Ewolucja złośliwego oprogramowania 2008

Przeczytaj także: Ewolucja złośliwego oprogramowania I-VI 2008

Maj 2008. Firma Kaspersky Lab wykryła trojana o nazwie Trojan-Mailfinder.Win32.Myspamce.a rozprzestrzeniającego spam za pośrednictwem poleceń na portalu MySpace. W tym samym tygodniu na rosyjskim portalu “VKontakte" został znaleziony robak sieciowy o nazwie Net-Worm.Win32.Rovud.a. Robak ten rozsyłał zainfekowany odsyłacz do zaufanych kontaktów zaatakowanych użytkowników. Kilka dni później użytkownicy portalu “Odnoklassniki.ru" otrzymali spam zawierający odsyłacz do portalu miss-runet.net oraz prośbę, aby głosowali na jedną z kandydatek. Komputery osób, które uległy prośbie, zostały zainfekowane programem z rodziny Trojan-Dropper.Win32.Agent.

Czerwiec 2008. W miesiącu tym został rozesłany spam rzekomo pochodzący od administratorów portalu “Odnoklassniki.ru". Wiadomości zachęcały użytkowników do odwiedzenia strony głównej tego portalu za pośrednictwem zawartego w wiadomości odsyłacza; jednak po tym, jak użytkownik odwiedził tę stronę, na jego komputerze instalowany był trojan downloader. Po zainstalowaniu trojan ten pobierał dalsze szkodliwe pliki, a następnie przekierowywał ofiarę na prawdziwą stronę “Odnoklassniki.ru".

Lipiec 2008. Kaspersky Lab zidentyfikował kilka incydentów dotyczących portali Facebook, MySpace oraz VKontakte. Net-Worm.Win32.Koobface.a rozprzestrzeniał się poprzez portal MySpace w sposób podobny do tego, jaki wykorzystywał wykryty w maju trojan Trojan-Mailfinder.Win32.Myspamce.a. Kolejny wariant tego robaka, Net-Worm.Win32.Koobface.b, rozprzestrzeniał się poprzez portal Facebook. Robak ten wysyłał wiadomości do "przyjaciół" zainfekowanych użytkowników. W obu przypadkach polecenia i wiadomości wysłane przez te robaki zawierały odsyłacze do fałszywego portalu w stylu YouTube, które zapraszały użytkowników do pobierania "nowej wersji programu Flash Player". Zamiast odtwarzacza multimedialnego na zaatakowane maszyny pobierany był robak.

Wiadomości spamowe wysyłane do użytkowników portalu VKontakte zawierały odsyłacze do serwera, który przekierowywał użytkowników na strony pornograficzne. Użytkownicy dowiadywali się, że w celu obejrzenia filmu muszą pobrać kodek, który w rzeczywistości okazywał się być szkodnikiem o nazwie Trojan.Win32.Crypt.ey. W rezultacie, wśród pierwszych pięciu wyników wyszukiwania przy użyciu dowolnej wyszukiwarki widniały adresy zainfekowanych stron. Kaspersky Lab szacuje, że w ciągu kilku godzin ukradziono około 4 000 kont na portalu VKontakte.

Sierpień 2008. W miesiącu tym ofiarą ataku cyberprzestępców padł Twitter, portal społecznościowy cieszący się coraz większą popularnością. Na specjalnie stworzonej stronie użytkownika zostało umieszczone zdjęcie reklamujące film erotyczny. Użytkownik, który kliknął zdjęcie był proszony o pobranie "nowej wersji Adobe Flasha", która w rzeczywistości była trojanem Trojan-Downloader.Win32.Banload.sco.

Grudzień 2008. Na portalu VKontakte rozprzestrzeniane były odsyłacze do szkodliwych programów dla telefonów komórkowych. Ze skradzionych kont na portalach społecznościowych wysyłano na adresy kontaktów z listy wiadomości oferujące darmowe doładowania kont telefonów komórkowych. Wiadomości zawierały odsyłacze, które mogłyby zostać wykorzystane do zainstalowania w telefonie aplikacji Java w celu uzyskania dostępu do usługi darmowego doładowania. Aplikacją tą był w rzeczywistości Trojan-SMS.J2ME.Konov.b.; po zainstalowaniu trojan wysyłał wiadomość SMS na pięć krótkich numerów bez wiedzy oraz zgody użytkownika. Każda wiadomość SMS kosztowała 250 rubli (około 10 dolarów).

Naturalnie nie jest to kompletna lista incydentów związanych z portalami społecznościowymi. Kaspersky Lab wymienił jedynie najbardziej interesujące przypadki, jakie miały miejsce w 2008 roku.

Szkodliwe programy: aktywność sieciowa

Aktywność szkodliwych programów w skali globalnej od zawsze była interesującym tematem. Pułapki (tzw. honeypots) stanowią najpopularniejsze narzędzie zbierania informacji dotyczących aktywności sieciowej szkodliwych programów. Jednak systemy te zwykle monitorują jedynie własne kanały internetowe i rejestrują tylko próby atakowania obserwowanych serwerów. To oznacza, że ogromna większość aktywności sieciowej szkodliwego oprogramowania pozostaje niezauważona.