Ewolucja złośliwości

Era statycznych wirusów, których jedynym zadaniem było rozpowszechnianie się i ewentualne zniszczenia, jest już dawno za nami.

Obecnie złośliwy kod służy do działań komercyjnych, będąc jednym z narzędzi do rozsyłania spamu i kradzieży danych, które potem można sprzedać na czarnym rynku. Z tego powodu twórcy malware posiadają doskonałe rozeznanie w słabościach dzisiejszych systemów operacyjnych, aplikacji, a także... ludzi. Gangi przestępcze umiejętnie z tej wiedzy korzystają.

Najważniejszym momentem zarażania komputerów z Windows jest tak zwane złapanie przyczółka, czyli pierwsza infekcja. Coraz popularniejsza przeglądarka Mozilla Firefox nie umożliwia ataków i zdalnej kompromitacji systemu tak łatwo, jak Internet Explorer, twórcy zaczęli więc atakować inną drogą, przy użyciu socjotechniki. Przykładem takich ataków był "walentynkowy spam" zawierający linki, które wiodły do strony sygnalizującej rzekomo nieaktualną wersję wtyczki Adobe Flash i proponującej aktualizację. Tymczasem wiódł on do instalatora złośliwego oprogramowania, który pobierał pozostałe składniki, przejmujące kontrolę nad systemem. Bardzo wiele ataków przeprowadzono tą drogą.

Sposób rozprzestrzeniania

26%

pobieranych i skanowanych plików zawiera malware, podaje badanie TrendTracker.

Statystyki podawane przez skaner TrendMicro mówią, że 26% pobieranych i skanowanych plików zawiera malware, pomimo że odsetek nośników wirusa wśród monitorowanych stron to zaledwie 0,1%. Oznacza to, że ataki są bardzo dobrze kierowane do wyspecjalizowanych witryn. Proces ten będzie się pogłębiał. Przykładem udanego ataku, było wykorzystanie portalu społecznościowego nasza-klasa.pl do publikowania specjalnie przygotowanego zdjęcia. Kod osadzony w obrazku wykorzystał bardzo popularny (chociaż już załatany) błąd obsługi obrazów JPEG w Windows, rozpoczynał instalację konia trojańskiego, który z kolei pobierał inny składnik - keylogger - i czekał na polecenia zarządcy botnetu. został wyemitowany co najmniej pół miliona razy.

Celem może być także luka w bezpieczeństwie usług sieciowych systemu Windows. Ma ona długą historię błędów i robaków z nich korzystających. Obecnie lukę w bezpieczeństwie wykorzystuje robak sieciowy Downadup, który na tyle skutecznie zaraża systemy Windows, że Microsoft wyznaczył nagrodę pieniężną za wskazanie jego autora. Wirus roznosi się hybrydowo, także przez nośniki USB, w sieci lokalnej wykorzystuje luki w bezpieczeństwie Windows, potrafi także odgadnąć typowe hasła administratora. Pierwszym robakiem wykorzystującym atak hybrydowy (wykorzystywanie błędów i odgadywanie haseł), był Morris Worm, atakujący maszyny Unix w 1988 r. Wspomniany Downadup (albo Conficker) jest bardzo intensywnym infektorem, potrafi zarazić całe sieci maszyn Windows, jego usuwanie z sieci lokalnej jest bardzo kłopotliwe.