Artykuł przedstawia najbardziej rozpowszechnione typy ataków na komunikatory internetowe na przykładzie ICQ - popularnego w wielu państwach klienta Instant Messenger (IM). Komunikator ten jest wykorzystywany do rozsyłania szkodliwych programów różnego typu.

Należą do nich robaki IM, które rozprzestrzeniają się zwykle z niewielką pomocą użytkownika lub całkowicie samodzielnie - najbardziej znane spośród nich to Email-Worm.Win32.Warezov oraz Email-Worm.Win32.Zhelatin (inaczej Storm Worm). Popularne są też trojany kradnące hasła, łącznie z trojanami kradnącymi numery ICQ (w ogromnej większości przypadków jest to Trojan-PSW.Win32.LdPinch) oraz aplikacjami stworzonymi w celu wyłudzenia pieniędzy od użytkowników (np. Hoax.Win32.*.*).

Ilość otrzymywanego spamu, jak się okazuje, zależy od numeru ICQ. Posiadacze "atrakcyjnych" sześciocyfrowych numerów UIN dostają średnio od 15 do 20 niechcianych wiadomości w ciągu jednej godziny. Natomiast osoby, którym w udziale przypadły niczym niewyróżniające się numery dziewięciocyfrowe, otrzymują przeciętnie od 10 do 14 takich wiadomości dziennie.

Tematy wiadomości spamowych ICQ są dość zróżnicowane i mogą zawierać reklamy nowych stron internetowych lub serwerów gier, prośby o głosowanie na określonego uczestnika konkursu, oferty zakupu drogich telefonów komórkowych po obniżonych cenach lub adresy URL prowadzące do wspomnianych wyżej szkodliwych programów.

Skype nie umknął uwadze twórców wirusów

Spośród szkodników rozprzestrzeniających się za pomocą innych komunikatorów Kaspersky Lab wymienia robaka Worm.Win32.Skipi, który rozsyła link do swojego pliku wykonywalnego do wszystkich kontaktów Skype`a na zaatakowanej maszynie. Aplikacja rozprzestrzenia się także poprzez kopiowanie się na nośniki przenośne wraz z plikiem o nazwie autorun.inf.

Nie sposób w tym zestawieniu pominąć konia trojańskiego, sklasyfikowanego przez Kaspersky Lab jako Trojan-PSW.Win32.Skyper. Został on stworzony w celu kradzieży haseł do kont Skype`a.

MSN Messenger pomaga w tworzeniu sieci zombie

Twórcy szkodliwego oprogramowania nie mogli przeoczyć faktu, że MSN Messenger wchodzi w skład pakietu instalacyjnego Windows, co z kolei oznacza, że większość użytkowników tego systemu będzie go miało na swoich maszynach. Stąd pomysł wykorzystania komunikatora Microsoftu do rozprzestrzeniania botów IRC.

Jeżeli cyberprzestępca posiada niewielki botnet, który che rozszerzyć, wysyła polecenie do backdoorów na zainfekowanych komputerach. Polecenie to "instruuje" maszyny, aby przesłały wiadomość z linkiem, takim jak http://www.***.com/www.funnypics.com, do wszystkich kontaktów komunikatora MSN Messenger. Później wszystko zależy od osoby, która otrzyma taką wiadomość. Jeżeli zdecyduje się obejrzeć "śmieszne zdjęcia", kolejny pecet zostanie dodany do sieci zombie - poprzez kliknięcie odsyłacza użytkownik pobiera backdoora na swoją maszynę.

Odpieranie ataków

Kaspersky Lab zaleca szczególną ostrożność przy klikaniu odsyłaczy zawartych w otrzymywanych wiadomościach. Ignorować należy:

1. Wiadomości otrzymywane od nieznanych użytkowników z dziwnymi nickami (np. SbawpathzsoipbuO).
2. Wiadomości od użytkowników z naszej listy kontaktów, którzy proszą o obejrzenie zdjęć zawartych w pliku o rozszerzeniu .exe.
3. Wiadomości zawierające rzekomo sensacje na temat romansu między dwiema sławnymi osobami wraz ze "sprawozdaniem z miejsca". Istnieje duże prawdopodobieństwo, że zamieszczony w wiadomości odsyłacz typu http://www.******.com/movie.avi.exe będzie prowadził do trojana.
4. Wiadomości sugerujące użytkownikowi pobranie programu, który zapewni mu nowe możliwości, np. "NOWY BŁĄD w ICQ umożliwiający stworzenie dowolnego numeru, który nie istnieje".

Liczbę zagrożeń można zminimalować, przestrzegając podstawowych zasad "higieny komputerowej". Na komputerze należy zainstalować program antywirusowy z aktualną bazą danych oraz zaporą sieciową, która blokuje nieautoryzowane połączenia sieciowe. Najkorzystniejszym wyborem będzie antywirus zawierający mechanizm analizy heurystycznej i ochronę proaktywną, która wykrywa szkodliwe programy na podstawie ich zachowania. Przyda się też dobrze skonfigurowany bot antyspamowy w połączeniu z niewielką dawką zdrowego rozsądku.

Pełna wersja artykułu "Zagrożenia związane z komunikatorami internetowymi" znajduje się w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab.