Вирусные войны

Вирусные войны

Автор: Андрей АСФУРА

Источник: http://www.kv.by/

Тысячи различных вирусов путешествуют по Сети, норовя проникнуть в недра жесткого диска персонального компьютера. Одни воруют конфиденциальную информацию, другие открывают доступ злоумышленникам, третьи превращают компьютер в proxy-сервер. Несмотря на то, что целей создания виртуальной живности с каждым годом становится все больше, способы ее распространения уже на протяжении нескольких лет практически неизменны. Самыми эффективными по-прежнему остаются распространение посредством электронной почты (хотя социальной инженерией сейчас уже никого не удивишь) и поиск IP-адресов с дальнейшим открытием TCP-портов (при этом эксплуатируются одна или несколько брешей в операционных системах). Несомненно, наиболее перспективен для авторов вирусов вариант "два в одном": первым способом можно рассчитывать на наивность владельцев машин, вторым — на их некомпетентность.

Одним из таких универсальных вирусов является Mytob.ch. Червь приходит на почтовый ящик под одним из нескольких имен, произвольно выбранными темами письма и его содержаниями. Благодаря уязвимости Plug and Play Service Vulnerability вирус также может проникнуть на машину через TCP-порт 8888, сохранив себя под именами haha.exe или lol.exe. Правда, такое заражение может произойти только с компьютером, работающим под операционной системой Windows 2000. После внедрения в систему Mytob.ch копирует себя в системный каталог Windows под названием per.exe, регистрируется в ключе автозапуска реестра, а также создает идентификатор «B-O-T-Z-O-R» для определения своего присутствия в системе. Впоследствии он открывает TCP-порт, соединяясь с IRC-каналами для получения дальнейших инструкций от своего создателя. Вирус также блокирует доступ к ряду антивирусных и других онлайн-ресурсов.

Из того же семейства червь Mytob.r. Распространяется вирус, эксплуатируя уязвимости DCOM RPС и LSASS. Кроме того, он также способен попасть в компьютер посредством вложений в электронных сообщениях. После запуска Mytob.r копирует себя в системный каталог Windows с именем msnmsgs.exe, регистрируется в реестре, внедряет в систему своего предшественника — вирус Mytob.n. Червь способен принимать посредством IRC-каналов команды от своего создателя. Помимо этого, он блокирует доступ к ресурсам антивирусных разработчиков.

Червь Lebreat.m ничем не уступает своим коллегам. Попадает он на компьютер через вложения в электронных письмах, посредством пиринговых сетей, а также при помощи уязвимостей Plug and Play Service Vulnerability и LSASS. Имя отправителя сообщения — root или webmaster. В тексте письма содержится просьба загрузить файл, расширение которого (.exe) не вызывает доверия. После запуска вирус сохраняет себя в системном каталоге Windows (файлы winhost.exe и winhost.tmp), вносит изменения в реестр, а также создает две другие вредоносные программы — Bagle.bw и Lebreat.i. Помимо этого, червь делает невозможным обращения к сайтам некоторых компаний, специализирующихся на вопросах компьютерной безопасности. Он также может загружать и запускать файлы из Сети.

Троянская программа Lager.r позволяет использовать зараженную машину в качестве proxy-сервера. После проникновения в систему троян создает в системном каталоге Windows файл win32.exe. После этого он регистрируется в системном реестре, чем обеспечивает себе автоматический запуск при каждой новой загрузке операционной системы. Lager.r открывает на инфицированном компьютере произвольный TCP-порт. В дальнейшем злоумышленник способен работать во Всемирной паутине от имени удаленной машины. Троян периодически подключается к удаленному серверу, отправляя сведения о компьютере и загружая новые обновления.

Многие месяцы не стихает борьба между различными группами создателей вирусов. Их цель — полностью контролировать вирусный трафик, вытеснив конкурентов на задворки компьютерного андеграунда. Первое время войну между собой вели авторы NetSky и создатели семейств Mydoom и Bagle. И, судя по всему, она завершилась: лавры победителя примерил червь NetSky со своими многочисленными модификациями. Однако за одним конфликтом последовал другой: теперь уже в открытое противостояние с NetSky вступил Mytob, для написания которого использовались исходные коды червя Mydoom. Новый вирус оказался достойным продолжателем традиций, показав впечатляющие результаты и опередив NetSky по всем показателям. 13 позиций в вирусной двадцатке, составленной Лабораторией Касперского, принадлежат семейству Mytob, тогда как NetSky может похвастаться только 4 рейтинговыми местами.

Около 40 % процентов случаев заражения за прошедший месяц произошло с участием сетевых вирусов Mytob, за 20 % инцидентов ответственны черви NetSky. Появление в июле в строчках вирусного хит-парада семейств Zafi, Bagle, Mydoom оказалось временным, и в августе об их существовании мало что напоминало. Исключениями являются только две версии Zafi (Zafi.b и Zaf.d), сохранившие свои позиции в первой пятерке. Неплохие показатели имеет червь LovGate.w, поднявшийся на 7-е место. Около 20 % от всего вирусного трафика занимают прочие вредоносные программы, что говорит о многообразии существующих на сегодняшний момент виртуальных паразитов.

Целый месяц пользователи браузера Internet Explorer будут теоретически уязвимы для атак злоумышленников. Несколько серьезных уязвимостей, которые могут представлять реальную опасность, так и останутся без внимания со стороны руководства софтверного гиганта. В официальном релизе говорилось, что новая серия патчей будет доступна для пользователей уже 13 сентября. Однако планы изменились: теперь набор заплаток увидит свет только 11 октября. По заявлению представителей компании, такой шаг объясняется резко возникшими трудностями. Уязвимости, которые должен был исправить новый патч, касались преимущественно программы Internet Explorer. Одна из дыр, охарактеризованная как критически опасная, позволяет проникать в компьютер посредством сформированной особым образом страницы.