Ewolucja złośliwego oprogramowania 2008

Przeczytaj także: Ewolucja złośliwego oprogramowania I-VI 2008

Rozprzestrzenianie szkodliwych programów atakujących gry

Eksperci podają, że w 2008 roku do rozprzestrzeniania szkodliwych programów atakujących gry powszechnie wykorzystywane były poniższe metody:

• Wykorzystywanie niezidentyfikowanych luk w zabezpieczeniach zasobów sieciowych w celu zainfekowania dużej liczby stron;
• Wykorzystywanie nieznanych luk w zabezpieczeniach oprogramowania klienckiego;
• Tworzenie uaktualnień dla szkodliwych programów w częstszych odstępach niż publikowanie uaktualnień dla oprogramowania antywirusowego;
• Masowe wysyłki zawierające odsyłacze do zainfekowanych stron.

Jeżeli weźmiemy sto dowolnych nowych szkodliwych programów, prawdopodobnie każdy z nich zdoła zainfekować średnio pięciuset użytkowników. Tak wysoki współczynnik infekcji jest możliwy dzięki wykorzystaniu luk w zabezpieczeniach oprogramowania na zaatakowanych maszynach. W 2007 roku kampanię przeciwko szkodliwym programom atakującym gry prowadzili producenci rozwiązań antywirusowych, twórcy gier online oraz administratorzy serwerów gier. W 2008 roku przyłączyli się do nich administratorzy zaatakowanych stron internetowych oraz twórcy oprogramowania wykorzystywanego przez oszustów w celu przemycenia szkodliwego oprogramowania na komputery użytkowników.

Jednym z ważniejszych incydentów, jakie miały miejsce w 2008 roku, było wykorzystanie przez cyberprzestępców błędu w przetwarzaniu plików XML w przeglądarce Internet Explorer w celu rozprzestrzeniania trojana Trojan-GameThief.Win32.Magania. Luka MS08-78 była tak szeroko rozpowszechniona, że według Microsoftu zainfekowanych zostało 0,2% wszystkich użytkowników Internetu.
W rozprzestrzenianiu szkodliwego programu pomaga również jego szybka (i częsta) modyfikacja; program zostaje zmieniony, zanim do antywirusowych baz danych zostanie dodana sygnatura.

W 2008 roku najważniejszymi wydarzeniami związanymi ze szkodliwym oprogramowaniem atakującym gry były:

• Kwiecień 2008. Nieznani cyberprzestępcy włamali się na ponad 1 500 000 stron internetowych w celu zainfekowania odwiedzających je użytkowników trojanem Trojan-GameThief.Win32.OnLineGames.
• Lipiec 2008. Przeprowadzono masową wysyłkę zawierającą odsyłacze do wirusa polimorficznego Virus.Win32.Alman.b. Wirus ten zawiera moduł kradnący hasła do gier online. Wirus Alman.b został wykryty w kwietniu 2007 roku.
• Sierpień 2008. Na pokładzie międzynarodowej stacji kosmicznej wykryto trojana Trojan-GameThief.Win32.Magania.
• Grudzień 2008. Luka MS08-78 w zabezpieczeniach przeglądarki Internet Explorer została wykorzystana do rozprzestrzeniania szkodliwych programów z rodziny Trojan-GameThief.Win32.Magania.

Przesyłanie skradzionych danych

Szkodliwe programy wysyłały skradzione hasła cyberprzestępcom za pośrednictwem poczty elektronicznej do wyznaczonych serwerów, które następnie przesyłały informacje cyberprzestępcom. Adresy IP serwerów zmieniają się regularnie, w niektórych przypadkach kilka razy dziennie. Metoda ta gwarantuje cyberprzestępcom anonimowość, a częsta zmiana nazw domen zapobiega umieszczeniu serwerów przekierowujących na czarnej liście. Serwery dostarczające exploity, szkodliwe programy oraz e-maile zawierające skradzione hasła zlokalizowane są głównie w Azji i na Dalekim Wschodzie.