Milion wirusów to nie żart

Skala występowania złośliwego oprogramowania jeszcze nigdy nie była wyższa. Laboratoria F-Secure otrzymują średnio 25 tys. próbek niebezpiecznych aplikacji dziennie. Jeżeli taka tendencja utrzyma się, całkowita liczba wirusów i trojanów przekroczy do końca 2008 r. próg jednego miliona.
Jednocześnie, choć wirusów powstaje więcej niż kiedykolwiek, ludzie często zgłaszają, że mają z nimi mniejszą styczność niż kiedyś. Jednym z powodów tego złudzenia jest fakt, że autorzy złośliwego oprogramowania po raz kolejny zmieniają taktykę, którą stosują przy infekowaniu komputerów. Rok lub dwa lata temu większość wirusów rozprzestrzeniała się jako załączniki do wiadomości e-mail, co powodowało wybuchy epidemii takich jak Bagle, Mydoom czy Warezov. Jednak obecnie wysyłanie plików .EXE jako załączników nie jest już tak skuteczne, ponieważ niemal każda firma czy organizacja filtruje tego typu niebezpieczne przesyłki.

Przestępcy upodobali sobie teraz nowy sposób rozprzestrzeniania wirusów, które są pobierane przez użytkowników w czasie przeglądania stron internetowych. Tego typu ataki często rozpoczynają się od spamowych kampanii, jednak zamiast załączników w wiadomościach pojawiają się odnośniki prowadzące do niebezpiecznych stron internetowych. Oznacza to, że infekcja przebiega nie za pośrednictwem protokołu SMTP ale HTTP.

Infekcje wywoływane przez pliki pobrane podczas przeglądania stron mogą przebiegać automatyczne, jeżeli system operacyjny użytkownika, przeglądarka i dodatki do niej nie mają zainstalowanych najnowszych łatek i poprawek. Niestety, w komputerach większości użytkowników występują luki w zabezpieczeniach. Do infekcji może dojść także wówczas, gdy użytkownik zostanie podstępem zachęcony do kliknięcia na odnośnik powodujący pobranie pliku i uruchomienie programu ze strony internetowej, na której znajdują się wirusy. Zespół badawczy F-Secure uważa, że przestępcy stosują kilka metod przyciągania ruchu do takich serwisów. Typowym sposobem jest uruchomienie spamowej kampanii email, podczas której rozsyłane są wiadomości zachęcające ludzi do kliknięcia w link. Do popularnych przynęt należą takie tematy wiadomości jak „Na YouTube jest nagranie z Tobą w roli głównej” lub „Otrzymałeś pocztówkę” bądź „Dziękujemy za zamówienie”.

Innym sposobem jest utworzenie wielu stron internetowych zawierających tysiące różnych słów kluczowych, które są indeksowane przez Google i pojawiają się wynikach. Następnie wystarczy poczekać, aż wyszukiwarka przyśle odwiedzających. Użytkownik szukający czegoś tak nieszkodliwego jak np.: „wełniane rękawiczki” (losowy przykład) klika na odnośnik wyglądający dokładnie tak samo, jak wszystkie inne, ale trafia na stronę, która infekuje jego komputer. Użytkownicy zwykle są całkowicie nieświadomi i nie widzą na ekranie nic dziwnego w czasie, gdy automatyczne mechanizmy wykorzystują luki w zabezpieczeniach i przeprowadzają infekcję.

Trzecią metodą dystrybucji złośliwego oprogramowania jest włamywanie się na istniejące, renomowane i obsługujące duży ruch serwisy internetowe. W przeciwieństwie do poprzednich praktyk hakerów, którzy w ramach żartów zmieniali strony główne znanych stron internetowych, współcześnie cyberprzestępcy nie wprowadzają żadnych wizualnych modyfikacji. Po prostu dodają linię kodu javascript na stronie głównej, która wykorzystuje lukę w zabezpieczeniach, żeby zainfekować komputer użytkownika. Wszystko funkcjonuje i wygląda zupełnie normalnie. Sytuacje takie przydarzyły się serwisom internetowym popularnych magazynów, które mogą być odwiedzane nawet przez miliony osób dziennie. Ludzie ufają stronom, z którzy korzystają każdego dnia. Nie spodziewają się, że wizyta na takiej stronie może skończyć się dla nich w bardzo przykry sposób.

Jeszcze innym kanałem są zinfiltrowane sieci reklamowe. Popularne serwisy internetowe wyświetlają coraz większe ilości reklam. Zyskując dostęp do sieci reklamowych, przestępcy nie muszą włamywać się na strony tych serwisów, a mimo to przygotowany przez nich kod rozprzestrzeniający złośliwe oprogramowanie trafi do milionów użytkowników, często bez wiedzy webmasterów zarządzających serwisami. Do tego typu sytuacji doszło m.in. na witrynach TV4.se, Expedia, NHL i MLB.

Jest bardzo ważne, żeby mieć świadomość przesunięcia się środka ciężkości z infekcji drogą SMTP w stronę protokołu HTTP, który może być wykorzystywany przez przestępców na wiele sposobów. Firmy często mierzą ryzyko infekcji na podstawie liczby załączników do wiadomości email zatrzymanych przez bramkę systemu poczty elektronicznej. Liczby te z całą pewnością maleją, ale samo ryzyko infekcji prawdopodobnie pozostaje równie wysokie jak zawsze.
Dlatego użytkownicy i firmy powinny skanować także ruch w sieci WWW pod kątem złośliwego oprogramowania – a także filtrować ruch FTP. Zjawisko wypierania kanału SMTP przez HTTP jako sposobu na rozprzestrzenianie złośliwego oprogramowania to nie jedyna zmiana. Równolegle coraz częściej widzimy, że wysyłane przez przestępców wiadomości e-mail zawierają odnośniki do złośliwych plików znajdujących się na serwerach FTP.

Rootkit instalujący się w sektorze MBR (master boot  record – miejsce na dysku twardym gdzie jest zapisywany system operacyjny) – znany jako Mebroot – jest prawdopodobnie najbardziej ukrytym trojanem, jakiego mieliśmy okazję ostatnio obserwować. Jak dotąd rozprzestrzeniał się za pośrednictwem pobrań uruchamianych podczas przeglądania stron internetowych. Mebroot zmienia w zainfekowanym systemie sektor MBR, czyli pierwszy fizyczny sektor dysku twardego, który zawiera początkowy fragment kodu wczytywany i uruchamiany podczas procesu uruchamiania komputera. Wirus wprowadza minimalną liczbę zmian do systemu operacyjnego, a jego wykrycie z poziomu zainfekowanego systemu jest bardzo trudne. Wirusy MBR były najpopularniejszą formą złośliwego oprogramowania w czasach systemu operacyjnego DOS mniej więcej 15 lat temu. Ostatnio podczas konferencji naukowych opublikowano opracowania akademickie, w których zastanawiano się, czy tego typu ukryte wirusy mają szansę pojawić się czasach systemu operacyjnego Windows. Jak odkryli badawcze z Laboratorium F-Secure, w 2008 r., właśnie takie wirusy pojawiły się.

Oznacza to, że przestępcy mają fundusze i specjalistyczną wiedzę, niezbędne do opracowania tak złożonych ataków. Udało im się stworzyć kod, który wczytuje się z sektora rozruchowego dysku twardego, pozostaje aktywny w czasie uruchamiania Windows, następnie wczytuje swoje fragmenty i umieszcza je w ramach systemu operacyjnego w czasie, gdy Windows już działa. Wszystkie te operacje są zaś bardzo skutecznie ukrywane. Możemy z dużym prawdopodobieństwem przewidzieć, że tego typu techniki będą stosowane przez wiele różnych złośliwych aplikacji. Pierwsze rootkity MBR to konie trojańskie służące do ataków na kilka banków internetowych. Najwyraźniej w tym segmencie przestępcy dostrzegają okazję do uzyskania zwrotu ze swoich inwestycji.

Światem złośliwego oprogramowania rządzą dziś pieniądze. W Chinach znaleziono właśnie pierwsze trojany atakujące smartphony i żądające okupu. W przypadku komputerów PC mieliśmy już do czynienia z trojanami, które najpierw infekują komputer, blokują dostęp do danych lub w inny sposób zakłócają działanie komputera, a następnie przedstawiają ofertę przywrócenia wszystkiego do stanu normalności po wpłaceniu okupu. Zwykle tego typu trojany najpierw szyfrują zawartość dysku twardego, a następnie wysyłają użytkownikowi hasło po tym, gdy ten przesłał przestępcom określoną kwotę za pośrednictwem internetowego systemu płatności.

W przypadku trojana o nazwie Kiazha, który jako pierwszy próbuje przenieść tę ideę w świat smartphonów, do infekcji dochodzi podczas pobrania do telefonu aplikacji przypominającej program shareware, która następnie instaluje na telefonie kilka znanych, starszych wirusów. Następnie wysyła wiadomość, która wyjaśnia, że naprawa telefonu możliwa będzie wyłącznie po przesłaniu napastnikom równowartości siedmiu dolarów przez internetowy system płatności. Smartphony są dziś tak ważne dla wielu ludzi, że są oni gotowi zapłacić okup, żeby odzyskać książkę adresową, kalendarz i odbierane w drodze wiadomości email. To zaś oznacza, że w przyszłości możemy spodziewać się większej liczby tego typu złośliwych aplikacji.

Robaki Beselo rozprzestrzeniają się za pośrednictwem wiadomości MMS i łączności Bluetooth. Wykorzystują nowatorską formę inżynierii społecznej, żeby wprowadzić użytkowników w błąd i skłonić ich do uruchomienia przesłanego pliku instalacyjnego SIS. Ciekawostką związano z Beselo jest fakt, że robak ten nie wykorzystuje standardowego rozszerzenia SIS, zastępując je rozszerzeniami popularnych plików multimedialnych. To sprawia, że odbiorca jest przekonany, że pobiera zdjęcie lub plik dźwiękowy, nie zaś aplikację przeznaczoną dla systemu Symbian. W takiej sytuacji znacznie wzrasta prawdopodobieństwo, że kliknie „tak” w odpowiedzi na wszelkie pytania, jakie telefon może wyświetlić po kliknięciu na taki plik.

Robaki Beselo stosują nazwy plików typu beauty.jpg, sex.mp3 i love.rm. Jeżeli zatem korzystasz z telefonu z systemem Symbian S60 i otrzymasz plik multimedialny, kliknij „nie” w odpowiedzi na wszelkie pytania o instalację, które pojawiają się podczas otwierania pliku. Nie ma najmniejszego powodu, żeby jakikolwiek obrazek zadawał pytanie o instalację na platformie Symbian. Każdy obrazek lub plik dźwiękowy, który wykonuje czynności inne niż natychmiastowe odtworzenie, jest z całą pewnością czymś innym niż udaje.Robaki Beselo są komplikowane dla telefonów z systemem operacyjnym S60 w wersji 2. Próba otwarcia tego pliku w systemie w wersji 3 spowoduje raczej wyświetlenie komunikatu błędu a nie zapytanie o instalację.

HatiHati.A to kolejne źródło problemów. Jest to aplikacja przypominająca robaka, rozprzestrzeniająca się za pośrednictwem kart MMC. Gdy robak skopiuje się do nowego urządzenia, zaczyna wysyłanie wiadomości SMS na określony z góry numer, co może okazać się niezwykle kosztowne.

Pod adresem http://www.f-secure.com/video-channel/ znajduje się nagranie wideo omawiające kwestie mobilnych zagrożeń. Użytkownicy komputerów PC i smartphonów mogą chronić się stosując regularnie aktualizowane usługi zabezpieczające oferowane przez znanych dostawców.

www.f-secure.com