Ежемесячный вирусный обзор ЗАО "ДиалогНаука" - март 2003

01 апреля 2003

[01.04.2003]

Служба мониторинга вирусной активности ЗАО "ДиалогНаука" публикует обзор вирусной ситуации за март 2003 г.

В отличие от довольно спокойного февраля, март 2003 года оказался весьма насыщенным не только различными вирусными событиями, но и инцидентами, связанными с компьютерной безопасностью. Одной из важнейших тем в мире вирусов стало, безусловно, начало войны в Ираке. Это само по себе не явилось неожиданностью, компьютерный мир был наводнен слухами о возможных вылазках проиракских хакеров еще задолго до начала "освобождения" Ирака. Вместе с тем, по истечении первых десяти дней войны можно констатировать, что ничего катастрофического пока не произошло.

Среди тенденций первого весеннего месяца хотелось бы отметить следующие.

Снижение абсолютного количества почтовых червей семейства Klez

Продолжая оставаться лидирующим червем во всех статистических обзорах, Win32.HLLM.Klez.4 начал в марте существенно сдавать свои позиции. Данные последних дней марта дают основания предположить с известной степенью осторожности, что в обозримом будущем эпидемия этого червя станет историей. Да и пора бы - ведь в апреле исполнится ровно год, как этот червь практически не сходит с первой строчки всех вирусных обзоров.

Многовекторность вирусных атак

В появившихся в течение марта вирусах продолжает прослеживаться тенденция аккумуляции в пределах одной вредоносной программы широкого спектра имеющихся на сегодня средств проникновения и последующего запуска вирусов в пораженных системах.

Механизмы распространения
Наравне с непрекращающимся использованием для распространения вирусов средств электронной почты, авторы червей активно используют файлообменные сети, сети диалогового общения mIRC и ICQ и возможности распространения по доступным для совместного пользования дискам локальных сетей (подробнее об этом читайте ниже), стремясь в рамках одного вирусного кода претворить в жизнь как можно полнее все доступные на сегодняшний день способы для компрометации компьютерных систем.

Механизмы активации
Не довольствуясь более прописыванием исполняемых вирусных модулей в реестровые ключи автозапуска, современные черви все чаще обеспечивают свою дополнительную активацию при запуске любого исполняемого или иного часто используемого формата файлов, например, текстового, прописывают себя в папки рабочего стола и панели задач.

Использование методов социальной инженерии

Среди других продолжающих развиваться тенденций этого месяца следует отметить широкое использование методов так называемой социальной инженерии. Не утруждая себя разработкой новых программистских приемов проникновения на компьютеры, вирусописатели совершенствуют свое мастерство в изобретении все новых стимуляторов человеческого любопытства и методов использования элементарной беспечности. Безусловно, самой привлекательной наживкой для любопытствующих в этом месяце стала тема войны в Ираке, эксплуатация интереса к которой вызвала появление большого количества "антивоенных" червей и увеличение числа атак на сайты стран антииракской коалиции, преимущественно США и Великобритании. Правда, стоит отдать должное и хакерам - сторонникам Буша и Блэра, не сидящим сложа руки и отметившим конец марта разгромом сайта катарской телевизионной компании Аль-Джазира, показавшей убитых американских солдат.

На этом фоне некоторую растерянность вызвало сообщение о проведении атаки на сайты вооруженных сил США, во время которой хакерами была использована уязвимость в программном обеспечении Windows, причем до того, как эта уязвимость была обнаружена и устранена разработчиками Microsoft! Следует отметить, что прошедший месяц оказался достаточно урожайным на обнаруженные дефекты в самой распространенной в мре ОС. Из 10 выявленных и устраненных в этом году уязвимостей в системах Microsoft, из которых почти все получили статус "критических", 4 пришлось именно на март.

Увеличение числа политически мотивированных вирусов

Нарастает тенденция к созданию политически мотивированных вирусов, как зеркального отображения происходящих в мире событий, выплеснувшихся в мир виртуальный. Обезображенные антивоенными лозунгами сайты американских и британских компаний, павшие жертвами маскирующихся политическими лозунгами компьютерных бандитов и обилие вредоносных программам, демонстрирующих отношение их создателей к начавшейся войне против Ирака, неуклонно увеличивается.

Roger.45056/Ganda
Наиболее показательным в этом ряду стоит отметить появление наделавшего некоторого шума червя Win32.Roger.45056 (он же Ganda или Densux), автор которого, для убеждения пользователей открыть полученное вложение, предлагал посмотреть содержащиеся в нем спутниковые фотографии иракских позиций. Темы писем и сопроводительные тексты к ним были написаны на, прямо скажем, не самом распространенном в мире шведском языке, что, казалось бы предопределяло относительно незначительную степень распространения червя и невысокие шансы его выживания в "дикой природе". Однако этот червь, по данным Службы мониторинга вирусной активности ЗАО "ДиалогНаука", финишировал в марте на 13 месте. Кстати, создателя червя всего через несколько дней после выпуска вируса на волю уже допрашивала щведская полиция.

Семейство Win32.HLLM.Yaha
Продолжает оттачивать мастерство группа индийских хакеров Indian Snakes, "осчастливившая" мир весной 2002 г. рождением нового почтового червя семейства Yaha. "Неуловимые мстители" не прекращают перебранку со своими пакистанскими обидчиками, перенеся отношения своих стран в виртуальную плоскость, являя миру все новые и новые творения. Мартовская модификация червя, получившая название Win32.HLLM.Yaha.4, за 4 дня вышла на 2-е место среди самых распространенных вредоносных программ, присутствующих в российском сегменте сети Интернет и каждую среду с завидным упорством предпринимает попытки ознакомить пользователей глобальной сети с сайтом этой хакерской группы, изменяя домашнюю страницу Internet Explorer на http://www.indiansnakes.cjb.net. На сегодняшний день каждый пятый вирус, останавливаемый антивирусом DrWeb® на почтовых серверах, принадлежит к семейству Yaha.

Эксплуатация слабых сторон политики компьютерной безопасности

В первую очередь, это проникновение в сети методом подбора паролей с использованием содержащихся в телах червей словарей. Вообще, эта проблема стоит достаточно остро, так как компрометацию пароля можно заметить, чаще всего, только тогда, когда уже слишком поздно. Атака методом подбора паролей уже не в первый раз применяется создателями вирусов. В марте этот метод проникновения на сетевые компьютеры наиболее эффективно был использован Win32.HLLW.Deloder и Win32.HLLM.Lovgate.2.

Начало всех эпидемий червей семейства Lovgate (как значительной, в случае с Win32.HLLM.Lovgate, так и мало существенной - Win32.HLLM.Lovgate.2) приходилось на Восточное полушарие, что позволяет говорить о его восточном происхождении. Причем если в первом варианте вируса был использован достаточный небольшой словарь для подбора ключа системам, то в мартовской модификации он был значительно расширен.

Win2K.CodeRed.3379 - снова администраторы повержены!

Появление во второй декаде марта нового штамма из семейства изрядно нашумевших бестелесных червей CodeRed, нынешнему варианту которого его создатель продлил жизнь практически до бесконечности, в который раз продемонстрировало, что далеко не все администраторы сетей поспешили установить опубликованную еще в июне 2001 г. компанией Microsoft заплату, закрывающую брешь в Internet Information Service версий 4.0 и 5.0, которая позволяет червю активизироваться при попадании на атакуемый сервер в виде обычного сетевого TCP-пакета. Как и в случае с предыдущими вариантами Code Red, а также с другим "бестелесным" червем, антивирусны сканер Dr.Web® - по-прежнему единственный, кто детектирует и обезвреживает этого червя в памяти компьютера.


Статистика

За март 2003 года вирусная база Dr.Web® пополнилась 599 новыми записями. Из них троянские программ было 196, программ-люков - 168, почтовых червей - 38, сетевых червей - 29, скриптов - 25.

Virus types chart - March 2003

223 различных типа вирусов было обнаружено в течение месяца в файлах пользователей, которые были загружены на сайт ЗАО "ДиалогНаука" для онлайн-проверки на вирусы.

Ниже приводится краткая таблица результатов онлайн-проверки за месяц:

Предлагаем также ознакомится со сводной таблицей вирусов, чаще всего обнаруживавшихся на почтовых серверах в марте. Всего за прошедший месяц антивирусными фильтрами Dr.Web было "поймано" около 4,67 млн.вирусов 810 видов (для сравнения - в феврале было 8,2 млн. 728 видов, в январе было 11,3 млн. 942 видов). За последние три месяца наблюдается существенное сокращение доли семейства Klez в общей статистике, однако, как мы указывали ранее, она по-прежнему велика в силу особенностей кода червей этого семейства, стремящихся распространиться через почтовые серверы одного из российских провайдеров.

ВирусКоличество%
1. Win32.HLLM.Klez.4 4673906 77,08
2. Win32.HLLM.Klez.1 711393 11,73
3. Win32.HLLM.Yaha.64000 282060 4,65
4. Win32.HLLM.Yaha.4 98396 1,62
4. Win32.HLLM.Yaha.1 80807 1,33
5. Win32.HLLM.SirCam.1 47289 0,78
6. Win32.HLLM.Reteras 41268 0,68
7. VBS.Redlof 30056 0,50
8. Win32.HLLM.Yaha.5 19935 0,33
9. Win32.HLLM.Avril.2 7705 0,13
10. W97M.Thus 5554 0.09
11. Win32.HLLM.Bugbear 5318 0,09
12. Win32.Roger.45056 4983 0,08
13. Win32.HLLM.Yaha.2 4936 0,08
14. Win98.Vecna.23040 4492 0.08
15. VBS.HappyTime 2830 0.05

11
;