16 stycznia 2006

150 tysięcy wirusów w 2005 roku F-Secure w raporcie o bezpieczeństwie danych ostrzega 򊆘 ostatnie pół roku charakteryzowały wzrost liczby wirusów i jedynie dwie ogólnoświatowe

150 tysięcy wirusów w 2005 roku

F-Secure w raporcie o bezpieczeństwie danych ostrzega – ostatnie pół roku charakteryzowały wzrost liczby wirusów i jedynie dwie ogólnoświatowe epidemie robaków komputerowych.


Bezpieczeństwo danych — podsumowanie okresu od lipca do grudnia 2005 r.
ogólna liczba wirusów w 2005 roku to 150 tysięcy
70 mln Euro straciły niemieckie banki na skutek phishingu
liczba wirusów atakująca urządzenia mobilne przekroczyła 100
sierpień był miesiącem walki wirusów, kiedy trzy z nich: Zotob, Bozori i IRCBot rywalizowały ze sobą o zainfekowane maszyny
W drugiej połowie roku zanotowano znacznie mniej zmasowanych ataków dokonywanych przy użyciu robaków sieciowych – w tym okresie doszło do dwóch poważnych incydentów tego rodzaju. Jeden z nich miał miejsce we wrześniu i spowodował poważne zakłócenia w pracy sieci na skalę międzynarodową, natomiast drugi wydarzył się pod koniec listopada – w tym przypadku robak zaatakował masowo systemy poczty elektronicznej. Jednocześnie ogólna liczba wirusów nadal rosła w zastraszającym tempie, osiągając do końca roku 150 tys. (poprzednio 110 tys.).

Dla twórców złośliwych programów (malware) z całego świata był to trudny rok, przynajmniej pod względem liczby wyroków skazujących. W lipcu na terenie Rosji zatrzymano trzech mężczyzn w wieku dwudziestu kilku lat, którzy stali na czele międzynarodowego gangu trudniącego się wymuszeniami. Za pomocą sieci botów przeprowadzali oni zakrojone na szeroką skalę ataki typu DDoS (tj. ataki powodujące odmowę usługi z wykorzystaniem rozproszonych systemów), których celem były witryny związane z hazardem. Następnie wysyłali do właścicieli witryn żądania okupu w wysokości 50 tys. USD, grożąc ponownym atakiem. Pomimo tego, że pieniądze były przekazywane do Rosji za pośrednictwem banków na Karaibach i na Łotwie, brytyjska policja zdołała wyśledzić sprawców i doprowadzić do ich aresztowania.


Karząca ręka sprawiedliwości dosięgła również innych twórców wirusów, między innymi autora wirusa VBS/Lasku w Finlandii, twórcę “furtki” (backdoor) Peep na Tajwanie i przede wszystkim autora wirusów Sasser i Netsky – Svena Jaschana. Ten ostatni otrzymał łagodny wyrok w postaci trzydziestu godzin prac społecznych oraz kary więzienia w zawieszeniu za stworzenie robaka, który spowodował straty liczone w milionach dolarów.

Spam jest niezdrowy

Niekiedy to zdarzenia losowe powstrzymują narastająca falę rozprzestrzeniających się niechcianych wiadomości, czyli spamu. W lipcu br rosyjskie media doniosły, że Vardan Kushir właściciel American Language Center został zamordowany. Jego firma prowadziła kursy języka angielskiego dla osób rosyjskojęzycznych i jednocześnie zorganizowała największą akcję rozsyłania spamu w historii Rosji.

Niechciane widomości zostały wysłane do ponad 20 milionów osób mówiących po rosyjsku. Akcja była zorganizowana na tak dużą skalę, że niemalże każdy korzystający z poczty elektronicznej Rosjanin otrzymał elektroniczny list z informacjami o kursach. Oczywiście zamordowanie Kushira nie jest jednoznacznie powiązane z rozsyłaniem spamu, ale faktem jest, że wiele osób życzyło mu jak najgorzej.


Rosnąca popularność phishingu
W lipcu magazyn “Financial Times Deutschland” doniósł, że w wyniku tzw. phishingu, tj. ataków polegających na wykradaniu poufnych informacji od klientów, niemieckie banki straciły 70 mln euro. Skala tego zjawiska rośnie bardzo szybko – biorąc pod uwagę straty zanotowane w jednym tylko kraju można łatwo stwierdzić, że phishing to złoty interes dla światka przestępczego.


Coraz większemu rozpowszechnieniu tego zjawiska towarzyszy jednak wzmożona aktywność organów ścigania. W związku z tym miejsce zakrojonych na szerszą skalę ataków wymierzonych przeciw klientom takich instytucji, jak Citibank, serwisów eBay i Paypal czy amerykańskiej witrynie Bankhave – zajęły bardziej ukierunkowane ataki przeciwko mniejszym podmiotom, mające na celu dotarcie do użytkowników, którzy nadal dadzą się oszukać i odpowiedzą na fałszywy list elektroniczny. W ten sposób doszło do serii ataków na niemieckie banki, a w szczególności Deutsche Bank i Postbank, w których rezultacie obie instytucje postanowiły wprowadzić hasła jednorazowe do autoryzacji transakcji przeprowadzanych przez Internet.

Istnieją pewne przesłanki pozwalające sądzić, że organizacje przestępcze stojące za phishingiem szybko zmieniają cele, poszukując kolejnych ofiar w różnych miejscach na świecie. Początkowo działania tego rodzaju miały miejsce w Stanach Zjednoczonych, a następnie w Australii i Wielkiej Brytanii. W Niemczech pojawiły się listy w języku niemieckim, a na początku 2005 r. w Danii wykryto przypadki phishingu w języku duńskim.


Krótko potem, w sierpniu, doszło do zakrojonego na szeroką skalę ataku na bank Nordea
w Szwecji. Nordea to największy bank w krajach skandynawskich, w ramach którego działa jeden z największych banków internetowych z 4 mln klientów w 8 krajach. W tym konkretnym przypadku sprawca wysłał dużą liczbę podrobionych listów elektronicznych z odsyłaczami do fałszywej witryny banku. Atak odbył się w języku lokalnym, jednak tym razem celem oszustwa było złamanie systemu haseł jednorazowych Nordei. System wykorzystywany przez Nordeę obejmuje kartę-zdrapkę, na której odkrywa się kolejno pola z kodami PIN potrzebnymi do logowania. Atak na tego rodzaju witrynę jest zdecydowanie trudniejszy niż atak na bank, w którym uwierzytelnianie odbywa się w oparciu o numer rachunku i stały, czterocyfrowy kod PIN (jak to miało miejsce w Niemczech).

Typosquatting – pułapka na nieuważnych

Na początku roku zaobserwowano przypadki tzw. typosquattingu, który polega na tworzeniu witryn o nazwie zbliżonej do legalnych. Użytkownicy serwisu Google, którzy przypadkiem wpisali nazwę z błędem – “googkle” – byli kierowani do szeregu witryn zainfekowanych całą masą złośliwych programów. Jesienią doszło do jeszcze poważniejszego ataku tego rodzaju. Choć atak nie był zaskoczeniem, imponująca okazała się liczba domen stworzonych w celu oszukania nieświadomych użytkowników – powstało ich aż 150, w tym wiele związanych z firmami specjalizującymi się w ochronie danych.

Wśród fałszywych witryn znalazły się między innymi “www-f-secure.com” i “wwwf-secure.com”, prowadzące obecnie pod adres “nortpnantivirus.com”. Na szczęście akurat ta witryna nie jest wykorzystywana do phishingu lub umieszczania na komputerach koni trojańskich. Inne fałszywe witryny związane z producentami zabezpieczeń to między innymi “f-secue.com”, “mesagelabs.com”, “mcafeeantiviru.com”, “bitdefneder.com”, “pestpatorl.com”, “wwwbullguard.com”, “pandafirewall.com”, “sendamil.org” oraz “centralcomand.com”.


Zamachy terrorystyczne, katastrofy naturalne i inne tragiczne zdarzenia losowe
Rok ten charakteryzuje duża liczba katastrof naturalnych i aktów terrorystycznych, które miały miejsce na całym świecie. Warto odnotować zależność, która wówczas się pojawiła – członkowie cybergangów coraz liczniej wykorzystywali cudze cierpienie w celu uzyskania korzyści finansowych.

Po tragicznych atakach na wieże w Nowym Yorku pojawił się robak wykorzystujący to wydarzenie w celu rozprzestrzeniania się jako załącznik do listu. Już dwa tygodnie po zamachach w skrzynce można było znaleźć e-mail zatytułowany W32/Vote.A@mm. Rok później pojawiła się jego mutacja o nazwie W32/Chet@mm, przenosząca się znacznie szybciej, co spowodowało zakwalifikowanie jej przez firmę F-Secure do kategorii jednych z najgroźniejszych.


Podobna sytuacja miała miejsce po zamachach w londyńskim metrze. Wykryto wówczas Trojana ukrywającego się w załączniku do maila, który miał zawierać film ze szczegółami wydarzenia. W rzeczywistości w pliku ZIP o nazwie London Terror Movie.avi Chaced By Horton Antivirus .exe firma F-Secure wykryła Trojana SpamTool. Win32.Delf.h .

We wrześniu pojawiły się doniesienia o niepożądanych wiadomościach (spamie) zatytułowanych np. “Huragan Katrina zabił aż 80 osób”. Jedna z tego rodzaju wiadomości pozornie zawierała artykuł prasowy na temat zniszczeń wyrządzonych przez huragan Katrina, lecz w rzeczywistości jej celem było skierowanie użytkownika pod adres “nextermest.com”. Witryna ta była tylko atrapą, która po odświeżeniu odsyłała do strony próbującej umieścić na komputerze konia trojańskiego Trojan-Downloader.JS.Small.bq.


Sierpień – miesiącem wojny wirusów
W sierpniu laboratorium ds. ochrony danych w centrali firmy w Helsinkach rozpoznało przyczynę wojny botów, która – zanim została powstrzymana – zdążyła rozpętać się na skalę międzynarodową. Wszystko zaczęło się od nowego wirusa wykorzystującego lukę w zabezpieczeniach funkcji PnP systemów firmy Microsoft (poprawka nr MS05-039). W miarę rozprzestrzeniania się wirusa zaatakowana została witryna serwisu CNN, a następnie witryny gazet “Financial Times” i “The New York Times” oraz serwisu ABC.


Do ataku wykorzystany został wirus Zotob wspomagany kilkoma wariantami botów, które – co ciekawe – rywalizowały ze sobą o zainfekowane maszyny, wypierając się nawzajem. Walka toczyła się między dwiema grupami – z jednej strony atakowały wirusy IRCBot i Bozori, z drugiej natomiast wirus Zotob i inne boty. Doszło do poważnych zakłóceń w pracy systemów, szczególnie w branży środków przekazu, ostatecznie jednak atak został odparty. W kolejnych dniach raport firmy F-Secure znalazł się na pierwszych stronach ponad 500 różnych gazet codziennych. Niedługo po ataku aresztowano dwóch młodych ludzi, którzy stworzyli wykorzystującego lukę w systemie PnP robaka Zotob – władze Maroka zatrzymały 18-letniego Farida Essebara (ps. “Diabl0”), a władze tureckie – 21-letniego Atillę Ekici (ps. “Coder”).

M-wirusy się rozmnażają
Rośnie zainteresowanie złośliwymi aplikacjami atakującymi urządzenia mobilne. Do tej pory ich liczba przekroczyła 100. Na początku wirusy atakowały telefony wyposażone w system Symbian. To właśnie ta grupa stanowi najliczniejszą odmianę pośród m-wirusów, co wiąże się z powszechnym wykorzystywaniem systemu Symbian.


Warunkiem prawidłowej pracy wielu programów w systemie Symbian jest dostępność połączenia Bluetooth. Niektóre z nich aktywują to połączenie bez wiedzy użytkownika lub wyświetlają prośbę o zgodę na jego włączenie w sposób wyraźnie zachęcający do udzielenia odpowiedzi twierdzącej. Istnieje również wiele aplikacji wykorzystujących łączność Bluetooth do celów towarzyskich – przykładami mogą być chociażby programy YOU-WHO i CrowdSurfer, które umożliwiają udział w grach i zabawach towarzyskich, przyzwyczajając użytkowników do przyjmowania wszelkich połączeń i plików od nieznanych osób.

Bardzo agresywnie rozprzestrzenia się większość odmian wirusa Cabir, które stale wyświetlają żądanie połączenia Bluetooth, nawet jeśli uzyskują odpowiedź przeczącą. Znudzony ciągłymi przypomnieniami użytkownik ostatecznie klika przycisk “tak”, a efekty takiej decyzji można łatwo przewidzieć.


Mechanizmy wykrywania rodzajowego zastosowane w programie F-Secure Mobile Anti-Virus okazały się skuteczne przeciwko 61 niebezpiecznym programom atakującym system Symbian ( czyli 74% wszystkich zagrożeń). Wykrywanie rodzajowe oznacza definiowanie niebezpiecznych programów i powstrzymywanie ich działania bez konieczności aktualizacji bazy danych.

Commwarrior nadal się rozprzestrzenia

Jednym z wirusów o największej skali rozprzestrzeniania się jest Commwarrior, który zaatakował urządzenia nawet w tak odległych zakątkach jak Indie czy południowa Afryka.

W sierpniu firma F-Secure wykryła nową odmianę konia trojańskiego nazwie Doomboot A, który powodował zniszczenia telefonów na skalę do tej pory niespotykaną. Podobnie jak wiele koni trojańskich atakujących system Symbian, Doomboot.A podszywa się pod piracką kopię gry przeznaczonej dla tego systemu. W związku z tym osoby, które nie pobierają i nie instalują pirackich gier i aplikacji, nie są narażone na przykre niespodzianki.


Niepokojącym aspektem działania wirusa Doomboot są nieprzyjemne skutki, jakie wywołuje w połączeniu z wirusem Commwarrior. Doomboot.A uniemożliwia ponowne włączenie telefonu, a Commwarrior powoduje tak duży ruch w sieci Bluetooth, że w ciągu mniej niż godziny dochodzi do rozładowania akumulatora. W efekcie użytkownik, którego aparat został zainfekowany wirusem Doomboot.A, ma mniej niż godzinę na zareagowanie i pozbycie się wirusa z urządzenia – w przeciwnym razie traci wszystkie dane.

We wrześniu niewyróżniający się na pozór niczym koń trojański atakujący system Symbian, SymbOS/Cardtrap.A ujawnił nowe oblicze niebezpiecznych programów, infekując jednocześnie komputery PC po włożeniu do czytnika karty pamięci z telefonu. Kiedy wirus Cardtrap A zaatakuje system Symbian, na kartę telefonu zostają skopiowane dwa robaki Win32.Rays I Win32/Padobot.Z. Pierwszy zostaje zapisany pod nazwą “system.exe” i oznaczony tą samą ikoną, co folder systemowy na karcie pamięci. Próba odczytania zawartości karty na komputerze PC może spowodować przypadkowe uruchomienie wirusa Win32.Rays. Obydwie odmiany są wykrywane i zwalczane przez F-Secure Anti Virus oraz przeznaczony do telefonów komórkowych F-Secure Mobile Anti Virus.


Wirusy atakują MP3 i konsole do gier
W końcu sierpnia pojawiły się z kolei doniesienia o odtwarzaczu plików MP3 zawierającym wirusa. Producent urządzenia, firma Creative, poinformował o przypadkowym wprowadzeniu do sprzedaży niemal 4 tys. odtwarzaczy z wirusem atakującym system Windows. Problem dotyczył odtwarzaczy Zen Neeon z pamięcią 5 GB oferowanych w Japonii – w ich systemie plików znalazł się plik zainfekowany robakiem pocztowym Wullik.B (znanym także jako Rays.A). Robak ten nie infekuje jednak komputerów PC, o ile użytkownik nie uruchomi zakażonego pliku podczas przeglądania pamięci odtwarzacza.

W październiku media poinformowały o niebezpiecznym oprogramowaniu atakującym konsole Sony Playstation Portable. Narzędzie pozwalające na przywrócenie wcześniejszej wersji oprogramowania wbudowanego (firmware) okazało się koniem trojańskim uniemożliwiającym dalsze korzystanie z urządzenia. Niesławna “poprawka” wydana przez PSP Team usuwała kilka istotnych plików systemowych z pamięci flash, blokując ponowne uruchomienie systemu. Wiele źródeł uznało to narzędzie za pierwszego “wirusa atakującego konsole PSP”. Program ten jednak nie rozprzestrzenia się w jakikolwiek sposób, a tym samym zgodnie z definicją firmy F-Secure można go uznać najwyżej za konia trojańskiego. Bez względu na klasyfikację, mieści się on w ramach szeroko rozumianego złośliwego oprogramowania. Warto przy tym wspomnieć, że zgodnie z polityką firmy Sony uruchamianie na konsoli PSP wszelkiego niedozwolonego kodu powoduje natychmiastowe unieważnienie gwarancji. Krótko po pojawieniu się pierwszego konia trojańskiego na konsolę PSP w październiku laboratorium ds. ochrony danych odebrało doniesienia o pierwszym koniu trojańskim atakującym konsolę kieszonkową Nintendo DS. Prosty koń trojański pod nazwą DSBrick zastępuje dane w kluczowych obszarach pamięci, uniemożliwiając uruchomienie urządzenia.


W listopadzie ponownie zrobiło się głośno o firmie Sony, tym razem za sprawą pakietu rootkit wykrytego na niektórych płytach CD z muzyką wytwórni Sony BMG. Pakiet rootkit umieszczony został w celu zabezpieczenia płyt przed kopiowaniem. Ponadto pozwalał niepostrzeżenie monitorować zachowanie użytkownika za pomocą oprogramowania do cyfrowego zarządzania prawami autorskimi. Funkcja ta instalowana na komputerze bez wiedzy użytkownika nie może być w prosty sposób usunięta. Otwiera to jednocześnie furtkę do systemu dla wirusów (lub innych złośliwych programów), które mogą wykorzystać pakiet rootkit do ukrycia się. Wprowadzony na rynek w marcu tego roku skaner BlackLight firmy F-Secure wykrywa pakiet rootkit w ramach systemu cyfrowego zarządzania prawami autorskimi firmy Sony oraz wszelkie złośliwe programy, które go wykorzystują.

Pod koniec listopada firma F-Secure ostrzegła przed wykrytą nową wersją robaka Sober, która została zakwalifikowana jako groźna. Jest ona podobna do odmiany Sober Y, wykrytej 16.11.2005 roku. Robak rozprzestrzenia się pod postacią załączników e-maili, między innymi podszywa się pod oficjalną korespondencję z departamentu FBI bądź CIA. Wiadomość e-mail, którą otrzymują użytkownicy w Niemczech jest napisana w języku niemieckim, w pozostałych krajach w języku angielskim. Pierwsza wersja robaka Sober została znaleziona w październiku 2003 roku i jak uważają eksperci z firmy F-Secure wszystkie 25 późniejszych mutacji napisał ten sam autor działający najprawdopodobniej z terytorium Niemiec. Należy on do starej szkoły hakerów, którzy działali w celu zyskania sławy, nie zaś z czerpania korzyści finansowych.