Тенденции развития вредоносных программ, апрель 2004

В апреле, как и в прошедшем марте, самыми распространенными

вредоносными программами оставались почтовые и сетевые черви. Благодаря
заложенной в этот тип вредоносных программ возможности быстрого широкого
распространения, черви часто содержат в себе целый набор вредоносных
компонент. Так, в код червя нередко встраиваются «бэкдоры», «троянцы»,
созданные с целью получения ценной информации с компьютеров
пользователей или предоставления доступа к данным компьютера-«жертвы».

Авторами вредоносных программ постепенно совершенствуются

алгоритмы их распространения и выполнения возложенных на них функций.
Например, TrojanSpy.Win32.Small.q при размере всего 5 килобайт может
обнаруживать работу пользователя с пятьюдесятью системами электронных
платежей посредством установки «ловушки» (hook) на активные окна, в
заголовках которых содержится строка из находящегося в «троянце» списка, и
отсылать автору «троянца» всю информацию, введенную пользователем при
работе с этими окнами.

Постоянно выпускаются новые версии вирусов, изначально написанных

не шутки ради, а для получения финансовой выгоды. В новых версиях
исправляются допущенные ранее ошибки, изменяются алгоритмы работы и
появляются новые функции, например, изменение метода шифрования тела
червя.

Подобные вредоносные программы тщательно продумываются, в них

используются не только максимально разнообразные способы проникновения на
компьютеры (протокол SMTP, системы P2P, IRC, бреши в системе, копирование
тела программы на все доступные сетевые диски, отправку сообщений через
системы, подобные ICQ), но и многочисленные психологические приемы,
заставляющие пользователей запускать такую программу. Среди них:

* возбуждение у пользователя любопытства (предложение посмотреть

фотографии во вложении и пр.);

* предложение избавиться от опасных вирусов посредством запуска

приложенной к письму утилиты;

* ссылка на сделанную при помощи Flash онлайн-игру, в процессе

которой на пользовательский компьютер закачивается вредоносная программа;

* письмо содержит поддельную подпись «проверено антивирусом

«...»,вирусов не обнаружено»;

* письмо, предлагающее запустить приложенную утилиту для закрытия

бреши в операционной системе, якобы подписанное Microsoft или антивирусной
компанией.

Одним из примеров семейства червей, использующих одновременно

несколько способов распространения, является семейство I-Worm.Bagle.
 Некоторые новые способы распространения вредоносных программ.

Ранние версии I-Worm.Bagle распространяют себя в письмах с

вложениями, представляющими собой закрытые паролями архивы. Пароли
генерируются червями случайным образом в виде графических изображений
формата gif, jpg, bmp, шрифтом Arial, со случайным цветом шрифта и фона, а
также видом шрифта (обычный, курсив, подчеркнутый). Столь сложная система
генерации паролей создает у пользователей ложное чувство безопасности: во-
первых, архив закрыт паролем; во-вторых, сам вид пароля (изображение) схож с
теми, что используются на требующих регистрации интернет-сайтах (например,
предоставляющих услуги бесплатной электронной почты), использующих для
защиты от автоматической регистрации ввод цифр или букв с предложенного
изображения.

После массированной атаки червем с подобным вложением создатели I-

Worm.Bagle сменили тактику. Новый вариант распространялся совершенно
другим способом: в письме вообще отсутствовало вложение, была лишь ссылка,
ведущая на сайт, с которого и скачивалось тело червя.

Новые виды проникновения.

1. Одна из последних обнаруженных троянских программ использует

неординарный способ организации своего запуска: в ключе реестра

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

стандартное значение

"Shell" = "Explorer.exe"

изменяется на

"Shell" = "Explorer.exe [путь и имя файла троянской программы]"

Таким образом осуществляется автозапуск «троянца».

2. Бестелесный червь, который при распространении не записывает свое тело в

файл, располагаясь исключительно в оперативной памяти в качестве процесса.
Жизненный цикл такого червя на одном компьютере длится до перезагрузки или
выключения компьютера.

В грядущем мае в связи с развернувшимися «выяснениями отношений» между

авторами I-Worm.NetSky и I-Worm.Bagle весьма возможно появление большого
количества новых версий этих червей.

Дмитрий Швецов, вирусный аналитик «Лаборатории Касперского»

Kahjurprogrammide arengusuunad. Aprill 2004.

 Aprillis, nagu ka eelnevalt märtsis, jäid maili- ja võrguussid kõige
levinumateks kahjurprogrammideks. Tänu neisse programmidesse sisse
programmeeritud kiirele laienemisvõimele sisaldavad ussid sageli endas ka terve rea
kahjulikke osi. Nii näiteks istutatakse ussi koodi tihti”tagauksed” ja “trooja hobused”,
mille eesmärk on lekitada arvutist kasulikku informatsiooni või võimaldada ligipääs
“ohverarvuti” andmetele.

Kahjurprogrammide autorid täiustavad järjest viiruste levikualgoritme ja

funktsioone, mis aitaksid viirustel oma eesmärgini jõuda. Näiteks kõigest 5 Kb-ne
TrojanSpy. Win32.Small.q võib avastada nakatunud arvutis viiekümne (erineva)
elektronmakse-süsteemi töö, seades “lõksud” (hook) aktiivsetesse tööakendesse, mille
pealkirjades sisalduvad “troojalase” nimekirjas olevad tunnused ning saates siis
“troojalase” autorile kogu informatsiooni, mille kasutaja sisestas nende
programmidega töötades.

Pidevalt luuakse uusi versioone viirustele, mis on juba algselt kirjutatud mitte
lõbu, vaid finantskasu saamise eesmärgil. Uutes versioonides parandatakse varem
esinenud vead, muudetakse töö algoritme ja nii tekivad uued funktsioonid, näiteks
muutub ussi šifreerimismeetod.

Sellised kahjurprogrammid mõeldakse hoolikalt läbi, neis kasutatakse nii

maksimaalselt erinevaid võimalusi arvutitesse tungimiseks (SMTP protokoll, P2P
süsteemid, IRC, turvaaugud, kahjurprogrammi kopeerimine kõigile võimalikele
võrguketastele, sõnumite saatmine läbi ICQ-taoliste süsteemide), kui ka arvukaid
psühholoogilisi võtteid, mis sunnivad kasutajaid käivitama sellist programmi. Muu
hulgas:

• kasutaja uudishimu äratamine (ettepanek vaadata manuses leiduvat fotot vms);

• ettepanek vabaneda kirja manuses sisalduva utiliidi abil ohtlikest viirustest;
• viide Flash´is tehtud online-mängule, mille käigus laetakse arvutisse kahjulik
programm;
• kirjaga on kaasas võltsitud allkiri “viirusetõrje poolt kontrollitud, “...”,
viiruseid ei leitud”;
• kirjas soovitatakse operatsioonisüsteemis leitud turvaaugu sulgemiseks
käivitada utiliit, mille oleks justkui heaks kiitnud Microsoft või viirusetõrje.

Üks selline ussitüüp, kus on ühendatud mitu levitamisvõimalust, on I-Worm.Bagle.

Kahjurprogrammide mõned uued levikuvõimalused.

I-Worm.Bagle´i varasemad versioonid levitavad end kirjamanustena, mis

kujutavad endast paroolidega suletud arhiive. Ussid loovad paroole juhuslikuse alusel
- graafiliste gif, jpg, bmp formaadis kujutistena , Arial-šriftina, šrifti ja tausta
juhusliku värviga, aga ka šriftiliigiga (harilik, kursiiv, allajoonitud). Selline keeruline
parooliloomise süsteem tekitab kasutajates petliku turvatunde, esiteks: arhiiv on
suletud parooliga, teiseks: parooli kuju on sarnane nende paroolidega, mida
kasutatakse registreerumist nõudvatel internetilehtedel (näiteks tasuta e-posti
teenuseid pakkuval), mis kasutavad kaitseks automaatse registreerumise vastu
etteantud numbri- või tähekombinatsioonidega pilte.
 Pärast massilist rünnakut sarnase manusega usside poolt muutsid I-
Worm.Bagle´i loojad taktikat. Uut varianti levitati teisiti: kirjal puudus manus, oli
ainult viide saidile, kust ussviirus alla laetakse.

Uued sissetungivõimalused.

1. Üks viimati avastatud trooja programm kasutab enda käivitamiseks

omapärast moodust - registri võtmega

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] olev

tavaväärtus "Shell" = "Explorer.exe" muutub väärtuseks "Shell" = "Explorer.exe
[ troojalase nimi ja asukoht ]"

ning sel moel käivitub “troojalane” automaatselt.

2. Kehatu uss, mis levides ei salvesta end failidesse ja asub ainult protsessina
operatiivmälus. Sellise ussi elutsükkel ühes arvutis kestab süsteemi alglaadimiseni või
seni, kuni arvuti välja lülitatakse.

Maikuus on seoses T-Worm.NetSky ja I-Worm.Bagle´i autorite vahel

puhkenud “suhete klaarimisega” üpriski tõenäoline, et levib suur hulk selliste
ussviiruste uusi versioone.

Dmitri Ševtsov, Kasperski Laboratooriumi viirusteanalüütik.