Большой ассортимент вредоносных программ был обнаружен на прошлой неделе в Сети. В поле зрения антивирусной общественности попали как черви и трояны, так и простейшие DOS-вирусы. Особенно активизировались старые семейства сетевых червей: три новые модификации объявились за этот период в интернете. Правда, при очевидном многообразии вредоносных программ цели, которые преследуют их создатели, однообразны - в основном, это получение конфиденциальных данных и организация спам-рассылок, что еще раз свидетельствует о коммерционализации сегодняшних вирусных технологий.
Новой угрозой для пользователей может стать недавно обнаруженный Sober.i, который распространяется посредством электронной почты в виде вложений. Зараженные письма имеют различные темы и тексты на немецком и английском языках. Сам вирус прячется в прикрепленные файлы с расширениями .pif, .zip и .bat. После запуска файла червь выводит на экран ложное сообщение об ошибке: "WinZip Self-Extractor. WinZip_Data_Module is missing ~Error". После этого он создает в системном каталоге Windows два файла с произвольными именами. Они являются основными компонентами червя и служат для сбора адресов и рассылки копий по электронной почте. Напоследок Sober.i сканирует файловую систему пораженного компьютера в поисках адресов электронной почты, по которым впоследствии себя и рассылает. Стоит отметить, что, помимо стандартных для данных вирусов функций, червь обладает еще и механизмом удаленного запуска файлов по желанию злоумышленника.
Следующим пополнением в рядах сетевых семейств является Beagle.ax. Червь распространяется по электронной почте, используя в процессе организации массовых рассылок встроенный SMTP-сервер. В случае попадания на компьютер вредоносная программа выводит на дисплей несколько сообщений об ошибках, например: "Can't find a viewer associated with the file". Затем червь регистрируется в ключе автоматического запуска реестра Windows и завершает работу ряда процессов, связанных со службами безопасности и антивирусными приложениями. Кроме того, Beagle.ax копирует себя под различными именами в директории, содержащие в названии последовательность символов "shar", и открывает "черный вход" в систему.
Число модификаций продолжает новый представитель семейства троянских программ Banker. После запуска троян Banker.u создает в системном каталоге Windows два файла с расширениями .dll и .exe, а также вносит ряд изменений в реестр. Основная цель трояна - кража конфиденциальной информации, к примеру, банковских счетов и номеров кредитных карт. Кроме того, вредоносная программа сканирует все доступные сетевые ресурсы, собирая информацию финансового характера. Похищенные данные отправляются на сайт, адрес которого содержится в коде программы.
Лучший друг спамера, вредоносная программа Envid, после активизации создает в директории Windows файл Msngrabber.exe, регистрируется в системном реестре, завершает работу ряда запущенных приложений и пытается загрузить из интернета дополнительный компонент с названием NovoDownExe.txt. Затем вирус осуществляет сканирование жестких дисков в поисках адресов электронной почты, по которым высылает сообщения с поддельным адресом и содержимым файла NovoDownExe.txt. Таким образом, червь Envid представляет собой своеобразный спамерский инструмент для организации массовых рассылок рекламного или иного характера.
Коллекцию давно забытых вредоносных программ представляет DOS-вирус Ng.695. Эта простейшая вредоносная программа ищет и инфицирует исполняемые файлы с расширением .com. Что интересно, при этом вирус игнорирует файлы, имена которых начинаются с "co", "so" и "m", а также файлы, на месте четвертого символа в имени которых стоит буква "m". После запуска пораженные программы выводят на дисплей сообщение об ошибке с текстом "Bad command or file name".
* * *
Во втором пакете обновлений для операционных систем Windows XP найдены десять опасных уязвимостей. Об этом сообщила американская компания Finjan Software, специализирующаяся в области компьютерной безопасности. Найденные бреши могут использоваться с целью получения несанкционированного доступа к удаленным компьютерам. Причем для реализации нападения необходимо просто заманить жертву на сформированную особым образом страницу. Кстати, в последнее время такой способ очень часто стал использоваться создателями вирусов.
Несмотря на то, что компания Microsoft уже поставлена в известность о наличии уязвимостей в Windows XP SP2, а Finjan Software даже продемонстрировала корпорации соответствующий эксплойт, заплаток в ближайшее время ожидать не приходится. Как считают сотрудники Microsoft, серьезность уязвимостей преувеличена.
* * *
Несмотря на то, что авторы вирусов и антивирусные разработчики находятся по разные стороны баррикад, наметилась тенденция к их взаимовыгодному сотрудничеству. Речь идет о том, что бывшие злоумышленники будут создавать сегодняшнее антивирусное ПО.
Недавно такое сотрудничество стало причиной ссоры двух немецких производителей антивирусных программ. Компания H+BEDV Datentechnik разорвала партнерское соглашение с разработчиком межсетевых экранов SecurePoint по той причине, что последний принял на работу Свена Яшана, подозреваемого в написании вируса Sasser.
Глава H+BEDV Тьярк Ауэрбах сказал: "Все, что делает SecurePoint - их собственное дело. Но я бы не хотел, чтобы подозреваемый в создании вирусов имел отношение к нашему продукту на любой стадии разработки. Мы скептически относимся к найму авторов вирусов. Попытка дать им второй шанс должна быть сбалансирована эксклюзивными интересами безопасности наших клиентов". Проблема заключается в том, что его компания намеревалась интегрировать свой антивирусный продукт в межсетевые экраны SecurePoint. Однако, репутация, видимо, все же дороже.
Сделать ставку на создателей вирусов решила и чешская компания Zoner Software, занимающаяся разработкой графических и мультимедийных программ. 22-летнему члену группы 29A по имени Бенни поручено заниматься разработкой антивирусного и антихакерского программного обеспечения для интернет-подразделения Zoner Software.
Бенни стал главным разработчиком антивируса Zoner (ZAV), который пока еще не поступил в продажу. "Создатели вирусов часто подчеркивают, что подход к созданию защиты в том или ином продукте оказывается примитивным. Мы уверены, что о разработках Бенни такого сказать будет нельзя", - убежден представитель Zoner Software Эрик Пипер.
Тенденция к переходу авторов вирусов в ранг создателей антивирусов вызывает опасения по двум причинам. Первая: пользователи соответствующих программ не смогут чувствовать себя в безопасности. Правда, в этом случае они попросту могут выбрать программы других антивирусных разработчиков. Вторая причина заключается в том, что если все так пойдет и дальше, быть автором вируса станет престижно. В конце концов, это может привести к тому, что грань между "плохими" и "хорошими", которую на протяжении нескольких десятилетий создавала компьютерная общественность, постепенно начнет стираться.
Андрей АСФУРА
Горячие темы