Отчеты о вредоносном ПО

Тенденции развития вредоносных программ, июнь 2004

Месяц июнь можно считать прошедшим под знаком компьютерного шпионажа и воровства в самых разнообразных их проявлениях — постепенно усиливается тенденция развития этих групп вредоносных программ. Большой популярностью у вирусописателей пользуются программы, занимающиеся хищением различных паролей, а также ключей к популярным компьютерным играм. Можно отдельно выделить всплеск активности программ семейства Trojan.PSW.LdPinch. Распространение некоторых версий данного «троянца» производилось посредством спам-рассылок.

Все большую популярность приобретают и программы, занимающиеся хищением личной информации пользователей, имеющей отношение к системам электронных платежей и кредитным картам. Конец месяца ознаменовался появлением новой троянской программы-шпиона TrojanSpy.Win32.Qukart. Основную опасность она представляет для владельцев карт Visa и MasterCard, поскольку похищает номера кредитных карт и PIN-коды к ним. Полученная информация отправляется злоумышленникам. В июне появилось сразу несколько новых версий этого «троянца».

Процесс появления «шпионов» и «воров», в свою очередь, стимулирует разработку и модификацию «средств доставки» — методов загрузки и запуска вредоносных объектов на машине-жертве. Вирусописатели активно используют как классические методы, так и новые способы, основанные на технических уязвимостях операционных систем. Примером этого является брешь в службе LSASS операционной системы Windows. После своего «дебюта» в апреле-мае этого года, она быстро завоевала популярность среди вирусописателей: за июнь появилось несколько новых версий известных вирусов, имеющих в своем арсенале возможность распространения через эту «дыру». Например, пополнились семейства программ Worm.Win32.Padobot и Backdoor.Rbot.

Однако самым ярким представителем таких новых вирусов стала первая новинка прошедшего месяца — сетевой червь I-Worm.Plexus.a.

Данный червь был написан на базе исходного кода известного червя I-Worm.Mydoom, однако сходство их на этом практически заканчивается. Его главной отличительной особенностью является способность размножения посредством большинства известных в данный момент методов: червь может инфицировать электронные письма, распространяться через локальную и файлообменные сети, а также через уязвимости в службах DCOM RPC и LSASS.

Червь распространяется в виде троянской программы-установщика, состоящей из двух компонентов: первый отвечает за размножение, а в качестве второго может выступать любая другая вредоносная (или же безвредная) программа. В версии I-Worm.Plexus.a таковой являлась backdoor-программа семейства Backdoor.Dumador. Версия I-Worm.Plexus.b использовала для этих целей троянскую proxy-программу из семейства TrojanProxy.Win32.Webber. Обе версии червя были обнаружены в начале месяца с интервалом в несколько дней.

Хотя I-Worm.Plexus пока является единственным сетевым червем со столь широким набором механизмов размножения, можно смело прогнозировать появление в будущем других вредоносных программ с подобными характеристиками.

Наряду с разведкой новых возможностей распространения, продолжается активное использование классических методов. Ведь, как говорится в одной известной пословице, все новое — это хорошо забытое старое. И действительно, старые испытанные способы приносят весьма ощутимые результаты, что не так уж удивительно, ведь человеческий фактор по-прежнему является самым слабым звеном любой системы, вне зависимости от степени программной защиты.

Здесь мы подошли ко второму «хиту» прошедшего месяца, которым стала новая версия сетевого червя I-Worm.Zafi. Как и его предшественник, I-Worm.Zafi.b вызвал достаточно серьезную эпидемию, хотя распространяется исключительно «классически», только посредством зараженных электронных писем.

Следует отметить, что при разработке второй версии червя авторы Zafi прибегли к способу, ранее реализованному авторами сетевого червя I-Worm.NetSky.y. Когда червь отправляет зараженное письмо на электронный почтовый ящик жертвы, он пытается определить языковую принадлежность получателя. Для этого, из адреса электронной почты извлекается имя домена, к которому принадлежит почтовый сервер. В большинстве случаев имя домена подразумевает национальную принадлежность хозяина почтового ящика. В соответствии с этим именем, из списка сообщений, которые прописаны в теле вируса, выбирается написанное на требуемом языке. Таким образом, в большинстве случаев, жертва получает письмо, написанное на потенциально понятном для нее языке. Это увеличивает вероятность того, что получатель, прочитав письмо, запустит приложенный к письму файл. Факт эпидемии Zafi.b, к сожалению, показывает, что такой подход вполне действенен.

Вместе с тем отметим, что языковые барьеры не позволили авторам червя написать грамотное письмо на русском, поэтому владельцы почтовых ящиков в домене «ru» могут чувствовать себя в относительной безопасности.

Победителем же нашего июньского обзора вирусных новинок стал Worm.SymbOS.Cabir.a, первый вирус-червь для сотовых телефонов, использующий для своего размножения протокол Bluetooth. Появление данного вируса можно расценивать как пробу сил вирусописателей в новой и потенциально интересной для них области. Правомерно ли говорить об открытии нового «театра военных действий» между вирусами и антивирусами? Пока, пожалуй, нет. Ситуация сравнима с небольшим столкновением пограничного характера. Скорее всего, не следует ожидать в ближайшее время интенсивного развития вирусов подобного типа.

Итак, подведем итоги июня

  1. Следует ожидать дальнейшего активного развития различных видов вредоносных программ, создаваемых с целью хищения важной финансовой информации.

  2. Возможно выявление новых уязвимостей, и появление вирусов, реализующих методы работы с этими новыми «дырами».

  3. Будет продолжено активное использование новых методов распространения вредоносных программ как в новых вирусах, так и при модификации уже существующих.

  4. Возможно появление новых версий сетевого червя I-Worm.Plexus или других вредоносных программ со схожими характеристиками.

Тенденции развития вредоносных программ, июнь 2004

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике