REKLAMA

REKLAMA

Kategorie
Szukaj
Sklep
Kalkulatory
Szkolenia
Załóż konto
Zaloguj się
Nie pamiętam hasła
Zaloguj się

Zarejestruj się

Proszę podać poprawny adres e-mail Hasło musi zawierać min. 3 znaki i max. 12 znaków
* - pole obowiązkowe
Załóż konto Zaloguj się
Przypomnij hasło
Witaj
Usuń konto
Twoje dane
Aktualizacja danych
  Informacja
Twoje dane będą wykorzystywane do certyfikatów.
Konto
Serwisy
Strona główna » Moja firma » Biznes » e-Firma » Programy dla firm » Robaki wyłażą z maili

Robaki wyłażą z maili

Subskrybuj nas na Youtube
Dołącz do ekspertów Dołącz do grona ekspertów
30 lipca 2008, 12:34
Kaspersky Lab Polska

REKLAMA

REKLAMA

Poczta elektroniczna uważana jest za jeden z najpopularniejszych wektorów infekcji. Oprócz szkodliwych programów załączanych do wiadomości poczta elektroniczna wiąże się również z innymi zagrożeniami, takimi jak phishing oraz wiadomości zawierające odsyłacze do zainfekowanych stron internetowych. Zagrożeniem jest również spam, który wykorzystuje metody socjotechniki w celu nakłonienia użytkowników do wykonania określonych działań.

Główni "eksporterzy" szkodliwego oprogramowania wysyłanego mailami

REKLAMA

REKLAMA


Warto zacząć od przeglądu państw, z których pochodzą zainfekowane wiadomości. Poniższy diagram pokazuje państwa ułożone według ilości szkodliwych plików wysyłanych z serwerów zlokalizowanych w określonym położeniu geograficznym.

 

REKLAMA

Państwa stanowiące źródła zainfekowanych e-maili

Dalszy ciąg materiału pod wideo


W pierwszej piątce znajdują się Stany Zjednoczone, Niemcy, Szwecja, Hiszpania oraz Malezja. Należy pamiętać, że zainfekowane wiadomości e-mail mogą pozostać w obrębie kraju, z którego zostały wysłane. Dlatego nie można powiedzieć, że liderzy rankingu stanowią takie samo zagrożenie dla reszty świata jak dla użytkowników mieszkających w państwach, z których zostały wysłane.


Szkodliwe programy rozprzestrzeniane za pośrednictwem poczty elektronicznej

 

Szkodliwy ruch pocztowy: rozkład szkodliwych programów według zachowania


Kaspersky Anti-Virus jest zainstalowany na serwerach pocztowych na całym świecie. Powyższy diagram pokazuje 10 najczęstszych werdyktów wydawanych przez rozwiązanie, wskazując najbardziej rozpowszechnione szkodliwe zachowania programów rozprzestrzenianych za pośrednictwem poczty elektronicznej. Te dziesięć zachowań stanowi przeważającą większość szkodliwych programów wykrywanych w ruchu pocztowym, pozostałe zachowania stanowią 1% całkowitej liczby zainfekowanych załączników.


Zachowania z pierwszej dziesiątki zostały szczegółowo zbadane w dalszej części tekstu.


Robaki pocztowe


Robaki pocztowe stanowią ponad połowę wszystkich szkodliwych programów rozprzestrzenianych za pośrednictwem poczty elektronicznej (55%). Ich czołowa pozycja jest uzasadniona: robaki nie tylko są rozsyłane w masowych wysyłkach przez cyberprzestępców, ale potrafią również samodzielnie się rozprzestrzeniać.


Zgodnie z systemem klasyfikacji firmy Kaspersky Lab, programy, które oprócz funkcjonalności robaka pocztowego posiadają jeszcze dodatkową funkcjonalność, takie jak robak sieciowy czy robak, postrzegane są jako większe zagrożenie. W takich przypadkach, rozprzestrzenianie za pośrednictwem poczty elektronicznej jest dodatkową funkcją. W rezultacie, przedstawiciele zachowań robak sieciowy (6%) i robak (0,56%) wykryci w ruchu pocztowym mogą być uważani za samodzielnie rozprzestrzeniające się programy. To oznacza w rzeczywistości, że odsetek szkodliwych programów z funkcjonalnością robaka pocztowego jest wyższy niż 55 %. Wśród programów rozprzestrzeniających się za pomocą poczty elektronicznej, ponad 61% to programy, które potrafią się samodzielnie rozprzestrzeniać.


W 2007 roku ogólny trend rozprzestrzeniania się robaków pocztowych charakteryzował się gwałtownymi wzrostami i spadkami liczby tych szkodników. Poniższy wykres pokazuje liczbę szkodliwych programów wykazujących zachowanie robaka pocztowego.

 

Liczba nowych szkodliwych programów wykazujących zachowanie robak pocztowy


Trzy wzniesienia na wykresie wskazują wzmożoną aktywność autorów robaka Email-Worm.Win32.Zhelatin. Robak ten, znany również jako Storm Worm, w 2007 roku został liderem wśród robaków ze względu na liczbę wariantów nowych szkodliwych plików.

 

 Rozkład robaków pocztowych według rodziny

 


Zhelatin (Storm Worm)


Aby mieć pewność, że ich twór zdoła przetrwać, autorzy Zhelatina zastosowali nową strategię. Wygląda na to, że cyberprzestępcy stworzyli linię produkcyjną szkodliwego kodu, która pozwoliła im wypuszczać nowe wersje szkodnika szybciej niż firmy publikowały aktualizacje antywirusowych baz danych. Nowe szkodliwe programy powstające na linii produkcyjnej testowane były na programie antywirusowym. Próbki, które zostały wykryte przez program, były odrzucane jako wadliwe, a te, którym udało się przejść test, były automatycznie kopiowane na kilka specjalnych serwerów sieciowych w Internecie wykorzystywanych do rozprzestrzeniania nowych wersji programu


Zhelatin stał się czymś w rodzaju punktu odniesienia w ewolucji szkodliwych programów. Jego autorzy zaimplementowali wszystkie swoje osiągnięcia z ostatnich lat. Od samego początku celem Zhelatina było zbieranie adresów e-mail z zaatakowanych komputerów oraz wysyłanie ich do Internetu (adresy te były następnie odsprzedawane spamerom). Później twórcy wirusów wykorzystywali uaktualnioną wersję Zhelatina do stworzenia sieci komputerów zombie (botnet). Tego rodzaju botnety są w pewnym sensie unikatowe. Są to sieci zombie peer-to-peer, w których komputery zombie łączą się z centrum kontroli i dowodzenia, tylko jeśli jest dostępne. Jeśli serwer taki nie zostanie znaleziony lub w danym momencie nie będzie działał, maszyny zombie mogą połączyć się ze sobą, przekazując dane dalej. Każdy komputer zombie posiada krótką listę najbliższych sąsiadów, z którymi się komunikuje. Twórcy szkodnika nie wyposażyli robaka w żadną funkcję szkodliwą, ale spowodowali, że był on niewidoczny dla użytkownika dzięki wykorzystaniu w szkodliwym programie technologii rootkit.


Rok przed pojawieniem się robaka Storm przewidywaliśmy powstanie linii produkcyjnej szkodliwego kodu. Ze względu na potencjalne ryzyko nie rozgłaszaliśmy naszych przypuszczeń, ale jednocześnie szykowaliśmy się na odparcie zagrożenia. Głównym problemem jest szkodliwy kod wykorzystywany do tworzenia nowych wersji szkodliwego programu. Nie posiadamy fizycznego dostępu do tego kodu, co oznacza, że nie możemy go przeanalizować i stworzyć programu, który mógłby go wykrywać, tak jak zwykle czynimy w przypadku wirusów polimorficznych. Stanowiło to problem jeszcze na długo przed tym, zanim pojawił się Email-Worm.Win32.Zhelatin.


Należy zauważyć, że Zhelatin nie był pierwszym szkodnikiem, który stosował takie podejście. W zeszłym roku od września do października aktywnie rozprzestrzeniał się bardzo podobny do niego Email-Worm.Win32.Warezov. W niektóre dni wykrywaliśmy dziesiątki nowych wariantów tego robaka. Stało się jasne, że nastała nowa era. W 2007 roku za wzrost liczby nowych rodzin szkodliwych programów z funkcjonalnością robaka pocztowego odpowiedzialne były głównie robaki Warezov i Zhelatin. Widać to na poniższym wykresie.

 

Liczba nowych robaków pocztowych: Warezov i Zhelatin


Jak widać na wykresie, linia przedstawiająca liczbę nowych plików Zhelatina i Warezova jest praktycznie taka sama jak linia obrazująca liczbę nowych programów typu robak pocztowy.


Sytuacja robaków pocztowych jest dość jasna: takie programy istnieją i nic nie wskazuje na to, że w najbliższej przyszłości znikną, mimo że nie ma również żadnym podstaw, aby przewidywać nagły wzrost ich liczby. Takie wzrosty, jak widać na powyższym wykresie, występują spontanicznie.


Szkodliwe programy wykazujące inne zachowania


Drugie miejsce na liście najbardziej rozpowszechnionych zachowań zajmuje trojan downloader (15%). Są to uniwersalne downoadery stworzone w celu pobierania z Internetu dowolnego szkodliwego kodu. Masowe rozsyłanie trojanów downloaderów zamiast określonego szkodliwego programu zwiększa szanse twórców wirusów na znalezienie podatnej na infekcje maszyny. Trojan downloader zaczyna od wyłączenia ochrony antywirusowej, a następnie pobiera za pośrednictwem Internetu inny szkodliwy program i uruchamia go na zaatakowanej maszynie.

Jeśli trojanowi downloaderowi uda się wyłączyć ochronę antywirusową na zaatakowanym komputerze, będzie mógł pobrać dowolny program, łącznie z tymi dobrze znanymi, które potrafi wykrywać każdy program antywirusowy. Tak więc twórcy szkodliwego kodu nie muszą tworzyć nowych wersji konkretnego szkodliwego programu; zamiast tego mogą wykorzystać istniejący już kod oraz prostego trojana downloadera. Rozwijanie takich programów wymaga minimalnego wysiłku, stąd ich duża popularność.


Tuż za trojanem downloaderem znajduje się trojan szpiegujący (13%). Programy te powstają w celu umożliwienia kradzieży poufnych informacji. Cyberprzestępcy kradną zarówno informacje z komputerów korporacyjnych w celu uzyskania dostępu do sieci korporacyjnych, jak i z komputerów osobistych, wykorzystując je następnie do prywatnych celów.


Kolejne zachowania znajdują się daleko za liderami i każde z nich stanowi 3% szkodliwego kodu w ruchu pocztowym.


Trojan dropper. Programy reprezentujące to zachowanie są podobne do trojanów downloaderów; ich celem jest instalowanie szkodliwych programów na zaatakowanej maszynie. Jedyną różnicą jest metoda wykorzystywana do dostarczania szkodliwego programu: trojany droppery przenoszą inne szkodliwe programy wewnątrz siebie, podczas gdy trojany downloadery (jak wskazuje ich nazwa) pobierają je z Internetu. Z danych statystycznych wynika, że cyberprzestępcy wolą wykorzystywać trojany downloadery, które umożliwiają uaktualnianie szkodliwego kodu umieszczanego online.


Exploit. Co ciekawe zachowanie to dość rzadko występuje w ruchu pocztowym, a wiadomości zawierające taki kod zazwyczaj wysyłane są podczas ukierunkowanych ataków hakerskich. Ze względu na to, że coraz mniej użytkowników uruchamia pliki wykonywalne z załączników, exploity zyskują obecnie coraz większą popularność. Exploity są wykorzystywane przez cyberprzestępców w celu uruchomienia kodu na komputerze użytkownika w momencie otwierania przez niego załącznika. Użytkownik nie musi zapisywać pliku wykonywalnego i uruchamiać go z dysku; wszystko następuje automatycznie, bez jego wiedzy czy zgody. Przewidujemy, że w przyszłości udział eksploitów w szkodliwym ruchu pocztowym zwiększy się, a za kilka lat będą na czołowej pozycji wśród szkodliwych programów rozprzestrzenianych za pośrednictwem poczty elektronicznej.


Zaskakująca jest obecność w pierwszej dziesiątce plików exe chronionych hasłem. Taki werdykt nie oznacza, że plik sam w sobie jest szkodliwy. Program antywirusowy wydaje taki werdykt, aby ostrzec użytkownika przed potencjalnym zagrożeniem. Plik exe chroniony hasłem oznacza samorozpakowujące się archiwa z hasłem. Aby uruchomić taki program, użytkownik musi wprowadzić hasło, tak aby program mógł rozpakować jeden lub więcej plików w celu ich wykonania. Wiele szkodliwych programów jest rozprzestrzenianych w takich samorozpakowujących się archiwach wraz z hasłem podanym w treści wiadomości. Uniemożliwia to rozpakowanie archiwów i wykrycie zawartego w nich szkodliwego oprogramowania przez programy antywirusowe, które skanują ruch pocztowy.


Pierwszą dziesiątkę zamykają programy z klasy TrojWare (1,51%) oraz VirWare (1,15%). TrojWare obejmuje szereg różnych programów trojańskich reprezentujących zachowanie, które nie może zostać skategoryzowane do innej klasy. W rezultacie, nie są one szczególnie interesujące. Pliki wykazujące zachowanie wirusa to zwykle pliki, które zostają zainfekowane na zaatakowanym komputerze. To oznacza, że są one rozsyłane przez użytkownika, który nie jest świadomy tego, że wysyła zainfekowane pliki.


Najbardziej rozpowszechnione rodziny w zainfekowanym ruchu pocztowym

Poniższy diagram pokazuje rozkład 10 najbardziej rozpowszechnionych szkodliwych programów według rodziny (zachowanie nie jest tutaj brane pod uwagę).

 

Rozkład szkodliwych programów w ruchu pocztowym według rodziny


Mimo że w 2007 roku Zhelatin był niekwestionowanym liderem pod względem liczby wariantów szkodliwych plików, nie zmieścił się w pierwszej dziesiątce w rankingu opartym na całkowitej liczbie plików w ruchu pocztowym. Liderem jest tutaj weteran - Worm.Win32.Netsky. Za nim znajdują się wysyłki oszukańczych wiadomości, rzekomo wysyłane przez banki, które klasyfikujemy jako Trojan-Spy.HTML.Bankfraud.


Z dwóch robaków pocztowych, które spowodowały największe zamieszanie w tym roku, Zhelatina i Warezova, tylko Worm.Win32.Warezov znalazł się na liście, i to dopiero na piątym miejscu.


Zhelatin nie był w stanie pobić Warezova. Autorzy Zhelatina prawdopodobnie nie chcieli, aby ich program dominował w zainfekowanym ruchu pocztowym. Jednak ich implementację funkcji robaka pocztowego nie można zaliczyć do udanych, jeśli porównamy ją z innymi funkcjami tego szkodliwego programu.


Wnioski


Na zakończenie należy podkreślić kilka punktów.


Po pierwsze, w 2006 roku zmieniło się podejście do tworzenia szkodliwego kodu. Cyberprzestępcy zaczęli rozwijać programy, które w określonych odstępach czasu potrafiły automatycznie tworzyć szkodliwy kod. Mimo że nie przewidywaliśmy, że taka linia produkcyjna będzie działała tak długo, tak się stało, a mechanizm używany do tworzenia nowych wariantów Warezova nadal działa. W 2007 roku pojawił się następca Warezova - Zhelatin. Program ten został rozwinięty w podobny sposób. Jednak epidemie spowodowane tymi dwoma robakami słabną, co oznacza, że firmy antywirusowe znalazły sposób na zneutralizowanie takiej szkodliwej działalności.


Kolejną istotną zmianą jest wzrost zainteresowania aktywnym wykorzystywaniem kodu exploitów. Udział exploitów rozprzestrzenianych za pośrednictwem poczty elektronicznej rośnie; jest to niepokojące zjawisko, ponieważ powszechne wykorzystanie takiego kodu stanowi zagrożenie dla wszystkich użytkowników. Kod ten może być wykorzystany zarówno przez początkujących, jak i bardziej zaawansowanych szkodliwych użytkowników w celu infekowania atakowanych maszyn.


Ogólnie poziom zainteresowania wykorzystywaniem poczty elektronicznej jako wektora infekcji spada. Spowodowane jest to rosnącą liczbą nowych usług internetowych. Szkodliwe programy częściej wypuszczane są w "bezkres" Internetu niż do wąskich kanałów ruchu pocztowego. Nie oznacza to jednak, że możemy zapomnieć o szkodliwych programach rozprzestrzeniających się za pośrednictwem poczty elektronicznej. Jeśli stracimy czujność chociaż na chwilę, możemy przeoczyć zmianę trendów krytycznych w walce ze szkodliwym kodem.

Źródło: INFOR
Wersja do druku
Napisz do nas

Oceń jakość naszego artykułu

Dziękujemy za Twoją ocenę!

Twoja opinia jest dla nas bardzo ważna

Powiedz nam, jak możemy poprawić artykuł.
Zaznacz określenie, które dotyczy przeczytanej treści:
Autopromocja

REKLAMA

QR Code

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A.

REKLAMA

Moja firma
Boom w półprzewodnikach szansą dla Polski. Kluczowe będzie kształcenie inżynierów
22 maja 2026

Światowa branża półprzewodników do 2030 r. będzie potrzebować ok. milion dodatkowych specjalistów, w tym ponad 100 tys. inżynierów w Europie - wynika z opublikowanego w piątek raportu ManpowerGroup. Polska powinna mocniej postawić na kształcenie takich pracowników - uważają eksperci firmy.
Jakie są modele zarządzania AI w firmie? Jak sprawdzić czy AI przynosi korzyści organizacji?
23 maja 2026

AI wdraża cała organizacja, a nie tylko działy IT. Jakie są modele zarządzania AI w firmie? Zmienia się charakter pracy wykonywanej przez ludzi. Dziś chodzi o rozszerzanie możliwości człowieka dzięki współpracy ze sztuczną inteligencją. Jak sprawdzić czy AI przynosi korzyści organizacji?
Blokada wiz paraliżuje biznes? Firmy nie mogą realizować zagranicznych zleceń
22 maja 2026

W odcinaniu się od afery wizowej PiS rząd posuwa się do granic absurdu. Urzędnicy nie wydają pozwoleń na pracę i wiz osobom spoza UE, których polskie firmy potrzebują, żeby realizować zagraniczne kontrakty - informuje „PB"
Ceny skupu żywca wieprzowego w 2026 r. Minister rolnictwa podejrzewa zmowę cenową
21 maja 2026

Minister rolnictwa i rozwoju wsi Stefan Krajewski skierował oficjalne pismo do prezesa Urzędu Ochrony Konkurencji i Konsumentów (UOKiK) Tomasza Chróstnego, aby zbadać czy na rynku wieprzowiny nie dochodzi do zmowy cenowej. Powodem tej interwencji są niepokojące sygnały dotyczące cen skupu żywca wieprzowego, które mogą wskazywać na stosowanie nieuczciwych praktyk rynkowych i zmowę cenową.

REKLAMA

Po urodzeniu dziecka mają mniejsza szanse na nową pracę i awans. Kobiety zauważają też spadek zarobków
21 maja 2026

Rodzicielstwo okazuje się jednym z największych wyzwań wpływających na rozwój kariery zawodowej. Po urodzeniu dziecka mają mniejsza szanse na nową pracę i awans. Kobiety zauważają nawet spadek zarobków po narodzinach.
ePłatnik - bezpłatne szkolenie ZUS online 3 czerwca 2026 r.
20 maja 2026

ZUS zaprasza na bezpłatne szkolenie online - ePłatnik. Odbędzie się w dniu 3 czerwca 2026 r. o godz. 10:00. Sprawdź, jak się zapisać.
Zawarłeś umowę z takim kontrahentem, a on nie zapłacił za fakturę? Możesz ubiegać się o rekompensatę ze specjalnego funduszu. Ale nie wszystkich to dotyczy
22 maja 2026

Sprzedałeś pszenicę, mleko lub warzywa firmie skupującej, a ona zbankrutowała i nie zapłaciła? Ministerstwo Rolnictwa i Rozwoju Wsi ogłosiło ważne zmiany od 13 maja 2026 roku. Teraz możesz składać wnioski o rekompensatę z Funduszu Ochrony Rolnictwa dwa razy w roku – w lutym i marcu oraz lipcu i sierpniu. To daje szansę na szybsze odzyskanie pieniędzy. Sprawdź, kto może dostać rekompensatę w 2026.
Należyta staranność w łańcuchu dostaw w relacji z niemieckimi kontrahentami
19 maja 2026

Firmy niemieckie wywierają wpływ nie tylko na swoje spółki-córki, ale również na swoich zagranicznych dostawców, wymagając od nich określonych działań. Jakich? Co to oznacza w praktyce dla polskich kontrahentów?

REKLAMA

Ustawa KSC 2026 – kary do 10 mln euro za brak kontroli nad służbowymi telefonami. Czy Twoja firma jest gotowa?
16 maja 2026

Od kwietnia 2026 roku obowiązuje ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC), wdrażająca unijną dyrektywę NIS2. Firmy muszą mieć pełną kontrolę nad służbowymi urządzeniami – telefonami, laptopami, tabletami. Problem? Tylko 19% polskich firm jest na to przygotowanych, a kary mogą sięgać 10 milionów euro. Sprawdź, czy ustawa dotyczy Twojej firmy i co musisz zrobić, by uniknąć sankcji.
Kiedy lider przestaje nadążać
15 maja 2026

Rozmowa z Dagmarą Kołodziejczyk, prezeską zarządu Together Consulting, o tym, jak Eko-Przywództwo* może zmienić podejście menedżerów do zarządzania zespołami
Zapisz się na newsletter
Zakładasz firmę? A może ją rozwijasz? Chcesz jak najbardziej efektywnie prowadzić swój biznes? Z naszym newsletterem będziesz zawsze na bieżąco.
Zaznacz wymagane zgody
loading
Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich
Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj.
success

Potwierdź zapis

Sprawdź maila, żeby potwierdzić swój zapis na newsletter. Jeśli nie widzisz wiadomości, sprawdź folder SPAM w swojej skrzynce.

failure

Coś poszło nie tak

REKLAMA