Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

Przegląd aktywności szkodliwego oprogramowania w roku 2003

Firma Kaspersky Lab przedstawia roczne podsumowanie aktywności szkodliwego oprogramowania. Dokument zawiera informacje o największych epidemiach, opinie ekspertów, opis trendów, które pojawiły się w ciągu roku oraz przewidywania na nadchodzące lata.

W roku 2003 rynek IT ucierpiał z powodu 9 dużych i 26 mniejszych, głównie lokalnych epidemii. Jest to mniej niż w roku ubiegłym (odpowiednio - 12 dużych i 34 mniejszych epidemii), jednak skala i siła uderzenia tegorocznych ataków była znacznie większa.

Największe epidemie roku 2003

W roku 2003 wystąpiły dwie epidemie globalne, które okazały się największymi w historii internetu. Należy wspomnieć, że nie były one wywołane przez typowe robaki pocztowe, lecz przez specjalnie zmodyfikowane szkodniki rozprzestrzeniające się w postaci pakietów danych.

Pierwsza epidemia rozpoczęła się 25 stycznia, wraz z pojawieniem się robaka internetowego Slammer (znanego również jako Helkern), wykorzystującego do rozprzestrzeniania się lukę w zabezpieczeniach serwera Microsoft SQL Server. Slammer był pierwszym "bezplikowym" robakiem internetowym, w pełni demonstrującym możliwości szkodników zwanych "flashworms" (po raz pierwszy opisano je w roku 2001). W ciągu zaledwie kilku minut szkodnik robak zainfekował miliony komputerów na całym świecie i zwiększył ruch sieciowy o około 60%, co spowodowało awarię wielu serwerów. Slammer atakował przez port 1434 i nie tworzył żadnych plików na dysku zainfekowanego komputera - rezydował wyłącznie jako proces w pamięci. Analiza epidemii prowadzi do wniosku, iż robak najprawdopodobniej powstał w Azji Wschodniej.

Druga, równie rozległa epidemia rozpoczęła się 12 sierpnia za sprawą robaka Lovesan (znanego również jako Blaster). Korzystając z luki w zabezpieczeniach Windows robak udowodnił jak bardzo "dziurawe" są popularne systemy operacyjne. W przeciwieństwie do Slammera, Lovesan nie ograniczał się do infekowania jednej platformy. Szkodnik atakował za pośrednictwem luki w usłudze RPC DCOM będącej składnikiem systemów Windows 2000 oraz XP. Oznacza to, że na atak robaka narażona była większość użytkowników internetu. Po upłynięciu zaledwie kilku dni od wykrycia Lovesana pojawiły się trzy jego modyfikacje oraz robak Welchia wykorzystujący tę samą lukę w usłudze RPC DCOM. Szkodnik usuwał z zainfekowanych systemów kopie robaka Lovesan i podejmował próbę pobrania i zainstalowania łaty udostępnionej przez firmę Microsoft.

W roku 2003 epidemie pojawiały się bez przerwy - także w styczniu wykryto robaki Ganda oraz Avron. Pierwszy z nich powstał w Szwecji i do dziś jest jednym z najczęściej występujących szkodników w Skandynawii. Autor robaka został aresztowany pod koniec marca. Avron był pierwszym robakiem stworzonym w Kazachstanie, któremu udało się wywołać epidemię na skalę globalną. Kod źródłowy robaka został opublikowany w wielu serwisach poświęconych tworzeniu wirusów, w związku z czym w krótkim czasie pojawiło się wiele jego modyfikacji.

W styczniu pojawił się pierwszy robak należący do rodziny Sobig, której reprezentanci byli aktywni przez cały rok. Wersja Sobig.f pobiła wszelkie rekordy i stała się najczęściej występującym robakiem w całej historii internetu. W szczytowej fazie epidemii co dwudziesta wiadomość e-mail zawierała robaka Sobig.f.

Jednym z celów twórców rodziny Sobig było stworzenie sieci zainfekowanych komputerów, która mogłaby posłużyć do przeprowadzania ataków DDoS (ang. Distributed Denial of Service) na losowych serwisach WWW. Sieć ta, w zamierzeniu twórców, miała także służyć jako serwery proxy dystrybuujące spam.

Kolejnym robakiem, który pojawił się w roku 2003 był Tanatos.b. Jego pierwsza wersja - Tanatos (znana również jako Bugbear) - ujrzała światło dzienne w połowie roku 2002. Tanatos.b wykorzystywał znaną od dawna lukę w zabezpieczeniach programu Microsoft Outlook (luka IFRAME) w celu automatycznego uruchamiania się podczas przeglądania zainfekowanej wiadomości e-mail.

W dalszym ciągu pojawiały się kolejne wersje szkodników z rodziny Lentin (znanej również jako Yaha). Z najnowszych informacji wynika, iż wszystkie te szkodniki zostały stworzone w Indiach, w ramach wirtualnej wojny toczącej się między indyjskimi, a pakistańskimi hakerami. Najczęściej występujące wersje - Lentin.m oraz Lentin.o, rozprzestrzeniały się pod postacią archiwum ZIP załączonego do zainfekowanych wiadomości e-mail.

Aktywni byli także wschodnioeuropejscy twórcy szkodliwego oprogramowania. Mimail był drugim w historii robakiem stworzonym w Rosji, który spowodował ogólnoświatową epidemię. Szkodnik wykorzystywał do rozprzestrzeniania się lukę w zabezpieczeniach przeglądarki Microsoft Internet Explorer pozwalającą na uruchomienie kodu binarnego z pliku HTML. Pierwsze wykorzystanie tej luki miało miejsce w Rosji, w maju 2003, za sprawą konia trojańskiego Trojan.Win32.StartPage.L. Podobnie jak w przypadku robaka Avron, kod źródłowy Mimaila również został opublikowany w internecie, co zaowocowało mnogością jego modyfikacji tworzonych na całym świecie.

Wrzesień roku 2003 będzie z pewnością wspominany za sprawą Swena. Ten podszywający się pod łatę firmy Microsoft robak zainfekował setki tysięcy komputerów na całym świecie i do dziś utrzymuje się w czołówce listy najczęściej występujących szkodników. Autor Swena sprytnie wykorzystał szum, jaki powstał wraz z pojawieniem się robaków Lovesan oraz Sobig.f, które wykorzystywały luki w zabezpieczeniach oprogramowania firmy Microsoft.

Lista dziesięciu najczęściej występujących szkodników w roku 2003*

pozycja nazwa wirusa %
1 I-Worm.Sobig 18,25%
2 I-Worm.Klez 16,84%
3 I-Worm.Swen 11,01%
4 I-Worm.Lentin 8,46%
5 I-Worm.Tanatos 2,72%
6 I-Worm.Avron 2,14%
7 Macro.Word97.Thus 2,02%
8 I-Worm.Mimail 1,45%
9 I-Worm.Hybris 1,12%
10 I-Worm.Roron 1,01%
*dane pochodzą z systemów monitorujących ruch pocztowy.

Typy szkodliwego oprogramowania

Rok 2003 został całkowicie zdominowany przez robaki. Przez dość długi okres na drugim miejscu znajdowały się wirusy (dzięki aktywności makrowirusów Macro.Word97.Thus oraz Macro.Word.Saver), jednak jesienią ich pozycja została zajęta przez konie trojańskie i tendencja ta utrzymuje się do dziś.

Trendy roku 2003

Najbardziej zauważalnym trendem roku 2003 jest dominacja robaków. Co więcej, można zaobserwować przewagę robaków internetowych nad klasycznymi, pocztowymi. Analitycy z firmy Kaspersky Lab przewidują, że tendencja ta utrzyma się i w roku 2004 robaki internetowe staną się dominującym typem szkodliwego oprogramowania. Podkreśla to konieczność instalowania na komputerach nie tylko programów antywirusowych, lecz również zapór ogniowych.

Niepokojące jest także powstawanie szkodników korzystających z luk, dla których nie powstały jeszcze żadne łaty. W poprzednich latach luki wykorzystywane do atakowania systemów były od dawna znane i nie było problemów z dostępnością odpowiednich łat. Obecnie okres od wykrycia luki do pojawienia się wykorzystującego ją szkodnika przez cały czas się skraca. Dla przykładu - robak Lovesan wykorzystywał lukę w usłudze RPC DCOM po upłynięciu zaledwie 26 dni od jej wykrycia. Twórcy wirusów traktują wykorzystywanie luk w zabezpieczeniach systemów oraz oprogramowania jako najefektywniejszą metodę atakowania komputerów. Coraz częściej użytkownicy komputerów dowiadują się o lukach w wykorzystywanym oprogramowaniu nie od jego producentów, lecz za sprawą szkodników. Przykładowo koń trojański StartPage (wykryty 20 maja) wykorzystywał nieznaną lukę Exploit.SelfExecHtml, dla której nie istniała wówczas żadna łata.

Ubiegłoroczna tendencja do atakowania nowych platform oraz aplikacji wygasła. W roku 2002 twórcy szkodników "walczyli" z technologią Flash, serwerami SQL oraz sieciami P2P służącymi do wymiany plików. W mijającym roku powstał tylko jeden "nowatorski" wirus. Napisany w języku MapBasic szkodnik MBA.Kynel infekował dokumenty aplikacji kartograficznej MapInfo.

Rośnie natomiast popularność programów typu backdoor (nieautoryzowane narzędzia zdalnej administracji) oraz aplikacji szpiegujących. Tegorocznymi reprezentantami tych narzędzi są, między innymi, Agobot oraz Afcore. Obecnie istnieje już ponad 40 modyfikacji Agobota. Wszystko dzięki "wspaniałomyślnemu" autorowi, który udostępnił swoje "dzieło" w internecie. Każdy mógł nabyć specjalną wersję backdoora za "jedyne" 150 $.

Pojawiły się także nowe trendy. Jednym z nich są konie trojańskie zwane TrojanProxy, których celem jest nieautoryzowane instalowanie serwerów proxy. Komputery zainfekowane takimi trojanami były bez wiedzy użytkowników wykorzystywane przez spamerów do dystrybuowania niechcianych wiadomości e-mail. Ponadto spamerzy uczestniczyli w kilku dużych epidemiach, gdyż wywołujące je szkodniki wykorzystywały do rozprzestrzeniania się technologie spamowe (przykładowo Sobig).

Kolejny tegoroczny trend to nowy rodzaj robaków rozprzestrzeniających się dzięki kradzieży haseł do zasobów sieciowych. Szkodniki te, bazujące z reguły na klientach IRC, skanują adresy kanałów IRC i podejmują próby wnikania do zdalnych systemów za pośrednictwem protokołu NetBIOS oraz portu 445. Jednym z reprezentantów nowej rodziny robaków jest Randon.

Coraz częściej w szkodliwe oprogramowanie wbudowane są mechanizmy chroniące przed narzędziami antywirusowymi oraz zaporami ogniowymi. Szkodniki tego typu (przykładowo Swen, Lentin oraz Tanatos) usuwają z komputerów aplikacje służące do ochrony informacji.



 2003-12-31  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych