Parszywa Dwunastka: najgroźniejsze wirusy ostatnich lat wg ESET

Następny artykuł
2013-03-28

Co łączy irańskie wirówki do wzbogacania uranu, gruzińskie dokumenty rządowe i projekty graficzne przygotowane w AutoCADzie? Wszystkie wymienione stały się celem zagrożeń komputerowych. Eksperci z laboratorium antywirusowego ESET wytypowali dwanaście złośliwych programów, które w ciągu ostatnich miesięcy i lat na masową skalę kradły, podsłuchiwały i szpiegowały swoje ofiary, a nawet ingerowały w politykę wybranych Państw.

Kamil Sadkowski z krakowskiego laboratorium antywirusowego firmy ESET zwraca uwagę, że czasy wirusów, których działanie ograniczało się wyłącznie do wyświetlania prostej grafiki lub odtwarzania krótkiej melodii minęły bezpowrotnie. Współczesne wirusy, a raczej hybrydy wirusów, spyware'ów, koni trojańskich i robaków internetowych, nie są już eksperymentami nastolatków. To dzieła tworzone na zamówienie najprawdziwszych przestępców, a czasami nawet rządów konkretnych państw. Coraz częściej zagrożenia powstają w celu realizowania konkretnych zadań. Obecne wirusy komputerowe sprawiają, że z dysków wykradane są tajne dane wojskowe, projekty graficzne oraz patenty rozwiązań.

Oto dwanaście wyjątkowo złośliwych zagrożeń, które w ostatnich latach przysporzyły sporo problemów nie tylko pojedynczym użytkownikom, ale również rządom niektórych państw.

1. ACAD/Medre – wyspecjalizowany szpieg przemysłowy – wykradł ponad 1000 projektów graficznych przygotowanych w programach AutoCADRok identyfikacji: 2012

ACAD/Medre.A spustoszył bazy projektowe peruwiańskich przedsiębiorstw, wykradając z nich projekty AutoCAD i wysyłając je później do 43 wskazanych skrzynek mailowych, które ulokowano na serwerach w Chinach. W wyniku działania ACAD/Medre architekci i projektanci z Peru mogli ponieść znaczące straty finansowe - cyberprzestępca, który uzyskał dostęp np. do projektu graficznego konkretnego patentu, mógł go zarejestrować przed prawowitym twórcą. Na działanie zagrożenia podatne są programy AutoCAD w wersjach od 14.0 do 19.2 (od AutoCAD 2000 do AutoCAD 2015).

2. PokerAgent – internetowy złodziej tożsamości – wykradł ponad 16 tys. danych dostępowych do Facebooka w IzraeluRok identyfikacji: 2012

Stworzony w celu zdobycia informacji o izraelskich użytkownikach Facebooka, korzystających z popularnej aplikacji Texas Holdem Poker. Zagrożenie stworzyło botnet obejmujący 800 maszyn i skradło dane dostępowe 16.194 użytkowników Facebooka. PokerAgent potrafił kojarzyć przejmowane konta FB z wynikami danego użytkownika w Zynga Texas Holdem Poker oraz ilością posiadanych przez niego kart kredytowych przypisanych do konta. Zagrożenie zablokowano dzięki współpracy ekspertów z firmy ESET z izraelskimi władzami. Prawdopodobnie twórca zagrożenia planował ograbić wirtualnych pokerzystów z ich pieniędzy.

3. Win32/Georbot – wirtualny szpieg – przeszukiwał dyski gruzińskich komputerów, szukając dokumentów nt. FBI, CIA, KGBRok identyfikacji: 2011

Koń trojański, który atakował na terenie Gruzji. Po zainfekowaniu komputera wykorzystywał całe spektrum technik szpiegowskich: nagrywał filmy za pomocą kamer zainstalowanych w zarażonych komputerach, rejestrował dźwięk za pomocą wbudowanych mikrofonów i wykonywał zrzuty ekranu. By uniknąć wykrycia przez skanery programów antywirusowych trojan samodzielnie aktualizował się do nowszych wersji. Według laboratorium firmy ESET Georbot skanował dyski zainfekowanych komputerów w poszukiwaniu dokumentów zawierających słowa (pisane w języku angielskim) minister, agent, tajny, USA, Rosja, FBI, CIA, broń, FSB czy KGB.

4. German Bundestrojaner – cyberszpieg niemieckiego rządu – nasłuchiwał i rejestrował rozmowy prowadzone za pośrednictwem komunikatorów internetowychRok identyfikacji: 2011

Dwa lata temu członkowie europejskiego stowarzyszenia Chaos Computer Club ujawnili możliwości konia trojańskiego, stworzonego przez niemiecką policję. Zagrożeniu nadano nazwę „Bundestrojaner” – trojana federalnego, którego ESET identyfikuje jako Win32/R2D2.A. Z jego pomocą niemiecka policja zyskała możliwość przechwytywania komunikacji realizowanej za pomocą Skype, MSN Messenger, Yahoo Messenger oraz X-Lite. Trojan działał również jako keylogger, mógł też wykonywać zrzuty ekranu z zainfekowanej maszyny i nagrywać dźwięk za pomocą wbudowanego w maszynę mikrofonu. Zebrane informacje trafiały automatycznie do zdalnego komputera.

5. Stuxnet – cybersabotażysta – robak internetowy, wykorzystany do szpiegowania i ingerencji w instalacje irańskich elektrowni atomowychRok identyfikacji: 2011/2012

Zadaniem Stuxneta było sabotowanie irańskiego programu nuklearnego. Robak okazał się niezwykle skuteczny - według New York Timesa Stuxnet czasowo unieruchomił niemal 1000 z 5000 irańskich wirówek do oczyszczania uranu. Ostatecznie zagrożenie zostało wyeliminowane, a Iran wznowił pracę wspomnianych urządzeń.

6. BlackHole – niezbędnik cyberprzestępcy – popularny zestaw exploitówRok identyfikacji: 2010

Gdyby cyberprzestępcy mieli swoją listę przebojów, to rosyjski Blackhole byłby zapewne w pierwszej piątce. Blackhole to zestaw exploitów, czyli zestaw narzędzi, które identyfikują i wykorzystują luki w różnego typu programach, do infekowania danej maszyny kolejnymi formami złośliwego oprogramowania. Twórcy Blackhole dają możliwość wypożyczenia zestawu exploitów w zamian za wniesienie stosownej opłaty o wartości kilku tysięcy dolarów. Razem z Blackholem kupujący otrzymuje indywidualne wsparcie techniczne.

7. Win32/Induc – wirus w legalnym programie – zagrożenie rozprzestrzeniające się w aplikacjach przygotowanych w języku DelphiRok identyfikacji: 2009

Induc najpierw infekuje komputer programisty, który tworzy aplikacje w środowisku Delphii, a następnie przenika do każdego programu skompilowanego na danej maszynie. Jeśli zarażona aplikacja trafi do innego programisty Delphi, Induc zarazi również jego środowisko programistyczne. Sytuacja, w której to programista staje się źródłem infekcji jest groźna, ponieważ podważa wiarygodność twórców i firm tworzących oprogramowanie. Induc nie stwarza bezpośredniego zagrożenia dla systemów użytkowników końcowych, chociaż mogą mieć oni trudności z uruchamianiem programów, które antywirus rozpozna jako zarażone.

8. OSX/Adware.MacDefender – wirus jako antywirus – fałszywa aplikacja antywirusowa dla OS XRok identyfikacji: 2011

Zagrożenie to przedstawiało się posiadaczom komputerów firmy Apple jako MacProtector, MacDetector, MacSecurity, Apple Security Center, MacGuard czy MacShield - był to prawdopodobnie najpowszechniejszy fikcyjny antywirus atakujący system OS X. Infekcja rozprzestrzeniała się poprzez linki, podsuwane przez wyszukiwarkę internetową podczas wyszukiwania plików graficznych. Kliknięcie odnośnika powodowało wyświetlenie informacji o wykryciu w systemie koni trojańskich, które można usunąć za pomocą wskazanego rozwiązania antywirusowego. Instalacja wskazanego programu kończyła się wyświetleniem kolejnego komunikatu. Tym razem aplikacja informowała, że pobrany program jest niezarejestrowaną kopią i żeby z niej korzystać należy wnieść stosowną opłatę.

9. OSX/Flashback – najpoważniejsze zagrożenie wymierzone w system OS X – zainfekowało ponad pół miliona komputerów firmy AppleRok identyfikacji: 2011

Przeglądarka internetowa komputera zainfekowanego OSX/Flashback podmienia reklamy i odnośniki, tak aby ich kliknięcie kończyło się pobraniem i instalacją kolejnego złośliwego oprogramowania. OSX/Flashback zbiera informacje o zarażonym komputerze, jego systemie i ustawieniach, a następnie przesyła te dane do zdalnej maszyny. Zagrożenie utworzyło największy w historii botnet złożony z komputerów firmy Apple, obejmujący 600.000 zarażonych maszyn. Późniejszy wariant zagrożenia zawierał exploit CVE -2012-0507 w Javie, wykorzystywany również przez exploit BlackHole.

10. Android/Boxer – smartfonowy wyłudzacz – koń trojański atakujący posiadaczy smartfonów z AndroidemRok identyfikacji: 2012

Infekcję tym koniem trojańskim zwykle inicjuje sam użytkownik, pobierając z sieci nielegalną kopię płatnej i popularnej gry. Zbyt szybka akceptacja warunków, na jakich dana aplikacja jest udostępniana naraża użytkownika na nieoczekiwane koszty. W efekcie użytkownik otrzymuje wiadomości SMS, za które naliczana jest podwyższona opłata, obciążająca rachunek abonenta. Android/Boxer atakował użytkowników w 63 krajach świata - w tym w Polsce.

11. ZeuS, SpyEye (ZitMo, SpytMo) – bankowi cyberrabusie – konie trojańskie sprzedawane jako gotowe pakiety złośliwych programówRok identyfikacji: 2007 (Zeus), 2009 (SpyEye)

ZeuS i SpyEye to zagrożenia, które koncentrują swoją uwagę na wszelkiego typu transakcjach finansowych, głównie na tych realizowanych za pośrednictwem bankowości elektronicznej - stąd pojęcie “bankowych” trojanów. Zeus pojawił się w 2007, a trzy lata później pojawiła się jego wersja dla urządzeń mobilnych. Do 2011 powstały cztery mobilne wersje tego zagrożenia na platformy Windows Mobile, Symbian, Blackberry oraz Android.

12. TDL4 (Olmarik, Rovnix, Olmasco) – wyjątkowo groźny – złośliwy i bardzo przebiegły rootkitRok identyfikacji: 2010TDL4 to obecnie najprawdopodobniej jeden z najbardziej zaawansowanych technicznie rootkitów. Jego twórcy wyposażyli zagrożenie w narzędzie umożliwiające skuteczne maskowanie i oszukiwanie mechanizmów bezpieczeństwa, wbudowanych w systemy operacyjne. Zagrożenie TDL4 zaczęło rozprzestrzeniać się w sierpniu 2010. Od tego czasu zidentyfikowano już kilka wersji rootkita. Zagrożenie może infekować również maszyny z 64-bitowymi wersjami systemów Windows 7 oraz Vista.