Отчеты о вредоносном ПО

Современные информационные угрозы, I квартал 2006

В новой статье цикла аналитических публикаций от «Лаборатории Касперского» мы рассматриваем события первого квартала текущего года.

Современный «Криптономикон». Новые фронты противостояния

Мы неоднократно писали о случаях, когда злоумышленники переходили от практики «тайного» использования зараженного компьютера (для кражи данных с него, использования его в составе зомби-сети и т.д.) к прямому вымогательству денег у пострадавших пользователей. Впервые случай подобного вымогательства был зафиксирован еще в далеком 1989 году, и вот спустя пятнадцать лет он снова взят на вооружение. В настоящее время существует два основных способа «подготовки» компьютера к последующему шантажу его владельца:

  • шифрование пользовательских данных;
  • порча системной информации.

Владелец атакованного компьютера так или иначе ставится в известность о том, что с его данными что-то произошло, а затем ему предлагается перечислить определенную денежную сумму на один из счетов хакера в какой-либо платежной системе (EGold, WebMoney, etc). Суммы требуемого выкупа значительно варьируются в зависимости от состоятельности пострадавшего. Нам известны случаи, когда злоумышленники требовали и 50, и более 2000 долларов США.

В 2005 году наиболее заметными и определяющими данный вид киберпреступности были троянские программы Gpcode и Krotten. Первая относится к типу «шифровальщиков данных», а вторая ограничивалась внесением ряда изменений в системный реестр компьютера, что приводило систему в нерабочее состояние.

Современные информационные угрозы, I квартал 2006

Сообщение Trojan.Win32.Krotten.

Наибольшую активность проявлял автор Gpcode — за прошлый год нами было обнаружено более двух десятков различных вариантов шифрования файлов. Он постоянно менял алгоритмы шифрования, однако во всех случаях нам удавалось не только взломать их, но и реализовать детектирование и расшифровку файлов непосредственно в антивирусных базах, без создания отдельных утилит.

С началом 2006 года авторы подобных программ попытались кардинально изменить способы шифрования данных, чтобы максимально осложнить антивирусным компаниям возможность расшифровки. В январе появился очередной вариант Gpcode, получивший идентификатор «ac».

Его кардинальным отличием стало то, что впервые в Gpcode был применен один из наиболее известных и стойких публичных алгоритмов шифрования — RSA. Ранее автор ограничивался самодельными алгоритмами шифрования, но теперь в ход пошла «тяжелая артиллерия».

Удача снова оказалась на нашей стороне. Нам удалось обнаружить сам файл троянца, осуществляющий шифрование. В подавляющем большинстве случаев ранее такой возможности мы не имели (он удаляет себя из системы по окончании работы).

Несколько часов анализа его кода в дизассемблере привели к обнаружению ключа, которым были зашифрованы данные. Но для взлома RSA надо знать еще ключ расшифровки, а его, конечно же, в троянце не было. Однако автор троянца допустил важную ошибку. Он использовал слишком короткий ключ — длиной 56 бит. Найти его, обладая знанием алгоритма работы RSA и существующих методах его взлома на современном персональном компьютере, заняло у наших экспертов меньше одной секунды! Расшифровка файлов снова была реализована нами непосредственно в антивирусных базах, без создания отдельной утилиты.

Однако хакеры не собирались сдаваться. Учтя печальный опыт своих предшественников, в марте 2006 года некто (а возможно, это и был сам автор Gpcode) выпустил на волю нового представителя класса RansomWare (такой термин получили подобные троянцы в некоторых статьях антивирусных компаний и независимых исследователей (Wikipedia.org, Halfbakery.com).

Злоумышленники отказались от алгоритмов шифрования. Совсем. Троянец Cryzip.a не использовал ни RSA, ни AES, ни PGP 🙂 Он ищет в атакованной системе пользовательских документов по большому списку расширений файлов — документы MS Office, PDF, архивы, картинки и много другое. Каждый найденный файл он помещает в отдельный ZIP-архив с паролем. В каждом каталоге троянец оставляет записку для пользователя, в виде файла AUTO_ZIP_REPORT.TXT, в котором сообщается о том, что данные могут быть восстановлены после выплаты $300 на один из нескольких десятков аккаунтов в системе E-Gold.

Современные информационные угрозы, I квартал 2006

Фрагмент сообщения Trojan.Win32.Cryzip.

Автор троянца любезно сообщает о том, что в качестве пароля для архивов использовано слово длиной более 10 символов и таким образом попытки его подбора «бессмысленны».

Действительно, существующие программы для подбора паролей к ZIP-архивам способны подобрать пароль длиной в 5 символов в течение 5-10 минут, однако с увеличением длины пароля уже до 6-7 символов эта задача становится весьма долговременной.

Как впоследствии выяснилось, проблемой подбора пароля одновременно занималось несколько основных антивирусных компаний. Некоторым из них удалось обнаружить сам файл троянца и путем его анализа установить — какой именно пароль был использован для архивации файлов. Мы же пошли другим путем (не обладая файлом троянца) и попытались все-таки подобрать пароль, используя различные виды известных крипто-атак на ZIP-архивы. В итоге нам существенно удалось сократить время на bruteforce. Я не буду раскрывать всех тонкостей процесса, но нам удалось вскрыть запароленный архив всего за один вечер.

Автор в качестве пароля использовал путь к каталогу, а именно:

C:Program FilesMicrosoft Visual StudioVC98

Таким образом, он видимо рассчитывал, что даже если его троянец попадет в руки антивирусных компаний, то аналитики могут принять подобную строку за типичную для файлов созданных на Visual C++, а не за искомый пароль.

Так или иначе, но задача восстановления пользовательских данных была нами очередной раз успешно решена. К сожалению, нам не удалось реализовать восстановление данных непосредственно из антивирусной программы, однако при наличии раскрытого пароля эта проблема может быть решена любым пользователем самостоятельно.

«Захват в заложники пользовательских данных» является одним из наиболее опасных видов интернет-преступности.

Наверное, стоит еще отметить третью вредоносную программу с похожим поведением. Это Skowor.b, который в отличие от его первого варианта, бывшего почтовым червем, функции распространения по почте не имеет. Однако он пытается распространяться по создаваемым им самим расшаренным ресурсам. Роднит его с Gpcode и Cryzip то, что он после своего запуска демонстрирует пользователю сообщение, в котором утверждается, что для получения пароля, который позволит удалить червя, необходимо 5 раз перезапустить компьютер. В противном случае червь пытается шифровать ряд важных файлов и менять пароли администратора и текущего пользователя на зараженном компьютере. К счастью, код червя содержит множество ошибок, и нормально работает лишь небольшая часть функций.

Появление всех описанных троянцев, зафиксированное в первом квартале 2006 года, заставляет нас сделать вывод, что методы «захвата в заложники пользовательских данных» являются одним из наиболее опасных и быстро развивающихся видов интернет-преступности. В этой связи особенно важную роль следует уделять системам резервного хранения данных, ведь несмотря на то что до сих пор нам удавалось восстанавливать данные, опасность применения особо стойкого алгоритма шифрования или архивирования крайне высока.

Не стоит забывать и о том, что троянцы сами по себе в системе не появляются. Они могут быть либо установлены на компьютер каким-то уже имеющимся в системе malware, либо проникнуть через уязвимости в браузерах. Единственным способом защиты является профилактический — регулярная антивирусная проверка системы и загружаемых файлов, установка обновлений для операционной системы и браузера, обязательное резервное копирование наиболее важных данных.

Что же касается ситуаций, когда данные уже зашифрованы, — как видно из приведенных выше примеров, антивирусные компании способны решить эту проблему, причем в довольно короткие сроки. Поэтому ни в коем случае никогда нельзя идти на поводу у шантажистов. Любые перечисленные им деньги только становятся для них стимулом к созданию все новых и новых образцов вредоносных программ.

MacOS X под прицелом

Все описанные выше проблемы связаны с ОС Windows и Linux. Однако существуют еще весьма популярные PC Macintosh. Их проблемы мы и затронем в этом разделе.

Компания Apple в последнее время, безусловно, является одним из хедлайнеров мира IT. Сенсационное объявление о том, что новые версии MacOS будут работать на процессорах Intel, многих заставило пересмотреть взгляды на будущее традиционных персональных компьютеров. До сих пор они были полем борьбы между Windows и Linux-based платформами, но возможность использования MacOS оказалась интересной весьма многим. Потенциальная популярность и вероятность стремительного развития будущих MacOS привлекла внимание не только пользователей и экспертов, но и, как это всегда бывает, вирусописателей и хакеров всего мира.

Оставим в стороне истории о том, сколько критических уязвимостей было найдено в MacOS за последние месяцы и как быстро можно взломать MacOS на компьютере, подключенном к Интернету. Обратимся к нашей теме — компьютерным вирусам.

До сих пор MacOS X не удостаивалась серьезного внимания злоумышленников. Существовало несколько простейших троянцев, наборы эксплоитов — и это все.

Февраль 2006 года дал четкий ответ на вопрос, возможны ли вирусы и черви для OSX.

Сначала на некоторых сайтах и форумах любителей OSX появился некий архив «latestpics.tgz», который рекламировался под видом самых свежих скриншотов из еще не вышедшей новой версии OSX — 10.5 (Leopard).

В действительности это оказался червь-вирус, получивший название Leap. Используя для своего распространения через интернет-службу быстрого обмена сообщения IChat, червь попадал в систему, где помимо продолжения саморазмножения, принимался за заражение системных приложений, как классический вирус. Leap продемонстрировал существующие в OSX возможности для вирусной атаки.

Февраль 2006 дал четкий ответ на вопрос, возможны ли вирусы и черви для OSX.

Спустя всего два дня после обнаружения Leap в руки антивирусных компаний попал новый представитель OSX-malware. Им стал червь Inqtana. В отличие от Leap он не заражал файлы, однако использованный им принцип размножения до сих пор встречался среди вирусов исключительно для мобильных телефонов, но никак не для персональных компьютеров. Inqtana способен распространяться через Bluetooth! Именно через Bluetooth распространяется самый известный мобильный червяк Cabir. Это очень интересный пример симбиоза, когда разработанные для мобильных устройств технологии передачи данных начинают использоваться для заражения обычных компьютеров.

Inqtana использует уязвимость в реализации сервиса «Bluetooth File and Object Exchange» (CAN-2005-1333) в следующих версиях OSX: OS X v10.4.1, Mac OS X Server v10.4.1, Mac OS X v10.3.9, Mac OS X Server v10.3.9. Если атакованный компьютер принимает запрос на прием файла, то червь пытается получить доступ к файлам и папкам за пределами каталога «Bluetooth File and Object Exchange», а затем устанавливает себя в системе для автоматического запуска в режиме постоянного поиска новых bluetooth-устройств. Данная уязвимость была исправлена компанией Apple в июне 2005 года.

Вскоре общественности стало известно и имя автора червя Inqtana. Им оказался некий Kevin Finisterre, один из активных членов OSX-community. В интервью, данном им некоторым СМИ, он объяснил причины создания червя. Таким образом он пытался привлечь внимание общественности и разработчиков OSX к существующим проблемам в области безопасности системы и стимулировать создание новых, более защищенных решений.

С нашей точки зрения, подобные методы привлечения внимания к проблемам безопасности не могут быть оправданны, поскольку , как правило, они приводят не к устранению проблемы, а к получению злоумышленниками уже готовых решений для создания новых вирусов. Таким образом «добровольные исследователи» просто облегчают жизнь хакерам. Самое печальное, что подобная практика становится все более и более популярной, и в первом квартале 2006 года было еще несколько подобных случаев, когда явно потенциально вирусные технологии были созданы и опубликованы в «академических» целях. Более подробно о них мы поговорим ниже.

Вирусное завтра (vmware rootkits, boot rootkits, bios backdoors)

Извечное противостояние снаряда и брони имеет прямое отношение и к антивирусной индустрии. В роли снаряда выступают вредоносные программы, созданные вирусописателями, а антивирусные компании должны постоянно совершенствовать броню, предлагаемую пользователям. Это постоянная гонка, в которой трудно что-либо изменить, поскольку злоумышленники всегда будут на шаг впереди и наша задача — максимально быстро отреагировать на их новшества. Несмотря на многие современные технологии, позволяющие значительно затруднить создание «недетектируемого» вируса, такие как проактивная защита, эвристические анализаторы, эмуляторы, мы уже сейчас видим угрозы, которые будут присутствовать в завтрашнем компьютерном мире и которые заставят разрабатывать новые и новые методы противодействия им.

Наиболее заметными явлениями в области «теории компьютерных вирусов» стали три концептуальные разработки, осуществленные исключительно с исследовательской целью. Однако сами по себе представленные технологии весьма опасны и, несомненно, привлекут самое пристальное внимание андеграунда.

Первой такой технологией стал прообраз бэкдора, расположенного в загрузочном секторе жесткого диска и получающего управление еще до старта операционной системы. Будучи загружен таким образом, он имеет возможность изменить многие системные функции ОС или заменить их на собственные. Бэкдор был представлен публике компанией eEye Digital Security в августе 2005 года.

Несмотря на то что практически все современные антивирусные программы имеют функцию сканирования загрузочных секторов дисков (собственно, именно с boot-вирусов и началась антивирусная история много лет назад), но проблема обнаружения перехваченных и подмененных системных функций остается весьма актуальной и по сей день и не решена окончательно даже в рамках работы троянца и антивируса в одной ОС, не говоря уже о бэкдоре, стартующем до операционной системы.

Эта работа привлекла внимание, и вскоре у нее появились последователи. В январе 2006 года Джон Хесман, сотрудник компании Next-Generation Security Software, заявил о том, что набор функций по управлению электропитанием компьютера (так называемый ACPI — Advanced Configuration and Power Interface) позволяет создание программ, реализующих rootkit-функционал, которые могут храниться в флеш-памяти BIOS.

Технология записи вирусов в флеш-память BIOS не нова. Еще в 1998 году печально известный вирус CIH («Чернобыль») стирал флеш BIOS, если мог получить к нему доступ. Впоследствии появились троянские программы, осуществлявшие подобные атаки.

Хесман также создал прототип кода, позволяющий повысить привилегии в системе и читать данные из памяти компьютера.

Подобное место хранения вредоносного кода (BIOS) еще более затрудняет возможность его обнаружения, чем в случае с boot-бэкдором.

В марте сего года в среде специалистов по компьютерной безопасности произошла шумиха: активно обсуждалась идея «недетектируемого» руткита, основанного на технологиях виртуальных машин. Возникает вопрос: о чем все это и нужно ли начинать волноваться?

Проект руткита, работающего ниже уровня операционной системы, разрабатывается в университете штата Мичиган и спонсируется Microsoft. Широкой общественности стало известно о нем после публикации программы конференции IEEE Symposium on Security and Privacy, на которой будет представлена данная proof-of-concept-разработка.

Все современные вредоносные программы работают в одной среде со средствами защиты; таким образом, преимущество той или иной стороны определяется всецело «гонкой вооружений». Кто оперирует на более низком уровне внутри системы, тот и сильнее. Идея парней из Мичигана состоит в том, что можно вынести вредоносный код за пределы этой «матрицы», сделав его принципиально невидимым изнутри нее.

Можно вынести вредоносный код за пределы «матрицы», сделав его принципиально невидимым изнутри нее.

Для этого между операционной системой и оборудованием внедряется дополнительная прослойка, представленная монитором виртуальных машин (VMM). На стадии загрузки машины управление от BIOS переходит не к загрузчику пользовательской операционной системы, а к VMM, который в свою очередь загружает установленную операционную систему. Таким образом, последняя оказывается «виртуальной машиной». Все взаимодействие между программами пользователя и оборудованием происходит через VMM.

Параллельно пользовательской VMM загружает еще одну операционную систему — точно так же, как вы загружаете несколько виртуальных машин в VMWare. В ней могут быть запущены вредоносные программы. Обе операционные системы базируются на общей «шине» — VMM, которая в свою очередь имеет прямой доступ к оборудованию.

Пример практического использования такого руткита: VMM, получая ввод с клавиатуры, передает нажатие клавиш как в пользовательскую ОС, так и во «вредную», где его подхватывает кейлоггер и отсылает своему хозяину — опять же минуя операционную систему пользователя и его средства защиты. Код руткита и все следы его деятельности находятся за пределами ОС пользователя и, следовательно, не могут быть непосредственно обнаружены изнутри нее при помощи сколь угодно мощного антивируса или фаервола.

Для реализации своего PoC на Windows XP исследователям потребовался исходный код Virtual PC, гостевая «вредная» ОС и некоторая модификация драйверов операционной системы пользователя.

Несмотря на кажущуюся опасность данной PoC, поводов для беспокойства мы не видим.

Во-первых, реализация такого руткита сложна и не под силу большинству вирусописателей — даже несмотря на то, что в качестве его основы берется готовый движок VMM.

Во-вторых, наличие прослойки между оборудованием и операционной системой невозможно скрыть. Дополнительный уровень абстракции имеет побочные эффекты:

  • замедление загрузки системы;
  • изменение тайминга процессора и замедление функционирования системы;
  • уменьшение доступного пространства на диске (у исследователей VMR занял 100-200 МБ);
  • ухудшение работы с графикой — издержки грубой эмуляции видеодрайвера;
  • модификацию системных файлов — ею обеспечивается корректная работа ОС с эмулированным (а не с «настоящим») оборудованием.

В-третьих, обнаружить присутствие виртуализованного руткита довольно просто. Помимо отслеживания вышеперечисленных признаков, самый простой способ обнаружения и детектирования кода руткита — загрузка компьютера с внешнего устройства (USB, CD) и сканирование жесткого диска с него. При этом, если VMR эмулирует перезагрузку, как это заявлено в тезисах у исследователей, и, перехватывая управление таким образом, прячет себя — для обхода этой хитрости достаточно использовать самый холодный ребут. То есть — выдернуть шнур из розетки.

Однако, наряду с описанным выше eEye BootRoot, SubVirt предвещает и приближает наступление эпохи средств защиты уровня оборудования.

Вместе с концептуальными разработками, которые могут определить лицо вирусной угрозы на ближайшие годы, мы постоянно встречаем реинкарнацию старых технологий, усовершествованных и приспособленных к новым реалиям. Наиболее сильно это проявляется в самом древнем вирусном поведении — заражении файлов, или, если говорить о текущем положении дел, — встраивании своего кода в другие программы.

Мы постоянно встречаем реинкарнацию старых технологий, усовершествованных и приспособленных к новым реалиям.

В 2004 году появился Backdoor.Win32.PoeBot, который работал по следующему алгоритму. Преступник настраивает известный Backdoor (например из серии Backdoor.Win32.SdBot), берёт популярную программу (к примеру WinRar), внедряет в неё троянца по технологии EPO и распространяет, используя стандартные методы распространения троянских программ. В результате мы имеем либо сниженную скорость реакции антивирусной компании, так как надо разработать процедуру нахождения вредоносной программы и исключить возможные ложные срабатывания на программу-носитель (в данном примере WinRar), либо многочисленные ложные срабатывания на честное программное обеспечение (что, к сожалению, в тот момент и произошло с целым рядом антивирусных компаний).

В 2005 году появилось семейство вирусов-троянцев Virus.Win32.Bube, которые заражали системный файл explorer.exe и пытались скачивать другие троянские программы несколько раз в час. Таким образом, explorer.exe превращался в настоящий Trojan-Downloader.

После Bube появился Virus.Win32.Nsag, который представляет собой ещё более замаскированный Downloader. Вирус заражает системную библиотеку wininet.dll, при этом вредоносный код встраивается в функцию HttpSendRequestA. Таким образом троянец-код получает управление при любой сетевой активности зараженной системы, а до этого времени он тихо «дремлет» в компьютере.

Начало 2006 года принесло сразу несколько похожих троянских программ, что свидетельствует о повышении интереса вирусописателей к подобным способам размещения вирусного кода.

Для начала стоит обратить внимание на Trojan-Spy.Win32.Banker.alr, который, помимо кражи информации ), модифицирует системные библиотеки sfc.dll и sfc_os.dll таким образом, чтобы отключить автовосстановление системных файлов.

Так как подобного рода троянцы появляются достаточно часто, нами было принято решение о выделении всех новых в общее семейство — Trojan.Win32.Patched.

Trojan.Win32.Patched.a

Заражается svchost.exe. В файл добавляется код, который загружает файл mshost.dll(Trojan-Spy.Win32.Agent.ki) и запускает троянца.

Trojan.Win32.Patched.b

Заражается произвольный системный файл, инкапсулируя код, который запускает троянскую программу из NTFS-потока .txt файла. Имя текстового файла чаще всего совпадает с именем зараженной программы. Например, троянец заразил файл sysformat.exe, а основная компонента троянца запускается из потока sysformat.txt (C:WINDOWSsystem32sysformat.txt:tamrofsys.exe).

Trojan.Win32.Patched.c

Заражается произвольный системный файл, к примеру notepad.exe, в который вставляется очень небольшой кусок кода (25 байт), который при запуске notepad.exe запустит файл .log из системного каталога Windows.

Для чего все это делается и что будет дальше?

Не секрет, что современное антивирусное программное обеспечение и средства фильтрации сетевых пакетов(firewall) контролируют определенные ветки реестра и сетевую активность.

Естественно, у этих средств защиты есть исключения, чтобы не беспокоить пользователя, когда он сам меняет какие-то настройки системы. Тенденции 2005 и 2006 года показывают, что вирусописатели начинают использовать нестандартные методы именно для того, чтобы обмануть подобные мониторы защиты:

  • запускают троянца не средствами реестра через ключ Run, а после запуска зараженного системного файла;
  • скачивают троянские программы из процесса Explorer.exe или wininet.dll.

Кроме того, что действие / работу таких программ достаточно сложно обнаружить, требуется дополнительное время, чтобы антивирусные компании создали правильные процедуры их детектирования и лечения, так как заражению подвергаются системные библиотеки.

Вполне возможно, что в ближайшем будущем появится множество вредоносных программ, работающих по принципу «если мониторы контролируют изменение настроек модулей операционной системы, то мы будем изменять сами модули». Такой же принцип уже давно применяется вирусописателями при создании rootkit’ов для операционных систем UNIX.

Мобильные новости

Проблема антивирусной безопасности для мобильных устройств с каждым месяцем становится все актуальней. Слабый ручеек троянских программ для Symbian-телефонов, наблюдавшийся в предыдущие годы, к концу 2005 превратился уже в уверенный поток. В настоящий момент мы еженедельно добавляем в наши антивирусные базы до 10 новых троянцев, атакующих смартфоны. Весьма значительную часть их составляют троянцы из Азиатского региона, в частности из Южной Кореи. Эта страна фактически сейчас является лидером по «производству» вирусов для мобильных телефонов.

Однако мобильные технологии не стоят на месте, и вместе с их развитием — развиваются и вирусы.

Мобильные технологии не стоят на месте, и вместе с их развитием — развиваются и вирусы.

Февраль 2006 года оказался ударным — сразу две новинки. К обнаружению первой из них, самым непосредственным образом оказалась причастна «Лаборатория Касперского». Один из наших пользователей обратил внимание на то, что на целом ряде российских сайтов пользователей мобильных телефонов активно рекламируется и распространяется некая программа RedBrowser. По уверениям ее авторов, данная программа позволяет пользоваться доступом в Интернет на wap-сайты — без использования интернет-соединения. Подобный функционал якобы реализован путем отправки и приема SMS, в которых и будет содержаться контент интересующего сайта.

Пользователь загрузил себе данную программу и протестировал ее на своем телефоне. Выяснилось, что SMS она действительно отправляет. Только никакой «бесплатной работы в Интернете без доступа в Интернет»там и близко не было. Отсылаемые SMS отправлялись на платные premium-номера и стоили 5-6 долларов США каждая.

Получив данную программу, мы тщательно проанализировали ее код и эти выводы были нами полностью подтверждены. Троянец был реализован в виде JAR-файла и предназначался для работы в операционной системе J2ME, которой оснащено подавляющее большинство обычных мобильных телефонов (не только смартфонов).

Возможность заражения вредоносными программами практически любых существующих мобильных телефонов, еще недавно казавшаяся невозможной, оказалась правдой, причем троянец очевидно уже какое-то время функционировал в «дикой природе» и имелись пострадавшие от него. Троянец получил название Trojan-SMS.J2ME.RedBrowser.a (а чуть позднее мы обнаружили его новый вариант).

Само появление троянских программ для J2ME представляет собой не менее серьезное событие, чем появление первого червя для смартфонов в июне 2004 года. Пока еще трудно оценить все потенциальные угрозы, однако тот факт, что доля обычных телефонов на порядок превосходит смартфоны, а возможность преступного{?незаконного?} использования зараженного телефона уже реализована злоумышленниками, заставляет нас начать исследования в области создания антивирусной защиты и для этого класса устройств.

Не исключено, что в самом ближайшем времени появятся аналогичные троянцы (посылающие sms на платные номера) для платформы Symbian.

Доля смартфонов и КПК на платформе Windows Mobile стремительно растет. До сих пор нам было известно всего две вредоносные программы для Windows Mobile / Pocket PC — это вирус Duts и бэкдор Brador. В феврале 2006 года поступило пополнение. Правда, история эта весьма загадочна и вызывает несколько серьезных вопросов. Об этом и поговорим.

Новый вирус способен не только функционировать на под управлением Windows, но и заражать мобильные телефоны с Windows Mobile.

Началось все с того, что некая организация, именующая себя MARA (Mobile Antivirus Researchers Association) распространила пресс-релиз, где говорилось, что ею от анонимного автора был получен некий новый концептуальный вирус, способный не только функционировать на персональных компьютерах под управлением Windows, но и заражать мобильные телефоны с Windows Mobile. Поскольку вирусы для WM — большая редкость, а в данном случае речь еще шла о полнофункциональном кроссплатформенном вирусе, это сообщение MARA привлекло повышенное внимание как средств массовой информации, так и антивирусных компаний.

Разумеется, практически все антивирусные компании обратились к MARA с просьбой о предоставлении экземпляра данного вируса для анализа и добавления его в свои антивирусные базы. Однако на все подобные запросы был получен один и тот же ответ. Заключался он в предложении вступить в MARA, поскольку по ее правилам обмен образцами вирусов возможен только между членами ассоциации.

Подобное поведение оказалось неожиданным. В антивирусной индустрии, с самого момента ее появления, существуют определенная этика поведения, заключающаяся в том числе и в регулярном обмене образцами новых вирусов. Это не обуславливается никакими формальными требованиями по вступлению кого-либо в какую-либо организацию. Тем более в случаях, когда речь идет о концептуальных вирусах, которые могут стать поворотной вехой в развитии вирусологии. Напротив, антивирусные компании стремятся к подобному обмену, чтобы защитить максимально возможное число пользователей, независимо от того, услугами какого антивирусного вендора те пользуются. Мы конкурируем друг с другом только в области маркетинга и предоставляемых сервисов.

Сам факт соавторства, сотрудничества с вирусописателем абсолютно недопустим с точки зрения антивирусной индустрии.

Разумеется, антивирусные компании с негодованием отвергли предложения о вступлении в эту малоизвестную организацию, не желая ради одного вируса создавать ей рекламу и повышать ее значимость за счет солидности состава членов. Одновременно, возник ряд вопросов относительно текущего состава членов ассоциации. Выяснилось, что в нее входило примерно десять человек, большинство которых были совершенно неизвестны в области антивирусной индустрии и не имели контактных адресов. Самым известным членом ассоциации является доктор Cyrus Peikari, автор нескольких книг по безопасности и генеральный директор небольшой компании AirScanner, разрабатывающей антивирусные решения для мобильных телефонов. Peikari стал широко известен несколько лет назад, после того как опубликовал исходные коды вируса WinCE.Duts, сопроводив их статьей-анализом, а фактически руководством по написанию вирусов для Windows Mobile. Что самое печальное, статья эта была написана им в соавторстве с членом группы 29A, известным как Ratter. Собственно, именно Ratter и был автором вируса Duts, и он же и представил исходные коды вируса Peikari.

Сам факт соавторства, сотрудничества с вирусописателем абсолютно недопустим с точки зрения антивирусной индустрии. Репутация самого Peikari и компании AirScanner была значительно подмочена.

В этой истории с появлением кроссплатформенного вируса (Crossover, по версии MARA) вопросы возникали один за другим. Непонятное требование присоединения к MARA для получения сампла, доказанная связь сотрудничества члена ассоциации с вирусописателями (известными созданием вирусов именно для WinCE)… Непонятно было и то, почему вирус был послан (анонимным автором) именно одному из членов MARA (также неназванному), а не в какую-нибудь известную антивирусную компанию, как это всегда происходило ранее с концептуальными вирусами.

Контакты с MARA решено было прекратить. 8 марта 2006 года Cyrus Peikari опубликовал детальный анализ кода вируса Crossover с примерами кода, фактически выпустив еще одно руководство по написанию вирусов для Windows Mobile. В соавторах на этот раз не значился никто. Одновременно с сайта MARA пропал список членов ассоциации.

Так или иначе, но в конечном итоге (авторам статьи неизвестно) ведущие антивирусные компании раздобыли образец этого вируса. Он получил название Cxover.

Вирус при своем запуске проверяет операционную систему и, будучи запущенным на персональном компьютере, ищет доступные через ActiveSync мобильные устройства. Затем вирус копирует себя через ActiveSync на найденное устройство. Попав в телефон (или КПК), вирус затем пытается проделать обратную процедуру — скопировать себя на персональный компьютер. Кроме этого, он может удалять пользовательские файлы на мобильном устройстве.

Ну что же. Теоретическая возможность существования вирусов, способных функционировать одновременно на персональных компьютерах и мобильных телефонах, подтверждена на практике. Исходные коды опубликованы, все рассказано. Welcome to the future.

Современные информационные угрозы, I квартал 2006

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике