За неделю до наступления Нового года авторы вирусов преподнесли общественности свои подарки. Их ассортимент весьма велик - от макровируса до троянской программы, поражающей мобильные телефоны. Чувствуется, что создатели вирусов к празднику готовились заблаговременно. Выпущенный в просторы Всемирной паутины червь Santy.a использует необычные приемы распространения, что заставляет задуматься о тех переменах, которые произойдут в следующем году в сфере вирусных технологий. И хоть вирус не содержит деструктивных функций, его появление само по себе опасно. Ведь, как правило, концептуальные вирусы только прощупывают почву для более агрессивно-настроенных собратьев.
Для своего распространения червь Santy.a создает специальный запрос для поисковой системы Google, с помощью которого находит сайты, работающие под управлением уязвимой версии phpBB (напомню, это популярное приложение для создания интернет-ресурсов). Затем он отсылает на найденные сайты строку, содержащую эксплойт уязвимости. В результате его обработки атакуемым сервером Santy.a проникает на сайт и получает управление над ним в свои руки. После этого Santy.a последовательно проверяет все каталоги на зараженном сайте и добавляет во все найденные файлы с расширениями .htm, .php, .asp, .shtm, .jsp, .phtm следующий текст: "This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation". Этот текст выводится в браузере при посещении пораженного ресурса. Стоит отметить, широкое распространение червя дает повод говорить о крупномасштабной эпидемии. К счастью для рядовых пользователей, Santy.a не заражает персональные компьютеры при посещении зараженных ресурсов. Тем не менее, специалисты антивирусной фирмы F-Secure полагают, что это только начало.
Следующая вредоносная программа получила название Lateda. Этот троян после проникновения на машину создает на жестком диске свою копию с именем "dllcachev2.exe", регистрируется в ключе автозапуска реестра и затем открывает "черный ход" в систему. Последнее, в свою очередь, грозит уничтожением файлов и загрузкой на машину каких-либо дополнительных модулей.
Червь Netdepix распространяется через дыру в локальной подсистеме аутентификации пользователей (LSASS) операционных систем Windows 2000/ХР, сканируя произвольные IP-адреса. После попадания на компьютер он копирует себя в системную директорию под произвольным именем, уничтожает исходный файл и затем обеспечивает собственный автозапуск при каждом запуске операционной системы.
К менее распространенным вредоносным программам можно отнести макровирус Banedi. Он инфицирует документы в формате Microsoft Word. После активации макровирус выводит на экран монитора несколько диалоговых окон, вносит ряд изменений в реестр операционной системы и затем пытается уничтожить все файлы в определенных папках на жестком диске, в том числе в директориях браузера Internet Explorer и почтового клиента Outlook Express. Помимо этого, пятого числа каждого месяца макровирус заменяет в активном документе Word все буквы "d" символами "F".
В ряду "мобильных" вирусов очередное пополнение. Как и ее предшественники, троянская программа Metal Gear заражает смартфоны под управлением операционной системы Symbian. Маскируется она под инсталляционный файл популярной игры Metal Gear Solid, который можно найти и скачать в Сети. Если пользователь вдруг запускает приложение, троян отключает антивирусные приложения, блокирует файловые менеджеры, а также утилиты, которые могут быть использованы для его удаления. Далее троян устанавливает на портативном устройстве вирус Cabir.c, который отыскивает устройства, доступные через беспроводную сеть ближнего радиуса действия Bluetooth, и загружает на них файл SEXXXY.sis. Таким образом, троян работает в одной связке с червем, что, кстати, является не первым примером такого симбиоза.
* * *
Что и говорить, неизбежное завершение 2004 года заставляет авторов вирусов оглянуться назад и поразмышлять о достигнутых результатах. Тем более, что подискутировать есть о чем. По мнению компании F-Secure, этот год можно считать самым неудачным для киберпреступников. Так, многие известные создатели вирусов находятся сейчас за решеткой и о своем профессиональном амплуа могут забыть надолго. Однако этот факт почти не сказался на активности вирусов в уходящем году. Южнокорейским антивирусным разработчиком AhnLab было зарегистрировано более 4406 новых вирусов, тогда как за период с 1988 по 2003 года им были найдены всего 3389 вредоносных программ. Еще более впечатляющие результаты озвучила авторитетная компания Sophos: в 2004 году она обнаружила 10724 новых вирусов. По ее мнению, количество новых вирусов в этом году увеличилось почти на 52% - с таким размахом вредоносных программ компьютерный мир еще не сталкивался.
По мнению этой же компании, возглавил список самых разрушительных эпидемий этого года появившийся в марте червь Netsky.p. На его долю пришлось 22,6% всех известных Sophos инцидентов. "Лаборатория Касперского", в свою очередь, выделила два наиболее значимых случая распространения вирусов - это февральское нашествие вируса Mydoom.a и мартовская эпидемия червя Sasser.a. Бурное начало года ознаменовалось спокойным его завершением: удивительно, но второе полугодие прошло подозрительно тихо, без каких-либо особых крупномасштабных эпидемий.
Одной из основных причин "долголетия" современных вирусов являются уязвимости в приложениях и операционных системах. Черви Sasser, Padobot и Bobax использовали системные бреши как единственный метод атаки, распространяясь посредством Всемирной паутины, совершенно не используя при этом традиционные механизмы. Другие вирусы, такие, как Plexus, Bagle, Netsky и Mydoom, совмещали в себе использование брешей в операционных системах с другими способами заражения, в числе которых массовая рассылка и распространение по файлообменным сетям.
Большой успех ждал программы-связки. Конечно же, они используются для того, чтобы привести на машину троян, в который, как правило, не встроена система размножения и заражения других компьютеров. По этой причине троянские программы в рейтингах мелькают не столь часто, как сетевые черви. Зато последствия от деятельности трояна могут быть куда более плачевные. Их написание чаще всего преследует одну цель: воровство конфиденциальной информации, начиная от кодов к платным сайтам и заканчивая паролями к кредитным карточкам.
Во втором полугодии можно было наблюдать развернувшуюся борьбу между двумя группами авторов именитых семейств. С одной стороны, создатели Netsky, с другой - Bagle. Началось противостояние с того, что вариант червя Netsky стал удалять любые экземпляры вируса Mydoom и Bagle. В довершение авторы Netsky объявили войну создателям Bagle, а те, в свою очередь, тоже не остались в стороне - взаимные обвинения посыпались как из рога изобилия.
Помимо массовых рассылок, стремительно развивается и другая методика распространения вредоносных программ. Речь идет о том, чтобы заманить пользователя на сформированную специальным образом страницу. Для этих целей также используется e-mail. Уловка злоумышленников заключается в том, что электронные сообщения со ссылками не воспринимаются пользователями как угроза безопасности компьютера. Многие пользователи с большей вероятностью перейдут по ссылке в письме, чем откроют вложение. Также этот метод позволяет эффективно обойти периметр защиты, выстроенный провайдерами этой услуги.
Серьезной проблемой стали разного рода adware (программы, отображающие рекламные баннеры), spyware (приложения, которые собирают информацию о действиях пользователя или о самой машине) и pornware (модули, соединяющие пользователя с платными порносайтами). Несмотря на то, что эти программы нельзя считать вирусами, их скрытая и назойливая деятельность может перерасти в большую угрозу для владельца компьютера.
Использование вредоносных программ для кражи паролей и распространения спама выводит на первый план коммерциализацию вирусных технологий. Поэтому приобрело массовый характер несанкционированное превращение компьютеров пользователей в так называемые "зомби"-машины и распродажа зомби-сетей на аукционах для спамеров. Ко всему этому можно еще добавить интернет-рэкет и фишинг - обман пользователя, с помощью которого злоумышленник получает информацию о банковских счетах.
Очевидным новшеством 2004 года стали "мобильные" вирусы. Появившись в июне, Cabir снискал себе славу первого червя для мобильных телефонов. И хоть он не представлял собой большую опасность, вслед за ним последовало появление ряда других программ. Все они эксплуатировали ошибки в операционной системе Symbian, но до широкого распространения дело так и не дошло. Тем не менее, антивирусные эксперты продолжают прогнозировать возникновение скорой эпидемии среди мобильных устройств.
Таким образом, можно с уверенностью сказать, что в следующем году основными механизмами проникновения на компьютер будут массовые рассылки и использование ссылок на специально сформированные страницы. Не уменьшится поток троянских программ, в то время как самыми распространенными останутся сетевые черви. Велика вероятность появления в 2005 году концептуальных вирусов, чему способствует "дырявость" большей части программного обеспечения. В "Лаборатории Касперского" считают, что целью авторов вирусов вполне могут стать мобильные устройства. Компания Sophos, в свою очередь, в своем отчете сделала особый акцент на финансовой выгоде создателей вирусов. По ее мнению, с вовлечением вирусных технологий в мир коммерции ситуация становится по-настоящему угрожающей.
Андрей АСФУРА
Горячие темы