Ewolucja złośliwego oprogramowania I-VI 2007
2012-11-20 07:00:00
Reklama:
Nawet pobieżny rzut oka na wykres pokazuje, że liczba trojanów stale wzrasta. Programy te stają się coraz większym zagrożeniem, tym bardziej że przeważająca większość trojanów to programy, których celem jest spowodowanie strat finansowych użytkowników Internetu.
Nadal istnieją silne powiązania między spamerami i autorami szkodliwych programów. Celem wszystkich największych epidemii w 2007 roku (wywołanych przez robaki Warezov, Zhelatin, i Bagle) było stworzenie botnetów, które mogły być następnie wykorzystywane do wysyłania spamu oraz przechwytywania adresów e-mail w celu utworzenia spamowych baz mailingowych.
Gry online przeżywają obecnie szczyt popularności. W World of Warcraft, Lineage czy Legend of Mir grają obecnie miliony osób na całym świecie, zwłaszcza w Azji. Postacie czy przedmioty z gier online warte są często dziesiątki tysięcy dolarów. Bez wątpienia przyciąga to zainteresowanie cyberprzestępców, którzy kradną dane dotyczące kont, a następnie sprzedają skradzione wirtualne przedmioty na internetowych stronach aukcyjnych.
Do końca roku najprawdopodobniej nie wystąpią żadne poważniejsze zmiany i sytuacja będzie rozwijała się według przewidzianych scenariuszy.
Do najważniejszych wektorów infekcji nadal należy poczta elektroniczna oraz luki w zabezpieczeniach przeglądarki. Głównym powodem niewystępowania poważniejszych epidemii spowodowanych przez robaki sieciowe przeprowadzające bezpośrednie ataki za pośrednictwem portów komputerowych jest brak nowych krytycznych luk w zabezpieczeniach systemu Windows.
Spadek udziału procentowego robaków i wirusów (o 2,26 proc.) nie jest tak znaczny jak w poprzednich latach. W najbliższym czasie klasa VirWare prawdopodobnie nie odnotowuje dalszego spadku. Specjaliści Kaspersky Lab spodziewają się, że liczba tych szkodników osiągnie stały poziom. Robaki i wirusy nie znikną całkowicie ze sceny. W 2007 roku wiele z nich może odnotować nawet niewielki wzrost w zależności od tego, czy zostaną wykryte nowe luki krytyczne w zabezpieczeniach systemów operacyjnych z rodziny Windows, w szczególności w Vista.
Lmir, najstarsza - a w pewnym okresie również najliczniejsza - rodzina trojanów tworzonych dla gier online, atakuje Legend of Mir. Od pewnego czasu rodzina ta odnotowuje spadek. W 2007 roku udział procentowy tych trojanów szpiegujących zmniejszył się o 21%. Niewielki spadek odnotowały również trojany atakujące World of Warcraft.
Ewolucja złośliwego oprogramowania I-VI 2007
Kaspersky Lab, producent rozwiązań służących do ochrony danych, opublikował swój najnowszy półroczny raport "Kaspersky Security Bulletin, styczeń-czerwiec 2007" poświęcony ewolucji szkodliwego oprogramowania w pierwszej połowie 2007 r.
< style="float:right;margin-left:10px">
W raporcie Kaspersky Lab, obejmującym pierwszą połowę 2007 roku, zbadano zmiany, jakie zaszły w szkodliwym oprogramowaniu w porównaniu z drugą połową 2006 roku. Raport ten został przygotowany w oparciu o inną metodę statystyczną. Podane dane liczbowe dla 2006 r. również zostały obliczone z wykorzystaniem nowej metody, dlatego mogą różnić się od tych zawartych w raporcie rocznym z 2006 r.
Trojany atakujące gry
Niewielkim zainteresowaniem twórców wirusów cieszył się również systemem MacOS, mimo że popularność tej platformy wzrosła i wykryto wiele poważnych luk w jej zabezpieczeniach. Podobna sytuacja ma miejsce również w przypadku Symbiana oraz Windows Mobile - liczba ich użytkowników wzrasta, ale pojawia się niewiele nowych szkodliwych programów atakujących te platformy. Z drugiej strony, pojawiło się więcej trojanów stworzonych dla J2ME, która działa również na telefonach komórkowych.
Ewolucja złośliwego oprogramowania I-VI 2007
< style="float:right;margin-left:10px">
Z drugiej strony, twórcy wirusów wykazali wyraźnie większe zainteresowanie innymi wirtualnymi światami, takimi jak Gamania (rodzina trojanów Magania) oraz Tibia. Mimo że Tibia odnotował 200 proc. wzrost liczba nowych trojanów (45) była stosunkowo niewielka. Z kolei Gamania stanowi obecnie drugi najczęściej atakowany wirtualny świat.
W pierwszej połowie 2007 roku liczba trojanów PSW wzrosła o 135 proc. i wiele wskazuje na to, że trend ten utrzyma się. Trojany PSW zdołały poprawić wyniki uzyskane w 2006 roku (125 proc. wzrost). Tak wysoka liczba wynika z tego, że 68 proc. trojanów PSW to trojany tworzone dla gier online, których celem jest kradzież danych użytkownika dotyczących wielu różnych gier online.
Jeżeli chodzi o Inne rodzaje MalWare (w szczególności różne typy exploitów), mimo wzrostu w stosunku do drugiej połowy 2006 roku liczba szkodników z tej klasy odnotowała w tym roku 0,36 proc. spadek, a ich udział wynosił zaledwie 1,95 proc.
Ewolucja złośliwego oprogramowania I-VI 2007
< style="float:right;margin-left:10px">
Poniższy wykres pokazuje liczbę nowych trojanów wykrywanych w poszczególnych miesiącach przez firmę Kaspersky Lab.
W pierwszej połowie 2007 backdoory wykazały największy wzrost spośród wszystkich trojanów (202 proc.). W latach 2002-2004 podobny wzrost odnotowały tylko robaki pocztowe. Jak wynika ze statystyk Kaspersky, obecnie większość backdoorów - ponad 30 proc. - powstaje w Chinach.
Oprócz backdoorów, które stanowią obecnie prawie jedną trzecią wszystkich trojanów (i niemal jedną trzecią wszystkich szkodliwych programów), znacznie wzrosła również liczba trojanów PSW, które kradną konta użytkowników do wielu różnych serwisów, aplikacji i gier (o 135 proc.). To konkretne zachowanie w obrębie klasy TrojWare uplasowało się na drugim miejscu - podobnie jak w drugiej połowie 2006 roku - utrzymując wysoką pozycję mimo wciąż wysokiej liczby trojanów downloaderów.
Trojany, których celem są gry online, obejmują następujące rodziny trojanów szpiegujących:
Ewolucja złośliwego oprogramowania I-VI 2007
< style="float:right;margin-left:10px">
W 2006 roku trojany bankery nadal ewoluowały, a liczba nowych programów tego typu wzrosła niemal dwukrotnie w stosunku do 2005 roku (o 97 proc.). W 2007 roku nastąpił niewielki spadek ich tempa wzrostu, a wzrost odnotowany na przestrzeni półrocza wyniósł 62 proc. w stosunku do drugiej połowy 2006 r. To oznacza ponad 4 500 nowych trojanów.
Na wzmiankę zasługują również rootkity. Programy te nie zostały uwzględnione w diagramach ukazujących rozkład zachowań trojanów, ponieważ jest ich nawet mniej niż trojanów clickerów. Jednak rootkity często stanowią przykrywkę dla wielu różnych rodzajów trojanów, a ten sam rootkit może zostać wykorzystany przez więcej niż jednego szkodliwego użytkownika. Do rootkitów można zaklasyfikować szereg różnych szkodliwych programów; zarówno tych zawierających słowo "rootkit" w swojej nazwie klasyfikacyjnej, jak również niektóre inne rodziny trojanów wykorzystujących technologie rootkit, takie jak Backdoor.Win32.HacDef.
W 2005 roku (gdy po raz pierwszy eksperci z Kaspersky Lab sklasyfikowali rootkity jako oddzielne zachowanie) rootkity wykazały bezprecedensowy 413 proc. wzrost. W tym czasie programy te stanowiły jeden z najgorętszych tematów w branży antywirusowej, a twórcy wirusów aktywnie pracowali nad ich rozwojem. Chociaż w takiej sytuacji należałoby się spodziewać niewielkiego spowolnienia tempa wzrostu rootkitów, w 2006 r. ich liczba zwiększyła się o 74 proc.
W pierwszej połowie 2007 r. rootkity odnotowały kolejny spektakularny wzrost wynoszący 178 proc.
Technologię rootkit najaktywniej wykorzystywały w tym roku rodziny robaków Zhelatin oraz backdoory stworzone w Chinach.
Nie wiadomo, w jaki sposób opublikowanie systemu Windows Vista wpłynie na rozwój technologii rootkit. Twórcy systemu Windows zapewniali, że rootkity nie mogą przetrwać w środowisku Vista.
Ewolucja złośliwego oprogramowania I-VI 2007
< style="float:right;margin-left:10px">
Przez ostatnie dwa lata (2004-2005) w klasie VirWare niewiele się działo. Sytuacja zaczęła się zmieniać pod koniec 2006 roku, gdy nastąpiło ożywienie. Wzrost w tej klasie utrzymywał się w pierwszej połowie 2007 roku, mimo że liczba tych programów nie osiągnęła rekordowo wysokiego poziomu z października 2006 roku, gdy na scenie pojawiły się setki nowych wariantów robaka Warezov.
W pierwszej połowie 2007 roku największy wzrost spośród wszystkich szkodliwych programów (o 237%) odnotowały tak zwane klasyczne wirusy. W dużej mierze spowodowane to było powszechnym wykorzystywaniem pamięci flash w celu rozprzestrzeniania wirusów. W 2007 roku powstało 200 kolejnych nowych wariantów z rodziny wirusów Win32.Autorun. Miały miejsce tysiące incydentów związanych z infekcją pamięci flash, łącznie z tą wykorzystywaną w aparatach fotograficznych, telefonach oraz odtwarzaczach mp3. Wirusy wykorzystują przy tym lukę w zabezpieczeniach systemu Windows: domyślnie system ten automatycznie uruchamia pliki z przenośnych nośników danych. Należy pamiętać, że rodzina Autorun zawiera kilkadziesiąt robaków Viking, co zostało omówione poniżej.
Najpowszechniejszym zachowaniem w tej klasie nadal jest robak pocztowy, który stanowi ponad połowę wszystkich reprezentantów VirWare. W 2006 roku wzrost liczby robaków pocztowych wyniósł 43 proc. (głównie dzięki "październikowemu szaleństwu" robaka Warezov). Jednak w 2007 r. współczynnik wzrostu spadł do zaledwie 5 proc. Większość robaków pocztowych nadal należy do trzech głównych rodzin: Warezov, Zhelatin oraz Bagle. Wyeliminowanie ze sceny jednej z nich bez wątpienia przyczyniłoby się do spadku ogólnego udziału procentowego tego zachowania.
Ewolucja złośliwego oprogramowania I-VI 2007
< style="float:right;margin-left:10px">
W klasie VirWare można wyróżnić dwie główne grupy:
Robak pocztowy, robak oraz wirus: Udział procentowy każdego z tych zachowań wynosi ponad 15 proc. całej klasy VirWare. Obecnie liderem nadal jest robak pocztowy, podczas gdy liczba robaków i wirusów nadal wzrasta. W drugiej połowie 2007 r. kategoria wirusów może znaleźć się na drugim miejscu razem z kategorią robaków.
Robak komunikatorów internetowych (IM-Worm), robak sieciowy (Net-Worm), robak P2P oraz robak IRC. Udział procentowy każdego z tych zachowań stanowi mniej niż 5 proc. całej klasy VirWare. Średni współczynnik wzrostu wynosi od 50 do 80 proc. Swą liczebność zwiększą prawdopodobnie tylko robaki komunikatorów internetowych ze względu na szybką ewolucję komunikatorów internetowych, takich jak Skype. Sytuacja nadal pogarsza się jeżeli chodzi o robaki sieciowe. Spowodowane jest to brakiem luk krytycznych w zabezpieczeniach usług sieciowych systemu Windows, w wyniku czego twórcy wirusów nie mogą stosować nowych podejść czy wykorzystywać tego wektora ataków.
Ogólnie współczynnik wzrostu w obrębie klasy VirWare jest mniejszy niż w obrębie klasy TrojWare (41 proc. w stosunku do 94 proc.) a nawet klasy Inne rodzaje MalWare, którą omówimy poniżej.
Inne rodzaje MalWare
Klasa ta jest najmniej rozpowszechniona pod względem liczby wykrywanych szkodliwych programów, posiada jednak największą różnorodność zachowań.
Ogólnie, pod koniec pierwszej połowy 2007 roku klasa ta odnotowała prawie 60 proc. wzrost. Jednak jej udział we wszystkich szkodliwych programach spadł z 2,51 proc. w 2006 roku do 1,95 proc. w 2007 r.
Ewolucja złośliwego oprogramowania I-VI 2007
< style="float:right;margin-left:10px">
W 2005 r. firma Kaspersky Lab zauważyła, że cyberprzestępcy interesują się programami klasyfikowanymi jako SpamTool. W 2006 r. liczba szkodliwych programów wykazujących takie zachowanie wzrosła o 107 proc., a klasa Inne rodzaje MalWare zawierała pięć różnych rodzajów programów SpamTool. W pierwszej połowie 2007 roku SpamTool był bezsprzecznym liderem w tej klasie pod względem współczynników wzrostu (222 proc.) i stanowił drugi najpowszechniej reprezentowany typ programów Inne rodzaje MalWare.
Ataki DoS były najbardziej rozpowszechnione w latach 2002-2003, po czym na długi czas straciły na popularności. Prawdopodobnie spowodowane to było zmianą pokoleniową wśród cyberprzestępców. Ci, którzy 4-5 lat temu stosowali ataki DoS, zaczęli wykorzystywać bardziej "subtelne" sposoby zarabiania pieniędzy, takie jak wysyłanie spamu, kradzież danych oraz instalowanie AdWare. Pojawiło się nowe pokolenie dzieciaków skryptowych, którzy nie potrafią jeszcze zrobić niczego samodzielnie i wolą wykorzystywać to, co stworzyli inni ludzie, zamiast "finezji" stosując siłę. To właśnie było przyczyną zwiększonego wykorzystywania kilku programów DoS (o 209 proc.), które pomagają w przeprowadzaniu ataków DoS i wykorzystują te same botnety na całym świecie. Mimo że liczba tych zachowań nadal jest niewielka, mamy do czynienia z wyraźnym wzrostem i jest całkiem prawdopodobne, że w tym roku będzie ich kilkaset.
Najbardziej rozpowszechnionymi nowymi rodzajami szkodliwych programów z klasy Inne rodzaje MalWare są nadal exploity, których celem są różne luki w zabezpieczeniach. Być może czytelnicy przypominają sobie kilka głośnych incydentów, gdy kolekcje exploitów zostały zaoferowane na sprzedaż przez różne grupy hakerów, a następnie znalezione na tysiącach stron, które padły ofiarą włamania.
Ogólnie, wzrost liczby exploitów można uznać za średni, był jednak zbyt niski, aby ich udział w klasie Inne rodzaje MalWare wyniósł tak jak poprzednio 30 proc. Liczba programów SpamTool prawdopodobnie nie przewyższy exploitów.
Twórcy wirusów nadal są zainteresowani wykorzystywaniem najróżniejszych typów programów konstruktorów. To także świadczy o podejściu nowego pokolenia. Wykorzystywanie konstruktorów oznacza, że nie trzeba tworzyć niczego od podstaw - nie trzeba nawet umieć programować, aby za pomocą takiego programu w przeciągu kilku minut stworzyć szkodliwy program.
Ewolucja złośliwego oprogramowania I-VI 2007
< style="float:right;margin-left:10px">
Platformy i systemy operacyjne
Kaspersky Lab nie publikował wcześniej szczegółowych statystyk dotyczących liczby szkodliwych programów atakujących różne systemy operacyjne i platformy, ograniczając się do oddzielnej analizy systemów innych niż Windows, które budzą największe zainteresowanie (*nix, Mac OS oraz Symbian). Jednak w tym raporcie zostanie przeanalizowana cała sytuacja.
Systemy operacyjne oraz aplikacje mogą być podatne na atak ze strony szkodliwych programów, jeśli i gdy potrafią uruchomić program, który nie jest częścią samego systemu. Warunek ten spełniają wszystkie systemy operacyjne, wiele aplikacji biurowych, edytorów graficznych, systemów planowania projektów oraz zestawów oprogramowania z wbudowanymi językami skryptowymi.
Tylko w pierwszej połowie 2007 roku firma Kaspersky Lab napotkała szkodliwe programy dla 30 różnych platform i systemów operacyjnych.
W pierwszej połowie 2007 r. odsetek szkodliwych programów działających w środowisku innym niż Win32 wzrósł z 3,18 do 3,42 proc. Mimo że liczby te wciąż są stosunkowo niskie, tempo ich wzrostu osiągnęło prawie 111 proc. i jest większe niż tempo wzrostu szkodliwego oprogramowania działającego w środowisku Win32 (96 proc.). Wszystko wskazuje na to, że w przyszłości odsetek programów atakujących system Win32 zmniejszy się, ze względu na to że więcej szkodliwych programów będzie tworzonych z myślą o systemie Win64 i wzrośnie popularność innych systemów operacyjnych.
W przypadku blisko połowy platform i systemów operacyjnych, liczba tworzonych dla nich szkodliwych programów odnotowała spadek. Dotyczy to szkodliwego oprogramowania dla powszechnie wykorzystywanych systemów operacyjnych, takich jak Unix (np. szkodliwe programy, które mogą działać na systemach operacyjnych *nix) oraz Symbian. W ciągu jednego roku (od lipca 2006 r.) nie pojawił się żaden szkodliwy program dla systemu Mac OS. To pokazuje, że twórców wirusów nie interesują systemy operacyjne, które nie są tak bardzo rozpowszechnione; ograniczyli się do stworzenia garstki programów typu "proof of concept", po czym z powrotem zwrócili swoją uwagę w kierunku popularnych aplikacji i systemów operacyjnych.
Ewolucja złośliwego oprogramowania I-VI 2007
< style="float:right;margin-left:10px">
W pierwszej dziesiątce najbardziej popularnych środowisk dla wirusów znajdują się praktycznie wszystkie skryptowe języki programowania: JS, VBS, HTML, BAT, Perl, PHP oraz ASP. Mimo że w przeszłości liczby dla trzech platform skryptowych (JS, VBS oraz HTML) były mniej więcej takie same (prawie 205 szkodliwych programów dla każdej platformy w drugiej połowie 2006 roku), w 2007 roku platforma JavaScript odnotowała pozytywny trend.
Liczba szkodliwych programów dla platformy JavaScript zwiększyła się o 380 proc., zostawiając daleko w tyle platformę VisualBasic Script. Bez wątpienia głównym powodem tego wzrostu było zwiększenie się liczby różnych exploitów w powszechnie wykorzystywanych przeglądarkach, takich jak Internet Explorer oraz Mozilla Firefox. Poza tym, szkodliwe programy dla platformy JavaScript często działają jako trojany downloadery.
Linux stanowił drugą platformę pod względem popularności wśród twórców wirusów: pojawiło się 123 nowych szkodliwych programów dla tego systemu, a ich liczba wzrosła w stosunku do drugiej połowy 2006 roku o 55 proc.
Nastąpił również 80 proc. wzrost liczby szkodliwych programów przeznaczonych dla słabo rozpowszechnionych systemów operacyjnych, takich jak SunOS. Obecnie istnieją dziesiątki znanych zagrożeń dla tego systemu, co naturalnie oznacza, że firmy antywirusowe będą uważnie przyglądać się rozwojowi wypadków w tym obszarze, a w najbliższej przyszłości być może przeprowadzą nawet osobne badanie.
Prognozy Kaspersky Lab na rok 2007 okazały się prawie trafne. Tak jak spodziewali się eksperci w zeszłym roku, twórcy wirusów wykorzystywali prawie wyłącznie trojany przeznaczone do kradzieży informacji użytkowników. Kluczowymi celami ataków nadal są klienci różnych systemów bankowych oraz płatności, jak również gracze gier online.
Ewolucja złośliwego oprogramowania I-VI 2007
< style="float:right;margin-left:10px">
Współczynnik wzrostu szkodliwych programów wykorzystujących sieci P2P oraz komunikatory internetowe pozostanie na średnim poziomie. W drugiej połowie 2007 r. specjaliści z Kaspersky Lab nie spodziewają się żadnych poważniejszych zmian.
W pierwszej połowie 2007 roku wyłonił się wyraźny trend: występowały lokalne epidemie ograniczone do tego czy innego segmentu Internetu, które nie rozprzestrzeniały się dalej na użytkowników w innych częściach świata.
Mimo prognoz ekspertów system Windows Vista nie stał się jeszcze głównym tematem bezpieczeństwa informatycznego w 2007 roku. Wynika to głównie z tego, że system ten jest znacznie mniej rozpowszechniony niż spodziewano się; liczba użytkowników, którzy przeszli na Vistę nie jest wystarczająco wysoka, aby systemem tym zainteresowali się hakerzy i twórcy wirusów.
2012-11-20 07:00:00
Reklama:
Nawet pobieżny rzut oka na wykres pokazuje, że liczba trojanów stale wzrasta. Programy te stają się coraz większym zagrożeniem, tym bardziej że przeważająca większość trojanów to programy, których celem jest spowodowanie strat finansowych użytkowników Internetu.
Nadal istnieją silne powiązania między spamerami i autorami szkodliwych programów. Celem wszystkich największych epidemii w 2007 roku (wywołanych przez robaki Warezov, Zhelatin, i Bagle) było stworzenie botnetów, które mogły być następnie wykorzystywane do wysyłania spamu oraz przechwytywania adresów e-mail w celu utworzenia spamowych baz mailingowych.
Gry online przeżywają obecnie szczyt popularności. W World of Warcraft, Lineage czy Legend of Mir grają obecnie miliony osób na całym świecie, zwłaszcza w Azji. Postacie czy przedmioty z gier online warte są często dziesiątki tysięcy dolarów. Bez wątpienia przyciąga to zainteresowanie cyberprzestępców, którzy kradną dane dotyczące kont, a następnie sprzedają skradzione wirtualne przedmioty na internetowych stronach aukcyjnych.
Do końca roku najprawdopodobniej nie wystąpią żadne poważniejsze zmiany i sytuacja będzie rozwijała się według przewidzianych scenariuszy.
Do najważniejszych wektorów infekcji nadal należy poczta elektroniczna oraz luki w zabezpieczeniach przeglądarki. Głównym powodem niewystępowania poważniejszych epidemii spowodowanych przez robaki sieciowe przeprowadzające bezpośrednie ataki za pośrednictwem portów komputerowych jest brak nowych krytycznych luk w zabezpieczeniach systemu Windows.
Spadek udziału procentowego robaków i wirusów (o 2,26 proc.) nie jest tak znaczny jak w poprzednich latach. W najbliższym czasie klasa VirWare prawdopodobnie nie odnotowuje dalszego spadku. Specjaliści Kaspersky Lab spodziewają się, że liczba tych szkodników osiągnie stały poziom. Robaki i wirusy nie znikną całkowicie ze sceny. W 2007 roku wiele z nich może odnotować nawet niewielki wzrost w zależności od tego, czy zostaną wykryte nowe luki krytyczne w zabezpieczeniach systemów operacyjnych z rodziny Windows, w szczególności w Vista.
Lmir, najstarsza - a w pewnym okresie również najliczniejsza - rodzina trojanów tworzonych dla gier online, atakuje Legend of Mir. Od pewnego czasu rodzina ta odnotowuje spadek. W 2007 roku udział procentowy tych trojanów szpiegujących zmniejszył się o 21%. Niewielki spadek odnotowały również trojany atakujące World of Warcraft.
Ewolucja złośliwego oprogramowania I-VI 2007
Kaspersky Lab, producent rozwiązań służących do ochrony danych, opublikował swój najnowszy półroczny raport "Kaspersky Security Bulletin, styczeń-czerwiec 2007" poświęcony ewolucji szkodliwego oprogramowania w pierwszej połowie 2007 r.
< style="float:right;margin-left:10px">
W raporcie Kaspersky Lab, obejmującym pierwszą połowę 2007 roku, zbadano zmiany, jakie zaszły w szkodliwym oprogramowaniu w porównaniu z drugą połową 2006 roku. Raport ten został przygotowany w oparciu o inną metodę statystyczną. Podane dane liczbowe dla 2006 r. również zostały obliczone z wykorzystaniem nowej metody, dlatego mogą różnić się od tych zawartych w raporcie rocznym z 2006 r.
Trojany atakujące gry
Niewielkim zainteresowaniem twórców wirusów cieszył się również systemem MacOS, mimo że popularność tej platformy wzrosła i wykryto wiele poważnych luk w jej zabezpieczeniach. Podobna sytuacja ma miejsce również w przypadku Symbiana oraz Windows Mobile - liczba ich użytkowników wzrasta, ale pojawia się niewiele nowych szkodliwych programów atakujących te platformy. Z drugiej strony, pojawiło się więcej trojanów stworzonych dla J2ME, która działa również na telefonach komórkowych.
Ewolucja złośliwego oprogramowania I-VI 2007
< style="float:right;margin-left:10px">
Z drugiej strony, twórcy wirusów wykazali wyraźnie większe zainteresowanie innymi wirtualnymi światami, takimi jak Gamania (rodzina trojanów Magania) oraz Tibia. Mimo że Tibia odnotował 200 proc. wzrost liczba nowych trojanów (45) była stosunkowo niewielka. Z kolei Gamania stanowi obecnie drugi najczęściej atakowany wirtualny świat.
W pierwszej połowie 2007 roku liczba trojanów PSW wzrosła o 135 proc. i wiele wskazuje na to, że trend ten utrzyma się. Trojany PSW zdołały poprawić wyniki uzyskane w 2006 roku (125 proc. wzrost). Tak wysoka liczba wynika z tego, że 68 proc. trojanów PSW to trojany tworzone dla gier online, których celem jest kradzież danych użytkownika dotyczących wielu różnych gier online.
Jeżeli chodzi o Inne rodzaje MalWare (w szczególności różne typy exploitów), mimo wzrostu w stosunku do drugiej połowy 2006 roku liczba szkodników z tej klasy odnotowała w tym roku 0,36 proc. spadek, a ich udział wynosił zaledwie 1,95 proc.
Ewolucja złośliwego oprogramowania I-VI 2007
< style="float:right;margin-left:10px">
Poniższy wykres pokazuje liczbę nowych trojanów wykrywanych w poszczególnych miesiącach przez firmę Kaspersky Lab.
W pierwszej połowie 2007 backdoory wykazały największy wzrost spośród wszystkich trojanów (202 proc.). W latach 2002-2004 podobny wzrost odnotowały tylko robaki pocztowe. Jak wynika ze statystyk Kaspersky, obecnie większość backdoorów - ponad 30 proc. - powstaje w Chinach.
Oprócz backdoorów, które stanowią obecnie prawie jedną trzecią wszystkich trojanów (i niemal jedną trzecią wszystkich szkodliwych programów), znacznie wzrosła również liczba trojanów PSW, które kradną konta użytkowników do wielu różnych serwisów, aplikacji i gier (o 135 proc.). To konkretne zachowanie w obrębie klasy TrojWare uplasowało się na drugim miejscu - podobnie jak w drugiej połowie 2006 roku - utrzymując wysoką pozycję mimo wciąż wysokiej liczby trojanów downloaderów.
Trojany, których celem są gry online, obejmują następujące rodziny trojanów szpiegujących:
Ewolucja złośliwego oprogramowania I-VI 2007
< style="float:right;margin-left:10px">
W 2006 roku trojany bankery nadal ewoluowały, a liczba nowych programów tego typu wzrosła niemal dwukrotnie w stosunku do 2005 roku (o 97 proc.). W 2007 roku nastąpił niewielki spadek ich tempa wzrostu, a wzrost odnotowany na przestrzeni półrocza wyniósł 62 proc. w stosunku do drugiej połowy 2006 r. To oznacza ponad 4 500 nowych trojanów.
Na wzmiankę zasługują również rootkity. Programy te nie zostały uwzględnione w diagramach ukazujących rozkład zachowań trojanów, ponieważ jest ich nawet mniej niż trojanów clickerów. Jednak rootkity często stanowią przykrywkę dla wielu różnych rodzajów trojanów, a ten sam rootkit może zostać wykorzystany przez więcej niż jednego szkodliwego użytkownika. Do rootkitów można zaklasyfikować szereg różnych szkodliwych programów; zarówno tych zawierających słowo "rootkit" w swojej nazwie klasyfikacyjnej, jak również niektóre inne rodziny trojanów wykorzystujących technologie rootkit, takie jak Backdoor.Win32.HacDef.
W 2005 roku (gdy po raz pierwszy eksperci z Kaspersky Lab sklasyfikowali rootkity jako oddzielne zachowanie) rootkity wykazały bezprecedensowy 413 proc. wzrost. W tym czasie programy te stanowiły jeden z najgorętszych tematów w branży antywirusowej, a twórcy wirusów aktywnie pracowali nad ich rozwojem. Chociaż w takiej sytuacji należałoby się spodziewać niewielkiego spowolnienia tempa wzrostu rootkitów, w 2006 r. ich liczba zwiększyła się o 74 proc.
W pierwszej połowie 2007 r. rootkity odnotowały kolejny spektakularny wzrost wynoszący 178 proc.
Technologię rootkit najaktywniej wykorzystywały w tym roku rodziny robaków Zhelatin oraz backdoory stworzone w Chinach.
Nie wiadomo, w jaki sposób opublikowanie systemu Windows Vista wpłynie na rozwój technologii rootkit. Twórcy systemu Windows zapewniali, że rootkity nie mogą przetrwać w środowisku Vista.
Ewolucja złośliwego oprogramowania I-VI 2007
< style="float:right;margin-left:10px">
Przez ostatnie dwa lata (2004-2005) w klasie VirWare niewiele się działo. Sytuacja zaczęła się zmieniać pod koniec 2006 roku, gdy nastąpiło ożywienie. Wzrost w tej klasie utrzymywał się w pierwszej połowie 2007 roku, mimo że liczba tych programów nie osiągnęła rekordowo wysokiego poziomu z października 2006 roku, gdy na scenie pojawiły się setki nowych wariantów robaka Warezov.
W pierwszej połowie 2007 roku największy wzrost spośród wszystkich szkodliwych programów (o 237%) odnotowały tak zwane klasyczne wirusy. W dużej mierze spowodowane to było powszechnym wykorzystywaniem pamięci flash w celu rozprzestrzeniania wirusów. W 2007 roku powstało 200 kolejnych nowych wariantów z rodziny wirusów Win32.Autorun. Miały miejsce tysiące incydentów związanych z infekcją pamięci flash, łącznie z tą wykorzystywaną w aparatach fotograficznych, telefonach oraz odtwarzaczach mp3. Wirusy wykorzystują przy tym lukę w zabezpieczeniach systemu Windows: domyślnie system ten automatycznie uruchamia pliki z przenośnych nośników danych. Należy pamiętać, że rodzina Autorun zawiera kilkadziesiąt robaków Viking, co zostało omówione poniżej.
Najpowszechniejszym zachowaniem w tej klasie nadal jest robak pocztowy, który stanowi ponad połowę wszystkich reprezentantów VirWare. W 2006 roku wzrost liczby robaków pocztowych wyniósł 43 proc. (głównie dzięki "październikowemu szaleństwu" robaka Warezov). Jednak w 2007 r. współczynnik wzrostu spadł do zaledwie 5 proc. Większość robaków pocztowych nadal należy do trzech głównych rodzin: Warezov, Zhelatin oraz Bagle. Wyeliminowanie ze sceny jednej z nich bez wątpienia przyczyniłoby się do spadku ogólnego udziału procentowego tego zachowania.
Ewolucja złośliwego oprogramowania I-VI 2007
< style="float:right;margin-left:10px">
W klasie VirWare można wyróżnić dwie główne grupy:
Robak pocztowy, robak oraz wirus: Udział procentowy każdego z tych zachowań wynosi ponad 15 proc. całej klasy VirWare. Obecnie liderem nadal jest robak pocztowy, podczas gdy liczba robaków i wirusów nadal wzrasta. W drugiej połowie 2007 r. kategoria wirusów może znaleźć się na drugim miejscu razem z kategorią robaków.
Robak komunikatorów internetowych (IM-Worm), robak sieciowy (Net-Worm), robak P2P oraz robak IRC. Udział procentowy każdego z tych zachowań stanowi mniej niż 5 proc. całej klasy VirWare. Średni współczynnik wzrostu wynosi od 50 do 80 proc. Swą liczebność zwiększą prawdopodobnie tylko robaki komunikatorów internetowych ze względu na szybką ewolucję komunikatorów internetowych, takich jak Skype. Sytuacja nadal pogarsza się jeżeli chodzi o robaki sieciowe. Spowodowane jest to brakiem luk krytycznych w zabezpieczeniach usług sieciowych systemu Windows, w wyniku czego twórcy wirusów nie mogą stosować nowych podejść czy wykorzystywać tego wektora ataków.
Ogólnie współczynnik wzrostu w obrębie klasy VirWare jest mniejszy niż w obrębie klasy TrojWare (41 proc. w stosunku do 94 proc.) a nawet klasy Inne rodzaje MalWare, którą omówimy poniżej.
Inne rodzaje MalWare
Klasa ta jest najmniej rozpowszechniona pod względem liczby wykrywanych szkodliwych programów, posiada jednak największą różnorodność zachowań.
Ogólnie, pod koniec pierwszej połowy 2007 roku klasa ta odnotowała prawie 60 proc. wzrost. Jednak jej udział we wszystkich szkodliwych programach spadł z 2,51 proc. w 2006 roku do 1,95 proc. w 2007 r.
Ewolucja złośliwego oprogramowania I-VI 2007
< style="float:right;margin-left:10px">
W 2005 r. firma Kaspersky Lab zauważyła, że cyberprzestępcy interesują się programami klasyfikowanymi jako SpamTool. W 2006 r. liczba szkodliwych programów wykazujących takie zachowanie wzrosła o 107 proc., a klasa Inne rodzaje MalWare zawierała pięć różnych rodzajów programów SpamTool. W pierwszej połowie 2007 roku SpamTool był bezsprzecznym liderem w tej klasie pod względem współczynników wzrostu (222 proc.) i stanowił drugi najpowszechniej reprezentowany typ programów Inne rodzaje MalWare.
Ataki DoS były najbardziej rozpowszechnione w latach 2002-2003, po czym na długi czas straciły na popularności. Prawdopodobnie spowodowane to było zmianą pokoleniową wśród cyberprzestępców. Ci, którzy 4-5 lat temu stosowali ataki DoS, zaczęli wykorzystywać bardziej "subtelne" sposoby zarabiania pieniędzy, takie jak wysyłanie spamu, kradzież danych oraz instalowanie AdWare. Pojawiło się nowe pokolenie dzieciaków skryptowych, którzy nie potrafią jeszcze zrobić niczego samodzielnie i wolą wykorzystywać to, co stworzyli inni ludzie, zamiast "finezji" stosując siłę. To właśnie było przyczyną zwiększonego wykorzystywania kilku programów DoS (o 209 proc.), które pomagają w przeprowadzaniu ataków DoS i wykorzystują te same botnety na całym świecie. Mimo że liczba tych zachowań nadal jest niewielka, mamy do czynienia z wyraźnym wzrostem i jest całkiem prawdopodobne, że w tym roku będzie ich kilkaset.
Najbardziej rozpowszechnionymi nowymi rodzajami szkodliwych programów z klasy Inne rodzaje MalWare są nadal exploity, których celem są różne luki w zabezpieczeniach. Być może czytelnicy przypominają sobie kilka głośnych incydentów, gdy kolekcje exploitów zostały zaoferowane na sprzedaż przez różne grupy hakerów, a następnie znalezione na tysiącach stron, które padły ofiarą włamania.
Ogólnie, wzrost liczby exploitów można uznać za średni, był jednak zbyt niski, aby ich udział w klasie Inne rodzaje MalWare wyniósł tak jak poprzednio 30 proc. Liczba programów SpamTool prawdopodobnie nie przewyższy exploitów.
Twórcy wirusów nadal są zainteresowani wykorzystywaniem najróżniejszych typów programów konstruktorów. To także świadczy o podejściu nowego pokolenia. Wykorzystywanie konstruktorów oznacza, że nie trzeba tworzyć niczego od podstaw - nie trzeba nawet umieć programować, aby za pomocą takiego programu w przeciągu kilku minut stworzyć szkodliwy program.
Ewolucja złośliwego oprogramowania I-VI 2007
< style="float:right;margin-left:10px">
Platformy i systemy operacyjne
Kaspersky Lab nie publikował wcześniej szczegółowych statystyk dotyczących liczby szkodliwych programów atakujących różne systemy operacyjne i platformy, ograniczając się do oddzielnej analizy systemów innych niż Windows, które budzą największe zainteresowanie (*nix, Mac OS oraz Symbian). Jednak w tym raporcie zostanie przeanalizowana cała sytuacja.
Systemy operacyjne oraz aplikacje mogą być podatne na atak ze strony szkodliwych programów, jeśli i gdy potrafią uruchomić program, który nie jest częścią samego systemu. Warunek ten spełniają wszystkie systemy operacyjne, wiele aplikacji biurowych, edytorów graficznych, systemów planowania projektów oraz zestawów oprogramowania z wbudowanymi językami skryptowymi.
Tylko w pierwszej połowie 2007 roku firma Kaspersky Lab napotkała szkodliwe programy dla 30 różnych platform i systemów operacyjnych.
W pierwszej połowie 2007 r. odsetek szkodliwych programów działających w środowisku innym niż Win32 wzrósł z 3,18 do 3,42 proc. Mimo że liczby te wciąż są stosunkowo niskie, tempo ich wzrostu osiągnęło prawie 111 proc. i jest większe niż tempo wzrostu szkodliwego oprogramowania działającego w środowisku Win32 (96 proc.). Wszystko wskazuje na to, że w przyszłości odsetek programów atakujących system Win32 zmniejszy się, ze względu na to że więcej szkodliwych programów będzie tworzonych z myślą o systemie Win64 i wzrośnie popularność innych systemów operacyjnych.
W przypadku blisko połowy platform i systemów operacyjnych, liczba tworzonych dla nich szkodliwych programów odnotowała spadek. Dotyczy to szkodliwego oprogramowania dla powszechnie wykorzystywanych systemów operacyjnych, takich jak Unix (np. szkodliwe programy, które mogą działać na systemach operacyjnych *nix) oraz Symbian. W ciągu jednego roku (od lipca 2006 r.) nie pojawił się żaden szkodliwy program dla systemu Mac OS. To pokazuje, że twórców wirusów nie interesują systemy operacyjne, które nie są tak bardzo rozpowszechnione; ograniczyli się do stworzenia garstki programów typu "proof of concept", po czym z powrotem zwrócili swoją uwagę w kierunku popularnych aplikacji i systemów operacyjnych.
Ewolucja złośliwego oprogramowania I-VI 2007
< style="float:right;margin-left:10px">
W pierwszej dziesiątce najbardziej popularnych środowisk dla wirusów znajdują się praktycznie wszystkie skryptowe języki programowania: JS, VBS, HTML, BAT, Perl, PHP oraz ASP. Mimo że w przeszłości liczby dla trzech platform skryptowych (JS, VBS oraz HTML) były mniej więcej takie same (prawie 205 szkodliwych programów dla każdej platformy w drugiej połowie 2006 roku), w 2007 roku platforma JavaScript odnotowała pozytywny trend.
Liczba szkodliwych programów dla platformy JavaScript zwiększyła się o 380 proc., zostawiając daleko w tyle platformę VisualBasic Script. Bez wątpienia głównym powodem tego wzrostu było zwiększenie się liczby różnych exploitów w powszechnie wykorzystywanych przeglądarkach, takich jak Internet Explorer oraz Mozilla Firefox. Poza tym, szkodliwe programy dla platformy JavaScript często działają jako trojany downloadery.
Linux stanowił drugą platformę pod względem popularności wśród twórców wirusów: pojawiło się 123 nowych szkodliwych programów dla tego systemu, a ich liczba wzrosła w stosunku do drugiej połowy 2006 roku o 55 proc.
Nastąpił również 80 proc. wzrost liczby szkodliwych programów przeznaczonych dla słabo rozpowszechnionych systemów operacyjnych, takich jak SunOS. Obecnie istnieją dziesiątki znanych zagrożeń dla tego systemu, co naturalnie oznacza, że firmy antywirusowe będą uważnie przyglądać się rozwojowi wypadków w tym obszarze, a w najbliższej przyszłości być może przeprowadzą nawet osobne badanie.
Prognozy Kaspersky Lab na rok 2007 okazały się prawie trafne. Tak jak spodziewali się eksperci w zeszłym roku, twórcy wirusów wykorzystywali prawie wyłącznie trojany przeznaczone do kradzieży informacji użytkowników. Kluczowymi celami ataków nadal są klienci różnych systemów bankowych oraz płatności, jak również gracze gier online.
Ewolucja złośliwego oprogramowania I-VI 2007
< style="float:right;margin-left:10px">
Współczynnik wzrostu szkodliwych programów wykorzystujących sieci P2P oraz komunikatory internetowe pozostanie na średnim poziomie. W drugiej połowie 2007 r. specjaliści z Kaspersky Lab nie spodziewają się żadnych poważniejszych zmian.
W pierwszej połowie 2007 roku wyłonił się wyraźny trend: występowały lokalne epidemie ograniczone do tego czy innego segmentu Internetu, które nie rozprzestrzeniały się dalej na użytkowników w innych częściach świata.
Mimo prognoz ekspertów system Windows Vista nie stał się jeszcze głównym tematem bezpieczeństwa informatycznego w 2007 roku. Wynika to głównie z tego, że system ten jest znacznie mniej rozpowszechniony niż spodziewano się; liczba użytkowników, którzy przeszli na Vistę nie jest wystarczająco wysoka, aby systemem tym zainteresowali się hakerzy i twórcy wirusów.
Sprawdź jeszcze:
- Nowe techniki oszustw
- Sprzedaż nieruchomości to nie dochód firmy?
- Koniunktura przemysłowa XII 2008
- Nastroje w USA ciągle są słabe
- Inflacja PPI: funt zyskał na wartości
- Ochrona środowiska w Polsce 2000-2007
- 2010 Wrzesien
- 2010 Sierpień
- 2010 Lipiec
- 2010 Czerwiec
- 2010 Maj
- 2010 Kwiecień
- 2010 Marzec
- 2010 Luty
- 2010 Styczeń
- 2009 Grudzień
- 2009 Listopad
- 2009 Pażdziernik
- 2009 Wrzesien
- 2009 Sierpień
- 2009 Lipiec
- 2009 Czerwiec
- 2009 Maj
- 2009 Kwiecień
- 2009 Marzec
- 2009 Luty
- 2009 Styczeń
- 2008 Grudzień
- 2008 Listopad
- 2008 Pażdziernik
- 2008 Wrzesien
- 2008 Sierpień
- 2008 Lipiec
- 2008 Czerwiec
- 2008 Maj
- 2008 Kwiecień
- 2008 Marzec
- 2008 Luty
- 2008 Styczeń
- 2007 Grudzień
- 2007 Listopad
- 2007 Pażdziernik
- 2007 Wrzesien
- 2007 Sierpień
- 2007 Lipiec
- 2007 Czerwiec
- 2007 Maj
- 2007 Kwiecień
- 2007 Marzec
- 2007 Luty
- 2007 Styczeń
- 2006 Grudzień
- 2006 Listopad
- 2006 Pażdziernik
- 2006 Wrzesien