Kaitīgās programmas Latvijā
Pēdējo trīs mēnešu laikā (aprīlis,
marts, maijs) apkopotie dati, kas iegūti no inficētiem datoriem
Latvijā, parāda izteiktu tādu kaitīgo programmu
dominēšanu, kuras nespēj izplatīties pašas un
kurām ir izteikts komerciāls raksturs
Pēdējo trīs mēnešu
laikā (marts, aprīlis, maijs) apkopotie dati, kas iegūti no
inficētiem datoriem Latvijā, parāda, ka pārsvarā
dominē tādas kaitīgās programmas, kuras nespēj
izplatīties pašas un kurām ir spēcīgs komerciāls
raksturs.
Vairāk nekā puse
Trojas zirgi
Kā redzams no statistikas datiem, lielāka
daļa reģistrēto aktīvo kaitīgo programmu pieder
tā saucamajai spiegošanas programmatūras (spyware)
klasei, kurā ietilpst vairums reklāmas programmatūras (adware),
Trojas zirgu un lūku (backdoor).
Reklāmas programmatūras
gadījumā dati par lietotāja uzvedību internetā tiek
izmantoti, lai demonstrētu attiecīgi mērķētu
reklāmu. Tā ir mazāk bīstamā kaitīgās
programmatūras daļa, jo tādas programmas kā Trojas zirgi
vai to paveids lūkas - šobrīd arvien biežāk tiek
radītas ar krimināliem nolūkiem. Starp tiem ir gan
tiešsaistes banku kontu pieejas informācijas zādzības, gan
inficēto datoru izmantošana uzbrukumos ar izspiešanas
nolūkiem u.c.
Apskatot, ar ko ikdienā papildinās
antivīrusu datubāzes, var novērot lielā mērā
līdzīgu ainu tai, kāda redzama inficēto datoru
statistikā. Tā, piemēram, 17. maijā Kaspersky Anti-Virus
datubāzei tika pievienotas 123 jaunas kaitīgās programmas un to
modifikācijas, no kurām 77 ir Trojas zirgi, 24 lūkas un 22 pārējo
klašu pārstāvji. Atšķirība ir tikai reklāmas
programmatūrā. Tās visuresamība šobrīd ir
izskaidrojama ne tik daudz ar tās daudzumu, kā ar to, ka pat tagad
liela daļa antivīrusu risinājumu nenodrošina
aizsardzību pret tām.
Ātras un neredzamas
Tiekšanās pēc materiāla labuma
gūšanas diezgan kardināli ir mainījusi kaitīgo
programmu uzbrukumu raksturu. Ļaundari cenšas apiet aizsardzības
līdzekļus ar ātriem, kibertelpā un laikā
lokalizētiem uzbrukumiem, kaitīgā koda versiju
daudzveidību, kā arī mēģinājumiem nenodot
kaitīgā koda klātbūtni datorā. No tā
tiešā veidā izriet to pašneizplatošos kaitīgo
programmu dominante, kuras tiek iemānītas lietotājam ar
dažādām metodēm.
Neizplatoties no inficētā datora
tālāk, kaitīgās programmas spēj ilgāk palikt neatklātas,
turklāt ļaundari arvien vairāk cenšas izmantot
īpašas tehnoloģijas, kas padara kaitīgās programmas
neredzamas daudziem aizsardzības līdzekļiem. Uzbrukuma
ātrums pārsvarā tiek panākts ar surogātpasta
metodēm, kas komplektā ar lielu kaitīgā koda modifikāciju
daudzveidību ļaundariem ļauj sacensties ātrumā pat ar
visātrāk reaģējošām antivīrusu
kompānijām, nemaz nerunājot par antivīrusu
laboratorijām ar viduvējiem vai zemiem rādītājiem
(skat. Outbreak Response Times at VB 2004 Conference interneta vietnē
AV-Test.org).
Globālas epidēmijas
aizstāj labi sagatavoti uzbrukumi
Viens no spilgtākajiem uzbrukumiem bija
šā gada martā Trojan-Downloader.Win32.Small.aon
masveida pasta sūtījumi. Katras piecpadsmit minūtes tika
izsūtīta šīs kaitīgās programmas jauna
modifikācija, kopumā tika konstatētas 29 modifikācijas. Pat
slavenu e-pasta tārpu jaunas versijas tiek modificētas, izoperējot
tām pašizplatīšanās daļu, lai izsūtītu
tās ar surogātpasta metodēm. Tā aprīlī cita
pēc citas tika izplatītas šādas e-pasta tārpa Bagle
versijas, bet maija otrajā pusē parādījās
līdzīga tārpa Sober versija.
Situāciju papildus sarežģī uzbrukumu
lokalizācija, kas visbiežāk izpaužas kā speciālu
kaitīgo programmu sagatavošana konkrētiem uzbrukumiem,
piemēram, konkrētas bankas klientiem. Globālu epidēmiju
vietā antivīrusu kompānijām tagad jāspēj
cīnīties ar milzīgu skaitu dažāda izmēra labi
sagatavotu uzbrukumu.
Šādos apstākļos
klasiskajām antivīrusu cīņas metodēm ar signatūru
palīdzību kļūst aizvien grūtāk laikus
nodrošināt aizsardzību, tāpēc aizvien lielāku
nozīmi iegūst proaktīvās aizsardzības metodes.
Tuvākajā laikā gaidāms, ka arvien vairāk paralēli
klasiskajām metodēm, kuru nozīme nebūt nemazinās, tiks
lietota uzvedības bloķēšana un statistiskās metodes
aizdomīgu procesu identifikācijai gan personālo datoru, gan
veselu datortīklu līmenī.
Valdis ŠĶESTERS
* Apskatā izmantoti SIA Datoru drošības tehnoloģijas
apkopotie dati, kas raksturo datorvīrusu un citu kaitīgo programmu
izplatības vispārējo situāciju Latvijā. Dati
statistikas veidošanai tiek saņemti no vairākām
firmām, kas nodarbojas ar inficētu datoru ārstēšanu
Latvijā. Kaitīgo programmu sadalījums bāzējas uz Kaspersky
Anti-Virus datubāzē pieņemto klasifikāciju.
Pēdējo trīs mēnešu laikā (marts, aprīlis, maijs) apkopotie dati, kas iegūti no inficētiem datoriem Latvijā, parāda, ka pārsvarā dominē tādas kaitīgās programmas, kuras nespēj izplatīties pašas un kurām ir spēcīgs komerciāls raksturs.
Vairāk nekā puse Trojas zirgi
Kā redzams no statistikas datiem, lielāka daļa reģistrēto aktīvo kaitīgo programmu pieder tā saucamajai spiegošanas programmatūras (spyware) klasei, kurā ietilpst vairums reklāmas programmatūras (adware), Trojas zirgu un lūku (backdoor).
Reklāmas programmatūras gadījumā dati par lietotāja uzvedību internetā tiek izmantoti, lai demonstrētu attiecīgi mērķētu reklāmu. Tā ir mazāk bīstamā kaitīgās programmatūras daļa, jo tādas programmas kā Trojas zirgi vai to paveids lūkas - šobrīd arvien biežāk tiek radītas ar krimināliem nolūkiem. Starp tiem ir gan tiešsaistes banku kontu pieejas informācijas zādzības, gan inficēto datoru izmantošana uzbrukumos ar izspiešanas nolūkiem u.c.
Apskatot, ar ko ikdienā papildinās antivīrusu datubāzes, var novērot lielā mērā līdzīgu ainu tai, kāda redzama inficēto datoru statistikā. Tā, piemēram, 17. maijā Kaspersky Anti-Virus datubāzei tika pievienotas 123 jaunas kaitīgās programmas un to modifikācijas, no kurām 77 ir Trojas zirgi, 24 lūkas un 22 pārējo klašu pārstāvji. Atšķirība ir tikai reklāmas programmatūrā. Tās visuresamība šobrīd ir izskaidrojama ne tik daudz ar tās daudzumu, kā ar to, ka pat tagad liela daļa antivīrusu risinājumu nenodrošina aizsardzību pret tām.
Ātras un neredzamas
Tiekšanās pēc materiāla labuma gūšanas diezgan kardināli ir mainījusi kaitīgo programmu uzbrukumu raksturu. Ļaundari cenšas apiet aizsardzības līdzekļus ar ātriem, kibertelpā un laikā lokalizētiem uzbrukumiem, kaitīgā koda versiju daudzveidību, kā arī mēģinājumiem nenodot kaitīgā koda klātbūtni datorā. No tā tiešā veidā izriet to pašneizplatošos kaitīgo programmu dominante, kuras tiek iemānītas lietotājam ar dažādām metodēm.
Neizplatoties no inficētā datora tālāk, kaitīgās programmas spēj ilgāk palikt neatklātas, turklāt ļaundari arvien vairāk cenšas izmantot īpašas tehnoloģijas, kas padara kaitīgās programmas neredzamas daudziem aizsardzības līdzekļiem. Uzbrukuma ātrums pārsvarā tiek panākts ar surogātpasta metodēm, kas komplektā ar lielu kaitīgā koda modifikāciju daudzveidību ļaundariem ļauj sacensties ātrumā pat ar visātrāk reaģējošām antivīrusu kompānijām, nemaz nerunājot par antivīrusu laboratorijām ar viduvējiem vai zemiem rādītājiem (skat. Outbreak Response Times at VB 2004 Conference interneta vietnē AV-Test.org).
Globālas epidēmijas aizstāj labi sagatavoti uzbrukumi
Viens no spilgtākajiem uzbrukumiem bija šā gada martā Trojan-Downloader.Win32.Small.aon masveida pasta sūtījumi. Katras piecpadsmit minūtes tika izsūtīta šīs kaitīgās programmas jauna modifikācija, kopumā tika konstatētas 29 modifikācijas. Pat slavenu e-pasta tārpu jaunas versijas tiek modificētas, izoperējot tām pašizplatīšanās daļu, lai izsūtītu tās ar surogātpasta metodēm. Tā aprīlī cita pēc citas tika izplatītas šādas e-pasta tārpa Bagle versijas, bet maija otrajā pusē parādījās līdzīga tārpa Sober versija.
Situāciju papildus sarežģī uzbrukumu lokalizācija, kas visbiežāk izpaužas kā speciālu kaitīgo programmu sagatavošana konkrētiem uzbrukumiem, piemēram, konkrētas bankas klientiem. Globālu epidēmiju vietā antivīrusu kompānijām tagad jāspēj cīnīties ar milzīgu skaitu dažāda izmēra labi sagatavotu uzbrukumu.
Šādos apstākļos klasiskajām antivīrusu cīņas metodēm ar signatūru palīdzību kļūst aizvien grūtāk laikus nodrošināt aizsardzību, tāpēc aizvien lielāku nozīmi iegūst proaktīvās aizsardzības metodes. Tuvākajā laikā gaidāms, ka arvien vairāk paralēli klasiskajām metodēm, kuru nozīme nebūt nemazinās, tiks lietota uzvedības bloķēšana un statistiskās metodes aizdomīgu procesu identifikācijai gan personālo datoru, gan veselu datortīklu līmenī.
Valdis ŠĶESTERS
* Apskatā izmantoti SIA Datoru drošības tehnoloģijas apkopotie dati, kas raksturo datorvīrusu un citu kaitīgo programmu izplatības vispārējo situāciju Latvijā. Dati statistikas veidošanai tiek saņemti no vairākām firmām, kas nodarbojas ar inficētu datoru ārstēšanu Latvijā. Kaitīgo programmu sadalījums bāzējas uz Kaspersky Anti-Virus datubāzē pieņemto klasifikāciju.