Масштабы вирусных эпидемий, увы, увеличиваются

ЗАЩИТА ДАННЫХ     

Будьте осмотрительны: не ходите на сайты, содержащие вредоносный код!

19 января "Лаборатория Касперского" представила ежегодный обзор событий в области вредоносных программ, содержащий сведения о крупнейших вирусных инцидентах, произошедших в 2004 г., экспертную оценку тенденций в сфере создания и распространения вирусов и прогнозы относительно дальнейшего развития ситуации.

По словам руководителя антивирусных исследований Евгения Касперского, в минувшем году было зафиксировано 46 крупных вирусных эпидемий. Это число превосходит результаты 2003 г. (35 эпидемий), причем многие из эпидемий отчетного периода были вызваны одновременным (в течение суток) появлением нескольких вариантов одного и того же вируса. Помимо роста числа эпидемий был отмечен многократный рост их масштабности и побочных действий, влияющих на работу Сети в целом. Эта тенденция наблюдается уже несколько лет, и можно с уверенностью констатировать, что с каждым годом вирусные эпидемии наносят все больший ущерб и вызывают все более значительные проблемы у пользователей Интернета.

Крупнейшие эпидемии 2004 года

В минувшем году произошли две глобальные эпидемии, которые можно назвать крупнейшими за всю историю Интернета. Одна из них (январь - февраль) была вызвана почтовым червем MyDoom.a, а вторая (май) - сетевым червем Sasser.a. Эпидемия MyDoom.a (по данным компании MessageLabs, на ее пике червь содержался в каждом восьмом письме, проходящем через Сеть*, а суммарное число писем, посланных червем, вероятнее всего, исчисляется десятками миллионов) привела к тому, что сайт компании SCO был неработоспособен в течение нескольких недель, а созданная MyDoom.a сеть зомби-машин была впоследствии использована злоумышленниками в собственных целях, в том числе и для организации новых вирусных эпидемий. Кроме того, в Сети были распространены исходные коды данного червя, что привело к появлению различных вариантов MyDoom, некоторым из них также удалось вызвать достаточно крупные эпидемии.

Sasser же оказался продолжателем дела сетевых червей, использующих уязвимости в системных службах ОС Windows и проникающих на компьютеры непосредственно через сетевые порты (вспомним 2003-й, когда глобальные эпидемии были вызваны аналогичными червями LoveSan и Welchia). История этого червя весьма поучительна: в апреле прошлого года была обнаружена очередная уязвимость в Microsoft Windows, аналогичная уязвимости 2003 г. (RPC DCOM), но на этот раз в службе LSASS. Несмотря на то что патч, закрывающий данную брешь, был выпущен в середине апреля, 1 мая в Интернете началась вторая крупнейшая эпидемия года. Ее организатором стал сетевой червь Sasser, заражающий компьютеры, не имеющие установленного патча для LSASS. В течение нескольких дней сетевой трафик весьма заметно вырос, что привело к кратковременным сбоям в работе отдельных сегментов глобальной сети. По оценкам различных экспертов, общее число зараженных машин по всему миру составило несколько миллионов. К чести правоохранительных органов, им удалось в кратчайшие сроки установить автора данного червя и арестовать его. Им оказался 18-летний Свен Яшан, проживающий в Германии, он же автор семейства почтовых червей NetSky, вызвавших крупные эпидемии и ставших самыми распространенными вирусами 2004 г. в целом.

Евгений Касперский:

"За минувший год в мире было

арестовано около 100 хакеров"

В течение всего минувшего года почтовые черви оставались доминирующей разновидностью вредоносных программ - на их долю приходится около 87% от общего числа проявивших себя "особей". Второе место (7%) заняли различные троянские программы, в том числе бэкдоры. Традиционные вирусы и макровирусы составили незначительную долю от общего числа всплывших на горизонте "имен". Самым важным фактом является наличие в итоговой статистике одного эксплойта (Exploit.HTML.Mht). Это свидетельствует о том, что все растущее число обнаруживаемых уязвимостей в популярном браузере Internet Explorer не остается незамеченным вирусописателями и за каждой найденной уязвимостью обязательно следует создание вредоносной программы, ее использующей.

Владельцы "навороченных" мобильников могут подхватить "заразу" в самом неожиданном месте

Стоит также отметить, что в 2004 г. впервые появились угрозы безопасности для мобильных устройств, использующих технологии беспроводной связи (802.11b, Bluetooth и т. д.). Первый вирус для мобильных телефонов (Cabir) обнаружен в июне. Это был, если можно так выразиться, "концептуальный проект", подтверждающий возможность создания зловредных кодов для подобных платформ. Авторами оказалась группа вирусописателей, называющая себя 29A. Количество мобильных устройств растет день ото дня. Среди них встречаются достаточно сложные устройства, предоставляющие доступ в Интернет, легко включающиеся в корпоративные сети, а также позволяющие их владельцам устанавливать дистанционное соединение с другими устройствами или сетями. К несчастью, их безопасность оставляет желать лучшего, так как подобные устройства часто находятся вне пределов системы безопасности корпоративной сети. Тем не менее "навороченные" мобильники уже сейчас нередко содержат в себе конфиденциальную информацию, а значит, могут стать притягательной мишенью для атак злоумышленников.

Тенденции и прогнозы

Г-н Касперский отметил, что по сравнению с прошлыми годами 2004-й ознаменовался, с одной стороны, криминализацией Сети (массовые успешные атаки на Интернет-банки и многочисленные случаи Интернет-рэкета**) и миграцией вирусописателей и хакеров в сторону разработки adware и spyware (рекламных систем и шпионских программ), а с другой стороны - повышением оперативности антивирусных компаний и активизацией правоохранительных структур в борьбе с компьютерными преступлениями (в мире за год около 100 хакеров арестовано, а трое оказались в двадцатке самых разыскиваемых ФБР преступников). Кроме того, год ознаменовался разгулом спамеров, так что работа с почтой без антиспамового фильтра в большинстве случаев стала просто невозможной.

Использование вирусописателями уязвимостей в операционных системах сегодня стало обыденным явлением. Некоторые вирусы 2004 г., в частности Sasser, Padobot и Bobax (все они появились в мае), использовали системные уязвимости как единственный метод атаки, распространяясь через Интернет от компьютера к компьютеру, абсолютно не используя при этом "традиционные" методы заражения. Другие вредоносные программы, например Plexus (июнь), а также бесчисленные варианты Bagle, Netsky и MyDoom, совмещали применение брешей в ОС с другими методами заражения.

"Лаборатория Касперского" также отметила существенное увеличение количества троянских программ-шпионов, ворующих конфиденциальную финансовую информацию. Десятки новых вариантов таких программ появляются на свет каждую неделю, часто различаясь по своей функциональности и форме. Некоторые из них просто шпионят за клавиатурой, отсылая по электронной почте автору троянца пароли, введенные пользователем. Троянские программы с более сложной структурой предоставляют автору вредоносного кода полный контроль над компьютером жертвы, посылая данные на удаленные серверы и получая дальнейшие команды с этих серверов.

Еще более сложные троянцы соединяют все зараженные машины в одну сеть. Когда такая зомби-сеть создана, - ее (за приличное вознаграждение) можно сдать в аренду для распространения спама или же использовать при DDoS-атаках (так работали троянские компоненты Wallon, Plexus, Zafi и MyDoom). Нередки случаи, когда зомби-сети продают на специальных аукционах.

Все больше вирусов комбинируют различные виды атак. Многие содержит в себе троянский компонент того или иного типа. Троянцы же появляются в системе с помощью вируса или червя. Поскольку в троянские программы обычно не встроена система размножения и заражения других компьютеров, они часто воспринимаются как угроза менее опасная, чем вирусы или черви. Однако эффект появления троянца в системе может быть опасен и непредсказуем. Троянские программы не просто становятся сложнее, они все чаще используются в откровенно преступных целях.

Еще одна тенденция, которая, видимо, сохранится и в нынешнем году, заключается в применении массовой рассылки как зараженных писем (эта техника известна еще со времен вируса Melissa, появившегося в марте 1999 г.), так и писем, имеющих ссылки на сайты, содержащие вредоносный код. В минувшем году данный метод распространения задействовался множеством червей.

Почтовые адреса со ссылками, к сожалению, не воспринимаются пользователями как угроза безопасности компьютера. Многие с большей вероятностью перейдут по ссылке в письме, чем откроют вложение. Кроме того, этот метод позволяет эффективно обойти заграждения, выстроенные провайдерами: применяемые ими средства могут блокировать вложения с подозрительными расширениями, но письма со ссылками данную защиту минуют беспрепятственно. Несомненно, этот метод будет в ходу и далее - до тех пор, пока пользователи не перестанут бездумно "скакать" по ссылкам, содержащимся в электронной почте, приходящей от разного рода "доброжелателей".*Предыдущий рекорд принадлежал червю Sobig.f (август 2003 г.): на пике его распространения этим вирусом было заражено каждое десятое электронное письмо**Наиболее типичный случай Интернет-рэкета заключается в проведении DDoS-атаки с последующим вымогательством, т. е. требованием весьма значительной суммы за прекращение "нападений" на сайт, ставший объектом этой атаки.