Hlavní navigace

Letní online hrozby: klasika i botnety

17. 8. 2010
Doba čtení: 5 minut

Sdílet

Autor: 29
Podle aktuálních statistik se nám na lepší časy ještě dlouho blýskat nebude, uživatelé jsou zřejmě nepoučitelní. Zelenou dostávají botnety čekající na povel svých tvůrců, stejně jako moderní klasika v podobě virů zneužívajících autorun informací. Co přesně tedy prozrazují aktuální statistiky?

V současném světě počítačové bezpečnosti je často velice těžké udržet si přehled o všech stávajících hrozbách a rizicích, která nám ztěžují život. Také proto různí analytici i výrobci bezpečnostního softwaru průběžně vydávají souhrnné zprávy, jež mapují vývoj na poli malwaru, podvodů a všemožných i nemožných útoků. Mezi posledními objevivšími se lze vystopovat také McAfee Threats Report: Second Quarter 2010. Jak již název napovídá, jde o analýzu rizik druhé poloviny roku 2010 – jaká nebezpečí jsou tedy právě v kurzu, čeho se má poctivý uživatel nebo správce sítě bát?

Ze studie kromě jiného vyplývá, že oproti letošnímu prvnímu čtvrtletí se povaha malwaru značně změnila. Škodlivých kódů, hrozeb a útoků neustále přibývá, ale především se stávají stále diferencovanějšími. Jsou šity na míru konkrétním obětem a liší se například podle toho, zda jejich cílem jsou koncoví uživatelé nebo firmy. Právě specializace na konkrétní uživatele či menší skupinu patří mezi hlavní trendy poslední doby, již dříve se touto cestou vydaly třebas i phishingové útoky. Scénář ve srovnání s masovými útoky velice podobný, nicméně není tolik anonymní. Z minulosti jsou známé případy útoků na klienty místních organizací, namísto rozsáhlejšího, avšak vinou univerzálnosti ne tak účinného pokusu o nalákání většího počtu uživatelů obecnými podvody.

Nesmrtelný Conficker je stále s námi

Malware je dle zprávy o stavu nebezpečenství druhého čtvrtletí také do značné míry „lokalizován“ – v různých zemích a regionech jsou nejrozšířenější vždy jiné hrozby (naopak v prvním čtvrtletí letošního roku byly prakticky ve všech oblastech na čele žebříčku stejné druhy malwaru). V databázích společnosti McAfee bylo na konci června uloženo téměř 45 milionů jedinečných vzorků malwaru. Ještě rychleji než samotného malwaru přibývá podvodných webů, které se ho snaží šířit.

Odbočme nyní od statistik McAfee a podívejme se na aktuální čísla, jež servíruje Eset Software v pravidelném měsíčním přehledu škodlivého kódu. Nejrozšířenější počítačovou hrozbou současnosti je stále červ Win32/Conficker a jeho různé varianty, v červenci jeho podíl tvořil 12,47 % detekovaných hrozeb. Conficker v současnosti tvoří jeden z největších botnetů a odhaduje se, že celkem je na dálku ovládaných až 10 miliónů počítačů po celém světě. Podíl Confickeru neustále roste také v Česku a v červenci u nás zaznamenal 9,55% podíl.

Druhou nejčastější hrozbou byl malware INF/Autorun, což je směs trojských koní (5,9 %), Na třetím místě systémy ESET nejčastěji detekovaly škodlivý kód Win32/Agent, tedy vykradače citlivých údajů z počítače. Novinkou v žebříčku je Win32/Dursg.A. Tento trojský kůň, pravděpodobně ruského původu, přesměrovává výsledky vyhledávání na webstránky obsahující adware. Tento trojan se často šíří pomocí výměnných P2P sítí jako soubor s atraktivním názvem (aktuální hudební hit atp.).

Falešná antivirová online podpora

Novinkou, zatím zaměřenou na anglofonní uživatele, je falešná antivirová online podpora. Zavolá vám callcentrum, telefonista vám ukáže, kolik škodlivého software máte na vašem počítači a prodá vám nic nedělající bezpečnostní software i online podporu.

METSupport

Příklad stránek podvodné online podpory, která vás nepodpoří.

Nebezpečné hrátky s USB

Na škodlivý kód, jenž volí cestu nákazy prostřednictvím informací automatického spouštění, poukazuje také zpráva McAfee, skokový nárůst byl během druhého čtvrtletí zaznamenán hlavně v červnu. Pokud i vy patříte mezi ty šťastnější uživatele, které viry šířené skrze autorun informace minuly, tak nejen pro vás doplníme stručné informace o principu jejich činnosti, a to na konkrétním případu neblaze proslulého SillyFD-AA.

Zmíněný SillyFD-AA v kořenové složce vytvoří skrytý soubor autorun.inf, čímž může dojít při zapojení USB flash disku nebo jakéhokoliv jiného vyměnitelného média ke spuštění souboru s červem, který mimo jiné mění některé položky v systémovém registru. Infikovaný počítač se pozná podle textu „Hacked by 1BYTE“ zobrazujícího se v záhlaví okna prohlížeče Internet Explorer. Obdobný model tohoto více než tři roky starého červa se stal vzorem také pro řadu současných hrozeb stejného zaměření.

Hacked by 1BYTE

Právě jste spustili SillyFD-AA, takže váš prohlížeč je Hacked by 1BYTE

Prvotní obrana je v uvedeném případě již z podstaty obdobná jako u klasických souborových virů, jelikož se z principu jedná o stejnou hrozbu. Základním stavebním kamenem by se tak měl stát kvalitní antivirový program s průběžnou kontrolou všech přistupovaných souborů v reálném čase, případně vypnutí nebo alespoň ne automatické povolení spuštění souboru autorun.inf při připojení USB zařízení do počítače. Jiná situace ale samozřejmě nastává v případě, kdy se USB zařízení nestanou prostředníkem pro šíření virů, ale poslouží k odnesení často citlivých dat.

Spam vévodí veškeré rozeslané poště

Na lepší počítačové časy se bohužel neblýská ani v oblasti botnetů, jelikož jejich tvorba, zneužití a případný pronájem jsou stále populárnější, alespoň v druhém čtvrtletí. Nejnebezpečnějším z nich je dnes zřejmě botnet Zeus, v Indii je součástí botnetů až 1,5 milionů počítačů, v Rusku, Brazílii a Německu převyšuje tento počet 1 milion.

V případě botnetů největší problémy vyplývají z faktu, že jde často o pomalou, plíživou, stěží viditelnou hrozbu. Postižený uživatel se ani nemusí dozvědět, že se jeho systém stal součástí větší armády zombie počítačů, které pouze čekají na rozkaz od svého tvůrce. Tímto povelem zkázy se nejčastěji stává další šíření malwaru, DDoS útok nebo hromadné rozesílání spamu.

Právě horší detekce a absence přímé viditelné destrukce dává útočníkům čas i prostor pro postupné budování rozsáhlých botnetů, které udeří až v tu pravou chvíli. A pokud by zrovna nebylo jak jejich sílu využít, lze si bez dalšího většího snažení aspoň přivydělat dočasným pronájmem. S botnety se totiž čile obchoduje, a pokud má někdo zájem o jejich služby, může si na předem určenou dobu některý z nich vypůjčit.

MMF24

I když se v překotném světe síťové bezpečnosti máme jen z máločeho těšit, tak alespoň jedna pozitivní zpráva na závěr: růst spamu ve druhém čtvrtletí oproti dřívějším obdobím zpomalil. Výsledné číslo, prozrazující 142 miliard nevyžádaných zpráv, je však i přesto stále alarmující, jelikož celkově zajišťuje více než 1,5 miliardy spamových e-mailů denně. Nelichotivá hranice 90% podílu veškeré kolující pošty nás bohužel bude strašit ještě asi hodně dlouhou dobu.

S jakými hrozbami jste se v poslední době setkali ve své domácí nebo firemní síti? Co podle vás může nejvíce ohrožovat běžné koncové uživatele? Přispějte s vlastními statistikami do diskuze pod článkem.

Vypínáte funkci autorun?

Autor článku

Autor je odborníkem na počítačovou bezpečnost a moderní online služby. Pracuje jako konzultant na volné noze zejména pro finanční instituce.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).