| IFK | IRB | INFORLEX | GAZETA PRAWNA | INFORORGANIZER | APLIKACJA MOBILNA | PRACA W INFOR | SKLEP
reklama
Jesteś tutaj: STRONA GŁÓWNA > Moja firma > Biznes > Firma > e-Firma > Programy dla firm > Rozwój współczesnych złośliwych programów - tendencje i prognozy

Rozwój współczesnych złośliwych programów - tendencje i prognozy

Gdy tylko pojawia się złośliwy program, który wykorzystuje całkowicie nowe techniki rozprzestrzeniania się lub infekowania komputerów, twórcy wirusów natychmiast przyjmują nowe podejście.

Robaki - tendencje w 2003 r

Tendencje w dziedzinie wiruslogii, jakie obecnie obserwujemy, miały swoje korzenie w drugiej połowie 2003 r. Robaki internetowe: Lovesan, Sobig, Swen i Sober nie tylko wywołały globalne epidemie, ale również trwale zmieniły krajobraz złośliwych programów. Każdy z nich wyznaczył nowe standardy twórcom wirusów.  Obecnie wszystkie nowe zagrożenia zawierają właściwości robaków Lovesan, Sobig, Swen czy Sober. Dlatego, aby zrozumieć, czym zajmują się obecnie twórcy wirusów i móc przewidzieć, co przyniesie przyszłość, należy dokładnie zanalizować tę 'czwórkę' robaków.

Lovesan

Lovesan pojawił się w sierpniu 2003 i w ciągu zaledwie kilku dni zdołał zainfekować miliony komputerów na całym świecie. Ten robak internetowy rozprzestrzeniał się wykorzystując krytyczną lukę w systemie MS Windows. Rozprzestrzeniał się bezpośrednio przez Internet, przenosząc się z komputera na komputer, ignorując popularne wtedy metody, jak IRC, P2P oraz wiadomości e-mail. Po raz pierwszy zastosował tę metodę rozprzestrzeniania robak Morris w 1988 r. Minęło więc 15 lat, zanim wykorzystał ją inny twórca wirusów.

Wykorzystując lukę w MS Windows Lovesan poszedł w ślady Slammera. Jednak, Slammer, który zaatakował w styczniu 2003 r. infekując około pół miliona komputerów, nie uzyskał tak imponujących wyników jak Lovesan.

Slammer był również pierwszym klasycznym robakiem bezplikowym - niewątpliwe osiągnięcie twórcy, ponieważ napisanie takiego robaka wymaga dużych umiejętności programistycznych. W marcu 2004 r. pojawił się robak Witty. Był to jedyny od czasu Slamera w miarę 'skuteczny' robak bezplikowy.
Lovesan zapoczątkował kolejny trend - częścią dodatkowej funkcji robaka było przeprowadzanie ataków DoS na stronach korporacyjnych. Gdyby atak Lovesana na Microsoft udał się, miliony użytkowników na całym świecie nie mogłoby pobrać łat, mających chronić ich komputery przed tym robakiem. Na szczęście, atak DoS nie powiódł się. Microsoft przebudował jednak architekturę swojego serwera sieci.

Podsumowując, Lovesan wyznaczył następujące trendy:

  • wykorzystywanie krytycznych luk w MS Windows,
  •  rozprzestrzenianie przez Internet poprzez bezpośrednie łączenie się z atakowanymi komputerami,
  •  próby przeprowadzania ataków DoS i DDoS na duże serwisy WWW.

Sobig.f 


W sierpniu 2003 r. Sobig.f poszedł w ślady robaka Lovesan i spowodował pierwszą poważną epidemię robaków dwudziestego pierwszego wieku. W czasie największego natężenia epidemii jedna na dziesięć wiadomości była zainfekowana przez tego robaka. Ruch pocztowy zwiększył się dziesięciokrotnie. Tworzyły go również miliony wiadomości przesyłanych przez programy antywirusowe informujące nadawców o wykryciu w wiadomościach złośliwych programów, które należy usunąć.

Sobig.f nie wykorzystywał żadnych luk. Atrybuty wiadomości (temat wiadomości itd.) również nie wyróżniały się niczym szczególnym. Jednak, robak zawierał dodatkową funkcję - backdoora, który sprawił, że eksperci z branży antywirusowej z niepokojem oczekiwali dnia 22 sierpnia. W tym dniu wszystkie kontrolowane przez robaka maszyny zombie miały otrzymać tajemnicze polecenie. Na szczęście, serwer, z którego polecenie miało zostać uruchomione, został na czas zamknięty. Sobig.f, który wciąż należy do najpopularniejszych na świecie wirusów, nie przestał jednak nękać społeczności internetowej.
Klasyczne robaki wypuszczane na wolność z kilku komputerów nie są w stanie wywołać epidemii na szeroką skalę. Robaki te osiągają szczyt aktywności po tygodniach, a nawet miesiącach. Sobig.f nie był wyjątkiem od reguły: wykorzystał komputery zainfekowane przez poprzednie wersje. W styczniu 2003 r. pojawił się Sobig.a, a w ślad za nim kilka modyfikacji, które systematycznie, komputer po komputerze, tworzyły sieć zainfekowanych komputerów. Gdy sieć przybrała krytyczne rozmiary, nastąpił atak robaka Sobig.f.

W 2004 r. Sobig.f zapoczątkował falę epidemii przeprowadzanych na szeroką skalę przez robaki internetowe. Trend ten utrzymywał się do momentu wykrycia nowej techniki. Do świata złośliwych programów Sobig wniósł dwie innowacyjne techniki:
· tworzenie sieci zainfekowanych komputerów służących jako platformy dla przeprowadzania epidemii,
· masowe rozsyłanie złośliwych programów przy użyciu technik spamerskich.

Swen

Przenieśmy się teraz w czasie do dnia 18 września 2003 r. Wczesnym rankiem do firmy Kaspersky Lab nadeszła próbka z Nowej Zelandii. Robak wyglądał interesująco, nikt jednak nie przewidywał epidemii. 6 godzin później użytkownicy zainfekowanych komputerów na całym świecie wołali o pomoc. Do wojny przystąpił nowy niebezpieczny wirus!

Na pierwszy rzut oka Swen wydawał się kolejnym robakiem stosującym standardowe metody rozprzestrzeniania - wiadomości e-mail, IRC i sieci P2P. Tym, co wyróżniało robaka z tłumu, była nadzwyczaj skuteczna socjotechnika. Robak pojawił się pod przykrywką łaty wydanej przez Microsoft, mającej rzekomo zabezpieczyć wszystkie luki. Wiadomość zawierała logo firmy, odsyłacze do rzeczywistych zasobów Microsoftu oraz bardzo przekonujący tekst. Odbiorcy, którzy mieli świeżo w pamięci przerażające skutki epidemii robaków Lovesan i Sobig oraz przekonali się, jak ważne jest łatanie, posłusznie klikali odsyłacz. Wiadomość była tak przekonująca, że wśród nieświadomych użytkowników, którzy uruchomili robaka, znalazło się wielu doświadczonych specjalistów.

Epidemia nie była tak poważna jak te wywołane robakami Lovesan i Sobig (do rozprzestrzenienia Swena użyto jedynie 350 serwerów). Swen udowodnił jednak, że socjotechnika jest skuteczna, szczególnie gdy jest właściwie stosowana.

Sober

Sober zamyka listę najbardziej interesujących robaków 2003 r. Chociaż bazował na robaku Sobig, posiadał jednak kilka innowacyjnych funkcji. Zainfekowane wiadomości pisane były w wielu językach, w zależności od adresu IP użytkownika. Robak ten wykorzystywał również socjotechnikę podszywając się pod narzędzie usuwające Sobiga.

2004

Rok 2004 przyniósł wiele nowych i oryginalnych złośliwych programów. Niektóre z nich zawierały technologie znane już w poprzednim roku. Jednak, wiele nowych funkcji oraz wirusów typu proof-of-concept (tworzonych wyłącznie w celu zademonstrowania nowych technologii) świadczyło o tym, że podziemie komputerowe wciąż się rozwija.

Styczeń 2004

W pierwszym tygodniu nowego roku pojawił się nowy trojański serwer proxy, Mitglieder. Tysiące użytkowników ICQ otrzymało wiadomości z zaproszeniem do odwiedzenia określonej strony. Ci, którzy kliknęli odsyłacz musieli później szukać pomocy u producentów programów antywirusowych. Strona zawierała trojana, który wykorzystując lukę w MS IE bez wiedzy użytkownika instalował i uruchamiał serwer proxy na jego komputerze. Trojan otwierał port umożliwiając zdalnemu użytkownikowi wysyłanie i otrzymywanie wiadomości e-mai przy pomocy zainfekowanego komputera. Komputery te zostały zmienione w zombie rozsiewające spam. Twórcy wirusów szybko przejęli dwie nowe techniki wprowadzone przez Mitgliedera:

  • masowe rozsyłanie wiadomości zawierających odsyłacze do zainfekowanych stron przez pocztę elektroniczną lub ICQ,
  • trojańskie serwery proxy stały się oddzielną klasą złośliwych programów ściśle związanych ze spamerami

Mitglieder stworzył również sieć komputerów zombie - jednak świat dowiedział się o tym dopiero przy okazji ataku robaka Bagle.
Wydaje się, że robaka Bagle stworzyła ta sama grupa, co Mitgliedera. Bagle instalował trojański serwer proxy lub ściągał go z Internetu. W obu przypadkach, robak ten był ulepszoną wersją Mitgliedera posiadającą zdolność rozprzestrzeniania się za pomocą poczty. Poza tym, Bagle rozsyłany był z komputerów zainfekowanych Mitgliedrem.

Na koniec najpoważniejsza epidemia w historii komputerów: robak Mydoom.a. Do rozprzestrzeniania robak wykorzystywał sieć zainfekowanych wcześniej komputerów zombie (podobnie jak Sobig); w sprytny sposób stosował metody socjotechniki (podobnie jak Swen), zawierał skuteczną funkcję backdoor i został zaprogramowany do przeprowadzenia ataku DoS na stronach korporacyjnych (podobnie jak Lovesan).

Dzięki połączeniu funkcji trzech bardzo skutecznych robaków Mydoom.a pobił wszelkie rekordy. Wygenerował większy ruch pocztowy niż dotychczasowy lider Sobig.f; zainfekował miliony komputerów na całym świecie otwierając porty na dostęp z zewnątrz oraz powodując załamanie stron SCO.
W celu wywołania największej w historii wirusologii komputerowej epidemii Mydoom.a nie tyko skutecznie wykorzystał techniki swoich poprzedników, ale również wprowadził pewne innowacje. Backdoora instalowanego przez Mydooma wykorzystali inni twórcy złośliwych programów. Wkrótce pojawiły się nowe wirusy wyszukujące element backdoora Mydooma. Większość z nich przenikała komputery przez backdoory, usuwała Mydooma i instalowała się w jego miejsce. Niektórzy z tych naśladowców wywołali lokalne epidemie i zmusili lokalne segmenty sieci komputerów zombie stworzonej przez Mydooma, aby słuchały ich zamiast pierwotnego robaka.
Tym samym rozpowszechniła się kolejna technika:

  • wykorzystywanie luk stworzonych przez inne wirusy.
reklama

Narzędzia przedsiębiorcy

POLECANE

Dotacje dla firm

reklama

Ostatnio na forum

Fundusze unijne

Pomysł na biznes

Eksperci portalu infor.pl

Finesia Consulting Sp. z o.o.

Usługi księgowe i kadrowo-płacowe

Zostań ekspertem portalu Infor.pl »