Вы находитесь на странице: 1из 4

Тенденции развития вредоносных программ, июль 2004

Главным событием прошлого месяца стало появление 17 июля первого вируса,


заражающего файлы карманных компьютеров, работающих под управлением
операционной системы Windows CE, а также более поздних версий этой ОС, известных
под названием Windows Mobile.

Данный вирус, по классификации "Лаборатории Касперского" получивший


название WinCE.Duts.a, сам по себе опасности для пользователей КПК не представляет,
но был разработан вирусописателем, ранее участвовавшим в создании широко
известных шпионских программ. Этот факт позволяет предположить, что уже не за
горами появление действительно опасных вирусов для КПК, способных не только
нарушать работоспособность устройств, но и приводить к утечкам конфиденциальной
информации.

Наибольшее опасение вызывает именно потенциальная угроза кражи


конфиденциальной информации. Ведь карманными компьютерами пользуются, в
основном, бизнесмены, для большинства из которых проблема хранения секретных
документов особенно актуальна.

Прошедший месяц не только расширил список платформ, подверженных


воздействию вредоносных программ, но и увеличил арсенал используемых ими
технологий.

Значительным с этой точки зрения событием стал I-Worm.Mydoom.m. Этот червь


впервые использовал популярные поисковые системы - Google, AltaVista, Lycos и
Yahoo! - для сбора почтовых адресов, на которые впоследствии будет производиться
рассылка зараженных писем. Если предыдущие версии червя ограничивались
информацией, находящейся на зараженном компьютере (адресная книга Microsoft
Outlook, содержимое некоторых файлов на жестких дисках и т. п.), то I-
Worm.Mydoom.m для поиска адресов использовал поистине бесконечный ресурс.

Теоретически, до тех пор, пока к сети остается подключенным хотя бы один


зараженный этим червем компьютер, любой пользователь интернета может обнаружить
I-Worm.Mydoom.m в своем почтовом ящике. На практике, впрочем, механизмы
распространения червя сильно ограничены примененным алгоримом составления
поискового запроса: в качестве запрашиваемого текста используется имя домена, в
котором находится зараженный компьютер (my-company-name.com).

Вполне вероятно, что в ближайшее время черви начнут использовать запросы,


составленные таким образом, чтобы никак не зависеть от зараженного компьютера, и
целенаправленно производить поиск, например, на форумах и в гостевых книгах как
наиболее богатых почтовыми адресами ресурсах. Теперь любителям общаться в
интернете, беспечно указывающим свои почтовые адреса на публичных ресурсах,
грозит не один лишь спам.

Стоит также отметить появление червя I-Worm.Bagle.aa, помимо


исполнительного файла, распространявшего еще и собственные исходные коды.
Большого вреда пользователям эта особенность не принесла, однако компьютерные
хулиганы получили возможность исправить эти коды на свое усмотрение и выпустить в
свет новые модификации червя Bagle. Несомненно, что это еще один способ увеличить
масштабы проникновения червя на пользовательские компьютеры, не прибегая ни к
каким сложным техническим или психологическим приемам.

Особенно популярная в последнее время у вирусописателей установка backdoor


на зараженных машинах в прошлом месяце привела не только к "традиционным"
массовым рассылкам зараженных писем, но и к распространению таких червей, как
Worm.Win32.Zendos.a.

Что касается обычных файловых вирусов, то, помимо покорения ими


операционной системы Windows CE, было зафиксировано значительное увеличение так
называемых сэндвичей, т. е. почтовых червей, тело которых заражено обычным
файловым вирусом.

В качестве вывода отметим, что все большее опасение вызывает текущая


тенденция развития почтовых червей. Когда-то разработка и распространение вирусов и
червей была средством "самоутверждения", и доставляла минимальные неприятности
столкнувшимся с проявлениями их деятельности пользователям. Сегодня же, когда
вирусописатели стали вовлекать в свое дело представителей высокотехнологичного
криминала и обычных хулиганов, почтовые вирусы стали представлять огромную
опасность для конфиденциальности информации пользователей и работоспособности
практически любой сети.

Роман Кузьменко, антивирусный аналитик "Лаборатории Касперского"


Kahjurprogrammide arengusuunad. Juuli 2004

Möödunud kuu põhisündmuseks sai esimese, pihuarvutite faile nakatava viiruse


ilmumine 17. juulil. Ründeobjektiks on operatsioonisüsteemi Windows CE ja selle uuema
versiooni Windows Mobile juhtimisel töötavad PDA-d.

Viirus, mis sai Kaspersky Lab-i klassifikatsiooni järgi nime WinCE.Duts.a, ei ole
iseenesest PDA kasutajale ohtlik. Kuid selle viiruse loojaks olnud viirusekirjutaja on varem
osalenud laialt levinud spiooniprogrammide koostamises. See fakt annab alust kahtluseks, et
enam pole mägede taga PDA jaoks tõeliselt ohtlikud viirused, mis suudavad nii seadmete
töövõimet rikkuda kui ka lekitada olulist konfidentsiaalset teavet.

Suurimat kartust äratabki konfidentsiaalse info varastamise võimalus. Pihuarvuteid


kasutavad ju peamiselt äriringkondade esindajad, kellest paljudele on salajaste dokumentide
hoidmise probleem eriti tähtis.

Möödunud kuu laiendas veelgi kahjurprogrammidele allunud platvormide nimekirja ja


suurendas ka ründamiseks kasutatud tehnoloogiate arsenali.

Sellest seisukohast lähtuvalt sai oluliseks sündmuseks I-Worm.Mydoom.m-i


ilmumine. See uss kasutas esmakordselt populaarseid otsingusüsteeme nagu Google,
AltaVista, Lycos ja Yahoo!, et koguda e-posti aadresse, milledele hiljem laiali saata nakatunud
kirju. Kui selle ussi eelmised versioonid piirdusid nakatunud arvutis leiduva informatsiooniga
(Microsoft Outlook-i aadressiraamat, mõningate kõvakettal asuvate failide sisu jne.), siis I-
Worm.Mydoom.m kasutas aadresside otsinguks tõepoolest põhjatuid ressursse.

Teoreetiliselt võib suvaline internetikasutaja avastada oma postkastist I-


Worm.Mydoom.m-i isegi siis, kui võrgus on vaid üksainus selle ussi poolt nakatatud arvuti.
Praktikas on ussi levimehhanism siiski tugevalt piiratud päringu koostamiseks kasutatud
algoritmiga – otsingutekstina kasutatakse domeeni nime, kus asub nakatunud arvuti (my-
company-name.com).

On täiesti tõenäoline, et lähemal ajal hakkavad ussid kasutama nakatunud arvutist


sõltumatult koostatud päringuid ja teostama sihikindlaid otsinguid näiteks foorumitest ja
külalisraamatutest, mis on ühed paremad postiaadresside allikad. Nüüdsest ei ohusta oma e-
posti aadressi hooletult avalikustanud internetikasutajat mitte ainult rämpspost.

Äramärkimist väärib samuti I-Worm.Bagle.aa ilmumine, mis peale käivitatava faili


saadab laiali ka oma lähtekoodi. Arvutikasutajatele mainitud nüanss palju kahju ei tekitanud,
küll aga said arvutihuligaanid võimaluse kohandada I-Worm.Bagle.aa koodi omal
äranägemisel, et levitada tema uusi modifikatsioone. Kahtlemata on tegemist veel ühe
moodusega suurendada ussi arvutitesse tungimise võimalusi, kasutamata seejuures mingeid
eriliselt keerukaid tehnilisi või psühholoogilisi võtteid.

Viirusekirjutajate hulgas on viimasel ajal eriti menukas olnud nakatunud arvutitesse


tagauste paigaldamine, mis tõi eelmisel kuul kaasa mitte ainult nakatunud kirjade
traditsioonilise masspostituse, vaid ka niisuguste usside nagu Worm.Win32.Zendos.a leviku.
Mis puutub tavalistesse failiviirustesse, siis peale Windows CE alistamise oli
fikseeritud niinimetatud sandwitch- tüüpi viiruste leviku märgatav suurenemine. Need on
postiussid, mis sisaldavad endas tavalist failiviirust.

Kokkuvõtteks võib märkida muret tekitavat hetketendentsi postiusside arengus.


Kunagi oli viiruste loomine ja levitamine “enesekindluse“ tekitamise vahendiks, kusjuures
viirused tõid nendega kokkupuutunud arvutikasutajatele minimaalselt ebameeldivusi. Täna
aga, kui viirusekirjutajad on oma tegevusse hakanud kaasama kõrgtehnoloogilise kriminaalse
elemendi ja tavaliste arvutihuligaanide esindajaid, kujutavad postiussid endast suurt ohtu
arvutikasutajatele kuuluva informatsiooni konfidentsiaalsusele ja tegelikult ükskõik millise
võrgu töövõimele.

Roman Kuzmenko, Kaspersky Lab-i viirusetõrjeanalüütik.

Оценить