Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Raport: Ewolucja szkodliwego oprogramowania: kwiecień 2005

Tagi:

Kwiecień 2005 był miesiącem robaków, które, paradoksalnie, jako gatunek szkodliwego oprogramowania od pewnego czasu wymierają. Tak dużej liczby różnych robaków nie obserwowaliśmy dotychczas w roku 2005.

Email-Worm.Win32.Bagle

Po miesiącu hibernacji Bagle powrócił, tym razem jako Email-Worm.Win32.Bagle.bi. Wersja ta została wykryta 15 kwietnia, podczas gdy poprzedni wariant pojawił się 12 marca. Od 15 kwiertnia autorzy robaka Bagle zdążyli już wypuścić 7 nowych wersji - od .bi do .bn. Wszystkie te szkodniki wykrywane są przez specjalną sygnaturę - Bagle.pac - wchodzącą w skład antywirusowych baz danych programu Kaspersky Anti-Virus. Autorzy robaka Bagle reagują błyskawicznie na uaktualnienia publikowane przez producentów oprogramowania antywirusowego - nowe wersje pojawiły się po upłynięciu zaledwie 15 minut od dodania poprzednich wariantów do baz.

Bagle przestał być robakiem pocztowym. W zasadzie, z technicznego punktu widzenia, nie jest on już nawet robakiem, ponieważ nie może samodzielnie się rozprzestrzeniać. Nowe wersje zostały rozesłane przy użyciu technik spamerskich - użytkownicy otrzymują program zawierający listę adresów internetowych, z których pobierane są inne szkodliwe programy, przykładowo SpamTool.Win32.Small. Program ten wyszukuje wszystkie adresy e-mail zapisane na zainfekowanym komputerze i wysyła je do autora lub zdefiniowanej osoby. Pod zdobyte adresy z bardzo dużym prawdopodobieństwem wysłane zostaną nowe wersje szkodliwych programów. Adresy te mogą także zostać odsprzedane spamerom. Zatem Bagle stał się czymś więcej niż tylko robakiem - jest częścią przemyślanego procesu zdobywania adresów e-mail oraz tworzenia sieci zainfekowanych komputerów (botnetów), które mogą zostać wykorzystane do dalszego rozsyłania spamu lub przeprowadzania zmasowanych ataków DDoS, a wszystko to w celu zarabiania pieniędzy. Mimo, iż najnowsze wersje robaka Bagle nie mogą się samodzielnie rozprzestrzeniać, wystarczy uruchomić zainfekowany załącznik, aby zamienić swój komputer w zombie.

Net-Worm.Win32.Mytob

W kwietniu pojawiło się aż 25 nowych wersji robaka Net-Worm.Win32.Mytob. Rozprzestrzenia się on za pośrednictwem poczty elektronicznej oraz luki w usłudze LSASS systemów Windows. Zajęcie przez robaka Mytob.c pierwszego miejsca w kwietniowym zestawieniu najczęściej występujących szkodników może świadczyć o tym, że bardzo wielu użytkowników nie instaluje łat publikowanych przez firmę Microsoft, nawet tych krytycznych. Należy pamiętać, że bez regularnego uaktualniania systemu operacyjnego zapewnienie skutecznej ochrony jest niemożliwe.

IM-Worm.Win32.Kelvir

Pod względem liczby nowych wersji liderem okazał się robak IM-Worm.Win32.Kelvir. W kwietniu jego autor wydał aż 38 nowych wariantów. W jednej z wersji wykrytych w kwietniu, Kelvir.k, zastosowano ciekawe podejście socjotechniczne - zamiast załącznika .pif lub .scr, robak wysyła plik .php. Procedura przetwarzająca pliki php pozwala na dodawanie do odsyłacza dowolnych informacji, które w momencie kliknięcia wysyłane są na serwer. W przypadku robaka Kelvir.k do odsyłacza dodawany jest adres użytkownika komunikatora MSN.

Przykład:

  • Użytkownik komunikatora (nazwijmy go #1) posiada adres e-mail adres1@domena.qqq.
  • Inny użytkownik komunikatora (nazwijmy go #2) posiada adres e-mail adres2@domena.zzz.
  • Użytkownik #1 otrzymuje następujący odsyłacz: hxxp://www.[wymazano].us/[wymazano]/pictures.php?email=adres1@domena.qqq.
  • Uzytkownik #2 otrzymuje następujący odsyłacz: hxxp://www.[wymazano].us/[wymazano]/pictures.php?email=adres2@domena.zzz.

Po kliknięciu odsyłacza na ekranie pojawi się komunikat z pytaniem o chęć zapisania lub uruchomienia pliku, a adres użytkownika zostanie wysłany do zdalnego użytkownika. Oznacza to, że adres użytkownika zostanie dodany do baz spamerów niezależnie od tego czy złośliwy program zostanie uruchomiony, czy też nie.

Wygląda na to, że w nadchodzących miesiącach twórcy szkodliwego oprogramowania będą doskonalić biegłość posługiwania się socjotechniką, ponieważ użytkownicy stają się coraz bardziej czujni i stare metody nie działają już tak skutecznie, jak kiedyś. Robaki pocztowe prawdopodobnie w dalszym ciągu będą traciły na popularności, a coraz częściej będziemy obserwować masowe rozsyłanie szkodliwego oprogramowania przy użyciu technik spamerskich oraz botnetów.