Вслед за Panda Software (см. www.pcweek.ru/?ID=311759) ежегодный обзор событий в области вредоносных программ представила “Лаборатория Касперского”.

По словам ее экспертов, в 2003 г. было зафиксировано девять крупных вирусных эпидемий и 26 менее значительных, по преимуществу носящих локальный характер. Эти меньше, чем в прошлом году (12 и 34 соответственно). Однако одновременно со снижением количества эпидемий наблюдается многократный рост их масштабности и побочных действий, влияющих на работу Интернета в целом.

Так, в 2003 г. произошли две глобальные эпидемии, которые можно назвать крупнейшими в истории Интернета. Важно отметить, что они были вызваны не классическими почтовыми червями, а их сетевыми модификациями, т. е. червями, распространяющимися в виде сетевых пакетов данных.

Начало было положено 25 января червем Slammer (Helkern), использующим для своего распространения уязвимость в системе управления базами данных Microsoft SQL Server. Фактически это первый бестелесный вредитель, сумевший в полной мере реализовать описанную в 2001 г. технологию Flash-червей. В течение нескольких минут он заразил сотни тысяч компьютеров по всему миру и смог настолько увеличить сетевой трафик (по экспертным оценкам, на 40—80% в различных сетях), что стал причиной выхода из строя отдельных национальных сегментов Интернета.

Атаковав компьютеры через порты 1433 и 1434, при проникновении на пораженную машину червь не создавал своего тела на диске и присутствовал только в памяти. Анализ развития эпидемии позволяет высказать предположение о его восточно-азиатском происхождении.

Причиной второй, не менее значительной эпидемии стал червь Lovesan (Blaster), появившийся 12 августа. Он еще раз продемонстрировал всему миру, насколько уязвима популярная операционная система Windows. Как и Slammer, Lovesan использовал для своего размножения брешь в системе безопасности в программном обеспечении компании Microsoft. Разница состояла лишь в том, что Lovesan использовал брешь в службе RPC DCOM, которая есть на каждом компьютере, работающем под управлением ОС Windows 2000/XP. В результате практически каждый пользователь, выходя в дни эпидемии в Интернет, подвергался его атаке.

В течение нескольких дней с момента появления Lovesan было обнаружено три модификации червя. Вскоре по Интернету прокатилась эпидемия червя Welchia, использовавшего ту же самую брешь в системе безопасности Windows. Однако в отличие от оригинала Welchia удалял обнаруженные копии Lovesan и пытался установить “заплатку” для службы RPC DCOM.

В целом же 2003-й прошел под знаком непрекращающихся эпидемий различных почтовых червей. В январе были обнаружены Ganda и Avron. Первый их них написан в Швеции и до сих пор является одним из наиболее распространенных почтовых червей в Скандинавии. Его автор был арестован шведской полицией в конце марта. Avron стал первым червем, написанным на территории бывшего СССР, который вызвал значительную эпидемию глобального масштаба. Исходные тексты этого червя были опубликованы на вирусописательских Web-сайтах, что привело к появлению нескольких менее успешных вариантов.

В январе же мы узнали первого червя из семейства Sobig, представители которого впоследствии регулярно вызывали значительные вирусные инциденты. Модификация “F” и вовсе побила все рекорды, став самым распространенным почтовым червем в сетевом трафике за всю историю Интернета. На пике эпидемии Sobig.F, появившийся в августе, был внедрен в каждое двадцатое письмо. Важно отметить, что в этой вредоносной программе была использована весьма опасная технология. Одна из целей авторов семейства Sobig состояла в создании распределенной сети зараженных компьютеров для проведения DoS-атак на произвольные сайты, а также для нелегального использования их в качестве серверов спам-рассылок.

Очень заметным событием в компьютерной вирусологии стал почтовый червь Tanatos.b. Первая версия Tanatos (Bugbear) была написана еще в середине 2002 г., и только спустя почти год появилась вторая. Через давно известную брешь в системе безопасности Microsoft Outlook (IFRAME-брешь) червь инициировал автоматический запуск своего тела из зараженных писем.

Продолжали появляться все новые черви семейства Lentin (Yaha). По имеющимся данным, все они написаны в Индии одной из местных хакерских групп в ходе “виртуальной войны” между индийскими и пакистанскими вирусописателями. Наибольшее распространение получили версии M и O, в которых вирус размножался в виде ZIP-архива, прикрепленного к зараженным письмам.

Не отставали от своих зарубежных “коллег” и российские вирусописатели. Вторым отечественным червем, вызвавшим глобальную эпидемию, стал Mimail. Для своей активации он использовал очередную уязвимость в Internet Explorer, получившую название Mimail-based.

Эта брешь позволяла извлечь из HTML-файла бинарный код и запустить его на исполнение. Впервые ею воспользовались в мае 2003 г. для распространения Trojan.Win32.StartPage.L, после чего через нее запускались черви семейства Mimail и еще нескольких троянских программ. Автор червя Mimail опубликовал исходные тексты в Интернете, и в ноябре 2003 г. новые вариации были написаны другими людьми, в том числе из США и Франции.

Сентябрь 2003 г. прошел под знаком сетевого червя Swen, выдававшего себя за обновление от компании Microsoft. Он поразил несколько сотен тысяч компьютеров по всему миру и до сих пор остается одним из наиболее распространенных почтовых червей. Автору вируса удалось успешно подстроиться к сложившейся на тот момент ситуации, когда пользователи были напуганы недавними инцидентами с Lovesan и Sobig.F и срочно устанавливали обновления для своих операционных систем.

Нельзя не упомянуть и еще две эпидемии. Во-первых, Sober: этот не очень сложный почтовый червь был написан немецким вирусописателем в подражание лидеру года — Sobig.F. Во-вторых, троянец Backdoor.Afcore: несмотря на сравнительно низкую распространенность внимание к нему привлекает интересная технология сокрытия в системе — размещение своего кода в дополнительных потоках (Alternate Data Streams) файловой системы NTFS. Но что еще интереснее, Afcore использует дополнительные потоки не файлов, а каталогов.

По данным “Лаборатории Касперского”, десятка самых распространенных вирусов этого года выглядит следующим образом*:

1) I-Worm.Sobig (18,25% от общего числа инцидентов);

2) I-Worm.Klez (16,84%);

3) I-Worm.Swen (11,01%);

4) I-Worm.Lentin (8,46%);

5) I-Worm.Tanatos (2,72%);

6) I-Worm.Avron (2,14%);

7) Macro.Word97.Thus (2,02%);

8) I-Worm.Mimail (1,45%);

9) I-Worm.Hybris (1,12%);

10) I-Worm.Roron (1,01%).

При этом основной тенденцией года можно назвать тотальное господство червей как преобладающего типа вредоносных программ. Более того, внутри этого вида наблюдается тревожный рост доли сетевых червей по сравнению с классическими почтовыми. “Лаборатория Касперского” прогнозирует сохранение данной тенденции и возможное превращение этого типа в доминирующий. Таким образом, на первый план выходит насущная необходимость установки на каждый компьютер и в корпоративные сети не только средств антивирусной защиты, но и межсетевых экранов.

Большую тревогу вызывает ситуация с обнаружением брешей в системах безопасности операционных систем и приложений. Если в предыдущие годы вредоносные программы проникали через давно известные уязвимости, для которых давно существовали “заплатки”, то в 2003-м разрыв между обнаруженной брешью и написанием использующего эту брешь вируса сократился до нескольких недель.

Компьютерный андерграунд осознал, что атака брешей является самым эффективным способом заражения компьютеров и активно эксплуатирует эту идею.

В результате вирусописатели оперативно получают информацию о новых уязвимостях и быстро реагирует на нее. Так, 20 мая 2003 г. был зарегистрирован случай распространения троянской программы StartPage, которая проникала на компьютеры через брешь Exploit.SelfExecHtml (для нее на тот момент не существовало обновления). Не исключено, что в ближайшем будущем мы будем узнавать о брешах не из сообщений вендоров о выпуске “заплаток”, а из информации о новых вирусах.

В 2003-м была переломлена тенденция прошлого года, выразившаяся в наступлении вредоносных программ на новые платформы и приложения. Напомним, что в 2002 г. жертвами вирусов пали Flash-технология, .NET, SQL-серверы, файлообменные сети (KaZaA). Теперь аппетит вирусописателей ограничился картографической системой MapInfo: вирус российского происхождения MBA.Kynel, написанный на языке MapBasic, успешно заражал документы этого формата и даже был обнаружен экспертами “Лаборатории Касперского” в “диком виде”.

Тенденция 2002 г. к значительному росту количества программ класса Backdoor (утилиты несанкционированного дистанционного управления) и программ-шпионов была продолжена. Наиболее заметными представителями этих классов стали Backdoor.Agobot и Afcore.

Первый из них сейчас существует более чем в сорока различных вариантах — благодаря тому, что его автору удалось создать сеть из нескольких веб-сайтов и IRC-каналов, где всем желающим за определенную сумму (от $150) предлагается стать обладателем собственной “эксклюзивной” версии Backdoor’а, настроенной в соответствии с пожеланиями заказчика.

Опасной тенденцией 2003-го стало стремительное появление в конце лета нового класса троянских программ — TrojanProxy (троянские программы для внедрения на компьютеры прокси-серверов). Это стало первым и наиболее явным признаком объединения вирусных и спамерских направлений.

Пораженные такими “троянцами” машины в дальнейшем используются спамерами для своих рассылок, причем владелец зараженного компьютера может даже и не подозревать о факте злоупотребления. Очевидно, спамеры, причастны еще к нескольким крупным эпидемиям, когда первоначальное распространение вредоносной программы проходило при помощи спам-технологий (Sobig).

Вторым активно развивающимся классом можно считать сетевых червей, размножающихся путем подбора паролей к удаленным сетевым ресурсам. Такие черви, как правило, базируются на клиенте IRC (Internet Relay Chat), осуществляют сканирование адресов пользователей IRC-каналов и пытаются проникнуть на их компьютеры через протокол NetBIOS и 445-й порт. Наиболее ярким представителем этого класса можно считать семейство сетевых червей Randon.

Необходимо также отметить прогрессирующее распространение технологии “ретровирусности” во вредоносных программах. Эта особенность подразумевает наличие встроенных функций защиты от антивирусных программ и межсетевых экранов — удаление их копий из памяти компьютера. В частности, такими функциями обладали упоминавшиеся выше Swen, Lentin и Tanatos.

* Данные получены на основе мониторинга трафика почтовых систем, где установлен “Антивирус Касперского”.

В. М.

Версия для печати