| IFK | IRB | INFORLEX | GAZETA PRAWNA | INFORORGANIZER | APLIKACJA MOBILNA | PRACA W INFOR | SKLEP
reklama
Jesteś tutaj: STRONA GŁÓWNA > Moja firma > Biznes > Firma > e-Firma > Programy dla firm > Wirusów historia najnowsza

Wirusów historia najnowsza

Szkodliwe programy mogą wydawać się stosunkowo nowym zjawiskiem. Na skutek epidemii z ostatnich lat większość użytkowników komputerów została wprowadzona w świat wirusów, robaków i trojanów - głównie w wyniku infekcji ich komputerów. Pewną rolę odegrały również media, coraz częściej donoszące o najnowszych cyberzagrożeniach i aresztowaniach twórców wirusów.

styczeń – marzec 2008


Niestety, jak często bywa w branży antywirusowej, wnioski z danych zgromadzonych w pierwszym kwartale 2008 roku są dość ponure. Nadal rośnie tempo, w jakim zwiększa się liczba szkodliwych programów - codziennie wykrywane są tysiące nowych wariantów. Jednocześnie szkodniki stają się coraz bardziej zaawansowane technicznie. Szkodliwi użytkownicy zmieniają wektory ataków, kierując swoją uwagę na słabiej chronione pliki, takie jak technologie Web 2.0 oraz urządzenia mobilne.


Nadal jesteśmy świadkami reinkarnacji starych koncepcji i technik, a ich implementacja na nowych poziomach zwiększa stopień zagrożenia. Przykładem może być infekowanie sektorów startowych na atakowanych maszynach, rozprzestrzenianie szkodliwych programów za pośrednictwem nośników przenośnych oraz infekowanie plików.


Pod presją wzrastającej kryminalizacji świata wirusów z biznesu wycofali się autorzy takich szkodników, jak "Cap" (pierwszy makrowirus, który spowodował globalną epidemię), "Stream" (pierwszy wirus dla alternatywnych strumieni NTFS), "Donut" (pierwszy wirus dla platformy .NET), "Rugrat" (pierwszy wirus dla platformy Win64), mobilny wirus Cabir, Duts i wiele innych. Nikt już nie tworzy szkodliwych programów w celach badawczych, ani nie traktuje tego zajęcia jako sposobu na wyrażenie siebie - o wiele bardziej opłaca się stworzyć setki prymitywnych programów trojańskich, a następnie sprzedać je.


W poniższych rozdziałach zostały omówione trendy, które w 2008 roku zastąpiły "romantyczny" ideał pisania wirusów:

1.      Bootkit

2.      Robak Storm ciąg dalszy

3.      TrojanGet

4.      Kilka towarzyskich robaków

5.      Mobilne wieści


Bootkit

Na początku 2008 roku główny problem w branży antywirusowej stanowiły rootkity bootkit - rootkity z możliwością uruchamiania się z sektora startowego dowolnego urządzenia. Chociaż większość użytkowników nie zdaje sobie sprawy z wagi tego problemu i nie rozumie wysiłków czynionych w celu pokonania go, w najbliższej przyszłości temat ten może dotyczyć wszystkich nas.


Dlaczego ochrona przed bootkitami jest tak trudna? Problemy, jakie napotykamy tu, są następujące:

1.      Szkodliwy kod przejmuje kontrolę przed uruchamianiem systemu operacyjnego, a tym samym jest inicjowany jeszcze przed programem antywirusowym

2.      Z zainfekowanego systemu operacyjnego trudno jest wykryć przechwycenie funkcji

3.      Przywracanie przechwyconych funkcji może prowadzić do załamania się całego systemu operacyjnego

4.      Wyleczenie MBR-a możliwe jest tylko pod warunkiem wykrycia oryginalnego MBR-a


Naturalnie najlepszą ochroną jest w ogóle nie dopuścić do zainfekowania systemu - w końcu bootkit nie pojawia się znikąd. W jakiś sposób musi przedostać się do komputera. Niektóre programy antywirusowe potrafią zapobiec infekcji nawet nieznanych wariantów szkodliwego oprogramowania. Jednak zawsze istnieje możliwość, że szkodnik mimo wszystko przeniknie przez taką ochronę.


Powstaje więc pytanie, w jaki sposób wyleczyć zainfekowaną już maszynę.


Istnieją dwie opcje - w systemie może być już zainstalowany program antywirusowy (w takim przypadku powyższe cztery punkty dotyczą rozwiązania antywirusowego) lub nie jest wykorzystywane żadne oprogramowanie antywirusowe i należy je zainstalować. W drugim przypadku napotykamy dodatkowy problem związany z tym, który został opisany w punkcie 1; szkodliwy kod może blokować próby zainstalowania rozwiązania antywirusowego w zainfekowanym systemie.


Twórcy wirusów przeanalizowali sposoby rozwiązywania przez firmy antywirusowe opisanych wyżej problemów i w lutym 2008 r. pojawiła się nowa, ulepszona wersja bootkita. Wszystkie wcześniejsze metody zwalczania bootkitów okazały się bezużyteczne.


Jednocześnie bootkit zaczął rozprzestrzeniać się na nowe sposoby. Na wielu europejskich stronach, zaatakowanych przez hakerów, zostały wykryte odsyłacze do stron zawierających exploity instalujące bootkita.


Jak dotąd oprócz Sinowala nie wykryliśmy żadnego innego szkodliwego programu wyposażonego w bootkita. Obecnie między firmami antywirusowymi a twórcami wirusów panuje sytuacja patowa, która nastąpiła po klasycznej sekwencji ataku i kontrataku. Nawet najnowsze warianty bootkita mogą być zwalczane bez konieczności zaimplementowania w rozwiązaniach antywirusowych znacznych innowacji.


Jednak nie ma wątpliwości, że wcześniej czy później tylko jedna metoda będzie gwarantowała wykrywanie i usuwanie takich szkodliwych programów. Jednak będzie to wymagało przejścia z ochrony za pomocą oprogramowania na ochronę za pomocą sprzętu.


Kluczowym pytaniem jest: co pierwsze przejmie kontrolę - jeśli będzie to wirus, wtedy rozwiązanie antywirusowe stanie się bezużyteczne.

Tak więc wirusy po raz kolejny zaczęły wykorzystywać MBR. 10 lat temu rozwiązaliśmy ten problem z pomocą dysku rozruchowego wyposażonego w oprogramowanie antywirusowe. Być może nadchodzi czas powrotu nie tylko starych technologii wirusowych ale również starych technologii antywirusowych.


Robak Storm ciąg dalszy

W połowie stycznia 2008 roku mieliśmy pierwszą rocznicę pojawienia się pierwszych próbek robaka, znanego na całym świecie jako Zhelatin, Nuwar lub Storm Worm. Do tego czasu wirusologia komputerowa nie znała przypadku tak szybko ewoluującego szkodliwego programu.

Rozpowszechnienie robaka Storm oraz wykorzystywane wektory ataków są zbyt szerokie, aby był on dziełem jednej, dwóch lub nawet trzech osób. Jeżeli nasze przypuszczenia są słuszne, robak Storm to podręcznikowy przykład współczesnej cyberprzestępczości wraz z jej międzynarodowym podziałem pracy. Wciąż jednak nie wiemy, w jaki sposób cyberprzestępcy zarabiają na nim pieniądze.


TrojanGet

Przypadki rozprzestrzeniania infekcji przez legalne programy i firmy antywirusowe, choć stosunkowo rzadkie, zdarzają się jednak w świecie bezpieczeństwa informatycznego. Obejmują one rożne przypadki - od zainfekowanych pakietów instalacyjnych po zainfekowane dokumenty rozsyłane klientom i partnerom.

Każdy taki incydent ma poważny wpływ na reputację firmy antywirusowej lub firmy, która została dotknięta takim incydentem. Wpływa na użytkowników, którzy przestrzegają podstawowych reguł bezpieczeństwa komputerowego i stwarza problemy firmom antywirusowym, które traktują legalne oprogramowanie oraz źródła, z jakich pochodzi, jako godne zaufania.

Pierwszy kwartał 2008 roku przyniósł najnowszy przypadek tego rodzaju.


Na początku marca analitycy z firmy Kaspersky Lab otrzymali wiadomości od użytkowników, w których informowali firmę, że katalog popularnego klienta FlashGet zawierał trojana. Analiza pokazała, że problem ten dotknął użytkowników z całego świata. Do symptomów infekcji należało pojawienie się w systemie plików o nazwie inapp4.exe, inapp5.exe oraz inapp6.exe. Kaspersky Anti-Virus wykrywał te pliki jako Trojan-Dropper.Win32.Agent.exo, Trojan-Dropper.Win32.Agent.ezo oraz Trojan-Downloader.Win32.Agent.kht.

Nie trzeba chyba podkreślać, że FlashGet jest zwykle traktowany jako aplikacja zaufana i każda aktywność sieciowa wygenerowana przez ten program jest uważana za legalną.


Do tej pory nie było żadnej oficjalnej reakcji ze strony chińskiej firmy, która tworzy program FlashGet. Prawdziwa przyczyna incydentu pozostaje nieznana, nie ma również gwarancji, że sytuacja nie powtórzy się.

Firmy antywirusowe, które same mogą zdecydować, czy FlashGet jest potencjalnie szkodliwy, zaczęły klasyfikować go jako riskware. I miały po temu wiele powodów.


Kilka towarzyskich robaków

Przewidywano, że w 2008 roku wiele trojanów będzie rozprzestrzeniało się za pośrednictwem kont użytkowników na serwisach społecznościowych, na ich blogach i profilach. W lutym 2008 roku przewidywania te spełniły się całkowicie. Po raz kolejny zaatakowany został Orkut, popularny portal społecznościowy należący do Google.


Incydent ten po raz kolejny pokazuje, jak bardzo podatni na ataki mogą być użytkownicy portali społecznościowych. Czynniki, które sprawiają, że serwisy Web 2.0 są popularne zarówno wśród użytkowników, jak i hakerów, zostały wymienione poniżej:

1.      Migracja danych użytkownika z komputera PC do Internetu

2.      Możliwość uzyskania dostępu do wielu różnych serwisów z jednego konta

3.      Szczegółowe informacje o użytkowniku

4.      Informacje o kontaktach i znajomych użytkownika

5.      Miejsce, w którym można opublikować dowolną treść

6.      Zaufanie między kontaktami


Problem już teraz jest dość poważny i wiele wskazuje na to, że będzie stanowił realne zagrożenie dla bezpieczeństwa informatycznego.


Wieści mobilne

W pierwszym kwartale 2008 roku świat mobilnej wirusologii obfitował w wiele wydarzeń. Obserwowaliśmy nie tylko dalszy rozwój technologii, ale również wzrost liczby osób zaangażowanych na tym polu: zarówno twórców wirusów, jak i firm antywirusowych. Innowacje w zakresie szkodliwego kodu rozłożyły się mniej więcej równomiernie na cztery cele: Symbiana, Windows Mobile'a, J2ME oraz iPhone'a.


Symbian

Symbian został zaatakowany przez najnowszego robaka z całkowicie nowej rodziny. Do tego momentu istniały dwa typy zagrożeń: Cabir, który rozprzestrzeniał się za pośrednictwem Bluetootha, oraz ComWar, który wykorzystywał do tego celu MMS-y. Naturalnie istniało kilka wariantów obu tych robaków.

Pod koniec grudnia do naszych antywirusowych baz danych dodaliśmy program, który na pierwszy rzut oka zdawał się być nowym klonem ComWara: ComWar.y. Jednak pojawienie się tego programu w styczniu w ruchu jednego z największych operatorów komórkowych skłoniło nas do dokładniejszego przyjrzenia się tej nowej próbce.


Analiza przeprowadzona przez jednego z naszych partnerów, fińską firmę F-Secure, pokazała, że w rzeczywistości szkodnik ten należał do zupełnie nowej rodziny, która nie miała nic wspólnego z ComWarem.


Robak ten, sklasyfikowany jako Worm.SymbOS.Beselo.a (Beselo.b zostal wykryty niedługo po nim) działa w bardzo podobny sposób do ComWara, stosując typowe dla tego rodzaju robaków podejście. Rozprzestrzenia się poprzez wysyłanie zainfekowanych plików SIS za pośrednictwem MMS-ów oraz Bluetootha. Po uruchomieniu na atakowanym urządzeniu robak zaczyna wysyłać swoje kopie do kontaktów znajdujących się w telefonie, jak również do wszystkich dostępnych urządzeń z komunikacją Bluetooth, które znalazły się w zasięgu.


Co w tym nowego? Fakt, że istnieje nowa, aktywna rodzina robaków dla urządzeń mobilnych (co wskazuje na istnienie aktywnych twórców wirusów) oraz występowanie tego robaka na wolności. Nowe warianty Beselo mogły spowodować poważne lokalne epidemie - coś podobnego miało miejsce wiosną zeszłego roku, gdy ofiarą hiszpańskiej modyfikacji robaka ComWar padło 115 000 użytkowników smartfonów.


Windows Mobile

Na wzmiankę zasługuje również pojawienie się nowego szkodliwego programu dla systemu Windows Mobile, który do tej pory nie stanowił głównego celu szkodliwych użytkowników. Jednak InfoJack, trojan, który został wykryty pod koniec lutego, jest interesujący z następujących powodów:


InfoJack.a

1.      atakuje system Windows Mobile

2.      został wykryty na wolności

3.      rozprzestrzenia się w Chinach

4.      kradnie dane


Jest to pierwszy szkodliwy kod atakujący system Windows Mobile, który został wykryty na wolności i spowodował znaczną liczbę infekcji. Kod rozprzestrzeniał się z chińskiej strony zawierającej szeroki wachlarz legalnego oprogramowania. Trojan ten został dodany do plików instalacyjnych produktów mobilnych, takich jak Google Maps i klienty gier. Właściciel strony, z której rozprzestrzeniał się trojan, oświadczył, że nie chciał zrobić niczego nielegalnego, zbierał jedynie informacje o użytkownikach strony w celu usprawnienia serwisu oraz analizy rynku mobilnych aplikacji.


Po przedostaniu się do systemu trojan próbuje wyłączyć mechanizm ochrony uniemożliwiający instalację aplikacji, które nie posiadają podpisu cyfrowego twórcy. Gdy zainfekowany smartfon zostanie podłączony do Internetu, InfoJack zaczyna wysyłać poufne informacje z urządzenia na stronę trojana. Informacje te obejmują numer seryjny urządzenia, informacje o systemie operacyjnym i zainstalowanych aplikacjach. Trojan może również bez wiedzy użytkownika pobierać na telefon dodatkowe pliki i uruchomić je - może to zrobić, ponieważ ochrona przed uruchomieniem niepodpisanych aplikacji została wyłączona.


Kilka dni później aktywność tej strony została wstrzymana prawdopodobnie w związku z dochodzeniem prowadzonym przez chińską policję.


Pisaliśmy już, co się może zdarzyć, gdy twórcy wirusów zainteresują się popularnymi serwisami (np. ataki na portal Orkut w Brazylii). Chiny bez wątpienia są światowym liderem pod względem tworzenia szkodliwego kodu; obecnie ponad 50% wszystkich nowych szkodliwych programów w naszych antywirusowych bazach danych powstało w Chinach. Do tej pory chińscy hakerzy atakowali użytkowników gier online wykorzystujących komputery osobiste. Jednak przypadek InfoJacka pokazuje, że możliwe jest zorganizowanie masowej epidemii i stworzenie mobilnych wirusów.


Chiny były pierwszym krajem, który zaatakował trojan dla systemu Windows Mobile. Całkiem możliwe, że autor InfoJacka nie chciał zrobić niczego nielegalnego. Teraz jednak, gdy fundament został już położony, tysiące chińskich hakerów, którzy tworzą wirusy dla komputerów osobistych, może go wykorzystywać.


J2ME

W pierwszym kwartale 2008 roku trojany dla J2ME (które działają na prawie każdym współczesnym urządzeniu mobilnym, nie tylko na smartfonach) zaczęły pojawiać się z przerażającą regularnością. W styczniu wykryliśmy Smarm.b, następnie Smarm.c oraz Swapi.a, a w marcu SMSFree.d.


Wszystkie te trojany zostały wykryte w Rosji i stosują tę samą metodę zarabiania pieniędzy na użytkownikach: wysyłanie wiadomości SMS na numery o podwyższonych opłatach.
(Dochodzenie w sprawie podobnego trojana wysyłającego SMS-y, Vivera, które przeprowadziliśmy w zeszłym roku, pokazało, że w ciągu trzech dni autor trojana zdołał zarobić około 500 dolarów). Mimo wszystkich tych incydentów rosyjscy dostawcy zawartości mobilnej nadal zachowują anonimowość osób, które rejestrują numery o podwyższonej opłacie. W ten sposób twórców wirusów trudno jest postawić przed sądem: pojawienie się nowych wariantów szkodliwych programów oraz brak informacji o aresztowaniach wyraźnie potwierdza to.


Oprócz trojanów dla J2ME, o których pisaliśmy wcześniej, istnieją jeszcze inne dwa szkodliwe programy, które wysyłają wiadomość SMS, za którą pobierana jest opłata. Flocker.d i Flocker.e, które zostały napisane w języku Python i miały na celu atakowanie smartfonów, zostały wykryte w styczniu 2008 roku.


Szkodniki te wykorzystują tę samą metodę propagacji co InfoJack: rozprzestrzeniają się za pośrednictwem popularnych stron oferujących oprogramowanie dla telefonów komórkowych. Trojany te występują w przebraniu legalnych narzędzi lub są zintegrowane z innymi produktami.


iPhone

Sekcję dotyczącą mobilnych zagrożeń zakończymy informacjami dotyczącymi długo oczekiwanego wydarzenia: opublikowaniem w marcu SDK dla iPhone'a.

Sądziliśmy, że udostępnienie SDK spowoduje pojawienie się licznych szkodliwych programów dla iPhone'a. Jednak możliwości, jakie zapewnia otwarte SDK Apple'a, są bardzo ograniczone.


Apple poszedł śladem Symbiana: model tworzenia i dystrybucji programów dla iPhone'a opiera się na koncepcji "podpisanych" aplikacji. Główne ograniczenia zostały określone w umowie korzystania z SDK dla iPhone'a: "Żaden interpretowany kod nie może być pobrany i wykorzystany w aplikacji z wyjątkiem kodu, który jest interpretowany i uruchamiany przez API opublikowane przez firmę Apple oraz wbudowany do programu interpretującego. Aplikacja nie może sama instalować ani uruchamiać innego kodu wykonywalnego w żaden sposób, włączając bez ograniczeń wykorzystywanie architektury wtyczki, wywoływanie innych struktur, innych niż API".


Ograniczenia te nie tylko utrudniają życie twórców wirusów, ale również skutecznie wykluczają takie aplikacje jak Firefox, Opera i wiele gier, klientów IM oraz wiele innych użytecznych programów: aplikacji, które mogą stać się niezwykle popularne wśród użytkowników iPhone'a i które mogą rozszerzyć możliwości urządzenia.


Przez cztery dni od momentu opublikowania SDK pobrano ponad 100 000 razy. Wygląda na to, że tak duża liczba potencjalnych konstruktorów powinna doprowadzić do wzrostu liczby nowych aplikacji stworzonych przy pomocy SDK. Tak się jednak nie dzieje.


W sensie formalnym Apple spełnił swoją obietnicę, udostępniając SDK. Na razie jednak nie jest jasne, w jaki sposób krok ten wpłynie nawet na rozwój legalnego oprogramowania dla telefonów. Ograniczenia są zbyt duże i zbyt wiele funkcji w SDK pozostaje niedostępnych.


Drugim poważnym ograniczeniem jest to, że aplikacje stworzone przy użyciu SDK, mogą być dystrybuowane tylko za pośrednictwem sklepu internetowego firmy Apple. Tworzy to dużo dodatkowych barier, począwszy od liczby uprawnionych "producentów" (twórców), skończywszy na ograniczeniach geograficznych (tylko osoby za Stanów Zjednoczonych mogą uczestniczyć).


Jest oczywiste, że w tych warunkach nie będzie możliwe uruchomienie produktu antywirusowego dla iPhone'a - nie z powodów technicznych, ale z powodu problemów opisywanych poniżej.


Szacuje się, że 45% - 50% wszystkich sprzedanych urządzeń zostało "odblokowanych". Wszystkie te urządzenia mogą zostać zainfekowane przez dowolny szkodliwy program dla iPhone'a podczas pobierania przez użytkownika plików z wielu różnych nieoficjalnych źródeł. W żaden sposób nie można tego kontrolować: użytkownicy zmodyfikowanych telefonów nie są uprawnieni do oficjalnej pomocy technicznej, dlatego nie będziemy mogli zapewnić im żadnej ochrony antywirusowej.


W najbliższej przyszłości liczba osób wykorzystujących iPhone'y prawdopodobnie zrówna się z liczbą użytkowników smartfonów z systemem Symbian w 2004 roku - czyli wtedy, gdy pojawił się Cabir.


Wnioski

Wydarzenia z pierwszych trzech miesięcy 2008 roku pokazują, że okres technicznej stagnacji w krajobrazie zagrożeń dobiega końca.


W zeszłym roku opisywaliśmy mechanizm typu przenośnik taśmowy: proces, w którym generowane są liczne prymitywne programy naśladowcze, w których nie są implementowane nowe technologie wirusowe. Zjawisko to można wyjaśnić w następujący sposób: twórcy wirusów woleli stosować wypróbowane metody, ponieważ w tym czasie nawet stare i dobrze znane podejścia mogły przynieść zyski, jeżeli zostały zastosowane na skalę przemysłową.


Nastąpiła jednak znacząca zmiana kierunku, widoczna przede wszystkim w pojawieniu się pierwszej szkodliwej implementacji bootkita. Oprócz tego coraz częściej wykorzystywane są metody infekcji plików, często w połączeniu ze złożonymi technikami polimorficznymi. Należy również pamiętać, że twórcy wirusów zapożyczają pewne technologie że świata antywirusowego. Na przykład, wykryliśmy już szkodliwe programy, które w celu zwalczania rozwiązań antywirusowych poprzez usuwanie ich lub blokowanie zawierają wykrywanie sygnatur plików antywirusowych. Wcześniej twórcy wirusów ograniczali się do projektowania swoich tworów w taki sposób, aby szukały plików według nazwy.


Obecnie stare technologie są rewidowane i implementowane na nowych poziomach. Walka wirusów z rozwiązaniami antywirusowymi przesuwa się z poziomu oprogramowania na poziom sprzętu.


Chociaż nie można jeszcze powiedzieć, że wydarzenia z pierwszego kwartału 2008 roku tworzą określony trend, poruszone kwestie mogą mieć duży wpływ na całą branżę bezpieczeństwa informatycznego w najbliższej przyszłości.


Kaspersky Lab Polska

reklama

Narzędzia przedsiębiorcy

POLECANE

Dotacje dla firm

reklama

Ostatnio na forum

Fundusze unijne

Pomysł na biznes

Eksperci portalu infor.pl

Wojciech Strama

Zostań ekspertem portalu Infor.pl »