Отчеты о вредоносном ПО

Тенденции развития вредоносных программ, март 2005

В марте 2005 года вирусописатели продемонстрировали готовность не только к изобретению новых технологий, но и к дальнейшему освоению старых. Все чаще стали появляться троянские программы, использующие для укоренения в системе вирусные технологии: за март нами было обнаружено несколько новых модификаций Virus.Win32.Bube.

Мобильные вирусы

Как и предсказывалось, все большие обороты набирает развитие червей и троянцев для мобильных телефонов, работающих на платформе Symbian. В нашей коллекции уже есть 11 версий Worm.SymbOS.Cabir (a-k), один Lasco.a, а также несколько модификаций Trojan.SymbOS.Skuller, Mosquit, Locknut и Dampig. В настоящий момент количество вредоносных программ для Symbian-устройств увеличивается примерно на 1 новую программу в неделю.

Примечателен тот факт, что в марте в антивирусные базы были добавлены представители нового класса червей для мобильных телефонов под управлением операционной системы Symbian. Речь идет о «почтовых мобильных червях», использующих для самораспространения MMS (сервис передачи мультимедийных сообщений). В обнаруженные в марте экземпляры встроено два способа распространения. Первый, уже ставший традиционным для мобильных червей, — через протокол Bluetooth; червь распространяется, рассылая себя на все доступные устройства в радиусе 10-15 метров. Второй — при помощи MMS-сообщений.

В марте в антивирусные базы были добавлены представители нового класса червей для мобильных телефонов.

В настоящий момент известно два семейства MMS-червей: Comwar, который рассылает себя по всей адресной книге мобильного телефона; и Cabir.k, который ведет себя более оригинально, а именно — ждет прихода на телефон SMS- или MMS-сообщения и отправляет себя в ответ на него. Таким образом, рассылка червя инициируется только при получении входящего сообщения, а не автоматически, что значительно снижает возможность быстрого распространения червя по сетям мобильной связи, однако увеличивает вероятность того, что вложение в подобное сообщение будет открыто получателем.

Начавшись с одного единственного Bluetooth-червя, вредоносные программы для мобильных устройств сейчас представлены сразу 3-мя классами: Worm (причем, здесь теперь есть как «сетевые» черви, так и «почтовые»), Virus, Trojan. Подобная классификация полностью соответствует существующей структуре компьютерных вредоносных программ. Однако если традиционным вирусам потребовались годы, чтобы прийти к такому количеству поведений, то мобильные вирусы проделали этот путь менее чем за год. Можно с уверенностью прогнозировать, что в ближайший год появятся мобильные представители других классов компьютерных вирусов.

Вирусы для интернет-пейджеров

В марте мы обнаружили значительное число представителей вредоносных программ класса IM-Worm — червей, распространяющихся при помощи интернет-пейджеров, таких как AOL, ICQ, MSN. Большинство подобных червей использует для своего размножения клиент MSN Messenger, являющийся весьма популярным в США, и практически не используемым в России. Подавляющее большинство этих червей написаны на языке Visual Basic.

Подробнее об этом мы писали в недавно опубликованном первом квартальном отчете о современных информационных угрозах.

Сотрудничество вирусописателей

Очевидно, что вирусописатели перестают работать в одиночку, их действия становятся спланированными. Это подтверждается памятным «Bagle terror», устроенным первого марта, когда «Лаборатория» добавила в антивирусные базы 15 новых модификаций червя. Каждая новая версия выпускалась в момент детектирования предыдущей, что позволяло авторам добиться максимального поражения пользовательских компьютеров, постоянно опережая на несколько минут обновления антивирусных программ.

Кроме того, сотрудничество между вирусописателями подтверждается обнаружением связи между авторами Bagle, Zafi и ряда других червей. Киберпреступники используют общие базы email-адресов и другие ресурсы, например, так называемые «сети зомби-машин» (botnets).

«Трехбуквенные» семейства

18 марта набор семейств вредоносных программ, имеющих трехбуквенный идентификатор версии в классификации «Лаборатории Касперского», пополнился еще одним членом: Backdoor.Win32.Agobot.aaa. Модификацию, состоящую из трех букв, по состоянию антивирусных баз на 15 апреля имеют:

Но если Backdoor.Win32.VB и Trojan-Downloader.Win32.Small объединяют в себе огромное количество различных семейств вредоносных программ, то два других детектирования созданы для обнаружения множества вариаций одной и той же вредоносной программы. Это стало следствием публикации исходных кодов этих двух программ в интернете, что позволило любому желающему сделать и выпустить в сеть их новую версию.

Trojan-PSW.Win32.Lmir, троянец, ворующий пароли к очень популярной в Южной Корее online-игре Legend of Mir, в этом списке присутствует уже давно. С каждым днем все больше и больше сетевых игр становятся объектом внимания злоумышленников.

Спам-рассылки

Напоследок упомянем об уже ставшей обычным делом массовой почтовой рассылке очередного заурядного Trojan-Downloader.Win32.Small.aon, которая однако же была тщательно спланирована. Каждые пятнадцать минут рассылались новые модификации этой вредоносной программы — всего нами было получено 29 различных модификаций.

Судя по всему, мы подходим к новой эпохе: вирусописатели начали соперничать с антивирусными компаниями по скорости реагирования.

После установки в систему этот Downloader загружал с различных сетевых ресурсов несколько опасных троянских программ:

Первых является наиболее опасным, так как представляет собой программу типа rootkit. Вообще, в марте множество традиционных и давно известных троянских программ и бэкдоров пополнили свой функционал различными методами сокрытия своего присутствия в системе, что является еще одной, опасной тенденцией развития современных вредоносных программ.

Тенденции развития вредоносных программ, март 2005

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике