Zagrożenia internetowe - trendy 2009 roku

Przeczytaj także: Kaspersky Lab: szkodliwe programy XII 2010

Co przesądziło o tym, że Kido został zaliczony do najbardziej niebezpiecznych zagrożeń 2009? Z pewnością specyfika jego działania, polegająca na wykradaniu poufnych danych z zainfekowanego komputera, a także umiejętność sprytnego ukrywania się w systemie ofiary - nieświadomy użytkownik może przez długi czas korzystać z maszyny nie podejrzewając, że znajduje się ona pod obcą kontrolą, i że za jej pomocą przeprowadzane są ataki czy popełniane przestępstwa. Przede wszystkim jednak zaważyła tu niesamowita szybkość, z jaką Kido się rozprzestrzenia, dołączając coraz to nowe stacje do swego rozsianego po całym świecie botnetu. Stworzona w ten sposób monstrualna sieć komputerów-zombie stanowi bardzo potężne narzędzie w rękach cyberprzestępców. Może posłużyć do wielu destruktywnych celów, spośród których masowe ataki DDoS czy wysyłanie spamu na ogromną skalę to tylko mniej wyrafinowane przykłady. Jak wiadomo, najbardziej niebezpieczne jest to, czego możliwości nie jesteśmy w stanie do końca ocenić - botnet Kido do takich właśnie rzeczy należy.

Kolejny szkodnik, który pojawił się w 2008 roku ale znaczna część jego rozwoju przypada na rok 2009 to Backdoor.Win32.Sinowal, znany również pod nazwą Mebroot. Pod względem sposobu rozprzestrzeniania się można go zaliczyć do tej samej kategorii co trojana Gumblar - wykorzystuje bowiem technikę drive-by download, stosując podmianę odsyłaczy na stronach i ściśle wyspecjalizowane, spersonalizowane exploity - jednak jego działanie jest o wiele bardziej skomplikowane i niebezpieczne. Łączy on w sobie tradycję dawnych wirusów sektora startowego z cechami zaawansowanego rootkita i funkcjonalnością backdoora.

Sinowal modyfikuje sektor rozruchowy dysku (MBR), wprowadzając do niego własny kod, dzięki czemu może działać na komputerze zupełnie niewidoczny, wczytując się do pamięci jeszcze zanim nastąpi start systemu operacyjnego. Jako, że w sektorze MBR nie może znajdować się zbyt duża ilość kodu, właściwy plik backdoora pobierany jest z Internetu po każdym restarcie komputera; nie jest on zapisywany fizycznie na dysku, tylko wczytywany bezpośrednio do pamięci. Główne zadanie Sinowala to szpiegowanie użytkownika (ze szczególnym uwzględnieniem wpisywanych przez niego loginów i haseł do różnych aplikacji i portali internetowych) i przesyłanie tych danych na jeden ze szkodliwych serwerów. Zainfekowane komputery, podobnie jak w przypadku robaka Kido, tworzą ze wspólnie botnet zombie.

Innymi szkodnikami, które paraliżowały komputery w 2009 są dwa "klasyczne" wirusy infekujące pliki: Virus.Win32.Virut i Virus.Win32.Sality. Pierwszy z nich pojawił się pod koniec 2007, na początku 2008 zyskał miano jednego z najpopularniejszych zagrożeń, okupując raz za razem wysokie pozycje w comiesięcznych statystykach, a tradycję tę z powodzeniem kontynuował w roku ubiegłym. Drugi z wymienionych infektorów pojawił się nieco wcześniej i nieco później zdobył popularność, jednak w roku 2009 ramię w ramię z Virutem zajmował wysokie pozycje w naszych rankingach popularności szkodników, szczególnie zaś popularna jest jego wersja aa, która od wielu miesięcy znajduje się w pierwszej piątce najczęściej występujących infekcji - i nic nie wskazuje na to, by miała ją prędko opuścić.

Oba szkodniki mają wiele cech wspólnych; wykorzystują polimorfizm, co utrudnia producentom oprogramowania antywirusowego skuteczne dodawanie ich sygnatur do baz; oprócz plików wykonywalnych infekują również pliki php / html, dzięki czemu zyskują dodatkową metodę rozprzestrzeniania się - drive-by download. Najbardziej charakterystyczną cechą obu tych wirusów jest jednak to, że łączą się one z serwerami IRC w oczekiwaniu na polecenia, a co za tym idzie - działają jednocześnie jako backdoor. Zainfekowane komputery i w tym przypadku stają się komputerami zombie. Oba wirusy są na tyle trudne do usunięcia, że większość producentów oprogramowania antywirusowego stworzyła specjalne narzędzia do leczenia systemu zarażonego którymś z nich.