Современные вредоносные программы используют для своего распространения, как минимум, два основных средства: электронную почту и специально сформированные интернет-страницы. Кстати, обнаруженный на днях вирус совмещает в себе два этих потенциальных способа проникновения на компьютер жертвы, что несколько увеличивает его шансы на славное будущее. Кроме всего прочего, сегодняшние вирусы активно используют пиринговые сети. Не за горами и "крестовый поход" на мобильные платформы. Так что мест, в которые не могут проникнуть вирусы, становится с каждой неделей все меньше и меньше. Бреши в программном обеспечении еще больше подливают масло в огонь, пламя которого способно "обжечь" совершенно разнообразную публику, начиная от пользователей персонального компьютера и заканчивая владельцами беспроводных устройств.
Так, обнаруженный на прошлой неделе червь эксплуатирует уязвимость в браузере Internet Explorer, о которой всего за четыре дня до этого объявили двое хакеров. Сотрудники Microsoft уже поспешили объявить новый вирус очередным вариантом MyDoom. Тем не менее, далеко не все антивирусные эксперты признают подобную точку зрения, так как вирус использует для своего распространения не электронную почту, а, скорее, зараженные интернет-страницы. Дело в том, что пользователь получает на электронную почту сообщение, в котором либо говорится о пополнении счета в системе PayPal, либо содержится приглашение полюбоваться на изображение с web-камеры. Перейдя по ссылке, пользователь попадает на сформированную особым образом страницу. Далее вредоносный код попадает на компьютер, и вирус активизируется. Что интересно, в компании Microsoft утверждают, что пользователи, установившие Service Pack 2 для Windows XP, рискуют намного меньше, нежели все остальные. Вот только на чем основаны такие соображения, сотрудники корпорации решили не сообщать.
Если вопрос о причислении вышеупомянутой вредоносной программы к семейству Mydoom пока остается открытым, то с номенклатурой следующего вируса никаких проблем нет. Червь Mydoom.r распространяется посредством электронной почты в виде прикрепленных к письмам файлов с различными именами, а также через пиринговую сеть KaZaA, в которой он маскируется под полезные утилиты. После активации вирус запускает привычный для всех "Блокнот", отображая при этом в окне текстового редактора произвольный набор символов. В дальнейшем Mydoom.r копирует себя в директорию операционной системы под именем "Tasker.exe", регистрируется в ключе автозапуска реестра и открывает на зараженной машине TCP-порт для приема дальнейших команд от своего создателя.
Следующий вирус получил название Josam. Распространяется он по электронной почте, используя для этого встроенный SMTP-сервер. Сами сообщения при этом маскируются под письма службы поддержки Symantec. В частности, в качестве адреса отправителя указывается symantec@security.com, а в теме посланий проставляется строка Symantec Responde. После запуска червь копирует себя в директорию Windows под именем Master.exe и регистрирует данный файл в ключе автоматического запуска реестра. В целом, вирус вполне традиционен, поэтому широкого распространения так и не получил.
Более оригинален троян Moo. Вредоносная программа проникает на компьютер через одну из дыр в защите браузера Internet Explorer при просмотре пользователем специальных "зараженных" страниц в формате HTML. После активации вредоносная программа пытается загрузить из интернета и запустить ряд файлов с расширением .exe. Кстати, распознать трояна проще простого: очевидным доказательством его присутствия на компьютере является наличие на рабочем столе файла с именем m00.exe.
* * *
Несмотря на то, что вредоносные программы для мобильных телефонов, можно сказать, только делают "первые шаги", эта тема вызывает немалый интерес. Антивирусные эксперты опасаются появления серьезного вируса в ближайшие месяцы. Пока же остается обсуждать "первопроходца" Timofonica, концептуальный вирус Cabir, способности Java-платформ, а также недавно появившуюся троянскую программу Troj/Delf-HA, которая, правда, пока распространяется только среди абонентов российских сотовых сетей.
Вирус Troj/Delf-HA проникает на незащищенные персональные компьютеры и загружает в их операционную систему инструкции по рассылке SMS-сообщений, используя опцию "Send a text message". При этом используется бесплатный сервис по отправке текстовых сообщений на сайтах российских операторов мобильной связи.
В отличие от вируса Cabir, троян Delf-HA сам не заражает сотовые телефоны, а только проникает в компьютер и уже оттуда рассылает свои сообщения. И хотя адресатами трояна являются пока только российские пользователи мобильных телефонов, эксперты антивирусной компании Sophos предупреждают, что та же методика может быть предпринята и спамерами других стран мира.
Аналитик компании Sophos заявил: "Мобильный спам может серьезно увеличить расходы абонентов сотовых сетей. Тем более, что теперь SMS-спамеры для своих целей используют незащищенные персональные компьютеры". Между прочим, в августе этого года Федеральная комиссия США по торговле приняла закон об ограничении рассылки сообщений пользователям мобильных телефонов без их предварительного согласия. Впрочем, в законе не упоминается механизм рассылки, подобный тому, который использует Troj/Delf-HA. Так что идея российских авторов троянской программы вполне может быть позаимствована американскими единомышленниками.
Андрей АСФУРА
Комментарии
Вот эта программа защищает от всех виросов и троянов маленькая да удаленькая не один антивирь её не заменит...