Эволюции вирусовИсточник: webholl
Недавно "Лаборатория Касперского" обнародовала отчет о годовых тенденциях в разработке вирусов и борьбе с их авторами. По данным компании, наиболее значимыми эпидемиями стали случаи распространения вирусов Mydoom.a в феврале и Sasser.a в мае. Сегодня редакция "Веб-информа" публикует выдержки из опубликованного документа.
Ключевыми факторами этого года, повлиявшими на общее развитие ситуации, стали: криминализация Интернета, миграция вирусописателей и хакеров в разработку принудительных рекламных систем, а с другой стороны - более высокая оперативность антивирусных компаний, активизация "полицейских мероприятий", которые часто завершались поимкой виновных. Основные тенденции этого года: Каждое поколение "писателей" вредоносных программ стоит на плечах своих предшественников. Поэтому неудивительно, что зародыши программ 2004 года появились еще в прошлом году. Вирус Lovesan "популяризовал" использование брешей в операционной системе для заражения уязвимых машин через Интернет. Кроме того, он включал возможность DDoS-атаки (вирус атаковал серверы с обновлениями Windows). Червь Sobig.f побил все предыдущие рекорды с помощью использования спамерских технологий (на пике его распространения каждое десятое электронное письмо было заражено этим вирусом). Sobig.f также инициировал "цепную реакцию": каждый новый вариант червя создавал сеть инфицированных компьютеров, которая позднее использовалась в качестве платформы для новой эпидемии. Когда в сентябре 2003 года появился Swen, ничто не предвещало беды: вирус казался еще одним средством массовой рассылки сообщений. Однако успех этого пришел к нему благодаря социальной инженерии. Swen маскировался под обновление от Microsoft, призванное закрыть бреши в операционной системе. Тенденции, описанные выше, продолжали развиваться и дальше - и примером тому служат угрозы, с которыми столкнулись пользователи в 2004 году. Использование уязвимостей в операционных системах для проникновения в корпоративную сеть сегодня стало обыденным явлением. Некоторые вирусы 2004 года, такие как Sasser, Padobot и Bobax, использовали системные уязвимости как единственный метод атаки, распространяясь через Интернет от компьютера к компьютеру, абсолютно не используя при этом "традиционные" методы. Другие вредоносные программы, среди которых можно назвать Plexus, а также бесчисленные варианты Bagle, Netsky и Mydoom, совмещали в себе использование брешей в операционных системах с другими методами заражения (например, массовую рассылку, а также использование сетевых ресурсов - к примеру, технологии P2P). Множество успешных вирусов ("успешных" с точки зрения автора вредоносного кода) являют собой связку различных видов атак. И все большее количество таких "связок" содержат в себе троянскую компоненту того или иного типа. Едва отгремело празднование нового 2004 года, как дал о себе знать троянский прокси-сервер, Mitgleider. Тысячи пользователей ICQ получили сообщение со ссылкой, ведущей на сайт, на котором находилась эта троянская программа. Mitgleider использовал одну из двух уязвимостей в Microsoft Internet Explorer, позволявших установить и запустить прокси-сервер на машине без ведома пользователя. Затем вирус открывал на машине один из портов, чтобы получать и принимать почту. В результате сеть зараженных машин стала армией "зомби", рассылающих спам по всему Интернету. Mitgleider сделал троянcкие прокси-серверы отдельной категорией вредоносных программ, очень близкой к распространению спама. Из-за этого вируса массовая рассылка сообщений и писем со ссылками на зараженные сайты также получила распространение. Многие угрозы безопасности, последовавшие за Mitgleider, использовали троянскую технологию. Bagle, вирус, судя по всему, того же авторства, что и Mitgleider, либо устанавливал троянский прокси-сервер, либо скачивал его через Интернет. В любом случае червь был просто новой версией Mitgleider, рассылавший себя по e-mail. Bagle распространялся с машин, ранее зараженных Mitgleider. Это указывает на еще одну важную характеристику угроз 2004 года: троянские компоненты использовались с целью создания платформ для дальнейшей эпидемии. Такая техника привела к широкому распространению не только Bagle, но и Netsky, Mydoom, а также других подобных червей. Когда выходил очередной вариант подобного червя, количество зараженных машин увеличивалось; при достижении критической массы происходила новая эпидемия. Именно таким образом Mydoom достиг своего успеха, побив даже рекорды червя Sobig и став причиной самой масштабной эпидемии в истории Интернета на сегодняшний день. Червь применил методы социальной инженерии, организовал атаку на сайт www.sco.com, из-за чего он вышел из строя на несколько месяцев, и оставлял на зараженном компьютере троянскую программу, которая использовалась для заражения другими версиями вируса, последовавшими за главной эпидемией. В 2004 году мы также были свидетелями битвы между соперничающими вирусописателями. Вирус Netsky не просто заражал компьютеры - он также удалял любые экземпляры вируса Mydoom, Bagle и Mimail. На пике такой "войны" каждый день появлялось несколько экземпляров червей Bagle и Netsky, содержавших в своем теле угрозы в адрес недругов. Авторы Bagle и Netsky также впервые использовали пароль для вложений в письма - очевидно, для того, чтобы усложнить обнаружение вредоносной программы. В теле письма содержался пароль к архиву, так что у пользователя были все данные для открытия вложения, содержавшего вирус. Техника массовой рассылки зараженных писем, эффективная еще со времен вируса Melissa в марте 1999 года, с тех пор использовалась при распространении многих известных вирусов. Однако не стоит забывать про другие методы распространения. Один из них мы уже обсуждали: прямое заражение с использованием брешей в операционных системах (примеры тому - Lovesan, Welchia, Sasser). Практика, ставшая известной в 2004 году, - распространение ссылок, ведущих на сайт, где находится вредоносный код. Троянская программа Mitgleider, о которой шла речь ранее, не единственная распространялась таким образом: данный метод распространения использовался множеством червей. Netsky, например, распространял себя, рассылая письма, содержащие ссылки на ранее зараженные машины. Похожим образом вел себя Bizex, первый ICQ-червь. Bizex проникал на компьютеры с помощью ICQ, рассылая по всему контактному листу пользователя ссылки на сайт, где содержалось тело червя. Когда пользователи переходили по ссылке, червь загружался на компьютер пользователя и цикл повторялся. Snapper и Wallon действовали похожим образом, но загружали на компьютер жертвы троянские программы, которые автор червей помещал на веб-сайты. Почтовые адреса со ссылками, как и следовало ожидать, не воспринимаются пользователями как угрозы безопасности компьютера. Многие пользователи с большей вероятностью перейдут по ссылке в письме, чем откроют вложение. Также этот метод позволяет эффективно обойти периметр защиты, выстроенный провайдерами: их файрволлы могут блокировать вложения с подозрительными расширениями (.EXE, .SCR и так далее), но письма со ссылками беспрепятственно минуют эту защиту. Несомненно, этот метод будет использоваться и далее - до тех пор, пока пользователи не перестанут легкомысленно относиться к ссылкам, приходящим по электронной почте. В "Лаборатории Касперского" также отметили существенное увеличение количества троянских программ-шпионов, призванных красть конфиденциальную финансовую информацию. Десятки новых вариантов таких программ появляются на свет каждую неделю, часто различаясь по своей функциональности и форме. Некоторые из них просто шпионят за клавиатурой, отсылая пароли, введенные пользователем, по электронной почте автору троянца. Троянцы с более сложной структурой представляют автору полный контроль над компьютером жертвы, посылая данные на удаленные серверы и получая дальнейшие команды с этих серверов. Такой тотальный контроль над компьютерами часто является целью авторов троянских программ. Зараженные машины включаются в сети "ботов", получая от злоумышленников команды к действию на IRC-каналах или веб-сайтах. Еще более сложные троянцы, как некоторые варианты Agobot, соединяют все зараженные машины в одну P2P-сеть. Когда такая сеть ботов создана, ее можно взять в аренду для распространения спама или использовать при DDoS-атаках (так работали троянские компоненты Wallon, Plexus, Zafi и Mydoom). Также растет число программ, которые сами по себе не являются вредоносными, но оставляют в системе троянскую программу (TrojanDropper) или загружают ее из Интернета (TrojanDownloader). У тех и других одна цель: установить на зараженной машине вредоносное программное обеспечение, будь то вирус, червь или другая троянская программа. Для достижения своей цели они, однако, используют разные методы. Программы класса TrojanDropper содержат в себе дополнительный вредоносный код. Они либо устанавливают другую вредоносную программу, либо обновляют ее до новой версии. Такие программы могут содержать несколько не зависящих друг от друга частей вредоносного кода (с разным поведением, а иногда даже разного авторства). По сути своей, это архиватор вредоносных программ, который способен архивировать различные виды вредоносного кода. Часто программы класса TrojanDropper используются для распространения уже известных троянских программ, потому что гораздо проще написать такой архиватор, нежели совершенно нового троянца, который пройдет незамеченным мимо антивируса. Большинство программ этого класса написаны на Visual Basic Script (VBS) или JavaScript (JS). Их код достаточно прост, они могут выполнять различные задачи. Вирусописатели часто используют программы, загружающие троянцев на компьютер, точно так же, как и программы с троянской компонентой. Разница между ними в том, что программа-загрузчик может быть гораздо более полезна для злоумышленника. Во-первых, загрузчики гораздо меньше по размеру. Во-вторых, такие программы могут бесконечно загружать все новые и новые версии вредоносной программы. Как и программы с троянской компонентой, загрузчики часто написаны на скриптовых языках, таких как VBS и JS, но в отличие от первых загрузчики часто используют уязвимости в Microsoft Internet Explorer (IE). Эти программы используются не только для установки другого вредоносного кода. Их частое применение - в установке без ведома пользователя так называемых adware и pornware, программ, которые, не являясь вирусами, тем не менее собирают информацию о пользователе. Adware - это программы, которые отображают рекламу, иногда баннеры, без ведома и согласия пользователя. Pornware - это программы, которые соединяются с платными порнографическими сайтами, также без ведома и согласия пользователя. Использование троянских программ для кражи паролей, доступа к конфиденциальной информации, DDoS-атак и распространения спама выводит на первый план важное изменение в природе угроз безопасности: их коммерциализацию. Очевидно, что компьютерный андеграунд осознал потенциал заработка в Сети с помощью собственных вредоносных творений. К этой области действий также относится использование "зомби-машин" и распродажа зомби-сетей на аукционах для спамеров. Или, к примеру, вымогательство, когда такая же сеть зомби-машин используется для показательных DDoS-атак на сайт жертвы ("заплати нам, или твой сайт перестанет работать, когда мы начнем полноценную DDoS-атаку"). В дополнение к этому существует также воровство логинов и паролей пользователей. Стоит упомянуть и о так называемом "фишинге" - афере, позволяющей обмануть пользователей так, чтобы они отправили злоумышленникам информацию о своих банковских счетах (имя пользователя, пароль, PIN-код и т. д.). Что день грядущий нам готовит? Скорее всего, нам предстоит увидеть "все то же самое, только больше". До тех пор, пока техники, описанные выше, эффективны, авторы вредоносных кодов будут продолжать их использование. Имеются в виду проверенные вирусописателями методы, такие как массовая рассылка и использование брешей в операционных системах для атаки уязвимых компьютеров, а также распространение троянских программ для кражи информации, создания платформ для DDoS-атак или распространения спама. В "Лаборатории Касперского" также говорят о техниках, вошедших в употребление в этом году, - к примеру, использование ссылок на вредоносный код в письмах. Ключевой фактор - в том, что эти методы хорошо зарекомендовали себя как среди авторов вредоносных кодов, так и среди тех, кто платит им за создание программ для нелегального заработка. Конечно, творения рук злоумышленников будут совершенствоваться, авторы программ будут добавлять в них новые возможности, чтобы сделать их еще более эффективными, и алгоритмы "самозащиты" для того, чтобы сделать их обнаружение и удаление более сложным. Как и в прошлом, авторы вредоносных программ скажут новое слово в их написании. В частности, их целью вполне могут стать мобильные устройства, которые в больших количествах используются как корпорациями, так и пользователями. |