Тенденции развития вредоносных программ, август 2004

Главным событием августа, несомненно, стало появление первой вредоносной программы для Pocket PC, получившей название Backdoor.WinCE.Brador.a. Эта утилита удаленного администрирования, умеющая принимать и исполнять различные команды, является коммерческой (предлагается приобретать клиентскую часть утилиты за деньги). Это означает, что в ближайшее время данный backdoor вполне способен получить серьезную распространенность.

Также антивирусной лабораторией компании была обнаружена троянская программа Trojan.SymbOS.Mosquit.a, файл которой является игрой для сотовых телефонов, работающих под управлением операционной системы Symbian. Программа получила характеристику троянской, поскольку она, помимо своего «легального» предназначения, умеет рассылать SMS на определенные телефонные номера без ведома пользователя.

Продолжает увеличиваться число новых троянских программ-шпионов. В конце августа появилось сразу семь новых вариантов Trojan.PSW.LdPinch, два новых варианта TrojanSpy.Win32.Small.q (программа ворует данные пользователя при работе с 55 различными системами электронных платежей и отправляет их автору «троянца») и довольно большое количество Trojan.PSW.Lmir (семейство «троянцев», ворующих пароли от китайской онлайновой игры Legend of Mir).

В середине августа компанией Pentest была обнаружена уязвимость в WIDCOMM Bluetooth Connectivity Software, которая позволяет запускать произвольный код на атакуемом устройстве с правами текущего пользователя. Патчей, устраняющих эту уязвимость, пока нет, поэтому возможно появление программ, использующих её для своего распространения.

28 августа при помощи спамерской рассылки были распространены письма: тема письма «1», во вложении файл длиной 8 байт с именем «1.gif» или «2.gif», содержащий в себе текст «45451212». В сообщении содержится html-код, использующий Exploit.HTML.ObjData для загрузки из интернета вредоносной программы TrojanDropper.Win32.Small.kv. Такой же файл распространялся с известным червем I-Worm.Bagle. Возможно, это подготовка к выпуску новой версии I-Worm.Bagle.

В прошедшем месяце была зарегистрирована эпидемия почтового червя I-Worm.Mydoom.q. Механизмы распространения данной версии червя прекратили свою деятельность 20 августа 2004 года после 21:11:11, однако остался работоспособным Backdoor.Win32.Surila.g, устанавливаемый червем на зараженный компьютер.

В следующем месяце первые места по количеству одинаковых копий, как обычно, будут занимать черви, по количеству разнообразных вариантов — программы-шпионы. Возможно появление новых вредоносных программ для КПК и сотовых телефонов, в том числе, распространяющихся с помощью уязвимости в WIDCOMM Bluetooth Connectivity Software. Также, в связи с зафиксированной спамерской рассылкой письма с уязвимостью Exploit.HTML.ObjData, скачивающего TrojanDropper.Win32.Small.kv, возможно широкое распространение новой версии I-Worm.Bagle.