Kaspersky Security Bulletin, styczeń - czerwiec 2006: Złośliwe oprogramowanie dla platform innych niż Win32

1. Rozwój złośliwego oprogramowania
2. Złośliwe oprogramowanie dla platform innych niż Win32
   • Mac OS X
   • Linux
   • Trendy i prognozy
3. Ataki internetowe
4. Złośliwe programy dla urządzeń przenośnych
5. Raport o spamie

W tej części półrocznego raportu omówione zostaną złośliwe programy i luki w uniksowych systemach operacyjnych, łącznie z systemem Mac OS X, który opiera się na Uniksie. Obecnie OS X cieszy się sporym zainteresowaniem specjalistów ds. bezpieczeństwa, większym niż inne uniksowe systemy operacyjne.

Główne wyniki dla pierwszej połowy 2006 roku

Unix powoli ale pewnie odbiera rynek Windowsowi, zarówno jeśli chodzi o serwery, jak i użytkowników końcowych. Jednak system ten nie osiągnął jeszcze popularności, która motywowałaby twórców wirusów do pisania tak dużej liczby złośliwych programów jak w przypadku systemu Win32. OS X może okazać się kanałem, poprzez który coraz więcej użytkowników komputerów zaznajomi się z uniksowymi systemami operacyjnymi - konsekwencją tego będzie wzrost liczby złośliwych programów dla tej platformy.

Sam fakt, że OS X opiera się na FreeBSD oraz Mach pozwala na zaimplementowanie technologii uniksowych.

Poniższy rysunek pokazuje liczbę złośliwych programów atakujących uniksowe systemy operacyjne w pierwszej połowie 2006 roku.

Rysunek 1. Liczba złośliwych programów dla uniksowych systemów operacyjnych

Rysunek ukazuje z jednej strony wzmożone zainteresowanie twórców złośliwego oprogramowania systemem OS X, z drugiej strony niewielki spadek zainteresowania innymi systemami uniksowymi.

Mac OS X

Jeszcze przed swoim debiutem Mac OS X for x86 zwrócił uwagę specjalistów z branży bezpieczeństwa.

Zainteresowanie wrosło jeszcze bardziej, po tym jak Apple ogłosił przejście na popularne procesory Intel. Spowodowało to aktywniejsze poszukiwanie luk, zarówno w systemie operacyjnym, jak i tworzonych dla niego aplikacjach. Przykładem może być popularna wśród użytkowników Maca przeglądarka internetowa Safari, w której zidentyfikowano luki więcej niż jeden raz.

Michale Lehn wykrył w Safari lukę, która pozwala na uruchomienie zdalnego kodu z archiwum zip.

Fulldisclosure, znana lista mailingowa dotycząca bezpieczeństwa, opublikowała przykłady kodu uruchamianego za pomocą luki w tej przeglądarce. Gdy Safari ładuje stronę zawierającą kod, użytkownikowi ukazuje się SRCOD (Spinning Rainbow Cursor of Death - odpowiednik klepsydry znanej z systemów Windows). Następnie, Safari przestaje działać.

Należy podkreślić, że z innymi popularnymi przeglądarkami internetowymi, takimi jak FireFox, Opera czy IE, wiąże się tyle samo problemów z Safari. Luki o różnym znaczeniu nieustannie wykrywane są we wszystkich tych przeglądarkach, a niektóre z nich mogą nawet być wykorzystywane przez specjalnie napisane trojany.

Safari nie jest jedyną aplikacją w systemie OS X, w której znaleziono błędy. Apple opublikował już kilka aktualizacji dla systemu OS X, które mają wyeliminować luki w różnych aplikacjach.

Na początku lutego wykryto wiele złośliwych programów typu "proof of concept" dla systemu OS X.

Leap. Robak komunikatorów internetowych dla systemu OS X, który pojawił się w lutym 2006 roku. Szkodnik ten rozprzestrzenia się za pomocą komunikatora iChat, wysyłając swoje kopie do wszystkich kontaktów w książce adresowej.

Rysunek 2. Podczas rozprzestrzeniania się robaka pojawia się okno dialogowe.

Inqtana. Robak oparty na Javie. Pojawił się prawie w tym samym czasie co Leap. Szkodnik ten rozprzestrzenia się za pośrednictwem technologii Bluetooth i wykorzystuje starą lukę (Bugtraq ID 13491), która po raz pierwszy została upubliczniona w maju 2005.

Zarówno Leap, jak i Inqtana są robakami typu "proof of concept": ich istnienie potwierdza możliwość stworzenia takich programów. W przyszłości użytkownicy powinni być przygotowani na pojawienie się tych robaków na wolności, a twórcy systemu OS X muszą zachować czujność.

Linux

Zajmijmy się teraz tradycyjnymi systemami uniksowymi. Podczas gdy liczne luki identyfikowane w jądrze Linuksa powodują, że twórcy biją na alarm, nastąpił niewielki spadek liczby złośliwych programów dla tego systemu operacyjnego, który jest jednym z najpopularniejszych systemów uniksowych.

Na uwagę zasługuje również pojawienie się kolejnego wirusa wieloplatformowego - Virus.Multi.Bi. Próby stworzenia złośliwego programu tego typu podejmowano już wcześniej, a Virus.Multi.Bi jest wariacją na znany już temat. Do tej samej kategorii należą inne wirusy, takie jak Virus.Multi.Etapux i Virus.Multi.Pelf.

Virus.Multi.Bi, Virus.Multi.Etapux i Virus.Multi.Pelf) są wirusami typu "proof of concept". Ich głównym celem jest udowodnienie możliwości stworzenia programów infekujących zarówno system Linux jak i Win32. Unix atakowany jest głównie przez backdoory i szereg różnych narzędzi klasyfikowanych jako narzędzia hakerskie. Można to wyjaśnić tym, że atakowane komputery z systemem Unix zazwyczaj wykorzystywane są jako platforma do dalszych ataków. Po włamaniu się do konta na komputerze z Uniksem można je wykorzystać do uruchomienia snifferów, backdoorów i przeprowadzania ataków DoS.

Poniższy rysunek ukazuje rozkład tych złośliwych programów.

Rysunek 3. Rozkład złośliwych programów atakujących Uniksa.

Trendy i prognozy

Ewolucja złośliwych programów odzwierciedla ewolucję całej branży komputerowej. Dlatego właśnie, jeżeli chodzi o bezpieczeństwo systemów operacyjnych innych niż Windows, niewiele osób zaprzeczy, że złośliwe programy dla takich platform są nie tylko możliwe do stworzenia, ale istnieją już w rzeczywistości. Co więcej, integrowanie różnych technologii zachęca szkodliwych użytkowników do szukania rozwiązań, które będą działały na różnych platformach.

Na podstawie przedstawionych wyżej informacji można sformułować następujące wnioski:

1. Wraz ze wzrostem popularności systemu OS X będzie się zwiększać liczba ataków na ten system operacyjny i jego aplikacje. Gdy OS X osiągnie "masę krytyczną", szkodliwi użytkownicy zwrócą większą uwagę na komputery z systemem OS X, co spowoduje pojawienie się złośliwego oprogramowania dla tego systemu na wolności.

2. Innym potencjalnym celem jest platforma 64-bitowa. Z jednej strony, nowe technologie stwarzają dodatkowe trudności, jednak innowacje zawsze przyciągają zagorzałych specjalistów ds. bezpieczeństwa. W przyszłości pojawią się prawdopodobnie złośliwe programy dla uniksowych systemów operacyjnych dla 64-bitowych procesorów.

Reasumując, niewielka liczba złośliwych programów w dowolnym środowisku nie oznacza, że spraw bezpieczeństwa nie należy traktować poważnie. W końcu, ani Linux, ani OS X, ani żaden inny system operacyjny nie jest z natury bezpieczniejszy niż Windows, a użytkownicy powinni podjąć odpowiednie środki ostrożności, bez względu na to, jak bezpiecznie się czują.

Źródło: Kaspersky Lab

Więcej informacji

Analizy Kaspersky Security Bulletin, <nobr>styczeń - czerwiec 2006</nobr>: Ewolucja złośliwego oprogramowania Kaspersky Security Bulletin, <nobr>styczeń - czerwiec 2006:</nobr> Ataki internetowe Kaspersky Security Bulletin, <nobr>styczeń - czerwiec 2006:</nobr> Złośliwe programy dla urządzeń przenośnych Kaspersky Security Bulletin, <nobr>styczeń - czerwiec 2006:</nobr> Raport o spamie