Первое полугодие 2006 отличалось повышенной сложностью технологических проблем, которые приходилось решать антивирусным компаниям, большим количеством новинок вирусной мысли — «концептов», а также все возрастающим интересом хакеров к Microsoft Office. В целом все это выглядело как бурное противостояние идей, генерируемых обеими сторонами вирусной войны. Проактивность, криптография, руткит-технологии, уязвимости были горячими темами в первом полугодии этого года. Но после всплеска активности неминуемо наступает время затишья, когда стороны пытаются сделать выводы и оценить степень правильности или провальности той или иной концепции. Третий квартал 2006 года и стал как раз таким временем, совпавшим с периодом общего стремления к отдыху — летними месяцами.
В третьем квартале не было ни одной значительной эпидемии, хотя август ожидали с некоторым волнением — но скорее из дани к традиции: в последние три года в августе всегда случались мощные вирусные эпидемии. Вспомним 2003 год, уязвимость MS03-026 и червь Lovesan. Август 2004 года принес нам червей Zafi и Bagle, а в 2005 червь Bozori (Zotob), использующий уязвимость MS05-039, поразил сети CNN, ABC, New York Times и еще множества других организаций в США.
В третьем квартале не было зафиксировано и новых концептуальных вирусов, и это тоже связано с тем, что вирусописателям требовалось время на осознание тех возможностей, которые ими в избытке были продемонстрированы новыми PoC-вирусами в первом полугодии.
В общем и целом, все было тихо и спокойно — шла обычная рутинная позиционная война за Интернет.
Уязвимости
Кажется что слово «уязвимость» встречается в наших квартальных отчетах уже гораздо чаще чем «вирус». И это в полной мере отражает сложившуюся ситуацию в информационной безопасности. Давно уже ушли в прошлое времена, когда вирусы могли существовать и распространяться просто так, по воле их создателей и беспечных пользователей. Годы борьбы между вирусописателями с одной стороны и антивирусными компаниями и производителями программного обеспечения с другой, привели к тому, что в настоящее время практически все вредоносные программы, способные вызвать эпидемии, так или иначе используют различные бреши в программах.
Сетевые черви, получившие «право на жизнь» из-за уязвимостей в службах Windows — ярчайший пример того, как использование дыр в софте может привести к эпидемиями глобального масштаба. Уязвимости в браузере Internet Explorer стали питательной средой для распространения тысяч троянских программ. Все это заставляет нас как экспертов с тревогой ожидать информации о каждой новой найденной критической уязвимости, особенно если для нее еще нет соответствующего исправления от производителя.
Уязвимости в Microsoft Office
О проблеме уязвимости в Microsoft Office, очень быстро ставшей одной из ключевых в сфере информационной безопасности, мы уже писали в отчете за второй квартал 2006 года. Начиная с марта, мы едва успевали фиксировать появление то одной, то другой уязвимости в различных продуктах, входящих в состав пакета Microsoft Office. Под прицел «blackhat» попали и Word, и Excel, и Power Point. За три месяца число подобных «дыр» составило почти десяток, и все они становились известными еще до опубликования патча от Microsoft, закрывающего соответствующую «дыру».
Более того, вирусописатели приспособились к существующему у Microsoft графику выпуска обновлений (каждый второй вторник месяца) и стали выпускать в свет свои поделки спустя всего несколько дней (не более недели) после очередного «планового» патча. В результате практически целый месяц новая уязвимость могла быть использована хакерами, а пользователи все это время оставались без защиты, предоставленной компанией-производителем данного программного обеспечения.
Но и это было еще не самым печальным в этой истории. И мы, и другие антивирусные компании в процессе борьбы с вредоносными программами, использующими уязвимости в Office, проводили собственный анализ «дыр». Стало очевидно, что в их основе лежит по сути одна и та же проблема формата документов, использующих OLE-технологию (файлы, созданные при помощи MS Office). Проблема не решалась выпуском патчей для каждой найденной дыры — компании Microsoft необходимо было полностью пересмотреть технологию обработки структуры OLE-объектов. Выходящие раз в месяц патчи напоминали заплатки на рыбацкой сети — общее число мест в OLE-объектах, которые потенциально могут быть уязвимы, составляет более ста.
Доходило до смешного: мы, в «Лаборатории Касперского», даже заключали между собой пари «через сколько дней после выхода патча появится новая уязвимость в Office». Вопрос о том, появится ли она, даже не вставал. Речь действительно шла о днях.
В третьем квартале ничего не изменилось. Злоумышленники, среди которых выделялись своей активностью китайские хакеры, продолжали «удивлять» Microsoft все новыми и новыми троянскими программами, а Microsoft продолжала придерживаться традиционного графика выпуска обновлений.
Июль (3 уязвимости):
- Microsoft Security Bulletin MS06-037
- Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (917285)
- Microsoft Security Bulletin MS06-038
- Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (917284)
- Microsoft Security Bulletin MS06-039
- Vulnerabilities in Microsoft Office Filters Could Allow Remote Code Execution (915384)
Август (2 уязвимости):
- Microsoft Security Bulletin MS06-047
- Vulnerability in Microsoft Visual Basic for Applications Could Allow Remote Code
- Execution (921645)
- Microsoft Security Bulletin MS06-048
- Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (922968)
Сентябрь (1 уязвимость):
- Microsoft Security Bulletin MS06-054
- Vulnerability in Microsoft Publisher Could Allow Remote Code Execution (910729)
Следует четко понимать, что почти за каждой из этих уязвимостей стоят иногда десятки троянских программ, которые были обнаружены либо в почтовом трафике, либо на компьютерах пользователей. Должен сказать самые теплые слова в адрес наших коллег из других антивирусных компаний, в первую очередь из Trend Micro, которые оказывались невольными открывателями этих уязвимостей и троянцев и уведомляли Microsoft об очередной проблеме. Как было сказано выше, особенно активно использовали эти уязвимости для распространения троянских программ китайские вирусописатели. Китайские бэкдоры Hupigon, PcClient, Hackarmy были нацелены на пользователей в Европе, Азии и США. Возможно, эта борьба антивирусных компаний против хакеров стала основной причиной массовых DDoS-атак, которым подвергались в эти месяцы сайты некоторых AV-вендоров именно со стороны зомби-сетей, созданных такими троянцами.
Случайность или спланированная атака?
Позволю себе высказать смелую мысль. Возможно, мы имеем дело не с обычным всплеском хакерского внимания к программному продукту. Возможно, это хорошо спланированная и тщательно осуществляемая атака на Microsoft. Кем и для чего?
За всеми атаками не просматривается одной и той же хакерской группы, так что трудно поверить в простое совпадение: на протяжении полугода(!) каждый месяц новые «дыры» обнаруживаются стараниями разных хакеров сразу же после исправления старых. Послушайте, так не бывает, чтобы разрозненные вирусописатели в разных странах мира все как один прониклись идеей «публикации» уязвимостей с оглядкой на график обновлений Microsoft. Если к ним в руки попадает новый эксплоит, никто из них не ждет несколько недель, чтобы его использовать. В мире киберпреступности действует тот же закон, что и в любом бизнесе — «Время — деньги». А цепочку «эксплоиты — время деньги» мы уже наблюдали в случае с уязвимостью в обработке WMF-файлов, когда эксплоит уязвимости продавался на некоторых хакерских форумах за $4000 (см. отчет за 4-й квартал 2005 года).
Как известно, MS Office является вторым основным продуктом Microsoft и приносит ей почти половину всей прибыли. Office фактически является стандартом для офисных приложений и практически не имеет конкурентов на рынке. Подобная ситуация не может устраивать другие компании, которые без особого успеха уже много лет пытаются сделать популярными собственные аналогичные продукты.
В большинстве стран не существует юридического запрета на поиск уязвимостей, поэтому поиск и публикация уязвимостей в продуктах конкурентов относится скорее к области этической, чем юридической. Тенденция обнаружения новых уязвимостей спустя считанные дни после предыдущего патча больше похожа на попытку дискредитации Microsoft в целом как компании-специалиста в области информационной безопасности и дискредитации ее системы планового выпуска обновлений в частности.
У Microsoft много врагов. Большое число уязвимостей и связанные с ними непрекращающиеся вирусные атаки действительно могут дискредитировать MS Office в глазах пользователей.
Ситуация продолжает оставаться крайне сложной. Хотя число найденных в MS Office уязвимостей (судя по количеству Microsoft Security Bulletin) пошло к концу квартала на убыль — это совсем не означает, что проблема решена. Напротив, нам следует ожидать еще более изощренных видов атак на Microsoft Office. Это связано с тем, что Microsoft уже сделала доступным для открытого бета-тестирования пакет Office 2007, а значит, у хакеров появляется еще один объект для исследования.
Этот отчет пишется в октябре, и у нас уже есть возможность узнать о том, сколько же уязвимостей в Office было исправлено октябрьским набором обновлений. Я думаю, что мы можем с полным основанием отнести их к третьему кварталу, поскольку все уязвимости были обнаружены в сентябре 2006 года.
Октябрь:
- Microsoft Security Bulletin MS06-058
- Vulnerabilities in Microsoft PowerPoint Could Allow Remote Code Execution (924163)
- Microsoft Security Bulletin MS06-059
- Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (924164)
- Microsoft Security Bulletin MS06-060
- Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (924554)
- Microsoft Security Bulletin MS06-062
- Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (922581)
Я оставляю этот список без комментариев.
Мобильные новости
Проблема мобильных вирусов всегда была и остается одной из наиболее интересных как для «Лаборатории Касперского», так и для меня лично. Читатели, которые следят за нашими публикациями, обратили внимание, что в последнее время по этой теме нами было выпущено несколько материалов. Это и раздел о мобильных вирусах в нашем полугодовом отчете, и статья «Введение в мобильную вирусологию» в двух частях. В этих материалах были полностью раскрыты и рассмотрены все существующие виды и классы мобильных вредоносных программ. Вне поля зрения осталась только часть событий третьего квартала 2006 года, и именно о них и пойдет речь ниже.
Мобильных вирусов, заслуживающих отдельного внимания и выделяющихся из общей массы примитивных skuller-подобных троянцев, было обнаружено три штуки. Рассмотрим их в порядке появления.
Comwar v3.0: возможность заражения файлов
В августе в руки антивирусных компаний попал очередной образец самого распространенного MMS-червя Comwar. При его детальном анализе выяснилось, что червь содержит в себе следующие текстовые строки:
- CommWarrior Outcast: The Dark Masters of Symbian.
- The Dark Side has more power!
- CommWarrior v3.0 Copyright (c) 2005-2006 by e10d0r
- CommWarrior is freeware product. You may freely distribute it in it’s original unmodified form.
Отличие от предыдущих вариантов заключалось не только в номере версии — «3.0», но и в очередной технологической новинке, примененной русским автором Comwar. В этом варианте он впервые применил возможность заражения файлов. Червь ищет на телефоне другие sis-файлы и дописывает себя в них. Таким образом, он получает еще один способ распространения, помимо традиционных MMS и Bluetooth.
В ComWar реализованы практически все возможные на сегодняшний день пути проникновения и распространения для мобильных вирусов. Все, кроме одного. И этот путь был показан в конце августа другим червем — Mobler.a.
Mobler.a: под ударом опять компьютер?
Этот червь стал первым кроссплатформенным зловредом, способным функционировать на операционных системах Symbian и Windows. А функция распространения заключается в копировании себя с компьютера на телефон и обратно.
Будучи запущенным на персональном компьютере, он создает на диске E: (как правило, именно как диск E: монтируются подключаемые к компьютеру мобильные устройства) свой sis-файл. Этот файл содержит в себе несколько файлов-пустышек и перезаписывает ими ряд системных приложений телефона. Также в файле содержится Win32-компонента червя, который копируется на съемную карту памяти телефона и дополняется файлом autorun.inf. Если такой зараженный телефон подключить к компьютеру и попытаться с этого компьютера обратиться к съемной карте памяти телефона, — произойдет автозапуск червя и заражение компьютера.
Пока это всего лишь концептуальная разработка неизвестного автора, но в теории подобный способ распространения мобильных вирусов может стать одним из наиболее используемых. Возможно даже, что он окажет гораздо большее влияние на мобильную вирусологию, чем возможность распространения через MMS, так как под ударом может оказаться не только телефон, но и компьютер — со столь вожделенными для злоумышленника данными. Скорее всего, стоит рассматривать Mobler.a не как новый способ проникновения в телефон, а именно как очередной вектор атаки на персональные компьютеры пользователей.
Acallno — sms-шпион
Мир мобильных вирусов, по большому счету, находится сейчас в состоянии застоя. Практически все возможные технологии, виды и классы вредоносных программ для Symbian-смартфонов уже реализованы. От действительно массового распространения подобных вирусов нас спасает пока еще низкая (по сравнению с компьютерами) распространенность смартфонов и отсутствие явной «коммерческой» выгоды от заражения телефона. Информация, которую содержит телефон, не слишком интересный объект для мошенников: адресная книга, список совершенных звонков, тексты и «адреса» принятыхотправленных SMS. Но именно на сбор информации об SMS и нацелен еще один интересный представитель мобильного мира — троянец Acallno.
Это коммерческая разработка некоей фирмы, которая предназначена для шпионажа за пользователем конкретного телефона. Acallno настраивается на конкретный телефон по его IMEI-коду (International Mobile Equipment Identity) и не будет работать на другом телефоне при простом копировании его файлов. Он скрывает свое присутствие в системе, и это, вкупе с функцией шпионажа, заставляет нас относиться к нему как к вредоносной программе. Троянец (мы классифицируем его именно так, хоть он и продается вполне легально) дублирует все принятые и отправленные SMS с телефона, на который он загружен, на специально настроенный номер.
Wesber: кража денег с мобильного счета
Кроме того, что можно красть тексты и «адреса» SMS, при помощи SMS можно красть и реальные деньги — с мобильного счета абонента. И эта возможность в полной мере реализована в очередном J2ME-троянце Wesber. Обнаруженный в самом начале сентября специалистами нашей компании, Wesber является вторым известным нам троянским приложением, способным функционировать не только на смартфонах, но и практически на любых современных мобильных телефонах — благодаря тому, что он написан для платформы Java (J2ME).
Как и его предшественник троянец RedBrowser, Wesber.a занимается тем, что отсылает на платный premium номер несколько SMS. За каждую из них с мобильного счета абонента списывается сумма в 2.99 доллара США. До недавнего времени процедура функционирования подобных premium-номеров у российских мобильных операторов была крайне проста, и выйти на след злоумышленника, если бы подобные троянцы стали массовыми, было бы довольно проблематично. В настоящее время мобильные операторы, обеспокоенные ростом числа случаев SMS-мошенничества, стали принимать меры противодействия, в частности, ужесточать правила регистрации подобных premium-номеров.
На этом рассказ о мобильных вирусах третьего квартала 2006 года можно было бы и закончить, но есть еще одна тема. Она напрямую не связана с мобильными телефонами, однако, несомненно, относится к проблеме безопасности беспроводных устройств и сетей.
WiFi-черви — почти реальность
В августе компания Intel объявила о наличии серьезной уязвимости в процессорах Intel Centrino, а именно в части функций работы с беспроводными сетями Wi-Fi. Подробности уязвимости, естественно, детально не афишировались, однако было известно, что речь идет об «Execute arbitrary code on the target system with kernel-level privileges». Моментально было выпущено соответствующее исправление для проблемных ноутбуков, но нас в этой истории интересует то, что раньше могло казаться только теоретическими рассуждениями, а сейчас едва не стало реальностью. Я говорю о WiFi-червях.
Сценариев работы такого червя может быть несколько, и всем им лучше оставаться неозвученными, чтобы не подтолкнуть вирусописателей к реализации какого-нибудь из них. Однако, в данном случае все достаточно очевидно. При наличии подобной уязвимости в Intel Centrino существует определенная вероятность появления червя, который будет перебираться с ноутбука на ноутбук в радиусе действия его WiFi-адаптера. Принцип работы весьма прост — достаточно вспомнить классических сетевых червей Lovesan, Sasser или Slammer. Червь обнаруживает уязвимый ноутбук и посылает на него специальный пакет-эксплоит уязвимости. В результате атакованный компьютер предоставит червю возможность для передачи на него своего тела и выполнения очередного цикла заражения-распространения. Единственную сложность может представлять только поиск жертвы для атаки, поскольку перебор по MAC-адресу представляется весьма нетривиальной задачей, а вариант с выбором по IP-адресу здесь не пройдет. Впрочем, своих «соседей» по точке доступа червь может атаковать именно по IP-адресам. И не стоит забывать о том, что множество ноутбуков имеют включенный по умолчанию режим поиска WiFi-точек.
Подчеркиваю, что это только один из возможных сценариев работы WiFi-червей. Наличие уязвимостей в беспроводных адаптерах пока еще редкость, но кто знает, что нас ждет в будущем? Недавно в саму возможность существования вирусов для мобильных телефонов многие не верили…
Вирусы в системах мгновенного обмена сообщениями
В течение последнего года одной из наиболее заметных проблем информационной безопасности стали вредоносные программы, распространяющиеся при помощи IM-клиентов таких служб как ICQ, MSN, AOL. Несмотря на то, что все интернет-пейджеры обладают возможностью передачи файлов, авторы IM-червей избегают (или просто не умеют использовать) этого способа проникновения в систему. Начало 2005 года было ознаменовано появлением множества примитивных IM-червей, которые продемонстрировали, что способ рассылки линков на вредоносные программы, размещенные на зараженных сайтах, является почти столь же эффективным, как отправка вирусов по почте. С тех пор и поныне основным видом IM-атаки является отправка ссылки на специально подготовленный веб-сайт, на котором и находится сама вредоносная программа.
Многие троянцы рассылают ссылки по контакт-листу IM-клиента. Полученную от своего знакомого ссылку пользователь с большой вероятностью откроет, и в этот момент вредоносная программа (через эксплоиты различных уязвимостей в Internet Explorer либо путем прямой загрузки и запуска) проникает в систему.
Постепенно в развитии и реализации этого метода сформировалось два основных направления, связанных с использованием разных IM-клиентов в разных странах мира. Если в странах Европы и США основные вирусные IM-атаки организуются против пользователей MSN и AOL, то в России мишенями атаки являются пользователи ICQ (и различных альтернативных ICQ-клиентов — Miranda, Trillian и т.д.). Это вызвано тем, что в России MSN и AOL практически не распространенны и не пользуются популярностью, также как в Китае, где основным клиентом для мгновенного обмена сообщениями является программа QQ.
Кроме различия в атакуемых IM-клиентах, существует и специализация по типам распространяемых вредоносных программ. На Западе основную угрозу представляют IM-черви — широко известны такие семейства как Kelvir, Bropia, Licat, атакующие AOL и MSN. Кроме саморазмножения большинство IM-червей способны устанавливать в систему и другие вредоносные программы. Так, например, наиболее многочисленный в настоящее время по количеству вариантов червь Bropia устанавливает на зараженный компьютер Backdoor.Win32.Rbot, тем самым включая его в сеть «зомби-машин» — так называемый «ботнет» (botnet). Существует также некоторое количество червей, атакующих китайский интернет-пейджер QQ.
С ICQ (и Россией) ситуация обратная. Червей, которые бы распространялись через ICQ, крайне мало. Вместо этого российским пользователям досаждают многочисленные троянские программы, в первую очередь печально известный троянец-шпион LdPinch. Некоторые варианты этого троянца обладают весьма интересной функцией: попав в пользовательский компьютер и украв интересующие автора троянца данные, вредоносная программа начинает рассылать по контакт-листу IM-клиента зараженного компьютера ссылку на сайт, где размещен LdPinch. В третьем квартале 2006 года в Рунете случилось несколько заметных эпидемий подобного рода, когда в течение дня сотни и тысячи пользователей ICQ получали от своих знакомых ссылки на вредоносные файлы под видом ссылок на «прикольные картинки» или «летние фотографии». Понятно, что, на самом деле, компьютеры этих знакомых были заражены данными троянцами, и рассылка с зараженных компьютеров осуществлялась вредоносной программой.
К сожалению, ICQ пока не предпринимает никаких попыток по созданию некоего фильтра, который бы мог удалять подобные ссылки из сообщений, пресекая их доставку пользователям, как это сделано в MSN. Microsoft пришлось пойти на такой шаг и блокировать любые ссылки, содержащие указание на исполняемые файлы, именно после значительных эпидемией IM-червей в прошлом году. Впрочем, существующий фильтр по-прежнему не является панацеей, поскольку, помимо ссылок на зараженные файлы, злоумышленники могут рассылать ссылки на веб-страницы, содержащие различные эксплоиты для браузеров. В результате пользователи непропатченных браузеров все равно могут быть заражены. Да и нынешний алгоритм работы MSN-фильтра далек от совершенства, что показывает проанализированный нашими экспертами инцидент, случившийся в сентябре.
В конце сентября в западном сегменте Интернета был зафиксирован очередной всплеск активности IM-червей, наиболее заметным из которых стал IM-Worm.Win32.Licat.c.
Червь рассылал через MSN ссылки следующего вида:
Все ссылки вели на различные троянцы-загрузчики, которые, в свою очередь, устанавливали в систему рекламные программы (AdWare.Win32.Softomate) и прочие связанные с AdWare троянские программы. Разумеется, одновременно на зараженные компьютеры устанавливался и сам Licat.c, что вело к очередному циклу рассылки.
MSN-фильтр, как нам казалось, должен был успешно блокировать подобные сообщения, однако червь активно распространялся. Анализ, проведенный нашим аналитиком Роулем Шоуэнбергом, показал, что MSN-фильтр не блокирует ссылки, в которых PIF-файл имеет расширение, отличное от «.pif». Проще говоря, он был «регистрозависимым» и не реагировал на заглавные буквы — фильтр пропускал ссылки с расширением «.PIF»! Авторы червя использовали эту уязвимость. Мы уведомили Microsoft о данной проблеме, и вскоре ошибка была исправлена.
Все эти примеры показывают, что в настоящее время не существует надежной защиты от подобного способа распространения вирусов. Основной проблемой является человеческий фактор: доверие к ссылкам, приходящим от знакомых, очень велико. Ситуация напоминает время появления почтовых червей, когда пользователи бездумно запускали любые файлы, приходящие по почте. Сейчас они с тем же успехом открывают присылаемые через IM ссылки.
Совет, данный нами полтора года назад, по-прежнему остается актуальным. Мы рекомендуем системным администраторам и специалистам в сфере IT-безопасности в настоящее время обратить максимальное внимание на повышенную опасность IM-клиентов и, возможно, внести в корпоративные политики безопасности правила, запрещающие использование подобных программ. Кроме того, учитывая способ проникновения подобных червей на компьютер (через ссылку, открываемую в уязвимом браузере), необходимо обязательно проверять весь входящий HTTP-трафик.
И еще об уязвимостях
В третьем квартале 2006 года наибольшую угрозу для пользователей представляли помимо множественных уязвимостей в Microsoft Office (о чем речь шла выше) еще две другие бреши в продуктах Microsoft. Первая из них, получившая обозначение MS06-040, заставила многих вспомнить август 2003 года. Ведь между уязвимостью MS06-040 и той августовской уязвимостью MS03-026 оказалось столь много общего. Начать с того, что обе они относились к самому опасному из известных классов дыр — возможности выполнения произвольного кода для Windows-платформ путем сетевой атаки. В августе 2003 года уязвимость MS03-026 привела к гигантской эпидемии червя Lovesan и породила затем еще сотни аналогичных червей. Август 2006 года мог стать таким же опасным, тем более что эксплоит уязвимости был опубликован, и любой вирусописатель мог, используя его, создать собственного разрушительного червя.
Авторы вирусов, конечно же, не остались в стороне от этой новости и уже спустя всего день после выхода патча от Microsoft запустили в Интернет несколько вредоносных программ, которые использовали MS06-040. Первым из них стал Backdoor.Win32.VanBot (также известный как Mocbot). К счастью, он мог успешно атаковать только компьютеры, работающие под управлением Windows 2000 и Windows XP SP1. Пользователи XP SP2 не были в группе риска. Вторым фактором, из-за которого глобальная эпидемия не произошла, было то, что это был не червь, который мог сам распространяться, а бэкдор, управляемый через IRC (отсюда четко прослеживается цель авторов VanBot — создание ботнета для последующего использования). Бэкдор мог распространяться только по команде автора, что ограничивало масштабы его проникновения.
В последующие дни появилось еще несколько программ, также использующих MS06-040, и все они были аналогичными вариациями на тему бэкдор-ботнета. Многие из старых вредоносных программ, такие как Rbot и SdBot, просто пополнили свой арсенал эксплоитов новым, и нам стали попадаться настоящие «мутанты», вооруженные десятком самых опасных эксплоитов для Windows — начиная от MS03-026 и заканчивая MS06-040. Понятно, что «пробивная способность» таких зловредов неизмеримо выше, чем у конкурентов. К счастью, технологическая суть уязвимости и содержимое эксплоита не очень значительно отличались от уже известных ранее и были весьма похожи на MS04-011 и MS05-039, что позволило многим производителям антивирусных программ и файрволов блокировать эти вирусные атаки без какого-либо обновления продуктов. Эпидемии удалось избежать, и август 2006 года не стал очередной «черной датой» в истории вирусного противостояния.
Все могло измениться спустя месяц — в сентябре. 19 числа Интернет облетела новость об обнаружении очередной дыры в браузере Internet Explorer. Уязвимость относилась к процедуре в обработке VML — языка разметки векторной графики и позволяла злоумышленнику составить скрипт, выполняющий в системе произвольный код при посещении инфицированного сайта.
В тот день специалисты Sunbelt Software обнаружили эксплоиты — реализации атаки через уязвимость — на некоторых российских порносайтах, созданных хакерами. Этот факт заставил многих считать именно российских хакеров причастными к созданию и распространению данного эксплоита, как это было в ситуации с брешью в обработке WMF-файлов в декабре 2005 года. Однако наше собственное расследование не выявило четкого «русского следа» в истории с VML.
Датская компания Secunia присвоила дыре рейтинг «экстремально критическая» (наивысший уровень угрозы), и вызвано это было тем, что она может быть эксплуатирована на любой версии Windows при использовании Internet Explorer.
Уязвимость существует из-за ошибки проверки границ данных в Microsoft Vector Graphics Rendering (VML) библиотеке (vgx.dll) при обработке определенных VML документов
Последующие дни принесли с собой массу новых хакерских сайтов со скриптами-эксплоитами уязвимости VML. Множество вирусописателей постарались использовать ситуацию для внедрения своих троянцев на компьютеры пользователей. Ситуация крайне осложнялась тем, что это был так называемый 0-Day эксплоит, то есть для него еще не существовало патча от Microsoft. И, согласно графику выпуска обновлений, патч должен был появиться только через три недели, 10 октября. Фактически второй раз за год мы столкнулись с подобной проблемой — эксплоит есть, активно используется вирусописателями, отмечены массовые случаи заражения, а исправления нет. Первый раз это было в декабре 2005 года с WMF. Как и тогда, в сентябре 2006 некоторые независимые эксперты и компании выпустили свои собственные неофициальные патчи, закрывающие дыру. Это делалось для того, чтобы обеспечить пользователям хоть какую-то защиту в ожидании официального исправления от Microsoft.
К счастью, компания Microsoft быстро осознала всю тяжесть сложившейся ситуации и нарушила свой график выпуска обновлений. Патч был подготовлен и опубликован в рекордно короткий срок — уже 26 сентября, спустя всего лишь неделю после открытия уязвимости. Брешь получила идентификатор MS06-055, и выпуск патча значительно сбил поток заражений. В настоящее время MS06-055 продолжает использоваться хакерами наряду с другими известными уязвимостями Internet Explorer, и мы призываем всех пользователей срочно установить исправление, если они до сих пор этого не сделали.
Заключение
Все эти события третьего квартала 2006 года наводят на мысль о том, что Интернет и сфера информационной безопасности стоят на пороге чего-то кардинально нового. Берусь сделать вывод о том, что второй этап развития вирусов и антивирусных технологий завершен.
Первый этап относится к 90-м годам прошлого века, когда для борьбы с простыми вирусами было достаточно несложных сигнатурных методов детектирования. Вирусы не отличались большой технологичностью, и проблема заражения решалась довольно просто.
С началом нового тысячелетия лидерство захватили почтовые и сетевые черви, использующие для своего размножения и уязвимости, и человеческий фактор. Способность червей к массовым заражениям за короткое время привела к росту киберпреступного бизнеса; вирусные технологии значительно усложнились, как увеличился и спектр вредоносных программ. На первый план вышли скорость реакции антивирусных компаний, технологии эмуляции кода, противодействие руткитам, защита конфиденциальных данных пользователей, спам, фишинг, мобильные вирусы, уязвимости в браузерах и сетевом оборудовании и многовекторные угрозы, распространяющиеся не только через почту, но и IM сети и интернет-пейджеры.
Наблюдающийся на протяжении всего 2006 года тренд исчерпания старых идей как защиты, так и нападения находит подтверждение в наших отчетах. Вирусописатели судорожно мечутся в попытках противостоять современным технологиям защиты — пытаются создавать концептуальные вирусы для новых платформ, закапываются все глубже и глубже в поиск уязвимостей, но все это не находит большой реализации в реальных условиях. Под «большой реализацией» я имею в виду действительно серьезные угрозы, способные нанести многомиллиардный ущерб, как это делали черви Klez, Mydoom, Lovesan, Sasser в прошлые годы.
То, что происходит сейчас — это местами интересно, местами очень технологично и серьезно (криптография в вирусах, например), но в целом угрозы сейчас не столь глобальны и долговременны, как ранее. Можно констатировать весьма значительное снижение уровня противостояния: ничего действительно нового — все тот же поток одних и тех же троянцев, вирусов, червей, только увеличившийся в несколько раз.
Это мнение, конечно, покажется спорным очень многим, но мне кажется, что современные вирусописатели-киберпреступники приспособились к существующим достижениям антивирусной мысли и не стремятся перейти в наступление. Вирусописателей устраивает время реакции антивирусных компаний, которое составляет порой считанные часы, а то и минуты, и те результаты, которых злоумышленники успевают достичь за это время. А антивирусные компании не могут работать быстрее, чем сейчас, и достигли в массе своей некого технологического предела в противодействии угрозам.
Если ситуация обстоит именно так, как я себе ее представляю, то в скором времени все должно измениться. Либо антивирусные компании перейдут в наступление и «додавят» этот вирусный вал, либо вирусная мысль родит нечто совершенно новое, что задаст новые планки и стандарты антивирусной защиты.
Современные информационные угрозы, III квартал 2006