Вирусы и антивирусы: гонка вооружений

• Файловые вирусы для DOS
• Картина угроз в 1980-е годы
• Сокрытие присутствия вредоносного кода в системе и полиморфизм
• Первые антивирусные решения
• Рост числа угроз и развитие методов их обнаружения
• Первые поведенческие блокираторы
• Вирусообменные сервисы и вирусные конструкторы
• Макро-вирусы
• Решения для почтовых серверов и шлюзов
• Появление спама
• Массовые рассылки вредоносного кода
  • Почтовые черви
  • Интернет-черви
  • Эксплойты
• Реакция на растущую скорость распространения угроз
• Персональные сетевые экраны
• Системы предотвращения вторжений (IPS)
• Поведенческий анализ
• От кибервандализма к организованной киберпреступности
• Фишинг
• Руткиты: новый уровень маскировки вредоносных программ
• Вредоносные программы для мобильных устройств
• Задачи сегодняшнего дня

Первый компьютерный вирус появился более двадцати лет назад. С тех пор информационные угрозы постоянно менялись, становясь все сложнее. Сегодня большая часть вредоносного кода, в том числе разнообразные троянские программы, эксплойты, руткиты, спам и шпионское ПО, классические вирусы и черви, а также методы фишинговых атак разрабатываются специально для «захвата» компьютеров пользователей в целях получения денег незаконным путем. Возможности Интернета позволяют осуществлять атаки очень быстро, широкомасштабно или избирательно – в зависимости от желания авторов вредоносных программ или представителей криминального андеграунда, финансирующих их деятельность. Вредоносный код может быть вложен в почтовые сообщения, внедрен в пиратское программное обеспечение, размещен на веб-страницах, откуда он загружается троянскими программами, предварительно установленными на зараженных машинах. Масштаб проблемы неуклонно растет: сейчас антивирусные базы «Лаборатории Касперского» насчитывают более 570 500 записей1, и каждую неделю эта цифра увеличивается на 3 500 записей.

В любой сфере человеческой деятельности каждое новое поколение «стоит на плечах» своих предшественников –использует их наиболее успешные решения и старается проложить собственные пути. То же можно сказать и о вредоносных программах: с каждой следующей волной вредоносного кода общая картина угроз меняется до неузнаваемости.

Очевидно, что вместе с информационными угрозами также должны меняться и решения, направленные на борьбу с ними. В результате в наше время и «болезнь», и лекарства от нее сильно отличаются от тех, что существовали, когда вирусы только появились. Какие же факторы повлияли на развитие вредоносных программ? И как должны были совершенствоваться средства защиты, чтобы справляться с возникающими угрозами?

Первый компьютерный вирус Brain появился в 1986 году. Это был загрузочный вирус (подобные

вредоносные программы также называют бут-вирусами), т.е. вирус, изменяющий содержимое первого сектора гибкого диска. «Жизненный цикл» бут-вируса состоит из следующих этапов: код вируса выполняется и загружается в оперативную память при попытке загрузить компьютер с зараженной дискеты. При этом дискета не обязательно должна быть системной – подойдет любая. В большинстве случаев пользователи вообще не собираются загружаться с дискеты. Как правило, они просто забывают вынуть ее из дисковода, выключая компьютер, а затем не вспоминают про нее, включая компьютер на следующий день. Если в базовой системе ввода-вывода компьютера (BIOS) прописана загрузка с гибкого диска (как известно, в большинстве современных компьютеров дисковод для гибких дисков вообще не установлен), система распознает наличие дискеты в дисководе А и автоматически загружает код из ее загрузочного сектора, что в случае с инфицированной дискетой означает загрузку вируса. Когда же BIOS выдает сообщение об ошибке загрузочного диска и предлагает заменить его, пользователь понимает, что по ошибке пытался загрузиться с дискеты. Он вынимает зараженную дискету и продолжает работать, не подозревая о том, что только что произошло. Дальнейшее определяется тем, какая операционная система установлена на компьютере. Загрузочные вирусы заражают компьютер на уровне BIOS, до загрузки операционной системы, т.е. теоретически они не зависят от операционной системы¹. Однако для того, чтобы остаться в оперативной памяти компьютера резидентно и затем распространиться на другие дискеты, вирусы используют системные вызовы DOS. Если же операционная система не поддерживает команды DOS, у вируса нет возможности загрузиться в оперативную память и заразить другие дискеты. С загрузочными вирусами эффективно справляются любые операционные системы, кроме DOS, Windows 3.x, устанавливаемой поверх DOS, и Windows 9x, которая иногда использует DOS для доступа к гибким дискам. В случае с другими операционными системами код вируса может причинить вред, только если он рассчитан на выполнение деструктивных действий на уровне BIOS, т.е. до начала загрузки операционной системы. Таков, например, вирус Michelangelо, который 6 марта, в день рождения Микеланджело, при включении компьютера изменяет первые секторы его жесткого диска.

Авторам загрузочных вирусов не приходилось применять методы социальной инженерии для распространения своих творений. От пользователя требовалось лишь забыть инфицированную дискету в дисководе. В период активного распространения загрузочных вирусов данные переносились с компьютера на компьютер, как правило, с помощью дискет. Рано или поздно зараженная дискета попадала к друзьям, коллегам или клиентам пользователя, и вирус продолжал распространяться.

В дальнейшем бут-вирусы совершенствовались: если Brain заражал только дискеты, то большинство его «потомков» разрабатывались в расчете на заражение также и жесткого диска. Как правило, это означало запись кода в сектор, содержащий системный загрузчик и таблицу разделов жесткого диска (Master Boot Record, или MBR). Некоторые вирусы – например, Form – заражали только загрузочный сектор жесткого диска, другие – такие, как Purcyst – инфицировали и MBR, и загрузочный сектор.

Файловые вирусы для DOS

До 1995 года на долю бут-вирусов приходилось около 70% всех заражений «в реальной среде»². Тогда же появились вирусы, созданные для заражения исполняемых файлов DOS: сначала COM-файлов, позднее – EXE-файлов. Эти вирусы модифицировали заражаемый файл так, чтобы при его запуске автоматически выполнялся код вируса.

Для заражения файлов применялись разнообразные методы. Один из них – добавить код вируса в конец заражаемого файла и модифицировать заголовок файла так, чтобы сначала загружался код вируса, а затем код исходной программы. Однако здесь возможны разные варианты. Некоторые вирусы вставляют свой код в начало файла, другие – сразу в несколько его частей. А так называемые перезаписывающие вирусы заменяют собственным кодом заражаемый файл, уничтожая таким образом его содержимое. Естественно, программа при этом перестает работать. Такие вирусы редко встречаются «в реальной среде», поскольку они слишком заметны и быстро себя обнаруживают.

Ряд вирусов используют альтернативные методы заражения. Так, вирусы-компаньоны сохраняют свой код в отдельном файле-двойнике. Например, файл RUNME.EXE переименовывается в RUNME.EXD. При этом создается новый файл-двойник RUNME.EXE, содержащий код вируса. При запуске программы выполняется код вируса, который затем запускает исходную программу, чтобы пользователь ничего не заподозрил. Другой пример – вирусы-ссылки, которые распространяются, манипулируя доступом к файлам в файловой системе FAT, используемой операционной системой DOS. Пользователь получает зараженный файл (например, на гибком диске) и запускает его. Вирус загружается в память и создает на диске файл (как правило, скрытый) с собственным кодом. Затем вирус модифицирует таблицу размещения файлов (FAT), вставляя в таблицы размещения различных файлов адрес сектора диска, содержащего код вируса. Таким образом, при запуске любого из зараженных файлов операционная система первым делом выполняет код вируса.

Одна из причин, по которой файловые вирусы в свое время встречались реже, чем загрузочные, состоит в том, что пользователи тогда нечасто обменивались программами, особенно в бизнес-среде. А вот дискеты использовались широко, в большинстве случаев – для передачи данных. Тем не менее, файловые вирусы «в реальной среде» все же попадались. Наиболее быстро распространялись файловые вирусы непрямого действия, которые загружались в оперативную память резидентно. Они следили за активностью в системе и могли заразить любой файл, запускаемый пользователем. Распространение файловых вирусов прямого действия было гораздо менее эффективным, поскольку они «срабатывали» лишь при запуске зараженной программы, а потом бездействовали до следующего запуска зараженного файла. Другим фактором, который помогал файловым вирусам размножаться, было массовое распространение зараженных носителей: например, иногда инфицированными оказывались диски, прилагаемые к компьютерным журналам.

Картина угроз в 1980-е годы

Со второй половины 1980-х годов число файловых вирусов неуклонно росло, но несколько наиболее успешных из них сохраняли за собой лидирующие позиции. Например, файловый вирус Jerusalem был широко распространен на предприятиях, в высших учебных заведениях и государственных организациях. Он стал причиной первой крупной вирусной эпидемии, которая произошла 13 мая 1988 года (впоследствии этот день был назван «черной пятницей»). Вирус Vienna имел многочисленные варианты, появившиеся после публикации его исходного кода. А вирус Cascade – первый шифрованный вирус – часто встречался даже в 1990-е годы.

Некоторые вирусописатели пробовали соединить два типа вирусов – загрузочные и файловые, создав так называемые многосторонние вирусы. Наиболее успешными из них были Tequila, Junkie и Natas.

В то время информационные угрозы были преимущественно вирусными, хотя уже существовали

компьютерные черви. В ноябре 1988 года известный червь Morris заразил около 6 000 компьютеров (примерно 10% всех машин, имевших на тот момент выход в Интернет). Однако время интернет-червей еще не пришло: Интернет тогда использовался почти исключительно государственными и образовательными учреждениями.

Троянских программ также было немного. Термин «троянец» (сокращ. от «троянский конь») восходит к древнегреческому мифу о взятии Трои. Чтобы проникнуть в осажденный город, греки воспользовались хитростью: несколько солдат спрятались внутри деревянного коня, который под видом подарка был оставлен у ворот.

Первые троянцы, появившиеся в конце 80-х годов, маскировались под вполне безобидные программы. Как только ничего не подозревавший пользователь запускал такую программу, троянец «доставлял» свой вредоносный груз. Отсюда и определение, используемое большинством антивирусных разработчиков: троянец – не способная к самораспространению программа, которая выглядит легитимной, но предназначена для выполнения вредоносного действия на заражаемом компьютере.

Отсутствие способности к самораспространению – основной признак, отличающий троянские программы от вирусов. Вирусы добавляют свой вредоносный код к заражаемым файлам и переносятся от файла к файлу, поэтому чем дольше компьютер пользователя остается зараженным, тем шире распространяется вирус по системе (и потенциально – по сети, если пользователь имеет доступ в сеть). Троянцы же, напротив, не имеют механизма копирования своего кода, а это значит, что вирусописателям приходится искать иные пути распространения вредоносного кода: загружать его на BBS (электронные доски объявлений) под видом полезных приложений, умышленно внедрять в корпоративные сети или использовать для рассылки почтовые сервисы.

Троянец Twelve Tricks – хакерская версия программы тестирования производительности жесткого диска. При установке он записывал себя в MBR жесткого диска и выполнял один из своих двенадцати «трюков». В результате могло создаться впечатление, что на компьютере жертвы возникли аппаратные проблемы. Кроме того, данный троянец мог отформатировать дорожку жесткого диска, содержащую загрузочный сектор, или вызвать постепенное разрушение FAT.

Ярким примером первых троянцев служит AIDS Information Disk. В конце 1989 года 20 000 дискет с этой троянской программой были разосланы по адресам, украденным компанией PC Cyborg у журнала РС Business World и Всемирной организации здравоохранения. Эти диски якобы содержали информацию о вирусе иммунодефицита человека, и авторы совершенно очевидно сыграли на всеобщей озабоченности проблемой СПИДа (англ. – AIDS). Когда пользователь запускал установочную программу, троянец записывал себя на жесткий диск, создавал собственные скрытые файлы и папки, а также изменял системные файлы. После того, как компьютер был загружен 90 раз, троянская программа шифровала содержимое жесткого диска, делая информацию на нем недоступной. Единственный доступный файл на диске назывался README и содержал адрес почтового ящика в Панаме, куда пользователю предлагалось отправить деньги за расшифровку своих данных. Интересно, что в лицензионном соглашении, записанном на дискете с «дистрибутивом» троянца, честно сообщалось об использовании авторами «программных механизмов», способных «неблагоприятно повлиять на другие программы и приложения»³.

Тем не менее, прошло некоторое время, прежде чем троянцы заняли свое нынешнее лидирующее положение среди вредоносных программ.

Сокрытие присутствия вредоносного кода в системе и полиморфизм

Примерно тогда же велась разработка технологий, предназначенных для расширения «окна возможностей» – периода, в течение которого вирус мог распространяться, не будучи обнаруженным. Технологии сокрытия (такие как подавление вывода сообщений об ошибках, выдающих присутствие вируса; искажение информации о файле, чтобы он не выглядел увеличившимся в размере; перехват попыток прочтения системных секторов с помощью дисковых редакторов) разрабатывались как способ утаить от пользователя изменения, внесенные вирусом в систему. Позднее технологии сокрытия стали еще более изощренными – они позволяли «отфильтровывать» код вируса из зараженных файлов при обращении к ним антивирусной программы. Это новшество привело к необходимости сканировать память до проверки диска (шифрование кода вируса в памяти – задача настолько сложная, что она была под силу лишь нескольким вирусам).

Полиморфизм (от греч. «много форм») – еще одна технология борьбы с обнаружением вредоносного кода антивирусными программами. Суть его в том, что код вируса должен по-новому шифроваться при каждом новом заражении таким образом, чтобы у вируса не было неизменной последовательности байтов, которую могли бы искать антивирусные программы. Первые концептуальные полиморфные вирусы были созданы в 1990 году, но лишь в апреле 1991 года, с появлением вируса Tequila, полиморфный код был обнаружен «в реальной среде». Теперь антивирусные разработчики уже не могли полагаться только на сигнатурный метод обнаружения вирусов. Потребовались другие технологии, такие как эмуляция кода вируса и использование математических алгоритмов для «просвечивания» кода.

И технологии сокрытия, и вирусный полиморфизм были значительно усовершенствованы последующими поколениями вирусописателей.

Первые антивирусные решения

Как же в 1980-е годы обстояло дело с антивирусными решениями? Проблема вирусов начиналась «с ручейка»: новые вирусы появлялись нечасто, поэтому в течение нескольких лет многие вообще считали их мифом. Первые антивирусные программы были утилитами, созданными для обнаружения и удаления отдельных вирусов, а по мере увеличения количества вредоносных программ – небольшой группы вирусов.

В 1989 году ручеек стал превращаться в поток. Тогда были разработаны первые «антивирусные пакеты». Их основной функцией, как правило, была проверка по требованию, во время которой на диске велся поиск приблизительно десятка вирусов, существовавших на тот момент. Некоторые антивирусные пакеты были способны удалять вредоносный код. А были и такие, которые вычисляли контрольную сумму каждого файла, т.е. помечали файлы на незараженном диске так, чтобы любое их последующее изменение становилось заметным – в теории, даже если они были изменены совершенно новыми вирусами.

Вначале антивирусные программы осуществляли только проверку по требованию. Число новых вирусов росло медленно, а скорость их распространения по сегодняшним меркам была весьма низкой. Поэтому антивирусной программе в те времена достаточно было регулярно проводить проверку системы и удалять вредоносные программы, попавшие в офисные или домашние компьютеры. Для этих целей как нельзя лучше подходила чистая системная дискета: загрузка с нее обеспечивала отсутствие в памяти вирусов, которые могли бы помешать проверке и очистке диска⁴. Нередко компании даже не устанавливали антивирусные программы на отдельные компьютеры (как правило, положение дел в корне менялось после того, как компания переживала первое вирусное заражение). Обычно системный администратор проводил регулярные проверки системы и сканировал все поступающие дискеты на специально выделенном для этой цели компьютере прежде, чем сотрудникам компании разрешалось ими пользоваться.

Большинство антивирусных программ обновлялись раз в квартал. Некоторые антивирусные разработчики предлагали ежемесячные обновления, но это не считалось необходимым, и те, кому требовалась усиленная защита, платили за более высокую частоту обновлений дополнительные деньги. Разумеется, обновления поставлялись на физических носителях, то есть на тех же гибких дисках.

Рост числа угроз и развитие методов их обнаружения

Однако к концу 1990 года число вирусов уже приближалось к 300. Оказавшись перед лицом этой проблемы, разработчики антивирусов стали внедрять защиту, работающую в реальном времени. Это означало создание резидентных программ (TSR – Terminate and Stay Resident), которые вели мониторинг системы, т.е. перехватывали операции доступа к диску и файлам для проверки их на наличие известных вирусов.

Кроме того, разработчики начали искать пути проактивного обнаружения вирусов с помощью эвристического анализа (без использования сигнатур). Антивирусные компании постоянно изучали технологии, используемые при создании вредоносных программ, и применяли полученный опыт при составлении списка подозрительных характеристик, каждая из которых имела свой весовой коэффициент. Сканер анализировал код на наличие этих характеристик и, если суммарный коэффициент превышал заранее установленный порог, делал вывод о том, что файл, возможно, заражен вирусом.

Растущая угроза со стороны полиморфных вирусов заставила антивирусных разработчиков дополнить сигнатурный анализ другими методами, которые позволяли сканеру «просвечивать» слой (или слои) шифрования. Эти методы включали технологии редуцированной маски, криптографического и статистического анализа, а также эмуляции кода. Эмуляция кода также использовалась для более эффективного эвристического обнаружения, поскольку она делала возможным динамический анализ кода.

Первые поведенческие блокираторы

Альтернативным решением проблемы резкого увеличения числа угроз стал поведенческий анализ. В то время как традиционные антивирусные сканеры хранили сигнатуры вредоносных программ в базах данных и при сканировании сверяли код с имеющимися в базах сигнатурами, поведенческий блокиратор определял, является ли программа вредоносной, исходя из ее поведения в системе. Если программа выполняла действия, не разрешенные правилами, определенными заранее, то выполнение этой программы блокировалось.

Основным преимуществом поведенческого блокиратора, по мнению его сторонников, является его способность отличать «хорошие» программы от «плохих» без помощи профессионального вирусного аналитика. Поскольку нет необходимости анализировать каждую новую угрозу, регулярное обновление баз сигнатур становится ненужным, а пользователи тем временем надежно защищены от новых угроз.

Проблема в том, что существует некая промежуточная зона между явно вредоносными и допустимыми действиями. Кроме того, одни и те же действия могут быть вредоносными в программе, предназначенной для нанесения ущерба, и полезными в легитимном ПО. Например, низкоуровневая запись данных, используемая вирусом, червем или троянцем для того, чтобы стереть информацию с жесткого диска, совершенно легитимно применяется операционной системой. Кроме того – как поведенческий блокиратор, установленный на файловом сервере, узнает, законно пользователь изменяет или удаляет документ, или это результат действий вредоносной программы?

Основное отличие вирусов и червей от легитимных программ состоит в том, что они создают копию собственного кода. При этом они могут выполнять те же действия, что и легитимные программы.

В связи с этим основная масса антивирусов была по-прежнему ориентирована на обнаружение известных вредоносных программ. Тем не менее, поведенческий анализ получил свое дальнейшее развитие: в некоторых современных решениях по защите от информационных угроз он используется в сочетании с другими методами поиска, обезвреживания и удаления вредоносного кода.

Растущее число угроз – лишь часть проблемы. Вирусы постоянно совершенствовались, и появление технологий сокрытия и полиморфизма, о которых говорилось выше, – яркое тому подтверждение. И хотя многие вирусы, написанные неопытными подражателями, особой опасности не представляли, серьезные вирусописатели создавали весьма эффективный код, раздвигая границы возможного в своем стремлении оказаться на шаг впереди антивирусных экспертов. Особого упоминания заслуживает вирусописатель, известный как Dark Avenger. Он разработал так называемые «быстрые вирусы», инфицирующие файлы при любом доступе (а не только при запуске), и был автором идеи постепенного разрушения данных (вирусы Dark Avenger и Nomenklatura). Dark Avenger также создал первый полиморфный генератор MtE – объектный модуль, превращающий обычный вирус в полиморфный⁵. Последним его «творением» стал вирус Commander Bomber, который распределял свой вредоносный код по всему заражаемому файлу, что существенно замедляло процесс проверки файлов на наличие этого вируса.

Вирусообменные сервисы и вирусные конструкторы

Жизнь разработчиков антивирусов в первой половине 90-х годов осложняли еще несколько обстоятельств. Первое – это создание электронных досок объявлений (VX – Virus eXchange), ориентированных исключительно на обмен вирусами. Вирусы распространялись через электронные доски объявлений и раньше: до начала широкой «интернетизации» пользователи обменивались через них программами, поэтому размещение на электронных досках зараженных файлов для последующей загрузки другими пользователями было весьма эффективным способом распространения вирусов. В VX-системах эта идея получила дальнейшее развитие: доступ к размещенной в системе коллекции вредоносных программ получали только те пользователи, которые предоставили для коллекции хотя бы один вирус. Вряд ли нужно объяснять, каким мощным стимулом для развития вирусного движения – написания новых вирусов и распространения уже существующих – стали VX-системы. Примерно в это же время в Европе и США появились люди, выставлявшие коллекции вирусов на продажу.

Еще одной тревожной тенденцией стало появление первых вирусных конструкторов. Как понятно из названия, они позволяли людям, не имевшим технических навыков и знаний, необходимых для написания вредоносного кода, создавать свои собственные вирусы, выбирая характеристики создаваемых вирусов из списка. К счастью, созданные таким образом вирусы имели характерные особенности, благодаря чему антивирусы могли обнаружить их при помощи одной-единственной сигнатуры.

Макро-вирусы

Июль 1995 года стал одним из поворотных моментов в истории противостояния вирусов и антивирусов: был обнаружен первый макро-вирус, который получил название Concept. В течение четырех последующих лет макро-вирусы доминировали на вирусных «просторах».

Автор Concept воспользовался тем, что люди обмениваются данными гораздо чаще, чем программами. Он применил инструкции языка WordBasic⁶ для модификации шаблона NORMAL.DOT, что сделало возможным внедрение кода вируса, представлявшего собой несколько автомакросов, в каждый документ, создаваемый пользователем после заражения. Таким образом, каждый пользователь, получив инфицированный документ, становился жертвой макро-вируса. Появление этой простой конструкции, давно предсказанное антивирусными разработчиками, имело далеко идущие последствия.

Во-первых, традиционные вирусы чаще всего писались на языке ассемблера, что требовало от злоумышленников определенных знаний, в то время как макро-вирусы создавались с помощью языка WordBasic, а позднее – VBA (Visual Basic for Applications), что было намного проще. Кроме того, макро-вирусы, как правило, хорошо видны, поэтому их легко копировать, модифицировать и повторно применять. Неожиданно поле вирусописательской деятельности оказалось открытым для широкого круга людей. В результате количество вирусов существенно возросло – от примерно 6 000 в июне 1995 года до 7 500 к концу 1995 года. В декабре 1998 года их число превысило 25 000.

Во-вторых, внимание вирусописателей переключилось с исполняемого кода (программных файлов и секторов диска) на данные. Макро-вирусы стали первыми вредоносными программами, целенаправленно поражавшими файлы данных. Поскольку, как уже было сказано, данными пользователи обменивались гораздо чаще, чем программами, у макро-вирусов появился более эффективный, чем у прежних вирусов, канал распространения. Эту проблему усугубил переход электронной почты из разряда инструментов для «технарей» в популярное средство коммуникации и обмена данными: легкость прикрепления файлов к сообщению и появившаяся у обычных пользователей возможность доступа в Интернет также способствовали распространению макро-вирусов.

В-третьих, макро-вирусы не зависели ни от платформы, ни от операционной системы – они работали на уровне приложения. Существование версий Word для Windows 3.x, Windows 95, Windows NT и Macintosh делало эти системы уязвимыми для атаки. Вскоре проблема вышла за рамки Word. Поскольку язык VBA применялся и в других приложениях Microsoft Office (Word, Excel, PowerPoint, Access и Project), то все они стали мишенями для макро-вирусов. Существовали даже особые «гибридные» макро-вирусы, способные атаковать все офисные приложения.

Как уже говорилось, каждое новое поколение вирусописателей опиралось на знания и опыт своих предшественников. Так, авторы макро-вирусов использовали разработанные ранее технологии сокрытия и полиморфизм, применив их в новом контексте.

Решения для почтовых серверов и шлюзов

С изменением общей картины угроз изменились и решения, направленные на защиту корпоративных сетей. До эпохи макро-вирусов антивирусное ПО было ориентировано на настольные компьютеры и, в меньшей степени, на файловые серверы. С появлением макро-вирусов начался процесс расширения антивирусной защиты сетей – теперь она должна была охватывать также почтовые серверы и интернет-шлюзы. Поскольку электронная почта служила основным механизмом распространения вирусов, проверка почтовых сообщений стала эффективным способом защиты рабочих станций. Однако это не отменяло необходимости установки на рабочие станции и файловые серверы антивирусных приложений, которые оставались важнейшим оружием в борьбе против вирусов. Но их следовало интегрировать в расширенные, многоуровневые, глубоко эшелонированные решения.

Одновременно разработчики антивирусов продолжали развивать возможности проактивной защиты, особенно в области generic-обнаружения, т.е. обнаружения и удаления группы угроз с помощью одной сигнатуры. В основе generic-обнаружения лежит тот факт, что наиболее «успешные» угрозы часто копируются подражателями или видоизменяются авторами, совершенствующими свои творения. В результате появляется множество (десятки, а то и сотни) вирусов, червей или троянцев, каждый из которых уникален, но при этом все они принадлежат одному семейству. Generic-обнаружение стало еще одним методом детектирования неизвестных угроз без необходимости создания новых сигнатур.

Появление спама

Активное использование электронной почты в качестве инструмента бизнеса привело к появлению еще одной проблемы – нежелательных электронных рассылок, или спама. Поскольку деловая корреспонденция также ведется по электронной почте, ее пользователи становятся привлекательной мишенью для тех, кто ищет новые пути рекламирования своих товаров и услуг – от легитимных до непристойных и даже незаконных.

Появление спама и его растущий объем вызвали целый ряд проблем: неэффективное использование («забивание») интернет-каналов, потерю рабочего времени персонала на чтение почты, не имеющей отношения к работе, а также кадровые и юридические сложности, связанные с загрузкой на компьютеры сотрудников компании информации непристойного, расистского и другого нежелательного содержания. Конечно, здесь имеются и переходные зоны: то, что одному человеку представляется спамом, для другого может оказаться ценной и важной информацией.

В этот период началась активная разработка решений в области контентной фильтрации. Они устанавливались преимущественно на интернет-шлюзы для фильтрации спама и другого нежелательного контента. Было налажено сотрудничество с разработчиками антивирусов, которые уделяли все большее внимание фильтрации вредоносного кода на уровне почтовых серверов и интернет-шлюзов.

Массовые рассылки вредоносного кода

Появление в марте 1999 года вируса Melissa знаменовало собой качественный скачок в процессе эволюции вирусных угроз. На первый взгляд Melissa был не более чем очередным макро-вирусом. Однако, в отличие от остальных макро-вирусов, которые ждали, пока пользователь разошлет зараженные данные, Melissa «захватывал» систему электронной почты с целью активной рассылки своего кода⁷. Все, что требовалось от пользователя, – дважды щелкнуть мышью на инфицированном почтовом вложении. После этого вирус считывал электронные адреса из адресной книги почтовой программы Microsoft Outlook и рассылал по ним свои копии. Массовая рассылка позволяла Melissa распространяться быстрее, чем это делали все предыдущие макро-вирусы. Кроме того, Melissa угрожал стабильности инфраструктуры электронной почты из-за огромного объема генерируемого им почтового трафика. За первой волной распространения вируса Melissa (он был прислан в телеконференцию, посвященную сексуальной тематике) последовал резкий рост нагрузки на корпоративные почтовые системы, что существенно замедляло их работу, а иногда и вовсе приводило к сбоям. Неудивительно, что Melissa стал родоначальником целого направления в развитии вредоносных программ. В течение многих лет функция массовой почтовой рассылки встраивалась практически во все вирусы и черви, вызывавшие крупные эпидемии как в корпоративной среде, так и среди домашних пользователей.

Вирус Melissa послужил причиной существенных изменений характера вирусной угрозы. Теперь вирусам уже не нужно было ждать, пока ничего не подозревающий пользователь разошлет инфицированный файл. Захватывая систему электронной почты, вирусы получали чрезвычайно эффективный механизм распространения и могли вызвать глобальную эпидемию за считанные дни или даже часы.

Можно сказать, что Melissa стал вирусом двух эпох. С одной стороны, это представитель эры макро-вирусов, вызвавший одну из последних (и крупнейших) макро-вирусных эпидемий. С другой стороны, он послужил предвестником наступления эпохи червей, точнее – почтовых червей.

Черви

Почтовые черви

Компьютерный червь – это отдельная, самостоятельно размножающаяся компьютерная программа. Другими словами, это вирус, который не встраивается в заражаемые файлы. Вместо того, чтобы передаваться от файла к файлу на одном компьютере, червь использует для распространения своего кода сетевое/интернет-соединение. На одном компьютере может присутствовать только один экземпляр червя. Повторное появление червей на сцене по времени совпало со снижением активности макро-вирусов из-за изменений, внесенных Microsoft в систему макросов. Для организации эпидемий вновь стали использоваться исполняемые файлы.

Существует несколько разновидностей почтовых червей. Одни распространяются в виде исполняемых файлов (примером может служить первый современный червь Happy99), другие – в виде скрипт-файлов (Visual Basic Script или Java Script), вложенных в почтовые сообщения, третьи – в виде скриптов, встроенных в HTML-сообщения. Общим для всех почтовых червей является то, что для их распространения используется электронная почта, обычно в сочетании с методами социальной инженерии, призванными убедить наивных пользователей запустить вредоносный код.

Социальная инженерия представляет собой комплекс нетехнических методов, применяемых с целью заставить пользователей пренебречь стандартными мерами безопасности. В контексте вирусов и червей это, как правило, означает прикрепление вредоносного кода к совершенно безобидному на первый взгляд почтовому сообщению. Одним из первых примеров успешного применения методов социальной инженерии стал червь LoveLetter, рассылавшийся в сообщении с темой ILOVEYOU и текстом следующего содержания, размещенным в теле письма: «Kindly check the attached LOVELETTER coming from me» (Пожалуйста, прочтите мое любовное письмо во вложении). Инфицированное вложение также могло иметь двойное расширение (как это было в случае с червями LoveLetter, SirCam, Tanatos, Netsky и др.), что помогало скрыть его подлинную природу (по умолчанию Windows не показывает второе, настоящее, расширение файла). Кроме того, само электронное письмо могло быть создано с таким расчетом, чтобы выглядеть не просто безвредным, но даже несомненно полезным.

Интернет-черви

Почтовые черви – далеко не единственный вид компьютерных червей. 2001 год ознаменовался возвращением интернет-червей. В июле появился CodeRed – бесфайловый («бестелесный») червь. В отличие от всех предыдущих вирусов, он не пытался инфицировать файлы на жестком диске заражаемого компьютера, существуя лишь в его оперативной памяти и в сетевых пакетах. CodeRed использовал уязвимость сервера Microsoft IIS [MS01-033 – «Переполнение буфера в расширении ISAPI сервера индексов допускает запуск кода на веб-сервере»] для атаки на серверы, работающие под управлением Windows 2000. CodeRed распространялся, пересылая TCP/IP-пакеты через порт 80 на удаленную машину, загружался в память, используя переполнение буфера, а затем таким же точно способом рассылал свой код на другие уязвимые серверы. CodeRed разошелся по Интернету в считанные часы, гораздо быстрее всех своих предшественников. После червя Morris это был первый случай использования уязвимости для распространения вредоносной программы.

Успех CodeRed означал, что одним эпизодом дело не ограничится. И действительно, двумя месяцами позже, в сентябре 2001 года, вирус Nimda, использующий уязвимость в Internet Explorer [MS01-020: «Неправильный заголовок MIME может привести к запуску вложения электронной почты обозревателем Internet Explorer»], стал причиной еще одной глобальной эпидемии.

В отличие от ранее известных угроз, связанных с массовыми почтовыми рассылками, Nimda не требовал запуска пользователем зараженного ЕХЕ-файла, вложенного в почтовое сообщение. Вместо этого он использовал уязвимость браузера для автоматического запуска своего кода на исполнение. К тому времени уязвимость MS01-020 была уже полгода как обнаружена, но на многие компьютеры закрывающие ее обновления еще не были установлены. Поэтому Nimda сумел заразить компьютеры по всему миру в течение нескольких часов.

Эксплойты

В годы, последовавшие за эпидемиями, вызванными CodeRed и Nimda, создание эксплойтов для системных уязвимостей стало обычным делом, поскольку авторы вредоносных программ нашли уязвимости во многих популярных программах и операционных системах. Ранее такие методы ассоциировались с деятельностью хакеров, а не вирусописателей. Сочетание «традиционных» технологий создания вирусов с хакерскими атаками стало очередным этапом развития вредоносных программ.

В ряде случаев вирусописателям удавалось обходиться без «традиционных» вирусных технологий. Например, Lovesan, Welchia и Sasser были простыми интернет-червями без функции массовой рассылки по электронной почте. Пользователю не нужно было запускать инфицированную программу – подобные угрозы распространялись через Интернет от компьютера к компьютеру с помощью различных эксплойтов. Lovesan использовал уязвимость MS03-026 [«Переполнение буфера RPC может допустить запуск кода»], Welchia эксплуатировал ту же уязвимость плюс MS03-007 [«Неограниченный буфер в компоненте Microsoft Windows 2000 может привести к несанкционированному доступу к веб-серверу»], а Sasser – уязвимость MS04-011 [переполнение буфера в службе LSASS.EXE в Microsoft Windows].

После Nimda появилась тенденция использовать эксплойты в сочетании с другими методами заражения. Помимо распространения с помощью массовых почтовых рассылок, Nimda дописывал вирусный код эксплойта (в форме инфицированной программы JavaScript) в HTML-файлы. Если зараженная машина являлась сервером, компьютеры пользователей заражались через Интернет при посещении инфицированных страниц. При попытке распространиться по корпоративной сети Nimda сканировал ее в поисках доступных ресурсов и «разбрасывал» на них свои копии, которые затем запускались ничего не подозревавшими пользователями. На зараженных машинах вирус открывал доступ к локальным дискам, превращая их в открытые ресурсы, удаленный доступ к которым был открыт для любого злоумышленника. Кроме того, Nimda использовал уязвимость сервера Microsoft IIS MS00-078 [«Обзор папок на веб-сервере»] для загрузки на уязвимые серверы своей копии с уже инфицированных машин. Стратегия «многосторонней» атаки дает все основания считать вирус-червь Nimda комбинированной угрозой.

Многие успешные угрозы, последовавшие за Nimda, применяли множественные механизмы заражения и использовали уязвимости для того, чтобы запускать вредоносный код автоматически, минуя пользователя. Это позволяло существенно сократить временной разрыв между появлением новой угрозы и развитием полномасштабной эпидемии. Сейчас угрозы распространяются очень быстро: чтобы разнестись по всему миру, вредоносной программе требуются считанные часы. Это стало возможным в результате широкого применения электронной почты в бизнес-процессах, а также использования уязвимостей в качестве плацдарма для наступления на предприятия.

Реакция на растущую скорость распространения угроз

В связи с распространением новых угроз с «интернет-скоростью» и увеличением числа глобальных эпидемий антивирусные разработчики были вынуждены уделять все большее внимание скорости реакции на новые угрозы. Если раньше большинству пользователей вполне хватало ежеквартальных обновлений антивирусных баз, то потом общепринятым стандартом стали ежемесячные обновления, а с появлением почтовых и интернет-червей большинство антивирусных разработчиков перешли на еженедельные обновления баз. Теперь некоторые вендоры обновляют базы ежедневно⁸. Скорость реакции на появление новых угроз стала одним из важных показателей при проведении независимых антивирусных тестов⁹.

В качестве ответа на применение вирусописателями методов социальной инженерии многие предприятия стали блокировать определенные типы файлов на уровне интернет-шлюза, чтобы не допустить попадания на компьютеры пользователей почтовых вложений с расширениями EXE, PIF, SCR и т.п.

Несмотря на эти защитные меры, по-прежнему существовал временной разрыв между появлением эксплойта или иной угрозы и реакцией на нее антивирусных компаний. В течение этого периода новые угрозы распространялись бесконтрольно. Высказывались сомнения в способности традиционных антивирусных решений, основанных на сигнатурном методе обнаружения угроз, обеспечить надежную защиту от все более сложного вредоносного кода¹⁰. Как следствие, ведущие антивирусные разработчики стали расширять спектр предлагаемых средств защиты.

Персональные сетевые экраны

Одним из путей расширения возможностей защиты стало использование персонального сетевого экрана (файервола), контролирующего входящие и исходящие потоки данных и блокирующего нежелательный сетевой трафик. Как следует из названия, персональный сетевой экран (в отличие от традиционного межсетевого экрана, развертываемого на интернет-шлюзах), устанавливается на рабочую станцию или на сервер. Он работает как своеобразный «инспектор дорожного движения», досматривая как входящий, так и исходящий трафик и разрешая или блокируя соединения в соответствии с заданными политиками безопасности. Персональный сетевой экран, как правило, работает «на два фронта». С одной стороны, он обеспечивает фильтрацию на уровне приложений, т.е. позволяет задавать правила для популярных приложений (браузеров, программ мгновенного обмена сообщениями и др.). Кроме того, персональный сетевой экран обеспечивает пакетную фильтрацию: он анализирует передаваемые пакеты данных (заголовки, используемые протоколы, порты, IP-адреса и пр.) и осуществляют фильтрацию пакетов в соответствии с заданными политиками безопасности.

Системы предотвращения вторжений

Некоторые разработчики средств защиты используют «традиционные» технологии в сочетании с системами предотвращения вторжений (IPS – Intrusion Prevention System). Системы, предназначенные для защиты рабочих станций и серверов (host-based IPS), как правило, применяют для обнаружения вредоносного кода поведенческий анализ. Они контролируют все запросы, поступающие в систему, и сопоставляют их с политиками безопасности, определяющими «нормальное» поведение. Эти политики могут иметь достаточно высокую степень детализации, поскольку описывают поведение конкретных приложений. Такие действия, как открытие тех или иных портов, сканирование портов, попытки повышения привилегий в системе и внедрение кода в активные процессы, могут блокироваться как аномальное поведение. Некоторые IPS-системы дополняют поведенческий анализ использованием сигнатур известного вредоносного кода.

Сетевые IPS (network-based IPS) устанавливаются на пути передачи сетевого трафика и анализируют пакеты на наличие вредоносного кода. Они реагируют на такие характерные признаки атаки, как аномальная загрузка каналов и нестандартные (в частности, неправильно сформированные) сетевые пакеты. Сетевые IPS особенно эффективны в обнаружении атак, вызывающих отказ в обслуживании (DoS), и трафика, генерируемого интернет-червями.

Поведенческий анализ

Некоторые разработчики антивирусного ПО сочетают «классические» технологии с поведенческим анализом, что позволяет контролировать активность приложений в реальном времени, блокировать любые подозрительные действия и даже обеспечивать откат – отмену изменений, произведенных вредоносным кодом в системе.

Задача этих технологий – обеспечить защиту от атак, нацеленных на кражу конфиденциальной информации, от сетевых червей и вредоносного кода, предназначенного для захвата компьютера, включения его в зомби-сеть и последующего использования для рассылки спама.

Положительная сторона IPS и персональных сетевых экранов состоит в том, что они предлагают generic-защиту от неизвестного вредоносного кода, не опираясь на сигнатуры известных угроз. Потенциальный недостаток – опасность ложных срабатываний. Для минимизации этого риска в большинстве решений используется режим обучения: со временем продукт формирует собственное «представление» о том, что является «нормальным» поведением для среды, в которой работает данный компьютер (в процессе обучения продукт сообщает пользователю о потенциальной опасности и предлагает выбрать соответствующее действие). Однако использование этих технологий требует тщательной настройки системы и, соответственно, сопряжено со значительным увеличением объема работы системных администраторов. В случае с IPS для обнаружения новых методов атаки также требуются обновления (хотя и не такие частые, как при использовании традиционных антивирусных технологий).

От кибервандализма к организованной киберпреступности

С 2003 года наблюдается снижение числа глобальных эпидемий, что свидетельствует о смене приоритетов вирусописателей. Еще несколько лет назад вирусы и другие вредоносные программы представляли собой отдельные проявления компьютерного вандализма, то есть служили для злоумышленников неким антисоциальным способом самовыражения с помощью высоких технологий. Чаще всего дело ограничивалось заражением компьютерных дисков или программ, а ущерб в основном составляли информационные потери, вызванные удалением или (реже) повреждением информации, хранившейся на зараженных дисках. В последние годы ситуация в корне изменилась: сегодня мы имеем дело с так называемым «мошенническим» ПО (crimeware) – вредоносным кодом, созданным с целью получения денег незаконным путем. В нашем опутанном проводами мире, открывающем перед злоумышленниками огромные возможности наживы, большинство угроз пишется «на заказ».

Также хорошо прослеживаются изменения тактики вирусописателей. Наблюдается неуклонное уменьшение количества массовых атак и, соответственно, глобальных эпидемий, пик которых пришелся на 2003 год. Атаки становятся более направленными. При этом эпидемии как таковые не исчезли – они лишь перестали быть глобальными.

Отчасти это вызвано тем, что правоохранительные органы во всем мире накопили значительные знания и опыт в поимке «электронных правонарушителей». Кроме того, антивирусные разработчики научились неплохо справляться с широкомасштабными эпидемиями. Причем высокая скорость реакции на появление новых угроз, то есть быстрый выпуск сигнатур новых вирусов – это лишь надводная, видимая часть айсберга. Команды антивирусных разработчиков создали своего рода системы раннего оповещения, которые заранее предупреждают об изменениях вредоносной активности в Интернете. Серверы, используемые для незаконного сбора конфиденциальной информации, могут быть обнаружены и заблокированы, что позволяет уменьшить негативные последствия деятельности злоумышленников.

Еще одна причина связана со сменой приоритетов в преступной среде. Значительная часть современного вредоносного ПО предназначена для кражи конфиденциальной информации с целью незаконного получения денег. Естественно, собранные данные должны быть обработаны и использованы, а если речь идет о заражении миллионов компьютеров, вероятность обнаружения вредоносных действий повышается. Кроме того, обработка данных в таком объеме – задача, требующая колоссальных ресурсов. Поэтому самим вирусописателям более выгодно проводить не массовые атаки, а целенаправленные.

За один раз атаке подвергается, как правило, тысяча машин, то есть проводятся операции малого масштаба, не привлекающие к себе особого внимания. Возможна также «подгонка» вредоносного кода для атаки на конкретную жертву или небольшую группу жертв.

Для подобных атак часто используются троянские программы, в связи с чем их число лавинообразно растет. Существует множество разновидностей троянских программ, каждая из которых предназначена для выполнения конкретных задач: это бэкдоры – утилиты удаленного администрирования компьютеров в сети (Backdoor Trojans); программы, «ворующие» пароли (Trojan-PSW); инсталляторы вредоносных программ (Trojan-Droppers); троянцы, предназначенные для загрузки и установки на зараженный компьютер новых версий вредоносных программ (Trojan-Downloaders); троянские прокси-серверы (Trojan-Proxies) и др.

Троянские программы также используются злоумышленниками для сбора конфиденциальной информации (имен пользователей, паролей, PIN-кодов и др.) с целью незаконного обогащения. Зараженные компьютеры можно «призвать» в «армию зомби» для организации распределенной атаки, вызывающей отказ в обслуживании (атаки DDoS, или Distributed-Denial-of-Service). Такие атаки используются, в частности, для вымогательства денег у организаций: в ходе «демонстрационной» DDoS-атаки жертве как бы предлагается посмотреть, что может произойти, если она откажется платить. Альтернативный вариант – использование зараженных компьютеров в качестве прокси-серверов для распространения спама.

Выросло число червей и троянцев, предназначенных для вымогательства денег у отдельных пользователей – ransomware (от англ. ransom – выкуп). Эти программы зашифровывают данные на диске и создают README-файл, в котором пользователю предлагается заплатить за расшифровку его данных, переведя деньги автору программы через одну из многочисленных систем электронных платежей.

Часто зараженные компьютеры объединяются в сети с помощью IRC-каналов или веб-сайтов, на которых злоумышленники размещают вредоносный код. Как правило, такие бот-сети (бот – сокр. от робот) контролируются через сервер управления. Это значит, что если «засечь» управляющий бот-сетью сервер, ее можно обезвредить. Однако в последнее время появились более сложные бот-сети, использующие одноранговую модель – P2P (peer-to-peer). Самая известная вредоносная программа, реализующая эту модель – червь Zhelatin, также известный как Storm Worm, появившийся в январе 2007 года и с тех пор сохраняющий активность. Ту же модель использовал и бэкдор MayDay, заявивший о себе в сентябре 2007 года. Живучесть Zhelatin объясняется его распределенной природой: отсутствует центральный управляющий сервер, отключив который, можно ликвидировать бот-сеть.

Переходу от массовых эпидемий к целенаправленным атакам сопутствует снижение роли массовых рассылок в распространении вредоносного кода. Еще несколько лет назад большинство эпидемий было вызвано червями, «захватывавшими» почтовую систему с целью активного самораспространения. При этом вредоносные программы собирали с заражаемых компьютеров контактные данные, рассылали по этим адресам свои копии, и так до бесконечности. Подобный механизм использовали черви LoveLetter, Klez, Tanatos (Bugbear), Sobig, Mimail, Sober и Mydoom, ставшие в свое время причиной глобальных эпидемий. Теперь же вредоносные программы все чаще попадают на компьютер жертвы с помощью спам-рассылок. Вирусописатели уже не отправляют вредоносный код в «свободное плавание», но целенаправленно посылают его заранее определенной группе пользователей.

По той же причине «пакеты» вредоносных программ, попадающие на заражаемые компьютеры, часто содержат троянские программы-загрузчики, которые, как это следует из названия, служат для загрузки вредоносного кода со специальных веб-сайтов. Троянцы-загрузчики используются не только для управления распространением вредоносного кода, но и для его автоматического обновления по всему Интернету. Они все чаще применяются для скрытой установки на зараженный компьютер шпионских программ и программ порнографического содержания, не имеющих вирусных свойств.

Злоумышленники готовы на все, чтобы не потерять контроль над зараженными машинами. В последнее время вредоносные программы активно борются с системами защиты компьютера: останавливают активные процессы, удаляют файлы, необходимые для нормального функционирования защиты, блокируют обновления антивирусных баз. Иногда они удаляют конкурирующие вредоносные программы. Так, троянец Backdoor.Win32.Agent.uu (известный также как SpamThru) даже использовал для поиска и удаления другой вредоносной программы с компьютеров своих жертв пиратскую копию антивирусного приложения¹¹.

Фишинг

Использование вредоносного кода – не единственный метод, которым пользуются злоумышленники, собирая конфиденциальную информацию с целью незаконного получения денег. Фишинг – особая форма киберпреступности: пользователей хитростью заставляют раскрыть свои персональные данные (имя, пароль, PIN-код или другую информацию, необходимую для доступа к различным сервисам), а затем используют эти данные для кражи денег. Речь идет о самом настоящем мошенничестве. В своей незаконной деятельности фишеры используют методы социальной инженерии: сначала они создают копии сайтов финансовых учреждений, а затем рассылают спам-сообщения, имитирующие письма, которые пользователь может получить от реальных финансовых учреждений. Такие сообщения, как правило, написаны в деловом стиле, в них присутствуют настоящие логотипы и даже ссылки на имена представителей руководства финансовых учреждений. Заголовки поддельных электронных писем выглядят в точности так же, как заголовки сообщений, отправляемых самими финансовыми учреждениями. Например, письмо информирует клиентов банка о внесении изменений в его информационную систему, в связи с чем всем клиентам предлагается подтвердить свои пользовательские данные. Иногда в качестве причины изменений указываются сбои в работе сети и даже хакерские атаки.

Фальшивые сообщения, рассылаемые фишерами, преследуют одну цель: заставить клиента перейти по ссылке, указанной в письме. Ссылка ведет на поддельный сайт, как две капли воды похожий на настоящий сайт финансового учреждения. Здесь пользователю предлагается заполнить анкету. Сделав это, он предоставляет преступникам информацию, которая позволяет им получить доступ к управляемому через Интернет счету пользователя и украсть с него деньги.

Руткиты: новый уровень маскировки вредоносных программ

В последние годы для сокрытия присутствия на компьютере пользователя вредоносного кода и шпионского ПО все активнее используются руткиты. Термин «руткит» (англ. rootkit) заимствован из мира Unix, где он обозначает набор утилит, позволяющих злоумышленнику получить доступ к системе с правами пользователя root (то есть полный доступ), оставаясь при этом невидимым для администратора. Теперь он также употребляется для обозначения технологий, используемых вирусописателями для сокрытия изменений, произведенных вредоносным ПО на зараженном компьютере. Как правило, вирусописатели получают доступ к системе, взломав пароль или использовав уязвимость приложения. Проникнув в систему, они добывают новую информацию о ней – и так до тех пор, пока не получат права администратора. Руткиты часто используются для того, чтобы скрывать присутствие в системе троянцев, маскируя изменения реестра, процесс(ы) троянской программы и другую вредоносную активность.

Вредоносные программы для мобильных устройств

До недавнего времени основной мишенью вирусописателей оставались персональные компьютеры и ноутбуки. Однако обнаружение в июне 2004 года вируса Cabir свидетельствовало о появлении угроз нового поколения, ориентированных на мобильные устройства. С тех пор наблюдается непрерывный рост числа таких вредоносных программ.

Популярность мобильных устройств в деловом мире неуклонно возрастает. Одновременно расширяется сфера применения беспроводных технологий. Возможности мобильных устройств достаточно велики: это IP-сервисы, обеспечение доступа в Интернет, локальную сеть и др. Осталось не так уж много задач, которые можно решить с помощью ноутбука, но нельзя – с помощью карманного компьютера.

Эта ситуация сопряжена с рядом проблем. Сегодня многие предприятия работают в «открытом пространстве»: их сотрудники широко используют удаленные соединения, что делает их уязвимыми для разного рода атак – на рабочем месте, дома или в дороге. Мобильные устройства изначально менее безопасны, чем стационарные, поскольку они функционируют вне зоны действия традиционной системы защиты сети. А поскольку на них все чаще хранится ценная для предприятия информация, беспроводные устройства и беспроводные сети становятся для вирусописателей все более привлекательным объектом атаки. Как показывает история развития программного обеспечения, возможности доступа к информации всегда идут на шаг впереди разработки средств ее защиты. Находясь вне зоны действия системы защиты сети, мобильные устройства становятся ее самым слабым звеном.

С момента своего появления Cabir – первый червь для мобильных телефонов – «поселился» в более чем 40 странах мира. Cabir распространяется через соединения Bluetooth. Это самый популярный метод беспроводной передачи данных, поэтому неудивительно, что вирусописатели выбирают именно его для распространения вредоносного кода. Многие устройства, поддерживающие Bluetooth, работают в режиме отклика. При этом они открыты как для заражения, так и для хакерских атак.

Вирусы, черви и троянцы для мобильных устройств появились в течение очень короткого промежутка времени, тогда как на создание подобных угроз для персональных компьютеров ушло порядка двадцати лет.

В настоящее время каждую неделю появляется около десятка новых «мобильных» угроз. Пока многие из них достаточно просты, но вирусописатели очень хорошо понимают, что в долгосрочной перспективе мобильные устройства имеют колоссальный потенциал с точки зрения незаконного получения денег.

В апреле 2006 года появился Flexispy – первый троянец-шпион для операционной системы Symbian. Это коммерческая троянская программа, которая устанавливает полный контроль над смартфоном и отправляет информацию о звонках и SMS-сообщениях злоумышленникам. Автор Flexispy продавал свое творение всем желающим за $50. Аналогичное вредоносное ПО существует и для Windows Mobile, которая на данный момент является второй по популярности операционной системой для мобильных устройств.

Большинство известных на сегодняшний день мобильных угроз требуют участия пользователя в своем распространении (подтверждения передачи файла на мобильное устройство и затем еще одного подтверждения – на этот раз уже запуска полученного файла). На первый взгляд скорость, с которой распространяются эти угрозы, может показаться удивительной. Но ведь и черви для персональных компьютеров требуют от пользователя выполнения аналогичных действий, и они также очень «успешны». Все дело в приемах социальной инженерии: злоумышленники привлекают пользователей возможностью бесплатной загрузки порнографических картинок или фильмов, предлагают им бесплатные услуги или схемы быстрого обогащения.

Так же обстоит дело и с мобильными телефонами. Например, червь Comwar использует MMS (сервис мультимедийных сообщений) для рассылки своего кода по списку контактов из адресной книги зараженного телефона, причем каждое MMS-сообщение обходится владельцу телефона весьма недешево (примерно €0.35). Кроме того, как показали исследования, многие пользователи готовы принимать файлы, передаваемые на их устройства через Bluetooth, особенно если это файлы сексуального содержания.

Последствия заражения мобильных устройств могут быть различными. Например, червь может вызвать сбой в работе телефона. Троянец Skuller, распространяющийся путем загрузки с мобильных сайтов, подменяет иконки стандартныx приложений операционной системы мобильного устройства иконкой с изображением черепа и делает использование этих приложений невозможным. Троянец Mosquit рассылает SMS-сообщения на платные номера. «Мошенническое» ПО (Brador, Flexspy и другие троянцы для мобильных устройств) позволяет злоумышленникам похищать конфиденциальную информацию, хранящуюся в мобильных устройствах. В этой связи нужно отметить, что пользователи редко шифруют данные в своих мобильных устройствах, а многие даже не пользуются парольной защитой при их включении.

Несмотря на то, что пока злоумышленники лишь экспериментируют с мобильными технологиями, уже появились весьма опасные разработки. Например, Lasco – гибрид вируса и червя; кроссплатформенный вирус Cxover, заражающий как мобильные устройства, так и персональные компьютеры; троянец RedBrowser, атакующий устройства, поддерживающие Java-приложения (J2ME), т.е. не только смартфоны, но и обычные сотовые телефоны.

Несмотря на то, что мобильные устройства не обладают иммунитетом от подобных атак, трудно предсказать, когда ручеек «концептуальных» вредоносных программ превратится в бурный поток. Это в значительной степени зависит от популярности мобильных устройств в бизнес-среде: как только их число достигнет критической массы, они, как и все широко используемые системы, станут объектом нападения киберпреступников. Сегодня злоумышленники используют для незаконного получения денег данные, хранящиеся в настольных компьютерах и ноутбуках пользователей, а завтра они с той же целью попытаются добраться до информации, находящейся в мобильных устройствах.

Поэтому ведущие антивирусные разработчики создали целый ряд решений по защите мобильных устройств. Эти программы устанавливаются как на сами устройства, так и на оборудование, используемое мобильными провайдерами.

Задачи сегодняшнего дня

Со времен появления первых компьютерных вирусов угрозы, нацеленные на сферу бизнеса, а также на простых пользователей, изменились до неузнаваемости. В те далекие годы никто и помыслить не мог об огромном количестве и разнообразии вредоносных программ, существующих сегодня. Каждый новый виток в развитии вредоносного ПО бросал очередной вызов антивирусным разработчикам, требовал модернизации уже существующих решений и создания новых, заставлял применять технологии, разработанные за пределами «антивирусного мира». Таким образом, не только общая картина современных угроз существенно отличается от той, что была 20 лет назад, но и сегодняшние средства защиты также сильно отличаются от прежних. Изменилась и мотивация вирусописателей, которые перешли от простого кибервандализма к активному использованию вредоносного кода с целью получения денег незаконным путем.

Сейчас разработчики антивирусов должны не только обеспечивать своевременную защиту от каждой из примерно 200 новых угроз, появляющихся ежедневно, но и создавать решения, способные блокировать неизвестные угрозы без добавления в базы новых сигнатур. Первые антивирусные программы выглядят «одномерными» по сравнению с целостными решениями, которые предлагают сегодня ведущие разработчики программного обеспечения. Изменение способов ведения бизнеса и исчезновение периметра сети в его традиционном понимании означает, что эти решения должны быть способны защищать информационное поле предприятия и его сотрудников независимо от их местонахождения и используемых ими способов связи.

---

¹ Учитывая описанные выше ограничения, можно предположить, что сейчас загрузочные вирусы «вымерли», но это не совсем так. В январе 2007 года стало известно о двух случаях заражения компьютеров вирусом Junkie (в России и в Нидерландах). А в сентябре 2007 года на ноутбуках, поставляемых датским производителем, был обнаружен еще одни загрузочный вирус – Angelina

² Термин ‘in the wild’ («в дикой природе») не использовался до апреля 1993 года, когда Джо Уэллс (Joe Wells) основал The WildList международную организацию, занимающуюся сбором и обработкой информации о вирусах, атакующих компьютеры реальных пользователей

³ Предполагаемый автор этого троянца д-р Джозеф Попп (Joseph Popp) был позднее экстрадирован в Великобританию. Однако на основании неадекватного поведения в зале суда он был признан недееспособным (итальянский суд впоследствии признал его виновным заочно)

⁴ Надо отметить, что существовало небольшое число вирусов, в частности, Exebug и Purcyst, которые изменяли настройки CMOS с целью помешать пользователю загрузить компьютер с незараженной дискеты

⁵ Это положило начало новому направлению в создании вирусов. В последующие годы появились другие полиморфные генераторы, такие как Trident Polymorphic Engine и Nuke Encryption Device

⁶ Макроязык, встроенный в ранние версии Word для Windows

⁷ Melissa не был первым вирусом, пытавшимся использовать электронную почту для массовой рассылки своего кода. В 1998 году появился вирус RedTeam, содержащий код для рассылки своих копий через Интернет. Однако этот вирус использовал только почтовый клиент Eudora и не смог широко распространиться

⁸ Сегодня «Лаборатория Касперского» – единственная антивирусная компания, обновляющая антивирусные базы каждый час

⁹ Особое внимание этому показателю уделяется в тестах, проводимых независимой исследовательской лабораторией AV-Test

¹⁰ В 2001 году аналитик компании Gartner в статье «Кончина сигнатурного обнаружения угроз на ПК» (Signature-Based Virus Detection at the Desktop is Dying) писал: «Основанные на сигнатурном методе антивирусы, используемые большинством предприятий, уже сегодня приносят мало пользы, причем их эффективность неуклонно снижается. По мнению Gartner, предприятиям следует дополнить и со временем заменить сигнатурные методы более надежными технологиями. Компании, которые этого не сделают, погрязнут в трясине вредоносного ПО, появившегося на волне веб-сервисов»

¹¹ Для этих целей использовался Антивирус Касперского®