| IFK | IRB | INFORLEX | GAZETA PRAWNA | INFORORGANIZER | APLIKACJA MOBILNA | PRACA W INFOR | SKLEP
reklama
Jesteś tutaj: STRONA GŁÓWNA > Moja firma > Biznes > Firma > e-Firma > Programy dla firm > Rozwój współczesnych złośliwych programów - tendencje i prognozy

Rozwój współczesnych złośliwych programów - tendencje i prognozy

Gdy tylko pojawia się złośliwy program, który wykorzystuje całkowicie nowe techniki rozprzestrzeniania się lub infekowania komputerów, twórcy wirusów natychmiast przyjmują nowe podejście.

Luty 2004 

NetSky.b 

Ten robak pocztowy wykorzystywał do rozprzestrzeniania sieć zainfekowanych komputerów pozostawionych po szkodniku Backdoor.Agobot. NetSky.b zastosował większość z wymienionych wyżej technik, usuwał również wiele robaków: Mydoom, Bagle i Mimail. Idea tak zwanego wirusa 'antywirusa' nie jest nowa. Pierwszym przykładem tego z pozoru użytecznego gatunku był szkodnik Welchia, który pojawił się w 2003 r. Welchia nie tylko przenikał komputery w celu usunięcia robaków Lovesan, ale przede wszystkim pozorował ściąganie łaty dla systemu Windows mającej usunąć luki wykorzystywane przez Lovesana.
NetSky nie tylko usuwał konkurencyjne wirusy, uwikłał również ich autorów w wojnę na słowa polegającą na zakodowaniu w kodzie szkodnika obraźliwych słów. Autor Mydooma nie podjął wyzwania, zrobili to jednak autorzy Bagle i rozpoczęła się wojna wirusów. W najbardziej aktywnym okresie w jednym dniu pojawiały się trzy wersje każdego z tych robaków.

Oprócz wojny słownej, autorzy robaków Baglei Netsky wprowadzili kilka innowacji:

  • aktywne usuwanie konkurencyjnych wirusów,
  •  rozprzestrzenianie zarchiwizowanych plików (warianty Bagle i NetSky),
  •  rozprzestrzenianie w skompresowanych plikach zabezpieczonych hasłem: hasła wprowadzane były w postaci ciągów tekstowych lub grafiki (Bagle),
  •  rezygnacja z poczty elektronicznej: złośliwe programy rozprzestrzeniały się poprzez odsyłacze do stron zawierających kod robaka lub poprzez ściąganie go z wcześniej zainfekowanych komputerów (NetSky)

Wymienione cechy nie tylko wywarły ogromny wpływ na twórców wirusów, ale również na rozwój architektury i funkcjonalności współczesnych rozwiązań antywirusowych.

Szczególne znaczenie miało zrezygnowanie z przesyłania kodu robaka. Prawie równocześnie z wariantem NetSky.q, który rozprzestrzeniał się wysyłając wiadomości e-mail zawierające odsyłacze do zainfekowanych wcześniej komputerów, pojawił się Bizex. Bizex był pierwszym robakiem, który przenikał komputery przez ICQ. Robak ten wysyłał odsyłacze do strony zawierającej zainfekowany kod pod wszystkie kontakty ICQ znalezione na zainfekowanych komputerach. Po kliknięciu odsyłacza kod robaka ściągał się z zainfekowanej strony WWW i cykl zaczynał się od nowa. Bizex skutecznie łączył w sobie właściwości Mitgliedera (rozprzestrzenianie przez ICQ) i robaka NetSky (wysyłanie odsyłaczy do zainfekowanych stron WWW).

Marzec 2004

Snapper i Wallon

Te robaki internetowe utrwaliły techniki wprowadzone przez dwa szkodniki: Netsky i Bizex. Oba robaki skanowały na zainfekowanych komputerach książki adresów e-mail i wysyłały pod nie odsyłacze do zainfekowanych stron. Twórcy wirusów umieścili na zainfekowanych stronach trojany skryptowe: trojany te następnie wykorzystywały luki w przeglądarce Internet Explorer w celu instalowania głównych składników na atakowanych komputerach.
Nawet dzisiaj, wiadomości zawierające odsyłacze nie są traktowane ostrożnie. Użytkownik skwapliwie otwiera odsyłacz myśląc, że przysłał go przyjaciel, nawet gdy ma pewne podejrzenia. Niewątpliwie, technika ta będzie wykorzystywana, aż użytkownicy nauczą się ostrożności w stosunku do odsyłaczy zawartych w wiadomościach e-mail tak samo, jak do załączników wiadomości. Wykrywanie wciąż nowych luk w programach Internet Explorer i Outlook prawdopodobnie doda tylko oliwy do ognia.

Sasser

Ostatnim przełomowym wirusem 2004 r. był Sasser, który pojawił się pod koniec kwietnia. Ten robak internetowy wykorzystywał krytyczną lukę w systemie MS Windows i rozprzestrzeniał się, podobnie jak Lovesan, łącząc się przez Internet bezpośrednio z atakowanym komputerem. Sasser spowodował poważną epidemię w Europie i pozostawił lukę w serwerze FTP, która natychmiast została wykorzystana przez robaki Dabber i Cycle. Po aresztowaniu Sven Jaschan, nastoletni autor robaka Sasser, przyznał się do stworzenia rodziny robaków NetSky.
Sasser był dowodem na to, że twórcy wirusów przetwarzają i przywłaszczają skuteczne techniki: Jaschan wykorzystał techniki zastosowane przez Lovesana, inni twórcy wirusów wkrótce podchwycili nowe pomysły.

Plexus

Plexus przeszedł do historii jako pierwszy robak od czasu szkodnika Nimda (2001), który zastosował wszystkie dostępne techniki rozprzestrzeniania: Internet, wiadomości e-mail, sieci P2P i LAN. Minęły trzy lata, zanim twórcy wirusów wykorzystywali jednocześnie tak wiele zasobów.
Plexus był potencjalnie bardzo groźnym robakiem opartym na kodzie źródłowym Mydooma. Autor wirusa poszedł w ślady twórcy Sobera. Niektóre elementy fragmenty nowego szkodnika były czystym plagiatem Sobera. W rezultacie powstał bardzo skuteczny robak.
Na szczęście, żadna z wersji Plexusa nie wywołała poważnych epidemii. Najprawdopodobniej dlatego, że do początkowego rozprzestrzeniania żadna z nich nie stosowała spamerskich technik masowego rozsyłania wiadomości. Autorzy tych robaków nie stosowali również żadnych skutecznych metod socjotechniki. Jeśli jednak powstałyby nowe wersje uwzględniające powyższe kwestie, być może pojawiłoby się zagrożenie poważną epidemią.

Poza robakami

Opisane wyżej robaki wywołały epidemie, które zyskały największy rozgłos w historii IT. Jednak, również inne rodzaje złośliwych programów mogą stanowić poważne zagrożenie dla bezpieczeństwa komputerów i danych. Dlatego, aby dokładnie zrozumieć obecne trendy, należy dokonać oceny ogólnego obrazu, łącznie

Trojany

Według powszechnej opinii, trojany są miej niebezpieczne niż robaki, ponieważ nie mogą rozprzestrzeniać się czy przemieszczać samodzielnie. Jednak, jest to błędna opinia: większość z dzisiejszych złośliwych programów łączy w sobie kilka elementów, a wiele robaków posiada trojany jako część ich dodatkowych funkcji. Trojany te położyły fundament pod tworzenie sieci zainfekowanych komputerów.

Trojany stają się coraz bardziej wyrafinowane. Mnożą się szpiegowskie programy typu Trojan-Spy. Codziennie pojawiają się dziesiątki nowych wersji. Wersje te różnią się między sobą w niewielkim stopniu, wszystkie mają jednak na celu kradzież poufnych informacji finansowych.
Niektóre z tych programów są prostymi keyloggerami, które przesyłają autorowi lub użytkownikowi programu raport o danych wprowadzanych z klawiatury. Rozwinięte wersje zapewniają całkowitą kontrolę nad zainfekowanymi komputerami, przesyłając dane do odległych serwerów, jak również otrzymując i wykonując polecenia.

Często celem twórców trojanów jest przejęcie całkowitej kontroli nad komputerami ofiar. Zainfekowane komputery zazwyczaj połączone są w sieci często przy użyciu kanałów IRC lub stron WWW, gdzie umieszczane są nowe polecenia. Bardziej złożone trojany, takie jak wiele wariantów Agobota, łączą wszystkie zainfekowane komputery w jedną sieć P2P.

Po stworzeniu sieci zainfekowanych komputerów, wypożyczane są one spamerom lub wykorzystywane do przeprowadzania ataków DDoS. Wzrastająca komercjalizacja pisania wirusów prowadzi do tworzenia coraz bardziej złożonych sieci zainfekowanych komputerów (zwanych botnetami).
Konie trojańskie typu Trojan-Dropper i Trojan-Downloader

Oba programy mają jeden cel: instalują na komputerze ofiary dodatkowy program, robaka lub innego trojana. Od trojanów różniły się tylko stosowanymi metodami.

Droppery instalują inne złośliwe programy lub nowe wersje wcześniej zainstalowanych programów. Mogą zawierać kilka zupełnie różnych złośliwych programów o odmiennym działaniu, które często napisane zostały przez niezależnych autorów. W rezultacie, droppery działają jak archiwizery, które mogą kompresować wiele różnych rodzajów złośliwych programów.

Droppery wykorzystywane są często do przenoszenia znanych trojanów. Znacznie łatwiej jest napisać droppera niż nowego trojana, który nie jest wykrywany przez programy antywirusowe. Większość dropperów napisanych jest w VBS lub JS, co tłumaczy ich popularność; same języki są stosunkowo proste i mogą być stosowane na różnych platformach.

Twórcy wirusów często używają downloaderów w ten sam sposób, co dropperów. Jednak, ten drugi typ programów może być bardziej użyteczny niż pierwszy. Po pierwsze, downloadery są znacznie mniejsze od dropperów. Po drugie, można wykorzystać je do ściągnięcia niezliczonych nowych wersji atakowanych złośliwych programów. Podobnie jak droppery, downloadery zazwyczaj pisane są w językach skryptowych, takich jak VBS i JS, a także często wykorzystują jednak luki w Internet Explorerze.

Co więcej, oba programy wykorzystywane są nie tylko do instalowania innych trojanów, ale także złośliwych programów, takich jak adware czy pornware.

Klasyczne wirusy plikowe

Klasyczne wirusy plikowe dominowały w latach 90.; obecnie jednak niemal całkowicie zniknęły ze sceny. Wciąż aktywnych jest około 10 wirusów plikowych. Wykazują one szczyt swojego działania, gdy infekują wykonywalne pliki robaków: wirus plikowy przemieszcza się następnie wraz z zainfekowanym plikiem robaka. Na przykład, często widzimy próbki robaków MyDoom, NetSky i Bagle, które infekowane są przez wirusy plikowe, takie jak Funlove, Xorala, Parite czy Spaces.

Ogólnie, nie istnieje poważne niebezpieczeństwo spowodowania epidemii przez klasyczne wirusy plikowe. Nic nie wskazuje na to, że nawet Rugrat, pierwszy wirus dla Win64 typu proof-of-concept, zmieni coś w niedalekiej przyszłości.

Linux
Do dnia dzisiejszego platformy oparte na Linuksie padały ofiarą jedynie programów typu rootkit oraz prostych wirusów plikowych. Jednak coraz większa liczba nagłośnionych przypadków wykrycia luk oznacza, że wzrastająca liczba użytkowników przechodzących na Linuksa nie uchroni się przed złośliwymi programami.
Komputery typu handheld.

Komputery typu PDA stały się obecnie niemal urządzeniami domowego użytku. Twórcy wirusów nie próżnowali i szybko wykorzystali ich wzrastającą popularność. Pierwszy trojan dla Palm OS pojawił się we wrześniu 2000 r. Trochę dłużej - aż do lipca 2004 r. - musieliśmy czekać na pierwszego wirusa typu proof-of-concept dla komputerów typu Pocket PC - był to Dut. Jak dotąd nie było żadnej poważnej epidemii wirusów w świecie komputerów typu handheld, ale to tylko kwestia czasu. Jak tylko twórcy wirusów uznają, że warto uzyskać dostęp do informacji zapisywanych na takich komputerach, na pewno nastąpi szybka ewolucja złośliwych programów dla tych urządzeń.

Telefony komórkowe

Telefony komórkowe przeszły długą drogę. Obecnie są bardzo złożone i rozpowszechnione. Te dwa czynniki wystarczyły do przyciągnięcia uwagi twórców wirusów, zwłaszcza po wprowadzeniu telefonów komórkowych smart phone posiadających możliwości komputerów. Pierwszy wirus typu proof-of-concept dla telefonów komórkowych działających pod kontrolą systemu Symbian pojawił się w czerwcu 2004 r. Jedynym brakującym elementem jest zastosowanie komercyjne - wirusy dla telefonów komórkowych pojawią się natychmiast, gdy tylko ktoś wymyśli, w jaki sposób można je wykorzystać do zarabiania pieniędzy.

reklama

Narzędzia przedsiębiorcy

POLECANE

Dotacje dla firm

reklama

Ostatnio na forum

Fundusze unijne

Pomysł na biznes

Eksperci portalu infor.pl

Natalia Buchholc

Zostań ekspertem portalu Infor.pl »