Тенденции развития вредоносных программ, май 2005

В прошедшем месяце был замечен существенный рост активности нескольких групп вредоносных программ. Так, существенно повысились «показатели» сетевого червя Net-Worm.Win32.Mytob. Можно сказать, что сейчас он сильно потеснил позиции весьма распространенного ранее почтового червя Email-Worm.Win32.Mydoom. Совсем не исключено, что в ближайшем времени он полностью вытеснит его из списков самых распространенных почтовых червей.

Net-Worm.Win32.Mytob

Подобный эффект объясняется довольно просто — Net-Worm.Win32.Mytob является прямым наследником Email-Worm.Win32.Mydoom. Фактически, это все тот же Mydoom, расширенный дополнительным функционалом распространения через сеть посредством известных уязвимостей операционной системы Microsoft Windows, а также функциями IRC-бэкдора.

Некоторые версии Net-Worm.Win32.Mytob, в дополнение к вышеперечисленным «обновкам», используют возможность распространения через IM-сети. Данный функционал реализован посредством модуля, исполненного в виде клона червя IM-Worm.Win32.Kelvir, отдельно инсталлируемого в систему основным исполняемым файлом вредоносной программы.

Следует отметить, что помимо функциональной модификации, изменениям также подверглись и его сроки «жизнедеятельности». В отличие от четко прослеживаемой линии последних версий почтовых червей-однодневок, Mytob обладает большими временными запасами сравнимыми с первыми представителями Mydoom, NetSky, Zafi и Bagle. Все вышеперечисленные модификации в целом, а также регулярное появление новых версий и перекомпиляций и позволяют достичь вышеупомянутого эффекта высокой активности этого червя.

Worm.Win32.Eyeveg

Следующий представитель группы червей, на который следует обратить внимание — это Eyeveg. Прежде всего, потому что он буквально ворвался на верхние позиции показателей активности после почти полугодового бездействия. Подобное поведение сильно напоминает действующий вулкан — резкий переход от состояния спячки к высокому пику активности.

Первые три версии червя были обнаружены в 2003 году. В 2004 к ним присоединились еще две (последняя версия прошедшего года была обнаружена 14 октября). Потом, как упоминалось ранее, вновь более полугода молчания. И в этом месяце появление сразу трех новых версий: Eyeveg.f, Eyeveg.g и Eyeveg.h. Временная пауза между выходами этих трех версий — примерно неделя.

И — фактически моментально одна из лидирующих позиций в списке активных вредоносных программ. Наибольшая активность была отмечена на территории Российской Федерации. Сейчас сложно предсказать дальнейшее поведение этого червя. Вполне возможно, что после такого бурного всплеска он снова «заснет» на неопределенное время, а возможен и противоположный сценарий — как это было с некоторыми «забытыми» вредоносными программами вроде Trojan-Downloader.Win32.INService.

Другие черви

Третий активный представитель этой группы — уже известный Email-Worm.Win32.Sober.q. Нами была отмечена высокая активность этого червя, но на этот раз уже в странах Европы.

Что касается группы IM-червей, то здесь по-прежнему наблюдается вполне стабильный уровень активности. Достаточно часто появляющиеся новые версии, с очень коротким сроком жизни — вот характерные черты IM-Worm.Win32.Bropia и IM-Worm.Win32.Kelvir — двух самых известных представителей этого семейства.

Шпионские программы

В секторе программ-шпионов и «воров» отмечено некоторое снижение активности. Снижение это незначительное, и в основном затронуло группу Trojan-PSW.Win32.LdPinch, PdPinch и Trojan-Spy.Win32.Goldun. Можно сказать, что это даже не спад активности, а переход от пикового состояния к стабильному уровню.

Но если говорить о «стабилизации» вышеуказанной группы программ, то в противоположность им резко активизировались бразильские «шпионы» — группа Trojan-Spy.Win32.Banker, Bancos, Banbra и Banpaes, а также сопутствующие им механизмы доставки — такие, как Trojan-Downloader.Win32.Dadobra. Каждый день с целью усложнения их обнаружения средствами антивирусных программ выходят либо новые версии, либо изменяются старые. В качестве такой постоянно изменяющейся версии выступает, в основном, Trojan-Spy.Win32.Banker.ju.

Следует отметить, что группа «шпионов» распространяется несколькими способами, основным из которых является массовая спам-рассылка. В этом случае также можно выделить 2 разных варианта: одноэтапный и двухэтапный. В первом случае в качестве распространяемого спам-рассылкой файла выступает одна из разновидностей шпиона, во втором — троянская программа-загрузчик Dadobra, которая осуществляет загрузку одной или нескольких шпионских программ рассматриваемой группы.

Гораздо реже встречается еще один вариант — в качестве «разносчика заразы» может выступать небольшой почтовый червь Email-Worm.Win32.Combra, который в конечном итоге загружает на инфицированную машину либо саму шпионскую программу, либо троянца-загрузчика. Следует также отметить небольшие изменения, произошедшие с троянцем Dadobra: некоторые последние версии стали пользоваться для загрузки файлов протоколом FTP вместо широко используемого им в прошлом протокола HTTP.

Наравне с бразильцами стараются держаться и представители Поднебесной, но ситуацию, наблюдающуюся в этом секторе можно охарактеризовать лишь как стабильную. Особых приростов активности в группе популярных вредоносных программ китайского производства (Trojan-PSW.Win32.Lmir, Lineage, Gamania и различные QQ-воры) отмечено не было. Можно выделить разве что Backdoor.Win32.Hupigon, поскольку в течение некоторого времени наблюдался довольно активный процесс штамповки новых версий. Но показатели распространенности не позволяют отнести Hupigon к разряду серьезных инцидентов прошлого месяца.

Отдельно следует упомянуть о любопытной новинке прошедшего месяца — Trojan-Downloader.Win32.Peerat.a. Ее особенность заключается в довольно своеобразном функционале. В отличие от классических троянцев-загрузчиков, данный представитель не просто загружает некоторую вредоносную программу, но и пытается выложить ее в файлообменную сеть, если таковая присутствует на инфицированной машине.

Итоги месяца

Итак, подводя итоги прошедшего месяца, можно отметить следующее:

1. Наметившаяся тенденция вытеснения почтового червя Mydoom его наследником Mytob, скорее всего, будет продолжаться и в ближайшем будущем — возможно его полное замещение.
2. Возможна реанимация некоторых других ранее популярных, но на данный момент забытых вредоносных программ.
3. Ожидается дальнейшая эксплуатация группы «шпионов» и «воров» — либо в стабильном, либо в пиковом состоянии активности.