Kaspersky Lab: zagrożenia internetowe I kw. 2010

Przeczytaj także: Zaawansowane i ukierunkowane cyberataki 2013

Odsetek wirusów w pierwszym kwartale 2010 roku zmniejszył się o 0,23% i wyniósł 9,72%. Najpopularniejszym wirusem jest dzisiaj Virus.Win32.Sality. Co dwudziesty wykryty program był zainfekowany tym wirusem. Pod koniec kwartału Kaspersky Lab uzyskał nowy wariant - Virus.Win32.Sality.ag - który wykorzystuje całkowicie nowy algorytm deszyfrowania utrudniający wykrywanie tego wirusa. Naturalnie, w czasach, gdy wirusy są pisane w celach przestępczych, nic i nikt nie zostaje zainfekowany bez wyraźnej przyczyny. Wirus ten jest szczególnie groźny ze względu na jego funkcję backdoora, która pozwala szkodliwym użytkownikom na przejęcie całkowitej kontroli nad zainfekowanym komputerem.
Jak już wspominaliśmy wcześniej, robaki stanowią obecnie trzeci najbardziej rozpowszechniony rodzaj szkodliwego oprogramowania. W głównej mierze wynika to z epidemii robaka Autorun, która wydaje się nie słabnąć. W trzecim kwartale 2009 roku miał miejsce niewielki spadek liczby tych zagrożeń, niestety jednak trend ten nie utrzymał się. Obecnie prawie każde urządzenie, które można zsynchronizować z komputerem, może być wykorzystane przez robaka Autorun jako nośnik infekcji. Liczba takich urządzeń nieustannie wzrasta. Robak ten może również działać w systemach Android i Symbian. Odnotowaliśmy infekcję wielu różnych urządzeń, które dopiero zostaną oficjalnie opublikowane.

Języki skryptowe są stosunkowo proste, dlatego można je bez trudu wykorzystać do napisania dowolnego rodzaju kodu, łącznie ze szkodliwym. W ostatnim kwartale odsetek zagrożeń tworzonych w różnych językach skryptowych wzrósł o 2,3% i obejmował takie języki jak FlyStudio ('e' language) oraz VisualBasic, chociaż najpopularniejszy wśród szkodliwych użytkowników jest AutoIT.

W ostatnim kwartale ładowarka baterii USB okazała się najbardziej nietypowym nośnikiem zagrożeń. Wykorzystuje ona trojana o nazwie Arucer.dll, który działa w systemie operacyjnym Windows i przenika do komputer za pośrednictwem oprogramowania wykorzystywanego do wyświetlania procesu naładowania baterii. Po infekcji szkodliwe oprogramowanie łączy się z portem 777 i czeka na polecenie. Potrafi usuwać, pobierać i uruchamiać pliki. Po instalacji program konfiguruje rejestr w taki sposób, aby uruchamiał się automatycznie.

Botnety: w wirze walki

Walka między botnetami robi się coraz bardziej zacięta. Zagrożenie ze strony cyberprzestępczości w końcu zostało dostrzeżone przez społeczeństwo, w tym przez organy ścigania oraz inne organizacje. Wspólne wysiłki różnych agencji i firm, od twórców oprogramowania po różne instytucje rządowe, takie jak Amerykańska federalna komisja handlowa, już teraz doprowadziły do zdjęcia kilku ważnych centrów kontroli botnetów.

Na początku 2010 roku zamknięto kilka centrów kontroli botnetów, które zostały stworzone przy pomocy szkodliwego oprogramowania o nazwie Email-worm.Win32.Iksmas, znanego również jako Waledac. Botnet ten jest znany ze swoich możliwości wysyłania spamu - do 1,5 miliarda maili dziennie. Wiadomości te zwykle zawierają "gorące tematy" w nagłówkach oraz odnośniki do Iksmasa, botów polimorficznych po stronie serwera oraz technologii fast-flux. W rezultacie powstał ogromny i stosunkowo złożony botnet. 22 lutego stanowy sąd Wirginii wydał orzeczenie na korzyść Microsoftu i zezwolił na zawieszenie obsługi domen związanych z systemem kontroli botnetu. Wszystkie te domeny zostały zarejestrowane w strefie ‘.com’, a dostawcą usługi była firma VeriSign z siedzibą w Stanach Zjednoczonych. Z pewnością można tu mówić o zwycięstwie, jest to jednak tylko jedna wygrana bitwa w całej wojnie. Po zdjęciu niektórych centrów kontroli szkodliwi użytkownicy zaczęli ustanawiać centra kontroli botnetu w innych strefach domen i nadal wysyłali spam. Odosobnione działania przeciwko takiemu przeciwnikowi nie są tak skuteczne jak regularne operacje ukierunkowane na zamykanie centrów kontroli botnetów. To właśnie ta ciągła presja wywierana na cyberprzestępców powinna być kolejnym etapem walki z botnetami. Mamy nadzieję, że takie środki zostaną zastosowane w najbliższej przyszłości.