Wirusy i trojany X 2004

Przeczytaj także: Wirusy i trojany IX 2004

Mimo to ilość szkodliwych programów wykrytych przez laboratoria Trend Micro wzrosła o 22 procent w stosunku do poprzedniego miesiąca i osiągnęła liczbę 1 817. Wśród nich najwięcej było trojanów, robaków internetowych i backdoorów.

TROJANY i BOTY

Aż 47 procent wszystkich wykrytych w październiku złośliwych kodów stanowiły trojany. Rosnąca z miesiąca na miesiąc liczba tego typu wirusów potwierdza zaobserwowaną już wcześniej tendencję – główną motywacją hakerów stała się chęć zysku, a nie zdobywanie popularności. W trend ten wpisuje się również rosnąca liczba botów (programów podszywających się po żywego użytkownika). Programy te mają cechy backdoorów, dzięki czemu umożliwiają zdalne przejęcie kontroli nad komputerami a następnie łączenie ich w tzw. sieci zombie, używane do przeprowadzania ataków typu denial of service. Wykorzystują luki w zabezpieczeniach Windows, co potęguje ryzyko ataków dokonywanych przy ich użyciu. Informacje wykradane z zainfekowanych systemów coraz częściej są sprzedawane, również narzędzia hakerskie stały się przedmiotem handlu. Wszystko to potwierdza niebezpieczną tendencję – włamania internetowe zaczęły służyć korzyściom finansowym, a co za tym idzie, ich skutki mogą okazać się boleśnie odczuwalne dla użytkowników.

ROBAKI INTERNETOWE

Robaki internetowe to w dalszym ciągu najczęściej pojawiające się wirusy. Ilustruje to zestawienie przygotowane przez laboratoria Trend Micro, zamieszczone poniżej:

1. WORM_NETSKY.P
2. PE_ZAFI.B
3. HTML_NETSKY.P
4. WORM_NETSKY.D
5. PE_FUNLOVE.4099
6. JAVA_BYTEVER.A
7. WORM_NETSKY.B
8. WORM_NETSKY.C
9. WORM_ANIG.A
10. WORM_NETSKY.Q

Podobnie jak miesiąc temu, najaktywniejszy jest wirus NETSKY i jego mutacje. Z zestawienia zniknął natomiast SASSER.B, zajmujący dotąd pierwsze miejsce na liście. Spadek jego aktywności wynika z faktu, że pozostało niewiele systemów niezabezpieczonych przed luką LSASS.

W październiku pojawiło się 13 nowych mutacji robaka BAGLE, powstała również nowa wersja wirusa MYDOOM. Stworzenie MYDOOM.AA było odpowiedzią jego autorów na fakt zatrudnienia twórcy SASSERa i NETSKY w firmie informatycznej, gdzie nastoletni haker zajął się bezpieczeństwem systemu. Motywację tę potwierdza wiadomość zapisana w kodzie źródłowym wirusa:

(...)Sasser author gets IT job and we will work with Mydoom, P2P worms and exploit codes. Also we will attack f-secure, symantec, trend micro, mcafee, etc (...)

HKTL_MS04-032

12 października firma Microsoft udostępniła 10 uaktualnień zabezpieczeń, likwidujących luki, które umożliwiały zdalne uruchamianie kodów. Jednak już dwa tygodnie później pojawiło się narzędzie HKTL_MS04-032, wykorzystujące jedną z tych luk, opisaną w biuletynie MS04-032. Luka pozwalała na włamanie się do systemu poprzez zmodyfikowane pliki EMF. Właśnie do tworzenia takich plików przeznaczony jest HKTL_MS04-032.