Лаборатория Касперского представила обзор событий 2000 года в области антивирусной безопасности

Рассматривая общую картину событий прошедшего года, можно заметить, что ситуация с вирусной опасностью существенно усложнилась по сравнению с 1999 г. Только в мае атаке вируса LoveLetter подверглись более 40 миллионов компьютеров по всему миру. По сообщению исследовательского центра Computer Economics, уже за первые 5 дней эпидемии вирус нанес мировой экономике убытки в размере 6,7 миллиардов долларов США. По данным этого же центра, суммарные убытки за весь 1999 год составили 12 миллиардов долларов США.

Основными результатами в процессе развития вредоносных кодов в этом году стали:

• абсолютное лидерство электронной почты в качестве главного источника вирусной опасности;
• технологическая диверсификация вирусов;
• доминирование скрипт и макро-вирусов над другими типами вредоносных программ;
• попытки создать вирусы для мобильных телефонов;
• широкое распространение вирусов, использующих «дыры» в системе безопасности Internet Explorer;
• появление нового поколения вирусов, имеющих способность самообновления модулей через Web сайты и электронные конференции
• появление вирусов, использующих дополнительные потоки файловой системы NTFS
• дальнейшее развитие вирусов для Linux

Таким образом, в 2000 г. проблема защиты от вирусов еще раз доказала свою важность в качестве центрального элемента в системе как персональной, так и корпоративной компьютерной безопасности.

Электронная почта — основной способ распространения вирусов

Вместе с увеличением количества случаев заражения компьютерными вирусами произошли существенные изменения в технологиях создания и распространения вредоносных кодов.

В первую очередь, это касается тенденции приобретения вирусами функции распространения по электронной почте. Согласно статистике службы технической поддержки «Лаборатории Касперского», около 85% всех зарегистрированных случаев заражения были вызваны проникновением вирусов именно при помощи этого источника. Таким образом, по сравнению с 1999 г., рост числа подобных инцидентов составил около 70%.

В этой связи «Лаборатория Касперского» еще раз отмечает важность установки надежной системы антивирусной защиты для электронной почты. В масштабах корпоративной сети эта система должна предполагать как минимум двухуровневую структуру фильтрации корреспонденции: на уровне почтового сервера и на уровне рабочих станций.

Переключение внимания создателей вирусов на электронную почту вполне закономерно. Как показывает практика, больше всего вредоносных программ создается для тех операционных систем, приложений, технологий передачи данных, которые имеют наибольшую популярность. Сегодня электронная почта является де-факто стандартом как делового, так и неформального общения. Сотни миллионов людей по всему миру не представляют нормального бизнеса без этого способа коммуникации с партнерами. Это и предопределило ориентацию создателей вирусов на электронную почту.

Диверсификация вирусов

Оценивая технологическую сложность вирусов, обнаруженных в 2000 г. в «диком виде» можно констатировать их диверсификацию. С одной стороны, создается все больше сложных вирусов, написанных на языках низкого уровня. С другой стороны, большое распространение получили «примитивные» вирусы, написанные на Visual Basic Script (VBS) и Visual Basic for Application (VBA).

Доказательством технологического упрощения значительной части вирусов могут служить статистические данные: около 70% всех «диких» вирусов составляют скрипт-вирусы и около 20% — макро-вирусы. Обе разновидности компьютерных вирусов отличаются исключительной примитивностью структуры и простотой создания. С другой стороны, они могут представлять не меньшую опасность, нежели другие типы вирусов. Языки программирования VBS и VBA, при помощи которых создаются соответственно скрипт и макро-вирусы, предоставляют практически те же возможности с точки зрения нанесения вреда зараженным компьютерам, что и другие, более сложные языки программирования. Закономерно, что создатели вирусов предпочитают работать с VBA и VBS, нежели создавать практически те же программы на Assembler или C.

Год Любовных Писем

По общему мнению антивирусных экспертов «Лаборатории Касперского», этот год стал годом Любовных Писем. Вирус LoveLetter, обнаруженный 5 мая, мгновенно разлетелся по всему миру, поразив десятки миллионов компьютеров практически во всех странах. Причины этой глобальной эпидемии кроются в следующем.

Во-первых, чрезвычайно высокая скорость распространения. Вирус рассылал свои копии немедленно после заражения системы по всем адресам электронной почты, найденным в адресной книге почтовой программы Microsoft Outlook. Подобно обнаруженному весной 1999 г. вирусу Melissa, LoveLetter это делал, якобы, от имени владельца зараженного компьютера, о чем тот, естественно, даже не догадывался.

Во-вторых, рассылаемые зараженные вложенные файлы дезориентировали пользователей своим расширением: ‘TXT.vbs’. Большинство до сих пор считает, что текстовые файлы не могут содержать вредоносных программ. Это действительно так, однако под фальсифицированным расширением TXT может скрываться все что угодно, в данном случае — программа, написанная на Visual Basic Script (VBS).

В-третьих, автор вируса использовал простой и гениальный ход с точки зрения психологии: мало кто сможет удержаться, чтобы не прочитать любовное письмо от своего знакомого. Именно на это была сделана основная ставка в процессе разработки вируса.

Необходимо заметить, что «Лаборатория Касперского» предсказала возможность глобальной эпидемии скрипт-вирусов, подобных LoveLetter, еще в ноябре 1998 года, когда был обнаружен вирус Rabbit. Тогда многие поспешили обвинить компанию в раздувании вирусной истерии, однако весна 2000 года подтвердила все прогнозы руководителя антивирусных исследований компании Евгения Касперского.

На данный момент обнаружено более 80 разновидностей LoveLetter. В целях защиты своих пользователей не только от существующих, но и от будущих версий вируса, 7 мая «Лаборатория Касперского» представила уникальную технологию защиты от неизвестных скрипт-вирусов — Script Checker. Благодаря интегрированному механизму эвристического анализа скрипт-программ, Script Checker надежно защитил пользователей «Антивируса Касперского» от всех вариантов LoveLetter, не требуя никаких дополнительных обновлений антивирусной базы.

В ожидании вирусов для мобильных телефонов

Все началось с обнаружения 6 июня в Испании Интернет-червя Timofonica. Данный червь не имел особых отличительных черт за исключением того, что он отсылал бессмысленные SMS-сообщения владельцам мобильных телефонов сети MoviStar. Это обстоятельство обусловило распространение слуха о появлении первого вируса, способного заражать непосредственно мобильные телефоны. К счастью, реальность была менее сурова, поскольку кроме посылки SMS-сообщений Timofonica более никакого отношения к телефонам не имел.

Двумя месяцами позже была обнаружена утилита под названием HSE, которая имела способность рассылать SMS-сообщения любого содержания на мобильные телефоны ряда немецких сотовых сетей. В отличие от ‘Timofonica’, эту программу нельзя отнести ни к разряду вирусов, ни Интернет-червей. По сути дела, это просто вредоносная программа, которая может использоваться для совершения несанкционированных действий в отношении владельцев мобильных телефонов.

Наконец, 30 августа мир снова облетела новость о появлении «мобильного» вируса, на этот раз обнаруженного норвежской компанией Web2Wap AS. Как выяснилось позже, норвежские специалисты лишь открыли брешь в системе защиты некоторых моделей телефонных аппаратов Nokia, которая позволяла блокировать клавиатуру телефона при посылке на него SMS-сообщения определенного содержания. Однако никакого отношения к вирусам это событие не имеет.

Важно подчеркнуть, что сама проблема вирусов для мобильных телефонов пока что не может считаться актуальной. Это обусловлено тем, что современные телефоны не имеют необходимых аппаратных возможностей для существования вирусов. Напомним, что для этого требуется выполнение следующих условий: возможность создавать, модифицировать и обмениваться исполняемыми программными объектами для данного конкретного оборудования, популярность оборудования и достаточно низкий уровень защиты.

Однако, появление настоящих «мобильных» вирусов — это вопрос ближайшего будущего. Стандарт MID (Mobile Information Device) на базе языка программирования Java (Java^TM 2 Platform Micro Edition — J2ME), представленный 19 августа компанией Sun и рядом ее партнеров, по сути дела открывает зеленый свет разработке вредоносных программ.

Черви-невидимки

На протяжении всего года не прекращались случаи заражения вирусами, использующими брешь в системе защиты Internet Explorer 5.0 под названием «Scriptlet.Typelib». Используя эту брешь, вирусы способны проникать на компьютеры сразу же после прочтения зараженного письма, без необходимости запуска вложенных файлов.

Первый вирус этого типа (BubbleBoy) был обнаружен в ноябре 1999 г. За неделю до этого компания Microsoft выпустила специальную «заплатку» для устранения данной ошибки. Однако факт, что в течение 2000 г. вирус «KakWorm» не выходил из тройки самых распространенных вирусов, вызвавших наибольшее количество инцидентов, показывает, что пользователи пренебрегают советами антивирусных компаний своевременно устанавливать «заплатки» к используемому программному обеспечению. Мы еще раз рекомендуем установить бесплатное дополнение к Internet Explorer 5.0.

Самообновляющиеся вирусы

В 2000 г. большую популярность приобрели т.н. самообновляющиеся вирусы, или вирусы, способные загружать дополнения с удаленного компьютера из сети Интернет. При помощи этой технологии автор вируса может незаметно для владельца зараженного компьютера обновлять версии установленных вредоносных компонент и устанавливать новые.

Начало этой технологии было положено в конце 1999 года вирусом Babylonia, а в 2000 г. она была продолжена рядом других вредоносных программ, таких как Sonic, Music и др. Отдельного упоминания достоин Интернет-червь Hybris, который имеет возможность загружать дополнения не только с Web сайтов, но и из электронных конференций (alt.comp.virus). Такой ход имеет разумное обоснование, поскольку Web сайты практически сразу после обнаружения факта их использования вредоносными программами закрываются. Сделать то же самое с электронными конференциями практически невозможно. Автор Hybris использовал и другую оригинальную технологию, дабы не допустить к управлению вирусом посторонних людей. Для этого он использовал сильный алгоритм шифрования дополнений и электронную подпись.

Вирусы в дополнительных потоках NTFS

В начале сентября был обнаружен первый известный компьютерный вирус (Stream), способный манипулировать дополнительными потоками (ADS) файловой системы NTFS. Как указывалось в предупреждении, распространенном «Лабораторией Касперского», данный конкретный вирус нельзя рассматривать как нечто, представляющее собой реальную угрозу. Гораздо большую опасность представляет сама технология проникновения в дополнительные потоки, поскольку ни один антивирусный сканер не в состоянии обнаружить там вредоносный код.

К сожалению, история вызвала неадекватную реакцию у некоторых западных антивирусных компаний, которые обвинили «Лабораторию Касперского» в запугивании пользователей. Тем не менее, кроме голословных обвинений наши оппоненты не смогли представить сколько-нибудь вескую аргументацию в подтверждение выдвинутой ими теории безопасности дополнительных потоков NTFS. Проблема антивирусной защиты NTFS до сих пор остается насущной, поскольку за несколько месяцев, прошедших с момента обнаружения Stream, всего несколько антивирусных сканеров научились искать вирусы в ADS. В их число входит «Антивирус Касперского», в котором эта функция была реализована впервые в мире, вместе с выходом очередной версии программы — 3.5.

Linux в осаде

Этот год был отмечен всплеском активности создателей вирусов к Linux. В общем было зарегистрировано появление 37 новых вирусов и Троянских программ для этой операционной системы. Таким образом, общее количество Linux-вирусов достигло 43, причем только за 2000 г. их рост составил более чем 7 раз.

Несмотря на то, что некоторые образцы Linix-вирусов действительно обладали всеми необходимыми способностями к размножению и автономной жизни, ни один из них так и не был зафиксирован в «диком виде». Причину этого «Лаборатория Касперского» склонна видеть в недостаточно широком распространении Linux в качестве настольного стандарта.

Пожалуй, наиболее интересным экземпляром компьютерной «фауны» для Linux можно назвать вирус Siilov. Это первый в истории Linux-вирус, работающий в фоновом режиме и способный заражать файлы в масштабе реального времени.

Вирусные мистификации продолжаются

Не меньшую проблему в 2000 г. представляли вирусные мистификации. К этой категории относятся заведомо ложные сообщения о новых ранее неизвестных компьютерных вирусах. В таких сообщениях пользователей «информируют» о том, что в Интернет появился новый вирус, распространяющийся в письмах и/или через WWW-сайты и уничтожающий всю информацию на пораженных компьютерах.

Подобные сообщения запускаются в сеть Интернет умышленно и в дальнейшем распространяются наивными пользователями, считающими, что этим они помогут проинформировать компьютерную общественность о грозящей ей опасности.
В течение года наиболее активными были такие «утки», как ‘Wobbler’, ‘Budwiser Frogs’, ‘Join the Crew’, ‘It Takes Guts to Say Jesus’, ‘Buddlylst’. В некоторые дни служба технической поддержки «Лаборатории Касперского» получала до нескольких сот писем пользователей, просящих разъяснений по поводу таких «новых вирусов».

Что будет дальше?

Многие пользователи задают вопрос: стоит ли ожидать потока новых вирусов в канун и в первые дни после Нового Года? Действительно, все мы помним прошлогодние предупреждения некоторых западных компаний о готовящейся атаке компьютерного андерграунда в ознаменование наступления 2000 г. Согласно этим сообщениям, хакеры всего мира подготовили сотни тысяч новых вирусов, которые будут выпущены на свободу в первые дни нового года.

Как тогда, так и сейчас «Лаборатория Касперского» считает, что подобные заявления не имеют под собой никаких оснований и могут быть расценены лишь как ловкий маркетинговый ход с целью стимулировать продажи антивирусных программ в канун Нового Года.