Ежемесячный вирусный обзор ЗАО ДиалогНаука - январь 2003

02 февраля 2003
[02.02.2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" публикует анализ вирусной ситуации за январь 2003г.

Едва успев прийти в себя после декабрьского затишья (которое можно назвать таковым лишь на фоне гораздо более неспокойных в вирусном отношении предыдущих месяцев), компьютерный мир с самых первых дней января 2003 года оказался ввергнутым в пучину целой серии эпидемий почтовых червей. К тем, которые остались в наследство с 2002 года - Win32.HLLM.Klez.4, Win32.HLLM.Yaha.64000, Win32.HLLM.SirCam.1, Win32.HLLM.Bugbear, Win32.HLLM.Seoul - прибавился новый клон семейства Yaha - Win32.HLLM.Yaha.1, который лишний раз продемонстрировал, что группа индийских хакеров еще долго будет будоражить своими вредоносными творениями не только пакистанские интернет-сайты, но и весь мир.

Но стоило закончиться новогодним и рождественским праздникам, как в считанные дни несколько эпидемий почтовых червей захлестнули Интернет. Это, прежде всего, две модификации семейства Avril - Win32.HLLM.Avril.1 и Win32.HLLM.Avril.2 (по классификации других антивирусных компаний - Lirva). Второй из них, появление которого было объявлено в первой версии червя, всего лишь за сутки вышел на первую позицию в вирусной статистике Рунета, опередив Win32.HLLM.Klez.4. При этом Avril.2 не только распространялся сам по себе, но и старался закачать и запустить на пораженном компьютере программу-люк, предоставляющую возможность удаленного администрирования компьютера-жертвы.

Спустя всего лишь два дня после начала эпидемии Avril.2 на Рунет накатилась новая волна эпидемии. На этот раз ее вызвал почтовый червь Win32.HLLM.Reteras (известный также под названием Sobig). Любопытно, что для своего распространения этот червь использовал весьма скудный набор средств, в частности, на этот раз не было сделано ставки на печально известную уязвимость ряда почтовых клиентов Microsoft. Несмотря на это, Reteras очень быстро вышел на первое место в почтовом трафике основных российских провайдеров - в первые три дня эпидемии фиксировалось до 50000 зараженных писем в сутки.

Таким образом, середина месяца (особенно 13-15 января) оказалась самой неблагополучной в вирусном отношении за последние несколько месяцев, поскольку в это время произошло своего рода совмещение сразу трех серьезных вирусных эпидемий. В двух случаях из трех речь шла не только о почтовых червях, массово рассылающих себя с зараженных компьютеров, но и о помещении в систему троянской программы, от которой в последствии можно ждать самых разных неприятностей. Это в целом подтверждает тенденцию, которая четко проявилась еще в 2002 году - почтовые черви реально используются и будут в дальнейшем использоваться как надежный транспорт для "доставки" на компьютеры пользователей всевозможных программных модулей ("троянских коней"), в том числе и средств несанкционированного удаленного доступа. Ущерб, который может нанести присутствие троянской программы на персональном компьютере, порой может на порядок превосходить ущерб от потери данных, поскольку во многих случаях компании скорее предпочли бы уничтожить свою деловую информацию, чем предоставить к ней неконтролируемый доступ извне.

Именно в этом контексте мы рассматриваем и события 25 января, связанные с эпидемией интернет-червя Win32.SQL.Slammer.376, который в считанные часы обрушил целые национальные сегменты интернета в ряде стран мира. На этот раз под угрозой оказались именно данные - поскольку червь атаковал компьютеры с работающим Microsoft SQL Server 2000. Снижение пропускной способности основных интернет-узлов вследствие многократного увеличения трафика между серверами было самой заметной частью этой вирусной атаки. Однако сам факт проникновения чужеродного кода в адресное пространство программы, управляющей огромными массивами данных - вещь, на наш взгляд, куда более опасная и заслуживающая гораздо большего внимания, чем ей уделяется до сих пор в средствах массовой информации.

Обращает на себя внимание то обстоятельство, что все январские вирусные эпидемии - это не что-либо сверхъестественное, неподвластное людям, не "начало конца" интернета, как заявляют некоторые эксперты в области компьютерной безопасности, а всего лишь следствие все той же беспечности интернет-пользователей, благодаря которой 2002 год стал "годом червя". Если Slammer использовал брешь в MS SQL Server 2000, о которой фирма-разработчик объявила "всего" полгода назад (см. нашу информацию на эту тему), то почтовые черви уже третий год с успехом паразитируют на всем известной уязвимости MS Internet Explorer, которая позволяет запускать любой исполняемый файл, пришедший вместе с электронным письмом, без согласия на то пользователя. Причем если во втором случае речь идет о беспечности обычных пользователей, то первый имеет отношение к профессионалам, которые по должности обязаны заботиться о безопасности вверенных им компьютерных систем. Эпидемия Slammera продемонстрировала очень ярко - системные администраторы в основной массе своей очень далеки от забот об антивирусной защите.

Многолетний анализ вирусных атак, как малозначительных, так и весьма резонансных, свидетельствует о том, что в 99% случаев злоумышленники используют известные уязвимости в системах безопасности как отдельного программного обеспечения, так и операционных систем в целом, к которым выпущены соответствующие патчи фирмами-производителями. А это говорит о том, что пока еще преждевременно поднимать тревогу по поводу всеобщей анонимности и анархии в интернете и призывать к созданию параллельной высокозащищенной сети с безусловной идентификацией пользователей. На это можно возразить, что очень редко террористы-самоубийцы остаются неидентифицированными, но вот какой от этого прок для тех, кто погиб вместе с ними? Беспечно открытый порт 1434 UDP на десятках тысяч компьютеров в случае с червем Slammer - это та же незапертая дверь в кабину пилотов, которую легко открыли террористы 11 сентября 2001 года. Гораздо проще и экономически выгоднее заранее позаботиться о том, чтобы дверь была заперта, чем потом долгие годы пропускать все население страны через рамки металлоискателей.

Безусловно, используя для распространения своих одиозных творений недостатки операционных систем, вирусописатели стараются одновременно сделать свои программы менее уязвимыми для антивирусов. В частности, большой упор делается на применение новых версий упаковщиков, которые превращает известный код в практически неузнаваемый. Специалисты ЗАО "ДиалогНаука" в течение января в реальном времени наблюдали за тем, как некая группа хакеров оттачивала свое мастерство, пытаясь таким убразом упаковать BackDoor.Generic.227, чтобы он не обнаруживался антивирусным сканером Dr.Web®.

На фоне растущего числа разновидностей реальных вирусов обращает на себя внимание и достаточно большое количество так называемых вирусных мистификаций. В частности, только по поводу известной вирусной мистификации, связанной с файлом Jdbgmgr.exe, в январе поступило 41 обращение.


Статистика
За январь 2003 года вирусная база Dr.Web® пополнилась 641 новой записью. Безусловно, основная масса новых вирусов - это коллекционные вирусы, реально встречающихся на компьютерах пользователей вирусов гораздо меньше. 157 различных типов вирусов было обнаружено в течение месяца в файлах пользователей, которые были загружены на сайт ЗАО "ДиалогНаука" для онлайн-проверки на вирусы. Ниже приводится краткая таблица результатов онлайн-проверки за месяц:

Далее приводится сводная таблица вирусов, чаще всего обнаруживавшихся на почтовых серверах в январе. Всего в январе антивирусными фильтрами Dr.Web было "поймано" около 11,3 млн.вирусов 942 видов (для сравнения - в декабре 2002 - 14,4 млн. 883 видов). В силу специфики вирусного кода червей семейства Klez, они, как магнитом притягиваются на серверы некоторых провайдеров, в том числе и российские. Это вызывает определенный перекос в статистике в "пользу" Win32.HLLM.Klez.

ВирусКоличество%
1. Win32.HLLM.Klez.4 8416681 74,24
2. Win32.HLLM.Klez.1 1859263 16,40
3. Win32.HLLM.Reteras 282372 2,49
4. Win32.HLLM.Avril.2 230989 2,04
5. Win32.HLLM.Yaha.64000 225629 1,99
6. Win32.HLLM.Yaha.1 122158 1,08
7. Win32.HLLM.SirCam.1 70234 0,62
8. VBS.Redlof 28617 0,25
9. Win32.HLLM.Bugbear 11059 0,10
10. W97M.Thus 8735 0.08
11. Win32.HLLM.Avril.1 8709 0.08
12. Win32.HLLM.Seoul 8626 0.08
13. VBS.HappyTime 6932 0.06
14. Win98.Vecna.23040 5093 0.04
15. Win32.HLLM.Yaha.2 3286 0.03

7
;