Месячный вирусный обзор ЗАО "ДиалогНаука" - март 2004 г.

Выпущенные на свободу с приходом нового 2004 года, словно из ящика Пандоры, Beagle, Netsky и MyDoom в марте явили миру целый сонм 'вариаций на тему', многие из них не покидают вирусные хит - парады неделями и месяцами.

Почтовые черви семейства Beagle явно претендуют на первенство в данном месяце, хотя бы потому, что в течение довольно протяженного времени они (вернее, их постоянно появлявшиеся модификации) являли собой все новые и новые загадки, на разрешение которых антивирусным компаниям были отведены считанные часы.

Каждое появление новой модификации сопровождалось какими-то новыми 'изюминками', внесенными в исходный код. Хотя чаще всего упор делался на пресловутый 'человеческий фактор'. Применение авторами Beagle текстов писем, якобы разосланных от имени интернет-провайдеров, в которых, к тому же, фигурирует ваш собственный почтовый адрес - беспроигрышный ход. Редкого пользователя оставит равнодушным сообщение о временном закрытии его собственного почтового аккаунта и не вызовет никаких подозрений вложение, присланное от родного и любимого провайдера.

Изначально у представителей этого семейства червей применялся относительно новый метод борьбы с детектированием вредоносных программ антивирусными средствами - на компьютеры пользователей червь попадал в виде защищенного паролем архива, и был, таким образом, недоступен для сканирования стандартными методами; применение же различных паролей приводило к постоянному изменению файлов архивов со вложенным вирусом, что затрудняло включение их сигнатуры в вирусную базу. Необходимость противостоять подобному новшеству привело к появлению в базе вирусных сигнатур DRWEB_REG особой записи, позволяющей детектировать представителей этого семейства в ZIP- архивах.

Появившийся 14 марта 2004 г. Win32.HLLM.Beagle.38550 содержал в себе 'прогрессивную' деталь - пароль поступал с почтовым сообщением в виде графического изображения. Правда, антивирусные компании быстро научились бороться и с такой оригинальной уловкой. В том же Win32.HLLM.Beagle.38550 появилась и первая деструктивная функция у этой изначально относительно 'безобидной' программы - инфицирование всех исполняемых файлов на жестких дисках компьютера.

Дальнейшее совершенствование кода вылилось в рождение сразу четырех версий Win32.HLLM.Beagle.49152 (соответственно Beagle Q, R, S и T). С их появлением извечные напоминания нерадивым пользователям не открывать письма от незнакомых адресатов понемногу перестают быть актуальными. Дело в том, что рассылавшиеся этими версиями червя почтовые сообщения не содержали ни вложения с исполняемым файлом, ни даже сопроводительного к нему текста.

Для проникновения на компьютеры авторы новых разновидностей Beagle воспользовались полугодичной давности уязвимостью в системе безопасности MS Internet Explorer (так называемой Object Tag vulnerability). Чтобы обеспечить максимально возможный уровень инфицирования как можно большего числа машин, авторы снабдили червей огромным списком сайтов, с которых производились загрузки исполняемого кода и таким же внушительным списком антивирусных средств, которые новым почтовым червям предстояло блокировать. Их появление разрушило всякие иллюзии о том, что заразиться можно только получив и активировав исполняемый файл.

Фразу 'кто владеет информацией - владеет миром' в реалиях сегодняшнего дня можно смело трансформировать в изречение 'кто владеет средствами хранения информации - владеет миром'. Речь идет о далеко не виртуальном владении и контроле над армией компьютеров, которыми мастер-кукловод, при помощи разного рода троянских утилит, может манипулировать по своему желанию. Согласитесь, за такое господство стоит побороться. И борьба идет нешуточная.

Начавшееся в феврале соперничество между вирусописателями Netsky, с одной стороны, и их противниками из лагерей Mydoom и Beagle получило свое развитие в марте. Коса нашла на камень с появлением в конце февраля второго варианта Netsky, в коде которого авторами была заложена функция удаления 'меток' в системном реестре, оставленных этими червями, что сводило на нет все усилия, предпринятые ими для создания своей собственной паутины спам-релеев, что является ходовым товаром на рынке спама, за который его игроки готовы платить и платят немалые деньги. И если бы речь шла только о нежелательной почте! Хотя и это, в конечном итоге, для законопослушных пользователей выливается в сотни тысяч часов потерянного времени и нешуточные деньги.

Подобные сети зомби-компьютеров становятся мощнейшим оружием в нечистоплотной конкурентной борьбе, когда на противника по бизнесу можно воздействовать DoS - атакой, запущенной одновременно с тысяч компьютеров по всему миру. Не редки случаи применения DoS-атак и для банального вымогательства и шантажа, чаще всего их жертвами становятся торгующие через интернет компании и он-лайновые казино. В последних версиях Netsky его авторы уже не чураются DoS-атакам на сайты распространенных файлобменных сетей, например, KaZaA и eDonkey.

За март 2004 года вирусная база DRWEB_REG пополнилась 680 новыми записями. По типам вирусов они распределялись следующим образом: