Архив новостей

Тенденции развития вредоносных программ, январь 2005

Наиболее интересные события, произошедшие в мире вирусов в январе, представляют собой результаты освоения вирусописателями новых платформ и технологий.

В начале месяца бразильский вирусописатель Marcos Velasco выпустил первый заражающий файлы вирус для смартфонов под управлением операционной системы Symbian. При близком рассмотрении оказалось, что вирус также содержит функцию распространения посредством Bluetooth подобно известному червю Worm.SymbOS.Cabir. Вредоносная программа была добавлена в базы под именем Worm.SymbOS.Lasco.a.

Фактически, новый вирус представляет собой модифицированный Cabir, в который добавлена функция заражения файлов Symbian (sis-архивов). Для того чтобы смартфон оказался заражен, по-прежнему нужно несколько раз подтвердить принятие присылаемого посредством Bluetooth файла, что умаляет технологический фактор опасности вируса и акцентирует — человеческий.

Примерно в это же время был зафиксирован первый прецедент наличия вредоносных функций в видеофайле (в частности, формата WMV). Trojan-Downloader.WMA.Wimad — работающий видео-файл, при открытии которого на компьютер загружаются троянские или рекламные программы.

Загрузка файлов из интернета при запуске видео-файла происходит вследствие эксплуатации уязвимости в файлах формата WMV. Тем не менее, Microsoft отказывается признавать наличие уязвимости, мотивируя это тем, что функция загрузки удаленного файла предусмотрена разработчиками в целях соблюдения прав копирования видео-файлов (в частности, для проверки лицензии).

Но самым громким событием месяца, безусловно, стало сообщение пользователя о некоем вирусе, якобы обнаруженном в бортовом компьютере автомобиля. Как нам стало известно, компьютеры отдельных моделей автомобилей Lexus и Landcruiser могут использовать SymbianOS и Bluetooth, что фактически является достаточным условием для заражения системы самораспространяющимся Bluetooth-червем, таким как Worm.SymbOS.Cabir.

Trojan-Downloader.WMA.Wimad — работающий видео-файл, при открытии которого на компьютер загружаются троянские или рекламные программы.

Помимо освоения новых технологий, вирусописатели не забывают и о старой, проверенной временем тактике — социальной инженерии. Email-Worm.Win32.Zar спекулирует на трагедии в Азии, рассылая зараженные письма с текстом, предлагающим помочь жертвам цунами и запустить вложение. Обнаружены также троянцы, притворяющиеся недавно выпущенной утилитой Microsoft AntiSpyware.

Не обошлось в январе и без кратковременной эпидемии известного Email-червя Bagle (Email-Worm.Win32.Bagle.ax и ay). Опасность широкого распространения этих двух модификаций червя, признанная критической, ознаменовала последние числа месяца.

Что касается прогнозов на будущее, наиболее очевидно все большее распространение вирусов для смартфонов в «дикой природе». Первые реальные прецеденты заражения телефонов пользователей появились в этом месяце, и в дальнейшем их количество, по всей видимости, будет медленно, но неуклонно расти. В сфере компьютерных вирусов можно прогнозировать такое же медленное, но неуклонное возрастание доли программ рекламного характера (AdWare) по отношению к самым распространенным в настоящий момент вредоносным программам (Trojan, Trojan-Spy и т.д.), подобно тому, как последние в свое время вытеснили вирусы, заражающие файлы.

Тенденции развития вредоносных программ, январь 2005

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике