Ewolucja złośliwego oprogramowania 2008

Przeczytaj także: Ewolucja złośliwego oprogramowania I-VI 2008

Zgodnie z przewidywaniami Kaspersky Lab, w 2008 roku powróciły wirusy plikowe. Pierwotna szkodliwa funkcjonalność, infekowanie plików, została rozszerzona o kilka nowych funkcji: wirusy potrafią teraz kraść dane i, co ważniejsze, mogą rozprzestrzeniać się za pośrednictwem nośników wymiennych, dzięki czemu w krótkim czasie mogą wywołać masowe infekcje. Prawie wszystkie z dzisiejszych wirusów to wirusy polimorficzne, co stwarza dodatkowe problemy producentom rozwiązań antywirusowych, gdyż utrudnia tworzenie procedur wykrywania i leczenia w akceptowalnym przedziale czasowym. Okazało się, że robaki znajdujące się na dyskach USB flash potrafią obejść tradycyjną ochronę sieci korporacyjnych (np. rozwiązanie antywirusowe dla serwerów pocztowych, zapora sieciowa i rozwiązanie antywirusowe dla serwerów plików). Po przeniknięciu lokalnych sieci, na skutek obejścia ochrony, robaki te mogą szybko rozprzestrzenić się w całej sieci, kopiując się do wszystkich dostępnych zasobów sieciowych.

Ciągły wzrost popularności portali społecznościowych oraz ich aktywne wykorzystywanie w państwach z dużą liczbą nowych użytkowników Internetu (Azja Południowo Wschodnia, Indie, Chiny, Ameryka Południowa, Turcja, Afryka Północna i były Związek Socjalistycznych Republik Radzieckich) spowodowały, że ataki przeprowadzane na i za pośrednictwem takich portali nie stanowiły już odosobnionych przypadków, a raczej zjawisko będące na porządku dziennym. Według szacunków ekspertów, współczynnik skuteczności rozprzestrzeniania szkodliwego kodu za pośrednictwem portali społecznościowych wynosi w przybliżeniu 10% i jest znacznie wyższy niż współczynnik skuteczności rozprzestrzeniania szkodliwego oprogramowania za pośrednictwem poczty elektronicznej (który wynosi 1%).

W 2008 roku zaprzestano rozprzestrzeniania wielu wariantów robaka Zhelatin (znanego również jako Storm Worm). Prawie dwuletnia historia tego robaka (jego pierwsze warianty pojawiły się w styczniu 2007 r.) zrodziła wiele pytań. Niemalże mityczny "botnet robaka Storm", który według niektórych szacunków składał się z ponad 2 milionów komputerów (według innych szacunków z 50 milionów), nigdy w pełni nie zrealizował swojego potencjału i przewidywane gigantyczne wysyłki spamowe, jak również ataki DDoS nigdy nie miały miejsca.

Jednym z powodów może być zamknięcie RBN (Russian Business Network), firmy hostingowej wykorzystywanej przez cyberprzestępców. Po tym, jak rozgorzały dyskusje o tym, jak sieć ta może być zamieszana w niemal każdą aktywność przestępczą w Internecie, nieznani właściciele RBN przenieśli swój biznes na strony hostingowe na całym świecie, od Singapuru po Ukrainę, i zaczęli prowadzić swoją działalność w mniej jawny sposób. Jesienią zeszłego roku w cyberprzestępczość wymierzono kilka poważnych ciosów. Dzięki skoordynowanym działaniom dostawców usług internetowych, rządów i firm antywirusowych zamknięto Atrivo/Intercage, EstDomains oraz McColo. Zamknięcie McColo spowodowało gwałtowny spadek ilości spamu w Internecie - o ponad 50%. W rezultacie przestało działać wiele botnetów, które wcześniej były zarządzane za pośrednictwem tych zasobów. Chociaż w ciągu kilku tygodni ilość spamu zaczęła wracać do poprzedniego poziomu, wg ekspertów, incydent ten stanowi jedno z najważniejszych zwycięstw ostatnich lat.

Trendy 2008 roku

Zarówno branża antywirusowa, jak i bezpieczeństwa IT, padły ofiarą najważniejszych incydentów 2008 roku, które można podzielić na cztery główne grupy:

• Rootkity
• Portale społecznościowe
• Gry online
• Botnety

Nikogo nie zdziwiło, że obszary te znalazły się w centrum uwagi. Incydenty, które miały miejsce, pokazały, że wykorzystywane technologie i metody nadal będą ewoluować i staną się w przyszłości bardziej wyrafinowane.