Ежемесячный вирусный обзор ЗАО "ДиалогНаука" - июль 2003

11 августа 2003

[11.08.2003]

По сравнению с бурным июнем, июль нынешнего года не принес каких-либо серьезных потрясений. Этот месяц можно, скорее назвать месяцем напряженного ожидания. Ожидания объявленных заранее хакерских атак.

Одна такая атака состоялась в самом начале месяца (см. наши новости от 3 и 6 июля). Несмотря на то, что она не имела того эффекта, который предрекали некоторые специалисты в области компьютерной безопасности, тем не менее, нельзя отрицать тот факт, что на протяжении нескольких дней весь компьютерный мир жил в тревожном ожидании.

С другой стороны, масла в огонь подлили многочисленные сообщения об обнаружении новых уязвимостей (в том числе - двух критических) в операционных системах Microsoft. Мы остановимся на этом вопросе ниже в нашем обзоре, однако здесь отметим, что вопросы безопасности, а вернее, небезопасности информационных систем в прошедшем месяце были главенствующей темой большинства публикаций.

Анализ вирусов, которые в основном обратили на себя внимание в июле, также подтверждает то, что центр тяжести угроз реально смещается. Все больше появляется вредоносных программ, распространяющихся как по сети интернет, так и по локальным сетям, что свидетельствует о стремлении вирусописателей наносить максимальный вред нанести именно корпоративным пользователям, взламывая их сети путем подбора паролей. Можно уже смело говорить, что меньше соблюдается "чистота жанра" - создаваемые в последнее время вирусные программы практически не подлежать однозначной квалификации. Все чаще пользователи интернета рискуют заразиться не почтовым или сетевым червем в чистом виде, а целым троянским комплексом, который превратит зараженный персональный компьютер в буквальном смысле "место общего пользования".

Соответственно, изменяется и характер угроз. Если ранее ущерб от вирусов ассоциировался в основном с разрушением информации, снижением производительности компьютеров, массовой рассылкой самих вирусов, и лишь изредко - со случайной рассылкой хранящейся на компьютерах конфиденциальной информации, то теперь все чаще речь идет об осознанном хищении персональных данных, в том числе и финансового характера.

Число желающих (и имеющих возможность, при условии наличия необходимого багажа знаний) поправить свое материальное благосостояния за счет человеческой беспечности неуклонно растет. Компьютерные преступления, совершаемые сегодня в банковской сфере - будь то внутреннее вредительство или проникновение извне с помощью компьютерных вирусов - червей, распространяющих троянские программы, ворующие номера кредитных карт и пароли доступа к счетам - приобретают характер массовый. Однако, по вполне понятным причинам, факты взломов банковских систем редко становятся достоянием общественности. Да и эффективность раскрытия подобных преступлений ничтожно мала. По некоторым оценкам, более 90% компьютерных преступлений, связанных со взломами, остаются нераскрытыми.

Методы социальной инженерии, используемые сегодня взломщиками, так называемый человеческий фактор играют далеко не последнюю роль в успешном проникновении в систему. А наличие не заплатанных прорех в используемом программном обеспечении делает компьютеры еще более уязвимыми.

Июль выдался урожайным и на публикацию компанией Microsoft бюллетеней, посвященных обнаружению уязвимостей в ее программном обеспечении. В этом месяце сразу 9 погрешностей в разрабатываемом компанией софте (всего в 2003 г. был обнародован 31 бюллетень) было обнаружено и закрыто разработчиками самой популярной операционной системы. О самых опасных из них с точки зрения возможности проникновения на компьютеры мы писали в наших новостях от 19 и 25 июля. Спустя всего несколько дней после публикации одного из них - MS 03-26 - посвященного обнаружению дыры в протоколе вызова удаленных процедур (подробнее об этом читайте в новости от 19.07.2003) группа хакеров из Китая под названием X Focus направила в несколько интернет изданий, занимающихся вопросами компьютерной безопасности исходный код, эксплуатирующий эту уязвимость. Эксперты в сфере кибер-безопасности не исключают, что в скором времени может появиться и полнофункциональный червь, обладающий способностью проникать на подверженные данной уязвимости компьютеры, а эпидемия, которая вероятнее всего последует за выпуском червя в "дикую природу" не будет знать себе равных за всю историю компьютерной вирусологии. Уже не первый раз вслед за публикацией пачтей к ошибкам в ПО следовали масштабные вирусные атаки. Так было и в случае с червем Slammer, патч, закрывающий уязвимость в серверах MS SQL которого был опубликован за 6 месяцев до его появления, так было и в 2001 г., когда всего спустя месяц после публикации информации об обнаружении уязвимости в веб-серверах компании Microsoft последовала эпидемия червя CоdeRed.


Статистика

За июль 2003 года вирусная база Dr.Web® пополнилась 388 новыми записями. По типам вирусов они распределялись следующим образом:

  • Троянские программы - 246
  • из них - программы-люки (backdoor) - 85
  • Сетевые черви - 30
  • Почтовые черви - 24
  • FDOS-вирусы - 19
  • Скрипт-вирусы - 15
  • BAT-вирусы - 11
  • Вирусы-паразиты - 6
  • DDOS-вирусы - 4
  • Макро-вирусы - 2
  • 956 вирусов 288 различных типов были обнаружены в течение месяца в файлах пользователей, которые были загружены на сайт ЗАО "ДиалогНаука" для онлайн-проверки на вирусы.

    Ниже приводится краткая таблица результатов онлайн-проверки за месяц:

    Предлагаем также ознакомиться со сводной таблицей вирусов, чаще всего обнаруживавшихся на почтовых серверах в июле. Всего за прошедший месяц антивирусными фильтрами Dr.Web было "поймано" около 2,17 млн. вирусов 1006 видов (для сравнения - в июне было 3,39 млн. 993 видов, в мае - 4,28 млн. 734 видов, в апреле - 2,67 млн. вирусов 702 видов).

    ВирусКоличество%
    1 Win32.HLLM.Yaha.4 882195 40,67
    2 Win32.HLLM.Klez.4 534496 24,64
    3 Win32.HLLM.Reteras 396909 18,3
    4 Win32.HLLM.Bugbear.2 131381 6,06
    5 Win32.HLLM.Yaha.64000 40426 1,86
    6 Win32.Roger.45056 24583 1,13
    7 Win32.HLLM.Klez.1 17292 0,8
    8 VBS.Redlof 16356 0,75
    9 Win32.HLLM.Generic.145 15743 0,73
    10 Win32.HLLM.Yaha.1 13797 0,64
    11 BackDoor.AntiLame.20 12980 0,6
    12 Win32.HLLM.Yaha.5 9855 0,45
    13 Win32.HLLM.Fear.3 7302 0,37
    14 Win32.HLLM.Avril.2 7062 0,33
    15 Win32.HLLM.Fizzer 6649 0,31

    11
    ;