Ewolucja złośliwego oprogramowania IV-VI 2007

Przeczytaj także: Ewolucja złośliwego oprogramowania I-III 2007

Następnie do wszystkich podstron tych witryn zostanie dodany "złośliwy" znacznik ramki pływającej, prowadzący do strony z exploitami. Aby dodać znacznik pływającej ramki do większej liczby witryn internetowych, szkodliwy użytkownik może wykorzystać inne programy, takie jak FTPToolz, który został stworzony przez innego rosyjskiego ucznia.

Internauci wchodzący na strony, które zwykle odwiedzają, nie podejrzewają nawet, że włamali się na nie hakerzy, a ich przeglądarki atakowane są przez wiele różnych exploitów.

Jednak uruchomienie exploitów nie jest ostatecznym celem szkodliwych użytkowników, którzy tak naprawdę dążą do zainstalowania na zaatakowanych komputerach szkodliwych programów. Zwykle wymaga to zainstalowania trojana downloadera. W efekcie szkodliwi użytkownicy mogą zainstalować na zaatakowanych komputerach wirusy, robaki, backdoory, spyware itd.

Wszystkie podobne zestawy exploitów posiadają moduły odpowiedzialne za gromadzenie statystyk i szkodliwi użytkownicy mają dostęp do informacji dotyczących tego, ilu użytkowników zostało zainfekowanych, gdzie są zlokalizowani, jakiej używają przeglądarki, oraz na które strony "złapały się" ofiary.

Autorzy Mpacka sprzedawali program za 1 000 dolarów, oddzielnie oferując dalsze wsparcie (dodawanie nowych exploitów do kolekcji). Dokładnie w ten sam sposób sprzedawane są inne popularne, wymienione wcześniej kolekcje exploitów.

Jednym ze sposobów pomiaru skuteczności kolekcji exploitów jest współczynnik infekcji wśród użytkowników, którzy odwiedzają zainfekowaną stronę. Autorzy obiecują 30 - 50 proc. współczynnik skuteczności, jednak praktyka pokazuje, że nie przekracza on zwykle10 - 12 proc. Współczynnik ten nadal stanowi powód do niepokoju, zważywszy na to, że strona jest odwiedzana przez tysiące użytkowników.

Zdaniem Kaspersky Lab największym problem jest to, że pociągniecie autorów Mpacka do odpowiedzialności karnej jest bardzo trudne. Z technicznego punktu widzenia, prowadzą oni jedynie nielegalny biznes i nie odprowadzają podatków od dochodów ze sprzedaży. Nie włamują się na strony internetowe w celu umieszczenia na nich ramek pływających - robią to ich klienci. Nie rozprzestrzeniają trojanów - robią to ich klienci. Biorą jedynie exploity z otwartych źródeł, które są publikowane na setkach stron internetowych w celu zapewnienia bezpieczeństwa IT i zostały znalezione przez innych ludzi. Tworzą z tych exploitów kolekcje i nie ponoszą odpowiedzialności za to, w jaki sposób zostaną następnie wykorzystane.

Autorzy Mpacka robią dokładnie to samo co HD Moore (autor projektu Metasploit). Jedyna różnica polega na tym, że jeden z nich mówi uczciwie, do czego mogą zostać wykorzystane kolekcje exploitów, a drugi twierdzi, że ich produkt jest narzędziem administracyjnym niezbędnym do testowania bezpieczeństwa systemów komputerowych.

Viver

W połowie maja eksperci z Kaspersky Lab znaleźli trzy warianty nowego trojana stworzonego dla telefonów komórkowych: Trojan-SMS.SymbOS.Viver. Trojan ten wysyła wiadomości tekstowe na płatne numery. W rezultacie, ofiara zostaje obciążona kwotą pieniędzy, które są następnie przelewane na konto szkodliwego użytkownika.

Według autorów artykuł trojany te nie są niczym nowym: pierwsze podobne szkodniki działające na praktycznie wszystkich telefonach komórkowych obsługujących Javę (tj. RedBrowser, Wesber) wykryliśmy w zeszłym roku. Vivera odróżnia od innych takich trojanów to, że został on napisany specjalnie dla telefonów działających na platformie Symbian i jest pierwszym trojanem wykorzystującym wiadomości tekstowe, który atakuje smartfony.

Analiza pomoże ustalić, w jaki sposób trojan ten rozprzestrzenia się, a szkodliwi użytkownicy dostają pieniądze.