Тенденции развития вредоносных программ, май 2004

В отличие от начала весны, ознаменованного эпидемиями однотипных и эксплуатирующих, в основном, «человеческий фактор» почтовых червей I-Worm.Mydoom, I-Worm.NetSky и I-Worm.Bagle, май отмечен появлением большого количества вредоносных программ, распространяющихся через технические уязвимости, а не социальные факторы. Важнейшие события ушедшего месяца — одна свежая, но уже активно используемая вирусописателями уязвимость и сразу две принципиально новых разновидности вредоносных программ.

В середине апреля 2004 г. Microsoft опубликовала информацию о критической уязвимости LSASS, позволяющей злоумышленнику выполнить на компьютере произвольный код. «Оперативная реакция» вирусописатей последовала в виде червя Worm.Win32.Sasser — первой вредоносной программы, эксплуатирующей новую уязвимость. Появившись 30 апреля, уже на следующий день червь породил широкомасштабную эпидемию.

Войны почтовых (I-Worm) червей поутихли, вирусописатели сконцентрировались на новых возможностях, и очень быстро в интернете появился внушительный набор вредоносных программ, распространяющихся через вышеупомянутую уязвимость. Отдельного внимания заслуживают две из них, получившие значительное распространение к концу мая: TrojanProxy.Win32.Bobax («троянец»-прокси, в котором функция размножения вызывается по команде извне) и Worm.Win32.Padobot (червь с функцией «бэкдора»).

Уязвимой является библиотека LSASRV.dll (Windows 2000 и XP), используемая сервисом Local Security Authority (процесс lsass.exe). В частности — одна из сервисных функций Active Directory, отвечающая за ведение отладочного лога. Вследствие отсутствия проверки объема данных, передаваемых в функцию, можно вызвать переполнение буфера с последующим выполнением на удаленной машине около 2 КБ произвольного кода с системными привилегиями.

Гораздо раньше, в начале года, была обнаружена необычная уязвимость в ядре Internet Explorer версий 5.x и выше, связанная с обработкой BMP-изображений. Теоретическая возможность выполнения произвольного кода при просмотре «зараженной» BMP-картинки при помощи любой программы, использующей движок IE названных версий (в частности, уязвимы сам Internet Explorer 5.х и соответствующий Outlook Express) подразумевалась изначально, но реально действующий эксплоит к ней появился лишь в середине мая.

TrojanDownloader.BMP.Agent.a — первый в истории компьютерных вирусов «троянец», представляющий собой специальным образом сконструированный файл формата BMP, при обработке которого ядром IE 5.х происходит скачивание из интернета и запуск некой программы (в данном случае — «бэкдора» Backdoor.Throd.a). Таким образом, злоумышленник может послать жертве сообщение электронной почты в виде HTML-страницы с «картинкой». При отображении этого письма в Outlook Express сработает эксплоит, и в систему будет без ведома пользователя установлен «троянец».

Открытие уязвимости связано с нелегально распространенными в интернете исходными кодами Windows 2000. В одной из процедур обработки BMP-изображений неосторожно используются знаковые переменные для хранения беззнакового типа данных, в связи с чем возможно передать функции чтения BMP-файла отрицательное смещение и вызвать переполнение стека с последующим выполнением кода из него. В роли эксплоита выступает BMP-файл со специальным образом поправленным заголовком и помещенным по нужному смещению специфичным кодом.

Безоговорочным «хитом» списка майских вирусных новинок можно считать Win64.Rugrat.a — первый вирус, родной средой обитания которого является Windows для 64-битной платформы Intel, IA64. Этот по большей части концептуальный (вследствие малой распространенности и узкой на сегодняшний день области применения данной 64-битной архитектуры) вирус — потомок Win32.Chiton, впервые обнаруженного 2 года назад. В связи с особенностями архитектуры IA64 написание вирусов для нее — более сложная задача, чем в случае с привычной нам архитектурой x86.

IA64 — совершенно новая технология, не являющаяся надстройкой или расширением x86. Она ориентирована на повышение производительности процессора за счет распараллеливания выполнения отдельных последовательностей команд, предварительного просчета одновременно обоих вариантов хода выполнения программы при ветвлении, упреждающей загрузки данных из памяти и др. Иные отличия IA64 от x86 — фиксированная длина машинных команд и их группировка в 128-битные блоки по три, технология маркировки блоков для организации их параллельного выполнения, отсутствие оптимизации кода процессором (эта задача возложена на компиляторы). Новая платформа вряд ли превзойдет в распространенности x86 в ближайшее время, поскольку изначально ориентирована на дорогостоящие серверные и научные применения.

Также из новых уязвимостей, которые потенциально могут быть использованы для распространения вирусов, можно отметить возможность создания HTML-файла со специальным образом сконструированной картой изображения (image map). Такой файл выглядит как обычная HTML-страница со ссылкой, при наведении на которую в статусной строке отображается ложный URL.

Итак, основными тенденциями вирусной активности прошедшего мая можно считать:

1. все возрастающую скорость реакции вирусописателей на новые уязвимости;

2. все большую универсальность и многопрофильность новых вирусов, часто сочетающих в себе функции «бэкдора» или прокси-сервера с одним или несколькими способами самостоятельного распространения. Например, для B-модификации червя Worm.Win32.Kibuv количество способов распространения достигает десяти и актуально для разных версий Windows, а в качестве «бэкдорa» он включает в себя функционал FTP-сервера, IRC-бота и нестандартного сервера на 420 порту.