Отчеты о вредоносном ПО

Современные информационные угрозы, I квартал 2007

Эксперты в области информационной безопасности прогнозировали, что 2007 год станет переломным в области борьбы с компьютерными вирусами, что, безусловно, отразится на всем компьютерном сообществе.

В 2007 году, как ожидается, вирусописателей по-прежнему будут интересовать троянские программы, специализирующиеся на краже пользовательской информации. Основными объектами атак будут оставаться пользователи различных банковских и платежных систем, а также участники онлайн-игр. Будет продолжаться сплочение авторов вирусов и спамеров: зараженные компьютеры все шире будут использоваться не только для организации новых эпидемий или атак, но и для рассылки спама.

Что касается путей проникновения вредоносных программ на компьютеры, то основными, по прогнозам «Лаборатории Касперского», по-прежнему будут оставаться электронная почта и уязвимости в браузерах. Такие способы распространения вредоносных программ, как P2P-сети или IRC-каналы, не будут массовыми, однако, несомненно, будут использоваться — преимущественно локально (например, P2P-клиент Winny, очень популярный в Японии, может в 2007 году стать очень серьезной проблемой для азиатских пользователей). Системы мгновенного обмена сообщениями останутся в тройке наиболее активно используемых средств для атаки, однако заметного увеличения популярности этого способа распространения вирусов наши аналитики не ожидают.

Эпидемии и вирусные атаки станут еще более четко географически выражены. Например, для Азиатского региона будет характерно преобладание игровых троянцев и червей с вирусным функционалом, а для Европы и США — троянцев-шпионов и бэкдоров. Латинская Америка будет по-прежнему страдать от всевозможных «банковских» троянских программ.

Главной темой 2007 года, без сомнений, станет новая операционная система Microsoft — Vista — и связанные с ней уязвимости.

Значительный рост вредоносных программ можно прогнозировать и для других операционных систем: в первую очередь для MacOS, а затем для *nix-систем. Не останутся без внимания и игровые приставки, такие как PlayStation и Nintendo. Все увеличивающееся число таких устройств с их возможностями по коммуникации друг с другом и с Интернетом могут привлечь внимание авторов вирусов. Правда, пока интерес вирусописателей будет исключительно «исследовательско-хулиганским». Может случиться, что вирусы для «некомпьютеров» в 2007 году преодолеют определенный рубеж и перейдут к стадии бурного роста, однако вероятность этого невысока.

Вредоносные программы будут по-прежнему повышать свою технологичность и искать новые методы сокрытия своего присутствия в системе. Разработки в области полиморфизма, замусоривания кода и руткит-технологии станут еще более массовыми и практически будут являться стандартом для большинства новых вредоносных программ.

Наши эксперты прогнозируют также увеличение числа точечных атак на компании среднего и крупного бизнеса. Помимо традиционной кражи информации, эти атаки будут нацелены и на вымогательство денег у пострадавших организаций, в том числе и за расшифровку данных. При этом одним из основных способов проникновения в системы будут файлы MS Office и уязвимости в этом программном продукте.

Первый квартал 2007 года во многом подтвердил наши прогнозы.

Поле битвы — Интернет

Конец 2006 года выдался довольно сложным для антивирусных компаний всего мира. На протяжении трех месяцев отделы антивирусных исследований работали в режиме повышенной боеготовности и мобилизации всех резервов.

Это было вызвано небывалой по своей длительности и массовости вирусной атакой на Интернет почтовых червей семейства Warezov. Первые экземпляры этого червя появились в Сети в октябре 2006 года; наибольшая активность пришлась на конец месяца, когда в сутки появлялось до 20 его новых вариантов.

Warezov по ряду признаков очень сильно напоминает известный червь Bagle. Хотя в основе Warezov лежат исходные коды червя Mydoom.a, а Bagle был полностью «оригинальной» разработкой неизвестной группы вирусописателей, мы были склонны считать этих червей «родственниками». Во-первых, по очень похожему способу организации эпидемии — массированному выбросу множества разных вариантов в течение короткого периода времени, с дифференциацией в том числе и по географическому признаку (в России рассылались одни варианты червя, в Европе — другие). Во-вторых, по их функционалу — установке на компьютер любых других модулей с троянских сайтов и сбору адресов электронной почты с последующей отправкой их злоумышленникам. Bagle был первым, кто использовал вирусные технологии для пополнения спамерских баз. Warezov делал то же самое.

Появление Warezov и прекращение выхода новых вариантов Bagle практически совпадало по времени, с разницей в одну неделю. Трудно было предположить, что авторы Bagle вдруг внезапно «ушли из бизнеса», а их инициативу быстро перехватил кто-то другой. Мы не исключали того, что оба червя являются творениями одной и той же группировки.

До конца 2006 года нами были обнаружено более 400 вариантов червя Warezov. Его авторы устраивали многочисленные кратковременные, но весьма массированные спам-рассылки новых вариантов, что привело к созданию гигантского ботнета. Более того, Warezov еще и собирал адреса электронной почты — стало ясно, что вскоре нас захлестнет волна спама и фишинга. Warezov создавался и распространялся с единственной целью — для дальнейшего использования зараженных компьютеров в качестве почтовых прокси-серверов.

Фактически, авторы червя и их клиенты захватили большую долю черного рынка нелегальных почтовых рассылок. Это должно было вызвать ответную реакцию со стороны конкурентов. Ответный удар был лишь вопросом времени.

18 января 2007 года на Европу обрушился ураган «Кирилл». Снежный шторм унес жизни более 30 человек. Десятки тысяч европейцев оказались без света, сотовой связи и нормального транспортного сообщения. Внимание всего мира было приковано к этим событиям, круглосуточно освещавшимся в средствах массовой информации.

20 января начался еще один шторм. На этот раз он захлестнул электронную почту. Гигантская спам-рассылка содержала письма с кричащими заголовками: о 230 погибших в результате урагана «Кирилл», о сбитых русскими ракетами китайских и американских спутниках, о том, что Саддам Хуссейн жив, а президент Путин умер и о многом другом. Эти заголовки должны были подогреть любопытство получателя и заставить его запустить содержащийся в письме файл.

Я приведу только небольшой список тем, использованных авторами этой вирусной атаки:

  • 230 dead as storm batters Europe.
  • Russian missle shot down Chinese satellite
  • Chinese missile shot down USA aircraft
  • Sadam Hussein alive!
  • Venezuelan leader: «Let’s the War beginning».
  • Fidel Castro dead.
  • President of Russia Putin dead
  • Third World War just have started!

Прикрепленные файлы на самом деле были троянской программой, получившей название Trojan-Downloader.Win32.Small.dam и Trojan-Downloader.Win32.Small.bet. В результате ее работы на пораженный компьютер загружались дополнительные компоненты и все вместе представляло собой новый, крайне агрессивный использующий руткит-технологию сетевой червь. Неофициальное название ему было дано соответствующее — Storm Worm. Официально же он вошел в наши антивирусные базы как Email-Worm.Win32.Zhelatin.a.

Детальный анализ этого червя, а также появившихся в следующие дни и недели его вариантов, выявил интересные особенности. Zhelatin, точно так же как и Warezov, превращал зараженный компьютер в троянский прокси-сервер для рассылки спама, а также создавал ботнет для проведения DdoS-атак. Угадайте, кто стал одной из их основных его мишеней? Сайты, использовавшиеся авторами червя Warezov! И еще несколько сайтов, принадлежащих различным организациям по борьбе со спамом. Пиком эпидемии нескольких вариантов червя Zhelatin стал февраль.

Кибервойна между группировками Warezov и Zhelatin была объявлена. Учитывая масштабы ботнетов, имеющихся в распоряжении обеих групп, и ориентированность на множественность атак, мы понимали: это грозило стать одной из самых серьезных проблем в Сети за последние годы.

Наиболее известной до сегодняшнего дня была кибервойна между Mydoom, Bagle и NetSky весной 2004 года. Тогда сеть наводнили десятки вариантов этих червей: они искали на компьютерах «конкурентов», удаляли их и занимали их место. Конец войне положил арест в Германии 18-летнего Свена Яшана (Sven Jaschan), автора NetSky, однако его творения и по сей день остаются одними из самых распространенных червей в электронной почте. А из участников той войны до 2007 года продолжали свою активность только авторы червей Bagle. Правда, до поры до времени они отошли в тень и никак не реагировали на появление Warezov (что давало нам основание считать их причастными к созданию этого червя). Однако в январе они неожиданно вернулись из небытия, и один из Bagle стал самым распространенным вредоносным кодом в электронной почте. Пришлось отказаться от идеи, что у Warezov и Bagle одни и те же авторы.

Сложилась интересная ситуация. На сцене находятся три группы, из разных стран мира, которые занимаются одним и тем же — созданием ботнетов для рассылки спама и сбором адресов электронной почты. Все они напрямую зависят от денег спамеров, которые платят за самый большой ботнет и за самую большую базу адресов. Это заставляет их вести борьбу друг с другом всеми доступными способами, которые приводят к бесконечным вирусным атакам на рядовых пользователей. Для того чтобы попасть на компьютеры пользователей, им приходится придумывать все новые и новые способы обхода антивирусных фильтров.

Авторы Warezov начали отвечать на атаки Zhelatin в марте, Bagle периодически появляется в новых вариантах несколько раз в месяц начиная с января. Если в конце прошлого года антивирусным компаниям приходилось бороться только против одной группы, то сейчас сложность и объем задач выросли в три раза. Все это сопровождается увеличением количества спама и фишинга.

Почти 32% от общего вредоносного трафика в электронной почте марта 2007 года занял Trojan-Spy.HTML.Bankfraud.ra. Это прямое следствие вирусных эпидемий Bagle, Zhelatin или Warezov. Он представляет собой не что иное, как типичное фишинговое письмо, миллионами копий разосланное по всему миру, причем нами были отмечены многократные рассылки этого троянца. Впервые он был обнаружен 27 февраля 2007 года. Троянец ориентирован на клиентов Branch Banking and Trust Company (BB&T) и заманивает их на поддельные сайты, зарегистрированные злоумышленниками в Хорватии и на Кокосовых островах.

Остается только гадать, какая из трех вирусных групп несет ответственность за то, что эта фишинг-атака стала реальной. Лично я ставлю на Zhelatin…

Большой переполох в маленьком Китае

Самые-самые первые варианты сетевого червя-вируса Viking были обнаружены экспертами «Лаборатории Касперского» в начале 2005 года. Тогда он не представлял собой ничего сложного и никак не выделялся из общей массы однотипных творений вирусописательской мысли: копировал себя на доступные сетевые ресурсы, заражал файлы, пытался загружать из Интернета файлы и воровать логины и пароли доступа к нескольким онлайн-играм.

Весь 2005 год неизвестный автор Viking не проявлял большой активности, выпуская в свет не более одного нового варианта примерно каждые два месяца. Однако в апреле 2006 года, с выходом Viking.h, он заметно активизировался и к сентябрю того же года число известных нам вариантов данного червя превысило три десятка. А потом в Китае началось то, что можно сравнить с эпидемией червя Warezov, протекавшей в то же время.

Десятки новых модификаций Viking каждую неделю, десятки тысяч (!) обнаруженных в Китае интернет-сайтов, откуда шло распространение червя, множество обращений от азиатских пользователей… Очень скоро стало ясно, что мы имеем дело с эпидемией национального масштаба.

Именно «благодаря» Viking Китай вышел на первое место в мире по числу создаваемых вредоносных программ. И именно благодаря Viking обычно малочисленный класс червей, распространяющихся по локальным сетям и заражающих файлы, в 2006 году испытал заметный рост своей популяции (см. годовой отчет).

Зима 2007 года подбросила нам очередную «китайскую головоломку». Часть новых модификаций Viking стала столь значительно отличаться от базового варианта, что мы выделили их в новое семейство Fujack. Это совпало с новой вспышкой эпидемии. Январь и февраль Fujack оставался главной вирусной проблемой для китайских пользователей. Информация о «пандовом вирусе» (у зараженных файлов вирус заменял оригинальную иконку на изображения медведя панды с палочками) наводнила новостные ленты азиатских информационных агентств.

Здесь необходимо сделать отступление от темы и рассмотреть вопрос, как вообще получилось, что непочтовый и несетевой червь смог распространиться в таких невероятных количествах, и почему именно в Китае?

Основные причины здесь следующие:

  • Значительно более высокий уровень файлообмена в китайском сегменте Интернета по сравнению с другими странами.

В Китае существуют тысячи серверов, представляющих собой гигантские файловые хранилища. Несомненно, в условиях, когда компьютерное пиратство является единственным способом для пользователей получить интересующие их программы, такие сервера должны быть весьма популярны. Наверное, на этих серверах можно найти абсолютно любую компьютерную программу, когда-либо кем-либо написанную. Пользователи обмениваются там файлами, и достаточно одного зараженного файла, попавшего на такой сервер, чтобы жертвами стали десятки тысяч человек. Обнаруженные нами источники распространения Viking и Fujack были именно такими сайтами.

  • Распространением вируса занимался не один человек. Автор продавал всем желающим эксклюзивные варианты Fujack, ориентированные на кражу пользовательских данных онлайн-игр. Этим и обусловлено гигантское количество вариантов червя и несколько источников его распространения.
  • Внушительные размеры локальных сетей, в первую очередь в китайских университетах. Попав внутрь, такой сети вирус очень быстро поражал тысячи компьютеров с открытыми сетевыми ресурсами.

Мне кажется, что мы столкнулись с действительно специфической эпидемией, которая не могла бы произойти ни в какой другой стране, кроме Китая. И несмотря на масштабы заражения — вирусу так и не удалось вырваться за пределы страны и вызвать заметные случаи заражения в Европе или США. Вероятно, это следствие некоего «электронного занавеса» между Китаем и Интернетом всего остального мира.

В итоге случилось то, чего мы не ожидали, но на что очень надеялись. 12 февраля китайское информагентство Xinhua сообщило об аресте полицией нескольких подозреваемых в создании червя Fujack. Всего было арестовано 8 человек, включая 25-летнего Li Jun, известного под ником WhBoy. Li Jun признался в том, что заработал на создании и продаже червя другим хакерам около $12500, а вирусы он начал писать оттого, что не мог найти работу в IT-сфере.

По сообщению некоторых источников, это стало первым случаем ареста автора вируса в Китае. Я не уверен в том, что этот случай был первым, однако несомненно, что арестов вирусописателей такого уровня в Китае еще не было.

Я попробовал поискать в нашей вирусной коллекции все вредоносные программы, содержащие в своем коде слово «WhBoy», ведь Li Jun обычно «подписывал» свои творения. Получившийся список действительно впечатляет:

  • несколько десятков Trojan-PSW.Win32.Lmir — троянцы, ворующие аккаунты онлайн-игры Legend of Mir;
  • несколько десятков Trojan-Downloader.Win32.Leodon;
  • все черви семейства Email-Worm.Win32.Lewor;
  • ряд Backdoor.Win32.WinterLove;
  • несколько десятков Trojan-PSW.Win32.Nilage — троянцы, ворующие аккаунты онлайн-игры LineAge;
  • несколько десятков Trojan-PSW.Win32.QQRob — троянцы, ворующие аккаунты китайского инстант-мессенджера QQ;
  • черви Viking и Fujack.

Если WhBoy действительно является автором всех этих вредоносных программ, то его можно считать одним из самых активных вирусописателей последнего десятилетия.

Но вот забавный факт. Китайская полиция потребовала от Ли написать антивирус, который бы лечил компьютеры, зараженные Fujack. Он попробовал. Но то, что у него получилось, оказалось неспособным восстановить зараженные системы. Автор вируса не смог справиться с собственным детищем. Можно ли представить более комическую ситуацию?

Блеск и нищета Windows Vista

Несомненно, выход в конце января 2007 года на рынок новой версии операционной системы Windows Vista, стал главным событием не только антивирусной индустрии, но и всего компьютерного мира. Компания Microsoft заявляла, что данная версия будет самой защищенной за всю историю Windows и в ней будет решено большинство проблемы, которые были причиной многих вирусных эпидемий.

Вопросы о том, насколько заявленная защищенность реальна, начали беспокоить компьютерное сообщество задолго до появления доступной для скачивания бета-версии. В чем именно заключаются функции, должные обеспечивать безопасность пользователя и насколько они будут ее обеспечивать в действительности? Правда ли, что с выходом Vista антивирусы станут ненужными?

Список ключевых новшеств безопасности впечатлял: система разграничения прав пользователей, называемая User Account Control (UAC), система защиты ядра PatchGuard и функции безопасности Internet Explorer 7, Address Space Layer Randomization (ASLR), Network Access Protection, Windows Service Hardening. Кроме этого Vista оснащена встроенным файерволом и антивирусом Windows Defender.

Эксперты по информационной безопасности сходились во мнении, что все эти нововведения не смогут значительно изменить положение дел с компьютерными вирусами. Проведенные рядом антивирусных компаний тесты показали, что примерно 90% существующих вредоносных программ для Windows XP смогут без проблем работать и в Vista. Кроме этого оставалась проблема уязвимостей в новой операционной системе.

Несмотря на заверения представителей Microsoft, что новая ОС была написана практически с нуля, что были предприняты беспрецедентные меры по выявлению ошибок еще на ранних стадиях создания кода, что создана и успешно работает уникальная система тестирования, все понимали, что проблемы будут.

Фактически, вопрос «будут ли обнаружены в Vista критические бреши?» даже не стоял. Вопрос стоял по-другому: когда они будут обнаружены?

30 января 2007 года Vista поступила в продажу, и старт гонки по поиску уязвимостей был дан. Внимание хакеров всего мира было приковано только к Vista. Цель — 0-day exploit, позволяющий создать на его основе вредоносную программу.

Через две недели, 13 февраля, Microsoft выпустил очередной ежемесячный набор исправлений. В него вошли 6 критических уязвимостей и 6 важных. Среди них оказалась уже ставшая, к сожалению, традиционной уязвимость в Microsoft Excel. В прошлых отчетах мы неоднократно писали о тех бесчисленных дырах в Microsoft Office, что были обнаружены в 2006 году. Несмотря на все патчи — новые и новые уязвимости продолжают обнаруживаться и моментально используются злоумышленниками в своих целях.

Но, в списке февральских уязвимостей не было ни одной для Vista! Это было удивительно и могло бы считаться первым показателем действительной защищенности новой ОС, если бы не одно «но». Уязвимости, исправленные в феврале, были обнаружены еще до выхода Vista на рынок. Даже если в Vista уже что-то нашли — эти патчи никак не могли бы попасть в февральский апдейт. Надо было подождать марта, чтобы понять реальную ситуацию.

11 марта распространилась потрясающая новость. Редмондский гигант заявил, что в текущем месяце не планирует выпускать очередную порцию обновлений для своих программных продуктов. Это был первый случай за несколько лет, когда Microsoft ничего не исправил за месяц. Небывалый факт, который можно было бы считать показателем того, что все проблемы во всех версиях Windows наконец-то исправлены. Однако последовавшие затем объяснения показали, что все не так хорошо. На самом деле специалисты Microsoft были заняты тестированием патчей, выпущенных в прошлом месяце. «Microsoft продолжает исследовать потенциальные и раскрытые уязвимости в стремлении защитить наших клиентов. Создание обновлений безопасности, которые эффективно и исчерпывающе устраняют ошибки, является долгим процессом, требующим последовательных шагов», — эти слова означали только одно: уязвимости есть, они известны, но исправить их быстро не удается. Компания eEye Digital Security одновременно сообщала о пяти неисправленных уязвимостях в Windows.

В воздухе запахло грозой. Ситуация выглядела слишком тревожной и спустя три недели разразилась буря.

29 марта 2007 года антивирусные компании обнаружили среди потока новых вирусов нечто странное. На ряде китайских сайтов обнаружились файлы формата ANI (анимированные курсоры), которые при обращении пользователя к такому сайту устанавливали в систему различные троянские программы, в основном класса Trojan-Downloader.

Кроме этого были зафиксированы письма в электронной почте, также содержавшие в себе подозрительные ANI-файлы. Анализ показал, что мы столкнулись с новой уязвимостью в обработке графических файлов, работающей и в Windows Vista.

Борьба за уязвимость в Vista продолжалась около двух месяцев. Закончилась она самым худшим их всех возможных вариантов — ее выиграли китайские хакеры, они использовали ее для распространения вирусов, а патча для нее не было.

Еще более печальным было то, что мы уже имели дело с уязвимостью в обработке ANI-файлов два года назад. Тогда, в январе 2005 года, были зафиксированы сотни сайтов и файлов с уязвимостью Exploit.Win32.IMG-ANI (по классификации Лаборатории Касперского). Microsoft залатала эту дыру патчем MS05-002, но, как показало время, недостаточно качественно. И кроме того, все уверения в том, что Vista написана «с нуля», что код проверялся многократно, что все тестировалось и таких ошибок быть не может — все это было опровергнуто всего лишь появлением маленьких уязвимых файлов-курсоров.

Microsoft только оставалось выпустить информационные сообщения о новой уязвимости CVE-2007-1765 и вести список подверженных проблеме ОС и приложений, а антивирусным компаниям фиксировать все новые и новые зараженные сайты и троянские программы.

Компания Websense обнаружила менее чем за одну неделю более 500 зараженных сайтов, посещая которые, пользователи обязательно заносили на компьютеры вирус. Большинство инцидентов приводило к заражению несколькими вариантами троянцев-шпионов, ориентированных на кражу данных пользователей онлайн-игр (World of Warcraft, LineAge).

Ситуация грозила перерасти в глобальную эпидемию. eEye Digital Security выпустила свой собственный неофициальный патч для данной уязвимости. Это заставило вспомнить прошлые случаи, когда Microsoft отказывалась выпускать патч вне своего графика выпуска обновлений раз в месяц. Помните историю с уязвимостью в обработке WMF-файлов в декабре 2005 года? Тогда с момента обнаружения проблемы до ее устранения прошло почти три недели. Впрочем, в сентябре 2006 года Microsoft потребовалось всего лишь 10 дней для исправления опасной уязвимости MS06-055.

На этот раз специалисты Microsoft постарались сделать все максимально быстро, и уже 3 апреля был выпущен внеочередной критический патч MS07-017. Уязвимость была классифицирована как Vulnerabilities in GDI Could Allow Remote Code Execution, а список уязвимых операционных систем впечатлял:

  • Microsoft Windows 2000 Service Pack 4;
  • Microsoft Windows XP Service Pack 2;
  • Microsoft Windows XP Professional x64 Edition and Microsoft Windows XP Professional x64 Edition Service Pack 2;
  • Microsoft Windows Server 2003, Microsoft Windows Server 2003 Service Pack 1, and Microsoft Windows Server 2003 Service Pack 2;
  • Microsoft Windows Server 2003 for Itanium-based Systems, Microsoft Windows Server 2003 with SP1 for Itanium-based Systems, and Microsoft Windows Server 2003 with SP2 for Itanium-based Systems;
  • Microsoft Windows Server 2003 x64 Edition and Microsoft Windows Server 2003 x64 Edition Service Pack 2;
  • Windows Vista;
  • Windows Vista x64 Edition.

Список всех уязвимостей, исправляемых этим патчем, впечатлял не меньше:

  • GDI Local Elevation of Privilege Vulnerability (CVE-2006-5758);
  • WMF Denial of Service Vulnerability (CVE-2007-1211);
  • EMF Elevation of Privilege Vulnerability (CVE-2007-1212);
  • GDI Invalid Window Size Elevation of Privilege Vulnerability (CVE-2006-5586);
  • Windows Animated Cursor Remote Code Execution Vulnerability (CVE-2007-0038);
  • GDI Incorrect Parameter Local Elevation of Privilege Vulnerability (CVE-2007-1215);
  • Font Rasterizer Vulnerability (CVE-2007-1213).

Три из семи существовали и в Vista: EMF Elevation of Privilege Vulnerability, Windows Animated Cursor Remote Code Execution Vulnerability, GDI Incorrect Parameter Local Elevation of Privilege Vulnerability, а две из семи были обнаружены еще в 2006 году, но исправлены только сейчас!

Последовали некоторые объяснения от специалистов Microsoft, которые пролили свет на то, каким же образом компании удалось за 4 дня подготовить и выпустить исправление для такого количества уязвимостей. Сообщение, опубликованное на Microsoft Security Response Center Blog, содержало следующее:

«I’m sure one question in people’s minds is how we’re able to release an update for this issue so quickly. I mentioned on Friday that this issue was first brought to us in late December 2006 and we’ve been working on our investigation and a security update since then. This update was previously scheduled for release as part of the April monthly release on April 10, 2007. Due to the increased risk to customers from these latest attacks, we were able to expedite our testing to ensure an update is ready for broad distribution sooner than April 10».

Замечательно. Они знали о проблеме с декабря прошлого года, но все это время что-то тестировали, пропустили мартовские обновления и на самом деле собирались все выпустить 10 апреля. Три месяца уязвимость была известна, и известна не только Microsoft, но и представителям underground’а… Сколько неизвестных нам хакерских атак состоялось за это время — остается только гадать.

Этот случай показал, что Windows Vista ничем не отличается в плане ошибок и уязвимостей от ранних операционных систем. Он также показал, что все нововведения Microsoft — как в области защиты программ, так и в области создания безошибочного кода — не слишком действенны. И наконец, он показал, что проблема 0-Day уязвимостей, которые используются вирусописателями еще до появления официального патча, все еще актуальна.

Заключение

События первых трех месяцев 2007 года подтвердили наши худшие опасения. Вирусописатели по-прежнему используют тактику множественных кратковременных эпидемий, когда в течение несколько часов в Интернет выпускаются разные варианты одного и того же вредоносного кода, что осложняет работу антивирусных лабораторий. Vista стала главной целью хакеров, и, помимо поиска уязвимостей в ней, внимание хакеров нацелено на обход модулей защиты, таких как UAC, защиту от переполнения буфера и Patch Guard.

Второй квартал должен окончательно выявить основные тенденции года и показать, что же в действительности происходит с развитием средств защиты в современных операционных системах и какие новые методы атак изберут злоумышленники.

Современные информационные угрозы, I квартал 2007

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике