Ewolucja złośliwego oprogramowania 2008

Przeczytaj także: Ewolucja złośliwego oprogramowania I-VI 2008

Port 80 zwykle jest wykorzystywany przez szkodliwe programy w celu ustanowienia połączeń ze stronami cyberprzestępców. W takich przypadkach aktywność sieciową można uznać za surfowanie użytkownika po Sieci. Port 80 wykorzystywany jest przez liczne rodziny botów i trojany, łącznie z Trojan-PSW.Win32.Zbot, Backdoor.Win32.Sinowal oraz różnymi modyfikacjami trojana Trojan-GameThief.Win32.OnLineGames. Szkodliwe programy wykorzystują go również do ustanowienia połączeń z centrami kontroli botnetów.

Na drugim miejscu znajduje się niestandardowy port 8000, wykorzystywany przez legalne programy, takie jak HP Web Jetadmin, ShoutCast Server, Dell OpenManage oraz wiele innych aplikacji opartych na technologii Java RMI, z których wszystkie wykorzystują własny protokół.

Badanie Kaspersky Lab wykazało, że port 8000 jest wykorzystywany przez rodzinę Backdoor.Win32.Hupigon. Rodzina ta, stworzona przez chińskich hakerów, jest najprawdopodobniej najszybciej rosnącą rodziną szkodliwych programów wykrytych przez firmę Kaspersky Lab. Pod koniec 2008 roku kolekcja firmy liczyła ponad 110 000 różnych modyfikacji Hupigona.

Czym więc wyróżnia się port 8000? Odpowiedź jest całkiem prosta - port ten jest wykorzystywany przez QQ - najpopularniejszy komunikator internetowy w Chinach. Chińscy użytkownicy wykorzystują tę usługę do kontrolowania zainfekowanych komputerów. Istnieje również wersja Hupigona wykorzystująca port 8181. Rodzina Hupigon jest liderem wśród szkodliwych programów pod względem całkowitej liczby zapytań sieciowych - Hupigon stoi za prawie co trzecim zapytaniem sieciowym do unikatowego portu pochodzącym od szkodliwego programu!

Inny niestandardowy port - 3460 - wykorzystywany był w 7% przeanalizowanych przez ekspertów zapytań sieciowych wysyłanych przez szkodliwe programy. Zapytania do tego portu wysyłane były głównie przez backdoora Backdoor.Win32.Poison, znanego również jako Poison Ivy. Szkodliwe programy z tej rodziny to boty wykorzystywane do tworzenia niewielkich botnetów (do 200 komputerów). Oprogramowanie to jest popularne, ponieważ można je pobrać za darmo na stronie producenta. Poison nie pozwala na wysyłanie dużej liczby osadzonych poleceń jednocześnie do kilku komputerów i najczęściej wykorzystywany jest przez cyberprzestępców nowicjuszy. Niektórzy administratorzy systemów niewielkich sieci wykorzystują go jako narzędzie zdalnej administracji.

Domeny drugiego poziomu atakowane przez szkodliwe programy

Poniższy diagram pokazuje domeny drugiego poziomu atakowane przez szkodliwe programy, które wykorzystują najpopularniejszy port 80. Większość domen drugiego poziomu, z którymi kontaktują się szkodliwe programy, należy do chińskich serwisów DNS.