Aparitia virusilor si a programelor antivirus – partea 3

 

Citeste partea a doua a acestei serii.

 

Worms

 

Worm-ul este un program independent de replicare – adica un virus care nu are nevoie de o gazda. In loc sa se distribuie dintr-un document intr-altul in acelasi PC, worm-ul se foloseste de retea sau internet. Aparitia acestui tip de virus a avut loc cand virusii macro au inceput sa nu mai fie asa de populari datorita unor schimbari majore facute de Microsoft.

  • Email worms

Acestia vin in forme diverse: fie ca si fisiere executabile (precum Happy99, primul virus worm al erei moderne), fisiere criptate din cadrul unui email sau chiar si inserate in interiorul mesajelor HTML. Punctul lor comun este infiltrarea prin email, folosindu-se de interactiunea cu utilizatorul prin trimiterea de mesaje care ar determina cititorul sa deschida emailul (de exemplu, virusul LoveLetter, unul dintre primii virusi de acest gen, care avea ca si subiect titlul ILOVEYOU si care te ruga sa deschizi documentul din attach pentru a vedea despre ce este vorba).

  • Internet worms

2001 a marcat reaparitia virusilor de pe internet. CodeRed care a aparut in iulie 2001 a fost un virus fara fisiere care ramanea inscris in memoria PC-ului. Acest virus s-a folosit de o vulnerabilitate a serverului Microsoft IIS si a atacat toate serverele Microsoft 2000. S-a raspandit printr-un port neprotejat si astfel s-a propagat catre alte servere vulnerabile. Infectarea s-a petrecut in doar cateva ore, fiind cel mai rapid virus pana la acel moment. Si acesta a fost doar inceputul. In luna septembrie a aceluiasi an, virusul Nimda s-a folosit de o vulnerabilitate a Internet Explorerului si a produs o noua epidemie globala.

Nimda a fost un virus de emailing in masa care insa nu s-a bazat pe deschiderea si clicuirea documentelor din email, ci s-a folosit de browser pentru a se raspandi catre alte sisteme vulnerabile. Propagarea a durat doar cateva ore si efectul s-a resimtit la nivel global, undeva la 6 luni.

 

Exploatarile

 

Dupa CodeRed si Nimda, exploatarile vulnerabilitatilor programelor au devenit un lucru comun; acest tip de atacuri erau pana acum puse pe seama hackerilor si nu a creatorilor de virusi. Combinatia virusilor traditionali si a atacurilor hackerilor a dus la inca un progres semnificativ pentru creatorii de virusi.

Au existat cativa virusi care au evitat partea traditionala de distribuire si au marsat numai pe infectarea cu ajutorul vulnerabilitatilor diverselor programe (de exemplu virusii Lovesan, Welchia si Sasser care au fost doar Internet worms).

Nimda a adus cu sine trendul combinarii exploatarii cu alte metode de atac. Pe langa emailingul in masa, acesta a distribuit de asemenea si cod viral de exploatare catre fisierele HTML. Mai mult, Nimda a mers mai departe si a inceput sa scaneze reteaua dupa resurse accesibile si chiar sa lase copii ale virusului acolo unde gasea potential. Ba chiar mai mult, odata infectat un PC, acesta avea fisiere modificate si lasate deschise, accesibile pentru oricine are intentii de virusare si furt de date.

 

fortinet fortigate

Raspunsul antivirusurilor

 

Raspandirea atacurilor si a virusilor cu viteza internetului la nivel global a pus presiune foarte mare pe vendorii de solutii antivirus si modul in care raspund atacurilor. Updateurile trimestriale nu mai erau suficiente, cele lunare devenind standard. Pe masura ce dezvoltarea virusilor s-a marit, au inceput sa apara updateurile saptamanale si chiar zilnice.

De asemenea, pentru a evita interactiunea sociala din emailuri, au inceput sa apara tehnici de blocare a anumitor emailuri pe servere, ca sa nu mai ajunga la utilizatorul vulnerabil. Pe masura ce tipul virusilor a inceput sa se mareasca, si vendorii antivirus au inceput sa fie mai proactivi si sa-si largeasca obiectivele si metodele de securitate.

  • Firewalluri personale

Acest tip de protectie monitorizeaza si blocheaza traficul nedorit de date. Este o aplicatie care se instaleaza individual pe PC sau server si supravegheaza continuu traficul de date.

  • Sisteme de preventie a amenintarilor

Anumiti vendori de solutii de securitate au suplimentat tehnologiile traditionale de securitate cu sistemele de preventie IPS. Acestea au fost create pentru a proteja computerele si serverele cu ajutorul analizei comportamentale a actiunilor si a traficului de date. Practic, acestea filtrau pachetele de coduri transmise si tipul de trafic folosit; au fost foarte eficiente pentru detectarea atacurilor la nivel de DOS si a traficului specific virusilor de tip worm.

 

De la cyber-vandalism la cyber-crime

 

Incepand cu anul 2003, a existat un declin al epidemiilor globale de atacuri cibernetice, lucru care a demonstrat lipsa motivatiei creatorilor de virusi. Pana acum cativa ani, virusii si programele de atac au fost izolate si catalogate drept vandalism computational.

In ultimii ani insa, trendul s-a schimbat din nou. Azi trebuie sa facem fata trendului crimeware al carui scop este profitabilitatea financiara in mod ilegal.

Schimbarea in abordare a creatorilor de virusi este foarte clara. S-a facut o tranzitie de la atacurile in masa la nivel global la atacurile mult mai tintite catre grupuri mult mai restranse si cu scopuri mult mai clare. Acest lucru se datoreaza faptului ca prinderea responsabililor este mult mai facila si expertiza este mult mai mare.

Aceste atacuri se petrec de regula cu ajutorul virusilor Trojan. In ultimii ani, prezenta acestora a crescut semnificativ. Diversitatea lor este de asemenea mai mare si constructia difera in functie de scopul atacului (aici putem include virusii troieni de tip backdoor, cei care fura parole, droppers, downloaders si proxies). Scopul, fie ca atacul se intampla asupra unui individ sau a unei organizatii, este profitabilitatea financiara. De cele mai multe ori, computerele afectate sunt adunate intr-o retea si ajung sa fie controlate de un singur server (motiv pentru care hackerii sunt usor de reperat). In ultima vreme insa s-a observat utilizarea sistemelor de tip peer-to-peer care ajuta la stergerea urmelor. Cel mai de succes asemenea sistem este Zhelatin (cunoscut si sub numele de Storm Worm) care a aparut in ianuarie 2007 si care este operational chiar si azi datorita retelei de distributie.

 

Atacurile de phishing

 

Sunt atacuri al caror scop este furtul de date personale ale conturilor bancare si furtul de bani din conturile respective. Ce fac atacatorii: contruiesc o replica a site-ului unei institutii financiare (de cele mai multe ori banci), apoi trimit emailuri, catre mii de utilizatori, care mimeaza stilul de comunicare specific bancii in urma caruia roaga persoanele care citesc emailul sa se logheze cu datele personale pentru diverse scopuri. Odata obtinute, aceste date vor fi utilizate pentru accesarea conturilor si furtul banilor utilizatorilor.

 

Invizibilitate imbunatatita

 

In ultimii ani ai decadei 2000, prezenta rootkiturilor care ascund virusii a crescut considerabil. Denumirea de rootkit este utilizata pentru a descrie tehnicile de invizibilitate implementate de catre creatorii de virusi pentru a ascunde modificarile facute in computerul victimei. Rootkiturile au rolul de a ascunde prezenta unui virus troian, de pilda.

 

Virusii pentru mobil

 

Pana acum, concentrarea atacurilor a fost asupra desktopurilor si laptopurilor. Aparitia virusului Cabir in 2004 a adus cu sine un nou trend de creare de virusi pentru dispozitivele mobile.

Utilizarea dispozitivelor mobile in interiorul tuturor organizatiilor este tot mai mare, iar accesul la retelele wifi aduce dupa sine o crestere constanta si progresiva. Companiile lucreaza in ziua de azi conectate si deschise; mediu oportun pentru atacurile hackerilor. Cu cat dispozitivele de acest gen sunt mai mobile si mai conectate, cu atat sunt mai predispuse la infectare si scurgere de date.

Primul virus pentru telefoanele mobile a fost Cabir. In doar 4 ani, acesta s-a raspandit in 40 de tari, cu ajutorul bluetoothului, care la acea perioada era cea mai comuna si la-ndemana metoda de transmitere de date. Intr-un timp foarte scurt, au inceput sa apara o serie de virusi, worms si troieni pentru mobil. In acest moment, exista in jur de 10 virusi noi pe saptamana numai pentru reteaua mobila.

In aprilie 2006 a aparut Flexispy, un troian comercial care trimitea sms-uri si informatii din telefon catre autor, care vindea pachete de date la 50$. Cele mai multe tipuri de virusi de pana acum au nevoie de ajutorul utilizatorului care sunt de regula prinsi in mrejele subiectelor cu text social, ce-i determina sa deschida emailul sau notificarea primita.

Este destul de clar asadar ca dispozitivele mobile nu sunt imune la atacuri; este greu de prevazut cum va evolua numarul acestora, in functie de cresterea numarului de utilizatori de smartphone si in functie de cantitatea de informatie corporate ce va fi transmisa prin aceste dispozitive.

 

Pe masura ce atacurile devin tot mai complexe, este nevoie de solutii de securitate IT avansate pentru a avea vizibilitate in retea si a face fata amenintarilor. Descarca acest ghid si vezi cum raspunde Fortinet Security Fabric provocarilor actuale in securitate!

 

Sursa: Securelist; Photo: pixabay.com

Share This Post: