W roku 2008 firma Symantec opublikowała prawie 1,7 miliona sygnatur antywirusowych. Rok później rekord został pobity - w dniu pisania tego artykułu odnotowano już ponad 2,4 miliona sygnatur antywirusowych. Porównując te wyniki do 0,6 miliona w 2007 roku lub 0,14 miliona w 2006, widać, jak wielki skok nastąpił w ilości nowo powstałych zagrożeń (wirusów, koni trojańskich itp.). W 2009 roku zagrożenia wyraźnie ewoluowały. Możemy też wskazać trzy złośliwe programy, które wykazały się nowym podejściem. Były to Conficker, znany także jako Downadup, ZeuS (inaczej Infostealer.Banker) oraz Clampi.

Robak to ja

Conficker to robak, który prawdopodobnie został zaprogramowany do stworzenia sieci botów. Zbudowana przez niego sieć mogła w przyszłości zostać wykorzystana do wykonania dowolnej czynności zleconej przez jego twórców. Dlaczego prawdopodobnie? Program działał "zbyt dobrze". Udało mu się zainfekować kilka milionów komputerów - powodując tym samym ogromne zainteresowanie światowych mediów i firm zajmujących się internetowym bezpieczeństwem. Doprowadziło to do sytuacji, w której twórcy (ze względu na złożoność zagrożenia udział kilku osób wydaje się prawdopodobny) w dniu planowanej aktywacji, czyli 1 kwietnia 2009 roku, nie udostępnili żadnego funkcjonalnego kodu, tzw. payloadu. Możemy tylko spekulować, dlaczego tak się stało. Bardzo prawdopodobne jest, że osoby odpowiedzialne za powstanie tego zagrożenia mogły się przestraszyć jego popularności i zrezygnowały z dalszych działań lub po prostu dostawcom Internetu udało się zablokować wszystkie strony, z których Conficker mógł pobrać dodatkowe funkcje.

Conficker wprowadził wiele technicznych innowacji w świecie wirusów. W nim po raz pierwszy wykorzystano podpis cyfrowy, który chronił właścicieli robaka przed wrogim przejęciem sieci botów. Tylko payload podpisany prywatnym kluczem twórców mógł zostać przez robaka pobrany i uruchomiony. Jak widać, cyberprzestępcy dostrzegli tym samym potrzebę ochrony swojej pracy przed kradzieżą.

Inną z wprowadzonych wraz z Confickerem nowości jest metoda rozpowszechniania. Ze względu na fakt, że coraz więcej domowych użytkowników korzysta z różnego rodzaju bramek sieciowych, które blokują ruch przychodzący, używając mechanizmu NAT (Network Address Translation), twórcy Confickera musieli znaleźć lepszy sposób na skuteczny atak. Robak wykorzystywał do tego celu podatność w jednej z usług Windows, opisaną w biuletynie Microsoftu MS08-067. Wykorzystano ją do wstrzyknięcia kodu wykonawczego do komputera ofiary. Następnie zaatakowany komputer łączył się z maszyną atakującą w celu pobrania i uruchomienia robaka. Robak wykorzystywał protokół Universal Plug-and-Play (UPnP), który jest obecny w większości domowych urządzeń (standardowo domyślnie włączony) do automatycznego stworzenia na bramce tzw. port-forwardingu i dzięki temu uzyskania połączenia do zainfekowanego komputera.

Włamywacz doskonały

Drugie z wymienionych zagrożeń to koń trojański - ZeuS. Jego głównym zadaniem jest wykradanie poufnych informacji, choć jego możliwości na tym się nie kończą.

[...]

Autor jest inżynierem systemowym w firmie Symantec Polska odpowiedzialnym za produkty do ochrony stacji końcowych.