Nadciąga atak superwirusów

Początek tego roku upłynął użytkownikom komputerów pod znakiem lęku przed robakiem Conficker. Wykorzystując lukę w systemie Windows, rozprzestrzeniał się on zastraszająco szybko i zainfekował miliony komputerów na całym świecie. To już jednak historia – w międzyczasie w Sieci pojawił się nowy szkodnik – Gumblar. Eksperci ostrzegają: jest on bardziej niebezpieczny niż Conficker! Od marca do czerwca jego ofiarą padło 100 000 stron internetowych, przede wszystkim anglojęzycznych, w tym wiele poważnych serwisów, na przykład lifestyle’owy portal variety.com.
Nadciąga atak superwirusów

Jednak Gumblar – choć szczególnie wyrafinowany – jest tylko jedną z nowych broni sieciowych kryminalistów. Tendencja jest wyraźna: celem złośliwego oprogramowania przestaje być uszkadzanie czy niszczenie danych. Zamiast tego mają one wykradać cenne informacje użytkowników: dane kont i kart kredytowych, dane logowania czy informacje osobiste. Hakerzy posługują się w tym celu wysublimowanymi technikami rozprzestrzeniania wirusów przez Sieć i ukrywania ich w systemie. Szkodniki takie jak Gumblar i nowe metody ataku sprawiają, że w tym roku w Sieci jest bardziej niebezpiecznie niż kiedykolwiek przedtem. W tym raporcie przedstawiamy obecny stan zagrożenia.

Gumblar: wirus z dynamicznym kodem

Tym, co sprawia, że Gumblar jest tak niebezpieczny, okazuje się wyrafinowana metoda, jakiej używa do infekowania zupełnie nieszkodliwych stron internetowych. Nie korzysta on ciągle z tego samego kodu, ale za każdym razem tworzy nową wersję swojego skryptu. Dynamiczne generowanie kodu programu utrudnia administratorom witryn wykrycie wszystkich ataków. Gdy użytkownik otworzy zainfekowaną stronę, Gumblar – wykorzystując lukę w rozszerzeniach przeglądarki obsługujących elementy Flash lub pliki PDF – trafi do jego komputera. Rozpocznie wówczas protokołowanie zachowań internauty w Sieci oraz podawanych przez niego loginów i haseł. Korzystający z przeglądarki Internet Explorer zobaczą ponadto sfabrykowane wyniki wyszukiwania Google’a – gdy klikną oni na dowolne hiperłącze, zostaną przeniesieni na stronę, która umieści w ich komputerze kolejne szkodniki. Aby zabezpieczyć się przed atakiem, powinniśmy zawsze pamiętać o korzystaniu z aktualnej wersji pakietu zabezpieczającego. Podczas pisania tego artykułu nie istniał żaden sposób na uratowanie komputera zainfekowanego wirusem Gumblar. Jedyną metodą pozbycia się go była kuracja radykalna: formatowanie dysku i instalacja Windows na nowo.

Rozszerzenia przeglądarki: furtka dla hakerów

Ponadto powinniśmy zadbać o aktualność naszej przeglądarki oraz – co bardzo ważne – zainstalowanych w niej wtyczek. Całkowite wyłączenie plug-inów to żadne rozwiązanie, gdyż są one niezbędne do prawidłowej obsługi niemal wszystkich witryn internetowych. Jak zwykle celem większości ataków są funkcje ActiveX, wykorzystywane jedynie przez przeglądarkę Internet Explorer.

W wersjach Windows wcześniejszych od Visty technologia ActiveX daje aplikacjom sieciowym szerokie prawa dostępu do systemu, ułatwiając hakerom odczytywanie danych, a nawet całkowite przejmowanie kontroli nad komputerem. Ulepszona metoda zarządzania prawami dostępu w Viście i rosnąca popularność konkurencyjnych przeglądarek powodują jednak, że przestępcy coraz częściej koncentrują się na słabych punktach aplikacji, takich jak Firefox czy Chrome. Do umieszczania szkodliwego kodu w komputerach coraz chętniej używane są rozszerzenia przeglądarek, na przykład komponenty Java, odtwarzacz QuickTime czy wtyczki do obsługi plików PDF i animacji Flash.

Serwer FTP: powielacz

Ponieważ hakerom zależy na zainfekowaniu jak największej liczby komputerów, często wykorzystują oni w tym celu znane i chętnie odwiedzane witryny internetowe. Również twórcy wirusa Gumblar obmyślili prosty sposób rozprzestrzeniania szkodnika: jeżeli wykryje on na komputerze dane dostępowe do serwera FTP, zostają zainfekowane wszystkie strony wykorzystujące ten serwer. Na atak narażone są szczególnie witryny udostępniające duże ilości danych – na przykład strony instytutów naukowych czy katalogi plików do pobrania, gdyż do składowania informacji wykorzystują one często właśnie serwery FTP.

Trik z wykorzystaniem serwerów FTP znają również inni hakerzy: wystarczyło im kilka czerwcowych dni tego roku, by za pomocą wykradzionych danych dostępowych do serwera FTP zainfekować aż 40 000 witryn. Otwarcie jednej z nich wiązało się z uruchomieniem szkodliwego kodu JavaScript przenoszącego na sfabrykowaną stronę Google’a Analytics, która również była zakażona i za pomocą znanych luk w przeglądarce oraz jej rozszerzeniach przemycała do komputera niebezpieczne oprogramowanie.

Coraz częściej hakerzy umieszczają wirusy w znanych serwisach internetowych, które użytkownikom wydają się mało podejrzane. Ofiarą tego padł między innymi lubiany portal Gadget Advisor.

Coraz częściej hakerzy umieszczają wirusy w znanych serwisach internetowych, które użytkownikom wydają się mało podejrzane. Ofiarą tego padł między innymi lubiany portal Gadget Advisor.

Jeszcze do niedawna wirusów obawiali się tylko ci, którzy korzystali z mało znanych katalogów plików bądź stron pornograficznych. Obecnie jednak wirusy można znaleźć nie tylko w podejrzanych witrynach – już w 85 proc. przypadków rozprzestrzeniają się one za pośrednictwem portali znanych i uważanych za bezpieczne. Przykładem jest popularna strona o tematyce technicznej Gadget Advisor, która stała się celem internetowej mafii pod koniec maja.

BlackHat-SEO: zakażenie przez Google

Hakerom nie brakuje pomysłów, jak nakłonić nieświadomych internautów do odwiedzania zakażonych stron. Korzystając z narzędzi analizujących Google, dowiadują się oni, jakie są najczęściej wyszukiwane wyrażenia, i tworzą witryny idealnie dopasowane do tych wyrażeń, trafiające dzięki temu na wysokie pozycje w wynikach wyszukiwania. Ta forma optymalizacji pod kątem wyszukiwarki (tzw. Blackhat-SEO) pozwala hakerom na eksploatowanie zarówno stale popularnych tematów, np. “Youtube” czy “Telewizja Online”, jak i aktualnych informacji, choćby tych dotyczących niedawnej katastrofy samolotu Air France nad Atlantykiem czy targów gier komputerowych E3.

Te specjalnie dopasowane strony WWW są często umieszczane na darmowych serwerach takich jak Lycos Tripod i z reguły same w sobie nie są niebezpieczne, ale przekierowują odwiedzających do innych witryn internetowych zarażających komputery wirusami.

Sieci społecznościowe: na celowniku hakerów

Nie tylko linki Google kierują internautów na niebezpieczne strony. Coraz częściej hakerzy rozprowadzają podejrzane hiperłącza, wykorzystując w tym celu cieszące się popularnością portale społecznościowe, z liczącym 200 milionów zarejestrowanych członków Facebookiem na czele. Za pomocą specjalnych narzędzi przestępcy automatycznie zakładają liczne profile użytkowników. Narzędzia te radzą sobie nawet z wchodzącymi w skład formularzy rejestracyjnych obrazkami CAPTCHA, czyli zakamuflowanymi łańcuchami znaków, które poprawnie odczytać i przepisać teoretycznie może tylko człowiek. Takie fałszywe profile rozsyłają następnie do innych użytkowników wiadomości zawierające odsyłacze do stron, które już podczas wczytywania zawartości instalują na komputerach użytkowników złośliwe oprogramowanie.

Podobny schemat hakerzy wykorzystują w popularnym serwisie mikroblogowym Twitter. By wyróżnić swoje spośród niezliczonej liczby wiadomości, przestępcy używają popularnych w danym momencie słów kluczowych (hashtags), podobnie jak podczas fałszowania wyników wyszukiwania w Google. Z powodu ograniczenia długości wiadomości do 140 znaków hakerzy skracają często długie, zaszyfrowane linki, korzystając z takich usług jak TinyURL, co pozwala na ukrycie właściwego adresu docelowego łącza.

Pod koniec maja na Twitterze pojawiły się odsyłacze do kilku stron z filmami zachęcających użytkowników do instalacji specjalnego kodeka. Zamiast niego internauci otrzymywali jednak PrivacyCenter – fałszywy program antywirusowy (Rogue AV). Po zainstalowaniu aplikacja informowała o przeprowadzonym skanowaniu systemu (co oczywiście nie było prawdą), a następnie wyświetlała długą listę znalezionych wirusów, których, rzecz jasna, wcale w komputerze nie było. Użytkowników chcących je usunąć program PrivacyCenter kierował na stronę internetową, na której byli oni proszeni o zapłacenie za pełną wersję programu (oczywiście też nieistniejącą) za pomocą karty kredytowej. Kilka kliknięć – i konto wyczyszczone.

PDF: niebezpieczny format biurowy

Fałszywe programy antywirusowe wykradające informacje o kontach i kartach kredytowych lub śledzące działania użytkownika komputera są coraz powszechniejszym zagrożeniem. Eksperci szacują, że w ciągu kolejnych kwartałów liczba takich programów będzie się podwajała (szczegóły w ramce na dole). Obserwowany jest też równie wyraźny wzrost liczby ataków z wykorzystaniem zainfekowanych plików PDF. O ile dotychczas szczególnie często wybieranym celem były pliki biurowe pakietu Microsoft Office, to w tym roku pliki PDF stanowią już połowę zainfekowanych dokumentów.

Decydującą rolę odgrywają tu trzy czynniki. Przede wszystkim hakerzy coraz częściej odkrywają w programach Adobe Acrobat i Adobe Reader luki w zabezpieczeniach, umożliwiające przejęcie kontroli nad komputerem lub przemycenie do niego szkodliwego oprogramowania. Poza tym dokumenty w formacie PDF można zainfekować w bardzo prosty sposób, na przykład dołączając do nich złośliwy kod JavaScript. Nie bez znaczenia jest również to, że wielu użytkowników nie ma świadomości tych zagrożeń i dlatego nie dba o regularne aktualizowanie wspomnianych aplikacji.

Wymiana plików: gniazdo wirusów

Zainfekowane pliki PDF są rozpowszechniane głównie dwoma kanałami: poprzez strony internetowe otwierające je bezpośrednio w oknie przeglądarki oraz jako załączniki do emaili. Ponieważ PDF jest standardowym formatem dokumentów i jako taki cieszy się (jeszcze) dobrą reputacją, tylko nieliczni użytkownicy podejrzewają istnienie wirusa w załączniku w takim formacie.

Hakerzy chętnie korzystają ze znanych serwisów oferujących hosting plików, by anonimowo rozpowszechniać w Internecie zainfekowane pliki.

Hakerzy chętnie korzystają ze znanych serwisów oferujących hosting plików, by anonimowo rozpowszechniać w Internecie zainfekowane pliki.

Inne rodzaje plików zawierających wirusy najczęściej są rozpowszechniane przez popularne sieci wymiany plików lub serwisy hostingowe. Według firmy Symantec w 2008 roku dwie trzecie wszystkich zakażonych plików wykonywalnych były rozpowszechniane przez sieci P2P. Coraz częściej na celowniku cyberkryminalistów znajdują się jednak serwisy umożliwiające hosting plików, takie jak RapidShare czy MediaFire. Dzięki nim można zupełnie anonimowo umieścić na serwerze dowolny plik, by następnie udostępniać łącze do niego w portalach społecznościowych i na forach. Warunkami sprzyjającymi hakerom są również duża ilość dostępnego miejsca oraz to, że większość serwisów hostingowych nie figuruje na listach niebezpiecznych stron.

Wszystkie te nowe metody są znacznie bardziej efektywne niż rozsyłanie groźnych odsyłaczy w formie spamu. Ponieważ liczba niechcianych reklam i ataków typu phishing wciąż rośnie, musimy pogodzić się z tym, że internetowa mafia coraz częściej będzie się uciekać do skuteczniejszych, a więc bardziej niebezpiecznych technik. Systematyczne aktualizacje oprogramowania, a przede wszystkim pakietu antywirusowego są więc koniecznością.

5 rodzin wirusów
1. Stuh

Trojany typu Stuh zapisują informacje wprowadzane za pośrednictwem klawiatury, odkrywając w ten sposób hasła. Ponadto wyłączają one funkcję automatycznej aktualizacji Windows, co czyni komputer podatnym na kolejne ataki.

2. Fraudload

Te wirusy należą do tzw. programów Rogue AV. Zakażają one komputer, wykorzystując luki w zabezpieczeniach aplikacji, i wyświetlają fałszywe ostrzeżenia o wykrytych wirusach, aby skłonić użytkownika do podania danych karty kredytowej w celu kupna “pełnej wersji”.

3. Monder

Rodzina wirusów Monder również wykorzystuje fałszywe programy antywirusowe. Ponadto zmienia one ustawienia zabezpieczeń komputera i pobiera na dysk kolejne szkodniki.

4. Autorun

Ten rodzaj wirusów rozpowszechnia się bardzo szybko. Wykorzystują one funkcję Autostart przenośnych nośników danych i podczas otwierania takiego nośnika uruchamiają szkodliwe pliki EXE.

5. Buzus

To typowe programy szpiegujące. Szukają one na zainfekowanym komputerze numerów kart kredytowych i danych dostępowych do systemów bankowości internetowej, kont poczty elektronicznej i serwerów FTP.

Atak z klucza USB

“Back to the roots”, czyli “powrót do korzeni” – to motto zdaje się obierać coraz większa liczba hakerów. W tym kontekście dotyczy ono sposobów rozpowszechniania zakażonych plików. Przed epoką powszechnego dostępu do Internetu podstawową drogą zakażania były dyskietki – dziś przestępcy chętnie wykorzystują w tym celu mobilne nośniki danych, takie jak klucze USB czy dyski zewnętrzne. Wirusy kopiują się na dysk lokalny i w ten sposób zakażają kolejne komputery.