MessageLabs Intelligence Report, výsledky dubnové zprávy Symantec

Symantec oznamuje výsledky dubnové zprávy MessageLabs Intelligence Report. Analýza odhaluje, že robotická síť Rustock předstihla robotickou síť Cutwail coby největší robotickou síť jak podle objemu odeslané nevyžádané pošty, tak podle množství aktivních botů, které ovládá.

V robotické síti Rustock sice došlo k omezení výstupu jednotlivých botů o 65 %, ale počet aktivních botů v síti se zvýšil o 300 %, čímž se vyrovnává snížení výstupu. Zároveň se velikost sítě Cutwail zmenšila z 2 mil. botů v květnu 2009 na 600 000 botů a nyní odpovídá za pouhá 4 % veškeré nevyžádané pošty. Robotická síť Rustock zůstává největší robotickou sítí, která rozesílá nevyžádanou poštu, a je odpovědná za 32,8 % veškeré nevyžádané pošty.

"Robotickou síť Cutwail zasáhlo ukončení činnosti poskytovatele služeb Internetu Real Host v srpnu 2009. Síť pravděpodobně ztratila schopnost aktualizovat některé své boty a to způsobilo značné snížení jejich počtu bez možnosti náhrady," řekl Paul Wood, MessageLabs Intelligence Senior Analyst. "Robotická síť Rustock pak díky nižší ceně v důsledku vyšší kapacity a nižších provozních nákladů převzala podstatné objemy od tvůrců nevyžádané pošty."

Druhou a třetí největší robotickou sítí za sítí Rustock jsou Grum a Mega-D, které odpovídají za 23,9 %, respektive 17,7 % nevyžádané pošty. Robotická síť Mega-D přežila několik pokusů o ukončení činnosti poskytovatelů služeb Internetu a má proto méně botů než Rustock a Grum, ale je to nejpracovitější robotická síť, která dokáže přimět každého ze svých 240000 aktivních botů k odeslání přibližně 430 nevyžádaných zpráv za minutu. Robotická síť Grum se v posledních pěti měsících vyhnula výkyvům a každý bot odesílal mezi 145 a 150 nevyžádanými e-maily za minutu. Síť ale nedávno zvýšila počet ovládaných botů ze 700000 na 1 milion, takže se z ní stala druhá největší robotická síť.

Tým MessageLabs Intelligence v dubnu také analyzoval signatury provozu nevyžádané pošty metodou zvanou passive fingerprinting (PF), aby zjistil typy operačních systémů spuštěné v infikovaných počítačích odesílajících nevyžádanou poštu. V mnoha infikovaných počítačích byl spuštěný systém Windows a podíl nevyžádané pošty podle signatury PF byl podobný jako podíl systému Windows na trhu operačních systémů.

"Nevyžádaná pošta je častěji odesílána z počítačů se systémem Windows než z počítačů s jiným operačním systémem," řekl Woods. "Ale nevyžádaná pošta, která nebyla identifikovaná jako pocházející z robotických sítí, pocházela v menším poměru z počítačů se systémem Windows, než v případě nevyžádané pošty pocházející ze známých robotických sítí."

Index nevyžádané pošty, což je pravděpodobnost, že určitý počítač odesílá nevyžádanou poštu, lze vypočítat porovnáním podílu nevyžádané pošty z daného operačního systému s jeho podílem na trhu. Index ukazuje, že kterýkoli počítač se systémem Linux, relativně vzhledem k jeho podílu na trhu, odesílá nevyžádanou poštu s pětkrát vyšší pravděpodobností než kterýkoli počítač se systémem Windows. Počítače se systémem Linux jsou však odpovědné pouze za 5,1 % veškeré nevyžádané pošty. Protože má operační systém Linux nižší podíl na trhu, existuje v reálném světě méně příkladů škodlivého kódu, který se zaměřuje specificky na tento systém. Může však být pravdou, že počítače s operačním systémem Linux jsou stejně zranitelné, možná prostřednictvím útoků zaměřených na zranitelná místa v modulech plug-in prohlížečů.

U operačního systému MacOS je nejmenší pravděpodobnost, že bude odesílat nevyžádanou poštu jak podle jeho globálního podílu na nevyžádané poště, tak podle pravděpodobnosti u jednotlivých počítačů. Index nevyžádané pošty svědčí o tom, že z počítačů se systémem MacOS není odesílaná téměř žádná nevyžádaná pošta. Z počítačů se systémem MacOS pocházela 0,001 % zkoumané nevyžádané pošty.

4. května uplynulo deset let od okamžiku, kdy tým Symantec Hosted Services, tehdy MessageLabs, zablokoval a pojmenoval virus LoveBug. Jednalo se o virulentního červa hromadné pošty, který byl pohromou pro odhadem 45 milionů uživatelů e-mailu a způsobil škody ve výši miliard dolarů za jediný den. Tým Symantec Hosted Services, který virus jako první zachytil a pojmenoval, zachytil v průběhu dne 13 000 kopií viru, což tehdy bylo obrovské množství. V současné době je běžné, že tým MessageLabs Intelligence zablokuje každý den 1,5 mil. kopií e-mailů, které označí jako nebezpečné. Viry hromadné pošty jako LoveBug jsou sice v současné době vzácné, ale počítačoví zloději dále rozvíjeli své techniky do dnešní podoby nebezpečnějších vysoce cílených útoků. A změnila se také jejich motivace. Touhu po velkých činech a obdivu nahrazuje finanční zisk a krádež identity.

Antivirový detekční modul Skeptic společnosti MessageLabs, založený na cloudu a vybavený schopnosti prediktivní analýzy, se poučil z kódu viru a když se v následujících dnech a měsících po 4.5. 2000 objevily napodobeniny tohoto viru, byl schopen podrobně prozkoumat každý nový škodlivý kód a umístit do karantény cokoli podezřelého.

"Virus LoveBug šel ve stopách viru Melissa, což byl podobně destruktivní červ z předchozího roku,! řekl Wood. "Uživatelé v té době si tolik neuvědomovali nebezpečí, která se sebou nesou podezřelé přílohy e-mailů a e-maily od neznámých odesílatelů. Široká veřejnost také věděla méně o problémech, jako jsou nevyžádaná pošta a útoky DoS."