Сегодняшние тенденции развития вирусных технологий выдвигают на первый план коммерческую целесообразность. Так, исследования антивирусной компании Symantec показали, что более половины всех крупномасштабных сетевых угроз, обнаруженных в последнее время, связаны с покушением на персональную информацию. В ногу со временем развивается и виртуальная "живность": антивирусные эксперты все больше фиксируют появление троянских и, что немаловажно, шпионских модулей, в то время как новые сетевые черви "объявляются" гораздо реже. И хоть "шпионам" еще далеко до того, чтобы занимать в вирусных рейтингах первые позиции, эффект от их деятельности может оказаться куда более плачевным.
Троян Small.aag, попадая на компьютер жертвы, вносит изменения в системный реестр. После этого он скачивает из Всемирной паутины файлы и затем запускает их на машине пользователя. Кроме того, Small.aag блокирует доступ к некоторым интернет-ресурсам, прописывая их имена в файл hosts и, тем самым, перенаправляя обращения на локальную машину.
Из того же числа и троян Small.afa. После активизации он создает на машине пользователя ярлыки с именами "XXX NOW.lnk", "Me Naked.lnk" и "For your eyes only.lnk" для активации своих сервисов. Иногда троян может выдавать сообщение "Could not start Event Logger". Основная функция вредоносной программы - дозвон по международным телефонным номерам сервисов порнографического содержания. Троян имеет опасную функцию скрытного самообновления. Кроме того, периодически обновляется файл switchagreement.txt, в котором, по всей видимости, содержится информация о тарификации звонков по всему миру.
Троянский контейнер Agent.bv скрывает в себе другие трояны. При запуске он "выбрасывает" их во временную папку и затем запускает. Иногда с целью отвлечь внимание пользователя Agent.bv может включить в себя какую-нибудь безобидную программу, окно которой появляется после запуска троянского контейнера. Напоследок он создает bat-скрипт со случайным именем, который предназначен для автоматического удаления контейнера.
Шпионская программа Delf.du после попадания на компьютер создает несколько файлов и регистрируется в реестре системы с целью автоматического запуска. После этого "шпион" приступает к своей деятельности: следит за клавиатурным вводом и периодически делает снимки экрана. Вся собранная информация отправляется на электронный ящик злоумышленника или закачивается на FTP-сервер.
Следующий "шпион" - KeyLogger.cd - следит за действиями пользователя: перехватывает клавиатурный ввод, запоминает адреса посещаемых сайтов и фиксирует все запускаемые приложения. Стоит отметить, модуль работает совершенно незаметно для пользователя, а украденная информация отправляется по электронной почте или хранится на жестком диске компьютера.
Сетевой червь Rays распространяется посредством электронной почты. После проникновения на машину он копирует себя с именем Mstray.exe в корневой каталог Windows. При этом иконка созданного файла с целью маскировки выглядит в виде папки. Впоследствии Rays вносит изменения в системный реестр, блокируя открытие скрытых и системных файлов. При рассылке зараженных писем червь использует имеющийся на зараженной машине почтовый клиент.
* * *
Неутихающие угрозы со стороны авторов вредоносных программ и массовая незащищенность большинства компьютеров, подключенных к Сети, стали причиной так называемого "зомбирования", которое постепенно начинает обретать глобальный характер. По данным Торстена Хольца, создателя и руководителя немецкого проекта German Honeynet Project, занимающегося исследованием безопасности Всемирной паутины, более миллиона компьютеров по всему миру заражены зловредными программами. Эти машины участвуют в распространении спам-сообщений и вирусов, а также используются для проведения распределенных DoS-атак. При этом владельцы компьютеров ничего и не подозревают.
В опубликованной Торстеном Хольцем работе "Знай врага в лицо: отслеживание бот-сетей" под "бот-сетями" или "зомби-сетями" подразумеваются сети, состоящие из компьютеров, зараженных в результате вирусной атаки или прямого хакерского вторжения так называемыми ботами - зловредными программами, позволяющими управлять компьютером удаленно, к примеру, с помощью IRC-чата.
Основой проекта явилась сеть из минимально защищенных компьютеров-ловушек, которая была подвергнута заражению со стороны хакеров, а потом регистрировала всю деятельность ботов. Таким образом, с помощью нескольких "пожертвованных" хакерам компьютеров отслеживалась деятельность владельцев бот-систем.
Команда Хольца наблюдала работу более чем сотни различных бот-сетей, в некоторые из них входило до 50 тысяч зараженных компьютеров. Специалисты обнаружили, что эти компьютеры незаметно для их пользователей общаются между собой и работают как серверы. Стоит отметить, большинство машин были постоянно подключены к широкополосному доступу в интернет.
Руководителю проекта стало известно еще о нескольких нюансах хакерской деятельности. Во-первых, было найдено несколько небольших зомби-сетей, которые находились под контролем одних и тех же личностей. По мнению Хольца, распределяя контроль над машинами на несколько серверов, хакеры способствуют тому, что бот-сети становятся менее уязвимыми. Во-вторых, оказалось, что операторы зомби-сетей активно соревнуются друг с другом. Причем имеет место продажа целых сетей, что позволяет говорить о существовании целого теневого сектора, в котором "процветают" как спамеры и авторы вирусов, так и операторы бот-сетей. Наконец, Хольц убедился, что далеко не все хакеры обладают высоким уровнем технической грамотности. Многие из них просто задают глупые, а иногда и нелепые вопросы друг другу.
Механизм "зомбирования" прост. Взломанные компьютеры сообщают о себе по IRC-каналам. После этого на машину посылается условный сигнал, активизирующий бот. В результате, компьютеры-зомби начинают либо безобидную рассылку спама, либо передачу злоумышленникам конфиденциальных данных.
По мнению журнала New Scientist, раньше провайдеры пытались управиться с бот-сетями, производя реверсный инжиниринг хакерских ботов: они получали из них логины и пароли, а затем и приводили бот-сеть в негодность. Однако реверсный инжиниринг занимает большое количество времени. Кроме того, хакеры быстро нашли средства борьбы с ним: теперь все чаще встречаются боты, которые моментально самоуничтожаются, если их пытаются взломать.
Команда Хольца использует другой метод: в зомби-сеть внедряется фальшивый бот, очень похожий на оригинальный, но записывающий в отдельный файл все команды, которые ему передают. В другой файл записывается вся остальная информация.
Дроны - те самые фальшивые боты - не участвуют в рассылке спама или атаке на онлайн-ресурсы, поскольку запрограммированы на игнорирование таких действий. Иногда это вызывает подозрения у хакеров. Несколько раз дроны обнаруживали и закрывали для них доступ в хакерские чаты. Один из хакеров и вовсе попытался организовать против команды Хольца DoS-атаку. Тогда Хольц прибегнул к тем же средствам, которые спамеры используют для того, чтобы заметать следы: команды дронам передаются через удаленные серверы, так что их истинный источник отследить не удастся.
Андрей АСФУРА
Горячие темы