Тенденции развития вредоносных программ, декабрь 2004

В текущем месяце было обнаружено 3 уязвимости в операционных системах Windows на базе технологии NT (NT, 2000, 2003 и XP):

• первая уязвимость обнаружена в сервисе winhlp32.exe, открывающем файлы с расширением hlp;
• вторая уязвимость позволяет при помощи специально сделанных файлов форматов bmp, ico, cur, ani запускать при их открытии произвольный код;
• третья уязвимость предоставляет возможность при помощи особого файла формата ani вызвать отказ в работе системы.

В начале января возможно появление большого количества эксплойтов (эксплойты российского производства скорее всего начнут появляться к середине января).

В течение всего декабря примерно раз в 3 дня появлялись новые версии почтового червя Email-Worm.Win32.Atak. Всего в декабре было обнаружено 11 версий этого червя, впервые появившегося в июле 2004 года.

21 декабря началась эпидемия сетевого червя Net-Worm.Perl.Santy. Червь использует для своего размножения уязвимость в популярном движке для создания сайтов phpBB версий ниже 2.0.11. Червь формирует специальный запрос для поисковика Google, находит сайты, работающие под управлением уязвимой версии phpBB, и отсылает на найденные сайты строку, содержащую эксплойт уязвимости. В результате обработки атакуемым сервером данного эксплойта червь проникает на сайт и получает управление, после чего процесс размножения червя повторяется. Стоит отметить, что для рядовых пользователей интернета данный червь не опасен, поскольку он никак не влияет на персональные компьютеры даже при посещении зараженного веб-сайта.

В декабре также появился «новогодний вариант» Email-Worm.MyDoom, содержавший текст «Mery Chrismas & Happy New Year! 2005 will be the beginning!» и «Happy New year and wish you good luck on next year!», новый вариант Email-Worm.Win32.Zafi и большое количество почтовых червей, написанных на Visual Basic.

В прошедшем месяце было обнаружено множество новых версий Trojan-PSW.Win32.LdPinch, Backdoor.Win32.SdBot, Backdoor.Win32.Rbot, в основном отличающихся лишь вариантами шифрования исполняемых файлов.

Большинство вредоносных программ (исключение составляют некоторые поделия начинающих вирусописателей) пишется для получения какой-либо выгоды: доступа к чужим паролям, к удалённому компьютеру и т. д. «Хит-парад» вредоносных программ на текущий месяц выглядит примерно таким образом:

• Троянцы, скачивающие что-либо (Trojan-Downloader)
• Троянцы, крадущие информацию (Trojan-Spy, Trojan-PSW)
• Черви (Worm)
• Утилиты удаленного управления компьютером (Backdoor)

Вероятно, в следующем месяце ситуация не изменится. В соответствии с прогнозом прошлого месяца количество фишинг-атак постоянно растет, и наверняка будет продолжать расти и в следующем месяце.