4 минуты до взлома

Несколько ничем не выдающихся червей и троянов, появившихся на прошлой неделе, еще одно доказательство стремления авторов вирусов к упрощению своих "творений". Хотя в этом случае можно сказать, что средства оправдывают цели: для того, чтобы нажиться на воровстве конфиденциальной информации, этого вполне достаточно. Ведь, как показывают исследования, многие компьютеры, подключенные к Сети, не только не имеют средств защиты, но и открыты для проникновения извне.

К примеру, червь Myfip после активации создает на жестком диске инфицированного компьютера свою копию, регистрируется в ключе автоматического запуска реестра, а затем пытается проникнуть на плохо защищенные сетевые ресурсы, применяя для идентификации простые пароли вроде "Admin". Кроме того, червь отправляет своему автору найденные в определенных директориях зараженного компьютера файлы с расширениями .doc, .pdf, .dwg, .sch, .max, .dwf, .dwt и .pcb.

Следующий вирус - троян Tarno - после заражения создает на винчестере машины файлы с именами inst.exe и IEHelper.dll, а также вносит изменения в реестр. После этого троян осуществляет непрерывный мониторинг запущенных приложений с целью найти окна, в заголовке которых будут содержаться определенные последовательности символов, к примеру, "bank" или "financial". Если подобное окно обнаружится, Tarno сохранит всю вводимую в нем информацию и отправит ее на один из сайтов, зарегистрированных в доменной зоне .com.

Из того же числа вредоносных программ и троян Zins. После своей активации он создает на жестком диске exe-файл с определенным именем, например, logon.exe или aux.exe, и добавляет ссылку на него в ключ автоматического запуска реестра. Затем троян открывает "черный ход" в систему и пытается похитить конфиденциальную информацию о машине и ее владельце: в частности, его интересуют пароли для доступа к онлайновым платежным системам.

Червь массовой рассылки Attech распространяется посредством электронной почты, популярных пиринговых сетей, в числе которых Grokster, KaZaA, Morpheus и Limewire, а также флоппи-дискет под видом исполняемых файлов с именами "matrix.exe", "rj3_vc1.exe" и "speed.exe". После попадания на компьютер червь пытается завершить работу антивирусных программ и приложений, обеспечивающих безопасность, и осуществляет сканирование доступных накопителей в поисках адресов электронной почты, которые используются для рассылки вредоносной программы.

Наконец, испано-язычный вирус Pawur распространяется по электронной почте в виде вложений с расширением .zip. В поле "Тема" и самом тексте рассылаемых писем содержатся различные фразы на испанском языке. При инсталляции червь копирует себя в системный каталог Windows под именем "Command.pif" и регистрирует этот файл в ключе автоматической загрузки реестра. Напоследок Pawur пытается удалить с доступных накопителей все файлы с расширениями .doc, .mp3, .wav, .rar, .jpg и так далее. Таким образом, если создатели большинства вредоносных программ ставят перед собой цель получить информацию, то авторы Pawur, наоборот, решили специализироваться на ее уничтожении: материальной выгоды из-за этого никакой, зато слава электронного вредителя из Испании червю обеспечена.

* * *

История трояна для смартфонов, о котором шла речь в прошлом номере газеты, вдруг получила продолжение.

Новая версия под названием Skulls.b мало чем напоминает оригинальный вариант и уже не настолько несамостоятельна и способна заразить несоизмеримо большее количество коммуникаторов.

Она не выводит на экран монитора никаких предупреждений при инсталляции и не заменяет иконки системных программ изображениями черепов. Кроме того, троянская программа заражает смартфон сетевым червем Cabir, который, в отличие от Skulls, способен сам инфицировать портативные устройства, находящиеся в зоне действия беспроводной связи Bluetooth. Кстати, Cabir может проникать на устройства производства Nokia, Siemens, Panasonic, Sendo, а также гаджеты других фирм. Таким образом, внедрением одной вредоносной программы в другую создатели Sculls одним выстрелом убили двух зайцев: и проблему совместимости трояна с коммуникаторами различных компаний решили, и от действий пользователя теперь не особо зависят.

Экспертам консорциума Symbian ничего не остается, как признать свои ошибки. Предположив, что программа Sculls является вовсе не трояном, а лишь плохо написанным приложением, они не могли даже и подумать о таком повороте событий. Совершенство "мобильной" ОС ставится под сомнение, а создатели вирусов в который раз доказывают, что полностью безопасных систем не существует. Тем не менее, "защитное" ПО имеется не только у компьютеров: компания F-Secure забила тревогу еще в 2000 году, выпустив свой "мобильный" антивирус по прошествии трех месяцев после появления всемирно-известного Timofonica. Тогда решение антивирусного разработчика казалось нелепым, зато сегодня все видится несколько в ином свете.

* * *

Время, за которое можно превратить компьютер пользователя в "зомби"-машину, уменьшается с каждым месяцем. В ходе эксперимента, проведенного журналистами общенациональной газеты USA Today, выяснилось, что на взлом машины, на которой установлена операционная система Windows XP, но отсутствует антивирусное ПО, уходит всего четыре минуты.

Для проведения опыта использовались компьютеры, работающие под Windows XP SP1 и Windows Small Business Edition. На протяжении двух недель машины были своего рода наживкой для вредоносных программ и хакеров. Как показали испытания, встроенные в систему пассивные средства защиты вроде поставляемого в комплекте с Windows XP межсетевого экрана почти бесполезны.

Первый взлом произошел через четыре минуты после входа компьютера во Всемирную паутину: хакер воспользовался уязвимостью, которую эксплуатирует червь Sasser. В первые пятнадцать минут были зафиксированы еще два взлома, причем один из взломщиков использовал брешь, обнаруженную автором червя Lovesan. Кстати, установка бесплатных антивируса и брандмауэра существенно усложняет задачу хакерам и вредоносным программам. Интересно, что компьютеры, работающие под Mac OS X, Windows XP SP2 или Windows XP с файрволом ZoneAlarm, никто не взломал.

В конце августа аналитики института SANS сообщили о том, что заражение компьютера с несвоевременно обновленной операционной системой и антивирусной базой происходит в течение первых 20 минут. Годом ранее на это уходило 40 минут. Теперь же для этого может хватить всего 4 минуты. Тем не менее, исследование USA Today - это единичный случай, так что среднестатистический показатель в 20 минут все же ближе к реальному положению дел.

Незащищенность компьютеров ведет и к паразитированию на компьютерах пользователей шпионского ПО. 67% машин, по мнению компании IDC, заражены шпионскими программами. Программы-шпионы атакуют миллионы компьютеров с целью кражи конфиденциальной личной информации. Согласно исследованию IDC, в 2003 году на приобретение антишпионского программного обеспечения было потрачено 12 миллионов долларов, а в 2008 году, по прогнозам, эта сумма составит 305 миллионов.

Как выяснилось, в большинстве случаев шпионское ПО проникает на машину жертвы вместе с другими программами. Часто источником SpyWare становятся бесплатные программы, благодаря которым в компьютер попадают шпионские и рекламные модули. В проведенном исследовании участвовало 600 организаций, которые признали шпионские программы четвертой по значимости угрозой после вирусов, спама и хакерских атак. Тем не менее, в последнее время систематизировать сетевые угрозы становится все тяжелее: чаще всего хакеры, спамеры и авторы вирусов действуют совместно, извлекая из своей деятельности максимальную прибыль и принося всему миру убытки, исчисляемые миллиардами долларов.

Андрей АСФУРА

Версия для печатиВерсия для печати

Номер: 

49 за 2004 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Аватар пользователя Игорь Мизяев
Статейка так себе, но за неимением другой информации весьма поучительна.

Да, а вот что касаемо информации о файрволах то ZoneAlarm представлен не как пример, а как реклама. Ведь существуют и другие файрволы достойные внимания.

Хотя возможно это уже совсем другая тема.

Спасибо, с уважением Игорь.

Аватар пользователя Алексей Черкашин
Из достойных внимания фаерволов можно упомянуть очень перспективный проект WIPFW — версия под Windows широко известного в узких кругах :-) IPFW for FreeBSD.

http://wipfw.sourceforge.net/