REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Biznes » e-Firma » Programy dla firm » Robaki wyłażą z maili

Robaki wyłażą z maili

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
30 lipca 2008, 12:34
Kaspersky Lab Polska

REKLAMA

REKLAMA

Poczta elektroniczna uważana jest za jeden z najpopularniejszych wektorów infekcji. Oprócz szkodliwych programów załączanych do wiadomości poczta elektroniczna wiąże się również z innymi zagrożeniami, takimi jak phishing oraz wiadomości zawierające odsyłacze do zainfekowanych stron internetowych. Zagrożeniem jest również spam, który wykorzystuje metody socjotechniki w celu nakłonienia użytkowników do wykonania określonych działań.

Główni "eksporterzy" szkodliwego oprogramowania wysyłanego mailami

REKLAMA


Warto zacząć od przeglądu państw, z których pochodzą zainfekowane wiadomości. Poniższy diagram pokazuje państwa ułożone według ilości szkodliwych plików wysyłanych z serwerów zlokalizowanych w określonym położeniu geograficznym.

 

Państwa stanowiące źródła zainfekowanych e-maili

Dalszy ciąg materiału pod wideo


W pierwszej piątce znajdują się Stany Zjednoczone, Niemcy, Szwecja, Hiszpania oraz Malezja. Należy pamiętać, że zainfekowane wiadomości e-mail mogą pozostać w obrębie kraju, z którego zostały wysłane. Dlatego nie można powiedzieć, że liderzy rankingu stanowią takie samo zagrożenie dla reszty świata jak dla użytkowników mieszkających w państwach, z których zostały wysłane.


Szkodliwe programy rozprzestrzeniane za pośrednictwem poczty elektronicznej

 

Szkodliwy ruch pocztowy: rozkład szkodliwych programów według zachowania


Kaspersky Anti-Virus jest zainstalowany na serwerach pocztowych na całym świecie. Powyższy diagram pokazuje 10 najczęstszych werdyktów wydawanych przez rozwiązanie, wskazując najbardziej rozpowszechnione szkodliwe zachowania programów rozprzestrzenianych za pośrednictwem poczty elektronicznej. Te dziesięć zachowań stanowi przeważającą większość szkodliwych programów wykrywanych w ruchu pocztowym, pozostałe zachowania stanowią 1% całkowitej liczby zainfekowanych załączników.


Zachowania z pierwszej dziesiątki zostały szczegółowo zbadane w dalszej części tekstu.


Robaki pocztowe

REKLAMA


Robaki pocztowe stanowią ponad połowę wszystkich szkodliwych programów rozprzestrzenianych za pośrednictwem poczty elektronicznej (55%). Ich czołowa pozycja jest uzasadniona: robaki nie tylko są rozsyłane w masowych wysyłkach przez cyberprzestępców, ale potrafią również samodzielnie się rozprzestrzeniać.


Zgodnie z systemem klasyfikacji firmy Kaspersky Lab, programy, które oprócz funkcjonalności robaka pocztowego posiadają jeszcze dodatkową funkcjonalność, takie jak robak sieciowy czy robak, postrzegane są jako większe zagrożenie. W takich przypadkach, rozprzestrzenianie za pośrednictwem poczty elektronicznej jest dodatkową funkcją. W rezultacie, przedstawiciele zachowań robak sieciowy (6%) i robak (0,56%) wykryci w ruchu pocztowym mogą być uważani za samodzielnie rozprzestrzeniające się programy. To oznacza w rzeczywistości, że odsetek szkodliwych programów z funkcjonalnością robaka pocztowego jest wyższy niż 55 %. Wśród programów rozprzestrzeniających się za pomocą poczty elektronicznej, ponad 61% to programy, które potrafią się samodzielnie rozprzestrzeniać.


W 2007 roku ogólny trend rozprzestrzeniania się robaków pocztowych charakteryzował się gwałtownymi wzrostami i spadkami liczby tych szkodników. Poniższy wykres pokazuje liczbę szkodliwych programów wykazujących zachowanie robaka pocztowego.

 

Liczba nowych szkodliwych programów wykazujących zachowanie robak pocztowy


Trzy wzniesienia na wykresie wskazują wzmożoną aktywność autorów robaka Email-Worm.Win32.Zhelatin. Robak ten, znany również jako Storm Worm, w 2007 roku został liderem wśród robaków ze względu na liczbę wariantów nowych szkodliwych plików.

 

 Rozkład robaków pocztowych według rodziny

 


Zhelatin (Storm Worm)

REKLAMA


Aby mieć pewność, że ich twór zdoła przetrwać, autorzy Zhelatina zastosowali nową strategię. Wygląda na to, że cyberprzestępcy stworzyli linię produkcyjną szkodliwego kodu, która pozwoliła im wypuszczać nowe wersje szkodnika szybciej niż firmy publikowały aktualizacje antywirusowych baz danych. Nowe szkodliwe programy powstające na linii produkcyjnej testowane były na programie antywirusowym. Próbki, które zostały wykryte przez program, były odrzucane jako wadliwe, a te, którym udało się przejść test, były automatycznie kopiowane na kilka specjalnych serwerów sieciowych w Internecie wykorzystywanych do rozprzestrzeniania nowych wersji programu


Zhelatin stał się czymś w rodzaju punktu odniesienia w ewolucji szkodliwych programów. Jego autorzy zaimplementowali wszystkie swoje osiągnięcia z ostatnich lat. Od samego początku celem Zhelatina było zbieranie adresów e-mail z zaatakowanych komputerów oraz wysyłanie ich do Internetu (adresy te były następnie odsprzedawane spamerom). Później twórcy wirusów wykorzystywali uaktualnioną wersję Zhelatina do stworzenia sieci komputerów zombie (botnet). Tego rodzaju botnety są w pewnym sensie unikatowe. Są to sieci zombie peer-to-peer, w których komputery zombie łączą się z centrum kontroli i dowodzenia, tylko jeśli jest dostępne. Jeśli serwer taki nie zostanie znaleziony lub w danym momencie nie będzie działał, maszyny zombie mogą połączyć się ze sobą, przekazując dane dalej. Każdy komputer zombie posiada krótką listę najbliższych sąsiadów, z którymi się komunikuje. Twórcy szkodnika nie wyposażyli robaka w żadną funkcję szkodliwą, ale spowodowali, że był on niewidoczny dla użytkownika dzięki wykorzystaniu w szkodliwym programie technologii rootkit.


Rok przed pojawieniem się robaka Storm przewidywaliśmy powstanie linii produkcyjnej szkodliwego kodu. Ze względu na potencjalne ryzyko nie rozgłaszaliśmy naszych przypuszczeń, ale jednocześnie szykowaliśmy się na odparcie zagrożenia. Głównym problemem jest szkodliwy kod wykorzystywany do tworzenia nowych wersji szkodliwego programu. Nie posiadamy fizycznego dostępu do tego kodu, co oznacza, że nie możemy go przeanalizować i stworzyć programu, który mógłby go wykrywać, tak jak zwykle czynimy w przypadku wirusów polimorficznych. Stanowiło to problem jeszcze na długo przed tym, zanim pojawił się Email-Worm.Win32.Zhelatin.


Należy zauważyć, że Zhelatin nie był pierwszym szkodnikiem, który stosował takie podejście. W zeszłym roku od września do października aktywnie rozprzestrzeniał się bardzo podobny do niego Email-Worm.Win32.Warezov. W niektóre dni wykrywaliśmy dziesiątki nowych wariantów tego robaka. Stało się jasne, że nastała nowa era. W 2007 roku za wzrost liczby nowych rodzin szkodliwych programów z funkcjonalnością robaka pocztowego odpowiedzialne były głównie robaki Warezov i Zhelatin. Widać to na poniższym wykresie.

 

Liczba nowych robaków pocztowych: Warezov i Zhelatin


Jak widać na wykresie, linia przedstawiająca liczbę nowych plików Zhelatina i Warezova jest praktycznie taka sama jak linia obrazująca liczbę nowych programów typu robak pocztowy.


Sytuacja robaków pocztowych jest dość jasna: takie programy istnieją i nic nie wskazuje na to, że w najbliższej przyszłości znikną, mimo że nie ma również żadnym podstaw, aby przewidywać nagły wzrost ich liczby. Takie wzrosty, jak widać na powyższym wykresie, występują spontanicznie.


Szkodliwe programy wykazujące inne zachowania


Drugie miejsce na liście najbardziej rozpowszechnionych zachowań zajmuje trojan downloader (15%). Są to uniwersalne downoadery stworzone w celu pobierania z Internetu dowolnego szkodliwego kodu. Masowe rozsyłanie trojanów downloaderów zamiast określonego szkodliwego programu zwiększa szanse twórców wirusów na znalezienie podatnej na infekcje maszyny. Trojan downloader zaczyna od wyłączenia ochrony antywirusowej, a następnie pobiera za pośrednictwem Internetu inny szkodliwy program i uruchamia go na zaatakowanej maszynie.

Jeśli trojanowi downloaderowi uda się wyłączyć ochronę antywirusową na zaatakowanym komputerze, będzie mógł pobrać dowolny program, łącznie z tymi dobrze znanymi, które potrafi wykrywać każdy program antywirusowy. Tak więc twórcy szkodliwego kodu nie muszą tworzyć nowych wersji konkretnego szkodliwego programu; zamiast tego mogą wykorzystać istniejący już kod oraz prostego trojana downloadera. Rozwijanie takich programów wymaga minimalnego wysiłku, stąd ich duża popularność.


Tuż za trojanem downloaderem znajduje się trojan szpiegujący (13%). Programy te powstają w celu umożliwienia kradzieży poufnych informacji. Cyberprzestępcy kradną zarówno informacje z komputerów korporacyjnych w celu uzyskania dostępu do sieci korporacyjnych, jak i z komputerów osobistych, wykorzystując je następnie do prywatnych celów.


Kolejne zachowania znajdują się daleko za liderami i każde z nich stanowi 3% szkodliwego kodu w ruchu pocztowym.


Trojan dropper. Programy reprezentujące to zachowanie są podobne do trojanów downloaderów; ich celem jest instalowanie szkodliwych programów na zaatakowanej maszynie. Jedyną różnicą jest metoda wykorzystywana do dostarczania szkodliwego programu: trojany droppery przenoszą inne szkodliwe programy wewnątrz siebie, podczas gdy trojany downloadery (jak wskazuje ich nazwa) pobierają je z Internetu. Z danych statystycznych wynika, że cyberprzestępcy wolą wykorzystywać trojany downloadery, które umożliwiają uaktualnianie szkodliwego kodu umieszczanego online.


Exploit. Co ciekawe zachowanie to dość rzadko występuje w ruchu pocztowym, a wiadomości zawierające taki kod zazwyczaj wysyłane są podczas ukierunkowanych ataków hakerskich. Ze względu na to, że coraz mniej użytkowników uruchamia pliki wykonywalne z załączników, exploity zyskują obecnie coraz większą popularność. Exploity są wykorzystywane przez cyberprzestępców w celu uruchomienia kodu na komputerze użytkownika w momencie otwierania przez niego załącznika. Użytkownik nie musi zapisywać pliku wykonywalnego i uruchamiać go z dysku; wszystko następuje automatycznie, bez jego wiedzy czy zgody. Przewidujemy, że w przyszłości udział eksploitów w szkodliwym ruchu pocztowym zwiększy się, a za kilka lat będą na czołowej pozycji wśród szkodliwych programów rozprzestrzenianych za pośrednictwem poczty elektronicznej.


Zaskakująca jest obecność w pierwszej dziesiątce plików exe chronionych hasłem. Taki werdykt nie oznacza, że plik sam w sobie jest szkodliwy. Program antywirusowy wydaje taki werdykt, aby ostrzec użytkownika przed potencjalnym zagrożeniem. Plik exe chroniony hasłem oznacza samorozpakowujące się archiwa z hasłem. Aby uruchomić taki program, użytkownik musi wprowadzić hasło, tak aby program mógł rozpakować jeden lub więcej plików w celu ich wykonania. Wiele szkodliwych programów jest rozprzestrzenianych w takich samorozpakowujących się archiwach wraz z hasłem podanym w treści wiadomości. Uniemożliwia to rozpakowanie archiwów i wykrycie zawartego w nich szkodliwego oprogramowania przez programy antywirusowe, które skanują ruch pocztowy.


Pierwszą dziesiątkę zamykają programy z klasy TrojWare (1,51%) oraz VirWare (1,15%). TrojWare obejmuje szereg różnych programów trojańskich reprezentujących zachowanie, które nie może zostać skategoryzowane do innej klasy. W rezultacie, nie są one szczególnie interesujące. Pliki wykazujące zachowanie wirusa to zwykle pliki, które zostają zainfekowane na zaatakowanym komputerze. To oznacza, że są one rozsyłane przez użytkownika, który nie jest świadomy tego, że wysyła zainfekowane pliki.


Najbardziej rozpowszechnione rodziny w zainfekowanym ruchu pocztowym

Poniższy diagram pokazuje rozkład 10 najbardziej rozpowszechnionych szkodliwych programów według rodziny (zachowanie nie jest tutaj brane pod uwagę).

 

Rozkład szkodliwych programów w ruchu pocztowym według rodziny


Mimo że w 2007 roku Zhelatin był niekwestionowanym liderem pod względem liczby wariantów szkodliwych plików, nie zmieścił się w pierwszej dziesiątce w rankingu opartym na całkowitej liczbie plików w ruchu pocztowym. Liderem jest tutaj weteran - Worm.Win32.Netsky. Za nim znajdują się wysyłki oszukańczych wiadomości, rzekomo wysyłane przez banki, które klasyfikujemy jako Trojan-Spy.HTML.Bankfraud.


Z dwóch robaków pocztowych, które spowodowały największe zamieszanie w tym roku, Zhelatina i Warezova, tylko Worm.Win32.Warezov znalazł się na liście, i to dopiero na piątym miejscu.


Zhelatin nie był w stanie pobić Warezova. Autorzy Zhelatina prawdopodobnie nie chcieli, aby ich program dominował w zainfekowanym ruchu pocztowym. Jednak ich implementację funkcji robaka pocztowego nie można zaliczyć do udanych, jeśli porównamy ją z innymi funkcjami tego szkodliwego programu.


Wnioski


Na zakończenie należy podkreślić kilka punktów.


Po pierwsze, w 2006 roku zmieniło się podejście do tworzenia szkodliwego kodu. Cyberprzestępcy zaczęli rozwijać programy, które w określonych odstępach czasu potrafiły automatycznie tworzyć szkodliwy kod. Mimo że nie przewidywaliśmy, że taka linia produkcyjna będzie działała tak długo, tak się stało, a mechanizm używany do tworzenia nowych wariantów Warezova nadal działa. W 2007 roku pojawił się następca Warezova - Zhelatin. Program ten został rozwinięty w podobny sposób. Jednak epidemie spowodowane tymi dwoma robakami słabną, co oznacza, że firmy antywirusowe znalazły sposób na zneutralizowanie takiej szkodliwej działalności.


Kolejną istotną zmianą jest wzrost zainteresowania aktywnym wykorzystywaniem kodu exploitów. Udział exploitów rozprzestrzenianych za pośrednictwem poczty elektronicznej rośnie; jest to niepokojące zjawisko, ponieważ powszechne wykorzystanie takiego kodu stanowi zagrożenie dla wszystkich użytkowników. Kod ten może być wykorzystany zarówno przez początkujących, jak i bardziej zaawansowanych szkodliwych użytkowników w celu infekowania atakowanych maszyn.


Ogólnie poziom zainteresowania wykorzystywaniem poczty elektronicznej jako wektora infekcji spada. Spowodowane jest to rosnącą liczbą nowych usług internetowych. Szkodliwe programy częściej wypuszczane są w "bezkres" Internetu niż do wąskich kanałów ruchu pocztowego. Nie oznacza to jednak, że możemy zapomnieć o szkodliwych programach rozprzestrzeniających się za pośrednictwem poczty elektronicznej. Jeśli stracimy czujność chociaż na chwilę, możemy przeoczyć zmianę trendów krytycznych w walce ze szkodliwym kodem.

Źródło: INFOR
Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Czy polskie firmy są gotowe na ESG?
30 sty 2025

Współczesny świat biznesu zakręcił się wokół kwestii związanych z ESG. Ta koncepcja, będąca wskaźnikiem zrównoważonego rozwoju, wpływa nie tylko na wielkie korporacje, ale coraz częściej obejmuje także małe i średnie przedsiębiorstwa. W dobie rosnących wymagań związanych ze zrównoważonością społeczną i środowiskową, ESG jest nie tylko wyzwaniem, ale również szansą na budowanie przewagi konkurencyjnej.
ESG u dostawców czyli jak krok po kroku wdrożyć raportowanie ESG [Mini poradnik]
29 sty 2025

Wdrażanie raportowania ESG (środowiskowego, społecznego i zarządczego) to niełatwe zadanie, zwłaszcza dla dostawców, w tym działających dla większych firm. Choć na pierwszy rzut oka może się wydawać, że wystarczy powołać koordynatora i zebrać dane, to tak naprawdę proces ten wymaga zaangażowania całej organizacji. Jakie są pierwsze kroki do skutecznego raportowania ESG? Na co zwrócić szczególną uwagę?
ESG to zielona miara ryzyka, która potrzebuje strategii zmian [Rekomendacje]
28 sty 2025

Żeby utrzymać się na rynku, sprostać konkurencji, a nawet ją wyprzedzić, warto stosować się do zasad, które już obowiązują dużych graczy. Najprostszym i najbardziej efektywnym sposobem będzie przygotowanie się, a więc stworzenie mapy działania – czyli strategii ESG – i wdrożenie jej w swojej firmie. Artykuł zawiera rekomendacje dla firm, które dopiero rozpoczynają podróż z ESG.
Ratingi ESG: katalizator zmian czy iluzja postępu?
27 sty 2025

Współczesny świat biznesu coraz silniej akcentuje znaczenie ESG jako wyznacznika zrównoważonego rozwoju. W tym kontekście ratingi ESG odgrywają kluczową rolę w ocenie działań firm na polu odpowiedzialności środowiskowe, społecznej i zarządzania. Ale czy są one rzeczywistym impulsem do zmian, czy raczej efektowną fasadą bez głębszego wpływu na biznesową rzeczywistość? Przyjrzyjmy się temu bliżej.

REKLAMA

Zrównoważony biznes czyli jak strategie ESG zmienią reguły gry?
24 sty 2025

ESG to dziś megatrend, który dotyczy coraz więcej firm i organizacji. Zaciera powoli granicę między sukcesem a odpowiedzialnością biznesu. Mimo, iż wymaga od przedsiębiorców wiele wysiłku, ESG dostarcza m.in. nieocenione narzędzie, które może nie tylko przekształcić biznes, ale również pomóc budować lepszą przyszłość. To strategia ESG zmienia sposób działania firm na zrównoważony i odpowiedzialny.
Podatek od nieruchomości może być niższy. Samorządy ustalają najwyższe możliwe stawki
24 sty 2025

Podatek od nieruchomości może być niższy. To samorządy ustalają najwyższe możliwe stawki, korzystając z widełek ustawowych. Przedsiębiorcy apelują do samorządów o obniżenie podatku. Niektóre firmy płacą go nawet setki tysięcy w skali roku.
Jakie recenzje online liczą się bardziej niż te pozytywne?
27 sty 2025

Podejmując decyzje zakupowe online, klienci kierują się kilkoma ważnymi kryteriami, z których opinie odgrywają kluczową rolę. Oczekują przy tym, że recenzje będą nie tylko pozytywne, ale również aktualne. Potwierdzają to wyniki najnowszego badania TRUSTMATE.io, z którego wynika, że aż 73% Polaków zwraca uwagę na aktualność opinii. Zaledwie 1,18% respondentów nie uważa tego za istotne.
Widzieć człowieka. Czyli power skills menedżerów przyszłości
24 sty 2025

W świecie nieustannych zmian empatia i zrozumienie innych ludzi stają się fundamentem efektywnej współpracy, kreatywności i innowacyjności. Kompetencje przyszłości są związane nie tylko z automatyzacją, AI i big data, ale przede wszystkim z power skills – umiejętnościami interpersonalnymi, wśród których zarządzanie różnorodnością, coaching i mentoring mają szczególne znaczenie.

REKLAMA

Czy cydry, wina owocowe i miody pitne doczekają się wersji 0%?
24 sty 2025

Związek Pracodawców Polska Rada Winiarstwa wystąpił z wnioskiem do Ministra Rolnictwa o nowelizację ustawy o wyrobach winiarskich. Powodem jest brak regulacji umożliwiających polskim producentom napojów winiarskich, takich jak cydr, wina owocowe czy miody pitne, oferowanie produktów bezalkoholowych. W obliczu rosnącego trendu NoLo, czyli wzrostu popularności napojów o zerowej lub obniżonej zawartości alkoholu, coraz więcej firm z branży alkoholowej wprowadza takie opcje do swojej oferty.
Czy darowizna na WOŚP podlega odliczeniu od podatku? Komentarz ekspercki
23 sty 2025

W najbliższą niedzielę (26.01.2025 r.) swój Finał będzie miała Wielka Orkiestra Świątecznej Pomocy. Bez wątpienia wielu przedsiębiorców, jak również tysiące osób prywatnych, będzie wspierać to wydarzenie, a z takiego działania płynie wiele korzyści. Czy darowizna na WOŚP podlega odliczeniu od podatku?

REKLAMA