Ewolucja złośliwego oprogramowania I-VI 2008

Przeczytaj także: Ewolucja złośliwego oprogramowania 2007

W pierwszej połowie 2008 roku następujące zachowania wykazały największy wzrost (tj. 200%+): Trojan-Dropper, Trojan, Trojan-Clicker oraz Rootkit (liczby programów reprezentujących zachowanie Trojan-AOL, Trojan-IM oraz Trojan-SMS nie są brane pod uwagę, ponieważ liczba takich programów jest bardzo niewielka).

Zachowanie trojan dropper uzyskało o wiele bardziej imponujący wynik, ponad 660% wzrost liczby tych programów stanowił rekord dla wszystkich trojanów w ciągu ostatnich kilku lat. Wzrost ten wynika z tego, że coraz więcej twórców wirusów zaczyna wykorzystywać taktykę ukrywania plików trojanów w plikach instalacyjnych innych programów, aby w ten sposób zapewnić, że maksymalna liczba różnych trojanów zostanie jednocześnie zainstalowana na zainfekowanych maszynach. Sytuacja ta wynika z tego, że w świecie cyberprzestępczym za rozprzestrzenianie szkodliwych programów odpowiedzialne są wyspecjalizowane grupy, a nie autorzy programów czy klienci, którzy je kupują.

Zdaniem analityków te same przyczyny wpływają prawdopodobnie na ilość trojanów downloaderów. Zachowanie to, najbardziej rozpowszechnione w 2006 roku, uplasowało się w zeszłym roku na drugim miejscu, za zachowaniem Backdoor. W pierwszej połowie 2008 roku zachowanie Trojan-Downloader zdołało utrzymać drugą pozycję (wyprzedzając programy trojańskie o zaledwie 1%); towarzyszył temu stały spadek liczby downloaderów wśród wszystkich programów trojańskich (- 2,4%).

Interesujący jest wzrost liczby "zwykłych" trojanów - w pierwszej połowie 2008 roku wyniósł on 488%. Wcześniej, programy wykazujące zachowanie Trojan były drugorzędne i nie było powodów, aby przypuszczać, że nastąpi znaczny wzrost ich liczby. Liczba programów reprezentujących zachowanie Trojan w pierwszej połowie 2008 roku w dużej mierze spowodowana była próbami stworzenia uniwersalnego kodu przez twórców wirusów. Często zamiast tworzyć kilka współpracujących ze sobą modułów implementują oni wszystkie funkcje w ramach jednej aplikacji. Podejście to stanowi reakcję szkodliwych użytkowników na coraz skuteczniejsze technologie antywirusowe - znacznie łatwiej jest zwiększyć okres czasu między opublikowaniem szkodliwego programu a dodaniem go do antywirusowej bazy danych w przypadku jednego programu niż kilku.

Według Kaspersky Lab rosnąca popularność trojanów clickerów spowodowana jest tym, że cyberprzestępcy zaczynają interesować się jednym ze sposobów nielegalnego zarabiania pieniędzy w Internecie, czyli płaceniem za "klikanie" odsyłaczy z reklamami oraz "nabijanie" statystyk internetowych. Tego typu scam istnieje już od jakiegoś czasu; jednak przed 2008 rokiem twórcy wirusów nie zwracali na niego zbyt wielkiej uwagi. Sytuacja zmieniła się w 2008 roku. W rezultacie, w badanym okresie wykryto o 250% więcej trojanów clickerów niż w ciągu poprzednich sześciu miesięcy.

Jeżeli chodzi o rootkity, chociaż ich liczba znacznie wzrosła (246%), wzrost ten był nieznaczny w stosunku do wszystkich programów trojańskich - zaledwie 0,9%.

W czerwcu 2008 roku firma Kaspersky Lab zaklasyfikowała kilka rodzin szkodliwych programów (których zachowanie różniło się od znanych w tym czasie zachowań) do dwóch nowych kategorii zachowań: Trojan-Mailfinder oraz Trojan-Ransom.

Główną funkcją programów sklasyfikowanych jako zachowanie Trojan-Mailfinder jest przechwytywanie adresów e-mail z zainfekowanych maszyn w celu dodania ich do baz spamerów. Do tego typu zachowania zaliczane są zarówno różne programy trojańskie, jak również wiele programów, które wcześniej były klasyfikowane jako zachowanie SpamTool i umieszczone w klasie Inne programy MalWare.