REKLAMA

REKLAMA

Kategorie
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Przypomnij hasło
Witaj
Usuń konto
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.

Robaki wyłażą z maili

Kaspersky Lab Polska

REKLAMA

REKLAMA

Poczta elektroniczna uważana jest za jeden z najpopularniejszych wektorów infekcji. Oprócz szkodliwych programów załączanych do wiadomości poczta elektroniczna wiąże się również z innymi zagrożeniami, takimi jak phishing oraz wiadomości zawierające odsyłacze do zainfekowanych stron internetowych. Zagrożeniem jest również spam, który wykorzystuje metody socjotechniki w celu nakłonienia użytkowników do wykonania określonych działań.

Główni "eksporterzy" szkodliwego oprogramowania wysyłanego mailami

REKLAMA


Warto zacząć od przeglądu państw, z których pochodzą zainfekowane wiadomości. Poniższy diagram pokazuje państwa ułożone według ilości szkodliwych plików wysyłanych z serwerów zlokalizowanych w określonym położeniu geograficznym.

 

Państwa stanowiące źródła zainfekowanych e-maili

Dalszy ciąg materiału pod wideo


W pierwszej piątce znajdują się Stany Zjednoczone, Niemcy, Szwecja, Hiszpania oraz Malezja. Należy pamiętać, że zainfekowane wiadomości e-mail mogą pozostać w obrębie kraju, z którego zostały wysłane. Dlatego nie można powiedzieć, że liderzy rankingu stanowią takie samo zagrożenie dla reszty świata jak dla użytkowników mieszkających w państwach, z których zostały wysłane.


Szkodliwe programy rozprzestrzeniane za pośrednictwem poczty elektronicznej

 

Szkodliwy ruch pocztowy: rozkład szkodliwych programów według zachowania


Kaspersky Anti-Virus jest zainstalowany na serwerach pocztowych na całym świecie. Powyższy diagram pokazuje 10 najczęstszych werdyktów wydawanych przez rozwiązanie, wskazując najbardziej rozpowszechnione szkodliwe zachowania programów rozprzestrzenianych za pośrednictwem poczty elektronicznej. Te dziesięć zachowań stanowi przeważającą większość szkodliwych programów wykrywanych w ruchu pocztowym, pozostałe zachowania stanowią 1% całkowitej liczby zainfekowanych załączników.


Zachowania z pierwszej dziesiątki zostały szczegółowo zbadane w dalszej części tekstu.


Robaki pocztowe

REKLAMA


Robaki pocztowe stanowią ponad połowę wszystkich szkodliwych programów rozprzestrzenianych za pośrednictwem poczty elektronicznej (55%). Ich czołowa pozycja jest uzasadniona: robaki nie tylko są rozsyłane w masowych wysyłkach przez cyberprzestępców, ale potrafią również samodzielnie się rozprzestrzeniać.


Zgodnie z systemem klasyfikacji firmy Kaspersky Lab, programy, które oprócz funkcjonalności robaka pocztowego posiadają jeszcze dodatkową
funkcjonalność, takie jak robak sieciowy czy robak, postrzegane są jako większe zagrożenie. W takich przypadkach, rozprzestrzenianie za pośrednictwem poczty elektronicznej jest dodatkową funkcją. W rezultacie, przedstawiciele zachowań robak sieciowy (6%) i robak (0,56%) wykryci w ruchu pocztowym mogą być uważani za samodzielnie rozprzestrzeniające się programy. To oznacza w rzeczywistości, że odsetek szkodliwych programów z funkcjonalnością robaka pocztowego jest wyższy niż 55 %. Wśród programów rozprzestrzeniających się za pomocą poczty elektronicznej, ponad 61% to programy, które potrafią się samodzielnie rozprzestrzeniać.


W 2007 roku ogólny trend rozprzestrzeniania się robaków pocztowych charakteryzował się gwałtownymi wzrostami i spadkami liczby tych szkodników. Poniższy wykres pokazuje liczbę szkodliwych programów wykazujących zachowanie robaka pocztowego.

 

Liczba nowych szkodliwych programów wykazujących zachowanie robak pocztowy


Trzy wzniesienia na wykresie wskazują wzmożoną aktywność autorów robaka Email-Worm.Win32.Zhelatin. Robak ten, znany również jako Storm Worm, w 2007 roku został liderem wśród robaków ze względu na liczbę wariantów nowych szkodliwych plików.

 

 Rozkład robaków pocztowych według rodziny

 


Zhelatin (Storm Worm)

REKLAMA


Aby mieć pewność, że ich twór zdoła przetrwać, autorzy Zhelatina zastosowali nową strategię. Wygląda na to, że cyberprzestępcy stworzyli linię produkcyjną szkodliwego kodu, która pozwoliła im wypuszczać nowe wersje szkodnika szybciej niż firmy publikowały aktualizacje antywirusowych baz danych. Nowe szkodliwe programy powstające na linii produkcyjnej testowane były na programie antywirusowym. Próbki, które zostały wykryte przez program, były odrzucane jako wadliwe, a te, którym udało się przejść test, były automatycznie kopiowane na kilka specjalnych serwerów sieciowych w Internecie wykorzystywanych do rozprzestrzeniania nowych wersji programu


Zhelatin stał się czymś w rodzaju punktu odniesienia w ewolucji szkodliwych programów. Jego autorzy zaimplementowali wszystkie swoje osiągnięcia z ostatnich lat. Od samego początku celem Zhelatina było zbieranie adresów e-mail z zaatakowanych komputerów oraz wysyłanie ich do Internetu (adresy te były następnie odsprzedawane spamerom). Później twórcy wirusów wykorzystywali uaktualnioną wersję Zhelatina do stworzenia sieci komputerów zombie (botnet). Tego rodzaju botnety są w pewnym sensie unikatowe. Są to sieci zombie peer-to-peer, w których komputery zombie łączą się z centrum kontroli i dowodzenia, tylko jeśli jest dostępne. Jeśli serwer taki nie zostanie znaleziony lub w danym momencie nie będzie działał, maszyny zombie mogą połączyć się ze sobą, przekazując dane dalej. Każdy
komputer zombie posiada krótką listę najbliższych sąsiadów, z którymi się komunikuje. Twórcy szkodnika nie wyposażyli robaka w żadną funkcję szkodliwą, ale spowodowali, że był on niewidoczny dla użytkownika dzięki wykorzystaniu w szkodliwym programie technologii rootkit.


Rok przed pojawieniem się robaka Storm przewidywaliśmy powstanie linii produkcyjnej szkodliwego kodu. Ze względu na potencjalne ryzyko nie rozgłaszaliśmy naszych przypuszczeń, ale jednocześnie szykowaliśmy się na odparcie zagrożenia. Głównym problemem jest szkodliwy kod wykorzystywany do tworzenia nowych wersji szkodliwego programu. Nie posiadamy fizycznego dostępu do tego kodu, co oznacza, że nie możemy go przeanalizować i stworzyć programu, który mógłby go wykrywać, tak jak zwykle czynimy w przypadku wirusów polimorficznych. Stanowiło to problem jeszcze na długo przed tym, zanim pojawił się Email-Worm.Win32.Zhelatin.


Należy zauważyć, że Zhelatin nie był pierwszym szkodnikiem, który stosował takie podejście. W zeszłym roku od września do października aktywnie rozprzestrzeniał się bardzo podobny do niego Email-Worm.Win32.Warezov. W niektóre dni wykrywaliśmy dziesiątki nowych wariantów tego robaka. Stało się jasne, że nastała nowa era. W 2007 roku za wzrost liczby nowych rodzin szkodliwych programów z funkcjonalnością robaka pocztowego odpowiedzialne były głównie robaki Warezov i Zhelatin. Widać to na poniższym wykresie.

 

Liczba nowych robaków pocztowych: Warezov i Zhelatin


Jak widać na wykresie, linia przedstawiająca liczbę nowych plików Zhelatina i Warezova jest praktycznie taka sama jak linia obrazująca liczbę nowych programów typu robak pocztowy.


Sytuacja robaków pocztowych jest dość jasna: takie programy istnieją i nic nie wskazuje na to, że w najbliższej przyszłości znikną, mimo że nie ma również żadnym podstaw, aby przewidywać nagły wzrost ich liczby. Takie wzrosty, jak widać na powyższym wykresie, występują spontanicznie.


Szkodliwe programy wykazujące inne zachowania


Drugie miejsce na liście najbardziej rozpowszechnionych zachowań zajmuje trojan downloader (15%). Są to uniwersalne downoadery stworzone w celu pobierania z Internetu dowolnego szkodliwego kodu. Masowe rozsyłanie trojanów downloaderów zamiast określonego szkodliwego programu zwiększa szanse twórców wirusów na znalezienie podatnej na infekcje maszyny. Trojan downloader zaczyna od wyłączenia ochrony antywirusowej, a następnie pobiera za pośrednictwem Internetu inny szkodliwy program i uruchamia go na zaatakowanej maszynie.

Jeśli trojanowi downloaderowi uda się wyłączyć ochronę antywirusową na zaatakowanym komputerze, będzie mógł pobrać dowolny program, łącznie z tymi dobrze znanymi, które potrafi wykrywać każdy program antywirusowy. Tak więc twórcy szkodliwego kodu nie muszą tworzyć nowych wersji konkretnego szkodliwego programu; zamiast tego mogą wykorzystać istniejący już kod oraz prostego trojana downloadera. Rozwijanie takich programów wymaga minimalnego wysiłku, stąd ich duża popularność.


Tuż za trojanem downloaderem znajduje się trojan szpiegujący (13%). Programy te powstają w celu umożliwienia kradzieży poufnych informacji. Cyberprzestępcy kradną zarówno informacje z komputerów korporacyjnych w celu uzyskania dostępu do sieci korporacyjnych, jak i z komputerów osobistych, wykorzystując je następnie do prywatnych celów.


Kolejne zachowania znajdują się daleko za liderami i każde z nich stanowi 3% szkodliwego kodu w ruchu pocztowym.


Trojan dropper. Programy reprezentujące to zachowanie są podobne do trojanów downloaderów; ich celem jest instalowanie szkodliwych programów na zaatakowanej maszynie. Jedyną różnicą jest metoda wykorzystywana do dostarczania szkodliwego programu: trojany droppery przenoszą inne szkodliwe programy wewnątrz siebie, podczas gdy trojany downloadery (jak wskazuje ich nazwa) pobierają je z Internetu. Z danych statystycznych wynika, że cyberprzestępcy wolą wykorzystywać trojany downloadery, które umożliwiają uaktualnianie szkodliwego kodu umieszczanego online.


Exploit. Co ciekawe zachowanie to dość rzadko występuje w ruchu pocztowym, a wiadomości zawierające taki kod zazwyczaj wysyłane są podczas ukierunkowanych ataków hakerskich. Ze względu na to, że coraz mniej użytkowników uruchamia pliki wykonywalne z załączników, exploity zyskują obecnie coraz większą popularność. Exploity są wykorzystywane przez cyberprzestępców w celu uruchomienia kodu na komputerze użytkownika w momencie otwierania przez niego załącznika. Użytkownik nie musi zapisywać pliku wykonywalnego i uruchamiać go z dysku; wszystko następuje automatycznie, bez jego wiedzy czy zgody. Przewidujemy, że w przyszłości udział eksploitów w szkodliwym ruchu pocztowym zwiększy się, a za kilka lat będą na czołowej pozycji wśród szkodliwych programów rozprzestrzenianych za pośrednictwem poczty elektronicznej.


Zaskakująca jest obecność w pierwszej dziesiątce plików exe chronionych hasłem. Taki werdykt nie oznacza, że plik sam w sobie jest szkodliwy. Program antywirusowy wydaje taki werdykt, aby ostrzec użytkownika przed potencjalnym zagrożeniem. Plik exe chroniony hasłem oznacza samorozpakowujące się archiwa z hasłem. Aby uruchomić taki program, użytkownik musi wprowadzić hasło, tak aby program mógł rozpakować jeden lub więcej plików w celu ich wykonania. Wiele szkodliwych programów jest rozprzestrzenianych w takich samorozpakowujących się archiwach wraz z hasłem podanym w treści wiadomości. Uniemożliwia to rozpakowanie archiwów i wykrycie zawartego w nich szkodliwego oprogramowania przez programy antywirusowe, które skanują ruch pocztowy.


Pierwszą dziesiątkę zamykają programy z klasy TrojWare (1,51%) oraz VirWare (1,15%). TrojWare obejmuje szereg różnych programów trojańskich reprezentujących zachowanie, które nie może zostać skategoryzowane do innej klasy. W rezultacie, nie są one szczególnie interesujące. Pliki wykazujące zachowanie wirusa to zwykle pliki, które zostają zainfekowane na zaatakowanym komputerze. To oznacza, że są one rozsyłane przez użytkownika, który nie jest świadomy tego, że wysyła zainfekowane pliki.


Najbardziej rozpowszechnione rodziny w zainfekowanym ruchu pocztowym

Poniższy diagram pokazuje rozkład 10 najbardziej rozpowszechnionych szkodliwych programów według rodziny (zachowanie nie jest tutaj brane pod uwagę).

 

Rozkład szkodliwych programów w ruchu pocztowym według rodziny


Mimo że w 2007 roku Zhelatin był niekwestionowanym liderem pod względem liczby wariantów szkodliwych plików, nie zmieścił się w pierwszej dziesiątce w rankingu opartym na całkowitej liczbie plików w ruchu pocztowym. Liderem jest tutaj weteran - Worm.Win32.Netsky. Za nim znajdują się wysyłki oszukańczych wiadomości, rzekomo wysyłane przez banki, które klasyfikujemy jako Trojan-Spy.HTML.Bankfraud.


Z dwóch robaków pocztowych, które spowodowały największe zamieszanie w tym roku, Zhelatina i Warezova, tylko Worm.Win32.Warezov znalazł się na liście, i to dopiero na piątym miejscu.


Zhelatin nie był w stanie pobić Warezova. Autorzy Zhelatina prawdopodobnie nie chcieli, aby ich program dominował w zainfekowanym ruchu pocztowym. Jednak ich implementację funkcji robaka pocztowego nie można zaliczyć do udanych, jeśli porównamy ją z innymi funkcjami tego szkodliwego programu.


Wnioski


Na zakończenie należy podkreślić kilka punktów.


Po pierwsze, w 2006 roku zmieniło się podejście do tworzenia szkodliwego kodu. Cyberprzestępcy zaczęli rozwijać programy, które w określonych odstępach czasu potrafiły automatycznie tworzyć szkodliwy kod. Mimo że nie przewidywaliśmy, że taka linia produkcyjna będzie działała tak długo, tak się stało, a mechanizm używany do tworzenia nowych wariantów Warezova nadal działa. W 2007 roku pojawił się następca Warezova - Zhelatin. Program ten został rozwinięty w podobny sposób. Jednak epidemie spowodowane tymi dwoma robakami słabną, co oznacza, że firmy antywirusowe znalazły sposób na zneutralizowanie takiej szkodliwej działalności.


Kolejną istotną zmianą jest wzrost zainteresowania aktywnym wykorzystywaniem kodu exploitów. Udział exploitów rozprzestrzenianych za pośrednictwem poczty elektronicznej rośnie; jest to niepokojące zjawisko, ponieważ powszechne wykorzystanie takiego kodu stanowi zagrożenie dla wszystkich użytkowników. Kod ten może być wykorzystany zarówno przez początkujących, jak i bardziej zaawansowanych szkodliwych użytkowników w celu infekowania atakowanych maszyn.


Ogólnie poziom zainteresowania wykorzystywaniem poczty elektronicznej jako wektora infekcji spada. Spowodowane jest to rosnącą liczbą nowych usług internetowych. Szkodliwe programy częściej wypuszczane są w "bezkres" Internetu niż do wąskich kanałów ruchu pocztowego. Nie oznacza to jednak, że możemy zapomnieć o szkodliwych programach rozprzestrzeniających się za pośrednictwem poczty elektronicznej. Jeśli stracimy czujność chociaż na chwilę, możemy przeoczyć zmianę trendów krytycznych w walce ze szkodliwym kodem.

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Moja firma
Zapisz się na newsletter
Zobacz przykładowy newsletter
Zapisz się
Wpisz poprawny e-mail
Człowiek ponad algorytmy. Czyli rola umiejętności miękkich w świecie automatyzacji

W miarę jak automatyzacja i sztuczna inteligencja zmieniają całe branże, firmy i miejsca pracy – umiejętności miękkie postrzegane jako jedyna rzecz, której maszyny nie mogą zastąpić, stają się absolutnie niezbędne. Które zatem z kompetencji będą szczególnie cenione przez pracodawców i mogą zadecydować o przewadze konkurencyjnej w 2025 r.?

ZUS: Zmiany w składce zdrowotnej. Jak skorzystają przedsiębiorcy?

Od nowego roku zmieniły się zasady obliczania składki na ubezpieczenie zdrowotne dla przedsiębiorców. Zakład Ubezpieczeń Społecznych przypomina, kto skorzysta z nowych przepisów i kiedy pierwsze płatności według nowych zasad.

Piękny umysł. Wiedza o mózgu w analizie preferencji zachowań i postaw człowieka

W dzisiejszym świecie, w którym wiedza neuronaukowa jest coraz bardziej dostępna, a tematyczne publikacje wychodzą poza ramę dyskursu naukowego i pisane są przystępnym językiem, wiedza o mózgu staje się niebywale wartościowym obszarem do codziennego wykorzystania. Warto, aby sięgali po nią również ci, którzy wspierają wzrost ludzi w biznesie i rozwoju indywidualnym.

Ruszył konkurs ZUS. Można otrzymać dofinansowanie do 80 proc. wartości projektu na poprawę bezpieczeństwa i higieny pracy (BHP)

Ruszył konkurs ZUS. Można otrzymać dofinansowanie do 80 proc. wartości projektu na poprawę bezpieczeństwa i higieny pracy (BHP). Wnioski można składać do 10 marca 2025 r. Gdzie złożyć wniosek? Kto może ubiegać się o dofinansowanie? Co podlega dofinansowaniu?

REKLAMA

Potrzebna pilna decyzja, bo można dużo zyskać lub stracić na podatku, termin 20 lutego

Przedsiębiorcy mogą co roku korzystać z innej – jednej z trzech możliwych – form podatku dochodowego od przychodów uzyskiwanych z działalności gospodarczej. Poza wysokością samego podatku, jaki trzeba będzie zapłacić, teraz forma opodatkowania wpływa również na wysokość obciążeń z tytułu składki na ubezpieczenie zdrowotne.

Raportowanie ESG: jak się przygotować, wdrażanie, wady i zalety. Czy czekają nas zmiany? [WYWIAD]

Raportowanie ESG: jak firma powinna się przygotować? Czym jest ESG? Jak wdrożyć system ESG w firmie. Czy ESG jest potrzebne? Jak ESG wpływa na rynek pracy? Jakie są wady i zalety ESG? Co należałoby zmienić w przepisach stanowiących o ESG?

Zarządzanie kryzysowe czyli jak przetrwać biznesowy sztorm - wskazówki, przykłady, inspiracje

Załóżmy, że jako kapitan statku (CEO) niespodziewanie napotykasz gwałtowny sztorm (sytuację kryzysową lub problemową). Bez odpowiednich narzędzi nawigacyjnych, takich jak mapa, kompas czy plan awaryjny, Twoje szanse na bezpieczne dotarcie do portu znacząco maleją. Ryzykujesz nawet sam fakt przetrwania. W świecie biznesu takim zestawem narzędzi jest Księga Komunikacji Kryzysowej – kluczowy element, który każda firma, niezależnie od jej wielkości czy branży, powinna mieć zawsze pod ręką.

Układ likwidacyjny w postępowaniu restrukturyzacyjnym

Układ likwidacyjny w postępowaniu restrukturyzacyjnym. Sprzedaż majątku przedsiębiorstwa w ramach postępowania restrukturyzacyjnego ma sens tylko wtedy, gdy z ekonomicznego punktu widzenia nie ma większych szans na uzdrowienie jego sytuacji, bądź gdy spieniężenie części przedsiębiorstwa może znacznie usprawnić restrukturyzację.

REKLAMA

Ile jednoosobowych firm zamknięto w 2024 r.? A ile zawieszono? [Dane z CEIDG]

W 2024 r. o 4,8 proc. spadła liczba wniosków dotyczących zamknięcia jednoosobowej działalności gospodarczej. Czy to oznacza lepsze warunki do prowadzenia biznesu? Niekoniecznie. Jak widzą to eksperci?

Rozdzielność majątkowa a upadłość i restrukturyzacja

Ogłoszenie upadłości prowadzi do powstania między małżonkami ustroju rozdzielności majątkowej, a majątek wspólny wchodzi w skład masy upadłości. Drugi z małżonków, który nie został objęty postanowieniem o ogłoszeniu upadłości, ma prawo domagać się spłaty równowartości swojej części tego majątku. Otwarcie restrukturyzacji nie powoduje tak daleko idących skutków.

REKLAMA