REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Biznes » e-Firma » Programy dla firm » Robaki wyłażą z maili

Robaki wyłażą z maili

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
30 lipca 2008, 12:34
Kaspersky Lab Polska

REKLAMA

REKLAMA

Poczta elektroniczna uważana jest za jeden z najpopularniejszych wektorów infekcji. Oprócz szkodliwych programów załączanych do wiadomości poczta elektroniczna wiąże się również z innymi zagrożeniami, takimi jak phishing oraz wiadomości zawierające odsyłacze do zainfekowanych stron internetowych. Zagrożeniem jest również spam, który wykorzystuje metody socjotechniki w celu nakłonienia użytkowników do wykonania określonych działań.

Główni "eksporterzy" szkodliwego oprogramowania wysyłanego mailami

REKLAMA

REKLAMA


Warto zacząć od przeglądu państw, z których pochodzą zainfekowane wiadomości. Poniższy diagram pokazuje państwa ułożone według ilości szkodliwych plików wysyłanych z serwerów zlokalizowanych w określonym położeniu geograficznym.

 

REKLAMA

Państwa stanowiące źródła zainfekowanych e-maili

Dalszy ciąg materiału pod wideo


W pierwszej piątce znajdują się Stany Zjednoczone, Niemcy, Szwecja, Hiszpania oraz Malezja. Należy pamiętać, że zainfekowane wiadomości e-mail mogą pozostać w obrębie kraju, z którego zostały wysłane. Dlatego nie można powiedzieć, że liderzy rankingu stanowią takie samo zagrożenie dla reszty świata jak dla użytkowników mieszkających w państwach, z których zostały wysłane.


Szkodliwe programy rozprzestrzeniane za pośrednictwem poczty elektronicznej

 

Szkodliwy ruch pocztowy: rozkład szkodliwych programów według zachowania


Kaspersky Anti-Virus jest zainstalowany na serwerach pocztowych na całym świecie. Powyższy diagram pokazuje 10 najczęstszych werdyktów wydawanych przez rozwiązanie, wskazując najbardziej rozpowszechnione szkodliwe zachowania programów rozprzestrzenianych za pośrednictwem poczty elektronicznej. Te dziesięć zachowań stanowi przeważającą większość szkodliwych programów wykrywanych w ruchu pocztowym, pozostałe zachowania stanowią 1% całkowitej liczby zainfekowanych załączników.


Zachowania z pierwszej dziesiątki zostały szczegółowo zbadane w dalszej części tekstu.


Robaki pocztowe


Robaki pocztowe stanowią ponad połowę wszystkich szkodliwych programów rozprzestrzenianych za pośrednictwem poczty elektronicznej (55%). Ich czołowa pozycja jest uzasadniona: robaki nie tylko są rozsyłane w masowych wysyłkach przez cyberprzestępców, ale potrafią również samodzielnie się rozprzestrzeniać.


Zgodnie z systemem klasyfikacji firmy Kaspersky Lab, programy, które oprócz funkcjonalności robaka pocztowego posiadają jeszcze dodatkową funkcjonalność, takie jak robak sieciowy czy robak, postrzegane są jako większe zagrożenie. W takich przypadkach, rozprzestrzenianie za pośrednictwem poczty elektronicznej jest dodatkową funkcją. W rezultacie, przedstawiciele zachowań robak sieciowy (6%) i robak (0,56%) wykryci w ruchu pocztowym mogą być uważani za samodzielnie rozprzestrzeniające się programy. To oznacza w rzeczywistości, że odsetek szkodliwych programów z funkcjonalnością robaka pocztowego jest wyższy niż 55 %. Wśród programów rozprzestrzeniających się za pomocą poczty elektronicznej, ponad 61% to programy, które potrafią się samodzielnie rozprzestrzeniać.


W 2007 roku ogólny trend rozprzestrzeniania się robaków pocztowych charakteryzował się gwałtownymi wzrostami i spadkami liczby tych szkodników. Poniższy wykres pokazuje liczbę szkodliwych programów wykazujących zachowanie robaka pocztowego.

 

Liczba nowych szkodliwych programów wykazujących zachowanie robak pocztowy


Trzy wzniesienia na wykresie wskazują wzmożoną aktywność autorów robaka Email-Worm.Win32.Zhelatin. Robak ten, znany również jako Storm Worm, w 2007 roku został liderem wśród robaków ze względu na liczbę wariantów nowych szkodliwych plików.

 

 Rozkład robaków pocztowych według rodziny

 


Zhelatin (Storm Worm)


Aby mieć pewność, że ich twór zdoła przetrwać, autorzy Zhelatina zastosowali nową strategię. Wygląda na to, że cyberprzestępcy stworzyli linię produkcyjną szkodliwego kodu, która pozwoliła im wypuszczać nowe wersje szkodnika szybciej niż firmy publikowały aktualizacje antywirusowych baz danych. Nowe szkodliwe programy powstające na linii produkcyjnej testowane były na programie antywirusowym. Próbki, które zostały wykryte przez program, były odrzucane jako wadliwe, a te, którym udało się przejść test, były automatycznie kopiowane na kilka specjalnych serwerów sieciowych w Internecie wykorzystywanych do rozprzestrzeniania nowych wersji programu


Zhelatin stał się czymś w rodzaju punktu odniesienia w ewolucji szkodliwych programów. Jego autorzy zaimplementowali wszystkie swoje osiągnięcia z ostatnich lat. Od samego początku celem Zhelatina było zbieranie adresów e-mail z zaatakowanych komputerów oraz wysyłanie ich do Internetu (adresy te były następnie odsprzedawane spamerom). Później twórcy wirusów wykorzystywali uaktualnioną wersję Zhelatina do stworzenia sieci komputerów zombie (botnet). Tego rodzaju botnety są w pewnym sensie unikatowe. Są to sieci zombie peer-to-peer, w których komputery zombie łączą się z centrum kontroli i dowodzenia, tylko jeśli jest dostępne. Jeśli serwer taki nie zostanie znaleziony lub w danym momencie nie będzie działał, maszyny zombie mogą połączyć się ze sobą, przekazując dane dalej. Każdy komputer zombie posiada krótką listę najbliższych sąsiadów, z którymi się komunikuje. Twórcy szkodnika nie wyposażyli robaka w żadną funkcję szkodliwą, ale spowodowali, że był on niewidoczny dla użytkownika dzięki wykorzystaniu w szkodliwym programie technologii rootkit.


Rok przed pojawieniem się robaka Storm przewidywaliśmy powstanie linii produkcyjnej szkodliwego kodu. Ze względu na potencjalne ryzyko nie rozgłaszaliśmy naszych przypuszczeń, ale jednocześnie szykowaliśmy się na odparcie zagrożenia. Głównym problemem jest szkodliwy kod wykorzystywany do tworzenia nowych wersji szkodliwego programu. Nie posiadamy fizycznego dostępu do tego kodu, co oznacza, że nie możemy go przeanalizować i stworzyć programu, który mógłby go wykrywać, tak jak zwykle czynimy w przypadku wirusów polimorficznych. Stanowiło to problem jeszcze na długo przed tym, zanim pojawił się Email-Worm.Win32.Zhelatin.


Należy zauważyć, że Zhelatin nie był pierwszym szkodnikiem, który stosował takie podejście. W zeszłym roku od września do października aktywnie rozprzestrzeniał się bardzo podobny do niego Email-Worm.Win32.Warezov. W niektóre dni wykrywaliśmy dziesiątki nowych wariantów tego robaka. Stało się jasne, że nastała nowa era. W 2007 roku za wzrost liczby nowych rodzin szkodliwych programów z funkcjonalnością robaka pocztowego odpowiedzialne były głównie robaki Warezov i Zhelatin. Widać to na poniższym wykresie.

 

Liczba nowych robaków pocztowych: Warezov i Zhelatin


Jak widać na wykresie, linia przedstawiająca liczbę nowych plików Zhelatina i Warezova jest praktycznie taka sama jak linia obrazująca liczbę nowych programów typu robak pocztowy.


Sytuacja robaków pocztowych jest dość jasna: takie programy istnieją i nic nie wskazuje na to, że w najbliższej przyszłości znikną, mimo że nie ma również żadnym podstaw, aby przewidywać nagły wzrost ich liczby. Takie wzrosty, jak widać na powyższym wykresie, występują spontanicznie.


Szkodliwe programy wykazujące inne zachowania


Drugie miejsce na liście najbardziej rozpowszechnionych zachowań zajmuje trojan downloader (15%). Są to uniwersalne downoadery stworzone w celu pobierania z Internetu dowolnego szkodliwego kodu. Masowe rozsyłanie trojanów downloaderów zamiast określonego szkodliwego programu zwiększa szanse twórców wirusów na znalezienie podatnej na infekcje maszyny. Trojan downloader zaczyna od wyłączenia ochrony antywirusowej, a następnie pobiera za pośrednictwem Internetu inny szkodliwy program i uruchamia go na zaatakowanej maszynie.

Jeśli trojanowi downloaderowi uda się wyłączyć ochronę antywirusową na zaatakowanym komputerze, będzie mógł pobrać dowolny program, łącznie z tymi dobrze znanymi, które potrafi wykrywać każdy program antywirusowy. Tak więc twórcy szkodliwego kodu nie muszą tworzyć nowych wersji konkretnego szkodliwego programu; zamiast tego mogą wykorzystać istniejący już kod oraz prostego trojana downloadera. Rozwijanie takich programów wymaga minimalnego wysiłku, stąd ich duża popularność.


Tuż za trojanem downloaderem znajduje się trojan szpiegujący (13%). Programy te powstają w celu umożliwienia kradzieży poufnych informacji. Cyberprzestępcy kradną zarówno informacje z komputerów korporacyjnych w celu uzyskania dostępu do sieci korporacyjnych, jak i z komputerów osobistych, wykorzystując je następnie do prywatnych celów.


Kolejne zachowania znajdują się daleko za liderami i każde z nich stanowi 3% szkodliwego kodu w ruchu pocztowym.


Trojan dropper. Programy reprezentujące to zachowanie są podobne do trojanów downloaderów; ich celem jest instalowanie szkodliwych programów na zaatakowanej maszynie. Jedyną różnicą jest metoda wykorzystywana do dostarczania szkodliwego programu: trojany droppery przenoszą inne szkodliwe programy wewnątrz siebie, podczas gdy trojany downloadery (jak wskazuje ich nazwa) pobierają je z Internetu. Z danych statystycznych wynika, że cyberprzestępcy wolą wykorzystywać trojany downloadery, które umożliwiają uaktualnianie szkodliwego kodu umieszczanego online.


Exploit. Co ciekawe zachowanie to dość rzadko występuje w ruchu pocztowym, a wiadomości zawierające taki kod zazwyczaj wysyłane są podczas ukierunkowanych ataków hakerskich. Ze względu na to, że coraz mniej użytkowników uruchamia pliki wykonywalne z załączników, exploity zyskują obecnie coraz większą popularność. Exploity są wykorzystywane przez cyberprzestępców w celu uruchomienia kodu na komputerze użytkownika w momencie otwierania przez niego załącznika. Użytkownik nie musi zapisywać pliku wykonywalnego i uruchamiać go z dysku; wszystko następuje automatycznie, bez jego wiedzy czy zgody. Przewidujemy, że w przyszłości udział eksploitów w szkodliwym ruchu pocztowym zwiększy się, a za kilka lat będą na czołowej pozycji wśród szkodliwych programów rozprzestrzenianych za pośrednictwem poczty elektronicznej.


Zaskakująca jest obecność w pierwszej dziesiątce plików exe chronionych hasłem. Taki werdykt nie oznacza, że plik sam w sobie jest szkodliwy. Program antywirusowy wydaje taki werdykt, aby ostrzec użytkownika przed potencjalnym zagrożeniem. Plik exe chroniony hasłem oznacza samorozpakowujące się archiwa z hasłem. Aby uruchomić taki program, użytkownik musi wprowadzić hasło, tak aby program mógł rozpakować jeden lub więcej plików w celu ich wykonania. Wiele szkodliwych programów jest rozprzestrzenianych w takich samorozpakowujących się archiwach wraz z hasłem podanym w treści wiadomości. Uniemożliwia to rozpakowanie archiwów i wykrycie zawartego w nich szkodliwego oprogramowania przez programy antywirusowe, które skanują ruch pocztowy.


Pierwszą dziesiątkę zamykają programy z klasy TrojWare (1,51%) oraz VirWare (1,15%). TrojWare obejmuje szereg różnych programów trojańskich reprezentujących zachowanie, które nie może zostać skategoryzowane do innej klasy. W rezultacie, nie są one szczególnie interesujące. Pliki wykazujące zachowanie wirusa to zwykle pliki, które zostają zainfekowane na zaatakowanym komputerze. To oznacza, że są one rozsyłane przez użytkownika, który nie jest świadomy tego, że wysyła zainfekowane pliki.


Najbardziej rozpowszechnione rodziny w zainfekowanym ruchu pocztowym

Poniższy diagram pokazuje rozkład 10 najbardziej rozpowszechnionych szkodliwych programów według rodziny (zachowanie nie jest tutaj brane pod uwagę).

 

Rozkład szkodliwych programów w ruchu pocztowym według rodziny


Mimo że w 2007 roku Zhelatin był niekwestionowanym liderem pod względem liczby wariantów szkodliwych plików, nie zmieścił się w pierwszej dziesiątce w rankingu opartym na całkowitej liczbie plików w ruchu pocztowym. Liderem jest tutaj weteran - Worm.Win32.Netsky. Za nim znajdują się wysyłki oszukańczych wiadomości, rzekomo wysyłane przez banki, które klasyfikujemy jako Trojan-Spy.HTML.Bankfraud.


Z dwóch robaków pocztowych, które spowodowały największe zamieszanie w tym roku, Zhelatina i Warezova, tylko Worm.Win32.Warezov znalazł się na liście, i to dopiero na piątym miejscu.


Zhelatin nie był w stanie pobić Warezova. Autorzy Zhelatina prawdopodobnie nie chcieli, aby ich program dominował w zainfekowanym ruchu pocztowym. Jednak ich implementację funkcji robaka pocztowego nie można zaliczyć do udanych, jeśli porównamy ją z innymi funkcjami tego szkodliwego programu.


Wnioski


Na zakończenie należy podkreślić kilka punktów.


Po pierwsze, w 2006 roku zmieniło się podejście do tworzenia szkodliwego kodu. Cyberprzestępcy zaczęli rozwijać programy, które w określonych odstępach czasu potrafiły automatycznie tworzyć szkodliwy kod. Mimo że nie przewidywaliśmy, że taka linia produkcyjna będzie działała tak długo, tak się stało, a mechanizm używany do tworzenia nowych wariantów Warezova nadal działa. W 2007 roku pojawił się następca Warezova - Zhelatin. Program ten został rozwinięty w podobny sposób. Jednak epidemie spowodowane tymi dwoma robakami słabną, co oznacza, że firmy antywirusowe znalazły sposób na zneutralizowanie takiej szkodliwej działalności.


Kolejną istotną zmianą jest wzrost zainteresowania aktywnym wykorzystywaniem kodu exploitów. Udział exploitów rozprzestrzenianych za pośrednictwem poczty elektronicznej rośnie; jest to niepokojące zjawisko, ponieważ powszechne wykorzystanie takiego kodu stanowi zagrożenie dla wszystkich użytkowników. Kod ten może być wykorzystany zarówno przez początkujących, jak i bardziej zaawansowanych szkodliwych użytkowników w celu infekowania atakowanych maszyn.


Ogólnie poziom zainteresowania wykorzystywaniem poczty elektronicznej jako wektora infekcji spada. Spowodowane jest to rosnącą liczbą nowych usług internetowych. Szkodliwe programy częściej wypuszczane są w "bezkres" Internetu niż do wąskich kanałów ruchu pocztowego. Nie oznacza to jednak, że możemy zapomnieć o szkodliwych programach rozprzestrzeniających się za pośrednictwem poczty elektronicznej. Jeśli stracimy czujność chociaż na chwilę, możemy przeoczyć zmianę trendów krytycznych w walce ze szkodliwym kodem.

Źródło: INFOR
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Moja firma
Rejestracja polskiej spółki do VAT w Czechach – kiedy jest konieczna
13 sty 2026

Wielu przedsiębiorców błędnie zakłada, że skoro firma jest zarejestrowana w Polsce i posiada polski VAT UE, to może swobodnie rozliczać transakcje w innych krajach. W rzeczywistości czeskie przepisy bardzo precyzyjnie określają, kiedy zagraniczny podmiot musi dokonać lokalnej rejestracji VAT.
Ponad połowa firm ocenia swoją sytuację finansową pozytywnie. Oto sektory z największym optymizmem
12 sty 2026

W grudniu 2025 r. ponad połowa przedsiębiorstw oceniła swoją sytuację finansową jako dobrą lub bardzo dobrą - wynika z badania przeprowadzonego przez Polski Instytut Ekonomiczny (PIE). Zdaniem 43 proc. przedsiębiorstw ich kondycja w 2026 r. będzie dobra lub bardzo dobra.
Wysokie koszty pracy główną barierą dla firm w 2025 r. GUS wskazuje sektory najbardziej dotknięte problemem
12 sty 2026

Wysokie koszty zatrudnienia były w 2025 r. najczęściej wskazywaną barierą w prowadzeniu działalności gospodarczej – wynika z badania koniunktury gospodarczej opublikowanego w poniedziałek przez GUS. Problem ten szczególnie dotyczył przedsiębiorstw z sektora budownictwa, zakwaterowania i gastronomii.
Koszty pracy najtrudniejsze w prowadzeniu firm w 2025 r. [GUS]
12 sty 2026

Najtrudniejsze w prowadzeniu firm w 2025 r. okazują się wysokie koszty pracy. Takie dane podał Główny Urząd Statystyczny. Negatywne nastroje dominowały w budownictwie, handlu hurtowym i detalicznym oraz w przetwórstwie przemysłowym.

REKLAMA

Public affairs strategicznym narzędziem zarządzania wpływem i budowania odporności biznesowej
08 sty 2026

Jeszcze niedawno o sile przedsiębiorstw decydowały przede wszystkim przychody, tempo wzrostu i udział w rynku. Dziś coraz częściej o ich rozwoju przesądzają czynniki zewnętrzne: regulacje, oczekiwania społeczne i presja interesariuszy. W tej rzeczywistości strategicznym narzędziem zarządzania wpływem i budowania odporności biznesowej staje się public affairs (PA).
Od 1 lutego 2026 rząd zmienia zasady w Polsce. Nowe obowiązki i kary bez okresu ostrzegawczego
11 sty 2026

Polscy przedsiębiorcy stoją u progu największej zmiany w fakturowaniu od lat. Krajowy System e-Faktur, czyli KSeF, wchodzi w życie etapami już w 2026 roku. Dla największych firm obowiązek zacznie się 1 lutego 2026 roku, a dla pozostałych podatników VAT od 1 kwietnia 2026 roku. Oznacza to koniec tradycyjnych faktur i przejście na obowiązkowe faktury ustrukturyzowane oraz cyfrowy obieg dokumentów.
Ceny metali nadal wysokie w 2026 r.: złoto, srebro, miedź. Co z ceną ropy naftowej?
08 sty 2026

Ceny metali takich jak złoto, srebro czy miedź nadal będą wysokie w 2026 r. Jak będzie kształtowała się cena ropy naftowej w najbliższym czasie?
Dlaczego polscy przedsiębiorcy kupują auta w Czechach?
08 sty 2026

Zakup samochodu to dla przedsiębiorcy nie tylko kwestia komfortu, ale również decyzja biznesowa, podatkowa i operacyjna. Od kilku lat wyraźnie widać rosnące zainteresowanie polskich firm rynkiem motoryzacyjnym w Czechach. Dotyczy to zarówno samochodów nowych, jak i używanych – w szczególności aut klasy premium, flotowych oraz pojazdów wykorzystywanych w działalności gospodarczej.

REKLAMA

Kontrole w 2026 roku? Jest limit – po tylu dniach możesz pokazać urzędnikom drzwi. NSA potwierdził
07 sty 2026

Nowy rok, nowe kontrole? W 2026 r. masz prawo je ukrócić! Świeży wyrok NSA z października 2025 potwierdza: kontrola może trwać tylko określoną liczbę dni roboczych – potem masz pełne prawo urzędnikom powiedzieć: STOP! Co ważne, 1 stycznia licznik się wyzerował. Sprawdź, ile dni kontroli "przysługuje" Twojej firmie w tym roku.
Ostrzeżenie hodowców zwierząt: istnieje prawny obowiązek poinformowania o podejrzeniu chorób zakaźnych u zwierząt np. wirus HPAI
07 sty 2026

MRiRW ostrzega hodowców zwierząt: istnieje prawny obowiązek poinformowania o podejrzeniu chorób zakaźnych u zwierząt np. wirusa HPAI. Podtyp H5N1 został wykryty na fermie drobiu w Żaganiu. Jakie moją być konsekwencje braku powiadomienia Inspekcji Weterynaryjnej lub innych odpowiednich organów?
Zapisz się na newsletter
Zakładasz firmę? A może ją rozwijasz? Chcesz jak najbardziej efektywnie prowadzić swój biznes? Z naszym newsletterem będziesz zawsze na bieżąco.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA