Ewolucja złośliwego oprogramowania I-VI 2008

Przeczytaj także: Ewolucja złośliwego oprogramowania 2007

W raporcie przeanalizowano trendy w ewolucji szkodliwego oprogramowania występujące w pierwszej połowie 2008 roku i porównano je z danymi dla drugiej połowy 2007 roku.

Pierwsze sześć miesięcy 2008 potwierdziły przewidywania analityków Kaspersky Lab z końca minionego roku dotyczące ewolucji szkodliwych programów, a mianowicie:

• ciągłą ewolucję tak zwanych technologii Malware 2.0
• ewolucję rootkitów
• powrót wirusów plikowych
• ataki na serwisy społecznościowe
• zagrożenia dla urządzeń mobilnych.

Jednym z najbardziej znamiennych szkodliwych programów w pierwszej połowie 2008 roku był bez wątpienia robak Storm (sklasyfikowany przez Kaspersky Lab jako Zhelatin). Należy on do awangardy Malware 2.0. Wystąpiło kilkanaście poważnych epidemii tego szkodnika, z których wszystkie wykorzystywały sprawdzone metody: masowe wysyłki wiadomości zawierających odsyłacze do zhakowanych lub specjalnie stworzonych w tym celu serwerów, na których umieszczone było ciało robaka. Te same odsyłacze były umieszczane w serwisach społecznościowych lub rozprzestrzeniane za pośrednictwem komunikatorów internetowych.

Jeżeli chodzi o rootkity, problem "bootkitów" (który wyłonił się pod koniec 2007 roku) zaczął stanowić poważniejsze zagrożenie wraz z pojawieniem się nowych modyfikacji Sinowala. Mimo że program ten nie ewoluował, nie można powiedzieć, że bootkity przestały stanowić problem. Technologie bootkit stawiają kilka poważnych wyzwań przed technologiami antywirusowymi, a obecny brak bootkitów należy uznać bardziej jako przerwę niż całkowite odejście twórców wirusów od rozwoju takich szkodliwych programów.

Jeśli chodzi o "klasyczne" rootkity, w końcu udało się zidentyfikować "mitycznego" rootkita o nazwie Rustock.c. Wydarzenie to przysporzyło kilku problemów branży antywirusowej, nie tylko pod względem wykrywania i leczenia, ale również metod wykorzystywanych do zbierania i analizowania nowych próbek oraz szybkości reakcji producenta na nowe zagrożenia.

Z technologii wykorzystywanych w rootkicie Rustock.c można zbudować dwa wątki - logiczny i techniczny, z których oba prowadzą do kolejnych dwóch istotnych kwestii: zaciemniania i polimorfizmu. Celem "śmieciowego kodu" zaimplementowanego w Rustocku jest utrudnienie w maksymalnym stopniu metod analizy i zwalczania tego rootkita - podejście, które od dłuższego czasu było aktywnie wykorzystywane w wirusach plikowych. Podejścia te są rozwijane głównie przez chińskich twórców wirusów. W rezultacie, spowodowało to dodawanie funkcji wirusowych do szeregu różnych backdoorów i robaków, zamiast tworzenia nowych wirusów plikowych.

Jak wynika z raportu dzisiejsze wirusy nie ograniczają się do prostych infektorów plików. Są to raczej potężne komponenty botnetów tworzone w celu kradzieży danych użytkownika i przeprowadzania ataków DDoS. Do najbardziej charakterystycznych przykładów należy Virut, Alman, Allaple, oraz robaki Fujack i Autorun. W pierwszej połowie 2008 roku szkodniki te spowodowały ogromną ilość infekcji na całym świecie, skłaniając ekspertów do wniosku, że w najbliższej przyszłości funkcjonalność wirusów będzie nadal aktywnie dodawana do backdoorów i robaków.

Według raportu serwisy społecznościowe stanowią cel największych ataków w historii. W rezultacie te popularne serwisy nie tylko są atakowane przez robaki XSS, ale stanowią "plac zabaw" dla technologii wirusowych i spamowych. Twórcy wirusów odeszli od szukania luk w zabezpieczeniach silników serwisów społecznościowych - obecnie wykorzystują wypróbowane metody socjotechniki, ucząc się wysyłać wiadomości od "przyjaciół" zawierające odsyłacze do zainfekowanych stron internetowych. Wśród najczęściej atakowanych stron znajduje się MySpace i Orkut, Facebook natomiast stał się celem ataków znacznie później. Rosyjscy użytkownicy są atakowani przez robaki i trojany rozprzestrzeniające się za pośrednictwem Odnoklassniki.ru i Vkontakte.

Analitycy Kaspersky Lab zauważyli, że mobilne zagrożenia nagle zmieniły kierunek: twórcy wirusów postanowili zmienić swoją taktykę i zamiast atakowania smartfonów zaczęli specjalizować się w trojanach dla J2ME, które potrafią działać na prawie każdym telefonie komórkowym. Programy te (wykryto prawie 50) posiadają tę samą funkcję szkodliwą: wysyłają wiadomości SMS na numery o podwyższonej opłacie, wyczyszczając z pieniędzy konto użytkownika i zasilając kieszeń autora trojana.