Artykuły Artykuły

Ewolucja szkodliwego oprogramowania 2006: podsumowanie

Dodano: 2007-03-10

Wyniki z końca roku

W 2006 roku utrzymały się trendy w ewolucji złośliwego oprogramowania z poprzednich lat. Jak zwykle liczba trojanów znacznie przewyższyła liczbę robaków, wzrosła również liczba nowych szkodliwych programów tworzonych w celu spowodowania strat finansowych.

W 2006 roku trojany stanowiły ponad 90% wszystkich nowych szkodliwych programów (zarówno nowych rodzin, jak i nowych wariantów).

Kolejno: Klasa, Udział procentowy, Zmiana
TrojWare 91,79% +2,79%
VirWare 4,7% -1,3%
MalWare 3,51% -1,49%

Rozkład złośliwych programów według klasy pod koniec 2006 roku.


W ciągu ostatnich kilku lat liczba trojanów stale wzrastała. Wynika to z tego, że programy te są stosunkowo łatwe do napisania i wykorzystania w celu kradzieży informacji, stworzenia bonetów oraz wysyłania spamu.

Jednym z najbardziej interesujących trendów 2006 roku był stały wzrost liczby trojanów szpiegujących (trojan-spy). Celem tych programów jest kradzież informacji od użytkowników posiadających konta w grach online. Innym ciekawym trendem była ciągła ewolucja trojanów przeznaczonych do szyfrowania danych. Programy takie zaczęły wykorzystywać profesjonalne algorytmy kryptograficzne w celu szyfrowania danych.

Z klasy TrojWare duży wzrost (+125%) odnotowały programy z grupy Trojan-PSW, z których większość tworzonych jest w celu kradzieży informacji dotyczących kont użytkowników gier online.

Liczba robaków i wirusów (z klasy VirWare) spadła o 1,3%. Był to znacznie mniejszy spadek w porównaniu z 2005 rokiem (-6,53%). Przyczyny można upatrywać w niewielkiej liczebności tej klasy. W przyszłości nie spodziewamy się dalszego spadku liczby programów z klasy VirWare. Raczej ich poziom osiągnie stan równowagi.

Jeśli chodzi o kategorię MalWare, najistotniejsze znaczenie w 2006 roku miało skoncentrowanie się twórców wirusów na pakiecie MS Office, a w konsekwencji pojawienie się dużej liczby exploitów dla tego pakietu.

Innym istotnym wydarzeniem było pojawienie się “prawdziwych" wirusów i robaków dla systemu MacOS X oraz trojanów dla platformy przenośnej J2ME. Te ostatnie miały na celu kradzież pieniędzy z kont użytkowników "mobilnych".

Ogólnie, liczba nowych szkodliwych programów wzrosła o 41% w stosunku do 2005 roku.

Twórcy wirusów coraz aktywniej koncentrują się na wykorzystywaniu niestandardowych wektorów infekcji: komunikatory internetowe, takie jak ICQ, AOL czy MSN, stały się najbardziej niebezpiecznymi aplikacjami internetowymi. Naturalnie ma to bezpośredni związek z dużą liczbą luk wykrytych w popularnych przeglądarkach, głównie w Internet Explorerze.

Ogólnie, z technicznego punktu widzenia był to interesujący rok. Na szczęście, minął bez globalnej epidemii porównywalnej do tych, jakie obserwowaliśmy w 2005 roku, na przykład epidemii wywołanej robakiem Mytob. Z drugiej strony, w miejsce epidemii globalnych, do pewnego stopnia, pojawiły się epidemie lokalne obejmujące konkretne obszary (Chiny, Rosja itd.) lub krótkotrwałe wybuchy aktywności wirusów.

W 2006 roku miało miejsce siedem poważnych epidemii wirusowych - o połowę mniej niż w 2005 roku. Epidemie te można podzielić na cztery grupy: wywołane robakiem Nyxem.e, robakiem Bagle, wariantami robaka Warezov oraz kilkoma wariantami trojana z grupy RansomWare - Gpcode.

Dziesięć najpopularniejszych programów w ruchu pocztowym w 2006 roku
Kolejno: Pozycja, Nazwa, Zmiana pozycji w 2006 roku*

1 Net-Worm.Win32.Mytob.c 0
2 Email-Worm.Win32.LovGate.w +4
3 Email-Worm.Win32.NetSky.b +2
4 Email-Worm.Win32.NetSky.t Nowość
5 Email-Worm.Win32.Nyxem.e Nowość
6 Email-Worm.Win32.NetSky.q -4
7 Net-Worm.Win32.Mytob.u +2
8 Net-Worm.Win32.Mytob.t +7
9 Net-Worm.Win32.Mytob.q -1
10 Email-Worm.Win32.Scano.gen Nowość

* W porównaniu z wynikami z 2005 roku.

Najważniejsze zmiany w stosunku do 2005 roku

W 2006 roku branża antywirusowa musiała stawić czoła wielu nowym problemom i zagrożeniom. Coraz więcej wirusów tworzono w celach cyberprzestępczych. Wzrosła liczba szkodliwych programów w dziedzinach uznawanych wcześniej za stosunkowo bezpieczne, takich jak gry online i serwisy społecznościowe (blogi i fora). Miliony użytkowników popularnych sieci gier, takich jak World of Warcraft czy Lineale, stały się celem azjatyckich twórców wirusów, próbujących ukraść informacje wykorzystywane w celu uzyskania dostępu do kont użytkowników. Największe społeczności autorów blogów regularnie padły ofiarą prób rozprzestrzeniania wirusów i trojanów za pośrednictwem blogów.

Z braku luk krytycznych w usługach systemowych Microsoft Windows hakerzy i inni szkodliwi użytkownicy zwrócili się w kierunku innych popularnych programów: Microsoft Office oraz Internet Explorer. Word, Excel oraz PowerPoint stały się celem “czarnych kapeluszy". Liczba luk wykrytych w ciągu roku wyniosła dwa tuziny. Wszystkie z nich zostały publicznie ujawnione, zanim Microsoft opublikował odpowiednie łaty.

W 2006 roku szkodliwi użytkownicy wytoczyli ciężkie działo i zaczęli szyfrować pliki użytkownika, aby wymusić od ofiar okup. W 2005 roku programy takie miały ograniczoną funkcjonalność, ponieważ wykorzystywały prymitywne algorytmy szyfrowania stworzone przez cyberprzestępców. Jednak w 2006 roku programy te stosowały profesjonalne algorytmy kryptograficzne, takie jak RSA, powszechnie uznawane za jedne z najbardziej bezpiecznych.

Ponieważ powstają coraz lepsze technologie antywirusowe, twórcy wirusów muszą wykazać się coraz większą kreatywnością jeśli chodzi o sposoby zwalczania rozwiązań bezpieczeństwa. Przeważająca większość nowych złośliwych programów wykorzystuje szereg różnych metod w celu pakowania kodu. Utrudnia to analitykom wirusów analizę takich plików. Szyfrowanie coraz częściej wykorzystywane jest do utrudnienia analizy.

Jeśli uwzględnimy nową tendencję objawiającą się w krótkotrwałych, zlokalizowanych epidemiach na szeroką skalę, zmiany, które zostały omówione wyżej, oznaczają, że firmy antywirusowe zmuszone są do szybszej reakcji na te rodzaje zagrożeń.

Czego należy się spodziewać w 2007 roku

Na podstawie przedstawionych informacji możemy się spodziewać, że w 2007 roku twórcy wirusów nadal będą tworzyli trojany wykorzystywane do kradzieży informacji użytkownika. Głównym celem pozostaną użytkownicy różnych systemów bankowych i płatności online, jak również gier online.

Symbioza pomiędzy twórcami wirusów i spamerami spowoduje, że zainfekowane komputery będą wykorzystywane do wywoływania nowych epidemii, przeprowadzania precyzyjnych ataków oraz masowego wysyłania spamu.

Poczta elektroniczna oraz luki w przeglądarkach nadal będą stanowić główne wektory infekcji wykorzystywane do przenikania do systemów komputerowych. Zmniejszy się liczba bezpośrednich ataków na porty. Ataki te będą zależały od tego, czy zostaną zidentyfikowane luki krytyczne w usługach Windows. Sieci P2P oraz kanały IRC będą wykorzystywane do rozprzestrzeniania złośliwych programów prawdopodobnie tylko w przypadku lokalnych ataków (np. popularny w Japonii klient sieci P2P Winny może stanowić poważny problem dla azjatyckich użytkowników w 2007 roku). Komunikaty internetowe nadal będą znajdowały się w pierwszej trójce najpopularniejszych wektorów infekcji; nie oczekujemy jednak znacznego wzrostu.

Epidemie i ataki wirusów będą coraz wyraźniej określone pod względem obszaru geograficznego. Na przykład, w Azji pojawią się głównie trojany i robaki z funkcjonalnością wirusów, natomiast większość złośliwych programów w Europie i Stanach Zjednoczonych będą stanowiły trojany szpiegujące i backdoory. Ameryka Południowa i Łacińska nadal będą nękane różnymi trojanami bankowymi.

Vista, nowy system operacyjny Microsoftu, z pewnością odegra decydującą rolę w 2007 roku. Zarówno Vista, jak i wykryte w niej luki będą stanowiły decydujący czynnik w ewolucji złośliwego kodu w przeciągu kolejnych kilku lat. Chociaż nastąpienie poważnych zmian w najbliższej przyszłości jest nieprawdopodobne, ten nowy produkt z pewnością ustanowi przyszłe trendy. Złośliwe programy nadal będą wykorzystywały innowacje technologiczne i różne sposoby maskowania swojej obecności w zainfekowanych systemach. Nowe metody polimorficzne, kod "śmieci" oraz technologie rootkit staną się coraz bardziej rozpowszechnione, w końcu będą stanowiły standard dla większości nowych złośliwych programów.

Nastąpi również znaczny wzrost liczby złośliwych programów dla innych systemów operacyjnych, zwłaszcza dla systemu MacOS X oraz systemów uniksowych. Szkodliwi użytkownicy będą prawdopodobnie badać szerzej możliwości związane ze złośliwym kodem atakującym konsole do gier, takie jak PlayStation i Nintendo. Nieustannie wzrastająca liczba takich urządzeń oraz ich nowe możliwości komunikowania się między sobą oraz z Internetem mogą przyciągnąć uwagę twórców wirusów. Na razie jednak ataki te będą ograniczały się do kodu typu "proof of concept" oraz wandalizmu. W 2007 roku może nastąpić przełom w ewolucji wirusów, które nie są tworzone dla komputerów, mimo że prawdopodobieństwo nie jest bardzo wysokie i przełom ten ograniczy się prawdopodobnie do dużej liczby programów typu "proof of concept".

Wzrośnie liczba precyzyjnych ataków na średnie i duże przedsiębiorstwa. Oprócz tradycyjnej kradzieży informacji, celem tych ataków będzie wymuszenie pieniędzy od atakowanych organizacji, łącznie z żądaniem okupu w zamian za odszyfrowanie danych. Pliki pakietu MS Office będą należały do głównych wektorów infekcji, podobnie jak luki wykryte w tym produkcie.

Autor: http://Kaspersky.pl