На прошедшей неделе антивирусными экспертами было найдено несколько примечательных вирусов, которые эксплуатируют ту или иную уязвимость в программном обеспечении. Таким образом, число вирусов, использующих для своего распространения ошибки разработчиков, стало заметно увеличиваться в этом году. Стоит отметить, что бреши, которые используют вредоносные программы, как правило, не являются новыми, а соответствующие заплатки при желании можно скачать. Однако многие пользователи не торопятся это сделать, чем и создают благоприятную атмосферу для успешного существования подобных вредоносных программ.
Сетевой червь DipNet.d, модификация декабрьского DipNet.a, для своего распространения использует уязвимость в локальной подсистеме аутентификации пользователей (LSASS). После запуска червь копирует себя в системный каталог Windows с произвольным именем, к примеру, "%System%\wcss.exe", создает сервис с именем "WebPoster" и регистрируется в ключе автозапуска системного реестра. После этого вирус запускает процедуры выбора IP-адресов для атаки и отсылает запрос на TCP-порт 445. В случае, если удаленный компьютер отвечает на соединение, используя уязвимость LSASS, червь запускает на удаленной машине свой код. Напоследок DipNet.d открывает на зараженной машине TCP-порт для приема команд от своего создателя, что, в конце концов, приведет к получению злоумышленником полного доступа над машиной жертвы.
Троян Backdoor.Globe проникает на компьютер с помощью html-файла, который, по сути, и содержит вредоносную программу. При этом троян эксплуатирует уязвимость в Microsoft Windows LoadImage API Function, используя специально обработанный анимированный курсор, чтобы вызвать стековое переполнение. Если заражение компьютера прошло успешно, Backdoor.Globe открывает "черный ход" в систему и ожидает дальнейших команд от своего создателя.
Наконец, антивирусными экспертами был замечен новый "мобильный" вирус для карманных компьютеров и сотовых телефонов, работающих под управлением операционных систем Symbian. Вирус, получивший название Lasco, способен распространяться одновременно двумя способами - через инфицированные файлы в формате SIS (Symbian Installation System), а также посредством беспроводной связи Bluetooth. После активации червь создает на мобильном устройстве несколько файлов и начинает поиск доступных через Bluetooth смартфонов. Затем на коммуникатор отправляется копия вредоносной программы. Правда, заражение происходит только в том случае, если владелец подтверждает получение, то есть дает положительный ответ на предложение "Receive message via Bluetooth from [device name]?", и затем запускает высланный ему файл. Помимо этого, Lasco внедряет свой код во все найденные на телефоне SIS-файлы. Стоит отметить, реальных случаев заражения на данный момент не зафиксировано. Однако специалисты компании F-Secure считают, что злоумышленники могут попытаться распространить червя под видом игр или приложений через различные ресурсы Всемирной паутины.
* * *
Компания Microsoft выпустила январский набор бюллетеней безопасности, в котором значатся три уязвимости, с помощью которых злоумышленник может без особого труда выполнить произвольные действия на компьютере жертвы.
Первая брешь содержится в компоненте HTML Help ActiveX. Дыра присутствует в Windows 2000, Windows Server 2003 и Windows ХР. Она позволяет выполнить произвольный код на удаленном компьютере или похитить конфиденциальную информацию о пользователе. Для того чтобы нападение прошло успешно, требуется заманить владельца машины на сформированную особым образом страницу.
Следующая брешь присутствует в Windows NT Server 4.0, Windows 2000, Windows XP, а также Windows Server 2003 и может быть эксплуатирована через специально сформированный файл курсора или иконки, при обработке которого на компьютере жертвы произойдет выполнение вредоносного кода. Помимо этого, уязвимость теоретически обеспечивает возможность проведения DoS-атак через электронные сообщения или сайты, содержащие вредоносные файлы.
Последняя брешь была обнаружена в службе индексации операционных систем Windows 2000, Windows ХР и Windows Server 2003. Злоумышленник может послать на удаленную машину сформированный особым образом запрос, обработка которого приведет к выполнению произвольных деструктивных операций. Брешь также позволяет проводить DoS-атаки.
* * *
Широкое распространение шпионских программ вызывает огромные опасения среди экспертов по кибербезопасности. Так, влиятельная контора Gartner прогнозирует резкое увеличение числа шпионских программ в 2005 году. Согласно последнему исследованию компании, вскоре spyware станет более серьезной угрозой, чем сетевые черви.
Специалист Microsoft по компьютерной безопасности Колин Эразмус сказал: "Уже сейчас шпионские программы стали одной из самых серьезных угроз для пользователя компьютера. В этом году число инцидентов со spyware катастрофически возрастет. Поскольку шпионские модули представляют угрозу безопасности данных, конфиденциальности, психическому здоровью пользователя, а также по причине своей назойливости этот вид вредоносных программ ждет огромный успех у разного рода злоумышленников".
Как считает Gartner, даже самые лучшие антивирусные программы на сегодняшний момент не способны полностью очистить систему от файлов, принесенных шпионской программой. Создатели spyware обычно используют специальные "закладки", которые восстанавливают шпионскую программу, если пользователю удается обнаружить и удалить навязчивый модуль.
Андрей АСФУРА
Горячие темы