Ewolucja złośliwego oprogramowania VII-IX 2006

Przeczytaj także: Ewolucja złośliwego oprogramowania I-VI 2006

Zdaniem autora raportu warto podkreślić, że jest to tylko jedna z możliwych metod, jakie mógłby wykorzystać robak dla sieci Wi-Fi. Luki w kartach sieciowych Wi-Fi wciąż są rzadkim zjawiskiem, nie wiadomo jednak, co zdarzy się w przyszłości. W końcu jeszcze nie tak dawno temu mobilne złośliwe oprogramowanie wydawało się wymysłem science fiction.

Wirusy komunikatorów internetowych

W zeszłym roku jeden z głównych problemów bezpieczeństwa IT stanowiły złośliwe programy rozprzestrzeniające się za pośrednictwem klientów komunikatorów internetowych, takich jak ICQ, MSN oraz AOL. Na początku 2005 roku pojawiły się liczne prymitywne robaki komunikatorów internetowych. Udowodniły one, że odnośniki do zainfekowanych stron internetowych wysyłane za pośrednictwem tego narzędzia stanowią prawie tak samo skuteczną metodę infekowania jak wysyłanie złośliwego kodu w wiadomościach e-mail. Interesujące jest to, że chociaż wszystkie klienty komunikatorów internetowych posiadają funkcję "wyślij plik", autorzy takich robaków albo postanowili jej nie wykorzystywać, albo nie wiedzieli, w jaki sposób funkcja ta może ułatwić szkodnikowi przeniknięcie do systemu.

Od 2005 roku większość ataków na komunikatory internetowe polegało na wysyłaniu odnośników prowadzących do strony www, która zawierała złośliwy plik. Istnieje duże prawdopodobieństwo, że ludzie otworzą odnośnik, który wysłał im znajomy lub przyjaciel (wiele trojanów wysyła odnośniki do osób z listy kontaktów komunikatora internetowego). Gdy użytkownik kliknie taki odnośnik, złośliwy program przeniknie do systemu. W tym celu szkodnik może wykorzystać różne luki w przeglądarce Internet Explorer albo może zostać pobrany i uruchomiony na komputerze ofiary.

Rozwinęły się dwa główne trendy w ewolucji i implementacji tej metody. Wiążą się one ściśle z tym, że w różnych krajach popularne są różne klienty komunikatorów internetowych. W Europie i Stanach Zjednoczonych celem większości ataków na komunikatory internetowe są użytkownicy MSN i AOL. Z kolei w Rosji najbardziej zagrożeni są użytkownicy komunikatorów ICQ, Miranda i Trillian. Wynika to z tego, że AOL i MSN nie są rozpowszechnione w Rosji, a tym samym nie stanowią popularnego celu ataków. Podobna sytuacja ma miejsce w Chinach, gdzie najpopularniejszym klientem komunikatorów internetowych jest QQ.

Robaki komunikatorów internetowych różnią się także w zależności od regionu. Na Zachodzie główne zagrożenie dla tego typu narzędzi stanowią robaki komunikatorów internetowych, między innymi dobrze znane Kelvir, Bropia i Licat, które atakują AOL i MSN. Oprócz zdolności rozprzestrzeniania się, większość robaków komunikatorów internetowych instaluje również inne złośliwe programy do systemu. Przykładem jest Bropia (posiadający największą liczbę wariantów spośród programów atakujących komunikatory internetowe), który instaluje na komputerze ofiary backdoora Backdoor.Win32.Rbot, przekształcając go w kolejną maszynę zombie wchodzącą w skład botnetu. Istnieje również wiele robaków, które atakują popularny chiński klient komunikatora internetowego QQ.

Zupełnie inaczej wygląda sytuacja komunikatorów ICQ. Poprzez ICQ rozprzestrzenia się bardzo niewielka liczba robaków. Rosyjscy użytkownicy stają się natomiast celem licznych trojanów, w szczególności znanego programu typu Trojan Spy - LdPinch.

Niektóre warianty tego programu posiadają bardzo interesujące funkcje. Po przeniknięciu do komputera ofiary i zebraniu informacji, których potrzebuje zdalny szkodliwy użytkownik, trojan wysyła kontaktom ICQ odnośnik do strony, na której został umieszczony. W trzecim kwartale 2006 roku w rosyjskim segmencie Internetu miało miejsce kilka epidemii - setki tysięcy użytkowników otrzymało od swoich kontaktów odnośniki, które obiecywały "zabawne zdjęcia" lub "zdjęcia z wakacji". Naturalnie, ich źródłem były komputery zainfekowane trojanem, a nie osoby, od których rzekomo pochodziły.