Архив новостей

Вести с фронтов «вирусной» войны

На вопросы Сергея Кошкина отвечает Александр Гостев, ведущий антивирусный эксперт «Лаборатории Касперского«.

СК
Насколько я понимаю , война между группировками вирусописателей идет за возможность управлять пользовательскими машинами, зараженными троянами, для использования их в качестве ретрансляторов спама?

АГ
Это верно лишь отчасти. С одной стороны — есть те, кто рассылает червей (Bagle, Mydoom) для создания сети зараженных машин, а с другой стороны — есть те, кто с ними борется их же методами (NetSky, Welchia).

СК
О каком количестве зараженных машин можно говорить?

АГ
Зараженных всеми последними червями ? Я думаю число «грязных» машин в ходе любой крупной эпидемии составляет несколько десятков тысяч машин. То есть, это те машины на которых эти черви живут и будут жить еще какое-то время. После любой крупной эпидемии остается своеобразный «вирусный фон» из порядка 20-40 тысяч машин, которые заражены годами и никем не лечатся. А так мы имеем дело с классическим ростом — в первые дни это сотни тысяч компьютеров, часть из которых вскоре излечивается и эпидемия идет на убыль.

СК
Какова предположительно география этих машин? Где пострадали больше пользователей?

АГ
В Интернете нет границ. Мы получаем примерно одинаковые цифры по заражениям из самых различных стран мира. Недавно специально сверили наши данные с австралийскими — там в почтовом трафике лидируют точно такие же черви.

СК
Сколько группировок участвует в войне? (Есть ли у них «имена»)

АГ
Если за войну принимать словесные дуэли, которые присутствуют в коде червей, то на сегодня их четыре. С одной стороны это NetSky, который называет себя «антивирусом». С другой стороны это авторы червей Bagle и Mydoom. А еще есть червь Keco, который удаляет и тех и других 🙂

СК
Эти группировки были замечены с самого начала периода «троянско-спамерских» вирусов? И когда этот период начался?

АГ
Mimail появился именно летом прошлого года и в то же время начался стремительный рост «популярности» троянских прокси-серверов. Так что, вероятней всего, сейчас мы имеем дело с теми же людьми, что и в прошлом году. С другой стороны можно отметить, что определенные спамерско-вирусописательские группы сейчас ушли в тень, просто стараясь не вмешиваться в схватку.

Если говорить о Bagle и связанном с ним троянским прокси-сервером Mitglieder, то старт был дан 4 января этого года.

Mydoom появился позже (и вероятней всего свежие версии Mydoom принадлежат уже другим людям, а не автору оригинальных версий A и B). По некоторым данным прослеживается связь между авторами червей Mimail и авторами Bagle.

СК
Можно ли по каким-то косвенным признакам предположить национальную и географическую принадлежность группировок?

АГ
Если говорить о Bagle, и мы давно это отмечали — скорей всего это совместное творение российско-германской группы. Причем в этой группе есть четко выраженное разделение труда — одни пишут непосредственно сам код червя, а другие люди (в другой стране) занимаются внедрением и рассылкой. Про Mydoom сложно сказать что-то определенное, по той причине, что исходные коды Mydoom.A были доступны всем желающим, поэтому автор может находиться в любой стране. NetSky содержит в своем коде определенные ссылки на доменную зону CZ, родом из которой в прошлом уже были некоторые сетевые черви (Swen, например), однако с точно таким же успехом можно предполагать что и тут мы имеем дело с мультинациональной группой, в которой есть граждане США.

СК
Есть ли признаки «перевеса в борьбе» в пользу одной из группировок?

АГ
Очень сложно подсчитать очки в заочной битве двух сторон. Если оценивать с точки зрения появления новых вариантов, то сейчас новый NetSky выходит практически каждый день. Bagle и Mydoom затаились и видимо обдумывают новые способы борьбы не только с «конкурентом», но и с антивирусами.

СК
Говорят о рынке затрояненных компьютеров. Какие партии предлагаются, по каким признакам делятся — география, что-то еще?

АГ
Партии самые разнообразные. От десятков до тысяч машин. География тут тоже роли не играет. Наибольшим спросом пользуются машины на ADSL-каналах, а таких большинство в США.

СК
Какая из группировок на этом рынке — более успешные «коммерсанты»?

АГ
Из тех что мы сейчас рассматриваем — скорей всего авторы Bagle. У них прослеживается очень сильное стремление к троянизации машин с целью рассылки спама. Учитывая ту «легкость», с которой новые версии Bagle выходят на верхние строчки вирусных рейтингов — можно сказать, что и с внедрением червей в интернет у них проблем нет. Видимо используется очень большая база из зараженных машин. Кроме этого, они используют и другие методы для заражения (не только червей), но и различные троянские дропперы, рассылки рекламы по icq (с призывом посетить зараженные сайты) и многое другое.

СК
Насколько «доступна» технология использования этих адресов? (может ли неподготовленный пользователь купить у владельцев или арендовать адреса, ПО и разослать партию спама?)

АГ
Неподготовленный конечно же нет. Ему просто никто ничего не продаст. Продают только проверенным временем спамерам, люди со стороны доступ в эту сферу не получат.

СК
Чего еще можно ожидать от такого симбиоза спамеров и вирусописателей??

АГ
Наблюдается тенденция организации DoS-атак на различные сайты. Раньше это было хулиганством, сейчас это превращается в разновидность рэкета.

Вести с фронтов «вирусной» войны

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике