Вирусный гамбит
Вирусный гамбит
Автор: Константин Курбатов
Очнувшись от новогодне-рождественской спячки, компании наконец возобновили свою публичную жизнь. 24 января «Лаборатория Касперского» собрала журналистов, чтобы рассказать о своих успехах, а заодно и об общих тенденциях в области вирусостроения и, соответственно, вирусоудаления.
Открывая пресс-конференцию, Евгений Касперский напомнил, что время любителей давно прошло, и сейчас вирусы пишут вовсе не для самоутверждения, а в первую очередь для добывания денег. Причем авторы зловредных программ зарабатывают не только кражами со счетов банков. Риск потерять деньги подстерегает любого пользователя. В качестве иллюстрации Евгений рассказал об одном российском хакере, чей вирус (Win32.Gpcode.ac) после заражения компьютера-жертвы шифрует хранящиеся на диске файлы, так что их невозможно использовать. В папки с «испорченными» файлами помещается текстовое сообщение с требованием выкупа в обмен на программу-расшифровщик. Некоторые пользователи, прочитав, что для шифрования применялся алгоритм PGP и самостоятельно восстановить данные невозможно (что на самом деле неправда), даже перевели деньги.
Другой неординарный способ мошенничества, приведенный в качестве примера, отнюдь не нов, однако продолжает процветать. Вирус, поселившись на компьютере с модемом, начинает названивать по обычному телефону в компанию, находящуюся в одной из офшорных зон. Звонок туда платный, и притом весьма дорогой. А телефонные операторы выплачивают деньги владельцам номеров, на которые приходит достаточно большое количество международных вызовов. Эта фиктивная компания, разумеется, принадлежит хакеру, написавшему вирус.
Напугав присутствующих всевозможными хакерскими страшилками, Евгений передал слово аналитику «Лаборатории», который рассказал о «вирусных» итогах 2005 года. Из любопытных фактов можно отметить радикальное снижение числа крупных эпидемий — всего 14, против 46 в 2004 году. Эксперты объясняют это более узкой «специализацией» нынешних вирусов: зачастую они направлены против конкретных фирм и рассылаются по определенным адресам. К тому же усилия крупных корпораций (в частности, Microsoft, назначающей большие награды за головы «героев») заставляют вирусописателей избегать массовых эпидемий, чтобы не привлекать к себе лишнего внимания. Сейчас главным инструментом для многих хакеров стали так называемые зомби-сети, которые позволяют не только атаковать те или иные компьютеры, но и банально зарабатывать, рассылая спам.
Тем не менее совсем без эпидемий в минувшем году не обошлось. Особо эксперты отметили вирус Bagle, весьма любопытный с технической точки зрения. Во-первых, в течение всего лишь часа было выпущено несколько разновидностей тела вируса; во-вторых, у него необычный способ составления списков электронных адресов для распространения: кроме адресной книги, сканируется весь диск зараженного компьютера, после чего из списка удаляются адреса известных антивирусных компаний и институтов, занимающихся мониторингом сетевой активности. Из-за этой хитрости антивирусные фирмы среагировали на очередную заразу позже обычного.
В качестве общей тенденции вирусостроения был отмечен факт перехода от крупных безадресных эпидемий почтовых червей к точечным рассылкам сетевых червей[В отличие от почтовых, сетевые черви рассылаются не только с помощью e-mail, но и самостоятельно, используя прорехи в безопасности операционных систем]. Объясняется это просто: главная цель большинства хакеров состоит в создании сетей взломанных машин, которые можно использовать тем или иным способом. В случае же эпидемии часть пользователей все же устанавливает нужные заплатки для защиты компьютера. А переход от почтовых к сетевым червям связан с тем, что таким образом зловредный код распространяется гораздо быстрее.
Эксперты также отметили заметный рост числа вирусов, распространяющихся через сети мгновенного обмена сообщениями. В IM-системах пользователи обычно более склонны переходить по ссылкам и устанавливать ПО, которые им якобы посоветовал знакомый из списка контактов. А вот «рэкет», основанный на DoS-атаках, после ряда арестов поугас, поскольку здесь можно доказать преступление, сцапав хакера в момент получения денег.
Таким образом, несмотря на некоторые структурные изменения, затишье вирусному фронту не грозит — в наступившем году, по оценкам IDC, ожидается 14-процентный рост рынка антивирусного ПО. Может быть, именно поэтому Евгений Касперский был столь жизнерадостен, когда завершал свою речь об итогах прошлого года…