Тенденции развития вредоносных программ, июнь 2004

Тенденции развития вредоносных программ, июнь 2004

Павел Зеленский, вирусный аналитик «Лаборатории Касперского», представляет тенденцию развития вредоносных программ за июнь 2004 года.

Месяц июнь можно считать прошедшим под знаком компьютерного шпионажа и воровства в самых разнообразных их проявлениях - постепенно усиливается тенденция развития этих групп вредоносных программ. Большой популярностью у вирусописателей пользуются программы, занимающиеся хищением различных паролей, а также ключей к популярным компьютерным играм. Можно отдельно выделить всплеск активности программ семейства Trojan.PSW.LdPinch . Распространение некоторых версий данного «троянца» производилось посредством спам-рассылок.

Все большую популярность приобретают и программы, занимающиеся хищением личной информации пользователей, имеющей отношение к системам электронных платежей и кредитным картам. Конец месяца ознаменовался появлением новой троянской программы-шпиона TrojanSpy.Win32.Qukart. Основную опасность она представляет для владельцев карт Visa и MasterCard, поскольку похищает номера кредитных карт и PIN-коды к ним. Полученная информация отправляется злоумышленникам. В июне появилось сразу несколько новых версий этого «троянца».

Процесс появления «шпионов» и «воров», в свою очередь, стимулирует разработку и модификацию «средств доставки» - методов загрузки и запуска вредоносных объектов на машине-жертве. Вирусописатели активно используют как классические методы, так и новые способы, основанные на технических уязвимостях операционных систем. Примером этого является брешь в службе LSASS операционной системы Windows. После своего «дебюта» в апреле-мае этого года, она быстро завоевала популярность среди вирусописателей: за июнь появилось несколько новых версий известных вирусов, имеющих в своем арсенале возможность распространения через эту «дыру». Например, пополнились семейства программ Worm.Win32.Padobot и Backdoor.Rbot.

Однако самым ярким представителем таких новых вирусов стала первая новинка прошедшего месяца - сетевой червь I-Worm.Plexus.a .

Данный червь был написан на базе исходного кода известного червя I-Worm.Mydoom , однако сходство их на этом практически заканчивается. Его главной отличительной особенностью является способность размножения посредством большинства известных в данный момент методов: червь может инфицировать электронные письма, распространяться через локальную и файлообменные сети, а также через уязвимости в службах DCOM RPC и LSASS.

Червь распространяется в виде троянской программы-установщика, состоящей из двух компонентов: первый отвечает за размножение, а в качестве второго может выступать любая другая вредоносная (или же безвредная) программа. В версии I-Worm.Plexus.a таковой являлась backdoor-программа семейства Backdoor.Dumador. Версия I-Worm.Plexus.b использовала для этих целей троянскую proxy-программу из семейства TrojanProxy.Win32.Webber . Обе версии червя были обнаружены в начале месяца с интервалом в несколько дней.

Хотя I-Worm.Plexus пока является единственным сетевым червем со столь широким набором механизмов размножения, можно смело прогнозировать появление в будущем других вредоносных программ с подобными характеристиками.

Наряду с разведкой новых возможностей распространения, продолжается активное использование классических методов. Ведь, как говорится в одной известной пословице, все новое - это хорошо забытое старое. И действительно, старые испытанные способы приносят весьма ощутимые результаты, что не так уж удивительно, ведь человеческий фактор по-прежнему является самым слабым звеном любой системы, вне зависимости от степени программной защиты.

Здесь мы подошли ко второму «хиту» прошедшего месяца, которым стала новая версия сетевого червя I-Worm.Zafi. Как и его предшественник, I-Worm.Zafi.b вызвал достаточно серьезную эпидемию, хотя распространяется исключительно «классически», только посредством зараженных электронных писем.

Следует отметить, что при разработке второй версии червя авторы Zafi прибегли к способу, ранее реализованному авторами сетевого червя I-Worm.NetSky.y . Когда червь отправляет зараженное письмо на электронный почтовый ящик жертвы, он пытается определить языковую принадлежность получателя. Для этого, из адреса электронной почты извлекается имя домена, к которому принадлежит почтовый сервер. В большинстве случаев имя домена подразумевает национальную принадлежность хозяина почтового ящика. В соответствии с этим именем, из списка сообщений, которые прописаны в теле вируса, выбирается написанное на требуемом языке. Таким образом, в большинстве случаев, жертва получает письмо, написанное на потенциально понятном для нее языке. Это увеличивает вероятность того, что получатель, прочитав письмо, запустит приложенный к письму файл. Факт эпидемии Zafi.b, к сожалению, показывает, что такой подход вполне действенен.

Вместе с тем отметим, что языковые барьеры не позволили авторам червя написать грамотное письмо на русском, поэтому владельцы почтовых ящиков в домене "ru" могут чувствовать себя в относительной безопасности.

Победителем же нашего июньского обзора вирусных новинок стал Worm.SymbOS.Cabir.a , первый вирус-червь для сотовых телефонов, использующий для своего размножения протокол Bluetooth. Появление данного вируса можно расценивать как пробу сил вирусописателей в новой и потенциально интересной для них области. Правомерно ли говорить об открытии нового «театра военных действий» между вирусами и антивирусами? Пока, пожалуй, нет. Ситуация сравнима с небольшим столкновением пограничного характера. Скорее всего, не следует ожидать в ближайшее время интенсивного развития вирусов подобного типа.

Итак, подведем итоги июня

  1. Следует ожидать дальнейшего активного развития различных видов вредоносных программ, создаваемых с целью хищения важной финансовой информации.

  2. Возможно выявление новых уязвимостей, и появление вирусов, реализующих методы работы с этими новыми "дырами".

  3. Будет продолжено активное использование новых методов распространения вредоносных программ как в новых вирусах, так и при модификации уже существующих.

  4. Возможно появление новых версий сетевого червя I-Worm.Plexus или других вредоносных программ со схожими характеристиками.

Павел Зеленский,
вирусный аналитик «Лаборатории Касперского»

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!