Тенденции развития вредоносных программ, ноябрь 2004

Сентябрь и октябрь этого года ознаменовались обнаружением новых уязвимостей в MS Internet Explorer. Оставалось лишь ждать, когда они получат свое первое массовое применение. И долго ждать не пришлось: 15 ноября была зафиксирована спам-рассылка червя Worm.Win32.Aler.a, использовавшая интеграцию зловредного кода в графический файл формата EMF. Она стала первым использованием уязвимости в обработке графических данных формата EMF для распространения вредоносных программ.

Среди прочих опубликованных уязвимостей можно выделить брешь в системе безопасности Internet Explorer, позволяющую исполнять произвольный код посредством переполнения буфера при обработке браузером какой-либо HTML-страницы.

Эта уязвимость была использована вирусописателями почти моментально — в созданном на базе I-Worm.Mydoom черве I-Worm.Bofra. Этот червь примечателен своим механизмом размножения: вместо прикрепления себя вложением в зараженные письма, он отправляет по почте HTML-страницы, на которых содержится ссылка на уже зараженные машины. При отображении этой страницы автоматически, путем использования вышеназванной уязвимости, происходит скачивание и установка тела червя.

Таким образом, пользователи email уже не могут чувствовать себя защищенными благодаря одной лишь осторожности в обращении с вложенными файлами. I-Worm.Bofra может заразить компьютер любого пользователя. Вряд ли поможет даже использование нестандартного почтового клиента, поскольку почти все почтовые клиенты для отображения HTML-страниц используют OLE-объекты того же Internet Explorer.

Все больше своего внимания вирусописатели уделяют используемой в сотовых телефонах и смартфонах операционной системе Symbian. В прошедшем месяце количество вредоносных программ разработанных для этой ОС увеличилось в два с лишним раза. Важно отметить, что прежде почти все вредоносные программы для Symbian были «коллекционными», то есть, не могли встретиться обычным пользователям. В прошедшем же месяце все новые вредоносные программы для Symbian (среди них Worm.SymbOS.Cabir.b и Trojan.SymbOS.Skuller.a) были найдены «in the wild», то есть, в обычных компьютерных сетях. Более того, червь Worm.SymbOS.Cabir.a, считавшийся коллекционным, был обнаружен у пользователей сотовых телефонов уже в семи странах (в перечень попали и некоторые европейские страны).

Зимой и весной этого года отшумели разрушительные эпидемии червей, после которых на достаточно долгое время стали модными так называемые «proof of concept» (примеры вредоносных программ, использующих новые методы распространения, заражения или работающих в новых операционных средах), которые попадали лишь в руки узкого круга специалистов. Таким образом, люди заявляли о возможности реальной угрозы пользователям, пока не причиняя никому вреда. Авторство некоторых подобных PoC-программ принадлежало вирусописательской группе 29а и ранее знаменитой своими принципиально новыми вредоносными программами.

Однако недавно компания Microsoft выпустила комплексный пакет обновления Windows XP Service Pack 2, закрывший огромное количество опасных уязвимостей. Это значительно снизило потенциальные разрушения, которые могли бы нанести новые вредоносные программы через ранее найденные уязвимости. Вдобавок, после того как за арестом автора I-Worm.Netsky и Worm.Win32.Sasser последовало задержание ряда других вирусописателей — в том числе членов группы 29a — можно ожидать, что у вирусописетелей на некоторое время пропадет интерес к публикациям новых PoC-программ. Впрочем, в то же время, возможно, что некоторые из них будут заявлять о своих открытиях более разрушительными способами, не давая шансов производителям программного обеспечения вовремя подготовиться к угрожающей их пользователям опасности.

В ноябре было зафиксировано невиданное прежде количество так называемых phishing-атак, заключающихся в массовой рассылке писем от имени различных банков и других финансовых организаций. Сами письма создаются максимально похожими на транзакции систем банк-клиент, осуществляемые по электронной почте. Отличаются они лишь предложением пройти по ссылке и ввести приватную информацию, якобы для проверки каких-то настроек, связанных с безопасностью. Ссылка может выглядеть настоящей, и даже имеющиеся у почтового клиента средства просмотра настоящего веб-адреса будут отображать реальный адрес настоящего веб-сайта банка. Однако при переходе по этой ссылке пользователь окажется на сайте злоумышленников, и для сокрытия этого факта в phishing-рассылках применяется невероятное количество разнообразных приемов.

На ближайшее будущее можно прогнозировать дальнейшее увеличение количества phishing-атак и эпидемий новых вредоносных программ, перед которыми могут оказаться беззащитными даже пользователи, регулярно обновляющие свое программное обеспечение.