Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Robaki sieciowe


Każdy słyszał już dzisiaj o robakach komputerowych.

Robaki można zaklasyfikować według stosowanych przez nie metod rozprzestrzeniania, tj. sposobu, w jaki przesyłają własne kopie do nowych komputerów ofiar. Można je również podzielić na różne grupy ze względu na metody instalowania, metody uruchamiania oraz standardowe dla wszystkich złośliwych programów cechy: polimorfizm, ukrywanie się itd.

Wiele z robaków, które wywołują poważne epidemie, stosuje więcej niż jedną metodę rozprzestrzeniania oraz więcej niż jedną technikę infekcji. Metody te przedstawione są poniżej:

Robaki pocztowe

Robaki pocztowe rozprzestrzeniają się za pomocą zainfekowanych wiadomości e-mail. Robak przybiera formę załącznika lub wiadomość e-mail zawierającej odsyłacz do zainfekowanej strony. W obu przypadkach nośnikiem jest wiadomość poczta elektroniczna.

W pierwszym przypadku, uruchomienie robaka następuje, gdy użytkownik kliknie załącznik. W drugim przypadku, robak zostanie uruchomiony, gdy użytkownik kliknie odsyłacz prowadzący na zainfekowaną stronę.

Robaki pocztowe stosują zazwyczaj jedną z poniższych metod rozprzestrzeniania:

  • Bezpośrednie połączenie z serwerami SMTP przy użyciu zakodowanej w robaku biblioteki SMTP API;
  • Usługi MS Outlook;
  • Funkcje Windows MAPI.

Robaki pocztowe zbierają adresy e-mail z zainfekowanych komputerów w celu dalszego rozprzestrzeniania. Stosują jedną lub więcej poniższych technik:

  • Skanowanie lokalnej książki adresów programu MS Outlook;
  • Skanowanie bazy adresów WAB;
  • Skanowanie plików posiadających odpowiednie rozszerzenia w poszukiwaniu ciągów tekstów przypominających adresy e-mail;
  • Wysyłanie własnych kopii do nadawców wszystkich wiadomości znajdujących się w skrzynce użytkownika (robaki mogą nawet "odpowiedzieć" na nieprzeczytane wiadomości znajdujące w skrzynce).

Chociaż wymienione techniki są najbardziej rozpowszechnione, niektóre robaki tworzą nowe adresy nadawców na podstawie list potencjalnych nazwisk połączonych z powszechnymi nazwami domen.

Robaki komunikatorów internetowych (ICQ i MSN)

Robaki te wykorzystują jedną metodę rozprzestrzeniana. Rozmnażają się przy użyciu komunikatorów internetowych wysyłając każdej osobie umieszczonej na liście kontaktowej odsyłacze do zainfekowanych stron WWW. Jedyną różnicą między tymi robakami a robakami pocztowymi, które wysyłają wiadomości zawierające odsyłacze, jest wybrany do rozsyłania nośnik.

Robaki internetowe

Twórcy szkodliwego oprogramowania mogą także wykorzystywać inne techniki do rozprzestrzeniania robaków, w tym:

  • Kopiowanie robaka do sieciowych zasobów sieciowych;
  • Wykorzystywanie luk w systemie operacyjnym do przeniknięcia komputerów lub sieci;
  • Przenikanie sieci publicznych;
  • Wykorzystywanie innych złośliwych programów jako "nosicieli" robaków.

W pierwszym przypadku, robaki lokalizują zdalne komputery i kopiują się do folderów, które są otwarte do czytania i pisania. Skanują wszystkie dostępne zasoby sieciowe przy użyciu usług lokalnego systemu operacyjnego lub skanują Internet w poszukiwaniu komputerów posiadających luki. Następnie próbują łączyć się z tymi komputerami i uzyskać do nich pełny dostęp.

W drugim przypadku, robaki skanują Internet w poszukiwaniu komputerów, które nie posiadają łat, tj. ich systemy operacyjne zawierają krytyczne luki. Robak przesyła pakiety danych lub żądania, które instalują cały jego kod, lub fragment kodu źródłowego posiadający funkcje downloadera. Po udanej instalacji kodu, ściągany jest właściwy kod robaka. W obu przypadkach, po zainstalowaniu robaka wykonany zostanie jego kod i cały cykl rozpocznie się na nowo.

Robaki, które wykorzystują sieć WWW i serwery FTP należą do oddzielnej kategorii. Proces infekcji przebiega w dwóch etapach. Robaki przenikają najpierw pliki usług serwera plików, takie jak statyczne strony WWW. Następnie robaki czekają, aż klienci uzyskają dostęp do zainfekowanych plików i atakują poszczególne komputery. Komputery te są następnie wykorzystywane jako "wyrzutnie" do dalszych ataków.

Niektórzy twórcy wirusów wykorzystują inne robaki lub trojany do rozprzestrzeniania nowych robaków. Identyfikują oni najpierw trojany lub robaki, którym udało się zainstalować na komputerach backdoory. W większości przypadków funkcje te pozwalają na wysłanie poleceń do komputera ofiary. Komputery zombie z zainstalowanymi backdoorami mogą otrzymać polecenie ściągnięcia i wykonania plików - w tym przypadku kopii nowego robaka.

W celu skuteczniejszego przenikania potencjalnych komputerów ofiar większość robaków wykorzystuje dwie lub więcej metod jednocześnie.

Robaki IRC

Robaki IRC wykorzystują wymienione wyżej metody rozprzestrzeniania, takie jak wysyłanie odsyłaczy do zainfekowanych stron WWW lub wysyłanie zainfekowanych plików pod adresy zebrane od zainfekowanych użytkowników. Wysyłanie zainfekowanych plików jest mniej skuteczne, ponieważ odbiorca musi potwierdzić odbiór, zapisać plik i otworzyć go, aby robak mógł przeniknąć do komputera ofiary.

Robaki sieci wymiany plików (robaki P2P)

Robaki P2P kopiują się do współdzielonego foldera znajdującego się zazwyczaj na komputerze lokalnym. Gdy robak umieści już tam własną kopię o nieszkodliwej nazwie, za dalszy etap rozprzestrzeniania odpowiedzialna jest sama sieć P2P i jej użytkownicy.

Bardziej złożone robaki P2P imitują protokół sieciowy określonych sieci wymiany plików: odpowiadają twierdząco na wszystkie zapytania i dostarczają zainfekowane pliki zawierające kod robaka.