Отчеты о вредоносном ПО

Тенденции развития вредоносных программ, сентябрь 2004

Прошедший месяц ничем особенно серьезным в мире вредоносных компьютерных программ не отметился. Возможно, у вирусописателей все еще не закончился сезон летних каникул и отпусков, или же в рядах создателей вирусов происходят какие-то серьезные внутренние процессы, в результате которых мы наблюдаем классическое «затишье перед бурей». Так или иначе, эволюция вредоносных программ в сентябре развивалась по трем стандартным направлениям:

  1. появление новых версий почтовых червей из «плодовитых» семейств (в этом месяце таковыми стали Mydoom и Bagle);
  2. возникновение вредоносных программ, использующих принципиально новые технологии заражения либо распространения;
  3. новые «троянцы», эксплуатирующие недавно найденные уязвимости в широко распространенных программах.

Итак, целый «выводок» новых почтовых червей нашумевшего семейства I-Worm.Mydoom (модификации с R по Y, всего 8 штук) появился преимущественно в первой половине сентября, причем три червя — в один и тот же день. Более-менее существенное отличие от предшественников обнаружилось только у I-Worm.Mydoom.y, умеющего распространяться через ICQ скрытно от пользователя. Кроме того, в последние версии Mydoom добавлена функция загрузки на инфицированный компьютер различных версий троянской программы Backdoor.Win32.Surila.

Второй пункт приведенного списка представлен в этом месяце безобидной программой not-a-virus:Win32.Rucar.a. Все, что делает эта программа-шутка — выводит на экран имена файлов, находящихся на жестком диске. Её примечательность заключается в том, что весь функциональный код спрятан внутри обыкновенной с виду BMP-картинки, в свою очередь спрятанной внутри исполняемого файла-дешифровщика.

Сама по себе эта технология не является новой и представляет собой классический пример стеганографии с использованием BMP-файлов, однако в вирусном контексте она встречается впервые. Функциональный код «размазан» по неиспользуемым битам данных BMP-файла, по отношению к которому исходный исполняемый файл является оболочкой-дешифровщиком.

Наконец, в прошедшем месяце появилось две троянских программы, использующих в своей работе недавно обнаруженные уязвимости в популярных программах.

Это, во-первых, новое семейство самостоятельных «троянцев», представляющих собой картинку формата JPEG (детектируются Антивирусом Касперского как Exploit.Win32.MS04-028.gen).

Исполнение вредоносного кода происходит на базе эксплойта для уязвимости, найденной 14 сентября в механизме обработки JPEG-картинок большинством актуальных версий ядра Internet Explorer (которое используется, помимо самого IE, в таких программах, как Outlook Express и компонентах Microsoft Office XP). Код «троянца» находится внутри специальным образом сконструированного файла формата JPEG и выполняется непосредственно при его «просмотре» уязвимой программой; ранние версии Exploit.Win32.MS04-028.gen только вызывали аварийное завершение программы-просмотрщика.

Во-вторых, в сентябре была обнаружена первая троянская программа-дроппер, написанная на Java (детектируется Антивирусом Касперского как Trojan.Java.Binny.a). «Троянец» эксплуатирует уязвимость в Sun Java Runtime для запуска любой другой содержащейся в нем программы. Эксплойт срабатывает при просмотре сайта с соответствующим Java-апплетом в браузерах Opera и Mozilla.

Что касается прогнозов на октябрь, то они остаются теми же, что озвучивались месяцем ранее. С практически стопроцентной уверенностью можно говорить о появлении нескольких новых эпидемологически опасных модификаций уже известных интернет-червей. Можно ждать некоторой активизации вирусописателей в связи с приходом холодного времени года. А также — по-прежнему сохранять готовность к пришествию новых вирусов для мобильных устройств, неизбежное появление которых — лишь вопрос времени.

Тенденции развития вредоносных программ, сентябрь 2004

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике