Молодой Mytob.c обошел "старую гвардию"

Сложившуюся на сегодняшний момент ситуацию в сфере компьютерной безопасности едва ли можно назвать благополучной. Эксперты из "Лаборатории Касперского" объявили, что каждую неделю во Всемирной паутине появляется порядка 600-700 новых вирусов, тогда как общее число зарегистрированных вирусов перевалило за 130 тысяч. Основные причины вирусного "беспредела" неизменны уже на протяжении многих лет - это халатное отношение пользователей к электронной корреспонденции и отсутствие у них антивирусных пакетов. Вот и последние вирусы - прямое тому подтверждение.

Сетевой червь Bagle.bj - типичный представитель плодовитого семейства вирусов Bagle. Единственное его отличие (в данном случае недостаток) от более ранних версий - это отсутствие функции саморазмножения. После запуска вирус создает текстовый файл во временном каталоге Windows, имя которого начинается с символа "~" и имеет расширение .txt. Файл содержит всего одну строку "Sorry" и открывается червем с помощью установленного в системе "Блокнота". При инсталляции Bagle.bj создает файлы с именами winshost.exe и wiwshost.exe, а также регистрируется в ключе автозапуска системного реестра. Самостоятельно червь размножаться не может, поэтому попасть на компьютер он может разве что при помощи организованной спам-рассылки. Расположившись в недрах жесткого диска, Bagle.bj служит своего рода раздражителем "иммунной системы" машины, так как блокирует действие антивирусных программ и закрывает доступ к сайтам разработчиков соответствующего программного обеспечения.

Вредоносная программа Sober.p распространяется посредством электронной почты. Зараженные письма могут быть написаны на английском и немецком языках, а сам вирус находится во вложении в виде zip-архива. При инсталляции червь копирует себя в систему, а также регистрирует себя в ключе автозапуска системного реестра. Затем червь начинает поиск электронных адресов будущих жертв, используя для отправки зараженных писем прямое подключение к SMTP-серверу получателя. На сегодняшний момент Sober.p побил все возможные рекорды своих предшественников по количеству рассылаемых писем и скорости распространения в западноевропейском сегменте Сети, куда вошли Голландия, Германия, Венгрия и другие страны. В то же время от азиатских пользователей жалоб на заражение данной версией червя Sober почти не поступало. Так что вопрос о наличии крупномасштабной эпидемии остается открытым.

Червь Atlex.a использует для своего распространения системы мгновенного обмена сообщениями. При первом своем запуске он создает новый UIN в системе ICQ. Впоследствии вирус шлет сообщения на различные номера, сгенерированные случайным образом. В посылке содержится ссылка, воспользовавшись которой, пользователь получает копию вредоносной программы. Имя пользователя - "Britney", а содержимое сообщения включает "my photo...".

Не остались в стороне и беспроводные устройства. Вредоносная программа Hobble.a распространяется в виде SIS-архива для операционной системы Symbian, а сам файл (symantec.sis) маскируется под антивирус компании Symantec. При запуске архива SIS в систему устанавливается FExplorer.app - поврежденное приложение FExplorer. После первой перезагрузки зараженного смартфона операционная система пытается запустить это приложение, что вызывает нарушение работы устройства. В конце концов, функции смартфона оказываются заблокированными. Стоит отметить, программа работает только в операционной системе Symbian OS версии 6.1, так что шансы вызвать "мобильную" эпидемию у Hobble.a почти равны нулю.

* * *

Итоги вирусной активности за апрель подвела "Лаборатория Касперского". Как выяснилось, за месяц в вирусном "топе" произошли некоторые изменения. В частности, сменился лидер. Мало того, место мартовского "победителя" - червя NetSky.q - занял не какой-нибудь представитель так называемой "старой гвардии" (семейств NetSky, Mydoom, Zafi), а один из вариантов относительно молодого семейства Mytob. Вредоносная программа Mytob.c смогла за два месяца оттеснить с первой строчки лидера 2004 года - вирус NetSky.q. Стоит отметить, вирусы Mytob распространяются по электронной почте, а также с помощью дыры в локальной подсистеме аутентификации пользователей (LSASS) операционных систем Windows 2000/ХР. Места со второго по четвертое занимают различные версии вируса NetSky, вслед за которыми идет вирус LovGate.w. В целом, в двадцатке присутствуют восемь модификаций червей NetSky, 6 представителей семейства Mytob и по две версии Mydoom и Zafi.

Андрей АСФУРА

Версия для печатиВерсия для печати

Номер: 

19 за 2005 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!