Лаборатория Касперского: Тенденции развития вредоносных программ, сентябрь 2004

Прошедший месяц ничем особенно серьезным в мире вредоносных компьютерных программ не отметился. Возможно, у вирусописателей все еще не закончился сезон летних каникул и отпусков, или же в рядах создателей вирусов происходят какие-то серьезные внутренние процессы, в результате которых мы наблюдаем классическое "затишье перед бурей". Так или иначе, эволюция вредоносных программ в сентябре развивалась по трем стандартным направлениям:

1. появление новых версий почтовых червей из "плодовитых" семейств (в этом месяце таковыми стали Mydoom и Bagle);
2. возникновение вредоносных программ, использующих принципиально новые технологии заражения либо распространения;
3. новые "троянцы", эксплуатирующие недавно найденные уязвимости в широко распространенных программах.

Итак, целый "выводок" новых почтовых червей нашумевшего семейства I-Worm.Mydoom (модификации с R по Y, всего 8 штук) появился преимущественно в первой половине сентября, причем три червя - в один и тот же день. Более-менее существенное отличие от предшественников обнаружилось только у I-Worm.Mydoom.y , умеющего распространяться через ICQ скрытно от пользователя. Кроме того, в последние версии Mydoom добавлена функция загрузки на инфицированный компьютер различных версий троянской программы Backdoor.Win32.Surila .

Второй пункт приведенного списка представлен в этом месяце безобидной программой not-a-virus:Win32.Rucar.a. Все, что делает эта программа-шутка - выводит на экран имена файлов, находящихся на жестком диске. Её примечательность заключается в том, что весь функциональный код спрятан внутри обыкновенной с виду BMP-картинки, в свою очередь спрятанной внутри исполняемого файла-дешифровщика.

Сама по себе эта технология не является новой и представляет собой классический пример стеганографии с использованием BMP-файлов, однако в вирусном контексте она встречается впервые. Функциональный код "размазан" по неиспользуемым битам данных BMP-файла, по отношению к которому исходный исполняемый файл является оболочкой-дешифровщиком.

Наконец, в прошедшем месяце появилось две троянских программы, использующих в своей работе недавно обнаруженные уязвимости в популярных программах.

Это, во-первых, новое семейство самостоятельных "троянцев", представляющих собой картинку формата JPEG (детектируются Антивирусом Касперского как Exploit.Win32.MS04-028.gen).

Исполнение вредоносного кода происходит на базе эксплойта для уязвимости, найденной 14 сентября в механизме обработки JPEG-картинок большинством актуальных версий ядра Internet Explorer (которое используется, помимо самого IE, в таких программах, как Outlook Express и компонентах Microsoft Office XP). Код "троянца" находится внутри специальным образом сконструированного файла формата JPEG и выполняется непосредственно при его "просмотре" уязвимой программой; ранние версии Exploit.Win32.MS04-028.gen только вызывали аварийное завершение программы-просмотрщика.

Во-вторых, в сентябре была обнаружена первая троянская программа-дроппер, написанная на Java (детектируется Антивирусом Касперского как Trojan.Java.Binny.a ). "Троянец" эксплуатирует уязвимость в Sun Java Runtime для запуска любой другой содержащейся в нем программы. Эксплойт срабатывает при просмотре сайта с соответствующим Java-апплетом в браузерах Opera и Mozilla.

Что касается прогнозов на октябрь, то они остаются теми же, что озвучивались месяцем ранее. С практически стопроцентной уверенностью можно говорить о появлении нескольких новых эпидемологически опасных модификаций уже известных интернет-червей. Можно ждать некоторой активизации вирусописателей в связи с приходом холодного времени года. А также - по-прежнему сохранять готовность к пришествию новых вирусов для мобильных устройств, неизбежное появление которых - лишь вопрос времени.

Алиса Шевченко,
вирусный аналитик "Лаборатории Касперского"