Ежемесячный вирусный обзор ЗАО "ДиалогНаука" - ноябрь 2003

Ноябрь 2003, несмотря на «юбилей» возникновения понятия «компьютерный вирус», двадцатую годовщину которого кибер-общественность отмечала в этом месяце, не был омрачен бурными эпидемиями и разрушительными вирусными атаками. Обстановка на вирусном фронте в ноябре была достаточно спокойная, и все же последний месяц осени, как в зеркале, отразил все тенденции уходящего года.

Первую позицию в списке наиболее распространенных в ноябре вредоносных кодов на просторах РуНета прочно занимает Win32.HLLM.Gibe.2, на долю которого приходится почти 56% инфицированных сообщений. 13% ниша оккупирована Win32.HLLM.Yaha.4. На третьем месте Win32.HLLM.Foo. Кстати, в первую двадцатку вошли сразу три представителя этого семейства, равно как и три вируса Yaha. Вечный странник интернета Klez на незыблемом четвертом месте. Win32.HLLM.Reteras на почетном пятом месте.

Что касается рейтинга ущерба, наносимого вирусами пользователям, здесь картина несколько иная. Возглавляют список Reteras, Klez и Yaha, а вирусы семейства Foo (Mimail) занима.т устойчивое четвертое место (9 миллиардов долларов) в списке наиболее дорогостоящих вирусов. Замыкает первую пятерку вирус Gibe (Swen).

В ноябре увидел свет публикуемый каждый квартал координационным центром Computer Emergency Response Team (CERT/CC) при Университете Carnegie Mellon список 9 наиболее распространенных при написании вирусов и совершении атак уязвимостей и вредоносных кодов. Ущерб от деятельности всех вариантов почтовый червей из семейства Foo оказался в нем превалирующим. Среди девяти угроз только два места занимают собственно вирусы - Foo и Gibe. Все остальные места разделили между собой различного рода бреши, большинство которых приходится на самую распространенную операционную систему Windows. Больше всего атак породило наличие в ней переполнения буфера в сервисе рабочих станций, другие многочисленные уязвимости в Windows, Exchange, Internet Explorer и ошибки в RPCSS. Кроме того, снижению уровня безопасности сети в целом во многом поспособствовали уязвимости в SSL/TLS, переполнение буфера в Sendmail и уязвимость в управлении буфером в OpenSSH.

Особую тревогу вселяет сокращающееся с крейсерской скоростью расстояние между публикацией сообщения о вновь найденной уязвимости и созданием кода, эксплуатирующего эту брешь. Если еще год назад на создание эксплойта уходили месяцы и даже год, сейчас этот процесс занимает считанные недели. И нередки случаи, когда сообщения о существовании очередной уязвимости в операционных системах Microsoft становятся достоянием гласности до публикации самой компанией соответствующего бюллетеня.

Коммерциализация кибер-преступлений

Доминантным в этом месяце стало появление двух ремейков октябрьского Foo, распространявшихся под видом писем от платежной системы PayPal и чьей главной задачей было похищение финансовой конфиденциальной информации пользователей. Вообще, уже давно можно говорить о существенных изменениях в мотивации тех, кто занимается написанием вредоносных кодов. Если первоначально большинство вирусов создавалось в качестве своеобразной «пробы пера», желания доказать себе и всем свое могущество в покорении пусть и виртуального (достаточно редко вирусы снабжались действительно «уничтожительными» функциями) мира, сегодняшние вирусописатели служат все более прагматичным и корыстным целям, и создаваемые ими творения не оставляют сомнений – преступный мир надежно оседлал новую темную лошадку для достижения своих противозаконных целей.

И это несмотря на учащающиеся случаи поимки и привлечения к ответственности вирусописателей и хакеров. Объявленная Microsoft награда за поимку авторов LoveSan (известного также как MSBlast) и Reteras (Sobig), похоже, вдохновила на подвиги правоохранительные органы, призванные на борьбу с компьютерными преступлениями и начинает приносить результаты. Правда пока задержан не сам создатель LoveSan, а всего лишь его последователь - 23 летний испанец, создавший Win32.HLLW.Raleka – вирус, использующий для инфицирования компьютеров всю ту же пресловутую уязвимость DCOM RPC, что и LoveSan. Конечно, нанесенный вирусом Raleka ущерб не идет ни в какое равнение с громадным вредом, причиненным мировому бизнесу деятельностью LoveSan. По данным полиции Испании Raleka в течение двух недель после выпуска «на волю» инфицировал более 120 000 компьютеров. Арестованный подозреваемый под прозвищем 900K, чье истинное имя не разглашается в интересах следствия, принадлежит к известной хакерской испанской группировке AKELARRE. Пока это первый случай в практике подразделения по борьбе с компьютерными преступлениями Мадрида, когда дело доходит до ареста подозреваемого.

Не только вирусы сегодня главная головная боль виртуального сообщества. Их существенно теснят спам, компьютерное мошенничество и разного рода аферизм, хотя для распространения по интернету вредоносных кодов все чаще используются все те же почтовые черви. Причем именно черви, проникающие на компьютеры пользователей через разного рода уязвимости, что значительно повышает шансы инфицирования как можно большего числа машин, ведь в таком случае не требуется никаких действий со стороны самого пользователя для того, что активировать вредоносное вложение.

С другой стороны, наблюдается и обратная тенденция. Совершенно очевидно, что когда-то совершенно не опасный, хотя и ужасно назойливый, и не бесплатный спам переместился из разряда безвредного зла в плоскость переносчика компьютерной заразы. В связи с увеличивающимся переходом пользователей на широкополосный доступ взамен dial-up соединений, распространенность спама превосходит все мыслимые пределы. По данным, опубликованным в ноябре, спам по самым приблизительным прикидкам составляет более 55% всех почтовых потоков. Эта цифра, естественно, не учитывает достаточно большой объем электронных писем, в которых спам-фильтры почтовых серверов не обнаружили спам как таковой, поскольку технологии спамеров совершенствуются в буквальном смысле ежедневно.

Преступный бизнес с помощью DoS-атак

Все чаще средства массовой информации сообщают о хакерских атаках на он-лайновые платежные системы, интернет-магазины и казино с целью вымогательства денег. Наибольшее количество интернет атак происходит из Бразилии, России, Китая и Индии. В этом месяце к жертвам таких атак прибавились антиспамерские-сайты и сайты компаний, занимающихся вопросами компьютерной безопасности, и проблема переросла в разряд глобальной. Самой популярной среди хакеров является операционная система Linux. Вообще на операционные системы открытого кода приходится более 60% всех атак.

«Мобильная» брешь в системе безопасности

Снижению безопасности способствует и бурное развитие мобильных технологий. Все чаще почтовые сообщения пересылаются через мобильные телефоны и другие портативные устройства, все более популярным становится их использование для выхода в интернет. В ноябре напомнил о себе еще один призрак (?) будущего – мобильный вирус. Вероятность его скорого создания увеличивает стремительное применение производителями мобильных телефонов технологии Bluetooth. Слияние Bluetooth и криминально-изощренного интеллекта уже породило новый вид мобильного хулиганства Bluejacking. Ведущие мобильные компании не преуменьшают возможность очень скорого создания полнофункционального мобильного вируса и не жалеют средств на превентивные меры. Уже даже начата разработка первой антивирусной программы, о чем в прошлом месяце объявили японская телекоммуникационная компания NTT DoCoMo и американская компания Network Associates. А на латание дыр в программном обеспечении мобильных телефонов ежегодно компании тратят несколько миллионов долларов.

За ноябрь 2003 года вирусная база Dr.Web^® пополнилась 590 новыми записями. По типам вирусов они распределялись следующим образом:

727 вирусов 223 различных типов были обнаружены в течение месяца в файлах пользователей, которые были загружены на сайт ЗАО "ДиалогНаука" для онлайн-проверки на вирусы.

Ниже приводится краткая таблица результатов онлайн-проверки за месяц:

Предлагаем также ознакомиться со сводной таблицей вирусов, чаще всего обнаруживавшихся на почтовых серверах в ноябре. Всего за прошедший месяц антивирусными фильтрами Dr.Web было обнаружено более 8,1 млн. вирусов 571 вида (для сравнения, в октябре было 4,2 млн. 566 видов, в сентябре было 4,3 млн. 540 видов, в августе - 7,3 млн. вирусов 625 видов).