Рынок ИТ-безопасности растет по мере роста ИТ-атак
Вирусы 2003 года
Аналитики «Лаборатории Касперского» отмечают, что в прошлом году произошли две глобальные сетевые эпидемии, и называют их крупнейшими за всю историю Интернета. Начало было положено сетевым червем Slammer\Helkern, использующим для своего распространения уязвимость в программном обеспечении MS SQL Server. Slammer стал первым «классическим» бестелесным червем, сумевшим в полной мере реализовать предсказанный еще несколько лет назад принцип работы «flash-worm». 25 января в течение нескольких минут он заразил сотни тысяч компьютеров по всему миру и настолько увеличил сетевой трафик, что это послужило причиной выхода из строя отдельных национальных сегментов Интернета. При проникновении на пораженную машину червь не создавал своего тела на диске и присутствовал только в памяти. Анализ хода развития эпидемии позволяет предположить о его восточноазиатском происхождении.
Причиной второй, и наиболее значительной, эпидемии стал червь Lovesan\Blaster, появившийся в августе. Эта вредоносная программа продемонстрировала всему миру, насколько уязвимы популярные операционные системы Windows. Как и Slammer, Lovesan использовал для своего размножения очередную уязвимость в программном обеспечении компании Microsoft. Отличительным признаком стало то, что Lovesan использовал брешь в службе RPC DCOM, которая присутствовала на каждом компьютере, работающем под управлением Windows 2000/XP. Это привело к тому, что практически каждый пользователь, выходя в дни эпидемии в Интернет, подвергался атаке со стороны червя.
Через несколько дней после появления Lovesan миру был представлен второй червь, который использовал ту же самую уязвимость, Welchia. Одна из его функций удаляла червя Lovesan с уже зараженных машин.
Что касается ситуации с проникновением вирусов на новые платформы и приложения, то год выдался на удивление спокойным. Единственной новинкой стал вирус MBA.Kynel, обнаруженный «Лабораторией Касперского» в «дикой природе». Вирус, поражавший документы MapInfo, был написан на языке MapBasic. Авторство вируса, без сомнения, принадлежит российским вирусописателям.
Кроме того, 2003 год прошел под знаком непрекращающихся эпидемий различных почтовых червей. В январе были обнаружены черви Ganda и Avron. Первый из них был написан в Швеции и до сих пор является одним из наиболее распространенных почтовых червей в Скандинавии. Автор червя был арестован шведской полицией в конце марта.
Avron стал первым написанным на территории бывшего СССР червем, который смог вызвать значительную эпидемию во всем мире. Исходные тексты червя были опубликованы в Интернете, что привело к появлению нескольких менее успешных вариантов.
В январе также появился первый червь из семейства Sobig, которое впоследствии регулярно создавало заметные вирусные ситуации, а вариант F побил все рекорды и стал самым распространенным почтовым червем в сетевом трафике за всю историю. На пике эпидемии появившийся в августе Sobig.F обнаруживался в каждом 20-м письме.
Одной из целей авторов семейства Sobig было создание распределенной сети из пораженных машин для проведения DDoS-атак на произвольные сайты, а также для использования их в качестве машин для спам-рассылок.
Очень заметным событием стало появление почтового червя Tanatos.b. Первая версия Tanatos была написана еще в середине 2002 года, а спустя почти год появилась новая. Tanatos вызвал наиболее крупную почтовую эпидемию прошлого года (до появления Sobig.F) и, вероятно, оказался абсолютным лидером среди почтовых червей 2003 года по числу зараженных машин.
Продолжали появляться очередные черви семейства Lentin\Yaha. По имеющимся данным, все они были написаны в Индии одной из местных хакерских групп в ходе «виртуальной войны» между индийскими и пакистанскими хакерами. Наибольшее распространение получили версии M и O, в которых вирус размножался в виде ZIP-архива, прикрепленного к зараженным письмам.
Не отставали от своих зарубежных «коллег» и российские вирусописатели. Вторым червем из стран бывшего СССР, вызвавшим глобальную эпидемию, стал Mimail. Червь использовал для своей активации очередную уязвимость в Internet Explorer, получившую название Mimail-based, которая позволяла извлечь из HTML-файла бинарный код и запустить его на исполнение. Впервые она была использована в мае 2003 года в России (Trojan.Win32.StartPage.L), а впоследствии в семействе червей Mimail и еще в нескольких троянских программах. Автор червя Mimail опубликовал исходные тексты в Интернете, что привело к появлению в ноябре 2003 года нескольких новых вариаций, написанных другими людьми.
Сентябрь 2003 года прошел под знаком Swen. Червь I-Worm.Swen, выдававший себя за патч от компании Microsoft, поразил несколько сотен тысяч компьютеров по всему миру и до сих пор остается одним из наиболее распространенных почтовых червей. Автору вируса удалось успешно использовать сложившуюся на тот момент ситуацию, когда пользователи были напуганы недавними инцидентами с Lovesan и Sobig.F и срочно устанавливали обновления для своих операционных систем.
Типы вредоносных программ, %
Последнюю серьезную эпидемию вызвал Sober не очень сложный почтовый червь, написанный немецким вирусописателем в подражание лидеру года Sobig.F.
Тенденция 2002 года к значительному росту числа программ класса Backdoor и троянских шпионов была продолжена. Наиболее заметными представителями этих классов стали Backdoor.Agobot и Afcore. Первый из них существует сегодня более чем в 40 различных вариантах, что вызвано тем, что его автору удалось создать сеть из нескольких Web-сайтов и IRC-каналов, где всем желающим предлагается за определенную сумму (от 150 долл.) стать обладателем собственной «эксклюзивной» версии Backdoor, настроенной в соответствии с пожеланиями «заказчика».
Afcore распространен несколько меньше, однако для сокрытия своего присутствия в системе использует довольно интересный способ размещения в дополнительных потоках (stream) файловой системы NTFS, а именно в стримах каталогов, а не файлов.
Новой тенденцией прошлого года стало стремительное появление в конце лета нового класса троянских программ TrojanProxy. Это стало первым и наиболее явным признаком объединения между вирусописателями и спамерами. Пораженные такими троянцами машины в дальнейшем используются спамерами для своих рассылок.
Очевидно, что спамеры причастны и к нескольким крупным эпидемиям, при которых первоначальное распространение вредоносной программы происходило при помощи спам-технологий.
Вторым активно развивающимся классом можно считать сетевых червей, размножающихся путем подбора паролей к удаленным сетевым ресурсам. Такие черви, как правило, базируются на клиенте IRC, осуществляют сканирование адресов пользователей IRC-каналов и пытаются проникнуть на их компьютеры, используя для этого протокол NetBIOS и 445-порт. Наиболее ярким представителем этого класса можно считать семейство сетевых червей Randon.
В течение всего года сетевые черви оставались доминирующей разновидностью вредоносных
программ. Второе место занимали вирусы, причем основной вклад внесли макровирусы
Macro.Word97.Thus и Macro.Word.Saver. Однако осенью доля троянских программ
превысила долю вирусов, и такая тенденция пока сохраняется.