Wirusy i trojany IX 2004

Przeczytaj także: Wirusy i trojany X 2004

Specjaliści Trend Micro zauważyli także niebezpieczną tendencję w środowisku twórców wirusów: motywem ich działania nie jest już chęć zdobycia popularności, lecz... możliwość zysku. Tworzą w tym celu tzw. sieci "zombie", złożone z jak największej liczby komputerów, nad którymi udało się im przejąć kontrolę. Komputery są następnie (bez wiedzy użytkowników) wykorzystywane do przeprowadzania ataków hakerskich.

Dlaczego wzrost?

Na wzrost liczby nowych wirusów złożyło się kilka czynników. Po pierwsze, wyraźnie zmieniła się motywacja autorów wirusów - jeszcze do niedawna szkodliwe programy powstawały po to, aby ich twórcy choć przez chwilę stali się popularni w internetowym podziemiu. Obecnie coraz częściej inspiracją jest możliwość zarabiania pieniędzy. Tłumaczy to rosnącą liczbę szkodliwych kodów przeznaczonych do wykradania poufnych danych, na przykład loginów i haseł do kont internetowych (TROJ_BANKER, TROJ_BANCOS). Kolejny ważny czynnik, który pozwala hakerom szybko opracowywać nowe wersje wirusów to większa dostępność kodów źródłowych w internecie. W szczególności odnosi się to do wirusów z rodziny Mydoom, Bagle i Lovgate.

Sieci zombie

We wrześniu zanotowano także wzrost liczby wirusów przeznaczonych do przejmowania kontroli nad zainfekowanym systemem. Takie komputery służą hakerom do tworzenia "sieci zombie", czyli komputerów które następnie są wykorzystywane do przeprowadzania ataków internetowych. Firma Trend Micro wykryła w ubiegłym miesiącu blisko 400 nowych programów tego typu. Aby uzyskać kontrolę nad systemem wykorzystują one luki w zabezpieczeniach sieci oraz kanały Internet Relay Chat (IRC). Zainfekowane komputery łączą się z serwerem pogawędek sieciowych i jako wirtualni użytkownicy (tzw. boty) oczekują komend wydanych przez hakera.

Sasser ciągle aktywny

Cztery miesiące po pojawieniu się w sieci SASSER.B ciągle figuruje na pierwszej pozycji wśród 10 najbardziej rozpowszechnionych wirusów. We wrześniu Sasser odpowiedzialny był za 31 procent infekcji – z czego większość miała miejsce na terytorium Indii. Jest to dowód na to, że ciągle istnieje ogromna ilość komputerów, których systemy operacyjne nie zostały uaktualnione pomimo licznych ostrzeżeń zarówno firm antywirusowych jak i Microsoftu.

Pierwszy wirus 'JPEG'

14 września Microsoft opublikował biuletyn bezpieczeństwa MS04-028, ogłaszając krytyczną lukę w systemie Windows związaną ze sposobem, w jaki niektóre aplikacje Windows obsługują format JPEG. Luka umożliwia ukrycie w kodzie pliku graficznego szkodliwego programu, który uruchomi się w momencie otworzenia, podglądu, a nawet przy przeciągnięciu wskaźnika myszy ponad plikiem JPEG (!). Odpowiednio spreparowany obraz może przydzielić hakerowi uprawnienia takie jak użytkownik.

Komputer można zaatakować poprzez odpowiednio spreparowane strony internetowe, e-maile a także udziały sieciowe, w których udostępniony zostanie folder zawierający zainfekowany plik JPEG.

Już w trzy dni po opublikowaniu informacji o luce w sieci pojawił się exploit, czyli kompletny zestaw do przygotowania wirusa. Po uruchomieniu go pojawia się okno tekstowe, w które należy wpisać adres URL, który będzie pobierany po uruchomieniu zainfekowanego pliku JPEG. Następnie wystarczy klinąć przycisk "Make" - odpowiedni plik graficzny zostaje automatycznie wygenerowany. Wspomniany exploit jest wykrywany przez programy Trend Micro jako HTKL_JPGDOWN.A.