Архив

«Sobig.c»: спамерские технологии на службе вирусописателей?

Как уже сообщала «Лаборатория Касперского», в интернете зарегистрировано широкое распространение новой модификации сетевого червя «Sobig». Эксперты компании провели детальный анализ ситуации и пришли к выводу, что для достижения максимального эффекта вирусописателями, вполне возможно, были использованы спам-технологии массовой рассылки копий червя с анонимного почтового сервера.

Известно, что сетевые черви, в отличие от других вредоносных программ, имеют функции автоматического распространения (доставка зараженных писем, атака P2P-сетей, локальных сетей и пр.). Однако в ситуации с «Sobig.c» мы имеем дело с первым случаем, когда эти функции, скорее всего, были дополнительно «обогащены» массовой рассылкой с применением спам-технологии. Таким образом было достигнуто максимально полное покрытие пользователей интернета, в результате чего семейство червей «Sobig» мгновенно заняло первое место в списке самых распространенных вредоносных программ.

В пользу такого вывода говорят сразу несколько фактов. Прежде всего, используемые «Sobig» методы распространения недостаточно эффективны, чтобы вызвать такое большое количество заражений за столь короткое время. Во-вторых, подавляющее большинство разосланных зараженных писем в качестве адреса отправителя содержат не «bill@microsoft.com», предусмотренный в коде червя, но другие, подставные адреса. Наконец, подробный анализ IP-адресов источников рассылки «Sobig.c» также позволяет с определенной уверенностью утверждать о применении спам-технологий.

Маловероятно, что спамеры решили расширить свой бизнес за счет анонимной рассылки зараженных писем. Также маловероятно, что вирусописатели воспользовались платными спам-услугами — стоимость подобного мероприятия составляет до нескольких тысяч долларов, что даже для одержимых геростратовой манией величия и различного рода шпионажем вирусописателей труднопреодолимое препятствие. С другой стороны, необходимо отметить, что компьютерный андерграунд в совершенстве овладел искусством профессиональных спамеров — сокрытием своих следов. Они мастерски используют анонимность и экстерриториальность Всемирной паутины и локализовать их для пресечения незаконных действий не представляется возможным.

«Не исключено, что вирусописатели действительно решили реализовывать свою иррациональную жажду деструктивности с помощью спам-технологий», — комментирует Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского». Последствия развития этого симбиоза сложно переоценить. Использование спамерской рассылки способно многократно повысить скорость распространения червей и географию покрытия потенциальных жертв. А в перспективе эта технологическая интеграция может спровоцировать глобальные flood-атаки на интернет (подобные «Slammer»), в результате которых возможно снижение производительности Сети и ее дисперсия — распад на несвязанные сегменты.

«Можно, конечно, винить в происходящем злых гениев, придумавших этот метод сетевой атаки. С другой стороны, нельзя не признать объективность этого процесса: естественно, когда в условиях полного хаоса и абсолютной анонимности, царящих в интернете, отдельные люди не могут устоять перед соблазном совершения кибер-хулиганств», — заключает Евгений Касперский. Интересно отметить, что по исследованиям «Лаборатории Касперского» именно безнаказанность является главным фактором, мотивирующим подавляющее большинство вирусописателей. Если бы они были уверены в неминуемости наказания за совершенные противоправные действия, далеко не каждый решился совершить преступление. Это обстоятельство еще раз подтверждает актуальность идеи введения дополнительных мер безопасности в интернете или создания параллельной защищенной сети, посвященной исключительно бизнес-коммуникациям.

Более подробная информация о сетевом семействе червей «Sobig» доступна в Вирусной Энциклопедии Касперского.

«Sobig.c»: спамерские технологии на службе вирусописателей?

Ваш e-mail не будет опубликован.

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике