Архив новостей

Тенденции развития вредоносных программ, апрель 2004

«Лаборатория Касперского» представляет читателям новую серию ежемесячных публикаций, посвященных анализу основных тенденций развития вредоносных программ за прошедший месяц.

В апреле, как и в прошедшем марте, самыми распространенными вредоносными программами оставались почтовые и сетевые черви. Благодаря заложенной в этот тип вредоносных программ возможности быстрого широкого распространения, черви часто содержат в себе целый набор вредоносных компонент. Так, в код червя нередко встраиваются «бэкдоры», «троянцы», созданные с целью получения ценной информации с компьютеров пользователей или предоставления доступа к данным компьютера-«жертвы».

Авторами вредоносных программ постепенно совершенствуются алгоритмы их распространения и выполнения возложенных на них функций. Например, TrojanSpy.Win32.Small.q при размере всего 5 килобайт может обнаруживать работу пользователя с пятьюдесятью системами электронных платежей посредством установки «ловушки» (hook) на активные окна, в заголовках которых содержится строка из находящегося в «троянце» списка, и отсылать автору «троянца» всю информацию, введенную пользователем при работе с этими окнами.

Постоянно выпускаются новые версии вирусов, изначально написанных не шутки ради, а для получения финансовой выгоды. В новых версиях исправляются допущенные ранее ошибки, изменяются алгоритмы работы и появляются новые функции, например, изменение метода шифрования тела червя.

Подобные вредоносные программы тщательно продумываются, в них используются не только максимально разнообразные способы проникновения на компьютеры (протокол SMTP, системы P2P, IRC, бреши в системе, копирование тела программы на все доступные сетевые диски, отправку сообщений через системы, подобные ICQ), но и многочисленные психологические приемы, заставляющие пользователей запускать такую программу. Среди них:

  • возбуждение у пользователя любопытства (предложение посмотреть фотографии во вложении и пр.);

  • предложение избавиться от опасных вирусов посредством запуска приложенной к письму утилиты;

  • ссылка на сделанную при помощи Flash онлайн-игру, в процессе которой на пользовательский компьютер закачивается вредоносная программа;

  • письмо содержит поддельную подпись «проверено антивирусом «…», вирусов не обнаружено»;

  • письмо, предлагающее запустить приложенную утилиту для закрытия бреши в операционной системе, якобы подписанное Microsoft или антивирусной компанией.

Одним из примеров семейства червей, использующих одновременно несколько способов распространения, является семейство I-Worm.Bagle.

Некоторые новые способы распространения вредоносных программ

Ранние версии I-Worm.Bagle распространяют себя в письмах с вложениями, представляющими собой закрытые паролями архивы. Пароли генерируются червями случайным образом в виде графических изображений формата gif, jpg, bmp, шрифтом Arial, со случайным цветом шрифта и фона, а также видом шрифта (обычный, курсив, подчеркнутый). Столь сложная система генерации паролей создает у пользователей ложное чувство безопасности: во-первых, архив закрыт паролем; во-вторых, сам вид пароля (изображение) схож с теми, что используются на требующих регистрации интернет-сайтах (например, предоставляющих услуги бесплатной электронной почты), использующих для защиты от автоматической регистрации ввод цифр или букв с предложенного изображения.

После массированной атаки червем с подобным вложением создатели I-Worm.Bagle сменили тактику. Новый вариант распространялся совершенно другим способом: в письме вообще отсутствовало вложение, была лишь ссылка, ведущая на сайт, с которого и скачивалось тело червя.

Новые виды проникновения

  1. Одна из последних обнаруженных троянских программ использует неординарный способ организации своего запуска: в ключе реестра

    стандартное значение

    изменяется на

    Таким образом осуществляется автозапуск «троянца».

  2. Бестелесный червь, который при распространении не записывает свое тело в файл, располагаясь исключительно в оперативной памяти в качестве процесса. Жизненный цикл такого червя на одном компьютере длится до перезагрузки или выключения компьютера.

В грядущем мае в связи с развернувшимися «выяснениями отношений» между авторами I-Worm.NetSky и I-Worm.Bagle весьма возможно появление большого количества новых версий этих червей.

Тенденции развития вредоносных программ, апрель 2004

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

MosaicRegressor: угроза в недрах UEFI

Мы обнаружили скомпрометированный образ прошивки UEFI, содержащий вредоносный имплант для установки дополнительного вредоносного ПО на компьютеры жертв. Насколько мы знаем, это второй общеизвестный случай обнаружения активного заражения в прошивке UEFI.

Microcin снова в деле

В феврале 2020 года мы обнаружили троянца на ПК дипломатической организации. Мы с высокой степенью уверенности приписываем эту кампанию группе SixLittleMonkeys (также известной как Microcin).

Эксплойты нулевого дня в операции WizardOpium

Еще в октябре 2019 года мы обнаружили классическую атаку типа watering hole на сайт, публикующий новости Северной Кореи. Злоумышленники использовали цепочку уязвимостей нулевого дня в Google Chrome и Microsoft Windows.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике