Тенденции развития вредоносных программ, июнь 2004

Месяц июнь можно считать прошедшим под знаком компьютерного шпионажа и воровства в самых разнообразных их проявлениях - постепенно усиливается тенденция развития этих групп вредоносных программ. Большой популярностью у вирусописателей пользуются программы, занимающиеся хищением различных паролей, а также ключей к популярным компьютерным играм. Можно отдельно выделить всплеск активности программ семейства Trojan.PSW.LdPinch . Распространение некоторых версий данного «троянца» производилось посредством спам-рассылок.

Все большую популярность приобретают и программы, занимающиеся хищением личной информации пользователей, имеющей отношение к системам электронных платежей и кредитным картам. Конец месяца ознаменовался появлением новой троянской программы-шпиона TrojanSpy.Win32.Qukart. Основную опасность она представляет для владельцев карт Visa и MasterCard, поскольку похищает номера кредитных карт и PIN-коды к ним. Полученная информация отправляется злоумышленникам. В июне появилось сразу несколько новых версий этого «троянца».

Процесс появления «шпионов» и «воров», в свою очередь, стимулирует разработку и модификацию «средств доставки» - методов загрузки и запуска вредоносных объектов на машине-жертве. Вирусописатели активно используют как классические методы, так и новые способы, основанные на технических уязвимостях операционных систем. Примером этого является брешь в службе LSASS операционной системы Windows. После своего «дебюта» в апреле-мае этого года, она быстро завоевала популярность среди вирусописателей: за июнь появилось несколько новых версий известных вирусов, имеющих в своем арсенале возможность распространения через эту «дыру». Например, пополнились семейства программ Worm.Win32.Padobot и Backdoor.Rbot.

Однако самым ярким представителем таких новых вирусов стала первая новинка прошедшего месяца - сетевой червь I-Worm.Plexus.a .

Данный червь был написан на базе исходного кода известного червя I-Worm.Mydoom , однако сходство их на этом практически заканчивается. Его главной отличительной особенностью является способность размножения посредством большинства известных в данный момент методов: червь может инфицировать электронные письма, распространяться через локальную и файлообменные сети, а также через уязвимости в службах DCOM RPC и LSASS.

Червь распространяется в виде троянской программы-установщика, состоящей из двух компонентов: первый отвечает за размножение, а в качестве второго может выступать любая другая вредоносная (или же безвредная) программа. В версии I-Worm.Plexus.a таковой являлась backdoor-программа семейства Backdoor.Dumador. Версия I-Worm.Plexus.b использовала для этих целей троянскую proxy-программу из семейства TrojanProxy.Win32.Webber . Обе версии червя были обнаружены в начале месяца с интервалом в несколько дней.

Хотя I-Worm.Plexus пока является единственным сетевым червем со столь широким набором механизмов размножения, можно смело прогнозировать появление в будущем других вредоносных программ с подобными характеристиками.

Наряду с разведкой новых возможностей распространения, продолжается активное использование классических методов. Ведь, как говорится в одной известной пословице, все новое - это хорошо забытое старое. И действительно, старые испытанные способы приносят весьма ощутимые результаты, что не так уж удивительно, ведь человеческий фактор по-прежнему является самым слабым звеном любой системы, вне зависимости от степени программной защиты.

Здесь мы подошли ко второму «хиту» прошедшего месяца, которым стала новая версия сетевого червя I-Worm.Zafi. Как и его предшественник, I-Worm.Zafi.b вызвал достаточно серьезную эпидемию, хотя распространяется исключительно «классически», только посредством зараженных электронных писем.

Следует отметить, что при разработке второй версии червя авторы Zafi прибегли к способу, ранее реализованному авторами сетевого червя I-Worm.NetSky.y . Когда червь отправляет зараженное письмо на электронный почтовый ящик жертвы, он пытается определить языковую принадлежность получателя. Для этого, из адреса электронной почты извлекается имя домена, к которому принадлежит почтовый сервер. В большинстве случаев имя домена подразумевает национальную принадлежность хозяина почтового ящика. В соответствии с этим именем, из списка сообщений, которые прописаны в теле вируса, выбирается написанное на требуемом языке. Таким образом, в большинстве случаев, жертва получает письмо, написанное на потенциально понятном для нее языке. Это увеличивает вероятность того, что получатель, прочитав письмо, запустит приложенный к письму файл. Факт эпидемии Zafi.b, к сожалению, показывает, что такой подход вполне действенен.

Вместе с тем отметим, что языковые барьеры не позволили авторам червя написать грамотное письмо на русском, поэтому владельцы почтовых ящиков в домене "ru" могут чувствовать себя в относительной безопасности.

Победителем же нашего июньского обзора вирусных новинок стал Worm.SymbOS.Cabir.a , первый вирус-червь для сотовых телефонов, использующий для своего размножения протокол Bluetooth. Появление данного вируса можно расценивать как пробу сил вирусописателей в новой и потенциально интересной для них области. Правомерно ли говорить об открытии нового «театра военных действий» между вирусами и антивирусами? Пока, пожалуй, нет. Ситуация сравнима с небольшим столкновением пограничного характера. Скорее всего, не следует ожидать в ближайшее время интенсивного развития вирусов подобного типа.

Итак, подведем итоги июня

1. Следует ожидать дальнейшего активного развития различных видов вредоносных программ, создаваемых с целью хищения важной финансовой информации.

2. Возможно выявление новых уязвимостей, и появление вирусов, реализующих методы работы с этими новыми "дырами".

3. Будет продолжено активное использование новых методов распространения вредоносных программ как в новых вирусах, так и при модификации уже существующих.

4. Возможно появление новых версий сетевого червя I-Worm.Plexus или других вредоносных программ со схожими характеристиками.

Павел Зеленский,
вирусный аналитик «Лаборатории Касперского»