Kaspersky Security Bulletin 2007: Ewolucja szkodliwego oprogramowania w 2007 r.

Kaspersky Security Bulletin 2007: Ewolucja szkodliwego oprogramowania w 2007 r.

Alexander Gostev
Starszy analityk wirusów, Kaspersky Lab

Raport przygotowano w oparciu o nową metodę statystyczną, dlatego zawarte w nim dane liczbowe dla 2006 r. - obliczone z wykorzystaniem tej metody - mogą różnić się od tych zawartych w ostatnim raporcie rocznym.

Tekst zawiera dużo danych statystycznych i jest skierowany głównie do ekspertów z zakresu bezpieczeństwa IT specjalizujących się w szkodliwym oprogramowaniu. Zalecamy go również wszystkim użytkownikom, którzy interesują się wirusologią komputerową.


  1. Ewolucja szkodliwego oprogramowania w 2007 r.
  2. Trend roku: ewolucja szkodliwych programów atakujących użytkowników gier online
  3. Raport o spamie
  4. Szkodliwe oprogramowanie rozprzestrzeniające się za pośrednictwem poczty elektronicznej

Rok 2007 w skrócie

Rok 2007 zostanie zapamiętany jako rok upadku tak zwanych niekomercyjnych szkodliwych programów. Jednak dopiero czas pokaże, czy szkodniki te zniknęły na dobre. Na razie możemy powiedzieć jedynie tyle, że w 2007 roku osoby stojące za wszystkimi największymi epidemiami oraz szkodliwymi programami kierowały się pobudkami finansowymi. Jest to pewien przełom w stosunku do 2006 roku, gdy nadal pojawiały się wirusy wandale - przykładem może być epidemia spowodowana przez Nyxem.E, robaka, który nie robił nic poza rozprzestrzenianiem się i usuwaniem plików.

Prawie wszystkie epidemie w 2007 roku były krótkotrwałe i nie obejmowały całego Internetu, ale ograniczały się do określonych regionów i państw. Trend ten stał się standardem dla epidemii.

Bez wątpienia na tle licznych nowych szkodliwych programów, jakie pojawiły się w 2007 r., wyróżniał się robak Storm (sklasyfikowany przez Kaspersky Lab jako Zhelatin). Szkodnik ten zadebiutował w styczniu 2007 roku. W ciągu roku zademonstrował szereg różnych zachowań, metod rozprzestrzeniania się oraz taktyk socjotechniki. Wraz z każdym pojawieniem się nowej wersji tego stworzonego przez nieznanego autora szkodnika eksperci z dziedziny zwalczania szkodliwego oprogramowania rwali sobie włosy z głowy.

Zhelatin ucieleśniał prawie wszystkie osiągnięcia twórców szkodliwego oprogramowania w z ostatnich kilku lat, z których wiele pojawiło się wcześniej tylko jako kod "proof of concept". Obejmowały one technologie rootkit, śmieciowy kod, botnet, który potrafi zabezpieczyć się przed analizą i badaniem, oraz interakcję między zainfekowanymi komputerami za pośrednictwem sieci P2P bez pojedynczego centrum kontroli. Robak wykorzystywał wszystkie istniejące metody propagacji, od tradycyjnych (wiadomości e-mail oraz komunikatory internetowe) po usługi Web 2.0 (serwisy społecznościowe, blogi, fora i kanały RSS). Cyberprzestępcy wykorzystali również coraz większe zainteresowanie internautów filmikami wideo, maskując Zhelatina jako plik wideo.

Główną funkcją robaka Storm było stworzenie sieci, które byłyby następnie wykorzystywane jako spamowe platformy przeprowadzające ataki DoS. Zmiany w trendach spamu w 2007 roku zostały opisane w osobnym szczegółowym raporcie. Jeżeli chodzi o ataki DoS, stanowiły one jeden z kluczowych tematów bezpieczeństwa informatycznego w 2007 roku.

O ile ataki te były aktywnie wykorzystywane w latach 2003-2004, do 2007 roku nie stanowiły popularnego narzędzia wśród cyberprzestępców. W zeszłym roku powróciły jednak do łask, ale już nie jako narzędzie do wyłudzania pieniędzy, ale jako sposób na prowadzenie wojny politycznej i konkurencyjnej. Atak DoS na Estonię w maju 2007 roku był szeroko relacjonowany przez media i wielu ekspertów uznało go za pierwszą w historii wojnę cybernetyczną. Bez wątpienia za wieloma atakami DoS przeprowadzonymi w 2007 roku stała konkurencja ich ofiar. Zaledwie cztery lata temu ataki DoS wykorzystywane były wyłącznie przez hakerów szantażystów oraz szkodliwych użytkowników. Obecnie jednak stały się produktem w takim samym stopniu jak wysyłki spamowe oraz wykonywane na zamówienie szkodliwe programy. Reklamowanie usług przeprowadzania ataków DoS stało się powszechnym zjawiskiem, a ich ceny są porównywalne z cenami przeprowadzania wysyłek spamowych.

W 2007 branża cyberprzestępcza wprowadziła kilka nowych rodzajów działalności przestępczej. Szybko rozwijał się biznes tworzenia szkodliwych programów na zamówienie. Nabywcom takich szkodników oferowano nawet wsparcie techniczne. Najlepszym przykładem takiej działalności jest prawdopodobnie trojan szpiegujący Pinch. W ciągu kilku lat stworzono ponad 4 000 wariantów tego trojana. Większość z nich powstało na zamówienie innych szkodliwych użytkowników. Jednak wątek ten prawdopodobnie znalazł swój koniec: w grudniu 2007 roku szef Rosyjskich Federalnych Służb Bezpieczeństwa poinformował, że udało się ustalić tożsamość autorów Pincha.

Innym, podobnym przykładem jest wirus Fujack. Ten chiński szkodnik został stworzony w celu kradzieży danych użytkowników gier online, a jego autorzy sprzedawali go każdemu, kto był zainteresowany jego kupnem. Obecnie istnieje kilkaset wariantów Fujacka. Jego twórca zarobił na nim co najmniej 12 000 dolarów - taką sumę podały chińskie organy ścigania, które aresztowały cyberprzestępcę wraz z kilkoma jego klientami.

Fujack był jednym z najbardziej wyróżniających się szkodliwych programów z wszystkich rodzin trojanów atakujących gry w 2007 roku. W 2006 roku na scenie dominowały trojany z rodziny Banker (stworzone w celu kradzieży danych z kont bankowych), a firma Kaspersky Lab przewidywała, że w 2007 roku będziemy świadkami rywalizacji pod względem liczby nowych programów między trojanami Banker oraz trojanami atakującymi gry.

Jak pokazują wyniki z końca roku, pod względem ilościowym wygrały trojany atakujące gry: trojany te wyraźnie przewyższyły liczebnie trojany z rodziny Banker. Należy jednak zauważyć, że obecnie nie ma jeszcze żadnej bezpośredniej rywalizacji pomiędzy tymi dwiema rodzinami trojanów, ponieważ ich cele nadal stanowią dwie osobne grupy. Świadczy o tym fakt, że nadal nie pojawił się żaden trojan atakujący gry, który potrafi kraść dane dotyczące kont bankowych. Mimo że teoretycznie nietrudno byłoby stworzyć taką hybrydę, brak takich programów wskazywałby na to, że twórcy wirusów nie uważają ich ani za krytyczne, ani chociażby za interesujące.

Do najbardziej znamiennych wydarzeń 2007 roku można zaliczyć masowe włamywania się na strony www, a następnie umieszczanie na nich szkodliwego oprogramowania (odsyłaczy do zainfekowanych stron). Przykładem może być włamanie się na prawie 10 000 włoskich stron internetowych w czerwcu, kiedy to na zainfekowanych stronach został umieszczony pakiet exploitów Mpack. Tego typu ataki hakerskie przeprowadzane były na całym świecie przez cały rok, a największy atak miał miejsce pod koniec 2007 roku, gdy ponad 70 000 stron internetowych w różnych państwach zostało zainfekowanych szkodliwym kodem pobierającym na zaatakowane maszyny innego trojana atakującego gry.

Incydent we Włoszech związany z Mpackiem zwrócił uwagę na inną działalność cyberprzestępczą: w trakcie śledztw ustalono, że na stronach internetowych RBN (Russian Business Network) umieszczono szkodliwe oprogramowanie. Dogłębna analiza wykazała, że RBN setki razy była wykorzystywana jako platforma do rozprzestrzeniania szkodliwego oprogramowania. Był to tak zwany hosting "bullet-proof" - dostawcy usługi gwarantowali swoim klientom anonimowość, ochronę przed powództwem sądowym oraz brak jakichkolwiek plików logowania.

Wokół RBN wybuchł wielki skandal trwający przez całe lato i początek jesieni 2007 roku, gdy RBN zostało usunięte w cień. Sieć rozpadła się na kilka mniejszych platform hostingowych rozmieszczonych w różnych państwach na całym świecie w celu zminimalizowania rzeczywistej skali jej działalności.

Były to główne wydarzenia roku 2007, który okazał się najbardziej "zawirusowanym" w dotychczasowej historii. Poniższy diagram ukazuje liczbę wszystkich szkodliwych programów, programów AdWare oraz potencjalnie szkodliwych programów, które zostały dodane do antywirusowej bazy danych firmy Kaspersky Lab w 2007 roku:


Całkowita liczba wszystkich nowych programów w roku 2006 i 2007.


Liczba w 2007 Liczba w 2006 Wzrost 2006/2007
TrojWare 201 958 91 911 119,73%
VirWare 12 416 6 282 97,64%
MalWare 5 798 4 558 27,20%
AdWare 14 382 2 583 456,79%
RiskWare 2 690    
Razem 237 244 105 334 125,23%



Rozkład dystrybucji szkodliwych programów,
programów AdWare oraz potencjalnie szkodliwych programów w roku 2007.

Całkowita liczba zagrożeń w 2007 roku zwiększyła się ponad dwukrotnie. W 2007 roku firma Kaspersky Lab dodała do swojej antywirusowej bazy danych prawie taką samą liczbę nowych programów co w ciągu poprzednich 15 lat.

Internet nigdy wcześniej nie doświadczył tak dużej liczby zagrożeń. Firma Kaspersky Lab robiła wszystko co w jej mocy - czasem nawet podejmowała się niemożliwego - aby zwalczyć te zagrożenia. Sytuacja jest niepokojąca; jeśli w 2008 roku nie zmieni się (są podstawy, aby sądzić, że tak właśnie się stanie), do końca roku liczba zagrożeń znów podwoi się.

Szkodliwe programy

System klasyfikacji szkodliwego oprogramowania firmy Kaspersky Lab wyróżnia trzy klasy szkodliwych programów:

  1. TrojWare - są to programy trojańskie, które nie potrafią samodzielnie się rozprzestrzeniać (backdoory, rootkity i wszystkie typy trojanów);
  2. VirWare - samodzielnie rozprzestrzeniające się złośliwe programy (wirusy i robaki);
  3. Inne rodzaje MalWare - programy aktywnie wykorzystywane przez szkodliwych użytkowników w celu tworzenia złośliwych programów i przeprowadzania ataków.

Wzrost liczby nowych szkodliwych programów. W 2007 roku średnia liczba nowych szkodliwych programów wykrywanych każdego miesiąca wzrosła o 114,28 % w stosunku do 2006 roku i wynosiła 18 347,67 (dla porównania, w 2006 roku liczba ta wynosiła 8 562,50). W okresie, który obejmuje ten raport, wykryto 220 172 nowych szkodliwych programów.

W 2007 roku liczba wykrytych nowych trojanów wzrosła w stosunku do 2006 roku o 119,73 %. Główne przyczyny wzrostu liczby tego typu programów w Internecie pozostają te same: tworzenie programów z klasy TrojWare jest stosunkowo proste (w przeciwieństwie do wirusów czy robaków); ponadto programy te mogą być wykorzystywane do kradzieży danych, tworzenia botnetów oraz przeprowadzania masowych wysyłek.

W 2007 roku liczba nowych szkodliwych programów z klasy VirWare zwiększyła się o 97,64 % w stosunku do 2006 r. Spowodowane było to swego rodzaju renesansem klasycznych wirusów plikowych (które zostaną szczegółowo omówione w dalszej części tekstu).

Wzrost liczby nowych szkodliwych programów z klasy Inne rodzaje MalWare nie przekroczył 30% w poprzednim roku. Wzrost ten jest wyraźnie mniejszy w porównaniu z innymi klasami, które odnotowały co najmniej 90% wzrost. W 2008 r. klasa Inne rodzaje MalWare może wykazać ujemny wzrost.


Liczba nowych szkodliwych programów wykrytych przez firmę Kaspersky Lab w 2007 r.

Rozkład szkodliwych programów według klasy. W 2007 roku nie zaszły żadne poważne zmiany w udziale procentowym poszczególnych klas. Utrzymał się trend obserwowany przez kilka ostatnich lat: podczas gdy liczba programów z klasy TrojWare nadal wzrasta, klasy VirWare oraz Inne rodzaje MalWare wykazuje stopniowy spadek.



Rozkład szkodliwych programów według klasy w 2006 i 2007 roku.


2007 2006 % w 2007 % w 2006 Zmiana w proc. Wzrost
TrojWare 201 958 91 911 91,73% 89,45% +2,28% 119,73%
VirWare 12 416 6 282 5,64% 6,11% -0,47% 97,64%
MalWare 5 798 4 558 2,63% 4,44% -1,80% 27,20%
Razem 220 172 102 751 100% 100%   114,28%


Odsetek trojanów w całkowitej liczbie szkodliwych programów zwiększył się w ciągu roku o 2,28% i wynosił 91,73%.

Spadek całkowitej liczby robaków i wirusów (VirWare) w 2006 roku trwał do czerwca 2007 roku (-2,26%), pod koniec roku nastąpił jednak pewien wzrost. Ogólnie w 2007 roku udział procentowy klasy VirWare spadł o 0,47% i stanowił 5,64% wszystkich szkodliwych programów.

Do połowy roku udział klasy Inne rodzaje MalWare spadł do 1,95% wszystkich szkodliwych programów. Pod koniec 2007 roku sytuacja zmieniła się i szkodniki z tej klasy stanowiły 2,63%.

Poniżej znajduje się szczegółowy opis wszystkich kategorii MalWare.

Trojany

Poniższy wykres pokazuje liczbę nowych trojanów wykrywanych przez firmę Kaspersky Lab w poszczególnych miesiącach.


Liczba nowych programów z klasy TrojWare wykrytych przez firmę Kaspersky Lab.

Widzimy, że najwyższe punkty na wykresie przypadają na maj i sierpień 2007 roku, po których natychmiast następowały spadki. W niczym nie przypomina to sytuacji z 2006 roku, gdy liczba programów z tej klasy nieustannie rosła. Możliwe, że klasa trojanów osiągnęła stabilizację i sytuacja, jaka miała miejsce w 2007 roku, powtórzy się. Jeśli stanie się tak, jak przewidujemy, następnego natężenia aktywności w obrębie klasy TrojWare możemy spodziewać się na samym początku 2008 r.

Poniższy diagram przedstawia rozkład różnych zachowań trojanów.


TrojWare: rozkład zachowań w obrębie tej klasy.

Analiza wzrostu liczebnego różnych zachowań pozwoli lepiej zrozumieć zmiany, jakie zaszły w klasie TrojWare. Prawie wszystkie typy trojanów odnotowały wzrost liczbowy.


Liczba nowych szkodliwych programów z klasy TrojWare według zachowania.


Trendy dotyczące ilości nowych szkodliwych programów w klasie TrojWare.


2007 2006 Zmiana w proc. %
Backdoor 64 900 22 444 189,16% 32,135
Trojan PSW 44 218 14 747 199,84% 21,895
Trojan downloader 43 751 23 443 86,63% 21,663
Trojan spy 19 035 10 479 81,65% 9,425
Trojan 18 592 11 699 58,92% 9,206
Trojan dropper 4 224 3 771 12,01% 2,092
Trojan proxy 3 415 2 859 19,45% 1,691
Trojan clicker 2 294 1 641 39,79% 1,136
Rootkit 1 381 639 116,12% 0,684
Trojan DDoS 89 59 50,85% 0,044
Trojan SMS 15 3 400,00% 0,007
Trojan IM 15 37 -59,46% 0,007
Trojan notifier 13 15 -13,33% 0,006
Trojan AOL 9 67 -86,57% 0,004
Trojan ArcBomb 7 8 -12,50% 0,003
Razem 201 958 91 911 119,73% 100%


W 2007 roku najznaczniejszy wzrost w obrębie klasy TrojWare odnotowały trojany kradnące hasła oraz backdoory. 400% wzrost liczby trojanów SMS nie został uwzględniony w naszej analizie, ponieważ liczba takich programów jest niezwykle mała.

Liczba backdoorów wzrosła o prawie 190%, tym samym trojany te wysunęły się na pierwsze miejsce pod względem liczebności (wyprzedzając trojany downloadery, które były na prowadzeniu w 2006 roku). Wzrost ten można porównać jedynie do szybkiej ewolucji robaków pocztowych w latach 2002 - 2004. Obecnie backdoory stanowią prawie jedną trzecią wszystkich szkodliwych programów tworzonych na całym świecie, z których ogromną większość stanowią backdoory stworzone w Chinach.

W 2007 roku Chiny bezsprzecznie zdobyły tytuł wirusowego supermocarstwa. Oprócz backdoorów w 2007 roku chińscy twórcy wirusów aktywnie zajmowali się również rozwojem szeregu różnych trojanów przeznaczonych do kradzieży danych użytkowników, w szczególności danych dotyczących kont popularnych gier online. Odzwierciedla to 200% wzrost liczby trojanów kradnących hasła. Podobnie jak w 2006 roku zachowanie to znalazło się na drugim miejscu pod względem liczebności, ostro rywalizując z trojanami downloaderami o czołową pozycję.

W obrębie kategorii TrojWare wyróżniamy obecnie trzy główne grupy zachowań:

  1. Backdoory, trojany PSW oraz trojany downloadery. Są to najbardziej rozpowszechnione rodzaje trojanów i stanowią 75 proc. całej klasy TrojWare (udział każdego z tych zachowań w klasie TrojWare przekracza 20 proc.).
  2. Trojany oraz trojany szpiegujące. Udział procentowy tych zachowań w klasie TrojWare wynosi prawie 9 proc. i wykazuje średnie współczynniki wzrostu. Prawdopodobieństwo, że zachowania te odnotują wystarczający wzrost, aby znaleźć się w pierwszej grupie, jest niewielkie. Z drugiej strony, równie mało prawdopodobny jest ich spadek do trzeciej kategorii.
  3. Trojany proxy, trojany droppery, trojany clickery oraz inne rootkity. Udział procentowy tej grupy zachowań mieści się w przedziale od 0,7% do 2,1%. Z wyjątkiem rootkitów współczynnik wzrostu zachowań z tej grupy nie przekracza 40 proc. Rootkity dołączyły do tej grupy w 2007 roku dzięki znacznemu współczynnikowi wzrostu wynoszącemu 116,1%. Liczba programów wykazujących określone zachowanie może wzrosnąć i mogą one wejść do drugiej grupy, mimo że bardziej prawdopodobny jest dalszy spadek udziału procentowego tej grupy, ponieważ liczba przedstawicieli pierwszej grupy nadal wzrasta.

Trojany szpiegujące, które najszybciej ewoluują i stanowią największe zagrożenie dla użytkowników, to programy należące do rodzin, których celem jest kradzież danych użytkowników związanych z grami online oraz systemami bankowymi.

Rootkity

Na uwagę zasługują rootkity. Często programy takie służą do maskowania innych trojanów w zainfekowanym systemie, a jeden rootkit może zostać wykorzystany przez wielu szkodliwych użytkowników.


Liczba nowych rootkitów wykrytych przez Kaspersky Lab.

W 2005 roku (gdy firma Kaspersky Lab po raz pierwszy wprowadziła to zachowanie do swojej klasyfikacji) rootkity stanowiły jeden z najgorętszych tematów w branży antywirusowej, a twórcy wirusów zaczęli aktywnie rozwijać te programy: w ciągu jednego roku liczba nowych rootkitów zwiększyła się o 413%. Po tak dużym wzroście należałoby się spodziewać niewielkiego spadku współczynnika wzrostu. Jednak w 2006 roku liczba rootkitów wzrosła o 74%.

Trend ten utrzymał się w roku 2007, a wzrost dla całego roku wyniósł ponad 116%. Jednak powyższe dane wyraźnie pokazują, że w pierwszej połowie 2007 roku liczba nowych rootkitów przewyższyła wartości osiągnięte w innych okresach. Firma Kaspersky Lab odnotowała 178% wzrost tych programów w pierwszej połowie tego roku. Zaraz po nim nastąpił niewyjaśniony spadek. Spadek ten mógł być spowodowany zmniejszoną aktywnością autorów robaka Zhelatin (znanego jako Storm), który w 2007 roku stanowił jeden z głównych programów wykorzystujących rootkity.

Na razie sytuacja programów wykazujących zachowanie typowe dla trojanów nie pozwala przewidzieć, co może zdarzyć się w najbliższej przyszłości. Bardzo dużo zależy od rozpowszechnienia systemu Windows Vista.

Robaki i wirusy

Poniższy wykres pokazuje liczbę nowych programów z klasy VirWare wykrywanych przez firmę Kaspersky Lab w poszczególnych miesiącach:


Liczba nowych programów z klasy VirWare wykrywanych przez Kaspersky Lab.

Po stabilizacji w obrębie tej klasy, jaka miała miejsce w latach 2004 - 2005, pod koniec 2006 roku nastąpił wzrost. Wzrost ten utrzymał się do 2007 roku. Jednak wartości bezwzględne nie były wyższe niż odnotowany w październiku 2006 roku rekord, gdy Internet zalały setki nowych wariantów robaka Warezov.

Jak wynika z wykresu, w 2007 r. pojawianie się nowych programów z klasy VirWare cechowało się zmiennością, miały miejsce trzy okresy wzrostu, a po których nastąpiły okresy spadkowe. Obecnie wahania te zmniejszają się i 2008 rok przyniesie prawdopodobnie stabilniejsze trendy.

Ogólnie, w 2007 r. kategoria VirWare wykazała prawie 98% wzrost liczby nowych szkodliwych programów (w 2006 roku liczba nowych szkodliwych programów z klasy VirWare wzrosła o zaledwie 8%). To jednak nie wystarczyło, aby kategoria ta utrzymała swój poprzedni udział w całkowitej liczbie szkodliwych programów: odsetek programów z klasy VirWare zmniejszył się z 6,11% w 2006 r. do 5,64% w 2007.

Poniższy diagram pokazuje rozkład różnych zachowań w obrębie klasy VirWare.


VirWare: rozkład zachowań w obrębie tej klasy.

Analiza wzrostu liczebnego różnych zachowań pozwoli lepiej zrozumieć zmiany, jakie zaszły w klasie VirWare. Prawie wszystkie typy szkodliwych programów z tej klasy odnotowały aktywny wzrost liczebnościowy.


Liczba nowych szkodliwych programów z klasy VirWare według zachowania.


Trendy dotyczące liczby nowych szkodliwych programów z klasy VirWare.


2007 2006 Zmiana w proc. %
Robak pocztowy 4 758 3 490 36,35% 38,32
Wirus 3 437 704 389,60% 27,68
Robak 2 778 1 311 111,80% 22,37
Robak komunikatorów internetowych 681 245 178,19% 5,48
Robak sieciowy 426 283 50,42% 3,43
Robak P2P 282 215 31,28% 2,27
Robak IRC 54 34 60,71% 0,43
Razem 12 416 6 282 97,64% 100,00


Wszystkie zachowania z klasy VirWare wykazały wzrost w 2007 roku. To jedyna klasa szkodliwych programów, które odnotowały takie liczby.

Robaki pocztowe, najbardziej rozpowszechnione zachowanie, odnotowały w 2007 roku najwyższe współczynniki wzrostu. W 2006 roku ich liczba wzrosła o 43%, a w 2007 roku o 36,35%. Pozwoliło to szkodliwym programom z tej klasy utrzymać się na pierwszym miejscu, mimo że różnica między innymi zachowaniami zmniejszyła się do niecałych 11%. Duża liczba wariantów robaków pocztowych to zasługa przedstawicieli wszystkich trzech głównych rodzin: Warezov, Zhelatin oraz Bagle.

W raportach dla pierwszego półrocza 2007 r. firma Kaspersky Lab przewidywała, że zachowanie Wirus przesunie się na drugie miejsce i tak też się stało: według wyników z końca roku, odsetek programów wykazujących takie zachowanie wyniósł prawie 28%, co pod względem liczebności zapewniło im drugie miejsce w klasie VirWare.

W 2007 roku klasyczne wirusy odnotowały największy wzrost spośród wszystkich szkodliwych programów - ich liczba zwiększyła się o 389,6%. Wzrost ten spowodowany był głównie rozprzestrzenianiem wirusów za pośrednictwem pamięci przenośnej flash. Ten spory wzrost jest tym bardziej zaskakujący, jeśli weźmiemy pod uwagę, że wzrost odnotowany przez ten typ szkodliwych programów w 2006 roku wynosił 29%.

Jest to dość niepokojące, ponieważ usuwanie wirusów jest trudniejsze niż usuwanie trojanów. Ponadto, wiele popularnych programów antywirusowych, które deklarują dużą skuteczność w wykrywaniu standardowych szkodliwych programów, często słabo radzi sobie z wykrywaniem złożonych wirusów polimorficznych. Może spowodować to poważne problemy w najbliższej przyszłości, ponieważ twórcy wirusów już teraz koncentrują się na tym słabym punkcie.

W 2006 roku szkodliwe programy wykazujące zachowanie Wirus odnotowały imponujący wzrost wynoszący 220%. W 2007 roku ich tempo wzrostu nieco spadło i pod koniec roku wynosiło mniej niż połowa wartości dla 2006 roku (prawdopodobnie było to spowodowane aresztowaniem w Chinach autora rodziny robaków Viking). Jednak pod koniec roku wzrost liczby tych programów wynosił 111,8%.

Kolejną grupą szkodliwych programów, która wywołała poruszenie w 2007 roku, były robaki rozprzestrzeniające się za pośrednictwem komunikatorów internetowych. W 2006 roku stwierdziliśmy, że robaki komunikatorów internetowych nie są w stanie zdobyć mocnej pozycji na scenie wirusów. W 2006 roku nastąpił 45% spadek liczby nowych robaków komunikatorów internetowych i wszystko wskazywało na to, że w 2007 roku programy te znikną. Jednak wbrew przewidywaniom, szkodniki te nie tylko przetrwały, ale nawet przeżywały rozkwit. Spowodowane to było zmianą wektora propagacji takich robaków, odejściem od komunikatorów AOL oraz MSN na rzecz Skype'a. Co więcej, powszechne wykorzystywanie klientów IM jako sposobu rozprzestrzeniania szkodliwych programów przyczyniło się do aktywnego rozprzestrzeniania robaka Zhelatin za pośrednictwem ICQ. W rezultacie, robaki komunikatorów internetowych niespodziewanie zajęły czwarte miejsce pod względem ilości w obrębie klasy VirWare (5,5%) oraz drugie miejsce pod względem współczynnika wzrostu (178,2%)

W kategorii VirWare można wyróżnić dwie główne grupy zachowań:

  1. Robak pocztowy, robak oraz wirus. Ta grupa zachowań stanowi niecałe 90% całej klasy VirWare. Udział procentowy każdego zachowania wynosi ponad 20 proc. całej klasy VirWare. Mimo że lider tej grupy (robak pocztowy) nie ewoluował znacząco, zachowania wirus oraz robak odnotowały znaczny wzrost.
  2. Robak komunikatorów internetowych (IM-Worm), robak sieciowy (Net-Worm), robak P2P oraz robak IRC. Z wyjątkiem robaka komunikatorów internetowych udział procentowy każdego z tych zachowań stanowi mniej niż 5 proc. całej klasy VirWare. W 2007 roku zachowania te wykazywały średnie współczynniki wzrostu. Z grupy tej swą liczebność zwiększą prawdopodobnie tylko robaki komunikatorów internetowych ze względu na szybką ewolucję komunikatorów internetowych, łącznie ze Skypem. Sytuacja robaków sieciowych nadal nie wygląda najlepiej; z powodu braku luk krytycznych w zabezpieczeniach usług sieciowych systemu Windows, twórcy wirusów nie mogą zaimplementować niczego nowego.

Ogólnie współczynniki wzrostu w obrębie klasy VirWare są mniejsze niż w obrębie klasy TrojWare (98% w stosunku do120%) i znacznie wyższe niż współczynniki wzrostu w obrębie klasy Inne rodzaje MalWare, którą omówimy w następnej kolejności.

Inne rodzaje MalWare

Liczba wykrywanych szkodliwych programów z klasy Inne rodzaje MalWare jest najmniejsza, jednak klasa ta charakteryzuje się największym zróżnicowaniem zachowań.

Niewielki wzrost liczby nowych szkodliwych programów z tej klasy w latach 2004-2005 (odpowiednio 13% i 43%) przeszedł w 2006 roku w spadek (-7%). Jednak w 2007 roku okazało się, że w poprzednim roku mieliśmy prawdopodobnie do czynienia z okresem plateau; szkodliwe programy z tej klasy umocniły swoje pozycje, aby następnie przejść na kolejny poziom. Pod koniec 2007 roku klasa Inne rodzaje MalWare odnotowała ponad 27% wzrost liczby nowych szkodliwych programów. Jednak to nie wystarczyło, aby klasa ta utrzymała swój udział w całkowitej liczbie szkodliwych programów i pod koniec roku wzrost wynosił 2,63%, co oznacza spadek w stosunku do 2006 roku (gdy wzrost wynosił 4,44%).


Liczba nowych szkodliwych programów z klasy Inne rodzaje MalWare wykrytych przez Kaspersky Lab

Poniższy diagram pokazuje rozkład zachowań w obrębie klasy Inne rodzaje MalWare.


Inne rodzaje MalWare: rozkład zachowań w obrębie tej klasy.

Analiza wzrostu liczebnego różnych zachowań w obrębie klasy Inne rodzaje MalWare pozwoli lepiej zrozumieć zmiany, jakie zaszły w tej klasie.


Liczba nowych szkodliwych programów z klasy Inne rodzaje MalWare według zachowania.


Trendy dotyczące ilości nowych szkodliwych programów z klasy Inne rodzaje MalWare.


2007 2006 Wzrost %
Hoax 1 315 341 285,63% 22,68
Exploit 1 219 1 860 -34,46% 21,02
Packed 753 0 0,00% 12,99
FraudTool 617 0 0,00% 10,64
HackTool 520 360 44,44% 8,97
SpamTool 501 263 90,49% 8,64
Konstruktor 353 948 -62,76% 6,09
IM-Flooder 110 128 -14,06% 1,90
BadJoke 100 112 -10,71% 1,72
Flooder 92 88 4,55% 1,59
VirTool 79 46 71,74% 1,36
DoS 68 28 142,86% 1,17
Nuker 27 19 42,11% 0,47
Email-Flooder 13 346 -96,24% 0,22
Spoofer 12 5 140,00% 0,21
Sniffer 11 6 83,33% 0,19
SMS-Flooder 8 8 0,00% 0,14
Razem 5 798 4 558 27,2% 100


Najbardziej dominującym zachowaniem w tej klasie nie jest już Exploit. W ciągu ostatnich dwóch lat jego pozycja spadła. W 2006 roku udział tego zachowania wynosił ponad 30%, a jego współczynnik wzrostu zmniejszył się do 21%. W 2007 roku zachowanie to stanowiło 21,02% klasy Other MalWare, a w ciągu roku liczba exploitów spadła o 34% w stosunku do 2006 roku. Posiadające wcześniej niezagrożoną pozycję zachowanie exploit utraciło swoją dominację z powodu twórców przeglądarek internetowych oraz systemów operacyjnych - głównie Microsoftu. W przeciwieństwie do poprzednich lat, nie wykryto żadnych krytycznych luk w zabezpieczeniach porównywalnych do tych wykorzystywanych przez twórców wirusów w latach 2003-2005.

Największy współczynnik wzrostu wykazało zachowanie Hoax (+284,63%). Już drugi rok z rzędu zachowanie to odnotowało wzrost przekraczający 150%. Hoax wyprzedził Exploita (którego udział wyniósł 22,68% całej klasy VirWare), jednak różnica między nimi wyniosła zaledwie 1,56%.

Packed oraz FraudTool to dwa nowe zachowania, które w 2007 roku zostały włączone do systemu klasyfikacji firmy Kaspersky Lab i znalazły się na trzecim i czwartym miejscu pod względem rozpowszechnienia. Zachowanie FraudTool obejmuje fałszywe produkty antywirusowe, które oszukały setki internautów, rzekomo wykrywając na ich komputerach trojana i prosząc o uiszczenie niewielkiej zapłaty za usunięcie tak zwanej infekcji.

W 2007 roku spam i ataki DoS stanowiły główne tematy newsów dotyczących bezpieczeństwa IT. W 2006 roku liczba zachowań SpamTool wzrosła aż o 107%, a zachowanie to uplasowało się na piątym miejscu w klasie Inne rodzaje MalWare. W pierwszej połowie 2007 roku SpamTool był absolutnym liderem pod względem współczynników wzrostu w tej klasie: liczba jego reprezentantów wzrosła o 222%, co pozwoliło mu na zajęcie drugiego miejsca pod względem liczebności. Pod koniec roku liczba programów wykazujących ten rodzaj zachowania była podoba do tej z 2006 roku (6 miejsce). Pod koniec roku liczba nowych programów w obrębie tego zachowania była dość duża i trend ten prawdopodobnie nie zmieni się w 2008 roku.

Jeżeli chodzi o ataki DoS, liczba przedstawicieli tego zachowania nadal jest niewielka, jednak współczynnik wzrostu wyraźnie pokazuje, że w 2008 roku pojawi się setka programów wykazujących to zachowanie.

Potencjalnie niechciane programy

Potencjalnie niechciane programy to programy, które są wprawdzie rozwijane i dystrybuowane przez legalne firmy, posiadają jednak funkcje, które mogą zostać wykorzystane przez szkodliwych użytkowników. Programy te nie można sklasyfikować jako szkodliwe lub całkowicie bezpieczne - wszystko zależy od tego, kto ich używa.

Kaspersky Lab klasyfikuje RiskWare, PornWare oraz AdWare jako potencjalnie niechciane programy. Przez wiele lat firma Kaspersky Lab oferowała opcję wykrywania potencjalnie niechcianych programów. Jednak dane takie nie były uwzględniane w naszych raportach. Częściowo było to spowodowane niewielką liczbą takich programów, częściowo zmieniającymi się kryteriami, jakie stosowano w celu określenia, czy dane oprogramowanie stanowi potencjalnie szkodliwe. W 2007 roku branża antywirusowa zdołała wypracować ogólną definicję potencjalnie niechcianego programu, dzięki czemu firma Kaspersky Lab może bardziej szczegółowo klasyfikować takie programy.

RiskWare oraz PornWare

Klasa RiskWare obejmuje legalne oprogramowanie, które - jeśli znajdzie się w rękach szkodliwych użytkowników - może zostać wykorzystane do wyrządzenia szkód użytkownikom oraz ich danych poprzez niszczenie, blokowanie, modyfikowanie lub kopiowanie danych lub zakłócanie działania komputerów lub sieci komputerowych. Obecnie liczba programów RiskWare nie jest nawet równa liczbie programów z klasy Inne rodzaje MalWare, jednak ogólny wzrost liczebności takich programów stanowi powód do niepokoju. Coraz więcej programów znajduje się na cienkiej granicy oddzielającej oprogramowanie "szkodliwe" od "nieszkodliwego". Stwarza to wiele dodatkowych problemów, zarówno dla użytkowników, jak i firm antywirusowych. Co więcej, na tym tle powstają spory prawne między twórcami oprogramowania RiskWare a firmami antywirusowymi. W 2007 roku doprowadziło to do wielu procesów, z których wiele zostało rozstrzygniętych na korzyść firm antywirusowych.

Termin PornWare odnosi się do narzędzi, które wiążą się z wyświetlaniem, w ten czy inny sposób, materiałów pornograficznych. Klasa ta obejmuje szereg różnych programów związanych z pornografią, takich jak dialery, downloadery oraz PornTool. Programy PornWare nie są szczególnie rozpowszechnione, a liczba nowych programów tego typu wykrytych przez Kaspersky Lab w 2007 roku nie przekracza 500, dlatego zdecydowaliśmy połączyć tę klasę z RiskWare.

Poniższy wykres pokazuje liczbę nowych programów RiskWare oraz PornWare wykrywanych przez firmę Kaspersky Lab w poszczególnych miesiącach.


Liczba nowych programów RiskWare oraz PornWare wykrywanych każdego miesiąca przez firmę Kaspersky Lab.

Poniższy diagram ukazuje rozkład zachowań w obrębie klasy RiskWare oraz PornWare.


RiskWare + Pornware: rozkład zachowań w obrębie tych klas.

Wśród zachowań z klasy RiskWare oraz PornWare wyłaniają się dwaj zdecydowani liderzy: Monitor (36,65%) oraz Porn-Dialer (13,98%).

Zachowanie Monitor obejmuje szereg tak zwanych legalnych keyloggerów. Tego typu oprogramowanie jest oficjalnie tworzone i sprzedawane, mimo że ze względu na zdolność do ukrywania swojej obecności w zainfekowanym systemie może być wykorzystywany w taki sam sposób co w pełni funkcjonalne trojany szpiegujące.

Porn-Dialers to programy, które wywołują płatne zasoby materiałów pornograficznych. Łączą się one z płatnymi numerami telefonicznymi, co często prowadzi do procesów sądowych między subskrybentami a firmami telefonicznymi. Według danych dostarczonych przez skaner online firmy Kaspersky Lab, w 2007 roku najbardziej rozpowszechnione były programy zaklasyfikowane jako dialery i Porn-Dialery.

Poniższy wykres pokazuje liczbę programów z tych dwóch klas według zachowania.


Liczba nowych programów RiskWare oraz PornWare według zachowania.


2007 %
Monitor 986 36,65
Porn-Dialer 376 13,98
PSW-Tool 213 7,92
RemoteAdmin 198 7,36
Dialer 163 6,06
Downloader 162 6,02
AdTool 122 4,54
Net-Tool 112 4,16
RiskTool 90 3,35
Serwer FTP 61 2,27
Serwer Proxy 38 1,41
Tool 23 0,86
Porn-Downloader 21 0,78
Porn-Tool 17 0,63
Klient IRC 13 0,48
Serwer-Web 8 0,30
Klient SMTP 2 0,07
Serwer Telnet 1 0,04
Inne 84 3,12
Razem 2 690 100


Oprócz zachowania Monitor i Porn-Dialer, szeroko rozpowszechnione były również inne zachowania, takie jak PSW-Tool oraz RemoteAdmin. Programy PSW-Tool mogą służyć do przywracania zapomnianych haseł, jednak szkodliwi użytkownicy mogą z łatwością wykorzystywać je do wydobywania haseł z komputerów niczego nie spodziewających się ofiar. Programy wykazujące zachowanie RemoteAdmin są niezwykle popularne wśród administratorów systemu. Mimo że posiadają legalne zastosowania, programy te są wykorzystywane przez hakerów w celu sprawowania kontroli nad zaatakowanymi komputerami. Legalny status programów RemoteAdmin daje szkodliwym użytkownikom pewną gwarancję, że niektóre programy antywirusowe nie będą w stanie wykryć ich obecności w systemie.

Firma Kaspersky Lab publikuje statystyki dotyczące tych klas programów po raz pierwszy, dlatego nie można porównać ich z wcześniejszymi danymi. Nadal będziemy szczegółowo śledzili programy RiskWare oraz PornWare.

AdWare

AdWare obejmuje oprogramowanie przeznaczone do wyświetlania reklam (najczęściej banerów), przekierowywania żądań wyszukiwania na strony reklamowe oraz zbierania danych marketingowych dotyczących użytkownika (na przykład rodzajów odwiedzanych przez niego stron internetowych).

AdWare to duża klasa programów, wykrywanych przez firmy antywirusowe już od pewnego czasu. Walka z programami AdWare przyczyniła się zarówno do narodzin jak i upadku przemysłu tworzenia oprogramowania do zwalczania adware.

Poniższy wykres pokazuje liczbę nowych programów AdWare wykrywanych przez firmę Kaspersky Lab w poszczególnych miesiącach.


Liczba nowych programów AdWare wykrytych przez firmę Kaspersky Lab.


  2007 2006 Różnica w proc.
AdWare 14 382 2 583 +456,79%


W 2007 roku nastąpił gwałtowny wzrost liczby programów AdWare (o 456%.) Spowodowane to było "niewyważoną" reakcją twórców tych programów na działania rządów różnych państw (głównie Stanów Zjednoczonych), których celem było położenie kresu nielegalnej i natarczywej reklamie internetowej. Mimo przyjęcia ustaw zawierających wyraźne nakazy odnoszące się do twórców programów AdWare oraz przewidujące kary za ich naruszenie, sytuacja w rzeczywistości pogorszyła się.

Platformy i systemy operacyjne

W swym rocznym raporcie dla 2006 r. firma Kaspersky Lab nie opublikowała szczegółowych statystyk dotyczących rozkładu szkodliwych programów, programów AdWare czy potencjalnie niechcianych programów ze względu na system operacyjny czy platformy. Zamiast tego przedstawiono analizę najbardziej interesujących systemów nie należących do rodziny Windows (*nix, Mac OS oraz Symbian). Kwestie te zostały szczegółowo omówione w raporcie obejmującym 2007 rok. Przedstawiono również dane niezbędne do przeanalizowania zmian, jakie zaszły w ciągu roku.

System operacyjny lub urządzenie może być podatne na ataki szkodliwego oprogramowania, jeśli jest w stanie uruchomić program, który nie jest komponentem systemu. Warunek ten spełniają wszystkie systemy operacyjne, wiele aplikacji biurowych, edytorów grafiki oraz inne rodzaje pakietów oprogramowania, które posiadają wbudowane języki skryptowe.

W 2007 roku firma Kaspersky Lab wykryła szkodliwe programy, programy AdWare oraz potencjalnie szkodliwe programy dla 43 różnych platform i systemów operacyjnych.

Oczywiście przeważająca większość istniejących szkodliwych programów jest wykonywana przez pliki binarne przeznaczone do działania w środowisku Win32. Programy przeznaczone dla innych systemów operacyjnych i platform stanowią niecałe 4%.


Liczba szkodliwych programów, programów AdWare oraz potencjalnie szkodliwych programów atakujących różne platformy.

Udział szkodliwych programów dla środowiska Win32, mimo że w roku 2007 stanowił 96,36%, zaczął powoli, ale wyraźnie zmniejszać się. W pierwszej połowie 2007 roku odsetek zagrożeń atakujących inne platformy niż Win32 wzrósł z 3,18% do 3,42%, a w drugiej połowie przekroczył 4%. Wzrost dla całego roku wyniósł 3,64%.

W ciągu ostatnich sześciu miesięcy 2007 roku liczba szkodliwych programów, programów AdWare oraz potencjalnie szkodliwych programów dla Win32 wzrosła o 36% w stosunku do pierwszej połowy roku. Jednak wzrost szkodliwego kodu dla innych platform i urządzeń wyniósł 63%, co świadczy o zmianie priorytetów twórców wirusów jak również coraz większym zagrożeniu dla użytkowników innych systemów.

63% wzrost został osiągnięty głównie dzięki nieustannemu wzrostowi różnych szkodliwych programów, zwłaszcza tych napisanych w języku programowania Java Script oraz Visual Basic Script. Naturalnie celem tych programów są również systemy z rodziny Windows. Wzrost ich rozpowszechnienia spowodowany jest kilkoma czynnikami. Jednak głównym powodem jest to, że firmy antywirusowe dążą do rozwijania nowszych i lepszych technologii opartych na analizie heurystycznej, emulacji kodu oraz procesie wirtualizacji podczas pracy z wykonywalnymi plikami Win32, podczas gdy szkodliwe programy oparte na skryptach pozostają poza centrum ich zainteresowania. Drugim powodem jest aktywne wykorzystywanie języków skryptowych podczas implementacji różnych exploitów wykorzystujących luki w zabezpieczeniach popularnych przeglądarek internetowych. Penetracja niezabezpieczonych przeglądarek internetowych stanowi obecnie najpowszechniejszą taktykę rozprzestrzeniania szkodliwego oprogramowania.

Lp. Platforma I połowa 2007 II połowa 2007 Całkowita liczba Wzrost
1 Win32 96 967 131 626 228 593 36%
2 JavaScript 1 182 2 240 3 422 90%
3 Visual Basic Script 576 748 1 324 30%
4 HTML 398 930 1 328 134%
5 BAT 334 553 887 66%
6 PHP 84 186 270 121%
7 MSWord 145 83 228 -43%
8 ASP 45 135 180 200%
9 Linux 121 45 166 -63%
10 Perl 113 37 150 -67%
11 IRC 51 86 137 69%
12 .NET 33 31 64 -6%
13 MS_DOS 14 44 58 214%
14 WinREG 19 39 58 105%
15 Symbian 19 30 49 58%
16 MacOS 2 33 35 1550%
17 Java 12 25 37 108%
18 NSIS 15 17 32 13%
19 MSPPoint 17 16 33 -6%
20 MSExcel 19 10 29 -47%
21 SunOS 18 2 20 -89%
22 Multi 8 11 19 38%
23 RAR 4 12 16 200%
24 HTA 6 4 10 -33%
25 Win16 3 7 10 133%
26 Python 5 9 14 80%
27 Ruby 3 5 8 67%
28 MSAccess 5 4 9 -20%
29 AutoCad 1 5 6 400%
30 MSOffice 3 3 6 0%
31 Unix 4 3 7 -25%
32 Boot 5 0 5 -100%
33 SWF 3 3 6 0%
34 Win9x 1 3 4 200%
35 WMA 1 3 4 200%
36 AutoLISP 0 3 3  
37 ZIP 3 0 3 -100%
38 BeOS 1 0 1 -100%
39 Boot-DOS 1 0 1 -100%
40 FreeBSD 0 1 1  
41 SAP 1 0 1 -100%
42 SQL 0 1 1  
43 Win64 1 0 1 -100%


Poniższy diagram pokazuje współczynnik wzrostu liczby szkodliwych programów, programów AdWare oraz potencjalnie szkodliwych programów dla wszystkich platform. Platformy oraz aplikacje, dla których w 2007 roku istniało mniej niż 20 szkodliwych programów, programów AdWare oraz potencjalnie szkodliwych programów, nie zostały uwzględnione w diagramie. Diagram ten został przygotowany w oparciu o dane porównawcze z pierwszej i drugiej połowy 2007 roku.


Współczynnik wzrostu liczby szkodliwych programów,
programów AdWare oraz potencjalnie szkodliwych programów w 2007 roku dla różnych platform.

W pierwszej połowie roku liderami pod względem współczynnika wzrostu (powyżej 150%) były języki skryptowe: Java Script, PHP, Ruby, oraz platforma MS Office. Jednak w ciągu ostatnich sześciu miesięcy sytuacja zmieniła się diametralnie. Niekwestionowanym liderem (+ 1550%) został system operacyjny MacOS X, który w 2007 roku atakowany był 35 razy, a 33 z tych ataków miało miejsce w drugiej połowie roku. W naszym półrocznym raporcie zwróciliśmy uwagę na dziwną nieobecność nowych szkodliwych programów atakujących tę platformę, mimo że ataki na nią pojawiały się coraz częściej (w ciągu jednego roku, od czerwca 2006 r. do maja 2007 r. nie stworzono żadnego nowego szkodliwego programu dla tej platformy). Jednak pod koniec roku sytuacja zmieniła się i spełniły się przewidywania ekspertów. W 2007 roku wśród szkodliwych programów stworzonych dla systemu Mac dominowały trojany, łącznie z takimi, które zastępują żądania DNS użytkownika i mają na celu przeprowadzanie ataków phishingowych w celu kradzieży danych.

Pojawienie się nowych wirusów dla systemu MS-DOS można pominąć uznając to jako ciekawostkę współczesnej wirusologii, szczególnie w świetle rzeczywistych liczb. Z danych wynika, że istnieje około pięciu tuzinów "przeróbek" programów, które stanowią jedynie ciekawostkę historyczną.

Z drugiej strony, mamy dość znaczny wzrost liczby szkodliwych programów w formie stron HTML lub napisanych w ASP. Szkodniki oparte na HTML-u stanowią z reguły strony phishingowe lub fałszywe elektroniczne kartki okolicznościowe. Jeśli użytkownik połknie przynętę, jego komputer może zostać zainfekowany lub może dojść do kradzieży jego prywatnych danych. W Chinach ASP stanowi jeden z najpowszechniejszych sposobów zarządzania zainfekowanymi stronami oraz backdoorami zainstalowanymi za pośrednictwem interfejsu sieciowego.

Ogólnie, w 2007 roku w krajobrazie zagrożeń dla różnych platform i systemów operacyjnych zaszły niewielkie zmiany. Wzrost trojanów wykorzystujących luki w zabezpieczeniach aplikacji Microsoft Office (Word, Excel, PowerPoint itd.), jaki miał miejsce w 2006 roku, przekształcił się w spadek. Spowodowane jest to prawdopodobnie tym, że Microsoft załatał wszystkie krytyczne luki w zabezpieczeniach tych produktów. Mimo to powstało ponad 200 szkodliwych programów dla samego tylko programu MS Word, co stanowi duże zagrożenie. Wiele z tych programów zostało wykorzystywanych w 2007 roku w celu przeprowadzenia serii głośnych ataków, o zorganizowanie których podejrzewano chińskich hakerów.

Przełomem roku okazał się JavaScript, który stał się najbardziej innowacyjnym środowiskiem rozwoju i implementacji szkodliwych programów. Obecnie, oprócz trojanów downloaderów, programy napisane w języku programowania JavaScript obejmują również exploity wykorzystujące luki w zabezpieczeniach przeglądarek, robaki pocztowe, szereg różnych spambotów oraz phishing grabbers. Pod koniec roku liczba nowych szkodliwych programów dla JavaScript ponad dwukrotnie przewyższyła liczbę dla bliźniaczego Visual Basic Script.

Możemy spróbować zgrupować wszystkie 43 systemy operacyjne i platformy, które były atakowane w 2007 roku, według wspólnego mianownika, na przykład ze względu na atakowany system operacyjny. Możemy na przykład zgrupować JavaScript i Visual Basic Script z systemem Windows, a Ruby i Perl z systemami z grupy *nix. W ten sposób uzyskamy rzeczywisty obraz sytuacji będącej przedmiotem niekończącej się debaty dotyczącej tego, czy użytkownicy systemów innych niż Windows są narażeni na szkodliwy kod.

System operacyjny Ilość %%
Windows 236 430 99,660
Nix 602 0,254
Mac 35 0,015
Mobilny 63 0,027
Inne 106 0,045

*Nix: FreeBSD, Linux, Perl, PHP, Ruby, Unix.
Mobilny: Python oraz Symbian.
Inne: BeOS, Boot, Boot-DOS, MS-DOS, Multi, SAP, SQL, SunOS.

Na podstawie tych statystyk czytelnicy mogą wyciągnąć własne wnioski.

Aktualizacje antywirusowych baz danych

W odpowiedzi na wzrost liczby i częstotliwości nowych zagrożeń firma Kaspersky Lab przyspieszyła publikowanie aktualizacji antywirusowych baz danych oraz zwiększyła czas reakcji.

Nowe wpisy do antywirusowych baz danych

W 2007 roku liczba nowych wpisów do antywirusowych baz danych dodawanych każdego miesiąca do oprogramowania Kaspersky Anti-Virus wahała się od około 8000 na początku roku do 28000 w połowie roku oraz 23000 pod koniec roku. Wyniki z końca roku pokazują, że w ciągu miesiąca dodawanych było średnio 19770 nowych wpisów.


Statystyki: nowe wpisy do antywirusowych baz danych w poszczególnych miesiącach 2007 r.

Jak wynika z powyższego wykresu, liczba nowych wpisów do antywirusowych baz danych dodawanych każdego miesiąca rosła w różnym tempie w ciągu roku. Największe wartości odnotowano w maju (27847) i sierpniu (31305) 2007 roku, gdy firma Kaspersky Lab przetwarzała rekordową liczbę nowych szkodliwych programów.

Regularne i pilne aktualizacje

Kaspersky Lab reaguje na pojawianie się nowych szkodliwych programów publikowaniem dwóch typów aktualizacji antywirusowych baz danych: regularnych i pilnych (w przypadku epidemii). W 2007 roku całkowita liczba regularnych aktualizacji antywirusowych baz danych przekroczyła 10 000, średnio prawie 900 aktualizacji miesięcznie.


Liczba regularnych aktualizacji antywirusowych baz danych w poszczególnych miesiącach.

Powyższy wykres pokazuje szybki wzrost liczby aktualizacji, który został zapoczątkowany w październiku 2007 roku. Mniej więcej w tym czasie firma Kaspersky Lab wprowadziła nowy system publikowania aktualizacji. Wcześniej aktualizacje były publikowane średnio jeden raz na godzinę. Obecnie odstęp czasu pomiędzy kolejnymi aktualizacjami został zmniejszony do zaledwie 30 minut.

To daje nam średnio 40-50 aktualizacji w ciągu 24 godzin, co stanowi najwyższy współczynnik aktualizacji w całej branży antywirusowej.


Liczba pilnych aktualizacji antywirusowych baz danych w poszczególnych miesiącach.

W porównaniu z 2006 rokiem w 2007 roku było o 51% mniej incydentów wymagających pilnych aktualizacji, a w drugiej połowie 2007 r. o 88% mniej niż w pierwszej połowie. Częściowo było to spowodowane przejściem na system aktualizacji co 30 minut.

Średnia liczba aktualizacji pilnych w jednym miesiącu wynosiła 9,17.

Prognoza

1. MalWare 2.0

Ewolucja sposobów działania szkodliwych programów - od pojedynczych szkodników do złożonych projektów, które wchodzą ze sobą w interakcje - rozpoczęła się cztery lata temu od modularnego systemu komponentów wykorzystanych w robaku Bagle. Ten nowy model szkodliwego oprogramowania, który pod koniec 2006 r. przybrał formę robaka Warezov i zademonstrował swoją długowieczność oraz skuteczność podobnie jak robak Storm (Zhelatin) w 2007 roku, nie tylko stanie się standardem dla ogromnej liczby nowych szkodliwych projektów, ale będzie nadal ewoluował.

Jego kluczowe cechy to:

  • brak pojedynczego centrum kontroli dla zainfekowanych komputerów;
  • metody aktywnie przeciwdziałające próbom analizy i przechwytywania kontroli;
  • ogromne wysyłki flashowe szkodliwego kodu;
  • zręczne wykorzystanie taktyk socjotechniki;
  • wykorzystanie szeregu różnych metod propagacji i odejście od niektórych bardziej oczywistych metod (tj. e-mail);
  • różne metody mające na celu spełnienie różnych funkcji.

Nową generację szkodliwego oprogramowania możemy sklasyfikować, analogicznie do powszechnie stosowanego terminu Web 2.0, jako Malware 2.0.

Wymienione taktyki stosowane są obecnie przez wszystkie trzy wspomniane wcześniej szkodliwe programy: Bagle, Zhelatin oraz Warezov. Ich celem jest nie tyle kradzież danych co przeprowadzanie dużej liczby masowych wysyłek. Jednak niektóre rodziny trojanów Banker i trojanów atakujących gry już teraz zaczęły wykazywać niektóre z takich cech.

2. Rootkity i bootkity

Techniki wykorzystywane do ukrywania obecności szkodliwego programu w systemie (rootkity) będą wkrótce wykorzystywane nie tylko przez trojany, ale również wirusy plikowe. Wydaje się, że cofamy się do ery MS-DOS oraz tworzonych dla niego rezydentnych wirusów ukrywających się. Jest to logiczny krok w ewolucji metod wykorzystywanych do zwalczania programów antywirusowych. Obecnie szkodliwe programy próbują przetrwać w systemie, nawet gdy zostaną wykryte.

Wykorzystywana będzie jeszcze inna niebezpieczna metoda ukrywania obecności szkodliwego programu na komputerze. Polega ona na aktywnym wykorzystaniu technologii infekcji w sektorze startowym: tzw. bootkitów. Programy te są najnowszym wcieleniem starszych taktyk pozwalających szkodliwemu programowi na przejęcie kontroli, jeszcze zanim zostanie uruchomiona główna część systemu operacyjnego (obejmująca ochronę antywirusową). Taktyka ta, która pojawiła się w 2005 roku jako kod "proof of concept", została całkowicie zaimplementowana w 2007 roku jako Backdoor.Win32.Sinowal i w ostatnich dwóch tygodniach roku spowodowała kilka tysięcy infekcji na całym świecie. Metoda ta staje się coraz większym zagrożeniem dla użytkowników, a w 2008 roku może stanowić główny problem bezpieczeństwa informacji.

3. Wirusy plikowe

Nadal będą powracały wirusy plikowe. Tak jak wcześniej, będą tworzone głównie przez chińskich szkodliwych użytkowników i większość z nich będzie atakowała użytkowników gier online. Być może autorzy Zhelatina i Warezova również zaczną wykorzystywać plikowe techniki infekcji - w końcu dostarczyłoby to im sposobów rozprzestrzeniania swojego szkodliwego kodu.

W 2008 roku możemy spodziewać się znacznego wzrostu liczby incydentów związanych z zamieszczaniem na popularnych stronach internetowych oraz sieciach wymiany plików gier i oprogramowania zainfekowanego przez dystrybutorów. Wirusy będą próbowały zainfekować pliki, które użytkownicy wysyłają innym. W wielu przypadkach ta metoda propagacji może okazać się nawet skuteczniejsza niż wysyłanie szkodliwych plików za pośrednictwem poczty elektronicznej.

4. Ataki na serwisy społecznościowe

Przewidujemy, że w 2008 roku phishing ulegnie poważnym zmianom i w coraz większym stopniu jego celem będą serwisy społecznościowe. Dane dotyczące kont subskrybentów w takich serwisach jak Facebook, MySpace, LiveJournal, Blogger czy podobnych do nich będą częstszym celem ataków szkodliwych użytkowników. Będzie to istotna alternatywna w stosunku do infekowania zaatakowanych stron szkodliwym oprogramowaniem. W 2008 roku wiele trojanów będzie rozprzestrzeniać się za pośrednictwem blogów i profili kont użytkowników serwisów społecznościowych.

Innym problemem związanym z serwisami społecznościowymi są ataki XSS/PHP/SQL. W przeciwieństwie do phishingu, który opiera się wyłącznie na oszukańczych metodach oraz socjotechnice, ataki te wykorzystują błędy i luki w zabezpieczeniach serwisów Web 2.0, a ich ofiarą padają nawet zaawansowani użytkownicy komputerów. Jak zawsze celem takich ataków jest uzyskanie prywatnych danych i stworzenie baz danych lub list wykorzystywanych do przeprowadzania kolejnych ataków przy użyciu bardziej tradycyjnych metod.

5. Zagrożenia dla urządzeń mobilnych

Jeśli chodzi o urządzenia przenośne, w szczególności telefony komórkowe, zagrożenia będą w większości należały do kategorii prymitywnych trojanów, takich jak rodzina Skuller, stworzona dla systemu Symbian, oraz "pierwszy trojan" dla iPhone'a. Zagrożenie będzie stanowił również szereg różnych luk w zabezpieczeniach systemów operacyjnych dla smartfonów oraz aplikacji. Nadal istnieje niewielkie prawdopodobieństwo, że będziemy świadkami globalnej epidemii robaka mobilnego, mimo że warunki techniczne zostały już spełnione. Konsolidacja na rynku systemów operacyjnych dla smartfonów pomiędzy Symbianem a Windows Mobile została przerwana w 2007 roku pojawieniem się iPhone'a oraz zapowiedzią nowej platformy mobilnej Google - Android. Ta nowa platforma, jak również popularność iPhone'a, zwrócą prawdopodobnie większą uwagę szkodliwych użytkowników niż inne urządzenia mobilne. Tym, bardziej, że narzędzia do rozwoju aplikacji dla iPhone'a (SDK) są już publicznie dostępne.

Viruslist
Źródło:
Kaspersky Lab
Rynek Dnia Następnego
Indeks Cena średnia
[PLN/MWH]
Wolumen
[MWH]
IRDN 143.76 51680
sIRDN 150.68 36074
IRDN24 141.57 51680
IRDN8.22 151.82 36074
Rynek Towarowy Terminowy
Instrument Kurs rozl. [PLN/MWh] Zmiana[%]
BASE_M-12-17 153.50 0,82
BASE_Y-19 165.25 0,07
BASE_Q-3-17 175.00 -0,10
BASE_W-24-17 158.50 0,32
Czytaj także
Polecane galerie