Ewolucja stron www zawierających szkodliwy kod: styczeń - czerwiec 2007

Ewolucja stron www zawierających szkodliwy kod: styczeń - czerwiec 2007

Costin Raiu
Szef działu badań i rozwoju, Kaspersky Lab Romania

  1. Metody rozprzestrzeniania
  2. 20 najczęściej rozprzestrzenianych szkodliwych programów za pośrednictwem Internetu
  3. 20 państw, w których zlokalizowanych jest najwięcej zainfekowanych stron internetowych
  4. Specjalne przypadki
  5. Wnioski

Jest to pierwszy z serii raportów firmy Kaspersky Lab dotyczących ewolucji zainfekowanych stron www oraz szkodliwych programów dostarczanych za pośrednictwem Internetu.

W ostatnich latach zmieniły się mechanizmy dostarczania szkodliwego oprogramowania - w miejsce stałych nośników (dyskietek, płyt CD) wykorzystywana jest poczta elektroniczna (np. niesławny robak pocztowy LoveLetter) oraz bezpośrednie ataki sieciowe (np. CodeRed). Ostatnim krokiem w procesie ewolucji jest dostarczanie szkodliwego oprogramowania za pośrednictwem Internetu.

Wzrost liczby szkodliwych programów dostarczanych za pośrednictwem Internetu spowodowany był kilkoma czynnikami. Jednym z nich jest naturalnie stosunkowo duża liczba luk w zabezpieczeniach programu Microsoft Internet Explorer wykrytych w latach 2003-2006. Innym powodem jest niezgodność "filozoficzna" czy też projektowa między większością silników antywirusowych a sposobem uzyskiwania dostępu do stron www za pośrednictwem Internetu. Ponieważ do ustalenia, czy dany plik jest zainfekowany czy nie, większość silników antywirusowych potrzebuje jego pełnej kopii, podczas skanowania strumieni danych pojawiają się problemy. Naturalnie pomocne mogą tu być rozwiązania na poziomie proxy, które buforują strumień, a następnie - gdy zostanie całkowicie pobrany - przekazują go do silnika antywirusowego. Jednak są one jeszcze stosunkowo mało popularne.

Kolejnym czynnikiem, który miał wpływ na wzrost liczby szkodliwych programów dostarczanych za pośrednictwem Internetu, są prawdopodobnie próby blokowania wykonywalnych załączników w mailach. Jeszcze w 2003 i 2004 roku, gdy większość szkodliwych programów była dostarczana za pośrednictwem wiadomości e-mail (pliki .EXE/.SCR/.PIF itd.), wielu administratorów całkowicie blokowało załączniki wykonywalne. To spowodowało, że w celu rozprzestrzeniania swoich "dzieł" twórcy szkodliwego oprogramowania zaczęli wykorzystywać archiwa - na przykład pliki ZIP. W 2006 roku popularnym wektorem ataków były również dokumenty Microsoft Office zawierające exploity.

Twórcy szkodliwego oprogramowania znaleźli proste rozwiązanie: zamiast dostarczać ciało szkodliwego programu za pośrednictwem poczty elektronicznej zaczęli wysyłać adresy URL prowadzące do zainfekowanych stron www. Ponieważ bramy pocztowe sprawdzają tylko treść wiadomości pocztowej, rozwiązanie antywirusowe nie jest w stanie wykryć szkodliwego oprogramowania, do którego prowadzi odsyłacz zawarty w mailu.

Wymienione wyżej czynniki wyjaśniają, dlaczego w miejsce szkodliwego oprogramowania dostarczanego bezpośrednio do skrzynek odbiorczych pojawiły się szkodliwe programy umieszczane na serwerach internetowych, które albo uruchamiane są ręcznie przez użytkowników (socjotechnika), albo wykorzystują lukę w zabezpieczeniach przeglądarki internetowej.

Metody rozprzestrzeniania

Szkodliwe oprogramowanie umieszczone na stronie internetowej może zainfekować komputer na dwa sposoby:

Pierwszą metodą jest atak z wykorzystaniem socjotechniki. Na przykład, osoba atakująca wysyła wiadomość email zawierającą adres URL, który rzekomo prowadzi do strony internetowej mogącej zainteresować odbiorcę. Oto przykład takiej wiadomości:


Rys. 1: Email zawierający odsyłacz,
który prowadzi do szkodliwego oprogramowania.

W przedstawionym mailu odsyłacz do serwisu YouTube stanowi tylko przynętę i prowadzi do strony "video missing". Odsyłacz HREF do filmu wskazuje na adres IP, pod którym znajduje się strona www. Oto, co zobaczy użytkownik, gdy wejdzie na tę stronę:


Rys. 2. Fałszywa strona zawierająca szkodliwy plik wykonywalny.

Odsyłacz "click here" wskazuje na plik wykonywalny o nazwie "video.exe", będący wariantem robaka Zhelatin (http://www.viruslist.pl/encyclopedia.html?cat=13&uid=4763&o=2) (znanego również pod nazwą "Storm").

Inną metodą wykorzystywaną przez szkodliwe oprogramowanie w celu infekowania systemu za pośrednictwem Internetu jest wykorzystywanie exploitów atakujących przeglądarki internetowe. Oto przykład:


Rys.3. Źródło strony w HTML-u zawierającej exploit atakujący przeglądarkę Mozilla Firefox.

Powyżej znajduje się fragment strony zawierającej zaszyfrowany exploit atakujący przeglądarkę internetową. Większość stron www zawierających exploity atakujące przeglądarki internetowe wykorzystuje pewien rodzaj zaciemniania w celu uniknięcia wykrycia przez system IDS co jest możliwe za pomocą skanowania strumienia TCP/IP w celu znalezienia znanych schematów, jak również prostych systemów antywirusowych opartych na sygnaturach. Po odszyfrowaniu można przeanalizować kod exploita:


Rys. 4. Fragment odszyfrowanego exploita (Trojan-Downloader.JS.Agent.ep)

W takim przypadku szkodliwy kod próbuje załadować plik ".WMV" o bardzo długiej nazwie, który jest exploitem Windows Media Player Plug-In EMBED Overflow (udokumentowanym w Microsoft Security Bulletin MS06-006 - "Usterka w dodatku plug-in Windows Media Player do przeglądarek internetowych innych producentów umożliwia zdalne wykonanie kodu" (911564)). Współczesne przeglądarki przekażą takie żądania do Windows Media Player i jeśli będzie on podatny na ataki, dojdzie do infiltracji systemu. Interesujące jest to, że nawet jeśli system posiada najnowszą wersję przeglądarki internetowej, ale podatny na ataki Windows Media Player, zostanie zainfekowany.

Jak już wspomnieliśmy wcześniej, istnieją dwa główne sposoby przenikania szkodliwego oprogramowania do atakowanego komputera za pośrednictwem Internetu: poprzez wykorzystanie metod socjotechniki lub exploity atakujące przeglądarki internetowe. Nikogo nie powinno dziwić, że w celu zwiększenia szans na powodzenie twórcy szkodliwego oprogramowania stosują w większości przypadków obie metody w połączeniu.

Dobrym przykładem połączenia tych metod jest robak Zhelatin, o którym wspominaliśmy już wcześniej. Kod strony internetowej, poprzez którą rozprzestrzeniany jest szkodnik, został stworzony w języku PHP i zanim wyświetli użytkownikowi zainfekowaną stronę, wykonuje kilka rzeczy. Przede wszystkim sprawdza ciąg identyfikujący przeglądarkę "User-Agent". Jeśli ciąg ten jest mniej rozpowszechniony, jak w przypadku przeglądarki Safari w systemie MacOS lub Lynx w Linuksie, będzie próbował wyświetlić stronę, która wykorzystuje socjotechnikę. Jeżeli ciąg identyfikujący przeglądarkę będzie należał do Internet Explorera, np. "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)", wyświetli specjalną stronę zawierającą określone exploity atakujące przeglądarkę IE. To samo odnosi się do przeglądarki Firefox.

20 najczęściej rozprzestrzenianych szkodliwych programów za pośrednictwem Internetu

Na początku 2006 r. wzrosła liczba szkodliwych programów rozprzestrzenianych za pośrednictwem Internetu w porównaniu z klasycznymi w tym czasie metodami rozprzestrzeniania szkodliwego oprogramowania za pośrednictwem poczty elektronicznej i ataków sieciowych. Dlatego firma Kaspersky Lab opracowała "Akross", system, który nieustannie monitoruje strony internetowe w celu znalezienia szkodliwej zawartości. Od tego czasu Akross zidentyfikował ponad 53000 unikatowych stron www zawierających szkodliwe programy, z czego ponad 28000 w pierwszej połowie 2007 roku.

Miejsce Nazwa szkodliwego programu %%
1 Trojan-Downloader.Win32.Small.on 11,26
2 Trojan-Downloader.Win32.Zlob.bbr 6,01
3 Trojan-Downloader.Win32.Zlob.bjt 4,59
4 Trojan.Win32.DNSChanger.is 3,19
5 Trojan-Downloader.Win32.Zlob.bon 3.17
6 Trojan.Win32.DNSChanger.ih 2,74
7 Trojan.Win32.DNSChanger.hk 2,50
8 not-a-virus:Porn-Dialer.Win32.PluginAccess.s 2,08
9 Trojan.Win32.DNSChanger.io 1,77
10 Trojan.Win32.DNSChanger.jb 1.02
11 Trojan.Win32.DNSChanger.ik 0,76
12 Trojan-Downloader.Win32.Small.damtd> 0,62
13 Trojan-Spy.Win32.Banker.ciy 0,59
14 Trojan-PSW.Win32.OnLineGames.es 0,48
15 Backdoor.Win32.Rbot.gen 0,48
16 Trojan-Spy.Win32.Banker.anv 0,42
17 Trojan-Spy.Win32.Banker.awa 0,40
18 Trojan-Downloader.Win32.CWS.j 0,36
19 Trojan.Win32.DNSChanger.hj 0,36
20 Trojan-Spy.Win32.Bancos.zm 0,34
Rys. 5. 20 szkodliwych programów najczęściej pobieranych z zainfekowanych stron internetowych (styczeń - czerwiec 2007)

Znajdujący się na szczycie rankingu Trojan-Downloader.Win32.Small.on jest typowym trojanem downloaderem, który pobiera inny plik wykonywalny z wbudowanego w jego kod adresu URL, a następnie wykonuje go. Trojany downloadery zwykle są powszechnie wykorzystywane na wielopoziomowych stronach www zawierających szkodliwy kod, gdzie zazwyczaj rezydujący w pamięci exploit ładuje niewielkiego trojana downloadera, który następnie ładuje ostatnią funkcję szkodliwą lub kolejnego downloadera.

Innym interesującym przykładem jest Zlob, którego kilka wariantów znajduje się na szczycie rankingu. Na początku tego roku Zlob był bardzo popularny; jednak liczba tych programów zaczęła się zmniejszać do tego stopnia, że obecnie rzadko można je spotkać. W większości przypadków Zlob instalowany był przy użyciu socjotechniki: stworzono strony www rzekomo oferujące wideokodeki do pobrania, które miały umożliwić odtworzenie płyt DVD oraz filmów w różnych formatach.


Rys. 6. Fałszywe strony wykorzystywane do rozprzestrzeniania wariantów trojana Zlob.

Jak wynika z listy 20 najczęściej rozprzestrzenianych szkodliwych programów za pośrednictwem Internetu, dość rozpowszechniony jest DNSChanger. Między trojanem Zlob a DNSChanger istnieje pewien związek - według nas, szkodniki te zostały stworzone przez ten sam gang. Mimo że w ciągu swojego życia DNSChanger przeszedł wiele zmian, jego podstawowe działanie polega na tym, że na zaatakowanym komputerze manipuluje adresami serwerów DNS i kieruje je na dwa ustalone adresy IP. Adresy IP wybierane są spośród dużej puli. Krążą tysiące wariantów trojana DNSChanger, z których każdy ustawia serwery DNS na inne adresy IP. Mimo że zmiana serwerów DNS nie jest czymś szczególnie szkodliwym, osoba, która to zrobi, może w rzeczywistości wyrządzić wiele szkód - na przykład, przekierować strony www, takie jak Amazon.com czy Bank Of America na strony phishingowe, tak aby użytkownik w ogóle się nie zorientował. Aby utrudnić usuwanie takich programów, najnowsze wersje trojana DNSChangers zawierają komponenty rootkitów, a nawet pobierają dodatkowe szkodliwe oprogramowanie.

Jak sugeruje jego nazwa, not-a-virus:Porn-Dialer.Win32.PluginAccess.s, nie jest wirusem. Szkodnik ten należy do rodziny programów, które znajdują się na granicy szkodliwego oprogramowania oraz oprogramowania, które może być przydatne dla niektórych użytkowników.


Rys. 7. Dwa pliki wykonywalne programu 'not-a-virus:Porn-Dialer.Win32.PluginAccess.s' z charakterystycznymi ikonami

Warianty PluginAccess.s zawierają zazwyczaj szereg różnych płatnych numerów specyficznych dla danego państwa, które są wybierane w zależności od reguł wybierania numerów danego telefonu komórkowego oraz appletu "Modem Options Control Panel" w systemie Windows. Po tym, jak użytkownik wybierze płatny numer, otrzyma znacznik uwierzytelniający, który umożliwia dostęp do różnych usług za pośrednictwem Internetu. W celu zainstalowania PluginAccess wykorzystuje się najczęściej socjotechnikę, ponieważ program przedstawiany jest zazwyczaj jako metoda umożliwiająca wejście na różne strony przeznaczone dla dorosłych. Koszt dostępu jest podany, dlatego przypadkowe infekcje trojanem PluginAccess są rzadkie. Z tego powodu program ten nie jest klasyfikowany jako szkodliwe oprogramowanie, ale "not-a-virus". Popularność takich programów wynika prawdopodobnie z tego, że umożliwiają one dostęp do różnych płatnych serwisów bez konieczności posiadania karty kredytowej - koszt obciąża bezpośrednio rachunek telefoniczny użytkownika.

Na uwagę zasługuje również Trojan-Spy.Win32.Banker.ciy. Trojany bankery to szkodliwe programy, które próbują kraść dane dostępu do bankowości elektronicznej; niektóre przeprowadzają nawet ataki typu "man-in-the-middle" na sesję internetową użytkownika. Szczególnie w ostatnich miesiącach wzrosła liczba ataków na banki przeprowadzanych z użyciem trojanów z rodziny bankerów. Trojan-Spy.Win32.Banker.ciy uzyskał nawet miano najbardziej pazernego trojana atakującego karty płatnicze na liście 20 najbardziej charakterystycznych szkodliwych programów w marcu 2007 r. (http://www.viruslist.pl/weblog.html?weblogid=397). Szkodnik ten zasłużył sobie na ten tytuł tym, że atakuje 5 systemów kart płatniczych.

Innym istotnym trendem w ewolucji szkodliwego oprogramowania jest tworzenie i rozprzestrzenianie trojanów, które kradną wirtualne przedmioty z gier online, takich jak World of Warcraft, EVE Online czy Legend of Mir. Gry te są szczególnie popularne w krajach azjatyckich, zwłaszcza w Korei i Chinach, jednak na całym świecie mają miliony fanów. Rzadkie przedmioty wirtualne w tych grach mogą być bardzo drogie, poza tym, istnieje powszechna praktyka handlowania nimi na eBayu czy innych stronach aukcyjnych za wirtualną gotówkę lub prawdziwe pieniądze. Ze względu na duże zapotrzebowanie na nie wzrasta liczba oszustw z wykorzystaniem wirtualnych przedmiotów. Przykładem tego, ile jest wart wirtualny przedmiot, jest najdroższy statek kosmiczny w grze EVE Online (http://www.eve-online.com/), który może kosztować równowartość 10 000 dolarów. Dlatego też nikogo nie powinno dziwić, że istnieje tak duże zainteresowanie tworzeniem szkodliwego oprogramowania, którego celem jest wirtualna własność - możliwość uzyskania korzyści finansowych jest oczywistym motorem.

Trojan-PSW.Win32.OnLineGames.es jest typowym przedstawicielem swojego rodzaju. Mimo że istnieje wiele modyfikacji tego trojana, większość z nich atakuje grę World of Warcraft (http://www.worldofwarcraft.com/). Trojany te monitorują proces gry i zbierają informacje o wszystkich uderzeniach klawiszy przez użytkownika, które są następnie przesyłane do osób atakujących. Następnie osoby te mogą zalogować się do gry przy pomocy skradzionego konta i sprzedawać przedmioty, walutę oraz postacie. Aby uniknąć wykrycia, wykorzystywane są skomplikowane operacje wirtualnego prania brudnych pieniędzy, co znacznie utrudnia śledzenie wirtualnych pieniędzy.

Na koniec warto wspomnieć jeszcze o trojanie Trojan-Downloader.Win32.CWS.j, który często występuje na zainfekowanych stronach. Szkodnik ten pobiera i instaluje warianty programu CWS, być może bardziej znanego jako CoolWebSearch. CoolWebSearch to szkodliwy program, który po raz pierwszy został wykryty w 2003 roku. Od tego czasu na wolności znaleziono ogromną liczbę nowych wariantów tego trojana, z których większość działała według tego samego schematu: "porywanie" strony startowej przeglądarki i wyświetlanie pornograficznych okienek wyskakujących. Z czasem warianty trojana CWS stawały się coraz bardziej złożone, a najnowsze zawierały komponenty rootkitów oraz funkcje retro, których celem jest wyłączenie programów antywiruswych.

Podsumowując, większość szkodliwych programów rozprzestrzenianych za pośrednictwem stron internetowych w pierwszej połowie 2007 roku można podzielić na cztery główne kategorie: fałszywe odtwarzacze filmów/DVD oraz kodeki, które są instalowane z wykorzystaniem socjotechniki (Zlob itd.), trojany "bankowe", szkodliwe oprogramowanie atakujące gry online oraz tak zwane oprogramowanie "szarej strefy", które ułatwia dostęp do stron internetowych przeznaczonych dla dorosłych.

20 państw, w których zlokalizowanych jest najwięcej zainfekowanych stron internetowych

Skąd więc pochodzą te wszystkie szkodliwe programy? Aby odpowiedzieć na to pytanie, należy przyjrzeć się rozwiązaniom wykorzystywanym przez cyberprzestępców w celu utrzymywania stron zawierających szkodliwe oprogramowanie.

Szkodliwe oprogramowanie umieszczone na stronach internetowych może znaleźć się tam na wiele różnych sposobów. Może występować na zaatakowanych komputerach, które zostały zainfekowane botami kontrolowanymi przez niewielkie serwery HTTP, które stają się punktami rozprzestrzeniania szkodliwego kodu. Może również znaleźć się na stronach dostawców usług internetowych na skutek włamania. Autorzy szkodliwego oprogramowania wykorzystują również firmy, które bezpłatnie udostępniają użytkownikom niewielkie ilości wolnego miejsca w Internecie na stworzenie własnych stron domowych. Przykładem może być www.pochta.ru, www.googlepages.com, www.100freemb.com, www.dump.ru or www.home.ro. Znane są również przypadki wykorzystywania skradzionych kart kredytowych do zakupu nazwy domeny oraz pakietu hostingowego od legalnego dostawcy usług internetowych i wykorzystania ich do rozprzestrzeniania szkodliwego oprogramowania.

Na początku tego roku średniej wielkości amerykańska firma hostingowa padła ofiarą ataku, w którym cyberprzestępcy wykorzystali niezabezpieczoną wersję Panelu Sterowania i zdobyli dostęp do wszystkich kont utrzymywanych na serwerach firmy. Osoby atakujące przejrzały strony kodowe (index) wszystkich stron www utrzymywanych na zaatakowanych maszynach i dodały niewielki skrypt wykorzystujący lukę w zabezpieczeniach przeglądarki IE. Następnie exploit ten instalował szkodliwe oprogramowanie, łącznie z rootkitem. Podobnie, w lutym została zaatakowana strona internetowa stadionu Super Bowl Dolphins Stadium, a do jej kodu źródłowego zostały wstrzyknięte exploity. Najnowszy incydent w historii włamań na strony internetowe dotyczy strony Bank of India, na którą włamano się pod koniec sierpnia 2007 r. Hakerzy zmodyfikowali kod strony głównej, tak aby zawierał exploit IE IFRAME, który rozprzestrzeniał szkodliwe oprogramowanie.

Na podstawie adresów IP, z których pochodziły szkodliwe programy wykryte przy użyciu Akross, sporządzono listę pokazującą rozkład geograficzny zainfekowanych stron www.

Miejsce Państwo %%
1 Chiny 31,44
2 Stany Zjednoczone 25,90
3 Rosja 11,05
4 Brazylia 4,40
5 Korea Południowa 3,64
6 Argentyna 2,90
7 Niemcy 2,31
8 Francja 1,70
9 Panama 1,53
10 Holandia 1,31
11 Ukraina 1,26
12 Kanada 1,24
13 Hiszpania 1,15
14 Wielka Brytania 1,15
15 Hong Kong 0,83
16 Włochy 0,72
17 Portugalia 0,70
18 Rumunia 0,68
19 Taiwan 0,65
20 Malezja 0,52
Rys. 8. 20 państw, w których znajduje się najwięcej stron www rozprzestrzeniających szkodliwe oprogramowanie

Na pierwszym miejscu listy państw, w których zlokalizowanych jest najwięcej zainfekowanych stron internetowych, znajdują się Chiny (31,44 proc. wszystkich stron), na drugim Stany Zjednoczone (25,90 proc.). W ostatnich latach państwa te zdominowały prawie wszystkie statystyki dotyczące szkodliwego oprogramowania, a ich kolejność zmieniała się w zależności od trendów w rozwoju szkodliwego oprogramowania oraz ewolucji systemów operacyjnych. Interesujące jest to, że podczas gdy w Chinach szkodliwe oprogramowanie rozprzestrzeniane jest głównie poprzez włamania na strony internetowe oraz poprzez tak zwany "bullet-proof hosting", w Stanach Zjednoczonych głównie poprzez włamania na strony internetowe ".com" oraz poprzez legalne pakiety hostingowe kupione przy użyciu skradzionych kart.

Na trzecim i czwartym miejscu uplasowały się Rosja i Brazylia. W obu państwach najwięcej szkodliwego oprogramowania znajduje się w "darmowych pakietach hostingowych".

W pozostałych państwach z rankingu żaden z wykorzystywanych nośników szkodliwego oprogramowania: zaatakowane komputery, darmowe pakiety hostingowe oraz legalne pakiety hostingowe kupione za skradzione pieniądze, nie jest dominujący.

Specjalne przypadki

Podczas monitorowania zainfekowanych stron internetowych w 2007 r. wykryto szereg stron, które były czymś więcej niż zwykłymi serwerami internetowymi dostarczającymi na żądanie plik wykonywalny lub wyświetlającymi stronę w HTML-u zawierającą exploit.

Najciekawszymi z tych przypadków są prawdopodobnie te zawierające "polimorfizm po stronie serwera". Tradycyjnie, polimorficzne szkodliwe oprogramowanie reprezentowane jest w większości przez wirusy polimorficzne, które modyfikują swój kod podczas każdego cyklu reprodukcyjnego. Ponieważ odpowiedzialny za modyfikację kod znajduje się w samym wirusie, można przewidzieć wszystkie warianty i stworzyć odpowiednie algorytmy wykrywania.

Dla przykładu: na początku 2006 r. wykryliśmy na stronie internetowej plik EXE, który wyglądał inaczej za każdym razem, gdy był pobierany. W tym konkretnym przypadku plik EXE nie różnił się bardzo (zmieniał się od czasu do czasu). Jednak ostatnie 42 bajty pliku były inne wraz z każdym pobraniem. W tym konkretnym przypadku wyglądało na to, że na koniec dodawana była kombinacja datownika i adresu IP pobierania jako znacznik pobranego szkodliwego oprogramowania. Później, gdy szkodnik (trojan szpiegujący) meldował się swojemu autorowi, zawierał znacznik z końca pliku. W ten sposób autor mógł powiązać każdą unikatową wersję szkodliwego oprogramowania z adresem IP, który go pobrał, oraz z infekcjami na całym świecie.

W 2006 roku zdarzały się przypadki, że osoba atakująca tworzyła od 1000 do 5000 wersji trojana poprzez spakowanie go za pomocą wewnętrznego narzędzia, które wykorzystywało losowy klucz szyfrowania za każdym razem, gdy było wywoływane. Następnie front-end PHP wybierał losowo próbkę i wyświetlał ją użytkownikowi. Dla firmy antywirusowej nieznającej tej metody z początku wyglądało to jak niekończący się strumień nowych infekcji, przynajmniej do czasu gdy można było zebrać wystarczająco dużo próbek, aby możliwe było wykrywanie generyczne. Ścisłe monitorowanie tej strony i podobnych do niej pozwoliło na opracowanie wykrywania generycznego, a w niektórych przypadkach generycznego rozpakowywania dla nieustannie pojawiających się trojanów.

Inny interesujący przypadek zaobserwowaliśmy na początku tego roku, gdy zaczęliśmy dokładnie monitorować stronę internetową rozprzestrzeniającą próbki Zhelatina. Warianty na serwerze zmieniały się mniej więcej co 90 sekund, jednak mniej więcej co 500. próbkę mogliśmy zaobserwować ciekawą rzecz. Wydawało się, że wykorzystywane narzędzie do szyfrowania opiera się na losowej wartości o rozmiarze około 9 bitów. W przypadku określonych liczb (0?), próbka pozostawała niezaszyfrowana. Pozwoliło nam to na otrzymanie kilku próbek rodziny Zhelatin zerowej generacji, przydatnych podczas analizy ze względu na brak zaciemnienia kodu.

Wnioski

Obserwując nieustannie zmieniające się metody rozprzestrzeniania szkodliwego kodu, można się spodziewać, że twórcy szkodliwych programów nadal będą wymyślali nowe sposoby infekowania komputerów. Obecne trendy obejmują rozprzestrzenianie szkodliwego oprogramowania za pośrednictwem sieci P2P oraz poprzez oprogramowanie o jawnym kodzie źródłowym.

Obecnie preferowanym medium rozprzestrzeniania szkodliwego oprogramowania jest Internet. Szczyt popularności metoda ta osiągnęła w maju 2007 r. Od tego czasu liczba nowych zainfekowanych stron internetowych trochę się zmniejszyła. Z pewnością jest to dobra wiadomość. Jednak każdego dnia nadal pojawia się wiele nowych zainfekowanych stron internetowych, a metody socjotechniki czy exploity wykorzystywane do zwabienia na nie użytkowników stają się coraz bardziej wyrafinowane.

Pod względem liczby zainfekowanych stron internetowych na pierwszym miejscu znajdują się Chiny oraz Stany Zjednoczone. Mimo sporych wysiłków podejmowanych przez władze tych państw wydają się one niekwestionowanymi liderami w tej niechlubnej dziedzinie. Podczas gdy w Stanach Zjednoczonych zainfekowana strona internetowa może zostać zdjęta w ciągu mniej niż 48 godzin, nie jest to możliwe w przypadku Chin. Znamy przypadki zainfekowanych stron w Chinach, które były aktywne przez ponad rok i wszelkie próby zamknięcia ich kończyły się niepowodzeniem. Z tego można wnioskować, że w Chinach będzie znajdować się coraz więcej zainfekowanych stron internetowych.

Firma Kaspersky Lab nadal będzie monitorowała sytuację; dane zawarte w kolejnych artykułach pokażą, czy połączone wysiłki firm antywirusowych i organów zajmujących się ściganiem cyberprzestępców będą miały pozytywny wpływ na liczbę stron internetowych zawierających szkodliwy kod.

Tymczasem użytkownicy powinni aktualizować swoje systemy operacyjne i przejść z Internet Explorera 6 na takie przeglądarki jak Firefox, IE7 oraz Opera, które mają opinię bezpieczniejszych. Ponadto, niezbędny jest produkt antywirusowy, który potrafi monitorować ruch sieciowy, ponieważ jak wynika z tego artykułu, Internet jest obecnie głównym wektorem infekcji dla szkodliwego oprogramowania.

Viruslist
Czytaj także
Polecane galerie