Zagrożenia płyną z sieci - raport półrocza

Przez pierwsze pół roku, wydawałoby się, panował spokój. Ale w rzeczywistości to pozory - informuje w swoim raporcie firma F-Secure. W tym okresie powstało wiele nowych złośliwych kodów i miały miejsce kolejne ataki, mniej jednak o tym mówiono.

Największa zmiana, jaka zaszła w ciągu ostatnich dwudziestu lat nie dotyczy typów wirusów czy ilości "złośliwego oprogramowania" (malware) lecz motywacji, jaką kierują się twórcy wirusów. Najbardziej istotna jest ewolucja autorów wirusów - od osób traktujących ich pisanie jako hobby, do grup przestępczych tworzących złośliwe aplikacje w celu uzyskania korzyści finansowych. Tendencja ta utrzymuje się. Większość przypadków tworzenia nowych niszczycielskich kodów ma podłoże finansowe, a ich celem jest przekształcenie zarażonego komputera w bota wykorzystywanego do rozsyłania spamu lub phishingu, bądź wykradania informacji prywatnych i danych finansowych.

Gorączkowy początek roku

17 stycznia pojawił się niezwykle agresywnie rozprzestrzeniający się robak Nyxem.E (inne nazwy to MyWife, Blackworm i Blackmal). Był on interesujący z dwóch powodów: określonego dnia co miesiąc miał niszczyć dokumenty Worda i arkusze Excela na komputerze i wykorzystywał licznik odwiedzin w celu ustalenia liczby zainfekowanych komputerów. Nie był to wprawdzie pierwszy przypadek robaka z licznikiem, ale jego obecność pozwoliła uzyskać od firmy udostępniającej licznik dane statystyczne pozwalające ustalić wszystkie adresy IP, z których odwiedzano licznik. W ten sposób powstała mapa rozmieszczenia zaatakowanych komputerów na całym świecie.

Stworzona przez F-Secure mapa dystrybucji wirusa Nyxem.EKliknij, aby powiększyćStworzona przez F-Secure mapa dystrybucji wirusa Nyxem.E

Wirus na Macintosha

Lata odporności komputerów Macintosh na wirusy przeszły do historii. W lutym wykryto po raz pierwszy wirusa przeznaczonego dla systemu Mac OS X o nazwie Leap A. Pierwotnie został on wysłany na forum dyskusyjne MacRumors. W ślad za rozprzestrzeniającym się poprzez iChat i infekującym pliki lokalne wirusem pojawiły się kolejne, atakujące tę platformę, m.in. wirus typu "proof of concept" OSX/Inqtana.A, wykorzystujący lukę w mechanizmie Bluetooth OBEX Push do rozprzestrzeniania się na inne komputery.

Wirus w komórce dla każdego

Pierwszy m-wirus pojawił się w telefonach komórkowych w czerwcu 2004 roku, ale zakres wyrządzonych przez niego szkód był ograniczony. Pierwsze złośliwe oprogramowanie na Javę lub J2ME wykryto pod koniec lutego, kiedy to pojawił się koń trojański Redbrowser. Trojan ten, reklamujący się użytkownikowi jako sposób na darmowe korzystania z serwisów WAP, wykorzystywany był do kradzieży pieniędzy. W przypadku uruchomienia wysyłał SMS na wysokopłatny numer w Rosji w cenie ok. 5 USD za każdą wysłaną wiadomość. Na szczęście skala ataku była ograniczona ze względu na użycie języka rosyjskiego.

W marcu 2006 roku wykryto pierwszy w telefonie komórkowym program typu spyware - Flexispy. Jest to aplikacja komercyjna. Klient loguje się do portalu, a oprogramowanie po zainstalowaniu na telefonie komórkowym monitoruje wszystkie wykonane połączenia, wysłane wiadomości SMS i MMS, i przekazuje te informacje na portal.

Popularny phishing

F-Secure przeprowadził proste wyszukiwanie w domenach com/net/org/us/biz/info pod kątem popularnych nazw banków i innych instytucji finansowych. Rezultaty tego działania pokazują, że mają one nader liczną reprezentację w sieci WWW - z pewnością niektóre z nich są prawdziwe, ale większość ma zwykle na celu ukraść pieniądze nie dość ostrożnym osobom. Łącznie zarejestrowanych jest 8057 domen ze słowem eBay, 1634 domen ze słowem PayPal i 497 domen ze słowem Citibank.

Z przeprowadzonego niedawno badania dotyczącego technik phishingu wynika, że fałszywa witryna, najbardziej przypominająca prawdziwą pod względem wizualnym, była w stanie oszukać 90% uczestników badania. W grupie tej znaleźli się zaawansowani technicznie użytkownicy. Podstawową rolę odegrał tu wygląd, nie zaś podrobienie funkcji bezpieczeństwa.

Przegrać z samym sobą

Rootkit to technologia, która skutecznie ukrywa narzędzia pozwalające autorom złośliwych aplikacji włamać się do komputera i działać w sposób zupełnie niezauważony. W maju stwierdzono, że poprzez internetowy serwis hazardowy wykorzystywano używający rootkita backdoor do potajemnego rejestrowania i kradzieży informacji o graczach korzystających z internetowych serwisów pokerowych. Gracze instalowali na swoich maszynach pozornie tylko przydane narzędzie. Włamywacz uzyskiwał dostęp do przechowywanych w maszynie informacji służących do logowania w internetowych serwisach pokerowych, takich jak Partypoker, Empirepoker, Eurobetpoker czy Pokernow. Wówczas, podszywając się pod innych graczy, haker mógł umyślnie przegrywać partie z samym sobą, zgarniając w ten sposób wygrane.

Co to za dokument?

Pod koniec maja wiele mówiono o nowej "dziurze" w programie Word. Jak informują niektóre źródła, jedna z amerykańskich firm otrzymała e-maile wysłane z zewnątrz, ale spreparowane w taki sposób, że wyglądały jak wewnętrzne e-maile firmy. Zawierały one załącznik - dokument w formacie *.doc. Po otwarciu plik uruchamiał backdoor ukryty przy pomocy rootkita, pozwalający na nieograniczony dostęp atakującego do komputera, z hosta zarejestrowanego w chińskiej domenie 3322.org. Pliki w formacie *.doc stanowią cel ataku z wielu przyczyn. Kilka lat temu, kiedy problemem nr 1 były makrowirusy w wielu firmach bramki poczty elektronicznej odrzucały załączniki w formacie *.doc. Obecnie jednak pliki *.doc zwykle się przepuszcza. Problemem o większym znaczeniu jest to, że w programie Word są luki, a użytkownicy zwykle nie instalują łat do Worda, podobnie jak łat do systemu Windows.

3322.org jest działającym w Chinach darmowym serwisem oferującym bounce hosta. Każdy może zarejestrować dowolną nazwę hosta w domenie 3222.org (o postaci NAZWA.3322.org), a serwis powiąże taką nazwę hosta z dowolnym adresem IP. W chwili obecnej działa kilka takich serwisów, m.in. 8866.org, 2288.org, 6600.org, 8800.org i 9966.org.

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.