Ewolucja złośliwego oprogramowania I-VI 2008

Przeczytaj także: Ewolucja złośliwego oprogramowania 2007

Istnieją trzy klasy programów, które firma Kaspersky Lab klasyfikuje jako potencjalnie niechciane:

• AdWare: programy, których celem jest pokazywanie reklam, przekierowywanie żądań wyszukania na strony reklamowe oraz zbieranie danych marketingowych (na przykład, które strony odwiedza użytkownik).
• RiskWare: są to legalne programy, które mogą być wykorzystywane w szkodliwym celu do atakowania systemu użytkownika oraz jego danych (np. niszczenia, blokowania, modyfikowania lub kopiowania informacji, niekorzystnie wpływając na wydajność komputera lub sieci).
• PornWare: są to narzędzia, których celem jest pokazywanie pornografii w dowolnej formie (klasa ta zawiera tylko trzy zachowania: Porn-Tool, Porn-Dialer oraz Porn-Downloader).

AdWare

Jest to najbardziej stabilna klasa - drugi rok z rzędu współczynnik wzrostu dla programów AdWare wynosi 450%. Liczba nowych próbek wynosi miesięcznie około 8 000, co daje programom AdWare drugie miejsce wśród wszystkich programów wykrytych przez Kaspersky Anti-Virus.
Z początkiem 2008 roku nastąpił gwałtowny wzrost liczby programów AdWare. Analitycy podkreślają, że wysiłki organów ścigania na całym świecie, aby programy te były uznawane za nielegalne, oraz próby ich legalizacji jak dotąd nie odniosły sukcesów. Co prawda wielu twórców AdWare zmodyfikowało funkcje i zachowanie swoich produktów, częściowo z powodu wzrostu liczby programów AdTool, jednak jest to wyraźnie za mało, aby pomóc użytkownikom w ich walce przeciwko natrętnym reklamom.

Zdaniem ekspertów jeszcze bardziej niepokojące jest to, że wiele programów AdWare posiada funkcjonalność trojana, włączając wykorzystywanie technologii rootkit w celu ukrywania obecności w systemie. Przykładem jest Virtumonde: kilka lat temu był on zwykłym programem AdWare, teraz jednak klasyfikujemy go jako trojana, ponieważ twórcy tego szkodnika wykorzystują do rozprzestrzeniania go metody podstępu.

RiskWare i PornWare

Ponieważ w grupie PornWare można wyróżnić tylko trzy zachowania, a liczba takich programów wykrytych przez analityków z firmy Kaspersky Lab w pierwszej połowie 2008 roku stanowiła 11,7% wszystkich potencjalnie niechcianych programów, w dalszej części analitycy postanowili zająć się analizą programów PornWare oraz RiskWare.
W pierwszej połowie 2008 roku analitycy z firmy Kaspersky Lab wykryli ponad 26 000 programów RiskWare oraz PornWare, a współczynniki wzrostu w tych klasach wyniosły ponad 1 700%. Wynika to z tego, że do antywirusowych baz danych zostało dodanych kilka tysięcy programów sklasyfikowanych jako AdTool. Punkt szczytowy nastąpił w marcu; po czym liczby programów RiskWare i PornWare utrzymywały się na stałym poziomie zgodnie z przewidywaniami ekspertów.

Wśród zachowań z klas RiskWare oraz PornWare można wyróżnić dwóch wyraźnych liderów: AdTool (51,33%) oraz Porn-Dialer (31,48%).

Programy AdTool to moduły reklamowe, których nie można sklasyfikować jako AdWare, ponieważ posiadają atrybuty legalnego oprogramowania, np. umowy licencyjne, wyraźnie pokazują swoją obecność w systemie i informują użytkownika o swoich akcjach. Według Kaspersky Lab czołowa pozycja zajmowana przez AdTool była do przewidzenia, biorąc pod uwagę liczbę programów wykazujących to zachowanie dodanych do antywirusowych baz danych za jednym razem.

Programy Porn-Dialer łączą się z numerami o podwyższonej płatności, co często prowadzi do sporów prawnych między abonentami a operatorami telefonicznymi.