Ewolucja złośliwego oprogramowania 2005

Przeczytaj także: Ewolucja złośliwego oprogramowania 2008

Najważniejsze wydarzenia 2005 roku

Zaostrzająca się rywalizacja

Jednym z najwyraźniejszych trendów 2005 roku był wzrost rywalizacji nie tylko między cyberprzestępcami a przemysłem antywirusowym, ale również pomiędzy samymi cyberprzestępcami. Co więcej, w 2005 roku zwiększyła się liczba ataków na organizacje rządowe. Wygląda na to, że cyberprzestępcom nie wystarczają już pieniądze, które są w stanie wyciągnąć od indywidualnych użytkowników.

Jak należy wyjaśnić ten trend? Od dawna wiadomo już, że minęły czasy, gdy cyberchuligani byli "entuzjastami", którzy spędzali samotne noce na tworzeniu swoich "dzieł" w Asemblerze. Szacuje się nawet, że zyski z cyberprzestępczości znacznie przewyższają przychody całej branży antywirusowej. Cyberprzestępcy śledzą rozwój branży antywirusowej tak samo jak firmy antywirusowe obserwują poczynania cyberprzestępców. Stosują na przykład multiskanery (zestaw skanerów plików wykorzystywanych przez czołowych producentów oprogramowania antywirusowego) w celu sprawdzenia, czy nowe modyfikacje istniejących już złośliwych programów zostały uwzględnione w antywirusowych bazach danych. Złośliwe programy wypuszczane są tylko wtedy, gdy rozwiązania antywirusowe nie są w stanie ich wykryć.

Przestępcy próbują blokować każdy etap rozwoju aktualizacji antywirusowych baz danych.

Etap 1: Podejrzana zawartość zostaje przechwycona w sieci (we wszystkich rodzajach sieci, np. w Internecie, sieci bezprzewodowej itd.). W celu uniknięcia wykrycia cyberprzestępcy stosują szereg różnych metod, takich jak identyfikowanie i omijanie węzłów sieci, które gromadzą szkodliwą zawartość oraz przeprowadzanie na nie ataków DDoS (powoduje to zablokowanie węzłów na czas przeprowadzania ataków). Przechwytywanie złośliwych programów utrudnia również konieczność namierzania masowych wysyłek złośliwych programów. Autorzy Bagla, znanego robaka pocztowego, śledzą klikanie przez użytkowników odsyłaczy do stron, na których umieszczone zostały najnowsze wersje robaka. Zamiast zainfekowanych plików użytkownicy, którzy często klikają takie odsyłacze, otrzymują komunikaty o błędzie. Poprzez tworzenie tego typu "czarnych list" szkodliwi użytkownicy utrudniają firmom i organizacjom antywirusowym śledzenie aktywności w sieci.

Etap 2: Analiza złośliwego kodu. W tej dziedzinie nie wydarzyło się ostatnio nic nowego. Jedyną zmianą jest stały spadek popularności technologii polimorficznych. Obecnie coraz częstszą praktyką jest pakowanie plików wykonywalnych przy użyciu różnych narzędzi, dzięki czemu nie są wykrywane przez niektóre programy antywirusowe.

Etap 3: Opublikowanie uaktualnienia. Jest to jedyny etap, którego szkodliwi użytkownicy nie potrafią jak dotąd skutecznie zablokować.

Etap 4: Zainstalowanie uaktualnienia przez użytkownika. Złośliwe programy często modyfikują plik HOSTS w taki sposób, że komputer ofiary nie może połączyć się z serwerem aktualizacji producenta oprogramowania antywirusowego. W rezultacie nie można uaktualnić antywirusowych baz danych.