Oblężenie Windows: 20 lat innowacji malware'u


SQL Slamer (Saphire) 30 minut po uwolnieniu

Polecamy:

Zobacz też:

Blaster prowadził do awarii Windows XP i restartu komputera

Uproszczony schemat działania botnetu

Trojan Zlob - nieistniejące zagrożenia skłania do zakupu fałszywego antywirusa (źródło: precisesecurity.com)

Korzystanie z luk Windows

Do 2001 r. najwięcej malware'u rozprzestrzeniało się przez zainfekowane pliki rozsyłane przez Internet i umieszczane w udziałach sieciowych. W tym roku twórcy złośliwego oprogramowania zaczęli celować bezpośrednio w dziury w zabezpieczeniach Windows. Wzrosło także ich wyrafinowanie. Ich intencją przestało być niszczenia danych lub zwykłe wygłupy. Swoje talenty zaczęli wykorzystywać do nielegalnego zarabiania pieniędzy.

CodeRed zainfekował ponad 300 000 serwerów Windows. Wykorzystał błąd przepełnienia bufora do przejmowania kontroli nad IIS i niszczenia stron internetowych na zainfekowanym serwerze. Komputery zainfekowane przez CodeRed wysłały pakiety przepełniające bufor do innych maszyn w Internecie. Microsoft załatał dziurę miesiąc przed pojawieniem się tego wirusa, ale admini nie wprowadzili poprawek na czas.

Następnie pojawił się malware Nimda. Używał pięciu różnych sposobów infekcji, co oznacza mieszane zagrożenie pierwszego stopnia. Atakował załącznikami do wiadomości, infekował niechronione udziały sieciowe, starał się wyłączyć strony internetowe, atakował serwery w stylu CodeRed oraz używał tylnych drzwi przez niego otwartych.

SQL Slammer (Saphire) przeszedł przez Internet w roku 2003. Zainfekował 75 000 komputerów w pierwszych 10 minutach. Robak wykorzystywał luki w zabezpieczeniach SQL Server i SQL Desktop Engine, które zostały załatane sześć miesięcy wcześniej. Nie umieszczał swojej kopii na dysku twardym a pozostawał tylko w pamięci. Restartowanie komputera prowadziło do pozbycia się infekcji.

Blaster (Lovscan) przemierzał Internet w podobnie szybkim tempie, a wykorzystywał skanery podłączone do sieci. Również wykorzystał lukę, która została już załatana. Próbował on wyłączyć witrynę windowsupdate.com za pomocą ataku DDoS.

Kto dziś zarabia na malware?

Wśród twórców malware trwa wojna. Po generatorze botnetu Sobig pojawiły się inne. Wojna wybuchła między Mydoom, Netsky, Sasser i Bagle. Za stworzenie Sassera oraz Netsky.AC skazany został 18-letni student informatyki z Niemiec.

Trojan Zlob podjął nową taktykę w 2005 roku. Maskował się jako kodek wideo niezbędny do uruchomienia pewnych plików. Zlob ma dziesiątki wcieleń, znanych z oferowania fałszywego oprogramowania antymalware. Przyniosło to spore zyski jego twórcom. Po pięciu latach pojawił się odmieniony jako rootkit Alureon.

W 2007 roku pojawił się kolejny generator botnet Storm. Różnił się jedną cechą. Zamiast pracy botnetu przez jeden serwer, Storm wykorzystał technologię p2p w celu rozproszenia kontroli. Więcej niż milion komputerów Windows zostało zainfekowanych. Botnet Storm/Waledac został w dużej mierze rozbity pod koniec 2008 roku, ale niedawno ponownie zaczął spamować - jak podaje firma Symantec.

Bonety pojawiają się i znikają. W większości zostały zamknięte lub poważnie osłabione przez zerwanie linii komunikacyjnych i blokowanie serwerów. Mocno pomogły w tym decyzje sądów. Kilka pozostaje problemem, a zwłaszcza zestaw do tworzenia botnetu ZeuS. Jest zaprojektowany by kraść hasła, numery kont i inne informacje oraz wysyłać je w określone miejsca. Groźny może być także botnet Conficker, który nie został całkiem wyeliminowany.