"Лаборатория Касперского" обнародовала отчет о годовых тенденциях в разработке вирусов

Вчера "Лаборатория Касперского" обнародовала отчет о годовых тенденциях в разработке вирусов и борьбе с их авторами. По данным компании, наиболее значимыми эпидемиями стали случаи распространения вирусов Mydoom.a в феврале и Sasser.a в мае. Ключевыми факторами этого года, повлиявшими на общее развитие ситуации, стали: криминализация Интернета, миграция вирусописателей и хакеров в разработку принудительных рекламных систем, а с другой стороны - более высокая оперативность антивирусных компаний, активизация "полицейских мероприятий", которые часто завершались поимкой виновных.

Использование уязвимостей в операционных системах для проникновения в корпоративную сеть сегодня стало обыденным явлением. Некоторые вирусы 2004 года, такие как Sasser, Padobot и Bobax, использовали системные уязвимости как единственный метод атаки, распространяясь через Интернет от компьютера к компьютеру, абсолютно не используя при этом "традиционные" методы. Другие вредоносные программы, среди которых можно назвать Plexus, а также бесчисленные варианты Bagle, Netsky и Mydoom, совмещали в себе использование брешей в операционных системах с другими методами заражения (например, массовую рассылку, а также использование сетевых ресурсов - к примеру, технологии P2P).

Множество успешных вирусов ("успешных" с точки зрения автора вредоносного кода) являют собой связку различных видов атак. И все большее количество таких "связок" содержат в себе троянскую компоненту того или иного типа.

Едва отгремело празднование нового 2004 года, как дал о себе знать троянский прокси-сервер, Mitgleider. Тысячи пользователей ICQ получили сообщение со ссылкой, ведущей на сайт, на котором находилась эта троянская программа. Mitgleider использовал одну из двух уязвимостей в Microsoft Internet Explorer, позволявших установить и запустить прокси-сервер на машине без ведома пользователя. Затем вирус открывал на машине один из портов, чтобы получать и принимать почту. В результате сеть зараженных машин стала армией "зомби", рассылающих спам по всему Интернету. Mitgleider сделал троянcкие прокси-серверы отдельной категорией вредоносных программ, очень близкой к распространению спама. Из-за этого вируса массовая рассылка сообщений и писем со ссылками на зараженные сайты также получила распространение.

Многие угрозы безопасности, последовавшие за Mitgleider, использовали троянскую технологию. Bagle, вирус, судя по всему, того же авторства, что и Mitgleider, либо устанавливал троянский прокси-сервер, либо скачивал его через Интернет. В любом случае червь был просто новой версией Mitgleider, рассылавший себя по e-mail. Bagle распространялся с машин, ранее зараженных Mitgleider. Это указывает на еще одну важную характеристику угроз 2004 года: троянские компоненты использовались с целью создания платформ для дальнейшей эпидемии. Такая техника привела к широкому распространению не только Bagle, но и Netsky, Mydoom, а также других подобных червей. Когда выходил очередной вариант подобного червя, количество зараженных машин увеличивалось; при достижении критической массы происходила новая эпидемия. Именно таким образом Mydoom достиг своего успеха, побив даже рекорды червя Sobig и став причиной самой масштабной эпидемии в истории Интернета на сегодняшний день. Червь применил методы социальной инженерии, организовал атаку на сайт www.sco.com, из-за чего он вышел из строя на несколько месяцев, и оставлял на зараженном компьютере троянскую программу, которая использовалась для заражения другими версиями вируса, последовавшими за главной эпидемией.

В 2004 году мы также были свидетелями битвы между соперничающими вирусописателями. Вирус Netsky не просто заражал компьютеры - он также удалял любые экземпляры вируса Mydoom, Bagle и Mimail. На пике такой "войны" каждый день появлялось несколько экземпляров червей Bagle и Netsky, содержавших в своем теле угрозы в адрес недругов. Авторы Bagle и Netsky также впервые использовали пароль для вложений в письма - очевидно, для того, чтобы усложнить обнаружение вредоносной программы. В теле письма содержался пароль к архиву, так что у пользователя были все данные для открытия вложения, содержавшего вирус.

В "Лаборатории Касперского" также отметили существенное увеличение количества троянских программ-шпионов, призванных красть конфиденциальную финансовую информацию. Десятки новых вариантов таких программ появляются на свет каждую неделю, часто различаясь по своей функциональности и форме. Некоторые из них просто шпионят за клавиатурой, отсылая пароли, введенные пользователем, по электронной почте автору троянца. Троянцы с более сложной структурой представляют автору полный контроль над компьютером жертвы, посылая данные на удаленные серверы и получая дальнейшие команды с этих серверов.

Также растет число программ, которые сами по себе не являются вредоносными, но оставляют в системе троянскую программу (TrojanDropper) или загружают ее из Интернета (TrojanDownloader). У тех и других одна цель: установить на зараженной машине вредоносное программное обеспечение, будь то вирус, червь или другая троянская программа. Для достижения своей цели они, однако, используют разные методы.//"Веб-информ"