Ewolucja złośliwego oprogramowania - Czyli - kto - kogo obserwuje?

RAPORT

Jakich metod używają programiści - przestępcy...? Poniższy artykuł dotyczy trendów na rynku "wirusowym".
Wirusem w Ciebie, we mnie, w kolesia...

Rywalizacja

Jednym z najwyraźniejszych trendów 2005 roku był wzrost rywalizacji nie tylko między cyberprzestępcami a przemysłem antywirusowym, ale również pomiędzy samymi cyberprzestępcami. Co więcej, w 2005 roku zwiększyła się liczba ataków na organizacje rządowe. Wygląda na to, że cyberprzestępcom nie wystarczają już pieniądze, które są w stanie wyciągnąć od indywidualnych użytkowników.

Jak należy wyjaśnić ten trend? Od dawna wiadomo już, że minęły czasy, gdy cyberchuligani byli "entuzjastami", którzy spędzali samotne noce na tworzeniu swoich "dzieł" w Asemblerze. Szacuje się nawet, że zyski z cyberprzestępczości znacznie przewyższają przychody całej branży antywirusowej. Cyberprzestępcy śledzą rozwój branży antywirusowej tak samo jak firmy antywirusowe obserwują poczynania cyberprzestępców. Stosują na przykład multiskanery (zestaw skanerów plików wykorzystywanych przez czołowych producentów oprogramowania antywirusowego) w celu sprawdzenia, czy nowe modyfikacje istniejących już złośliwych programów zostały uwzględnione w antywirusowych bazach danych. Złośliwe programy wypuszczane są tylko wtedy, gdy rozwiązania antywirusowe nie są w stanie ich wykryć. Przestępcy próbują blokować każdy etap rozwoju aktualizacji antywirusowych baz danych. Rysunek 1 przedstawia proces rozwoju aktualizacji przed udostępnieniem ich końcowym użytkownikom.

Rys. 1: Proces publikowania aktualizacji.

    * Etap 1: Podejrzana zawartość zostaje przechwycona w sieci (we wszystkich rodzajach sieci, np. w Internecie, sieci bezprzewodowej itd.). W celu uniknięcia wykrycia cyberprzestępcy stosują szereg różnych metod, takich jak identyfikowanie i omijanie węzłów sieci, które gromadzą szkodliwą zawartość oraz przeprowadzanie na nie ataków DDoS (powoduje to zablokowanie węzłów na czas przeprowadzania ataków). Przechwytywanie złośliwych programów utrudnia również konieczność namierzania masowych wysyłek złośliwych programów. Autorzy Bagla, znanego robaka pocztowego, śledzą klikanie przez użytkowników odsyłaczy do stron, na których umieszczone zostały najnowsze wersje robaka. Zamiast zainfekowanych plików użytkownicy, którzy często klikają takie odsyłacze, otrzymują komunikaty o błędzie. Poprzez tworzenie tego typu "czarnych list" szkodliwi użytkownicy utrudniają firmom i organizacjom antywirusowym śledzenie aktywności w sieci.
    * Etap 2: Analiza złośliwego kodu. W tej dziedzinie nie wydarzyło się ostatnio nic nowego. Jedyną zmianą jest stały spadek popularności technologii polimorficznych. Obecnie coraz częstszą praktyką jest pakowanie plików wykonywalnych przy użyciu różnych narzędzi, dzięki czemu nie są wykrywane przez niektóre programy antywirusowe.
    * Etap 3: Opublikowanie uaktualnienia. Jest to jedyny etap, którego szkodliwi użytkownicy nie potrafią jak dotąd skutecznie zablokować.
    * Etap 4: Zainstalowanie uaktualnienia przez użytkownika. Złośliwe programy często modyfikują plik HOSTS w taki sposób, że komputer ofiary nie może połączyć się z serwerem aktualizacji producenta oprogramowania antywirusowego. W rezultacie nie można uaktualnić antywirusowych baz danych.

Po opublikowaniu (etap 4) aktualizacje dostępne są nie tylko dla użytkowników końcowych, ale również dla cyberprzestępców. Wiedząc, że ich programy mogą być wykryte, cyberprzestępcy wypuszczają nowe modyfikacje.

Do niedawna istniało niewiele grup twórców wirusów, które postępowały według opisanego wyżej schematu. Jednak dane pochodzące z 2005 roku wskazują na łączenie się istniejących grup i powstawanie nowych. Jest to poważny powód do niepokoju.

Jak nie wiadomo o co chodzi, zwykle chodzi o ...?

Dlaczego cyberprzestępcy tak intensywnie zwalczają branżę antywirusową? Odpowiedź na to pytanie wydaje się oczywista: w ten sposób walczą o swoje utrzymanie, tj. pieniądze uzyskane poprzez infekowanie komputerów. Z tego samego powodu obserwowaliśmy w 2005 roku rosnącą rywalizację pomiędzy poszczególnymi twórcami wirusów. Jest to kolejny krok w kierunku cyberwojen.

W obrębie cybernetycznego podziemia zwalczają się zarówno indywidualni "gracze" jak i grupy, wykorzystując do tego najróżniejsze metody. Tworzą złośliwe programy, które niszczą oprogramowanie konkurencyjnych grup, załączają pogróżki wobec innych cyberprzestępców, producentów oprogramowania antywirusowego, policji czy organów ścigania. Przykładem może być robak Net-Worm.Win32.Lebreat, który zawierał groźbę skierowaną do autorów robaka Bagle. O zaostrzaniu się rywalizacji między cyberprzestępcami świadczy również walka o zasoby zainfekowanych komputerów. W listopadzie 2005 roku wykryto próbę porwania botnetu. W wyniku działań konkurencyjnych grup sieć zainfekowanych komputerów zmieniła "właściciela" trzy razy w ciągu jednego dnia. Cyberprzestępcy zdali sobie sprawę, że łatwiej jest zdobyć zainfekowane zasoby niż utrzymywać własne botnety.

Śledzenie komunikacji cyberprzestępców na forach może być bardzo interesującym doświadczeniem. Czasami wybuchają zażarte wojny, gdy twórcy wirusów próbują wcisnąć sobie złośliwe programy pod postacią generatorów kluczy czy cracków. Na porządku dziennym jest również kradzież własności wirtualnej poprzez zamieszczenie odpowiednio spreparowanych wiadomości e-mail, których otwarcie może prowadzić do zainfekowania komputera użytkownika. Innymi słowy, twórcy wirusów wykorzystują ten sam arsenał przeciwko sobie co przeciwko użytkownikom. Wojny na słowa mogą prowadzić do pogróżek, ataków DDoS itd. Interesujące jest to, że cyberprzestępcy zdają sobie sprawę z zagrożeń wynikających z tworzonych przez siebie złośliwych programów i otwarcie dyskutują o zaletach różnych rozwiązań antywirusowych. Wydają się zapominać, że w rzeczywistości wybierają najlepszą ochronę przed programami napisanymi przez osoby takie jak oni, a wykorzystywane przez nich rozwiązania zostały stworzone w celu zapewnienia ochrony przed ich własnymi tworami.

Przestępcy nie ograniczają się już do ataków na indywidualnych użytkowników. W 2005 roku wzrosła liczba ataków na organizacje rządowe w porównaniu z poprzednim rokiem. Osoby, które je przeprowadzały, najwyraźniej czuły się bezkarne. Celem wielu ataków były państwowe banki, portale umożliwiające handel elektroniczny, wojsko i inne organizacje. We współczesnym świecie, w którym gospodarki krajów rozwiniętych, jak i rozwijających się, w dużym stopniu uzależnione są od technologii informatycznych wzrost liczby tego typu ataków stanowi poważny powód do niepokoju.

Rządy zaczynają dostrzegać wagę tego problemu. W roku 2005 w większości rozwiniętych krajów odnotowano znaczne postępy w sposobie reagowania organów ścigania na przestępstwa cybernetyczne. Poniżej przedstawiamy kilka najbardziej znanych przykładów.

    * 26 sierpnia aresztowano dwóch autorów robaka Zotob (Bozori). Byli nimi osiemnastoletni Marokańczyk Farid Essebar i dwudziestojednoletni Turek Atilla Ekici. Stworzony przez nich robak sparaliżował sieci ABC, CNN, The New York Times i innych firm. Od pojawienia się szkodnika do aresztowania jego autorów minęły niespełna 2 tygodnie.
    * Dwóch Nigeryjczyków zostało skazanych na 37 lat pozbawienia wolności za wysłanie wiadomości typowych dla tzw. oszustwa cztery-jeden-dziewięć znanego również jako "nigeryjski szwindel".
    * Brazylijska policja aresztowała 85 osób pod zarzutem kradzieży dziesiątek milionów dolarów. Za pośrednictwem Internetu przestępcy ukradli pieniądze z kont klientów organizacji finansowych.

Międzynarodowy charakter przestępstw cybernetycznych znacznie utrudnia działanie organów ścigania. Coraz częściej obserwuje się, że cyberprzestępcy dokonują nielegalnych działań poza krajem, który zamieszkują.

Należy podkreślić, że działania podejmowane przez agencje rządowe nie są wystarczające. Liczba skutecznych ataków przeprowadzanych na zasoby cybernetyczne rządów i innych organów znacznie przewyższa liczbę operacji podejmowanych rządy.

Szybszy czas reakcji

W związku z rosnącą liczbą ataków twórców wirusów na nowych użytkowników kluczowe znaczenie ma obecnie szybkość reakcji branży antywirusowej. Niestety, jak wynika z naszego badania (rysunek 2), w większości przypadków użytkownicy nie są świadomi powagi sytuacji.

Rys. 2: Rozkład procentowy użytkowników według częstotliwości aktualizacji (w oparciu o ankietę internetową pt.: "Jak często pobierasz aktualizacje?")

Z naszej ankiety wynika, że tylko 24% użytkowników aktualizuje swoje rozwiązania antywirusowe przynajmniej raz dziennie. Znając tempo pojawiania się nowych złośliwych programów (patrz rysunek 3), łatwo można oszacować liczbę nowych wpisów do antywirusowych baz danych dodawanych w ciągu godziny. Tym samym nietrudno jest obliczyć, jak wiele złośliwych programów może potencjalnie zainfekować 76% użytkowników, którzy nie przeprowadzają codziennej aktualizacji swoich rozwiązań antywirusowych.

Rys. 3: Fragment listy szkodliwych programów dodanych do antywirusowych baz danych Kaspersky Lab 22 września 2005 r. Kliknij obrazek, aby otworzyć nowe okno zawierające bieżące dane.

Z wykresu przedstawiającego liczbę nowych wpisów dodawanych do antywirusowych baz danych w poszczególnych latach (rysunek 4) jasno wynika, że wzrost jest raczej lawinowy niż liniowy. Oznacza to, że zwiększa się również tempo pojawiania się nowych złośliwych programów.

Rys. 4: Liczba złośliwych programów wykrywanych poszczególnych latach.

Niestety, bezpieczeństwo nie opiera się tylko na szybkości, z jaką producenci oprogramowania antywirusowego reagują na nowe zagrożenia. Użytkownicy muszą pamiętać o instalowaniu łat, które usuwają luki w zabezpieczeniu systemu operacyjnego i innych wykorzystywanych przez nich programach. Co się stanie, jeśli użytkownicy nie zastosują się do tych zasad, wyraźnie widać na przykładzie luki opisanej w biuletynie firmy Microsoft MS05-39. Incydent, jaki miał miejsce w sierpniu 2005 roku, po raz kolejny potwierdził beztroskę użytkowników i aktywność cyberprzestępców. Rozwój sytuacji przedstawia rysunek 5:

Rys.5: Liczba różnych rodzajów złośliwych programów wykorzystujących lukę MS05-39 w ciągu jednego dnia (sierpień 2005 rok)

9 sierpnia 2005 r. Microsoft udostępnił łatę na wspomnianą lukę. Trzy dni później (12 sierpnia) pojawił się kod typu "proof of concept". Twórcy wirusów potrzebowali kolejnych dwóch dni na stworzenie pierwszego złośliwego programu wykorzystującego lukę. 14 sierpnia został wypuszczony robak Zotob, który sparaliżował sieci kilku dużych firm. Powyższy wykres ukazuje rozwój sytuacji: gwałtownie wzrosła liczba złośliwych programów opartych na exploicie Exploit.Win32.MS05-39. Wniosek, jaki można wysnuć, jest następujący: niezwłoczne instalowanie łat jest tak samo istotne jak regularna aktualizacja antywirusowych baz danych. Ma to szczególne znaczenie w sytuacji, gdy twórcy wirusów aktywnie czekają na pojawianie się nowych exploitów typu "proof of concept", które wykorzystują krytyczne luki, a ich identyfikacja nieuchronnie prowadzi do wzrostu aktywności wirusów.

Głównym powodem do niepokoju są exploity "zero-day" wykorzystujące krytyczne luki. Szybkość, z jaką twórcy wirusów reagują na wykrycie nowych luk w zabezpieczeniach, może doprowadzić do pandemii.

Dlaczego szybkość reakcji na nowe zagrożenia ma tak ogromne znaczenie? Z danych wynika, że masowe rozesłanie złośliwych programów na kilka milionów adresów przy użyciu botneta (sieci zainfekowanych maszyn) zajmuje około dwóch godzin. W rezulatcie, każda dodatkowa minuta może oznaczać tysiące, a nawet setki tysięcy potencjalnych, nowych ofiar. Dlatego tak ważna jest szybkość reakcji firm antywirusowych.
Czynnik ludzki

W bezpieczeństwie IT ogromne znaczenie ma czynnik ludzki. Przykładem może być wspomniana wyżej luka MS05-39. Wielu z użytkowników nie zainstalowało łaty, chociaż miało na to aż pięć dni. W niektórych przypadkach zawiodły stosowane przez firmy polityki bezpieczeństwa lub ich ograniczenia. Jednak wielu użytkowników wykazało się po prostu typowo ludzkimi cechami: beztroską lub lenistwem.

Kolejny przykład ma związek z robakiem Monikey, który rozprzestrzeniał się w wiadomościach e-mail informujących odbiorców, że ktoś przesyła im kartkę elektroniczną. Wiadomości zawierały odsyłacze do umieszczonego na różnych stronach kodu robaka. Wielu administratorów usunęło kod robaka ze stron www, ale nie zablokowało kanałów wykorzystywanych przez złośliwe programy do penetrowania stron. W rezultacie, złośliwe programy powracały na te strony.

Niestety, nieostrożność można zarzucić nie tylko indywidualnym użytkownikom, ale także dużym korporacjom. W 2005 roku w sprzedaży pojawiły się legalne produkty zawierające złośliwy kod, takie jak wymienne nośniki danych, oprogramowanie oparte na technologiach antywirusowych itd. Ciekawy incydent miał miejsce pod koniec 2005 roku, gdy rosyjskie biuro wysyłające rachunki za usługi komunalne podało klientom chcącym uregulować należności poprzez Internet nieistniejącą domenę himbank.ru. Nie trzeba mówić, że każdy mógł zarejestrować na siebie tę domenę, a następnie opróżnić elektroniczne portfele niczego niepodejrzewających odbiorców rachunków. Z podanego adresu w krótkim czasie próbowało skorzystać kilkuset użytkowników.

Socjotechnika - wykorzystywanie ludzkich słabości.

W tym miejscu warto omówić socjotechnikę jako metodę stosowaną przez twórców wirusów do wykorzystywania ludzkich słabości. Twórcy wirusów nieustannie poszukują nowych i coraz bardziej wyrafinowanych sposobów, które pozwolą ich tworom na przeniknięcie do komputerów i sieci.

W 2005 roku cyberprzestępcy wykorzystali do osiągnięcia swoich celów szereg różnych tragicznych wydarzeń, a przede wszystkim fakt, że ludzie są żądni szczegółów związanych z takimi tragediami. Poniżej przedstawiamy kilka przykładów:

    * Po zamachach bombowych w Metrze Londyńskim, w których zginęło 50 osób, użytkownicy zalewani byli wiadomościami e-mail o tytule "TERROR HITS LONDON", które kryły konia trojańskiego. Aby uśpić podejrzenia, wiadomości informowały, że zostały przeskanowane programem antywirusowym.
    * Doniesienia o wykryciu ptasiej grypy wywołały masowe wysyłki reklam fałszywego leku, który był oczywiście bezwartościowy.
    * Po huraganie Katrina użytkownicy odnajdywali w swych elektronicznych skrzynkach spam zatytułowany "Katrina killed as many as 80 people". Same wiadomości nie zawierały złośliwego kodu, ich celem było wzbudzenie jak największego zainteresowania tematem. Użytkownicy otrzymywali szczątkowe informacje; żeby dowiedzieć się więcej, mieli kliknąć odsyłacz "Read more", a to powodowało załadowanie na ich komputer złośliwego kodu.

Naturalnie cyberprzestępcy wykorzystują nie tylko ludzką skłonność do czytania o wszelkiego typu nieszczęściach, ale także ich zainteresowanie innymi tematami, np. złośliwymi programami. Sytuacja staje się tak poważna, że niektórzy użytkownicy instalują nawet kilka programów antywirusowych. Sądzą oni, że im więcej programów antywirusowych, tym większa ochrona: jeśli jedno z rozwiązań pominie jakiś złośliwy program, z pewnością wykryje go drugie, trzecie lub czwarte. Cyberprzestępcy żerują na tym błędnym przekonaniu: wykorzystują technologie spamowe do dystrybucji złośliwych programów pod postacią oprogramowania antywirusowego znanych producentów. Ta metoda infekowania komputerów, bazująca na zaufaniu do firm antywirusowych, w rzeczywistości podkopuje to zaufanie. Użytkownicy często nie mogą uwierzyć, że wiadomości, które miały pochodzić od firm antywirusowych, w rzeczywistości zostały wysłane przez kogoś innego.

Ponieważ ataki zawsze poprzedzają stworzenie ochrony przed nimi, branża antywirusowa nieustannie znajduje się krok za cyberprzestępcami. Zapewnianie bezpieczeństwa użytkownikom może być trudne, gdyż często oni sami nieświadomie pomagają cyberprzestępcom w zainfekowaniu komputerów. Firmy antywirusowe nie tylko muszą stworzyć rozwiązania, które będą skutecznie chroniły przed zaawansowanymi technicznie metodami penetracji, ale także uświadamiać użytkowników w kwestiach bezpieczeństwa. Mimo aktywnych kampanii edukacyjnych wciąż wysoka jest liczba użytkowników, którzy wykonują potencjalnie niebezpieczne czynności, jak na przykład otwieranie załączników od nieznanego nadawcy. Potwierdza to ankieta pt.: "Dlaczego otwierasz podejrzane wiadomości?" przeprowadzona wśród użytkowników przez Kaspersky Lab.

Rys. 6: Wyniki ankiety pt.: "Dlaczego otwierasz podejrzane wiadomości?"

Inne trendy / Nowe technologie

Wciąż powstają nowe technologie, które wykorzystywane są zarówno przez branżę IT, jak i cyberprzestępców.
Niepokojące jest nie tylko rosnące tempo pojawiania się nowych "złośliwych" technologii. Obserwujemy również coraz szybsze łączenie i modyfikowanie istniejących technologii, co prowadzi do skuteczniejszych metod infekcji oraz tworzenia złośliwego kodu dla nowych platform.

Ataki kierowane są na urządzenia przenośne, które działają pod kontrolą systemów operacyjnych posiadających pełną funkcjonalność (np. smartfony, urządzenia PDA itd.). Jednak znaczny wzrost liczby złośliwych programów dla urządzeń przenośnych to kwestia przyszłości. Dopiero gdy liczba właścicieli smartfonów, którzy wykorzystują te urządzenia do uzyskania dostępu do usług płatności elektronicznej, osiągnie masę krytyczną, staną się oni celem aktywnych ataków i źródłem potencjalnego zysku cyberprzestępców.

Coraz bardziej przybliża się chwila, gdy wizja inteligentnych domów stanie się rzeczywistością. Oczywiście technologia ta wciąż znajduje się w bardzo wczesnym stadium rozwoju, niemniej jednak już istnieje. Czas pokaże, czy inteligentne domy staną się nową platformą ataków cyberprzestępców.
Rootkity

W niniejszym artykule termin "rootkit" oznacza technikę programowania lub kod, który ma na celu ukrycie aktywności lub obiektów w systemie. Cyberprzestępcy często wykorzystują rootkity do ukrycia procesów, plików, kluczy rejestru, aktywności sieciowej, czy innych zdarzeń które mogłyby zdradzić obecność złośliwego programu w zainfekowanym systemie.

Rootkity wciąż ewoluują i są aktywnie wykorzystywane przez cyberprzestępców. Nie ma w tym nic dziwnego, ponieważ mogą one znacznie przedłużyć obecność w zainfekowanym systemie złośliwego programu, którego nie da się wykryć przy użyciu standardowych narzędzi systemowych. Podczas gdy w 2004 roku w ciągu jednego miesiąca analitycy Kaspersky Lab wykrywali średnio 6 rootkitów, pod koniec 2005 roku - aż 32. Ten prawie czterokrotny wzrost ukazuje poniższy wykres.

Rys. 7: Wzrost liczby rootkitów.

W ciągu minionego roku zaobserwowaliśmy stopniowy wzrost popularności rootkitów w trybie jądra w stosunku do rootkitów w trybie użytkownika (więcej informacji na temat rootkitów można znaleźć w tym raporcie). Oznacza to, że ogromna liczba użytkowników wykorzystuje domyślne konto administratora, nie zdając sobie sprawy że tym samym narażają swoje komputery na ataki.

Biznesowe szkodliwe oprogramowanie (business-malware)

Złośliwe programy tworzone dla osiągnięcia korzyści finansowych (business malware) są tak samo rozpowszechnione jak programy przestępcze (crimeware). Prawie wszystkie złośliwe programy dodawane do antywirusowych baz danych mogą być wykorzystane do celów przestępczych. W tym artykule nie będziemy omawiać szczegółowych kryteriów klasyfikacji (jest to temat na osobny artykuł), ograniczymy się jedynie do analizy zmian, jakie zaszły w tej kategorii na przestrzeni 2005 roku.

Najpopularniejsze w klasie business malware są programy tworzone w celu kradzieży danych i zasobów finansowych. Jak pokazuje poniższy wykres, liczba złośliwych programów z tej kategorii wzrosła w 2005 roku pięciokrotnie. Oś Y pokazuje liczbę nowych złośliwych programów z kategorii business malware zidentyfikowanych przez naszych analityków.

Rys. 8: Wzrost liczby programów z kategorii business malware.

Z wykresu jasno wynika, że w systemach bankowości i handlu elektronicznego cyberprzestępcy widzą dla siebie duże możliwości osiągnięcia korzyści finansowych, co prowadzi do znacznego wzrostu liczby programów z klasy business malware. W zeszłym roku odnotowano wzrost liczby złośliwych programów atakujących kilka różnych systemów płatności.
Szantaż cybernetyczny

W 2005 roku zwiększyła się liczba przypadków szantażu cybernetycznego. Sprzyja temu anonimowość Internetu, która umożliwia cyberprzestępcom praktycznie bezkarne stosowanie szantażu. Firmy prowadzące handel elektroniczny często stają się celem ataków DDoS, natomiast do ataków na użytkowników końcowych często wykorzystywane są konie trojańskie modyfikujące dane. W zamian za przywrócenie zmodyfikowanych danych do ich pierwotnej postaci cyberprzestępcy żądają określonej sumy pieniędzy.

Przykładem takich programów jest wirus Virus.Win32.GPCode (szyfrujący dane użytkownika na dysku twardym) oraz trojan Trojan.Win32.Krotten (który w celu uniemożliwienia prawidłowego działania komputera modyfikuje rejestr systemowy).

Większość użytkowników woli zapłacić żądaną sumę niż czekać kilka godzin na udostępnienie przez firmę antywirusową narzędzia deszyfrującego. Istnieje jednak niebezpieczeństwo, że takie działanie zachęci cyberprzestępców do tworzenia nowych modyfikacji złośliwych programów. Przykładem jest GPCode, który z prymitywnego wirusa ewoluował do wersji wykorzystującej skomplikowane szyfrowanie asymetryczne.

Analitycy z firmy Kaspersky Lab, którzy od roku uważnie śledzą rozwój tych programów, przewidują nie tylko rozpowszechnienie podobnych technik szantażu w przyszłości, ale również ich ewolucję.
Zalecenia dla użytkowników

Zasady

Przy całej gamie problemów bezpieczeństwa IT, istnieje kilka prostych zaleceń, które pomogą użytkownikom w uniknięciu lub zwalczeniu większości zagrożeń cybernetycznych.

    * Nie wolno otwierać załączników ani klikać odsyłaczy w nieoczekiwanych wiadomościach. Odnosi się to do wiadomości otrzymanych za pomocą poczty elektronicznej, jak i innych mediów internetowych (np. komunikatorów internetowych). Co więcej, zasady te dotyczą wiadomości od nadawców nieznanych oraz tych z listy kontaktów. Istnieje wiele złośliwych programów, które infekują komputery, a następnie wysyłają wiadomości na wszystkie znalezione adresy kontaktowe. Zawierają one załącznik lub odsyłacz, którym towarzyszy wiarygodny tekst mający zachęcić odbiorcę do ich aktywowania. Osoby otrzymujące wiadomości, których nie oczekiwały, powinny skontaktować się z nadawcą, aby ustalić, czy dana wiadomość rzeczywiście od nich pochodzi.
    * Należy regularnie aktualizować rozwiązania antywirusowe.
    * Nie wolno zapominać o instalowaniu łat dla systemu operacyjnego i wykorzystywanych programów.
    * Bardzo ważne jest systematyczne tworzenie kopii zapasowych. W ten sposób będzie można odzyskać dane, które zostały utracone w wyniku awarii systemu operacyjnego lub uszkodzone na skutek działania złośliwych programów.
    * Jeśli nie jest to konieczne, nie należy korzystać z konta administatora.
    * W celu ochrony komputera przed zagrożeniami z Sieci zaleca się zainstalowanie zapory ogniowej (firewall).

Wnioski

Niestety rok 2005 nie daje powodów do optymizmu. Wprost przeciwnie, w okresie tym pojawiły się nowe metody ataków, istniejące "złośliwe" technologie ewoluowały i były dostosowywane do określonych potrzeb. Oznacza to, że obecne technologie są bardziej skuteczne i mogą być wykorzystywane do atakowania nowych platform.

Na podstawie danych z roku 2005 można przewidywać, że cyberprzestępcy skoncentrują swoje wysiłki na atakowaniu urządzeń przenośnych i sektora finansowego. Jednocześnie popularne będą rootkity, botnety, szantaż cybernetyczny i inne działania przestępcze. Chociaż organy ścigania coraz aktywniej walczą z cyberprzestępczością, podejmowane przez nie inicjatywy nie są wystarczające zważywszy na liczbę cybernetycznych zagrożeń. Dlatego istotne jest, aby sami użytkownicy podejmowali działania, które zapewnią im bezpieczeństwo.

---

Źródło: Kaspersky Lab

Autorem materiału jest: Yury Mashevsky - Senior Virus Analyst, z zespołu Kaspersky Lab.
Artykuł ten stanowi kontynuację opublikowanego w lutym raportu na temat ewolucji złośliwego oprogramowania w 2005 roku. Skierowany jest przede wszystkim do ekspertów z dziedziny bezpieczeństwa, administratorów i osób interesujących się zabezpieczeniami w branży IT.