Ежемесячный вирусный обзор ЗАО "ДиалогНаука" - май 2003

01 июня 2003

[01.06.2003]

В сравнении со спокойным и безмятежным апрелем, май нынешнего года выдался на редкость напряженным и полным самых разнообразных вирусных событий. Вирусные эпидемии несколькими мощными волнами накатывали как на российский сегмент Интернета, так и на всемирную сеть в целом - Fizzer, целый выводок червей из семейства Lovgate, новая модификация Reteras.

При всем многообразии эпидемических червей, которые явили себя миру в мае, практически все они в своих функциях отражают тенденции, наблюдающиеся из месяца в месяц в вирусном мире. Это, во-первых, отказ вирусописателей от использования знаменитой бреши в системе безопасности Microsoft Internet Explorer, связанной с неверной обработкой MIME-заголовков (IFRAME), для распространения по электронной почте своих вредоносных творений. С одной стороны, данная брешь уже стала настолько знаменитой, что всерьез рассчитывать на нее для распространения вируса уже невозможно - клиенты в основной массе обновились, правда, с двухлетним опозданием. С другой - сегодня каждый уважающий себя антивирусный вендор включил в свои базы проверку на наличия вышеуказанного подозрительного заголовка, что сводит к минимуму возможность проникновения новых вирусов, использующих эту уязвимость, в защищенные антивирусами сети.

Во-вторых, на первый план выходят методы так называемого "социального инжиниринга", которые никакими антивирусами не обнаруживаются, зато которые имеют невероятно богатый человеческий материал для своего совершенствования - практически все население Земли. Блестящий пример этого - майский экземпляр червя Win32.HLLM.Reteras, в котором очень умело использовано безграничное доверие всех компьютерных пользователей ко всемирно известной компании Microsoft.

В-третьих, это все более широкое использование для распространения вредоносных программ файлообменных сетей и сетей диалогового общения по Интернету. Теперь практически любой червь, заражая компьютер, не только старается оповестить всех корреспондентов своей жертвы о своей очередной победе, но и заботливо перебирает все каталоги и системный реестр в поисках последующего трамплина - специальных каталогов, доступных участникам файлообменных сетей, а также инициализационных файлов для диалогового общения по всемирной сети (например, IRC).

Наконец, четвертая тенденция, которая только начинает проявляться, - это использование червями и троянскими программами компьютеров своих жертв для проведения самых разнообразных несанкционированных действий по отношению к другим участникам Интернет-сообщества - например, рассылок спама.

Совершенствование атак с использованием IRC
В ходе разразившейся в мае эпидемии червя Fizzer наиболее пострадали пользователи систем диалогового общения Internet Relay Chat (IRC), механизм распространения по которым заложен в коде червя. В течение короткого периода времени после выпуска червя в дикую природу количество соединений на более чем 150 сетях между их пользователями превысило обычное в десятки раз. Угроза оказалась настолько серьезной, что международная федерация Internet Relay Chat (International Federation IRC) была вынуждена дать организованный отпор, создав Fizzer Task Force.

Программа Fizzer Task Force явилась частью проекта под названием IRC Unity, объедяющем IRC сети разной величины, включая и так называемую "Большую пятерку", в их борьбе против современных угроз осуществляемых посредством систем диалогового общения в Интернете, таких, например, как DdoS - атаки. Именно в рамках этой программы одним из членов группы был декомпилирован код вируса Fizzer внутри которого была обнаружена деинсталлирующая червя команда. Члены этой группы выложили на сайт, использовавшийся червем для загрузки обновлений, утилиту Fizzer cleaner, вынудившую червя самому удалять все метки в системном реестре.

Почтовые черви как переносчики спама
Ключевой тенденцией этого месяца можно отметить все более частое использование возможностей всепроникающих интернет-червей для тотальной доставки конечным пользователям - нам с вами - спама. Уже не первый месяц Интернет-сообщество бьет тревогу о катастрофическом нарастании и лавинообразном заполнении почтовых ящиков всевозможным мусором, отвлекающим от работы, причем за доставку которого платим мы с вами собственным трафиком. С чего начинается утро служащих компании? С очистки своих ящиков с входящей корреспонденцией от спама. Предлагаемые сегодня спам-фильтры позволяют, до некоторой степени, снизить количество виртуального мусора, сбрасываемого в наши почтовые ящики. Их дальнейшее усовершенствование, возможно, сможет в значительной мере избавить нас от этой чумы наших дней, и, предчувствуя эту угрозу спамеры ищут новые способы проникновения на наши компьютеры.

В этой связи своеобразной пробой пера выглядит появление второй версии червя Reteras известного также под именами Palyh и Mankx. (см. наши новости от 19 и 20 мая 2003 г.). На редкость удачно исполненный механизм распространения, успеху которого, в немалой степени, способствовало прикрытие червя якобы легитимным сообщением от компании Microsoft, позволил агрессору в ничтожно малые сроки свалить "вечного" странника Рунета Win32.HLLM.Klez.4. Но самым тревожным в его механизме можно считать установку открытого HTTP-сервера на пораженные компьютеры, используя посредничество которого можно безнаказанно рассылать спам, совершенно не рискуя быть узнанным и привлеченным к ответственности. Тайно установленный на компьютере сервер может сколько угодно задействовать ресурсы системы, заставляя ни в чем неповинных пользователей участвовать в глобальной рассылке спама, и к тому же еще платя за это. Такой HTTP-сервер позволяет установить опосредованное соединение с Интернетом и сделать невозможным попытки определить происхождение отсылаемых запросов, что жизненно необходимо для кибер-преступников.

И еще одна новость мая, из разряда курьезных. Университет канадского города Калгари объявил, что начиная с нынешней осени, в программу его занятий будет внесен специальный курс, посвященный написанию …компьютерных вирусов и другого вредоносного кода. В антивирусном мире новость воспринята неоднозначно - от решительного осуждения, до благодушного оправдания действий администрации университета, собирающейся плодить в своих лабораториях новых Митников. Кто знает, не обернется ли в будущем стремление преподавателей наглядно продемонстрировать своим студентам, как быстро распространяется эта зараза и какой ущерб она может произвести в случае поражения, колоссальным вредом для растущих молодых программистов, ощутивших, пусть даже в лабораторных условиях, как иногда легко и быстро можно завоевать мир. Пусть даже только компьютерный.


Статистика

За май 2003 года вирусная база Dr.Web® пополнилась 414 новыми записями. Из них троянских программ было 164, в том числе программ-люков - 87 (среди которых один Linux-троянец), сетевых червей - 52, почтовых червей - 36, файловых вирусов - 17, макровирусов - 10, скрипт-вирусов - 10, FDOS-вирусов - 9, вирусов-паразитов - 8, DDOS-вирусов - 3, IRC-вирусов - 3, BAT-вирусов - 3.

Таблица распределения новых вирусов по типам - май 2003 г.

Virus types chart - May 2003

306 вирусов 124 различных типов было обнаружено в течение месяца в файлах пользователей, которые были загружены на сайт ЗАО "ДиалогНаука" для онлайн-проверки на вирусы.

Ниже приводится краткая таблица результатов онлайн-проверки за месяц:

Предлагаем также ознакомиться со сводной таблицей вирусов, чаще всего обнаруживавшихся на почтовых серверах в мае. Всего за прошедший месяц антивирусными фильтрами Dr.Web было "поймано" около 4,28 млн. вирусов 734 видов (для сравнения - в апреле было 2,67 млн. вирусов 702 видов, в марте - 4,6 млн. 801 вида, в феврале было 8,2 млн. 728 видов, в январе было 11,3 млн. 942 видов).

ВирусКоличество%
1Win32.HLLM.Yaha.4302341071,43
2Win32.HLLM.Klez.463922414,74
3Win32.HLLM.Reteras.21727684,11
4Win32.HLLM.Yaha.5722801,71
5Win32.HLLM.Yaha.64000659911,53
6Win32.HLLM.Generic.145574561,38
7Win32.HLLM.Yaha.1327930,77
8Win32.HLLM.Fizzer316600,75
9Win32.HLLM.Reteras305720,71
10Win32.HLLM.Klez.1285030,58
11Win32.Roger.45056196030,46
12Win32.HLLM.SirCam.1122910,29
13VBS.Redlof66560,16
14W97M.Thus65820,15
15Trojan.Inor35630,08

13
;