Ewolucja złośliwego oprogramowania VII-IX 2007

Trzeci kwartał 2007 nie był tak obfity w wydarzenia jak oczekiwano. Naturalnie szkodliwe programy nie zniknęły, a twórcy wirusów z pewnością nie zresocjalizowali się z dnia na dzień. Mimo to zdarzenia związane z zagrożeniami występowały na mniejszą skalę niż w poprzednich miesiącach czy latach.

Na osobie, która pamięta globalne epidemie wywołane przez robaki Mydoom i Lovesan, nieustający strumień niemal identycznych trojanów zalewających Internet raczej nie zrobi dużego znaczenia. Na pierwszy rzut oka wygląda na to, że szkodliwi użytkownicy cierpią na brak ambicji, zarówno jeżeli chodzi o skalę jak i innowację. Istnieje jednak proste wyjaśnienie: cyberprzestępczość staje się biznesem, dlatego obecnie cyberprzestępcy próbują unikać "radarów". Epidemie wirusowe prowadzą do śledztw wszczynanych przez organy ścigania. Ci po drugiej stronie barykady działają teraz zgodnie z hasłem, że najważniejsza jest dyskrecja, zachowując się tak cicho i nienachalnie, jak to możliwe. W takim klimacie znaczące innowacje techniczne są rzadkością. Ugrupowania przestępcze preferują teraz wypróbowane techniki i struktury. O ich działaniach dowiedzieć się można zazwyczaj wtedy, gdy stają się nieostrożni. W tym wypadku pewną rolę odgrywa chciwość oraz niezbyt wielkie umiejętności techniczne.

Za co zostanie zapamiętany trzeci kwartał 2007 roku? Za liczne incydenty związane z kradzieżą danych użytkownika. Za najnowszego trojana szantażystę. Masową histerię związaną z rosyjską firmą Russian Business Network, nazywaną przez zwykłych użytkowników 'Resident Evil' świata cybernetycznego.

Na tym tle informacja o wzrastającej liczbie botnetów związanych z Zhelatinem (Storm Worm) pozostała prawie niezauważona. Przeoczono nawet informację o tym, że botnet robaka Storm składa się z ponad 2 milionów maszyn. Rzeczywista "linia frontu" została przesunięta na całkowicie inny poziom - jednak media nic nie wspominały o tym.

W trzecim kwartale 2007 roku wiele uwagi poświęcono wydarzeniom, o których donosiły media. Badanie jednego incydentu doprowadziło specjalistów z Kaspersky Lab do innych incydentów, które dopiero co zaczynały się wyłaniać; obserwatorowi z zewnątrz wydarzenia te mogły wydawać się pozbawione związku.

Nowy raport kwartalny nie jest standardowy. Opiera się na danych pochodzących z jednego, poważnego dochodzenia i nie tylko obejmuje istotne wydarzenia z ostatnich trzech miesięcy, ale również pokazuje, czym właściwie zajmują się analitycy wirusów.

Powrót szantażysty

Przez ponad rok nie było nowych wiadomości o szyfrujących koniach trojańskich. W zeszłym roku w artykule Kaspersky Lab zatytułowanym "Szantażysta" szczegółowo przedstawiono, w jaki sposób firmy antywirusowe zwalczają Gpcode'a, program wykorzystujący algorytm RSA w celu szyfrowania danych użytkownika. W artykule przewidywano, że w przyszłości pojawi się większa liczba takich programów. Jednak do następnego pojawienia się programu szyfrującego, w połowie lipca 2007 roku, minął prawie rok.

Mniej więcej od 13 lipca niektórzy użytkownicy zaczęli zauważać, że ich dokumenty, zdjęcia, archiwa i pliki robocze przestały się otwierać i zawierały "cyfrowy śmietnik". Ponadto w ich systemach pojawił się plik o nazwie 'read_me.txt'. Niestety zawartość tego pliku była specjalistom z Kaspersky Lab dobrze znana:

Kliknij aby powiększyć