komputerowi szantażyści zaczęli zwracać naszą uwagę od lutego 2006 roku: pojawiały się wtedy nowe rodzaje złośliwego oprogramowania z tej grupy, tworzone przez różnych autorów. Jednak pod względem nowych modyfikacji Krotten wciąż pozostaje na prowadzeniu.

Pod koniec stycznia pojawił się następca Krottena - Virus.Win32.Gpcode. Trojan.Win32.Krotten nigdy nie modyfikował plików użytkownika (a jedynie rejestr systemowy, aby utrudnić użytkownikowi usunięcie trojana oraz korzystanie z zainfekowanego komputera). To oznaczało, przynajmniej teoretycznie, możliwość przywrócenia komputera ofiary do stanu sprzed infekcji. Gpcode nie pozostawił użytkownikowi tej szansy. Przez pierwsze sześć miesięcy 2006 roku program ten gwałtownie rozwijał się: autor odszedł od typowego symetrycznego algorytmu szyfrowania na rzecz niesymetrycznego, zwiększając długość wykorzystywanego klucza z 56 bitów do 64, 260, 330 i tak dalej, aż do 660.

W ciągu pierwszej połowy tego roku liczba trojanów wykorzystywanych do szantażu zwiększyła się z dwóch do sześciu (Krotten, Daideneg, Schoolboys, Cryzip, MayArchive, Gpcode). W okresie ich największego rozwoju ataki tych trojanów ograniczały się do Rosji i Wspólnoty Niepodległych Państw. Jednak pod koniec lipca ich autorzy lub użytkownicy wyraźnie zwiększyli zasięg - podobne przypadki szantażu pojawiły się w Niemczech, Wielkiej Brytanii i kilku innych państwach.

Nic nie stoi na przeszkodzie dalszego rozwoju złośliwych programów tego typu - fakt ten stanowi szczególny powód do niepokoju. Znamy przypadki, gdy początkujący użytkownicy, którzy zaledwie dzień wcześniej ledwo potrafili posługiwać się myszką, próbują teraz szczęścia w cyberszantażu. Niektóre z takich prób są zupełnie absurdalne - zdarzało się, że złośliwy użytkownik zażądał określoną kwotę okupu i powiadomił, w jaki sposób należy przekazać pieniądze, ale zapomniał o zamieszczeniu swoich danych kontaktowych. Przykładem takiego trojana jest Trojan.WinREG.Schoolboys.a.