Тенденции развития вредоносных программ, октябрь 2004

Месяц октябрь, по сравнению с предыдущими месяцами, оказался относительно спокойным в плане появления новых вредоносных программ. Минимум значимых эпидемий, по-прежнему высокий уровень активности «воров» и «шпионов» и обнаружение новых уязвимостей — вот краткие итоги прошедшего месяца.

Наш обзор мы начинаем с новой уязвимости, обнаруженной в Microsoft Internet Explorer (подробное описание и соответствующие патчи приведены в Microsoft Security Bulletin MS04-032). К ранее обнаруженным уязвимостям, связанным с обработкой файлов графических форматов BMP и JPEG, добавились форматы метафайлов Microsoft — WMF/EMF. Данная уязвимость также вызывает ошибку операционной системы — переполнение буфера, вследствие чего выполняется вредоносный код, встроенный в инфицированное изображение. Следует отметить, что новая «дыра» более опасна, чем ее предшественники. Связано это с особенностями операционной системы Microsoft Windows. Дело в том, что в качестве «иконки» для файлов WMF/EMF используется содержимое самих файлов. Таким образом, достаточно всего лишь позволить операционной системе вывести на экран «иконку» такого файла, чтобы реализовалась эта новая уязвимость.

Следующими в нашем обзоре идут обнаруженные в октябре новые сетевые черви. В последние месяцы наметилась тенденция появления червей с коротким сроком жизни. Это наглядно демонстрируют новые представители семейств червей I-Worm.Bagle и I-Worm.Mydoom. Сроки их «жизни» составляют не более 2-3 дней, после которых червь прекращает свою работу.

Не стали исключением из этого правила и появившиеся в прошлом месяце I-Worm.Mydoom.aa, I-Worm.Mydoom.ab, I-Worm.Bagle.at и I-Worm.Bagle.au. Ввиду того, что все эти «клоны» реализованы на базе исходных кодов предшественников, то существенных различий от версии к версии практически не наблюдается.

В октябре, после достаточно долгого перерыва, пополнилось семейство сетевых червей I-Worm.Zafi. Новая версия — I-Worm.Zafi.c, была обнаружена в самом конце месяца, и является достаточно интересной. Во-первых, авторы червя продолжают активно развивать технологию регионально-ориентированных текстовых сообщений для зараженных электронных писем. Это видно на примере «конструктора текста», претерпевшего значительные изменения по сравнению с предыдущей версией Zafi. Авторам удалось добиться достаточно большого разнообразия возможных текстовых сообщений при относительно малом текстовом объеме «конструктора», а также осмысленности и «завлекательности» самих генерируемых писем.

Вторая интересная особенность данной версии червя — список серверов, на которые он должен производить DDoS-атаки. Примечательно, что помимо google.com и microsoft.com в этот список попал сайт премьер-министра Венгрии, что придает этой версии червя своеобразную политическую окраску.

Наконец, компанию всем им составил появившийся недавно сетевой червь I-Worm.Bagz.a. Заразиться данным червем можно не только получив инфицированное электронное письмо, но и при посещении некоторых веб-сайтов, содержащих вредоносные скрипты, устанавливающие червя на компьютер. Данная версия Bagz не слишком активна, но само семейство проявляет четкую тенденцию к дальнейшему развитию, и поэтому с большой вероятностью можно ожидать в ближайшее время появление новых, гораздо более активных версий I-Worm.Bagz.

К числу интересных «новинок» прошедшего месяца можно также отнести сетевого червя Worm.Win32.Opasoft.s. «Обновлений» семейства этих вредоносных программ не было достаточно давно. И вот, как говорится, случилось. Новый червь смог вызвать сравнительно масштабную эпидемию в Российской Федерации. Дальнейшее развитие семейства Worm.Win32.Opasoft прогнозировать сложно. Возможен всплеск активности, а возможно и повторное исчезновение этого семейства из нашего поля зрения на неопределенный срок.

В заключение обзора событий прошлого месяца мы рассмотрим сохраняющих высокую активность «шпионов», «воров» и семейств программ удаленного администрирования Backdoor.Win32.Agobot, Backdoor.Win32.Rbot, Backdoor.Win32.Wootbot и Backdoor.Win32.SdBot.

Среди представителей «шпионов» и «воров» по-прежнему выделяются вредоносные программы Trojan.PSW.LdPinch, Trojan.PSW.PdPinch, а также регионально-ориентированные Trojan.PSW.Lmir, Trojan.PSW.Lineage, TrojanSpy.Win32.Bancos и TrojanSpy.Win32.Banker. Отметились активностью и фальсифицированные почтовые рассылки от различных «банков» — TrojanSpy.HTML.Citifraud, TrojanSpy.HTML.Bankfraud и TrojanSpy.HTML.Sunfraud.

Все это говорит о том, что востребованность подобных программ по-прежнему высока. Можно ожидать дальнейшего уверенного роста их активности.

Прошедший месяц показал, что создатели перечисленных выше типов шпионских троянских программ пошли по принципу «заверни старое в другую обложку — получишь новое». В прошедшем месяце было обнаружено большое количество вредоносных программ такого рода. Для их сокрытия от зоркого ока антивирусов вирусописатели, по большей части, применяли новые методы сжатия и шифрования исполняемых файлов.

Подводя итоги октября, можно отметить следующее:

1. Продолжается выявление новых уязвимостей, и появление вирусов, реализующих методы работы с этими новыми «дырами».

2. Все серьезные вирусные эпидемии были связаны с дальнейшим развитием «плодовитых» семейств сетевых червей Mydoom, Bagle и Opasoft.

3. Налицо совершенствование и увеличение числа вредоносных кодов, предназначенных для хищения важной пользовательской информации.