Тенденции развития вредоносных программ, апрель 2005

Апрель в этом году стал самым «червивым» месяцем. Такого количества червей и скорости появления их новых версий в этом году ещё не было.

Email-Worm.Win32.Bagle

После месяца молчания (предыдущая версия была обнаружена 12 марта 2005) появился новый вариант Email-Worm.Win32.Bagle.bi (обнаружен 15 апреля 2005). С этого момента было обнаружено 7 новых версий Bagle.bi-bn и ещё несколько вариантов были объединены в Bagle.pac.

Авторы Bagle начали соревноваться в скорости реакции с антивирусными компаниями, новые версии выходили буквально через 15 минут после выпуска обновления антивирусных баз. Что характерно, новые версии Bagle обычно появляются после 00:00 по Москве.

Теперь Bagle — это не совсем email-червь, поскольку в большинстве новых вариантов заблокирована функция самораспространения. Новые версии Bagle рассылаются пользователям при помощи масштабных спам-рассылок. В самих вредоносных программах, как правило, содержится большой список URL, с которых Bagle может скачивать файлы. Затем, через некоторое время, по этим адресам выкладывается какая-либо программа, например, SpamTool.Win32.Small.

SpamTool.Win32.Small ищет на компьютере email-адреса и отправляет их своему автору. Вероятнее всего, именно по этому списку собранных адресов затем рассылаются новые версии Bagle. Также велика вероятность, что эти базы продаются спамерам. То есть, это уже не столько червь, сколько отлаженный процесс сбора адресов электронной почты. Пользователь, единожды запустивший на исполнение червя на своем компьютере, становится частью зараженной сети — ботнета.

Net-Worm.Win32.Mytob

В апреле вышло 25 новых версий Net-Worm.Win32.Mytob, получивших идентификаторы с «p» по «an». Этот червь использует для самораспространения email-рассылки, а также уязвимость в службе LSASS.

Версия Mytob.c данного червя держится на первом месте вирусной двадцатки по итогам апреля. Скорее всего, первенство этого червя обеспечено именно использованием уязвимости Windows. А это значит, что большое количество пользователей не устанавливает обновления операционной системы (в том числе и критические). Для надежной защиты компьютера от вредоносных программ необходима установка обновлений, особенно тех, которые касаются безопасности системы.

IM-Worm.Win32.Kelvir

Но больше всего версий было у червя IM-Worm.Win32.Kelvir — с «e» по «ap» (38 новых версий).

В одной из версий, обнаруженных в апреле (а именно в версии Kelvir.k) используется любопытный метод социального инжиниринга: вместо отправки ссылки на pif- или scr-файл, червь рассылает ссылку на файл с расширением php. Обработчик php-файлов позволяет добавлять к ним любые цифры и буквы — в виде запросов, после символа «?». Именно это делает Kelvir.k — указывает после php-файла электронный адрес пользователя MSNM.

Например:

• Email пользователя №1:
  some@thing.qqq

• Email пользователя №2:
  other@thing.zzz

• Пользователь №1 получает ссылку, которая выглядит следующим образом:
  http://www.<удалено>.us/<удалено>/pictures.php?email=some@thing.qqq

• Пользователь №2 получает ссылку, которая выглядит следующим образом:
  http://www.<удалено>.us/<удалено>/pictures.php?email=other@thing.zzz

Когда пользователь щелкает по ссылке, ему выдается предложение запустить или сохранить файл. Хотелось бы надеяться, что на этом этапе большинство пользователей заподозрят неладное и не станут сразу запускать этот файл.

Однако, как только пользователь щелкает по ссылке, злоумышленники получают адрес его электронной почты. То есть, адрес попадает в спамерские базы даже если сам червь так и остается не активированным.

Прогноз на май

В следующем месяце вирусописатели вероятнее всего будут совершенствоваться в социальном инжиниринге, пользователи стали осторожнее и старые методы уже не так действенны. На смену email-червям приходят рассылки downloader-программ (троянцев, скачивающих другие программы) с целью создания бот-сетей (сеть зараженных компьютеров).