Тенденции развития вредоносных программ, февраль 2005

В прошедшем феврале в мире виртуальной реальности продолжался процесс активного развития всевозможных «шпионов» и «воров», к которому присоединились и программы класса Adware. Причем, существенно выросла активность именно последней группы.

Поддерживает прежние высокие показатели своего развития сектор Agobot-клонов. А вот семейство классических сетевых червей хоть и не снизило присутствие в числе лидеров, но существенного прироста своей численности не продемонстрировало. Правда, случившееся в их рядах пополнение оказалось довольно активным. Произошли небольшие изменения в обнаружении и использовании уязвимостей операционной системы Microsoft Windows. И, конечно же, в очередной раз повысилась активность вирусописателей в плане защиты своих творений от зоркого ока антивирусных программ.

Сетевые черви

Начнем непосредственно с упоминавшегося выше пополнения. Во-первых, это достаточно специфический червь IM-Worm.Win32.Bropia, распространяющий себя через MSN Messenger. Свою «родословную» он ведет от появившегося в прошлом году почтового червя Email-Worm.Win32.Wurmark. Можно сказать, что это почтовый червь, поменявший способ своего распространения, поскольку и «производитель», и принцип действия остались прежними.

Основной и единственной задачей данного червя является доставка и установка на компьютер программы удаленного администрирования Backdoor.Win32.Rbot. После своего запуска, червь при помощи MSN Messenger рассылает сообщение, содержащее ссылку, при переходе по которой выполняется загрузка и запуск новой копии червя. Далее процесс повторяется. Затем червь устанавливает на зараженную машину Backdoor.Win32.Rbot. В большинстве случаев backdoor-программа содержится внутри исполняемого файла червя.

Основной и единственной задачей данного червя является доставка и установка на компьютер программы удаленного администрирования Backdoor.Win32.Rbot.

Однако в версии, получившей название IM-Worm.Win32.Bropia.h, принцип немного изменился: данная версия распространяется в виде самораспаковывающегося RAR-архива, содержащего отдельно модуль червя и Backdoor.Win32.Rbot. При запуске данного архива, происходит скрытое извлечение и запуск обоих файлов. С точки зрения своей реализации червь является очень примитивным, и не заслуживал бы отдельного внимания, если бы не тот факт, что его автор с завидной регулярностью плодит все новые и новые версии — иногда мы регистрируем несколько новых модификаций в день. Следует ожидать появления новых модификаций этого червя и в дальнейшем.

Следующим в нашем обзоре идет очередное пополнение широко известных семейств Net-Worm.Win32.Padobot, Backdoor.Win32.Padodor и Trojan-Spy.Win32.Qukart. В феврале компанию им составил почтовый червь Email-Worm.Win32.Padowor. Фактически это все тот же Net-Worm.Win32.Padobot, но поменявший способ распространения. Других существенных отличий от прототипа Padowor не содержит, и на данный момент его особого распространения не зафиксировано.

Отметим также появление почтового червя Email-Worm.Win32.Kipis. Прежде всего, в связи с плавностью и равномерностью развития этого семейства. С момента обнаружения первой версии нет ни всплесков, ни спадов, сохраняется стабильное присутствие этих вредоносных программ в почтовом трафике. Каждый месяц появляется новая, не вызывающая крупномасштабных эпидемий модификация. Получается этакий крепкий середнячок среди почтовых червей.

Закрывая обзор группы отметившихся в феврале чем-то особенным сетевых червей, следует вспомнить о появлении новых клонов: Email-Worm.Win32.Mydoom — Mydoom.am и Mydoom.an. Новыми эти версии можно считать лишь относительно, поскольку они являются несущественными модификациями Email-Worm.Win32.Mydoom.m и Email-Worm.Win32.Mydoom.ak.

Часть антивирусных компаний зарегистрировала несколько большее число подобных модификаций. Это связано с тем, что Email-Worm.Win32.Mydoom.am являлся миру под несколькими разными видами компрессии исполняемых файлов. «Лаборатория Касперского» распознала все эти псевдо-модификации под одним именем — Email-Worm.Win32.Mydoom.am.

Кроме того, в конце месяца, вновь «выстрелил» долго хранивший молчание Email-Worm.Win32.Sober. Было зарегистрировано появлений его новой версии — Email-Worm.Win32.Sober.k. Пока сложно сказать, вызовет ли она, подобно некоторым своим предшественникам, существенную эпидемию.

Шпионские программы

Высокие показатели развития по-прежнему демонстрируют семейства Trojan-PSW.Win32.LdPinch и Trojan-PSW.Win32.PdPinch. Стоит, видимо, уделить особое внимание именно этой «сладкой парочке». Эти своеобразные «медвежатники» компьютерного мира ориентированы на похищение практически всех паролей с инфицированной машины: сетевых, почтовых, паролей для ICQ, Miranda и т.д.

Файл-приманка представляет собой программу-установщик, содержащую сам файл «вора» и обещанные флэш-анимацию или JPEG-изображение.

Распространяются они в основном посредством массовой спам-рассылки. Как правило, файл прилагается под видом флэш-анимации или порно-изображений. Этот файл-приманка представляет собой троянскую программу-установщик (Trojan-Dropper.Win32.Microjoin или одна из разновидностей Trojan-Dropper.Win32.Small), содержащую сам файл «вора» и, в довесок к нему, обещанные флэш-анимацию или порнографическое JPEG-изображение.

Таким образом, при запуске троянца происходит незаметная установка и запуск «вора», в то время как пользователь считает, что он получил именно то, что обещалось в спам-письме. В большинстве случаев, прежде чем пользователь заподозрит неладное, «вор» успевает выполнить свои зловредные обязанности.

Следующими по важности в этой группе идут «шпионы», ориентированные на похищение PIN-кодов и паролей для банковских систем, и систем электронных платежей. Яркий пример — семейство Trojan-Spy.Win32.Goldun. Программы предназначены для хищения информации для доступа в систему E-Gold. Особый интерес вызывает то, что сам шпион изменяется достаточно медленно, что компенсируется скоростью изменения его установщика, которым, опять-таки, является Trojan-Dropper.Win32.Microjoin. Для сравнения, файл шпиона авторы изменяют не чаще 1 раза в 2 недели, а вот код установщика изменяется иногда несколько раз в день, что позволяет злоумышленникам осуществлять разовые спам-рассылки «шпиона» с достаточно высокой частотой.

Следует отметить, что в случае с Trojan-Spy.Win32.Goldun используется более серьезное содержание письма-приманки. Например, пользователь получает письмо якобы от системы E-Gold с настоятельной просьбой защитить его аккаунт при помощи вложенной в письмо «инсталляционной программы». Программа в письме, конечно же, инсталляционная, только устанавливает она прямую противоположность тому, о чем говорится в письме.

Или, например, пользователь может получить письмо от некоего доброго самаритянина, который доверительно сообщает, что ему на счет поступила энная сумма со счета пользователя и предлагает посмотреть подтверждающий его слова приложенный к письму «скриншот». Он обещает пользователю, что в случае, если тот подтвердит, что перевод действительно ошибочный, то деньги немедленно будут возвращены. Пользователь открывает «скриншот» — и процедура повторяется.

Иногда также попадаются и испытанные классические варианты: рассылка под видом картинок с пометкой «не рекомендуется для просмотра лицам до 18 лет». В любом случае, следует очень внимательно относиться к подобного рода письмам. Если вы не уверены на 100% в безопасности полученного письма, лучше отправить его на проверку в антивирусную лабораторию.

Если вы не уверены на 100% в безопасности полученного письма, лучше отправить его на проверку в антивирусную лабораторию.

Следующими в нашем обзоре идут регионально-ориентированные «шпионы» и «воры». Эти вредоносные программы ориентированы сугубо на отдельную страну или регион, и зачастую имеют хождение только в конкретных государственных границах.

Давними лидерами по производству такого рода программ являются Южная Америка и Китай. Латинские вирусописатели выдают воистину стахановские нормы, штампуя ударными темпами сразу несколько семейств «шпионов», ориентированных на ряд крупнейших бразильских банков: Trojan-Spy.Win32.Banker, Trojan-Spy.Win32.Bancos, Trojan-Spy.Win32.Banpaes и Trojan-Spy.Win32.Banbra. Причем все эти семейства достаточно регулярно обновляются.

А вот запросы воров из Поднебесной гораздо скромнее и распространяются в основном на online-игры корейского соседа. К этой группе относятся программы Trojan-PSW.Win32.Lmir и Trojan-PSW.Win32.Lineage.

Уязвимости

В феврале была обнаружена новая уязвимость в операционной системе Microsoft Windows, на этот раз связанная с графическим форматом PNG. Принцип использования данной уязвимости полностью аналогичен используемым в уязвимостях-предшественниках. Посредством особой комбинации некоторых полей заголовка изображения вызывается ошибка переполнения стека, в результате чего начинает исполняться вредоносный программный код, который присутствует в файле вместо изображения.

Компания Microsoft уже выпустила необходимую «заплатку», исправляющую ошибку в модуле операционной системы, приводившую к возникновению данной уязвимости (Microsoft Security Bulletin MS05-009).

Итоги месяца

В завершении февральского отчета хотелось бы отметить, что наметилась устойчивая тенденция роста активности программ класса not-a-virus:AdWare — программ рекламного характера. Интернет все больше и больше коммерциализируется, и повышение спроса на рынке услуг интернет-рекламы становится все более очевидным.

Подводя итоги прошедшего месяца, можно отметить следующие тенденции, которые наверняка будут проявляться и в уже наступившем марте:

1. Активное развитие направления программ «воров» и «шпионов» будет продолжаться, причем возможен еще больший рост их активности.
2. Весьма возможно обнаружение новых уязвимостей в операционной системе Microsoft Windows.
3. Класс сетевых червей явно не собирается уходить в тень, поэтому можно ожидать их дальнейшего развития. Возможны резкие всплески активности, прежде всего стараниями Email-Worm.Win32.Mydoom и Email-Worm.Win32.Bagle.