Ежемесячный вирусный обзор ЗАО "ДиалогНаука" - июнь 2003

02 июля 2003

[02.07.2003]

Пожалуй, одним из самых примечательных событий "прохладного" во всех отношениях июня можно считать появление ремейка наделавшего в свое время много шума почтового червя массовой рассылки семейства Bugbear (о возникновении и распространении его прародителя читайте нашу новость от 04.10.2002 г.), в свое время низвергнувшего с пьедестала "вечного" странника, тоже почтового червя - Win32.HLLM.Klez.4. Нельзя не отметить стремительность, с которой Win32.HLLM.Bugbear.2 распространился в Интернете - в этом он был как две капли воды похож на своего октябрьского предшественника. Создатель этого вредоносного кода прибёг к надежно зарекомендовавшему себя способу - использованию уязвимости ряда версий Microsoft Internet Explorer, которая позволяет запускать любой исполняемый файл, пришедший в виде приложения к письму по электронной почте, без ведома пользователя. Этот способ в сочетании с рядом других хитроумных приемов, реализованных в коде червя, предопределил молниеносное распространение Bugbear.2 практически по всему Интернету. В течение июня Службой мониторинга вирусной активности ЗАО "ДиалогНаука" зафиксировано рекордное число обращений пользователей, пострадавшими именно от этого червя.

Вместе с тем, применение этого метода не гарантирует червю продолжительного массового распространения во всемирной сети. По мере обновления антивирусных средств вероятность его детектирования как на почтовых серверах, так и на рабочих станциях повышается весьма существенно. Как и в октябре 2002 года, в июне 2003 года семейство Bugbear недолго было на вершине "популярности" среди прочих вирусов, хотя след о себе оставило заметный. На смену ему пришел Win32.HLLM.Reteras, "выигравший" месяц вчистую.

Reteras: шпионские игры с цивилизованным человечеством

Впервые компьютерный мир столкнулся с Win32.HLLM.Reteras в январе 2003 года. С самого своего появления этот почтовый червь выделялся среди других скоростью своего распространения и, соответственно, массовостью присутствия в глобальной сети. Уже тогда была зафиксирована его важная особенность - попытки загрузить на зараженный компьютер с внешних сайтов троянскую программу, являющуюся прокси-сервером для массовой рассылки спама. Это не было первым случаем "многоступенчатой" вредоносной программы, которая скачивала бы свои последующие компоненты из интернета, но это было едва ли не первой подобной акцией, настолько хорошо спланированной и осуществленной в таком широком масштабе. И хотя сайты, которые служили хранилищем "второй" и "третьей" ступени червя, довольно быстро были закрыты, его создатели получили в свое распоряжение достаточно большое, если не сказать огромное количество прокси-серверов для осуществления своих замыслов.

Следующая версия Reteras - Win32.HLLM.Reteras.2 - появилась в мае 2003 года. На этот раз червь имел весьма ограниченный срок жизни и загружал свои дополнительные модули с сайта Geocities. По второму представителю семейства Reteras уже стало ясно: самое главное для его создателей - загрузить некие дополнительные модули на зараженные компьютеры. Ограничение червя по времени жизни преследовало явную цель - уйти довольно быстро со сцены, оставив вместо себя незаметную программу-люк, обнаружить которую гораздо сложнее вследствие неочевидности ее действий.

Однако только в июне создатели червя решили в конце концов свою задачу - создали некую распределенную по всей глобальной сети инфраструктуру, позволяющую довольно эффективно поставлять на зараженные червем компьютеры троянские компоненты. При этом механизм распространения самого червя достаточно оригинален - 5-й представитель этого семейства, побивший все рекорды по распространяемости в июне, пересылается по почте всего-навсего в виде ZIP-архива. Главная цель, которая при этом преследуется - пройти незамеченным через защищенные антивирусами почтовые серверы, которые чаще всего не сканируют архивированные файлы, а некоторые, не пропуская письма с вложениями в виде исполняемых файлов, "не замечают" файлы с расширениями *.ZIP или *.RAR. С учетом распространения червя Win32.HLLM.Reteras по почте только в архивированном виде, в вирусную базу Dr.Web® внесена специальная запись, определяющая Reteras без распаковки архива

Учтены в июньских версиях Reteras и быстрые ответные меры со стороны тех интернет-площадок, на которых авторы червя размещали хранилища для скачивания дополнительных модулей. Уже начиная с версии, появившейся в середине июня, - рядом антивирусных вендором она названа Sobig.D - "выход в эфир" с зараженного компьютера происходил только в строго определенный промежуток времени и по адресам, тщательно зашифрованным в теле червя. Тот же метод затем был повторен в следующем варианте этого червя (Sobig.E), который в конце месяца вышел на первое место в вирусной "табели о рангах", впервые за долгое время оставив на втором месте почтового червя индийского происхождения Win32.HLLM.Yaha.4. Таким образом, в течение всего только полутора месяцев весь компьютерный мир стал свидетелем того, как один за другим следовали все новые и новые версии одного и того же червя, с каждым разом становящиеся все более изощренными. Чередование этих разновидностей одного кода имеет одну цель - создать максимально большую сеть прокси-серверов по всему миру с целью крупномасштабной рассылки спама, а также сбора конфиденциальной информации с зараженных компьютеров. Так, в случае загрузки последниими версиями Reteras всех своих троянских компонентов, сформированная на зараженном компьютере вредоносная система начинала логировать нажатия всех клавиш пользователем, если он открывал в своем браузере какую-либо страницу сайта популярных платежных систем или пытался выполнить банковские операции через интернет. Украденные таким образом пароли затем отсылались на сервер злоумышленника со всеми вытекающими последствиями.

Безусловно, семейство почтовых червей Reteras еще долго будет эксплуатировать человеческое любопытство, толкающее миллионы пользователей не только распаковать архив, пришедший под интригующим названием "your_details", но и запустить найденный в этом архиве исполняемый файл.


Статистика

За июнь 2003 года вирусная база Dr.Web® пополнилась 381 новой записью. Из них троянских программ было 229, в том числе программ-люков - 128, сетевых червей - 35, почтовых червей - 33, макровирусов - 4, скрипт-вирусов - 15, FDOS-вирусов - 11, вирусов-паразитов - 6, BAT-вирусов - 10.

2847 вирусов 482 различных типов были обнаружены в течение месяца в файлах пользователей, которые были загружены на сайт ЗАО "ДиалогНаука" для онлайн-проверки на вирусы.

Ниже приводится краткая таблица результатов онлайн-проверки за месяц:

Предлагаем также ознакомиться со сводной таблицей вирусов, чаще всего обнаруживавшихся на почтовых серверах в июне. Всего за прошедший месяц антивирусными фильтрами Dr.Web было "поймано" около 3,39 млн. вирусов 993 видов (для сравнения - в мае было 4,28 млн. 734 видов, в апреле - 2,67 млн. вирусов 702 видов, в марте - 4,6 млн. 801 вида).

ВирусКоличество%
 1 Win32.HLLM.Yaha.4 1984943   58.47 
 2 Win32.HLLM.Klez.4 556959   16.40 
 3 Win32.HLLM.Bugbear.2 299735   8.83 
 4 Win32.HLLM.Reteras 298985   8.80 
 5 Win32.HLLM.Generic.145 43144   1.27 
 6 Win32.HLLM.Yaha.5 35728   1.05 
 7 Win32.HLLM.Klez.1 25626   0.75 
 8 Win32.HLLM.Reteras.3 24147   0.71 
 9 Win32.HLLM.Yaha.64000 23082   0.68 
 10 Win32.HLLM.Yaha.1 17218   0.50 
 11  Win32.Roger.45056  16314   0.48 
 12  VBS.Redlof  7975   0.23 
 13  Win32.HLLM.SirCam.1  7780   0.22 
 14  Win32.HLLM.Fizzer  7091   0.20 
 15  W97M.Thus  5241   0.15 

9
;