Ewolucja złośliwego oprogramowania 2009

Przeczytaj także: Złośliwe oprogramowanie. Ransomware uderza w dyski NAS

W jaki sposób Gumblar rozprzestrzeniał się tak szybko? Odpowiedź jest prosta: Gumblar to w pełni zautomatyzowany system. Specjaliści zajmujący się zwalczaniem wirusów mają do czynienia z nową generacją samodzielnie rozbudowujących się botnetów. System ma charakter cykliczny: osoby odwiedzające skompromitowane strony są aktywnie atakowane, następnie, po zainfekowaniu komputerów przy użyciu plików wykonywalnych Windowsa, zostają skradzione dane dostępu do konta FTP. Konta te są następnie wykorzystywane do infekowania wszystkich stron na nowych (wcześniej niezainfekowanych) serwerach sieciowych. W ten sposób zwiększa się liczba zainfekowanych stron, a w rezultacie zostaje zainfekowanych coraz więcej komputerów. Cały proces jest zautomatyzowany, a właściciele systemu muszą tylko aktualizować wykonywalny plik trojana, który kradnie hasła oraz exploity wykorzystywane do przeprowadzania ataków na przeglądarki.

Oszustwa

Oszustwa występujące w Internecie stają się coraz bardziej zróżnicowane. Oprócz powszechnych ataków phishingowych występują obecnie strony oferujące dostęp do szeregu płatnych usług. (Naturalnie w rzeczywistości usługi nigdy nie są dostarczane.) Liderem pod tym względem jest Rosja. To właśnie rosyjscy oszuści stworzyli szeroki wachlarz stron oferujących "usługi", takie jak "zlokalizuj osobę za pośrednictwem GSM", "czytaj prywatne wiadomości na portalach społecznościowych", "gromadź informacje" itd. Aby skorzystać z takiej "usługi", użytkownik musi wysłać SMS na numer o podwyższonej opłacie, nikt jednak nie informuje go, że SMS może kosztować nawet do 10 dolarów. Alternatywnie, użytkownikowi proponuje się "subskrypcję", także przez SMS, a po dokonaniu subskrypcji opłata jest pobierana codziennie z jego konta mobilnego.

Zidentyfikowano kilkaset takich “usług", wspieranych przez kilkadziesiąt programów afiliackich. "Usługi" te były promowane przy pomocy tradycyjnego spamu rozsyłanego za pośrednictwem poczty elektronicznej, spamu na portalach społecznościowych oraz rozsyłanego poprzez komunikatory internetowe. W celu przeprowadzenia przyszłych ataków spamowych cyberprzestępcy wykorzystali następnie szkodliwe oprogramowanie oraz ataki phishingowe mające na celu uzyskanie dostępu do konta użytkowników, stworzyli dziesiątki fałszywych portali społecznościowych itd. Dopiero pod koniec 2009 roku dostawcy usług mobilnych, administratorzy porali społecznościowych oraz branża antywirusowa zaczęli skutecznie zwalczać tego typu aktywność cyberprzestępczą.

Jak już wspomniano, częścią szkodliwej funkcji robaka Kido jest pobieranie na komputery ofiary fałszywego rozwiązania antywirusowego. Fałszywe rozwiązania antywirusowe próbują przekonać użytkownika, że na jego komputerze znajdują się zagrożenia (mimo że w rzeczywistości nie jest to prawdą) oraz nakłonić go do "aktywowania" go (za co musi zapłacić). Im bardziej takie fałszywe rozwiązania przypominają prawdziwe oprogramowanie, tym większe szanse, że ofiara zapłaci.

W 2009 roku oszuści i cyberprzestępcy coraz częściej wykorzystywali fałszywe rozwiązania antywirusowe. Fałszywe oprogramowanie jest rozprzestrzeniane nie tylko przy użyciu innych szkodliwych programów, ale również poprzez reklamy internetowe. Obecnie spora liczba stron wyświetla banery promujące nowy "cudowny" produkt, który ma być lekarstwem na wszystko. Nawet legalne strony często pokazują takie banery flashowe lub natarczywe reklamy we flashu takich "nowych produktów antywirusowych". Podobnie często można się natknąć na okienka wyskakujące, które oferują możliwość pobrania takich rozwiązań za darmo.