Эпидемия сетевых червей готова захлестнуть Всемирную паутину. Ее виновники - две новые модификации семейства Bagle - ни много ни мало, замахнулись на первые строчки вирусного рейтинга. Только по предварительным оценкам, масштабы вредоносной рассылки оцениваются в несколько миллионов адресов электронной почты, что позволяет червям войти в число самых распространенных вредоносных программ в почтовом трафике. Правда, в то же время сообщений о реальных случаях массовых заражений в настоящее время не зафиксировано. Так что страхи антивирусных экспертов явно опережают реальное положение дел.
Подобно своим предшественникам, Bagle.at и Bagle.au используют для размножения процедуру, стандартную для данного вида вредоносных программ. Они сканируют файловую систему пораженного компьютера и рассылают себя по всем найденным в нем адресам электронной почты. Помимо этого, угрозу для зараженного компьютера представляет внедренная в тело червей функция почтового прокси-сервера. В результате инфицированная машина может быть использована злоумышленниками для рассылки спама или новых вариантов червя.
Кстати, два вируса почти полостью идентичны. Единственное их различие заключается в способе упаковки приложенного к зараженной корреспонденции файла, содержащего червя, а если быть точнее, версии примененной при их создании программы-упаковщика. Определить вредоносную посылку достаточно просто. Такие сообщения выполнены в схематичной для них манере: письма имеют заголовок "Re: Hello", текст ограничивается смайликом, а тело червя приложено к письму в виде файла с расширением .com, .exe, .cpl или .scr.
Также на прошлой неделе появился червь Huayu, проникающий на компьютер через дыру в Windows. Вирус попадает на компьютер посредством бреши в локальной подсистеме аутентификации пользователей вышеназванной операционной системы, сканируя произвольные IP-адреса в диапазоне от 211.159.93.0 до 211.159.93.255. После проникновения на машину вирус регистрирует в ключе автозапуска реестра свою копию, которая предварительно записывается на жесткий диск под именем Rundll.exe. Далее вредоносная программа отправляет уведомление автору по адресу huayuguke@yahoo.com.cn, не забыв тем временем открыть для своего создателя "черный ход" в систему.
* * *
Какие только способы ни придумывают создатели вирусов для того, чтобы убедить пользователя кликнуть по иконке зараженного файла. Так, кому-то может придти электронное письмо, в котором его авторы обещают показать потенциальной жертве фотографии со свидетельствами жестокого обращения американских оккупационных войск с иракскими военнопленными.
Сообщение приходит под заголовком "Iraq and the crime", а в теле письма содержится текст What is really happening in Iraq? the pictures of the soldiers and prisoners in Iraq... foward this message... everybody should know the truth." ("Что происходит в Ираке? Фотографии американских солдат и пленных в Ираке. Перешлите это сообщение. Каждый должен знать правду."). Чтобы просмотреть иллюстрации, жертве предлагается открыть вложенный файл с именем "Iraq.scr". Загрузив файл, в дело вступает программа-шпион. Не забывая внести себя в системный реестр Windows, она демонстрирует ложное сообщение об ошибке, собирает контактную информацию о пользователе из адресной книжки его почтового клиента, устанавливает собственный SMTP-сервер и, наконец, рассылает свои копии по найденным адресам.
* * *
Актуальность защиты мобильных устройств от вирусов никогда еще не была так очевидна. Мало того, что летом этого года появилось несколько вирусов, так или иначе паразитирующих на беспроводных технологиях, так еще и программное обеспечение Sun Microsystems на платформе Java оказалось далеко от идеала. Несмотря на то, что до сих пор технология Java на деле доказывала свою надежность, эксперт в области компьютерной безопасности из Познани Адам Говдьяк заявил о двух уязвимостях, которые могут позволить авторам вредоносных программ завладевать информацией об абоненте или вывести его мобильный телефон из строя.
Тем не менее, воспользоваться обнаруженными им уязвимостями очень сложно. Вредоносные программы на их основе нужно создавать для каждой конкретной модели телефона. К примеру, сам Говдьяк сумел-таки написать программу, с помощью которой можно атаковать аппарат Nokia 6310i, однако для этого ему понадобилось целых четыре месяца.
Созданная Говдьяком программа позволяла ему отправлять с зараженного телефона SMS и MMS, очищать память телефона, соединяться с интернетом и красть данные из записной книжки телефона. Кстати, польский эксперт сообщил о брешах в Sun Microsystems еще в августе, а вышеупомянутая компания заявила, что выпустила соответствующие патчи в течение двух недель. "Мы не зафиксировали попыток использовать эту брешь. Однако, если пользователь обнаружит какую-то проблему в работе незнакомого Java-приложения, он может просто удалить его", - сказал представитель Sun Microsystems Эрик Чу.
Несмотря на августовские заявления Sun Microsystems, в октябре, на конференции в Малайзии, Говдьяк подчеркнул, что к обнаруженным им брешам нужно относиться очень серьезно. Польский эксперт отметил: "Распространители программного обеспечения и антивирусная индустрия не готовы к угрозам такого рода. В течение ближайшего полугода следует ожидать появления вредоносных программ для мобильных телефонов, которые будут распространяться дистанционно".
Андрей АСФУРА
Горячие темы