Тенденции развития вредоносных программ, апрель 2004

«Лаборатория Касперского» представляет читателям новую серию ежемесячных публикаций, посвященных анализу основных тенденций развития вредоносных программ за прошедший месяц.

В апреле, как и в прошедшем марте, самыми распространенными вредоносными программами оставались почтовые и сетевые черви. Благодаря заложенной в этот тип вредоносных программ возможности быстрого широкого распространения, черви часто содержат в себе целый набор вредоносных компонент. Так, в код червя нередко встраиваются «бэкдоры», «троянцы», созданные с целью получения ценной информации с компьютеров пользователей или предоставления доступа к данным компьютера-«жертвы».

Авторами вредоносных программ постепенно совершенствуются алгоритмы их распространения и выполнения возложенных на них функций. Например, TrojanSpy.Win32.Small.q при размере всего 5 килобайт может обнаруживать работу пользователя с пятьюдесятью системами электронных платежей посредством установки «ловушки» (hook) на активные окна, в заголовках которых содержится строка из находящегося в «троянце» списка, и отсылать автору «троянца» всю информацию, введенную пользователем при работе с этими окнами.

Постоянно выпускаются новые версии вирусов, изначально написанных не шутки ради, а для получения финансовой выгоды. В новых версиях исправляются допущенные ранее ошибки, изменяются алгоритмы работы и появляются новые функции, например, изменение метода шифрования тела червя.

Подобные вредоносные программы тщательно продумываются, в них используются не только максимально разнообразные способы проникновения на компьютеры (протокол SMTP, системы P2P, IRC, бреши в системе, копирование тела программы на все доступные сетевые диски, отправку сообщений через системы, подобные ICQ), но и многочисленные психологические приемы, заставляющие пользователей запускать такую программу. Среди них:

• возбуждение у пользователя любопытства (предложение посмотреть фотографии во вложении и пр.);

• предложение избавиться от опасных вирусов посредством запуска приложенной к письму утилиты;

• ссылка на сделанную при помощи Flash онлайн-игру, в процессе которой на пользовательский компьютер закачивается вредоносная программа;

• письмо содержит поддельную подпись «проверено антивирусом «…», вирусов не обнаружено»;

• письмо, предлагающее запустить приложенную утилиту для закрытия бреши в операционной системе, якобы подписанное Microsoft или антивирусной компанией.

Одним из примеров семейства червей, использующих одновременно несколько способов распространения, является семейство I-Worm.Bagle.

Некоторые новые способы распространения вредоносных программ

Ранние версии I-Worm.Bagle распространяют себя в письмах с вложениями, представляющими собой закрытые паролями архивы. Пароли генерируются червями случайным образом в виде графических изображений формата gif, jpg, bmp, шрифтом Arial, со случайным цветом шрифта и фона, а также видом шрифта (обычный, курсив, подчеркнутый). Столь сложная система генерации паролей создает у пользователей ложное чувство безопасности: во-первых, архив закрыт паролем; во-вторых, сам вид пароля (изображение) схож с теми, что используются на требующих регистрации интернет-сайтах (например, предоставляющих услуги бесплатной электронной почты), использующих для защиты от автоматической регистрации ввод цифр или букв с предложенного изображения.

После массированной атаки червем с подобным вложением создатели I-Worm.Bagle сменили тактику. Новый вариант распространялся совершенно другим способом: в письме вообще отсутствовало вложение, была лишь ссылка, ведущая на сайт, с которого и скачивалось тело червя.

Новые виды проникновения

1. Одна из последних обнаруженных троянских программ использует неординарный способ организации своего запуска: в ключе реестра

   [HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]

   1	[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]

   стандартное значение

   "Shell" = "Explorer.exe"

   1	"Shell" = "Explorer.exe"

   изменяется на

   "Shell" = "Explorer.exe [путь и имя файла троянской программы]"

   1	"Shell" = "Explorer.exe [путь и имя файла троянской программы]"

   Таким образом осуществляется автозапуск «троянца».

2. Бестелесный червь, который при распространении не записывает свое тело в файл, располагаясь исключительно в оперативной памяти в качестве процесса. Жизненный цикл такого червя на одном компьютере длится до перезагрузки или выключения компьютера.

В грядущем мае в связи с развернувшимися «выяснениями отношений» между авторами I-Worm.NetSky и I-Worm.Bagle весьма возможно появление большого количества новых версий этих червей.