Ewolucja złośliwego oprogramowania 2009

Przeczytaj także: Złośliwe oprogramowanie. Ransomware uderza w dyski NAS

Clampi został zauważony przez ekspertów ds. bezpieczeństwa latem 2009 roku, gdy zainfekowanych zostało wiele dużych amerykańskich firm oraz organizacji rządowych. Szkodnik ten, który po raz pierwszy pojawił się w 2008 roku (a według niektórych danych, pochodził z Rosji), został stworzony w celu kradzieży danych dotyczących kont w określonych systemach bankowości online. Jego modyfikacja, która pojawiła się w 2009 roku, różniła się od poprzednich wariantów nie tylko swoją wyrafinowaną, wielomodułową strukturą (podobną do tej zaimplementowanej w niesławnym trojanie Zbot), ale również wysoce złożoną strukturą komunikacji wykorzystywaną w stworzonym przez siebie botnecie, który szyfrował ruch przy użyciu RSA. Inną cechą charakterystyczną Clampi było wykorzystywanie standardowych narzędzi Windowsa podczas rozprzestrzeniania się za pośrednictwem sieci lokalnych. Spowodowało to wiele problemów dla pewnych rozwiązań antywirusowych, które nie potrafiły zablokować "aplikacji z białych list", a tym samym nie były w stanie odeprzeć tego ataku.

Zagrożenia te były również znane z ich szerokiego rozpowszechnienia w Internecie. Zarówno Sinowal jak i Clampi spowodowały epidemie na poziomie globalnym, a TDSS był odpowiedzialny za jedną z największych epidemii w 2009 roku. Packed.Win32.Tdss.z, który pojawił się we wrześniu i został nazwany przez jego autora "TDL 3", był szczególnie szeroko rozpowszechniony.

Epidemie

W zeszłym roku przewidywaliśmy wzrost globalnych epidemii, niestety nasze prognozy okazały się słuszne. Globalne epidemie były spowodowane nie tylko wymienionymi wyżej zagrożeniami, ale całym szeregiem innych szkodliwych programów.

Ataki na komputery

Dane zebrane przez Kaspersky Security Network pokazują, że ponad milion systemów zostało zaatakowanych przez wymienione niżej szkodliwe programy:

• Kido — robak
• Sality — wirus/ robak
• Brontok — robak
• Mabezat — robak
• Parite.b — wirus plikowy
• Virut.ce — wirus/ bot
• Sohanad — robak
• TDSS.z — rootkit/backdoor

Bez wątpienia, największa epidemia roku była wywołana przez robaka Conficker (znany również jako Kido), który zainfekował miliony maszyn na całym świecie. Szkodnik ten przenikał maszyny swoich ofiar na kilka sposobów: łamiąc hasła sieciowe za pomocą ataku brute-force, za pośrednictwem USB oraz wykorzystując lukę w zabezpieczeniach Windows MS08-067. Każda zainfekowana maszyna stawała się następnie częścią botnetu. Zwalczanie botnetu utrudniał fakt, że Kido implementował najnowsze, najbardziej wyrafinowane technologie tworzenia wirusów. Na przykład, jedna z modyfikacji robaka została tak zaprogramowana, żeby aktualizowała się z 500 domen; adresy tych domen zostały losowo wybrane z listy 50 000 adresów, która była generowana każdego dnia. Jako dodatkowy kanał aktualizacji zostały wykorzystane połączenia przypominające P2P. Kido uniemożliwiał również aktualizowanie rozwiązań bezpieczeństwa, wyłączał usługi bezpieczeństwa i blokował dostęp do stron producentów antywirusowych.