На прошедшей неделе появилось несколько примечательных вредоносных программ. Все они, так или иначе, имеют функцию удаленного администрирования, и, как минимум, две из них используют для проникновения на компьютер жертвы бреши в программном обеспечении Microsoft. Несмотря на то, что эти дыры не являются новыми, а заплатки для них можно скачать с официального сайта вышеупомянутой компании, вероятность успешного распространения вирусов весьма велика. И хоть до массовых эпидемий дело не дойдет, главной цели - получения конфиденциальной информации - вирусы наверняка достигнут.

Так, червь Maslan распространяется посредством электронной почты в виде вложения с именем "Playgirls2.exe", файлообменных сетей, а также используя уязвимости в службах RPC DCOM и LSASS. После активации вирус создает на жестком диске несколько своих копий с различными именами и регистрируется в ключе автозапуска реестра. Затем он сканирует файлы в поисках адресов электронной почты, по которым и осуществляет свою массовую рассылку.

Следующий вирус - червь Salga.a - распространяется в виде прикрепленного к зараженному письму файла, по файлообменным сетям, открытым сетевым ресурсам и IRC-каналам. При инсталляции червь копирует себя в папку автозагрузки с именем "egy~1.exe". Затем создает различные папки, в которых сохраняет себя под разными именами с расширениями .exe и .zip, а также регистрируется в ключе автозапуска системного реестра. Напоследок, вирус сканирует адресную книгу Outlook и рассылает почтовые сообщения: одно предназначено автору вируса (mgasalgya_4ever@hotmail.com), а остальные - потенциальным жертвам.

Червь Mugly способен шокировать любого пользователя. Распространяется вирус по электронной почте в виде вложения, а также по слабозащищенным сетевым ресурсам. После активации вирус записывает на жесткий диск свою копию, регистрируется в реестре Windows и запускает браузер, отображая в его окне графический файл uglym.jpg с изображением ужасного лица. Напоследок, червь подключается к серверу windowss.serveftp.com и открывает произвольный TCP-порт на зараженной машине для приема команд от своего создателя.

Наконец, троян Wlogo проникает на компьютер через одну из дыр в браузере Internet Explorer при просмотре пользователем специально оформленной интернет-страницы в формате HTML. При попадании на машину он копирует себя в системный каталог Windows под именем winlogo.dll и регистрируется в реестре для того, чтобы обеспечить собственный автозапуск. Кроме того, Wlogo пытается установить с помощью ТСР-порта соединение с определенными серверами, открывая тем самым "черный вход" в систему.

* * *

Прошедший ноябрь можно назвать месяцем больших возможностей для создателей вирусов. Причиной тому стали обнаруженные уязвимости в браузере Internet Explorer, а также новые вирусы для мобильных телефонов. Тем не менее, "громких" эпидемий так и не случилось. Большинство авторов вирусов продолжают "штамповать" похожие друг на друга программы, и разве что известная своими концептуальными вирусами группа "29а" выставляет на обозрение экспертов свои оригинальные "творения", которые, скорее, заявляют о существовании угрозы, но сами особого вреда не причиняют.

Невиданный ранее размах фишинг-атак стал одной из примечательных тенденций ноября. Чаще всего массовые рассылки электронных сообщений ведутся от имени банковских и других финансовых учреждений, причем по своей структуре идентичны письмам транзакций. Единственным нововведением является то, что в теле сообщения не предлагается загрузить приложение, а вместо этого содержится просьба перейти по ссылке. К сожалению, методы маскировки страницы довольно разнообразны, поэтому отличить ее от подлинника почти невозможно. К тому же пользователи, как правило, не видят никакой угрозы в письме, в котором содержится ссылка, а не прикрепленный файл. А убедившись в том, что ссылка соответствует адресу финансового учреждения, клиенты вообще отбрасывают всякие сомнения в благонадежности предложения.

Основная сегодняшняя проблема - дыры в браузере Internet Explorer. И хоть новые эксплойты можно по пальцам пересчитать, массовая эксплуатация новых брешей - лишь вопрос времени. Так, появившийся в середине ноября червь Aler.a использует интеграцию своего кода в графический файл формата EMF. Еще одна уязвимость в системе безопасности браузера дает возможность исполнять произвольный код посредством переполнения буфера при обработке программой html-страниц. Эту брешь использует вирус Bofra, который вместо того, чтобы содержать себя во вложении, отправляет по почте html-страницы, имеющие ссылки на уже зараженные машины. После отображения подобной страницы червь попадает на компьютер. Таким образом, все это делает пользователей еще более уязвимыми перед лицом вирусной угрозы: если раньше просто надо было осторожно вести себя в отношении прикрепленных файлов, то сейчас этого явно недостаточно. Bofra может заразить почти любой компьютер. "Вряд ли поможет даже использование нестандартного почтового клиента, поскольку почти все они для отображения html-страниц используют OLE-объекты того же Internet Explorer", - отмечает Роман Кузьменко, антивирусный аналитик "Лаборатории Касперского".

В целом, в списке самых распространенных вирусов ноября доминируют черви семейств Bagle, Mydoom и NetSky. В совокупности они занимают пятнадцать позиций рейтинга из двадцати и "захватили" 74% всего вирусного трафика. Как и ожидалось, основная борьба развернулась именно между представителями этих трех семейств. В октябре первую позицию заняла одна из версий вируса NetSky, теперь же это место принадлежит червю Bagle.at.

Вирусом-однодневкой оказался червь Sober.i. Несмотря на то, что поначалу он был разослан на миллионы адресов электронной почты, что, в свою очередь, предвещало крупную эпидемию, вирус вдруг резко пропал. Как оказалось, причиной тому стала ошибка в его коде, из-за которой червь отправлял по почте вовсе не свое тело, а всего лишь электронный мусор.

Наконец, одним из самых щепетильных вопросов прошедшего месяца стала операционная система Symbian. Число вредоносных программ, разработанных для мобильных телефонов под ее управлением, выросло в два с лишним раза. К тому же, значительно увеличилось количество самих телефонов, на которых побывали вирусы. Если летом этого года наткнуться на такие программы было довольно тяжело, то сейчас это может произойти уже с несоизмеримо большим числом владельцев мобильной связи.

Таким образом, ноябрь показал, что современные вирусные технологии развиваются по многим направлениям. Авторы вредоносных программ находятся в постоянном поиске новых способов проникновения на компьютер, а число уязвимостей в программном обеспечении неуклонно растет. Тем не менее, учитывая тот факт, что сотни вредоносных программ выполнены в довольно однообразной манере, появление концептуальных вирусов - явление крайне редкое.

Андрей АСФУРА