Охота на Windows

Количество вредоносных программ, появившихся на прошлой неделе, превышает все разумные пределы. Мало того, что их много, так к тому же и паразитируют все они на компьютерах под управлением операционных систем Windows. Радует хотя бы то, что количество не всегда означает качество. Сделанные на скорую руку, им мало что светит на компьютерах современных пользователей, которых так сразу и не напугаешь.

К примеру, троян Malam - типичный представитель коммерческих продуктов от создателей вирусов, который и революционностью не блещет, и разнообразием не отличается. Так, Malam попадает на машину с установленной ОС Windows при посещении пользователем определенных сайтов, ссылки на которые распространяются по электронной почте. После проникновения на машину он создает на жестком диске несколько файлов и регистрируется в ключе автозапуска реестра. Далее троян изменяет стартовую страницу браузера Internet Explorer и открывает "черный ход" в систему, через который злоумышленники могут выполнять на зараженном компьютере различные действия. Malam рассчитан, скорее, на неграмотный в компьютерном отношении круг пользователей, поэтому широкого распространения не получил.

Мало того, что интернет и так захламлен всякими порносайтами, так теперь там появились еще и порновирусы. После запуска пользователем компьютера, на который попал червь Pesin, последний создает на жестком диске несколько своих копий и затем регистрируется в ключе автоматического запуска реестра операционной системы Windows. Далее червь пытается записать вредоносный код на дискету под видом файла с именем SEXXX.exe. Наконец, в ряде случаев вредоносная программа способна уничтожать все содержимое директории C:\Program Files. Несмотря на последнее обстоятельство, порновируса бояться не стоит, так как распространяется он довольно слабо.

Чем только не пытаются заманить авторы вирусов незадачливого пользователя. В дело идут не только маскировки и оригинальные предложения, но даже смайлики. Новый вирус Gilp распространяется по электронной почте в виде вложений с именем Setup.exe. Причем в теме сообщений всегда указано слово "Setup", а в текст вставлен смайлик ":)". После активации вредоносная программа записывает на жесткий диск файл rpcsrv.exe и регистрирует его в секции автозапуска WIN.INI. Далее червь осуществляет массовую рассылку собственных копий по найденным на машине жертвы адресам при помощи встроенного SMTP-сервера. Более ничего неприятного вредоносная программа не делает.

Ну и, наконец, самое серьезное. В интернете появился новый вредоносный код, использующий уязвимость, имеющуюся в модуле обработки файлов JPEG ряда продуктов Microsoft. Об этой уязвимости было написано в прошлом номере газеты. Как и ожидалось, первый эксплойт не заставил себя ждать. Правда, программа носила чисто демонстрационный характер и в худшем случае могла привести к зависанию компьютера. Новый же эксплойт более опасен, так как позволяет выполнить в системе какой-либо код. Для этого после его активации запускается командная строка Windows. Таким образом, до запуска произвольного приложения остается приложить минимум усилий.

Еще один обнаруженный эксплойт использует ту же самую дыру, но не просто запускает командную строку, а создает специального пользователя под именем X, обладающего правами администратора. Эта учетная запись впоследствии может использоваться злоумышленником для установления контроля над компьютером.

Напомню, использовать дыру очень просто - достаточно убедить пользователя открыть специальный JPEG-файл в уязвимой программе. Картинку можно разместить на сайте или вложить в электронное письмо. И тот факт, что только за одну неделю появилось целых три программы, использующих эту уязвимость, говорит о том, что авторы вирусов решили активно заняться этой брешью. И хотя пока это только троянские программы, появление нового червя не за горами.

*

В продолжение темы "вирусы для Windows" стоит привести данные компании Symantec. С января по июнь этого года количество вирусов, паразитирующих на компьютерах с операционными системами семейства Windows, выросло на 400%, в сравнении с аналогичным периодом прошлого года. Если год назад сотрудникам Symantec удалось насчитать всего тысячу разнообразных вирусов, "работающих" в этой операционной системе, то за шесть месяцев 2004 года в Сети появилось не менее пяти тысяч новых паразитов.

Такое число объясняется двумя причинами. Первая: спамеры и авторы вирусов нашли взаимовыгодную точку равновесия, и, как результат, это вылилось в появление большого количества червей массовой рассылки. Вторая причина заключается в том, что пользователей продуктов компании Microsoft так же много, как и дыр в защите этих программ; чем, собственно, и норовят воспользоваться создатели вирусов.

*

Европа призывает мир объединиться для борьбы с киберпреступлениями. Как заявили делегаты специального саммита, прошедшего в Страсбурге, для успешной борьбы с преступностью в сети интернет должна существовать масштабная международная коалиция, к которой должно присоединиться максимально возможное количество стран.

Во время встречи участники саммита обсуждали ратификацию Конвенции Совета Европы по киберпреступлениям. До недавнего времени Конвенция была подписана 30 государствами, однако лишь 8 из них согласовали положения Конвенции с национальным законодательством. В частности, Великобритания подписала Конвенцию, но до сих пор ее не утвердила на государственном уровне.

Согласно данным Совета Европы, в 2002 году в мире насчитывалось 600 миллионов интернет-пользователей. Это в два раза больше по сравнению с 1999 годом. Как говорится в докладе Совета Европы, общество должно быть защищено от киберпреступлений, однако пользователи имеют право на использование и создание информации, а также на возможность самовыражения. Участники саммита также отметили, что преступники среди прочего используют интернет для торговли людьми. В целом, ущерб от деятельности киберпреступников в 2003 году составил приблизительно от 150 до 200 миллиардов евро.

Андрей АСФУРА

Версия для печатиВерсия для печати

Номер: 

39 за 2004 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!