Zagrożenia internetowe I kw. 2011

Przeczytaj także: Zagrożenia internetowe III kw. 2010

Rustock zostaje rozbity, ale jego właściciele pozostają na wolności

W połowie marca botnet Rustock zaprzestał rozprzestrzeniania spamu. Był to bezpośredni wynik wspólnej operacji firmy Microsoft oraz amerykańskich organów ścigania, która doprowadziła do zdjęcia centrów kontroli tego botnetu. W następstwie tego zdarzenia całkowita ilość spamu krążącego w Sieci spadła o 15 punktów procentowych.

Rustock był botnetem zarządzanym za pomocą centrów kontroli ze specjalnymi adresami zaszytymi w jego boty spamowe. Po zdjęciu serwerów kontroli botnetu ich właściciele stracili kontrolę nad zainfekowanymi maszynami. Cyberprzestępcy nie będą w stanie odzyskać kontroli nad komputerami tworzącymi botnet bez powtórnego zainfekowania ich, nie oznacza to jednak końca Rustocka.

Rustock został stworzony w jednym celu: rozsyłania spamu. W związku z tym jego funkcjonalność ograniczała się do maskowania swojej obecności na komputerze, otrzymywania poleceń od właściciela botnetu oraz wysyłania niechcianych wiadomości e-mail. Rustock nigdy nie posiadał możliwości samodzielnego rozprzestrzeniania się. Sieć zombie została stworzona przy użyciu innych botnetów. Znajdujące się na zainfekowanych komputerach szkodliwe oprogramowanie, w większości Trojan-Downloader.Win32.Harnig, otrzymywało polecenie pobrania i zainstalowania botu spamowego Rustock. Typowym „gospodarzem” Rustocka był komputer bez zainstalowanego oprogramowania antywirusowego oraz posiadający niezałatany system Windows XP. Na całym świecie istnieją setki tysięcy takich komputerów. Tak długo jak właściciele Rustocka pozostają na wolności, mogą stworzyć podobny botnet składający się z tych samych maszyn, które tworzyły rozbitą sieć zombie.

Cyberprzestępcy nie próbowali stworzyć nowego botnetu w miejsce zamkniętego. Według danych firmy Kaspersky Lab, w ciągu dwóch tygodni, od 16 marca do końca miesiąca, na maszynach użytkowników nie wykryto żadnych nowych downloaderów instalujących Rustocka.

Ofiary GpCode’a

Pod koniec kwartału miał miejsce atak przeprowadzony przy użyciu nowej wersji GpCode’a, niezwykle niebezpiecznego trojana-szantażysty, który szyfruje dane na zainfekowanych przez siebie komputerach i żąda pieniędzy za ich odszyfrowanie.

Nowe warianty tego trojana zostały pierwotnie wykryte pod koniec 2010 roku. W przeciwieństwie do wcześniejszych wariantów, które usuwały oryginały zaszyfrowanych plików, nowe warianty GpCode’a nadpisywały pliki zaszyfrowanymi danymi. O ile usunięte oryginały zaszyfrowanych plików można przywrócić przy pomocy specjalistycznego oprogramowania, nadpisanych plików nie da się odzyskać bez klucza prywatnego. Sytuację dodatkowo komplikuje to, że nowe warianty GpCode’a wykorzystują mocne algorytmy szyfrowania: AES z 256-bitowymi kluczami oraz RSA z 1024-bitowymi kluczami. Obecnie, nie da się odszyfrować danych zaszyfrowanych przy pomocy takich algorytmów w rozsądnym czasie i mając do dyspozycji jedynie przechowywane otwarcie zaszyfrowane dane, które są wszystkim, co pozostaje na maszynach ofiar.