Последняя неделя уходящего года прошла на редкость спокойно. Эпидемию вируса Santy удалось предотвратить, новогодние "поздравления" от создателей вирусов пользователям не докучали, а информации о мошенничествах в крайне продуктивный период онлайн-торговли не поступало. Тем не менее, несколько найденных за это время вредоносных программ имеют все шансы проявить себя в новом году. Хотя, судя по всему, скоро у них появятся сильные конкуренты: ведь начало года никогда не оставалось без внимания со стороны авторов вирусов.
Открывает список вредоносных программ сетевой вирус DipNet.a. Распространяется он при помощи уязвимости в локальной подсистеме аутентификации пользователей (LSASS) операционных систем Windows 2000/XP. После запуска червь копирует себя в системный каталог Windows с произвольным именем, к примеру, "%System%\h2ww.exe". Затем он запускает процедуры выбора IP-адресов для атаки и отсылает запрос на TCP-порт 445. В случае, если удаленный компьютер отвечает на соединение, червь запускает на машине свой код, используя при этом вышеупомянутую уязвимость.
Получила продолжение история с вирусом Mugly. Его новая модификация под названием Mugly.c также распространяется посредством электронной почты в качестве зараженных вложений. По своим функциям она практически идентична оригиналу. Основное ее отличие заключается в том, что вместо файла "%System%\winit.exe" червь создает другой - "%System%\winprotect.exe". К тому же он изменяет файл "%System%\drivers\etc\hosts", закрывая тем самым доступ к сайтам антивирусных разработчиков.
Троян Fraud.gen использует для своего распространения прогрессивный метод. По электронной почте рассылаются письма, которые маскируются под важные сообщения от крупных коммерческих банков, онлайн-магазинов и софтверных компаний. В них содержится ссылка, в которой использована брешь в браузере Internet Explorer. Эта уязвимость Frame Spoof, которая присутствует в 5 и 6 версиях одноименной программы. Попадая на сайт, пользователи вводят свои учетные данные, после чего те попадают в руки злоумышленников. Кстати, залатать эту дыру, равно как и ряд других брешей, можно на сайте компании Microsoft.
* * *
Вирусы для мобильных телефонов стали появляться с таким завидным постоянством, что многим антивирусным разработчикам впору потирать руки и надеяться на скорое увеличение клиентской базы. Так, вслед за "мобильным" трояном Metal Gear в отчетах компаний, специализирующихся на вопросах кибербезопасности, замелькали новые версии знаменитого червя Cabir. Только на данный момент обнаружено 10 вариантов кода, проиндексированных специалистами от a до j.
Первые версии Cabir распространялись на мобильной платформе Symbian, используя для этого беспроводную сеть ближнего радиуса действия Bluetooth. И если "прадед" Cabir.a был безобидной попыткой доказать уязвимость современных гаджетов, то версии Cabir.h (i и j), по мнению финской антивирусной компании F-Secure, уже вредоносны и более совершенны. В модификациях устранена ошибка, которая замедляла скорость распространения червя: Cabir.a заражал только один телефон до перезагрузки системы, а Cabir.h и Cabir.j инфицируют все телефоны, которые находятся в зоне действия Bluetooth.
Как и оригинал, новые версии распространяются по мобильным устройствам в виде специального файла, который распознается системой как утилита управления безопасностью. После того, как инфицированный файл запущен, на экране появляется слово "Caribe", и черви обеспечивают себе автозапуск при каждом включении телефона. Кстати, защититься от вирусов можно, отключив автопоиск соседних устройств с Bluetooth.
Подобное нашествие мобильных червей, по всей видимости, связано с тем, что на одном из хакерских сайтов появился исходный код вируса. Что же касается признания его авторства, то тут мнения разделились. Старший вирусный аналитик "Лаборатории Касперского" Алексей Гостев полагает, что к этому причастна небезызвестная группа "29А". Антивирусная компания Sophos, в свою очередь, придерживается мнения, что в распространении исходного кода виновата одна из бразильских хакерских команд.
* * *
Несмотря на то, что массового распространения червя Santy удалось избежать, как и ожидалось, идею подхватило большинство авторов вирусов. Как результат, антивирусные эксперты вынуждены констатировать появление его модификаций, которые ищут уязвимые сайты с помощью различных поисковых систем, в особенности Google.
Напомню, Santy поражал сайты, на которых установлено популярное приложение phpBB, содержащее уязвимость. Производители phpBB выпустили заплатку, устраняющую брешь, однако многие владельцы онлайн-ресурсов оставили этот факт без внимания. Чем, собственно, и поплатились. Тем не менее, администрация Google блокировала действия вируса, и его распространение прекратилось. Таким образом, в общей сложности вирусу удалось поразить около полусотни тысяч сайтов.
После того, как Google принял меры к тому, чтобы помешать червю искать бреши в ПО через свою поисковую систему, начали появляться варианты червя (к примеру, Santy.b), использующие, кроме Google, поисковые машины AOL и Yahoo. AOL, которая пользуется поисковой технологией Google, изучает проблему, но не может с полной определенностью сказать, предотвратит ли уже введенная Google блокировка дальнейшее распространение подобных эксплойтов.
Был обнаружен также Santy.c, который вновь специализируется на поисковой системе Google. Santy.d и Santy.e были переименованы "Лабораторией Касперского" в Spyki.a и b, так как, по мнению специалистов компании, наблюдаются значительные отличия в структуре этих червей, по сравнению с более ранними версиями Santy. Таким образом, в ближайшее время можно ожидать появления еще большего числа подобных вредоносных программ, что, в конце концов, приведет к затяжной борьбе их авторов с представителями поисковых систем. И то, что многие эксперты обвиняют Google в медлительности, имеет под собой все основания - если сегодня владельцы поисковых систем не примут эффективных профилактических методов, завтра будут иметь дело с куда более тяжелыми проблемами.
Андрей АСФУРА
Горячие темы