Ewolucja złośliwego oprogramowania 2009

Przeczytaj także: Złośliwe oprogramowanie. Ransomware uderza w dyski NAS

Twórcy Kido byli stosunkowo spokojni aż do marca 2009 roku. Szacujemy jednak, że do tego czasu zdołali zainfekować 5 milionów komputerów na całym świecie. Mimo że Kido nie rozprzestrzeniał się poprzez spam i nie przeprowadzał ataków DoS, badacze spodziewali się, że nastąpi to 1 kwietnia, ponieważ celem wersji Kido, która zaczęła rozprzestrzeniać się w marcu, było rozpoczęcie pobierania dodatkowych modułów na początku kwietnia. Jednak twórcy Kido czekali i w nocy z 8 na 9 kwietnia zainfekowanym maszynom wydano polecenie aktualizacji szkodnika za pośrednictwem P2P. Poza aktualizacjami Kido zainfekowane maszyny pobierały dwa dodatkowe programy: wersję robaka Email-Worm.Win32.Iksmas, który rozsyła spam, oraz wersję narzędzia FraudTool.Win32.SpywareProtect2009, fałszywego programu antywirusowego, który żąda pieniędzy w zamian za usunięcie zagrożeń, które rzekomo zostały wykryte na komputerze.

W celu zwalczania tak szeroko rozpowszechnionego zagrożenia stworzono specjalną grupę Conficker Working Group. Grupa ta skupiała firmy antywirusowe, dostawców Internetu, niezależne organizacje badawcze, instytucje edukacyjne oraz regulacyjne. Grupa ta była pierwszym przykładem poważnej międzynarodowej współpracy, która wykraczała poza granice codziennej komunikacji specjalistów zajmujących się zwalczaniem wirusów. Mogłaby stanowić model interakcji organizacji z całego świata mającej na celu zwalczanie globalnych zagrożeń.

Epidemia robaka Kido (Conficker) trwała przez cały rok 2009, a w listopadzie liczba zainfekowanych maszyn przekroczyła 7 milionów.
Doświadczenia związane z epidemiami spowodowanymi przez inne robaki (Lovesan, Sasser, Slammer) sugerują, że w 2010 roku rozpowszechnienie robaka Kido nadal będzie miało rozmiary epidemii.

Warto wspomnieć o epidemii spowodowanej przez Viruta. Virus.Win32.Virut.ce wyróżnia się tym, że atakuje usługi sieciowe. Na uwagę zasługują również jego metody infekcji: szkodnik ten nie tylko infekuje pliki wykonywalne z rozszerzeniem .EXE i .SCR, ale również dodaje specjalnie stworzony kod na koniec plików z rozszerzeniem .HTM, .PHP oraz .ASP w postaci odsyłacza.

Podczas gdy użytkownik przegląda legalną (niezainfekowaną) stronę, na jego komputer pobierana jest szkodliwa zawartość zlokalizowana w odsyłaczu. Wirus rozprzestrzenia się również za pośrednictwem sieci P2P wraz z zainfekowanymi generatorami kluczy oraz dystrybucjami popularnego oprogramowania. Celem jest połączenie zainfekowanych komputerów w botnet IRC, który jest wykorzystywany do rozsyłania spamu.

Zainfekowane zasoby sieciowe

Jedna z największych epidemii w Internecie, która dotknęła dziesiątki tysięcy zasobów, była spowodowana kilkoma falami infekcji Gumblara. Zaczęło się od zainfekowania skryptem legalnych stron internetowych. Skrypt ten ukradkiem przekierowywał żądania do stron cyberprzestępczych stworzonych w celu rozprzestrzeniania szkodliwego oprogramowania.

Szkodnik ten został nazwany Gumblar od nazwy szkodliwej strony wykorzystanej w pierwszym ataku, do której zostali przekierowani użytkownicy przeglądający zainfekowane zasoby. Następnie strona ta infekowała komputery. Ataki te stanowiły doskonały przykład sposobu działania Malware 2.5 (temat ten został podjęty w Kaspersky Security Bulletin: Ewolucja szkodliwego oprogramowania 2008, który został opublikowany na początku zeszłego roku).

Jesienią odsyłacze, które zostały umieszczone na skompromitowanych stronach, nie prowadziły już do stron cyberprzestępczych, ale do legalnych, zainfekowanych stron; znacznie utrudniło to zwalczanie epidemii Gumblara.