REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Biznes » e-Firma » Programy dla firm » Robaki wyłażą z maili

Robaki wyłażą z maili

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
30 lipca 2008, 12:34
Kaspersky Lab Polska

REKLAMA

REKLAMA

Poczta elektroniczna uważana jest za jeden z najpopularniejszych wektorów infekcji. Oprócz szkodliwych programów załączanych do wiadomości poczta elektroniczna wiąże się również z innymi zagrożeniami, takimi jak phishing oraz wiadomości zawierające odsyłacze do zainfekowanych stron internetowych. Zagrożeniem jest również spam, który wykorzystuje metody socjotechniki w celu nakłonienia użytkowników do wykonania określonych działań.

Główni "eksporterzy" szkodliwego oprogramowania wysyłanego mailami

REKLAMA


Warto zacząć od przeglądu państw, z których pochodzą zainfekowane wiadomości. Poniższy diagram pokazuje państwa ułożone według ilości szkodliwych plików wysyłanych z serwerów zlokalizowanych w określonym położeniu geograficznym.

 

Państwa stanowiące źródła zainfekowanych e-maili

Dalszy ciąg materiału pod wideo


W pierwszej piątce znajdują się Stany Zjednoczone, Niemcy, Szwecja, Hiszpania oraz Malezja. Należy pamiętać, że zainfekowane wiadomości e-mail mogą pozostać w obrębie kraju, z którego zostały wysłane. Dlatego nie można powiedzieć, że liderzy rankingu stanowią takie samo zagrożenie dla reszty świata jak dla użytkowników mieszkających w państwach, z których zostały wysłane.


Szkodliwe programy rozprzestrzeniane za pośrednictwem poczty elektronicznej

 

Szkodliwy ruch pocztowy: rozkład szkodliwych programów według zachowania


Kaspersky Anti-Virus jest zainstalowany na serwerach pocztowych na całym świecie. Powyższy diagram pokazuje 10 najczęstszych werdyktów wydawanych przez rozwiązanie, wskazując najbardziej rozpowszechnione szkodliwe zachowania programów rozprzestrzenianych za pośrednictwem poczty elektronicznej. Te dziesięć zachowań stanowi przeważającą większość szkodliwych programów wykrywanych w ruchu pocztowym, pozostałe zachowania stanowią 1% całkowitej liczby zainfekowanych załączników.


Zachowania z pierwszej dziesiątki zostały szczegółowo zbadane w dalszej części tekstu.


Robaki pocztowe

REKLAMA


Robaki pocztowe stanowią ponad połowę wszystkich szkodliwych programów rozprzestrzenianych za pośrednictwem poczty elektronicznej (55%). Ich czołowa pozycja jest uzasadniona: robaki nie tylko są rozsyłane w masowych wysyłkach przez cyberprzestępców, ale potrafią również samodzielnie się rozprzestrzeniać.


Zgodnie z systemem klasyfikacji firmy Kaspersky Lab, programy, które oprócz funkcjonalności robaka pocztowego posiadają jeszcze dodatkową funkcjonalność, takie jak robak sieciowy czy robak, postrzegane są jako większe zagrożenie. W takich przypadkach, rozprzestrzenianie za pośrednictwem poczty elektronicznej jest dodatkową funkcją. W rezultacie, przedstawiciele zachowań robak sieciowy (6%) i robak (0,56%) wykryci w ruchu pocztowym mogą być uważani za samodzielnie rozprzestrzeniające się programy. To oznacza w rzeczywistości, że odsetek szkodliwych programów z funkcjonalnością robaka pocztowego jest wyższy niż 55 %. Wśród programów rozprzestrzeniających się za pomocą poczty elektronicznej, ponad 61% to programy, które potrafią się samodzielnie rozprzestrzeniać.


W 2007 roku ogólny trend rozprzestrzeniania się robaków pocztowych charakteryzował się gwałtownymi wzrostami i spadkami liczby tych szkodników. Poniższy wykres pokazuje liczbę szkodliwych programów wykazujących zachowanie robaka pocztowego.

 

Liczba nowych szkodliwych programów wykazujących zachowanie robak pocztowy


Trzy wzniesienia na wykresie wskazują wzmożoną aktywność autorów robaka Email-Worm.Win32.Zhelatin. Robak ten, znany również jako Storm Worm, w 2007 roku został liderem wśród robaków ze względu na liczbę wariantów nowych szkodliwych plików.

 

 Rozkład robaków pocztowych według rodziny

 


Zhelatin (Storm Worm)

REKLAMA


Aby mieć pewność, że ich twór zdoła przetrwać, autorzy Zhelatina zastosowali nową strategię. Wygląda na to, że cyberprzestępcy stworzyli linię produkcyjną szkodliwego kodu, która pozwoliła im wypuszczać nowe wersje szkodnika szybciej niż firmy publikowały aktualizacje antywirusowych baz danych. Nowe szkodliwe programy powstające na linii produkcyjnej testowane były na programie antywirusowym. Próbki, które zostały wykryte przez program, były odrzucane jako wadliwe, a te, którym udało się przejść test, były automatycznie kopiowane na kilka specjalnych serwerów sieciowych w Internecie wykorzystywanych do rozprzestrzeniania nowych wersji programu


Zhelatin stał się czymś w rodzaju punktu odniesienia w ewolucji szkodliwych programów. Jego autorzy zaimplementowali wszystkie swoje osiągnięcia z ostatnich lat. Od samego początku celem Zhelatina było zbieranie adresów e-mail z zaatakowanych komputerów oraz wysyłanie ich do Internetu (adresy te były następnie odsprzedawane spamerom). Później twórcy wirusów wykorzystywali uaktualnioną wersję Zhelatina do stworzenia sieci komputerów zombie (botnet). Tego rodzaju botnety są w pewnym sensie unikatowe. Są to sieci zombie peer-to-peer, w których komputery zombie łączą się z centrum kontroli i dowodzenia, tylko jeśli jest dostępne. Jeśli serwer taki nie zostanie znaleziony lub w danym momencie nie będzie działał, maszyny zombie mogą połączyć się ze sobą, przekazując dane dalej. Każdy komputer zombie posiada krótką listę najbliższych sąsiadów, z którymi się komunikuje. Twórcy szkodnika nie wyposażyli robaka w żadną funkcję szkodliwą, ale spowodowali, że był on niewidoczny dla użytkownika dzięki wykorzystaniu w szkodliwym programie technologii rootkit.


Rok przed pojawieniem się robaka Storm przewidywaliśmy powstanie linii produkcyjnej szkodliwego kodu. Ze względu na potencjalne ryzyko nie rozgłaszaliśmy naszych przypuszczeń, ale jednocześnie szykowaliśmy się na odparcie zagrożenia. Głównym problemem jest szkodliwy kod wykorzystywany do tworzenia nowych wersji szkodliwego programu. Nie posiadamy fizycznego dostępu do tego kodu, co oznacza, że nie możemy go przeanalizować i stworzyć programu, który mógłby go wykrywać, tak jak zwykle czynimy w przypadku wirusów polimorficznych. Stanowiło to problem jeszcze na długo przed tym, zanim pojawił się Email-Worm.Win32.Zhelatin.


Należy zauważyć, że Zhelatin nie był pierwszym szkodnikiem, który stosował takie podejście. W zeszłym roku od września do października aktywnie rozprzestrzeniał się bardzo podobny do niego Email-Worm.Win32.Warezov. W niektóre dni wykrywaliśmy dziesiątki nowych wariantów tego robaka. Stało się jasne, że nastała nowa era. W 2007 roku za wzrost liczby nowych rodzin szkodliwych programów z funkcjonalnością robaka pocztowego odpowiedzialne były głównie robaki Warezov i Zhelatin. Widać to na poniższym wykresie.

 

Liczba nowych robaków pocztowych: Warezov i Zhelatin


Jak widać na wykresie, linia przedstawiająca liczbę nowych plików Zhelatina i Warezova jest praktycznie taka sama jak linia obrazująca liczbę nowych programów typu robak pocztowy.


Sytuacja robaków pocztowych jest dość jasna: takie programy istnieją i nic nie wskazuje na to, że w najbliższej przyszłości znikną, mimo że nie ma również żadnym podstaw, aby przewidywać nagły wzrost ich liczby. Takie wzrosty, jak widać na powyższym wykresie, występują spontanicznie.


Szkodliwe programy wykazujące inne zachowania


Drugie miejsce na liście najbardziej rozpowszechnionych zachowań zajmuje trojan downloader (15%). Są to uniwersalne downoadery stworzone w celu pobierania z Internetu dowolnego szkodliwego kodu. Masowe rozsyłanie trojanów downloaderów zamiast określonego szkodliwego programu zwiększa szanse twórców wirusów na znalezienie podatnej na infekcje maszyny. Trojan downloader zaczyna od wyłączenia ochrony antywirusowej, a następnie pobiera za pośrednictwem Internetu inny szkodliwy program i uruchamia go na zaatakowanej maszynie.

Jeśli trojanowi downloaderowi uda się wyłączyć ochronę antywirusową na zaatakowanym komputerze, będzie mógł pobrać dowolny program, łącznie z tymi dobrze znanymi, które potrafi wykrywać każdy program antywirusowy. Tak więc twórcy szkodliwego kodu nie muszą tworzyć nowych wersji konkretnego szkodliwego programu; zamiast tego mogą wykorzystać istniejący już kod oraz prostego trojana downloadera. Rozwijanie takich programów wymaga minimalnego wysiłku, stąd ich duża popularność.


Tuż za trojanem downloaderem znajduje się trojan szpiegujący (13%). Programy te powstają w celu umożliwienia kradzieży poufnych informacji. Cyberprzestępcy kradną zarówno informacje z komputerów korporacyjnych w celu uzyskania dostępu do sieci korporacyjnych, jak i z komputerów osobistych, wykorzystując je następnie do prywatnych celów.


Kolejne zachowania znajdują się daleko za liderami i każde z nich stanowi 3% szkodliwego kodu w ruchu pocztowym.


Trojan dropper. Programy reprezentujące to zachowanie są podobne do trojanów downloaderów; ich celem jest instalowanie szkodliwych programów na zaatakowanej maszynie. Jedyną różnicą jest metoda wykorzystywana do dostarczania szkodliwego programu: trojany droppery przenoszą inne szkodliwe programy wewnątrz siebie, podczas gdy trojany downloadery (jak wskazuje ich nazwa) pobierają je z Internetu. Z danych statystycznych wynika, że cyberprzestępcy wolą wykorzystywać trojany downloadery, które umożliwiają uaktualnianie szkodliwego kodu umieszczanego online.


Exploit. Co ciekawe zachowanie to dość rzadko występuje w ruchu pocztowym, a wiadomości zawierające taki kod zazwyczaj wysyłane są podczas ukierunkowanych ataków hakerskich. Ze względu na to, że coraz mniej użytkowników uruchamia pliki wykonywalne z załączników, exploity zyskują obecnie coraz większą popularność. Exploity są wykorzystywane przez cyberprzestępców w celu uruchomienia kodu na komputerze użytkownika w momencie otwierania przez niego załącznika. Użytkownik nie musi zapisywać pliku wykonywalnego i uruchamiać go z dysku; wszystko następuje automatycznie, bez jego wiedzy czy zgody. Przewidujemy, że w przyszłości udział eksploitów w szkodliwym ruchu pocztowym zwiększy się, a za kilka lat będą na czołowej pozycji wśród szkodliwych programów rozprzestrzenianych za pośrednictwem poczty elektronicznej.


Zaskakująca jest obecność w pierwszej dziesiątce plików exe chronionych hasłem. Taki werdykt nie oznacza, że plik sam w sobie jest szkodliwy. Program antywirusowy wydaje taki werdykt, aby ostrzec użytkownika przed potencjalnym zagrożeniem. Plik exe chroniony hasłem oznacza samorozpakowujące się archiwa z hasłem. Aby uruchomić taki program, użytkownik musi wprowadzić hasło, tak aby program mógł rozpakować jeden lub więcej plików w celu ich wykonania. Wiele szkodliwych programów jest rozprzestrzenianych w takich samorozpakowujących się archiwach wraz z hasłem podanym w treści wiadomości. Uniemożliwia to rozpakowanie archiwów i wykrycie zawartego w nich szkodliwego oprogramowania przez programy antywirusowe, które skanują ruch pocztowy.


Pierwszą dziesiątkę zamykają programy z klasy TrojWare (1,51%) oraz VirWare (1,15%). TrojWare obejmuje szereg różnych programów trojańskich reprezentujących zachowanie, które nie może zostać skategoryzowane do innej klasy. W rezultacie, nie są one szczególnie interesujące. Pliki wykazujące zachowanie wirusa to zwykle pliki, które zostają zainfekowane na zaatakowanym komputerze. To oznacza, że są one rozsyłane przez użytkownika, który nie jest świadomy tego, że wysyła zainfekowane pliki.


Najbardziej rozpowszechnione rodziny w zainfekowanym ruchu pocztowym

Poniższy diagram pokazuje rozkład 10 najbardziej rozpowszechnionych szkodliwych programów według rodziny (zachowanie nie jest tutaj brane pod uwagę).

 

Rozkład szkodliwych programów w ruchu pocztowym według rodziny


Mimo że w 2007 roku Zhelatin był niekwestionowanym liderem pod względem liczby wariantów szkodliwych plików, nie zmieścił się w pierwszej dziesiątce w rankingu opartym na całkowitej liczbie plików w ruchu pocztowym. Liderem jest tutaj weteran - Worm.Win32.Netsky. Za nim znajdują się wysyłki oszukańczych wiadomości, rzekomo wysyłane przez banki, które klasyfikujemy jako Trojan-Spy.HTML.Bankfraud.


Z dwóch robaków pocztowych, które spowodowały największe zamieszanie w tym roku, Zhelatina i Warezova, tylko Worm.Win32.Warezov znalazł się na liście, i to dopiero na piątym miejscu.


Zhelatin nie był w stanie pobić Warezova. Autorzy Zhelatina prawdopodobnie nie chcieli, aby ich program dominował w zainfekowanym ruchu pocztowym. Jednak ich implementację funkcji robaka pocztowego nie można zaliczyć do udanych, jeśli porównamy ją z innymi funkcjami tego szkodliwego programu.


Wnioski


Na zakończenie należy podkreślić kilka punktów.


Po pierwsze, w 2006 roku zmieniło się podejście do tworzenia szkodliwego kodu. Cyberprzestępcy zaczęli rozwijać programy, które w określonych odstępach czasu potrafiły automatycznie tworzyć szkodliwy kod. Mimo że nie przewidywaliśmy, że taka linia produkcyjna będzie działała tak długo, tak się stało, a mechanizm używany do tworzenia nowych wariantów Warezova nadal działa. W 2007 roku pojawił się następca Warezova - Zhelatin. Program ten został rozwinięty w podobny sposób. Jednak epidemie spowodowane tymi dwoma robakami słabną, co oznacza, że firmy antywirusowe znalazły sposób na zneutralizowanie takiej szkodliwej działalności.


Kolejną istotną zmianą jest wzrost zainteresowania aktywnym wykorzystywaniem kodu exploitów. Udział exploitów rozprzestrzenianych za pośrednictwem poczty elektronicznej rośnie; jest to niepokojące zjawisko, ponieważ powszechne wykorzystanie takiego kodu stanowi zagrożenie dla wszystkich użytkowników. Kod ten może być wykorzystany zarówno przez początkujących, jak i bardziej zaawansowanych szkodliwych użytkowników w celu infekowania atakowanych maszyn.


Ogólnie poziom zainteresowania wykorzystywaniem poczty elektronicznej jako wektora infekcji spada. Spowodowane jest to rosnącą liczbą nowych usług internetowych. Szkodliwe programy częściej wypuszczane są w "bezkres" Internetu niż do wąskich kanałów ruchu pocztowego. Nie oznacza to jednak, że możemy zapomnieć o szkodliwych programach rozprzestrzeniających się za pośrednictwem poczty elektronicznej. Jeśli stracimy czujność chociaż na chwilę, możemy przeoczyć zmianę trendów krytycznych w walce ze szkodliwym kodem.

Zapisz się na newsletter
Zakładasz firmę? A może ją rozwijasz? Chcesz jak najbardziej efektywnie prowadzić swój biznes? Z naszym newsletterem będziesz zawsze na bieżąco.
regulaminu i akceptuję jego postanowienia
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

Źródło: INFOR
Wersja do druku
Napisz do nas
Zapisz się na newsletter

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Sukcesja w firmach rodzinnych: kluczowe wyzwania i rosnąca rola fundacji rodzinnych
31 maja 2025

29 maja 2025 r. w warszawskim hotelu ARCHE odbyła się konferencja „SUKCESJA BIZNES NA POKOLENIA”, której idea narodziła się z współpracy Business Centre Club, Banku Pekao S.A. oraz kancelarii Domański Zakrzewski Palinka i Pru – Prudential Polska. Różnorodne doświadczenia i zakres wiedzy organizatorów umożliwiły kompleksowe i wielowymiarowe przedstawienie tematu sukcesji w firmach rodzinnych.
Raport Strong Women in IT: zgłoszenia do 31 lipca 2025 r.
27 maja 2025

Ruszył nabór do raportu Strong Women in IT 2025. Jest to raport mający na celu przybliżenie osiągnięć kobiet w branży technologicznej oraz w działach IT-Tech innych branż. Zgłoszenia do 31 lipca 2025 r.
Gdy ogień nie jest przypadkiem. Pożary w punktach handlowo-usługowych
22 maja 2025

Od stycznia do początku maja 2025 roku straż pożarna odnotowała 306 pożarów w obiektach handlowo-usługowych, z czego aż 18 to celowe podpalenia. Potwierdzony przypadek sabotażu, który doprowadził do pożaru hali Marywilska 44, pokazuje, że bezpieczeństwo pożarowe staje się kluczowym wyzwaniem dla tej branży.
Przedsiębiorcy zyskają nowe narzędzia do analizy rynku. Współpraca GUS i Rzecznika MŚP
22 maja 2025

Nowe intuicyjne narzędzia analityczne, takie jak Dashboard Regon oraz Dashboard Koniunktura Gospodarcza, pozwolą firmom na skuteczne monitorowanie rynku i podejmowanie trafniejszych decyzji biznesowych.

REKLAMA

Firma w Anglii w 2025 roku – czy to się nadal opłaca?
21 maja 2025

Rok 2025 to czas ogromnych wyzwań dla przedsiębiorców z Polski. Zmiany legislacyjne, niepewne otoczenie podatkowe, rosnąca liczba kontroli oraz nieprzewidywalność polityczna sprawiają, że coraz więcej firm poszukuje bezpiecznych alternatyw dla prowadzenia działalności. Jednym z najczęściej wybieranych kierunków pozostaje Wielka Brytania. Mimo Brexitu, inflacji i globalnych zmian gospodarczych, firma w Anglii to nadal bardzo atrakcyjna opcja dla polskich przedsiębiorców.
Windykacja należności krok po kroku [3 etapy]
20 maja 2025

Niezapłacone faktury to codzienność, z jaką muszą się mierzyć w swej działalności przedsiębiorcy. Postępowanie windykacyjne obejmuje szereg działań mających na celu ich odzyskanie. Kluczową rolę odgrywa w nim czas. Sprawne rozpoczęcie czynności windykacyjnych zwiększa szanse na skuteczne odzyskanie należności. Windykację możemy podzielić na trzy etapy: przedsądowy, sądowy i egzekucyjny.
Roczne rozliczenie składki zdrowotnej. 20 maja 2025 r. mija ważny termin dla przedsiębiorców
20 maja 2025

20 maja 2025 r. mija ważny termin dla przedsiębiorców. Chodzi o rozliczenie składki zdrowotnej. Kto musi złożyć dokumenty dotyczące rocznego rozliczenia składki na ubezpieczenie zdrowotne za 2024 r.? Co w przypadku nadpłaty składki zdrowotnej?
Klienci nie płacą za komórki i Internet, operatorzy telekomunikacyjni sami popadają w długi
20 maja 2025

Na koniec marca w rejestrze widniało niemal 300 tys. osób i firm z przeterminowanymi zobowiązaniami wynikającymi z umów telekomunikacyjnych - zapłata za komórki i Internet. Łączna wartość tych zaległości przekroczyła 1,4 mld zł. Największe obciążenia koncentrują się w stolicy – mieszkańcy Warszawy zalegają z płatnościami na blisko 130 mln zł, w czołówce jest też Kraków, Poznań i Łódź.

REKLAMA

Leasing: szykowana jest zmiana przepisów, która dodatkowo ułatwi korzystanie z tej formy finansowania
20 maja 2025

Branża leasingowa znajduje się obecnie w przededniu zmian legislacyjnych, które jeszcze bardziej ułatwią zawieranie umów. Dziś, by umowa leasingu była ważna, wymagana jest forma pisemna, a więc klient musi złożyć kwalifikowany podpis elektroniczny lub podpisać dokument fizycznie. To jednak już niebawem może się zmienić.
Spółka cywilna – kto jest odpowiedzialny za zobowiązania, kogo pozwać?
19 maja 2025

Spółka cywilna jest stosunkowo często spotykaną w praktyce formą prowadzenia działalności gospodarczej. Warto wiedzieć, że taka spółka nie ma osobowości prawnej i tak naprawdę nie jest generalnie żadnym samodzielnym podmiotem prawa. Jedynie niektóre ustawy (np. ustawy podatkowe) nadają spółce cywilnej przymiot podmiotu praw i obowiązków. W jaki sposób można pozwać kontrahenta, który prowadzi działalność w formie spółki cywilnej?

REKLAMA