Wirusy i ataki sieciowe X-XII 2005

Przeczytaj także: Panda: złośliwe oprogramowanie 2008

Ewolucja Krottena i cybernetyczny szantaż

W poprzednich raportach oraz dzienniku analityków zawarte są informacje o nowej klasie złośliwych programów tworzonych w jednym tylko celu: uzyskania pieniędzy od użytkowników. Programy te działają w niezwykle prosty sposób: po przeniknięciu do maszyny ofiary szyfrują jej dane, a następnie żądają zapłaty za odszyfrowanie. Typowymi przykładami takich złośliwych programów są: GpCode oraz JuNy.

Niektórzy użytkownicy kontaktują się z autorami tych programów i płacą żądaną sumę. Inni wykazują większy spryt i przesyłają pliki do firm antywirusowych. Na szczęście, autorzy programów tego typu nie posiadają dużych umiejętności kryptograficznych.

We wrześniu 2005 roku firma Kaspersky Lab wykryła nowego trojana o nazwie Krotten - wtedy nazywał się jeszcze Trojan.Win32.Agent.il. Analiza wykazała, że mamy do czynienia z kolejnym cyberszantażem przy użyciu trojana. Jednak metody stosowane przez Krottena znacznie różniły się od tych, które wykorzystywał GpCode czy JuNy. Trojan ten nie szyfrował plików użytkownika; jego działanie było o wiele subtelniejsze, ponieważ modyfikował on rejestr systemu Windows, przez co ograniczał czynności, które mógł wykonać użytkownik.

W szczególności, Krotten blokuje Edytor rejestru (regedit.exe), uniemożliwia uruchomienie Menedżera zadań, zamknięcie okien przeglądarki Internet Explorer oraz Eksploratora Windows, jak również uzyskanie dostępu do konfiguracji plików i folderów; szkodnik modyfikuje menu Start, uniemożliwia uruchomienie wiersza poleceń itd.

Oczywiście używanie tak bardzo zmodyfikowanego komputera jest praktycznie niemożliwe. Za przywrócenie jego normalnego działania autorzy Krottena żądali 25 hrywien (waluta Ukrainy), tj. równowartości 5 dolarów.

W ciągu następnych miesięcy wykryliśmy ponad 30 modyfikacji Krottena i wciąż otrzymujemy nowe próbki.

Przypadek Krottena pokazuje, że wymuszenia internetowe cieszą się coraz większą popularnością wśród twórców wirusów. Jest to bardzo niebezpieczny trend, który nasila się z każdym miesiącem. Można go określić jako osobny rodzaj cyberprzestępczości. Inne przestępstwa cybernetyczne nie są dla nas niczym nowym: w ciągu ostatnich lat przywykliśmy do przypadków kradzieży różnych danych użytkownika - numerów kart kredytowych, haseł i innych informacji. Cyberprzestępcy wykorzystują te dane na różne sposoby - mogą je odsprzedać lub wykorzystać do kradzieży tożsamości. Jednakże banki internetowe, systemy płatności elektronicznej oraz firmy antywirusowe wprowadzają działania, które skutecznie przeciwdziałają takim przestępstwom. W efekcie są one coraz trudniejsze do popełnienia i coraz mniej opłacalne. Poza tym na scenie pojawiła się nowa generacja twórców wirusów - twórcy ci nie chcą, ani nie potrafią tworzyć skomplikowanych koni trojańskich. Są to dzieciaki, które dorastają i zwracają się w kierunku szantażu cybernetycznego. Dlaczego mieliby kraść dane, które trudno później sprzedać? O wiele łatwiej jest naciągnąć użytkowników na drobne sumy - a jeśli będzie ich wystarczająco wielu, zysk będzie odpowiednio duży.

Luki "zero day"

Pojawienie się krytycznych luk w systemie Windows nieuchronnie prowadzi do zwiększenia aktywności wirusów, a czasem do globalnych epidemii. Byliśmy tego świadkami w sierpniu 2003 roku, kiedy Lovesan wykorzystał lukę RPC DCOM, oraz w kwietniu 2004 roku, gdy Sasser zainfekował kilka milionów komputerów na całym świecie wykorzystując do rozprzestrzeniania się lukę LSASS. Podobna sytuacja miała miejsce w związku z luką Plug'n'Play, opisaną szczegółowo w Biuletynie firmy Microsoft MS05-039. Jednak luki, o których mowa, znajdowały się na poziomie systemu, co oznacza, że szkodliwy użytkownik mógł przeniknąć do komputera ofiary z zewnątrz, poprzez port. Innym komponentem systemu Windows odpowiedzialnym za ogromną liczbę infekcji jest przeglądarka Internet Explorer. Liczbę wykrytych w niej luk szacuje się na dziesiątki, a najbardziej niebezpieczne umożliwiają hakerom zainstalowanie dowolnego pliku na komputerze ofiary podczas odwiedzania przez nią zainfekowanej strony WWW.

W przypadku wirusów, które przenikają do systemu poprzez znane luki, rozwiązanie problemu stanowią łaty Microsoftu. Pozostaje jednak problem wirusów tworzonych w celu wykorzystania luk "zero day", czyli takich, dla których nie istnieją jeszcze łaty. Microsoft kontroluje sytuację poprzez bliską współpracę z firmami specjalizującymi się w identyfikowaniu luk. Czasami od wykrycia luki do opublikowania łaty może upłynąć kilka miesięcy, jednak informacje o lukach nie są do tego czasu publikowane, a tym samym nie są powszechnie dostępne.

Pod koniec roku 2005 miała miejsce sytuacja bezprecedensowa. W odstępie miesiąca w systemie Windows pojawiły dwie krytyczne luki. Informacje o nich przedostały się do opinii publicznej, zanim opublikowano łaty. W obu przypadkach luki te wykorzystano do rozprzestrzeniania złośliwych programów.

21 listopada brytyjska grupa naukowców, występująca pod dziwną nazwą "Computer Terrorism", opublikowała exploita typu proof of concept (demonstrującego nową technologię), który działał w całkowicie załatanej wersji przeglądarki Internet Explorer. Luka dotyczyła funkcji Java Script 'window()', a informacje o niej zostały po raz pierwszy upublicznione w maju 2005. Wtedy jednak Microsoft nie widział żadnego sposobu wykorzystania tej luki do wykonania dowolnego kodu na komputerze ofiary i nie ocenił jej jako krytyczną. W konsekwencji załatanie tej luki nie było traktowane jako priorytet.