Ewolucja złośliwego oprogramowania 2009

Przeczytaj także: Złośliwe oprogramowanie. Ransomware uderza w dyski NAS

Do czynników, które doprowadziły do tego spadku, należały działania wydawców gier, którzy zaczęli reagować na problem bezpieczeństwa. Z drugiej strony również wielu graczy zaczęło podejmować działania w celu zabezpieczenia się przed takimi zagrożeniami.

W zmniejszeniu liczby szkodliwych programów pomogły również skuteczne przedsięwzięcia podejmowane przez organy ścigania i regulacyjne, firmy telekomunikacyjne i z branży antywirusowej skierowane przeciwko nielegalnym firmom i serwisom oferującym hosting internetowy. Pierwszy krok został podjęty w 2008 roku, gdy zamknięto takie serwisy jak McColo, Atrivo czy EstDomains. W 2009 roku podjęto dalsze działania, w wyniku których UkrTeleGroup, RealHost oraz 3FN zostały zmuszone do zaprzestania swojej działalności.

Firmy te znane były z oferowania usług dla wszelkiej maści spamerów i cyberprzestępców, łącznie z dostarczaniem centrów kontroli botnetów, zasobów i stron phishingowych, exploitów itd.

Jednak zamknięcie przestępczych serwisów hostingowych nie położyło kresu działalności przestępczej i spamerskiej, ponieważ cyberprzestępcy zdołali znaleźć nowe zasoby. Mimo to w okresie, gdy tego rodzaju przestępcy byli zajęci "przeprowadzką", Internet stał się bezpieczniejszy.

Obecnie wszystkie znaki wskazują na to, że opisany wyżej trend utrzyma się w 2010 roku, a liczba unikatowych szkodliwych programów stworzonych w 2010 roku będzie podobna do tej z 2009 roku.

Podsumowanie roku

Rok 2009 charakteryzował się złożonymi szkodliwymi programami z funkcjonalnością rootkita; globalnymi epidemiami; robakiem Kido (Conficker); atakami i botnetami sieciowymi; oszustwami SMS-owymi i atakami na portale społecznościowe.

Większe wyrafinowanie

W 2009 roku szkodliwe programy stały się znacznie bardziej złożone. Na przykład o ile w przeszłości istniała zaledwie garstka rodzin szkodliwego oprogramowania z funkcjonalnością rootkita, w 2009 roku programy tego rodzaju nie tylko stały się szeroko rozprzestrzenione, ale również znacznie bardziej wyrafinowane. Zagrożenia, które zasługują na wzmiankę w tym kontekście, to Sinowal (bootkit), TDSS oraz Clampi.

Analitycy z Kaspersky Lab śledzili ewolucję Sinowala przez dwa ostatnie lata; wiosną 2009 roku miała miejsce ostatnia fala rozprzestrzeniania się tego szkodliwego oprogramowania. Szkodniki te skutecznie zamaskowały swoją obecność w systemie, a większość programów antywirusowych nie potrafiła ich wykryć. W tym czasie bootkit był najbardziej zaawansowanym szkodliwym programem. Co więcej, Sinowal aktywnie zwalczał wysiłki firm antywirusowych, które dążyły do wyeliminowania centrum kontroli botnetu.

W większości przypadków bootkit rozprzestrzenia się za pośrednictwem zainfekowanych stron internetowych, portali oferujących materiały pornograficzne oraz strony zawierające nielegalne oprogramowanie. Prawie wszystkie serwery, które zainfekowały maszyny, były częścią tak zwanych "programów afiliackich", w których współpracowali ze sobą właściciele stron i autorzy szkodliwego oprogramowania. Tego rodzaju działania są bardzo popularne w rosyjskim i ukraińskim świecie cyberprzestępczym.

Inny szkodliwy program, TDSS, jednocześnie zaimplementował dwie niezwykle złożone technologie: infekuje sterowniki systemu Windows i tworzy swój własny wirtualny system plików, w którym ukrywa swój (szkodliwy) kod. TDSS był pierwszym szkodliwym programem, który potrafił przeniknąć do system na takim poziomie.