Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja złośliwego oprogramowania: lipiec - wrzesień 2006


Alexander Gostev
Starszy analityk wirusów, Kaspersky Lab

Pierwsza połowa 2006 roku charakteryzowała się złożonością problemów technologicznych, z jakimi musiały się zmierzyć firmy antywirusowe, ogromną liczbą nowych programów typu "proof of concept" oraz wzrastającym zainteresowaniem pakietem Microsoft Office ze strony hakerów. Wydawało się, że obie strony wojny wirusowej toczą ze sobą zacięty pojedynek, w którym chodzi o idee. W pierwszej połowie tego roku gorącym tematem była ochrona proaktywna, kryptografia, technologie rootkit i luki w zabezpieczeniach. Jednak po wzmożonej aktywności nieuchronnie nastaje okres spokoju, kiedy obie strony próbują ocenić wyniki swojej pracy i określić, w jakim stopniu dane podejście czy koncepcja okazały się skuteczne (lub nie). Trzeci kwartał 2006 roku był właśnie takim okresem refleksji i letniego odpoczynku.

W okresie tym nie wystąpiła żadna znacząca epidemia wirusowa. Jak zwykle, branża antywirusowa z niepokojem czekała na sierpień. Była to bardziej kwestia tradycji niż rzeczywistego zagrożenia - przez ostatnie trzy lata sierpień zawsze przynosił poważną epidemię wirusową. 2003: Lovesan i luka MS03-026. 2004: Zafi oraz Bagle. 2005: Bozori (znany także jako Zotob), który wykorzystywał lukę MS05-039 w celu sparaliżowania sieci CNN, ABC, the New York Times i wielu innych organizacji w Stanach Zjednoczonych.

W trzecim kwartale nie powstały żadne nowe wirusy typu "proof of concept". Wynika to z tego, że twórcy wirusów potrzebowali czasu na wykorzystanie możliwości związanych z pojawieniem się w pierwszej połowie 2006 roku ogromnej ilości nowych wirusów typu "proof of concept".

Na froncie wirusowym panował spokój, a cała aktywność stanowiła w głównej mierze codzienną walkę o  pozycję w Internecie.   

Luki

Wygląda na to, że w naszych raportach kwartalnych słowo "luka" pojawia się częściej niż słowo "wirus". Dokładnie odzwierciedla to trendy panujące obecnie w bezpieczeństwie informatycznym. Dawno minęły już czasy, gdy istnienie i rozprzestrzenianie się wirusów zależało od kaprysu ich twórców. Lata zmagań pomiędzy autorami wirusów po jednej stronie a firmami antywirusowymi po drugiej doprowadziły do tego, że prawie wszystkie złośliwe programy zdolne do wywołania epidemii rozprzestrzeniają się za pośrednictwem luk w zabezpieczeniach. Robaki sieciowe, które swoje istnienie zawdzięczają lukom w usługach Windows, są doskonałym przykładem tego, jak błędy w zabezpieczeniach mogą prowadzić do globalnych epidemii. Luki w przeglądarce Internet Explorer przyczyniły się do powstania tysięcy programów trojańskich. Wszystko to sprawia, że wszyscy wstrzymujemy oddech po pojawieniu się informacji o nowych lukach krytycznych, zwłaszcza gdy na daną lukę nie istnieje łata.

Luki w pakiecie Microsoft Office

W naszym raporcie obejmującym drugi kwartał 2006 roku zwróciliśmy uwagę na problem, który bardzo szybko stał się kluczową kwestią bezpieczeństwa informatycznego. Od marca z trudem nadążaliśmy za ogromną ilością luk wykrywanych w produktach Microsoft Office. Cel ataków czarnych kapeluszy stanowiły programy Word, Excel i PowerPoint. W ciągu zaledwie trzech miesięcy liczba luk w zabezpieczeniach wzrosła do prawie dwunastu. Informacje o wszystkich tych lukach pojawiły się, zanim jeszcze Microsoft zdołał opublikować odpowiednią łatę.

Co więcej, stało się oczywiste, że twórcy wirusów dostosowali swoje działania do zwyczaju Microsoftu, który publikuje łaty według ustalonego grafiku, w każdy drugi wtorek miesiąca. Twórcy złośliwego oprogramowania zaczęli wypuszczać swoje twory zaledwie kilka dni po opublikowaniu przez Microsoft najnowszych łat. W rezultacie, użytkownicy pozostawali bez ochrony przez prawie miesiąc, a hakerzy mogli w tym czasie wykorzystywać najnowsze luki.

Nie jest to jednak największy problem. Analizując złośliwe programy, które w celu rozprzestrzeniania się wykorzystują luki w pakiecie Office, zarówno Kaspersky Lab jak i inne firmy antywirusowe badały również luki w zabezpieczeniach. Stało się jasne, że u podstaw wszystkich tych luk leżał jeden problem w dokumentach OLE (pliki stworzone przy użyciu pakietu Microsoft Office). Opublikowanie łaty dla każdej luki nie rozwiązałoby problemu - Microsoft musiałby całkowicie zmienić technologię stosowaną do przetwarzania obiektów OLE. Publikowanie łat każdego miesiąca było jak przyklejanie małych plastrów na dużą ranę - liczba potencjalnych luk w zabezpieczeniach obiektów OLE przekroczyła 100. 

W okresie między lipcem a wrześniem nic tak naprawdę się nie zmieniło. Szkodliwi użytkownicy - z których najaktywniejszymi byli chińscy hakerzy - nadal atakowali produkty Microsoftu nowymi trojanami, a Microsoft nadal publikował łaty zgodnie z swoim grafikiem.

lipiec (3 luki):

  • Microsoft Security Bulletin MS06-037
  • Luki w zabezpieczeniach programu Microsoft Excel mogą pozwolić na zdalne wykonanie kodu (917285)
  • Microsoft Security Bulletin MS06-038
  • Luki w zabezpieczeniach pakietu Microsoft Office mogą pozwolić na zdalne wykonanie kodu (917284)
  • Microsoft Security Bulletin MS06-039
  • Luki w filtrach pakietu Microsoft Office mogą pozwolić na zdalne wykonanie kodu (915384)

sierpień (2 luki):

  • Microsoft Security Bulletin MS06-047
  • Luki w zabezpieczeniach Microsoft Visual Basic for Applications mogą pozwolić na zdalne wykonanie
  • kodu (921645)
  • Microsoft Security Bulletin MS06-048
  • Luki w zabezpieczeniach pakietu Microsoft Office mogą pozwolić na zdalne wykonanie kodu (922968)

wrzesień (1 luka):

  • Microsoft Security Bulletin MS06-054
  • Luki w zabezpieczeniach programu Microsoft Publisher mogą pozwolić na zdalne wykonanie kodu (910729)

Sytuacja stawała się groteskowa. W Kaspersky Lab zaczęliśmy nawet zakładać się o to, ile czasu upłynie od momentu opublikowania poprzedniej łaty do czasu wykrycia nowej luki w pakiecie Office. Pytanie dotyczyło nie tego, czy nowa luka zostanie wykryta, ale kiedy: w każdym przypadku była to jedynie kwestia czasu. Niedługiego czasu. W tym miejscu powinniśmy dodać, że dla prawie wszystkich tych luk pojawiły się tuziny trojanów, które zostały wykryte w ruchu pocztowym lub w komputerach użytkowników. Podziękowania należą się naszym kolegom z branży antywirusowej, w szczególności specjalistom z firmy Trend Micro, którzy wykryli zarówno luki, jak i wykorzystujące je trojany i poinformowali o problemie firmę Microsoft.

Jak już wspominaliśmy, chińscy twórcy wirusów wykazali się szczególną aktywnością w wykorzystywaniu tych luk i używaniu ich do rozprzestrzeniania programów trojańskich. Użytkownicy z Europy, Azji i Stanów Zjednoczonych padli ofiarą ataków backdoorów Hupigon, PcClient i HackArmy. Ataki DoS na producentów oprogramowania antywirusowego, które przeprowadzane były z sieci zombie stworzonych przez te trojany, stanowiły prawdopodobnie produkt uboczny toczącej się walki pomiędzy hakerami a firmami antywirusowymi.

Przypadek czy zaplanowany atak?

Pozwolę sobie na dość kontrowersyjny pogląd: być może to, czego jesteśmy teraz świadkami, nie jest zwykłą aktywnością hakerów, ale dokładnie zaplanowanym i przeprowadzonym atakiem na firmę Microsoft. Jeśli jest tak w rzeczywistości, kto za tym stoi i jakie są jego motywy.

Nie zdołaliśmy ustalić, czy za wszystkie te ataki odpowiedzialna jest jedna grupa hakerów. Trudno uwierzyć w taki zbieg okoliczności - w przeciągu sześciu miesięcy kliku niepowiązanych ze sobą hakerów wykryło nowe luki w zabezpieczeniu krótko po tym, jak opublikowano łaty na stare luki. Nie, takie rzeczy się nie zdarzają. Jeśli hakerzy wejdą w posiadanie nowego exploita, z pewnością nie będą czekać kilku tygodni, zanim go wykorzystają. W końcu powiedzenie "czas to pieniądz" ma zastosowanie nie tylko w biznesie, ale również w odniesieniu do cyberprzestępczości. Między exploitami a pieniędzmi istnieje związek - przykładem może być exploit na lukę WMF, który na niektórych forach dla hakerów sprzedawano za 4 000 dolarów (zobacz Ewolucja złośliwego oprogramowania: lipiec - wrzesień 2005.)

Jak wiemy, MS Office jest drugim najważniejszym produktem Microsoftu i przynosi firmie około połowy jej zysków. Office jest de facto standardem i posiada monopol na rynku. Naturalnie taki stan rzeczy nie podoba się konkurencji, która od roku próbuje stworzyć podobne produkty.

Prawo większości państw nie zabrania szukania luk w zabezpieczeniach. Dlatego też to, czy przeczesujesz konkurencyjne produkty w celu znalezienia luk, jest bardziej kwestią etyki niż przepisów prawnych. Tendencja do wykrywania nowych dziur zaledwie kilka dni po pojawieniu się łat na wcześniejsze błędy wygląda na próbę zdyskredytowania Microsoftu jako eksperta w dziedzinie bezpieczeństwa informacji, a w szczególności na atakowanie jego zwyczaju publikowania łat według ustalonego grafiku.

Microsoft posiada wielu wrogów. Dlatego też skoordynowana kampania dyskredytująca firmę, w która wykorzystuje problem luk oraz publikowanie łat według ustalonego grafiku, rzeczywiście mogła zaszkodzić reputacji giganta oprogramowania komputerowego. 

Sytuacja pozostaje niezwykle skomplikowana. Chociaż pod koniec tego kwartału liczba luk w zabezpieczeniach spadła do zera (biorąc pod uwagę Biuletyny Bezpieczeństwa opublikowane przez Microsoft), nie oznacza to, że problem został rozwiązany. Wprost przeciwnie, spodziewamy się jeszcze większej ilości złożonych ataków na Microsoft Office. Dlaczego? Ponieważ Microsoft udostępnił Office 2007 do otwartych testów beta, zapewniając tym samym hakerom "nowy darmowy obiekt badawczy".

Raport ten - chociaż powstał w październiku - analizuje również luki usuwane przez łaty, które wprawdzie zostały opublikowane w październiku, ale wykryto je jeszcze we wrześniu.

październik:

  • Microsoft Security Bulletin MS06-058
  • Luki w zabezpieczeniach programu Microsoft PowerPoint mogą umożliwić zdalne wykonanie kodu (924163)
  • Microsoft Security Bulletin MS06-059
  • Luki w zabezpieczeniach programu Microsoft Excel mogą umożliwić zdalne wykonanie kodu (924164)
  • Microsoft Security Bulletin MS06-060
  • Luki w zabezpieczeniach programu Microsoft Word mogą umożliwić zdalne wykonanie kodu (924554)
  • Microsoft Security Bulletin MS06-062
  • Luki w zabezpieczeniach pakietu Microsoft Office mogą umożliwić zdalne wykonanie kodu (922581)

Bez komentarza.

Wieści z frontu mobilnego

Problem mobilnych złośliwych programów w szczególny sposób interesuje nie tylko firmę Kaspersky Lab, ale również mnie osobiście. Nasi regularni czytelnicy wiedzą, że ostatnio opublikowaliśmy wiele materiałów na ten temat, między innymi w naszym półrocznym raporcie i artykule zatytułowanym "Ewolucja mobilnego złośliwego oprogramowania". Teksty te zawierały przegląd wszystkich najnowszych typów i klas mobilnego złośliwego oprogramowania. Tak więc pozostaje nam tylko zanalizować incydenty, jakie wystąpiły od lipca do września 2006 r.

W okresie tym tylko trzy mobilne złośliwe programy wyróżniły się spośród masy prymitywnych trojanów podobnych do Skullera.

Comwar 3.0

Przyjrzyjmy się im w kolejności, w jakiej się pojawiły. W sierpniu firmy antywirusowe otrzymały nowy wariant szkodnika Comwar - najbardziej rozpowszechnionego robaka rozprzestrzeniającego się za pośrednictwem MMS-ów.

Szczegółowa analiza wykazała, że robak ten zawiera następujące ciągi tekstowe:

  • CommWarrior Outcast: The Dark Masters of Symbian.
  • The Dark Side has more power!
  • CommWarrior v3.0 Copyright (c) 2005-2006 by e10d0r
  • CommWarrior is freeware product. You may freely distribute it in it's original unmodified form.

Nowy wariant różnił się od poprzednich nie tylko numerem wersji (3.0), ale również tym, że rosyjski autor wprowadził kilka innowacji technicznych. Był to pierwszy wariant, który wykorzystywał technologię infekowania plików: robak szukał w telefonie innych plików SIS i zapisywał się do nich. Zapewniało mu to dodatkową metodę propagacji, oprócz tradycyjnych metod wykorzystujących MMS-y i technologię Bluetooth.

Zasadniczo, Comwar wykorzystuje obecnie wszystkie możliwe wektory przenikania do urządzeń. Wszystkie, z wyjątkiem jednego. Pod koniec sierpnia udowodnił to inny robak - Mobler.a.

Mobler.A

Mobler.a był pierwszym wirusem wieloplatformowym zdolnym do infekowania zarówno systemu Symbian jak i Windows. Jego metoda rozprzestrzeniania się jest następująca: robak kopiuje się z komputera do telefonu i na odwrót. Jeśli zostanie uruchomiony na komputerze PC, zrzuca plik SIS na dysk E:\. Plik ten zawiera kilka pustych plików i nadpisuje nimi kilka aplikacji systemowych. Zawiera również komponent Win32 robaka, który kopiuje się do wymiennej karty pamięci urządzenia i zrzuca plik o nazwie autorun.inf. Jeśli zainfekowany telefon jest podłączony do komputera i zostanie podjęta próba uzyskania dostępu do wymiennej karty pamięci, robak automatycznie się uruchomi i zainfekuje komputer. 

Mobler.a jest kodem typu "proof of concept" stworzonym przez nieznanego autora; jednak stosowana przez niego metoda propagacji teoretycznie mogłaby stać się jedną z najpopularniejszych metod wykorzystywanych do infekowania urządzeń mobilnych. Możliwe, że miałaby też większy wpływ na ewolucję mobilnego złośliwego oprogramowania niż metoda rozprzestrzeniania się za pośrednictwem MMS-ów, ponieważ celem ataków byłyby nie tylko urządzenia przenośne ale również komputery. Naturalnie, komputery zawierają dane, które mogą zainteresować cyberprzestępców. Uwzględniając powyższe, wirus Mobler.a powinien zostać uznany za nową metodę atakowania komputerów osobistych, a nie całkowicie nowy sposób przenikania do telefonów komórkowych.

Acallno

Ogólnie, złośliwe oprogramowanie znajduje się w stanie stagnacji. Prawie wszystkie możliwe technologie, typy i klasy wirusów dla smartfonów działających pod kontrolą systemu Symbian zostały już zaimplementowane. Stosunkowo niewielka liczba właścicieli smartfonów (w porównaniu z właścicielami komputerów) oraz fakt, że infekowanie telefonów nie przynosi oczywistych zysków finansowych to czynniki, które hamują masowe rozprzestrzenianie się mobilnego złośliwego oprogramowania. Zasoby, które można obecnie ukraść z telefonu są ograniczone - należy do nich książka adresowa, logi rozmów telefonicznych i SMS-ów, a celem trojana Acallno są właśnie dane dotyczące SMS-ów.

Acallno, którego celem jest szpiegowanie użytkownika określonego telefonu, został stworzony przez komercyjną firmę. Program może zostać tak skonfigurowany, aby działał na określonym telefonie zgodnie z kodem IMEI telefonu. W rezultacie, nie będzie działał, jeśli zostanie skopiowany na inny telefon. Pozwala mu to maskować swoją obecność w systemie. Na tej podstawie, jak również z powodu jego funkcji szpiegowskich zaliczamy go do złośliwych programów. Trojan ten (bo w ten sposób go klasyfikujemy, mimo że program sprzedawany jest legalnie) wysyła kopie wszystkich wysłanych i otrzymanych wiadomości SMS na specjalnie skonfigurowany numer.

Wesber

Poza tym, że można ukraść ich zawartość, możliwe jest również wykorzystanie wiadomości SMS do kradzieży pieniędzy z konta subskrybenta. Funkcję tę posiada Wesber, najnowszy trojan dla J2ME. Wesber został po raz pierwszy wykryty na początku września i jest to drugi trojan, o którym wiemy, że potrafi działać zarówno na smartfonach jak i na ogromnej większości współczesnych urządzeń przenośnych, ponieważ został napisany dla platformy Java.

Podobnie jak jego poprzednik RedBrowser, Wesber.a wysyła kilka SMS-ów na płatny numer. Subskrybent obciążany jest kwotą 2,99 dolarów za każdy wysłany SMS. Do niedawna bez trudu można było wykorzystywać płatne numery rosyjskich operatorów telefonii komórkowej. Gdyby taki trojan rozpowszechnił się, trudno byłoby wyśledzić winnego. Ostatnio jednak operatorzy telefonii komórkowej przejęli się wzrostem oszustw związanych z SMS-ami i zaczęli podejmować w tej sprawie pewne działania, łącznie z utrudnieniem zarejestrowania takich numerów.

Na tym kończy się nasz przegląd mobilnego złośliwego oprogramowania z trzeciego kwartału 2006 roku. Jednak z bezpieczeństwem urządzeń przenośnych wiąże się niebezpośrednio inny temat: złośliwe oprogramowanie dla sieci WiFi.

Robaki dla sieci Wi-Fi: prawie rzeczywistość

W sierpniu Intel poinformował, że w funkcji Wi-Fi procesorów Intel Centrino wykryto poważną lukę. Chociaż szczegóły dotyczące tej luki nie zostały podane do wiadomości publicznej, wiadomo było, że luka mogła pozwolić na "dowolne wykonanie kodu na atakowanym systemie z przywilejami na poziomie jądra". W krótkim czasie opublikowano łatę dla zagrożonych laptopów. Nas jednak najbardziej uderzył fakt, że to, co wcześniej istniało tylko w teorii, stało się niemal rzeczywistością. Mam na myśli oczywiście robaki dla sieci Wi-Fi.

Robaki dla sieci Wi-Fi mogą działać na wiele różnych sposobów, nie będę jednak wchodził w szczegóły, aby nie podawać twórcom wirusów gotowych pomysłów. Jest to jednak dość oczywiste. Luka w zabezpieczeniu chipów Intela Centrino przybliża moment pojawienia się robaka, który będzie rozprzestrzeniał się z jednego laptopa na inny w obrębie sieci Wi-Fi. Zasada jest bardzo prosta - musimy tylko przypomnieć sobie klasyczne robaki sieciowe z przeszłości, takie jak Lovesan, Sasser i Slammer. Robak wykrywa niezabezpieczony laptop i wysyła specjalnie stworzony pakiet w celu wykorzystania tej luki. Szkodnik może następnie wysłać na atakowany komputer swoje ciało i cykl infekowanie-rozprzestrzenianie zaczyna się od nowa. Jedyna trudność polega na znalezieniu ofiar, które można zaatakować. Wybieranie ofiar na podstawie adresów MAC byłoby stosunkowo trudne, natomiast selekcjonowanie ich na podstawie adresów IP nie działałaby w tym przypadku. Jednak robak mógłby wykorzystać adresy IP do atakowania sąsiednich komputerów w punkcie dostępowym Wi-Fi. W tym miejscu nie powinniśmy oczywiście zapominać, że wiele laptopów jest skonfigurowanych do automatycznego wyszukiwania punktów dostępowych Wi-Fi.

Chciałbym podkreślić, że jest to tylko jedna z możliwych metod, jakie mógłby wykorzystać robak dla sieci Wi-Fi. Luki w kartach sieciowych Wi-Fi wciąż są rzadkim zjawiskiem, nie wiadomo jednak, co zdarzy się w przyszłości. W końcu jeszcze nie tak dawno temu mobilne złośliwe oprogramowanie wydawało się wymysłem science fiction.

Wirusy komunikatorów internetowych

W zeszłym roku jeden z głównych problemów bezpieczeństwa IT stanowiły złośliwe programy rozprzestrzeniające się za pośrednictwem klientów komunikatorów internetowych, takich jak ICQ, MSN oraz AOL. Na początku 2005 roku pojawiły się liczne prymitywne robaki komunikatorów internetowych. Udowodniły one, że odnośniki do zainfekowanych stron internetowych wysyłane za pośrednictwem tego narzędzia stanowią prawie tak samo skuteczną metodę infekowania jak wysyłanie złośliwego kodu w wiadomościach e-mail. Interesujące jest to, że chociaż wszystkie klienty komunikatorów internetowych posiadają funkcję "wyślij plik", autorzy takich robaków albo postanowili jej nie wykorzystywać, albo nie wiedzieli, w jaki sposób funkcja ta może ułatwić szkodnikowi przeniknięcie do systemu.

Od 2005 roku większość ataków na komunikatory internetowe polegało na wysyłaniu odnośników prowadzących do strony www, która zawierała złośliwy plik. Istnieje duże prawdopodobieństwo, że ludzie otworzą odnośnik, który wysłał im znajomy lub przyjaciel (wiele trojanów wysyła odnośniki do osób z listy kontaktów komunikatora internetowego). Gdy użytkownik kliknie taki odnośnik, złośliwy program przeniknie do systemu. W tym celu szkodnik może wykorzystać różne luki w przeglądarce Internet Explorer albo może zostać pobrany i uruchomiony na komputerze ofiary.

Rozwinęły się dwa główne trendy w ewolucji i implementacji tej metody. Wiążą się one ściśle z tym, że w różnych krajach popularne są różne klienty komunikatorów internetowych. W Europie i Stanach Zjednoczonych celem większości ataków na komunikatory internetowe są użytkownicy MSN i AOL. Z kolei w Rosji najbardziej zagrożeni są użytkownicy komunikatorów ICQ, Miranda i Trillian. Wynika to z tego, że AOL i MSN nie są rozpowszechnione w Rosji, a tym samym nie stanowią popularnego celu ataków. Podobna sytuacja ma miejsce w Chinach, gdzie najpopularniejszym klientem komunikatorów internetowych jest QQ.

Robaki komunikatorów internetowych różnią się także w zależności od regionu. Na Zachodzie główne zagrożenie dla tego typu narzędzi stanowią robaki komunikatorów internetowych, między innymi dobrze znane Kelvir, Bropia i Licat, które atakują AOL i MSN. Oprócz zdolności rozprzestrzeniania się, większość robaków komunikatorów internetowych instaluje również  inne złośliwe programy do systemu. Przykładem jest Bropia (posiadający największą liczbę wariantów spośród programów atakujących komunikatory internetowe), który instaluje na komputerze ofiary backdoora Backdoor.Win32.Rbot, przekształcając go w kolejną maszynę zombie wchodzącą w skład botnetu. Istnieje również wiele robaków, które atakują popularny chiński klient komunikatora internetowego QQ.

Zupełnie inaczej wygląda sytuacja komunikatorów ICQ. Poprzez ICQ rozprzestrzenia się bardzo niewielka liczba robaków. Rosyjscy użytkownicy stają się natomiast celem licznych trojanów, w szczególności znanego programu typu Trojan Spy - LdPinch

Niektóre warianty tego programu posiadają bardzo interesujące funkcje. Po przeniknięciu do komputera ofiary i zebraniu informacji, których potrzebuje zdalny szkodliwy użytkownik, trojan wysyła kontaktom ICQ odnośnik do strony, na której został umieszczony. W trzecim kwartale 2006 roku w rosyjskim segmencie Internetu miało miejsce kilka epidemii - setki tysięcy użytkowników otrzymało od swoich kontaktów odnośniki, które obiecywały "zabawne zdjęcia" lub "zdjęcia z wakacji". Naturalnie, ich źródłem były komputery zainfekowane trojanem, a nie osoby, od których rzekomo pochodziły.

Niestety, w przeciwieństwie do MSN, ICQ nie podejmuje żadnych kroków mających na celu filtrowanie zawartości oraz usuwanie z wiadomości takich odnośników, aby zapobiec dostarczenia ich do użytkowników. Po wzmożonej aktywności robaków komunikatorów internetowych, jaka miała miejsce w zeszłym roku, Microsoft zablokował odnośniki do plików wykonywalnych. Jednak filtr taki nie stanowi panaceum na wszystko, ponieważ poza wysyłaniem odnośników do zainfekowanych plików, szkodliwy użytkownik może wysłać odnośniki do stron www, które zawierają exploity dla przeglądarek. W rezultacie, ofiarą infekcji może paść osoba korzystająca z nie załatanej przeglądarki. Obecny algorytm filtra MSN również nie jest idealny, jak pokazuje opisany poniżej incydent. 

Pod koniec września w zachodnim segmencie Internetu wykryto wzmożoną aktywność robaków komunikatorów internetowych. Największą aktywnością wykazał się IM-Worm.Win32.Licat. Robak ten wykorzystywał MSN w celu wysyłania odnośników, które wyglądały tak:

Odnośniki te prowadziły do różnych trojanów typu downloader, które instalowały z kolei oprogramowanie adware (Adware.Win32.Softomate) i inne programy trojańskie związane z adware. Naturalnie, Licat.c instaluje na komputerze ofiary również samego siebie i rozpoczyna się kolejny cykl propagacji.

Chociaż wydawałoby się, że filtr MSN powinien blokować podobne wiadomości,  Licat.c nadal rozprzestrzeniał się aktywnie. Analiza wykazała, że filtr MSN nie blokuje odnośników do pliku PIF, jeśli plik ma rozszerzenie inne niż .pif. Innymi słowy, filtr uwzględniał wielkość liter i nie działał, gdy zostały użyte wielkie litery. Dziurę tę wykorzystali twórcy robaka, tworząc odnośniki z rozszerzeniem PIF, które były przepuszczane przez filtr. Poinformowaliśmy o tym firmę Microsoft, która szybko zajęła się tym problemem. 

Wszystkie te przykłady pokazują, że nie istnieje żaden sposób ochrony przed szkodnikami, które do rozprzestrzeniania się stosują takie metody. Głównym problemem jest czynnik ludzki: ludzie mają zaufanie do odnośników, które otrzymali od przyjaciół albo współpracowników, a obecna sytuacja przypomina czasy robaków pocztowych, gdy niczego nie podejrzewający użytkownicy uruchamiali pliki otrzymywane za pośrednictwem poczty elektronicznej. Teraz z kolei bez wahania klikają odnośniki wysyłane za pośrednictwem komunikatorów internetowych. 

Rada, jaką daliśmy półtora roku temu, jest nadal aktualna. Zalecamy administratorom systemów i specjalistom ds. bezpieczeństwa IT, aby mieli świadomość potencjalnego zagrożenia ze strony komunikatorów internetowych i w ramach polityki bezpieczeństwa firmy rozważyli zakazanie korzystania z nich. Dodatkowo, biorąc pod uwagę sposób, w jaki robaki te przenikają do komputerów ofiar (poprzez otwierany w przeglądarce odnośnik), należy monitorować cały przychodzący ruch HTTP.

I znowu luki...

Pomiędzy lipcem a wrześniem 2006 roku poważne zagrożenie dla użytkowników stanowiły nie tylko liczne luki w pakiecie Microsoft Office, ale również dwie inne dziury wykryte w produktach Microsoftu. Pierwsza z nich, opisana w Biuletynie Bezpieczeństwa Microsoftu MS06-040, przypomina lukę wykrytą w sierpniu 2003 roku, która została opisana w biuletynie MS03-026. Te dwie luki miały ze sobą wiele wspólnego. Obie były najbardziej niebezpiecznym typem luki, tzn. pozwalały osobie atakującej na wykonanie dowolnego kodu. W sierpniu 2003 roku luka MS03-026 przyczyniła się do dużej epidemii robaka Lovesan oraz powstania setek podobnych robaków. Również w sierpniu 2006 roku istniało niebezpieczeństwo wystąpienia podobnej katastrofy, ponieważ exploit na tę lukę był publicznie dostępny i twórcy wirusów mogli wykorzystać go do stworzenia własnych destrukcyjnych robaków.

Naturalnie, twórcy wirusów nie pozostali obojętni na te wiadomości. Zaledwie kilka dni po opublikowaniu łaty przez firmę Microsoft pojawiły się liczne programy wykorzystujące lukę MS06-040 na wolności. Pierwszym z nich był Backdoor.Win32.Vanbot (znany również jako Mocbot). Na szczęście, program ten potrafił atakować tylko komputery działające pod kontrolą systemu Windows 2000 i Windows XP SP1. Użytkownicy, którzy zainstalowali dodatek SP 2 dla systemu XP, byli bezpieczni. Szkodnik ten nie spowodował globalnej epidemii z jeszcze innego powodu: Backdoor.Win32.Vanbot nie był robakiem zdolnym do samodzielnego rozprzestrzeniania się, ale backdoorem kontrolowanym poprzez sieć IRC. Backdoor mógł się rozprzestrzeniać tylko po otrzymaniu odpowiedniej instrukcji od swojego autora, co ograniczało jego propagację. Wygląda na to, że autor zamierzał wykorzystać ten program do stworzenia botnetu, który mógłby dalej wykorzystać.

W ciągu kolejnych kilku dni pojawiło się wiele innych programów wykorzystujących lukę MS06-040. Wszystkie z nich stanowiły wariację na temat botneta składającego się z backdoorów. Wiele ze starych złośliwych programów, takich jak Rbot i SdBot, zostały po prostu wyposażone w nowe exploity. Zaczęły pojawiać się programy mutanty zawierające kilkanaście z najbardziej niebezpiecznych exploitów dla systemu Windows, które wykorzystywały szereg różnych luk, od MS03-026 do najnowszej luki MS06-040. Oczywiście, programy takie miały większą szansę niż inne na przeniknięcie do komputerów ofiar. Na szczęście, natura samej luki i skład exploitów nie różniły się tak bardzo od tych, które były już nam znane (były bardzo podobne do luki MS04-011 i MS05-039), dzięki czemu wiele producentów oprogramowania antywirusowego i zapór ogniowych mogło zablokować ataki wirusów bez konieczności łatania swoich produktów. Zażegnano w ten sposób niebezpieczeństwo epidemii, a sierpień 2006 roku nie był kolejnym czarnym miesiącem dla firm antywirusowych.

Sytuacja mogła ulec zmianie w kolejnym miesiącu, gdy 19 września w Internecie zaczęła krążyć wiadomość o najnowszej luce w przeglądarce Internet Explorer. Luka w przetwarzaniu dokumentów VML (Vector Markup Language) pozwalała zdalnemu szkodliwemu użytkownikowi na stworzenie skryptu, który wykonywałby dowolny kod na komputerze ofiary, gdy użytkownik odwiedzał zainfekowaną stronę.

Tego samego dnia Sunbelt Software ogłosił wykrycie exploita wykorzystującego lukę na niektórych rosyjskich stronach pornograficznych stworzonych przez hakerów. Wiele osób sądziło, że za stworzenie i rozprzestrzenienie exploita odpowiedzialni byli rosyjscy hakerzy, tak jak w przypadku wykrytej w grudniu 2005 r. luki w przetwarzaniu plików WMF. Jednak nasze badanie nie wykazało żadnego oczywistego związku pomiędzy luką VML a Rosjanami.

Szwedzka firma Secunia oceniła tę lukę jako "ekstremalnie krytyczną". Luka ta otrzymała najwyższy z możliwych poziomów zagrożenia, ponieważ mogła być wykorzystywana na każdej wersji systemu Windows, gdy użytkownicy korzystali z przeglądarki Internet Explorer.

Luka ta spowodowana jest błędem w bibliotece Microsoft Vector Graphics Rendering (vgx.dll) występującym podczas przetwarzania pewnej zawartości w dokumentach Vector Markup Language (VML). Błąd ten można wykorzystać, aby spowodować przepełnienie bufora, na przykład poprzez skłonienie użytkownika do obejrzenia zainfekowanego dokumentu VML. Pozwala to na wykonanie dowolnego kodu na komputerze ofiary.

Kolejne dni przyniosły ogromną ilość stron hakerskich zawierających exploity skryptowe wykorzystujące lukę VML. Wielu twórców wirusów próbowało wykorzystać sytuację, aby dostarczyć swoje trojany na komputery użytkowników. Sytuację jeszcze bardziej komplikował fakt, że luka VML była tak zwaną luką "zero-day" - Microsoft nie opublikował żadnej łaty. Zgodnie z grafikiem, łata miała być opublikowana po trzech tygodniach, 10 października. Taka sytuacja wydarzyła się już po raz drugi: twórcy wirusów aktywnie wykorzystywali lukę, infekcje występowały na masową skalę, nie udostępniono jednak poprawki. Pierwszy taki przypadek miał miejsce w grudniu 2005 roku i dotyczył luki WMF. Tym razem, tak jak poprzednio, niezależni specjaliści ds. bezpieczeństwa opublikowali własne, nieoficjalne łaty. W ten sposób chciano zapewnić użytkownikom przynajmniej częściową ochronę do czasu opublikowania przez Microsoft oficjalnej łaty.

Na szczęście, Microsoft szybko docenił wagę sytuacji i natychmiast opublikował łatę. Łata została udostępniona 26 września, zaledwie tydzień po jej zidentyfikowaniu. Została zawarta w Biuletynie Bezpieczeństwa Microsoft MS06-055 i znacznie zmniejszyła liczbę infekcji. Jednak luka ta, jak również szereg innych dobrze znanych luk w przeglądarce Internet Explorer, nadal jest wykorzystywana przez hakerów. Zalecamy wszystkim użytkownikom, aby aktualizację swoich systemów potraktowali jako sprawę priorytetową.

Podsumowanie

Wydarzenia, jakie miały miejsce w trzecim kwartale 2006 roku, skłaniają mnie do wysunięcia wniosku, że zarówno Internet jak i bezpieczeństwo informatyczne stoją u progu zupełnie nowego etapu. Powiedziałbym, że drugi etap ewolucji wirusów i rozwiązań antywirusowych mamy już za sobą.

Pierwszy etap miał miejsce w latach 90, kiedy wykrywanie na podstawie sygnatur było wystarczające do pokonania prostych wirusów. Na tym etapie złośliwy kod nie był zaawansowany technicznie i nie wykorzystywał złożonych metod infekcji.

Początek nowego tysiąclecia przyniósł robaki pocztowe i sieciowe. W celu rozprzestrzeniania się programy te wykorzystywały luki oraz czynnik ludzki. Zdolność robaków do infekowania ogromnej ilości komputerów w bardzo krótkim czasie spowodował narodzenie się cyberprzestępczości, a technologie wykorzystywane przez wirusy stały się bardziej złożone, podobnie jak szereg różnych złośliwych programów. Dużą rolę odegrał tu spam, phishing, mobilne złośliwe oprogramowanie, luki w przeglądarkach i sprzęcie sieciowym, jak również zagrożenia połączone, które rozprzestrzeniały się nie tylko za pośrednictwem poczty elektronicznej, ale również Internetu i komunikatorów internetowych. Czas reakcji stał się krytycznym czynnikiem dla firm antywirusowych, które zaczęły wykorzystywać emulację kodu, technologie anti-rootkit oraz techniki ochrony poufnych danych użytkownika.

W 2006 roku nie pojawiły się żadne całkowicie nowe koncepcje, co znajduje wyraz w naszych raportach. Twórcy wirusów zaciekle próbują bronić swoich tworów przed nowymi technologiami proaktywnymi, tworząc kod "proof of concept" dla nowych platform oraz skupiając się na szukaniu luk w zabezpieczeniach. Nie znajduje to jednak dużego odzwierciedlenia w rzeczywistości: tzn. nie pojawiają się zagrożenia, które mogłyby spowodować milionowe straty, tak jak miało to miejsce w przeszłości w przypadku robaków Klez, Mydoom, Lovesan i Sasser.

Zjawiska, których jesteśmy obecnie świadkami, są czasem interesujące, sporadycznie zaawansowane pod względem technicznym (na przykład wirusy wykorzystujące techniki kryptograficzne). Ogólnie, jednak, wydaje się, że poprzeczka została obniżona. Zagrożenia nie mają już charakteru globalnego i nie są skuteczne tak długo jak wcześniej. Nie dzieje się nic nowego. Mamy do czynienia z tym samym, nieustającym strumieniem trojanów, wirusów i robaków - jedyna różnica polega na tym, że znacznie zwiększyła się ich liczba.

Naturalnie, niektórzy mogą nie zgadzać się z tą opinią. Mimo to, uważam, że dzisiejsi twórcy wirusów i cyberprzestępcy dostosowali swoje metody do współczesnej branży antywirusowej. Obecnie obserwujemy pewien rodzaj stanu równowagi. Firmy antywirusowe pracują do granic swoich możliwości, jeśli chodzi o szybkość, i w dużym stopniu osiągnęły już techniczne granice pod względem stosowanych technologii. Twórców wirusów "satysfakcjonuje" obecny czas reakcji firm antywirusowych - który może wynosić kilka godzin, a nawet minut - oraz to, co mogą w tym czasie "osiągnąć".

Jeżeli sytuacja wygląda tak, jak ją przedstawiłem, w najbliższej przyszłości będą musiały nastąpić jakieś zmiany. Firmy antywirusowe przejdą do ofensywy i wspólnym wysiłkiem stłumią "powstanie" wirusowe, albo twórcy wirusów wymyślą coś całkowicie nowego, podnosząc poprzeczkę firmom antywirusowym.

Źródło:
Kaspersky Lab