Месячный вирусный обзор ЗАО "ДиалогНаука" - январь-февраль 2004 г.

01 марта 2004

[01.03.2004]

Первые два месяца 2004 года не оставили ни у кого никаких сомнений – самые мрачные прогнозы экспертов по компьютерной безопасности на этот год оправдаются полностью и произойдет это гораздо раньше, чем год закончится. Если 2003 год всеми был назван «годом червя», то название года начавшегося иначе как «годом миллиона червей» быть не может. Январь начался достаточно спокойно, если это слово применимо к несколько вяло текущим, но крупномасштабным эпидемиям (черви Win32.HLLM.Gibe.2, Win32.HLLM.Yaha.4, Win32.HLLM.Foo, Win32.HLLM.Bugbear.2, Win32.HLLM.Reteras).

Первый «вирусный» звонок 2004 года прозвучал 19 января – началась новая заметная эпидемия почтового червя Win32.HLLM.Beagle.15872. В его арсенале использовался достаточно известный набор средств – исполняемое приложение, приходящее с письмом, иконка калькулятора, даже запуск калькулятора при запуске самого червя пользователем, стандартный механизм почтовой рассылки – все это выглядело очень незатейливо и гарантировало достаточно быстрое распространение червя по всемирной сети. В первую неделю своего существования червь занял свое место в первой десятке вирусов, не претендуя, правда, на то, чтобы потеснить бессменных лидеров хит-парадов. Как и во многих других почтовых червях последнего времени, в Beagle присутствовала троянская процедура-люк, предоставляющая доступ злоумышленникам ко всем ресурсам пораженного компьютера.

Тенденция последнего года, заключающаяся в использовании почтовых червей для массовой рассылки троянских программ, а также в применении спам-технологий для первоначальной доставки вредоносного кода на большое количество компьютеров по всему миру, ставит серьезный вопрос о том, насколько вообще реально защитить всемирную сеть от разрушительных атак, которым она подвергалась неоднократно в 2003 году и которым подвергается в 2004. Характерно, что основной упор создатели вирусы делают на то, чтобы доставить свое творение максимально большому количеству неопытных пользователей, которые, тем не менее, используют современные технологии подключения к Интернету и тем самым являются превосходным ресурсом для создания глобальной релейной сети для рассылки спама или организации DoS-атак на различные сайты. Десятки и сотни тысяч компьютеров, которые оказались в распоряжении авторов червя Win32.HLLM.Reteras после эпидемии августа 2003 года, принадлежали людям, которые явно не заботились ни о своей собственной безопасности, ни о безопасности других пользователей сети. Таким «богатством» было грех не воспользоваться.

Воспользовались, как и следовало ожидать, очень умело и эффективно. 26 (для Европы и Азии – 27) января 2004 года стало гранью, за которой осталось относительно спокойное существование в Интернете, когда вспышки эпидемий более или менее успешно гасились антивирусными средствами и очередными ужесточениями политики безопасности. Создатели нового завоевателя интернета – червя MyDoom – нанесли удар по самому уязвимому сегменту – миллионам пользователей, которые больше, чем самим себе, доверяют почтовым серверам. Письма, выглядевшие как сообщение с почтового сервера о невозможности доставить почту, оказались самым надежным транспортом для доставки вируса. Причем, как ни странно, на этот крючок попались и сотни тысяч корпоративных пользователей, для которых сообщение с почтового сервера – вещь весьма привычная. Эпидемия обрушилась на всемирную сеть подобно лавине, под которой оказались в считанные часы погребены тысячи этих самых почтовых серверов. Win32.HLLM.MyDoom.32768 стал самым быстро распространяющимся компьютерным вирусом за всю историю существования этого вида компьютерных программ. В первые часы оказались пораженными сотни тысяч компьютеров по всему миру. Ущерб от эпидемии очень скоро достиг нескольких миллиардов долларов – хотя сама идея вычисления ущерба от таких стихийных бедствий представляется занятием абсолютно безнадежным. Чего стоят хотя бы десятки крупнейших почтовых серверов, которые были вынуждены просто остановиться, не выдерживая колоссального натиска и самого червя, и сообщений о нем от некоторых антивирусных фильтров. Многие эксперты в области компьютерной безопасности признавали, что проигрывают сражение вездесущему почтовому червю.

Однако, как потом выяснилось, это было всего лишь началом. Вирусный мир словно прорвало – началось виртуальное соревнование под девизом «убить MyDoom». Заражение компьютера червем Win32.HLLM.MyDoom.32768 означало, помимо прочего, открытие на нем порта 3127, который начинает «слушать» Интернет в ожидании сигнала извне. Ежедневная статистика показывала, что зараженных машин во всем мире было огромное количество – и у каждой был открыт заветный порт, готовый принять соответствующую команду на исполнение. И такие команды полились потоками: сразу несколько червей в феврале просто атаковали компьютеры, зараженные MyDoom, поскольку сделать это было довольно просто. Особенно запомнился червь Doomjuice (Win32.HLLW.MyDoom.43008), который не только проникал на зараженные компьютеры и удалял MyDoom, но и заботливо складывал на диск файл с исходными текстами самого страшного червя всех времен и народов. При этом каждый новый вариант старался побольнее «укусить» самого главного врага – корпорацию Microsoft, посылая бесконечные запросы на ее сайт. Однако, если до этого компания SCO, против сервера которой был направлен первый MyDoom, не выдержала DoS-атаки и вынуждена была сменить доменное имя, то Microsoft, судя по всему, выдержала.

Участие зараженных компьютеров в массированных DoS-атаках на различные сайты – это не результат безответственного хулиганства авторов вирусов. Это уже четко прослеживаемая линия на использование вредоносных программ и практически безграничных ресурсов сети против конкретных компаний, чем-то не понравившихся криминальным кибер-кругам. Например, появившийся во второй половине февраля очередной вариант Mydoom нацелен как на Microsoft, так и на сервер RIAA (Ассоциации звукозаписывающей индустрии Америки), которая последовательно борется с пиратством в области звукозаписи во всем мире. Аналогично можно охарактеризовать и спам-рассылки с использованием прокси-серверов, установленных на ранее зараженных компьютерах.

Помимо эпидемий вариантов MyDoom и связанных с ним червей, стоит отметить достаточно серьезные по масштабам эпидемии почтовых червей Netsky.B и Netsky.C (Win32.HLLM.Foo.41984 по классификации Dr.Web).


Статистика - январь 2004

За январь 2003 года вирусная база Dr.Web® пополнилась 488 новыми записями, в феврале было добавлено 547 новых вирусных записей. По типам вирусов они распределялись следующим образом:

Тип вирусаЯнварьФевраль
Троянские программы 316 414
программы-люки (backdoor) 97 122
Сетевые черви 50 49
Почтовые черви 17 18
Макровирусы 7 0
IRC-вирусы 5 11
Скрипт-вирусы 26 11
BAT-вирусы 2 12
Вирусы-паразиты 2 3
Скрипт-вирусы 26 11

Предлагаем также ознакомиться со сводной таблицей вирусов, чаще всего обнаруживавшихся на почтовых серверах в феврале. Всего за январь антивирусными фильтрами Dr.Web было обнаружено 16,04 млн. вирусов 799 видов, а за февраль - 23,7 млн. вирусов 955 видов.

ВирусКоличество%
 1  Win32.HLLM.MyDoom.32768  15489180   65.29 
 2  Win32.HLLM.Foo.41984  2162496   9.11 
 3  Win32.HLLM.Gibe.2  1133511   4.77 
 4  Win32.HLLM.Yaha.4  1117188   4.71 
 5  Win32.HLLM.MyDoom.based  866103   3.65 
 6  Win32.HLLM.Klez.4  713662   3.01 
 7  Win32.HLLM.Foo  390638   1.64 
 8  Win32.HLLM.Dumaru  373953   1.57 
 9  Win32.HLLM.Bugbear.2  234138   0.99 
 10  Win32.HLLM.Yaha.based  177515   0.75 
 11  Win32.HLLM.MyDoom.48128  158197   0.67 
 12  Win32.HLLM.Reteras  144141   0.61 
 13  Win32.HLLM.Generic.265  131641   0.55 
 14  Win32.HLLM.Beagle.15872  58766   0.25 
 15  Win32.HLLM.Klez.1  55184   0.23 

8
;