Вы находитесь на странице: 1из 4

Тенденции развития вредоносных программ, сентябрь 2004

Прошедший месяц ничем особенно серьезным в мире вредоносных


компьютерных программ не отметился. Возможно, у вирусописателей все еще не
закончился сезон летних каникул и отпусков, или же в рядах создателей вирусов
происходят какие-то серьезные внутренние процессы, в результате которых мы
наблюдаем классическое "затишье перед бурей". Так или иначе, эволюция вредоносных
программ в сентябре развивалась по трем стандартным направлениям:

1. появление новых версий почтовых червей из "плодовитых" семейств (в этом


месяце таковыми стали Mydoom и Bagle);
2. возникновение вредоносных программ, использующих принципиально новые
технологии заражения либо распространения;
3. новые "троянцы", эксплуатирующие недавно найденные уязвимости в широко
распространенных программах.

Итак, целый "выводок" новых почтовых червей нашумевшего семейства I-


Worm.Mydoom (модификации с R по Y, всего 8 штук) появился преимущественно в
первой половине сентября, причем три червя - в один и тот же день. Более-менее
существенное отличие от предшественников обнаружилось только у I-Worm.Mydoom.y,
умеющего распространяться через ICQ скрытно от пользователя. Кроме того, в
последние версии Mydoom добавлена функция загрузки на инфицированный
компьютер различных версий троянской программы Backdoor.Win32.Surila.

Второй пункт приведенного списка представлен в этом месяце безобидной


программой not-a-virus:Win32.Rucar.a. Все, что делает эта программа-шутка - выводит
на экран имена файлов, находящихся на жестком диске. Её примечательность
заключается в том, что весь функциональный код спрятан внутри обыкновенной с виду
BMP-картинки, в свою очередь спрятанной внутри исполняемого файла-
дешифровщика.

Сама по себе эта технология не является новой и представляет собой


классический пример стеганографии с использованием BMP-файлов, однако в
вирусном контексте она встречается впервые. Функциональный код "размазан" по
неиспользуемым битам данных BMP-файла, по отношению к которому исходный
исполняемый файл является оболочкой-дешифровщиком.

Наконец, в прошедшем месяце появилось две троянских программы,


использующих в своей работе недавно обнаруженные уязвимости в популярных
программах.

Это, во-первых, новое семейство самостоятельных "троянцев", представляющих


собой картинку формата JPEG (детектируются Антивирусом Касперского как
Exploit.Win32.MS04-028.gen).

Исполнение вредоносного кода происходит на базе эксплойта для уязвимости,


найденной 14 сентября в механизме обработки JPEG-картинок большинством
актуальных версий ядра Internet Explorer (которое используется, помимо самого IE, в
таких программах, как Outlook Express и компонентах Microsoft Office XP). Код
"троянца" находится внутри специальным образом сконструированного файла формата
JPEG и выполняется непосредственно при его "просмотре" уязвимой программой;
ранние версии Exploit.Win32.MS04-028.gen только вызывали аварийное завершение
программы-просмотрщика.

Во-вторых, в сентябре была обнаружена первая троянская программа-дроппер,


написанная на Java (детектируется Антивирусом Касперского как Trojan.Java.Binny.a).
"Троянец" эксплуатирует уязвимость в Sun Java Runtime для запуска любой другой
содержащейся в нем программы. Эксплойт срабатывает при просмотре сайта с
соответствующим Java-апплетом в браузерах Opera и Mozilla.

Что касается прогнозов на октябрь, то они остаются теми же, что озвучивались
месяцем ранее. С практически стопроцентной уверенностью можно говорить о
появлении нескольких новых эпидемологически опасных модификаций уже известных
интернет-червей. Можно ждать некоторой активизации вирусописателей в связи с
приходом холодного времени года. А также - по-прежнему сохранять готовность к
пришествию новых вирусов для мобильных устройств, неизбежное появление которых
- лишь вопрос времени.

Алиса Шевченко, вирусный аналитик "Лаборатории Касперского"


Kahjurprogrammide arengusuunad. September 2004

Kahjurprogrammide maailmas ei paistnud möödunud kuu silma millegi eriti


tõsiseltvõetavaga. Võimalik, et viirusekirjutajad pole veel suvevaheajalt või puhkuselt tagasi
pöördunud, või siis toimuvad viiruseloojate ridades mingid tõsised sisemised protsessid, mille
tulemusena võime jälgida klassikalist tormieelse vaikuse seisundit. Nii või teisiti, septembris
toimus kahjurprogrammide areng kolmes standardses suunas:
1) ilmusid “viljakatest“ perekondadest pärit postiusside uued versioonid (sellel kuul
olid nendeks Mydoom ja Bagle);
2) tekkisid kahjurprogrammid, mis kasutavad põhimõtteliselt uusi nakatamis- või
levikutehnoloogiaid;
3) uued “troojalased“, mis kasutavad laialt levinud programmide hiljuti avastatud
turvaauke.

Niisiis, terve pesakond uusi postiusse kurikuulsast perekonnast I-Worm.Mydoom


(modifikatsioonid R-st kuni Y-ini, kokku kaheksa) ilmus valdavalt septembri esimesel poolel,
seejuures kolm neist – ühel ja samal päeval. Eellastest mõneti erinev oli ainult I-
Worm.Mydoom.y, mis oskab arvutikasutaja eest salaja levida läbi ICQ. Peale selle on
Mydoom-i viimastele versioonidele lisatud funktsioon, mis võimaldab nakatunud arvutitele
laadida trooja programmi Backdoor.Win32.Surila erinevaid versioone.

Eeltoodud nimekirja teine punkt on sellel kuul esindatud süütu not-a-virus


programmiga Win32.Rucar.a. Ainus, mida see naljaprogramm teeb, on kõvakettal asuvate
failide nimekirja ekraanile toomine. Programmi eripära seisneb näiliselt tavalisse BMP-pilti
peidetud viiruse koodis. BMP-pilt on omakorda peidetud käivitatavasse dešifraatorfaili.

Iseenesest ei ole see tehnoloogia uus ja kujutab endast klassikalist steganograafia


näidet (BMP-faili kasutamisega), kuid viiruslikus kontekstis on see esmakordne. Viiruse kood
on laiali laotatud BMP-faili kasutamata andmebittidesse, mille suhtes täidetav lähtefail on
dešifreerivaks kestaks.

Ja lõpuks ilmusid eelmisel kuul kaks trooja programmi, mis kasutavad oma töös
populaarsetes programmides leiduvaid ja alles hiljuti avastatud turvaauke.

Esiteks on see uus perekond iseseisvaid troojalasi, mis kujutavad endast JPEG pilti
(Kaspersky Anti-Virus tunneb neid nimega Exploit.Win32.MS04-028.gen).

Kahjurkoodi rakendumine toimub 14. septembril Internet Explorer-i tuumast leitud


turvaaugu baasil. Vigane on JPEG piltide töötlemise mehhanism ja see viga esineb enamikes
aktuaalsetes Internet Explorer-i versioonides (seda mehhanismi kasutatakse ka Outlook
Express-is ja Microsoft Office XP komponentides). Troojalase kood asub spetsiaalselt
konstrueeritud JPEG –faili sees ja käivitatakse pildi vaatamisel vigase programmiga;
varasemad Exploit.Win32.MS04-028.gen versioonid kutsusid esile vaid programmi avariilise
sulgumise.

Teiseks avastati septembris Java-le kirjutatud trooja programm-dropper (tuntakse


Kaspersky Anti-Virus-e poolt ära kui Trojan.Java.Binny.a). Troojalane kasutab turvaauku Sun
Java Runtime-s ükskõik millise teise endas sisalduva programmi käivitamiseks. Turvaauk
käivitub vastava Java-rakendusmooduliga varustatud internetilehe vaatamisel brauseritega
Opera või Mozilla.
Mis puutub oktoobriprognoosidesse, siis need jäävad samadeks septembri alguse
omadega. Praktiliselt sajaprotsendise kindlusega võib rääkida mõne tuntud internetiussi uute,
epideemiliselt ohtlike modifikatsioonide ilmumisest. Võib oodata viirusekirjutajate aktiivsuse
tõusu seoses külma aastaaja saabumisega. Ja loomulikult tuleb endiselt valmis olla uute
mobiilsetele seadmetele kirjutatud viiruste tulekuks, sest nende ilmumine on vaid aja küsimus.

Alla Ševtsenko, Kaspersky Lab-i viiruseanalüütik

Оценить