Месячный вирусный обзор ЗАО "ДиалогНаука" - март 2004 г.
[01.04.2004]
Выпущенные на свободу с приходом нового 2004 года, словно из ящика Пандоры, Beagle, Netsky и MyDoom в марте явили миру целый сонм 'вариаций на тему', многие из них не покидают вирусные хит - парады неделями и месяцами.
Почтовые черви семейства Beagle явно претендуют на первенство в данном месяце, хотя бы потому, что в течение довольно протяженного времени они (вернее, их постоянно появлявшиеся модификации) являли собой все новые и новые загадки, на разрешение которых антивирусным компаниям были отведены считанные часы.
Каждое появление новой модификации сопровождалось какими-то новыми 'изюминками', внесенными в исходный код. Хотя чаще всего упор делался на пресловутый 'человеческий фактор'. Применение авторами Beagle текстов писем, якобы разосланных от имени интернет-провайдеров, в которых, к тому же, фигурирует ваш собственный почтовый адрес - беспроигрышный ход. Редкого пользователя оставит равнодушным сообщение о временном закрытии его собственного почтового аккаунта и не вызовет никаких подозрений вложение, присланное от родного и любимого провайдера.
Изначально у представителей этого семейства червей применялся относительно новый метод борьбы с детектированием вредоносных программ антивирусными средствами - на компьютеры пользователей червь попадал в виде защищенного паролем архива, и был, таким образом, недоступен для сканирования стандартными методами; применение же различных паролей приводило к постоянному изменению файлов архивов со вложенным вирусом, что затрудняло включение их сигнатуры в вирусную базу. Необходимость противостоять подобному новшеству привело к появлению в базе вирусных сигнатур DRWEB_REG особой записи, позволяющей детектировать представителей этого семейства в ZIP- архивах.
Появившийся 14 марта 2004 г. Win32.HLLM.Beagle.38550 содержал в себе 'прогрессивную' деталь - пароль поступал с почтовым сообщением в виде графического изображения. Правда, антивирусные компании быстро научились бороться и с такой оригинальной уловкой. В том же Win32.HLLM.Beagle.38550 появилась и первая деструктивная функция у этой изначально относительно 'безобидной' программы - инфицирование всех исполняемых файлов на жестких дисках компьютера.
Дальнейшее совершенствование кода вылилось в рождение сразу четырех версий Win32.HLLM.Beagle.49152 (соответственно Beagle Q, R, S и T). С их появлением извечные напоминания нерадивым пользователям не открывать письма от незнакомых адресатов понемногу перестают быть актуальными. Дело в том, что рассылавшиеся этими версиями червя почтовые сообщения не содержали ни вложения с исполняемым файлом, ни даже сопроводительного к нему текста.
Для проникновения на компьютеры авторы новых разновидностей Beagle воспользовались полугодичной давности уязвимостью в системе безопасности MS Internet Explorer (так называемой Object Tag vulnerability). Чтобы обеспечить максимально возможный уровень инфицирования как можно большего числа машин, авторы снабдили червей огромным списком сайтов, с которых производились загрузки исполняемого кода и таким же внушительным списком антивирусных средств, которые новым почтовым червям предстояло блокировать. Их появление разрушило всякие иллюзии о том, что заразиться можно только получив и активировав исполняемый файл.
Фразу 'кто владеет информацией - владеет миром' в реалиях сегодняшнего дня можно смело трансформировать в изречение 'кто владеет средствами хранения информации - владеет миром'. Речь идет о далеко не виртуальном владении и контроле над армией компьютеров, которыми мастер-кукловод, при помощи разного рода троянских утилит, может манипулировать по своему желанию. Согласитесь, за такое господство стоит побороться. И борьба идет нешуточная.
Начавшееся в феврале соперничество между вирусописателями Netsky, с одной стороны, и их противниками из лагерей Mydoom и Beagle получило свое развитие в марте. Коса нашла на камень с появлением в конце февраля второго варианта Netsky, в коде которого авторами была заложена функция удаления 'меток' в системном реестре, оставленных этими червями, что сводило на нет все усилия, предпринятые ими для создания своей собственной паутины спам-релеев, что является ходовым товаром на рынке спама, за который его игроки готовы платить и платят немалые деньги. И если бы речь шла только о нежелательной почте! Хотя и это, в конечном итоге, для законопослушных пользователей выливается в сотни тысяч часов потерянного времени и нешуточные деньги.
Подобные сети зомби-компьютеров становятся мощнейшим оружием в нечистоплотной конкурентной борьбе, когда на противника по бизнесу можно воздействовать DoS - атакой, запущенной одновременно с тысяч компьютеров по всему миру. Не редки случаи применения DoS-атак и для банального вымогательства и шантажа, чаще всего их жертвами становятся торгующие через интернет компании и он-лайновые казино. В последних версиях Netsky его авторы уже не чураются DoS-атакам на сайты распространенных файлобменных сетей, например, KaZaA и eDonkey.
Статистика - март 2004
За март 2004 года вирусная база DRWEB_REG пополнилась 680 новыми записями. По типам вирусов они распределялись следующим образом:
Тип вируса | Январь | Февраль | Март |
Троянские программы | 316 | 414 | 462 |
97 | 122 | 159 | |
Сетевые черви | 50 | 49 | 48 |
Почтовые черви | 17 | 18 | 41 |
Макровирусы | 7 | 0 | 2 |
IRC-вирусы | 5 | 11 | 22 |
Скрипт-вирусы | 26 | 11 | 19 |
BAT-вирусы | 2 | 12 | 14 |
Вирусы-паразиты | 2 | 3 | 9 |