Всё о вирусах. История вредоносных программ. (продолжение)

Всё о вирусах. История вредоносных программ. (начало)

Кто и почему создаёт вредоносные программы.

Всё о вирусах. История вредоносных программ. (продолжение).

I-Worm.Mydoom.a
Спустя короткое время после появления Bagle в интернете разразилась крупнейшая на сегодняшний день эпидемия за всю его историю. Почтовый червь Mydoom.a предварительно разосланный через гигантскую сеть зомби-машин (аналогично Sobig), использовал весьма изощренный метод социального инжиниринга (Swen), содержал в себе мощную бэкдор-процедуру и должен был организовать DDoS-атаку на сайт компании SCO (Lovesan).

Сочетание трех основных особенностей появившихся ранее червей вызвало кумулятивный эффект — Mydoom.a легко обошел недавнего лидера Sobig.f по количеству созданного почтового трафика, заразил миллионы компьютеров, открыв на них для доступа извне порты, и смог успешно осуществить DDoS-атаку на сайт SCO, в результате чего он был выведен из строя на месяцы вперед.

С другой стороны, он и сам привнес кое-что новое в историю вирусологии. Устанавливаемый им на зараженные компьютеры бэкдор оказался лакомым кусочком для множества других червей. Практически сразу появились вирусы, которые сканировали сеть в поисках открытых Mydoom портов и через них проникали на компьютеры, либо уничтожая Mydoom и заменяя его собой, либо одновременно с ним функционируя в системе. Таких вирусов за короткое время появилось несколько десятков, самые распространенные из них также вызывали локальные эпидемии и все они заставляли армию зомби-машин, созданных эпидемией Mydoom, работать на себя.

Отсюда можно вывести еще одну черту, которая постепенно становится четко выраженной тенденцией:

Использование для распространения уязвимостей или бэкдоров, оставленных другими червями.

I-Worm.NetSky.b
Очевидно, первоначально этот червь был разослан через сеть компьютеров, зараженных Backdoor.Agobot. Он использовал практически все идеи своих предшественников с одной только разницей — он уничтожал найденные на компьютере черви, в частности Mydoom, Bagle и Mimail. Принцип «вирус-антивирус» не нов, еще в 2003 году сетевой червь Worm.Win32.Welchia, используя для размножения уязвимость DCOM RPC в Windows XP, проникал на компьютеры и не только уничтожал экземпляры Lovesan, но и пытался загрузить с сайта Microsoft соответствующие заплатки для предотвращения новых заражений.

NetSky никаких заплаток не ставил, однако пытался «бороться» с конкурентами не только путем их удаления с зараженных машин, но и словесно. И если автор червя Mydoom в этой заочной кибервойне участия не принимал, то вот авторы Bagle подняли брошенную ими перчатку и на каждую новую версию NetSky с очередной порцией словесной брани отвечали новой версией Bagle с аналогичными по смыслу текстами. Порой за один день появлялось по три новые версии червей каждого семейства.

В ходе этой «войны» вирусописательских группировок проявилось несколько новых черт современной вирусологии:

стремление к удалению других червей с зараженных машин, фактически — борьба за место под солнцем (NetSky);
рассылка себя в виде архивов (Bagle, NetSky);
рассылка себя в виде закрытых паролем архивов с указанием пароля в тексте письма либо в виде картинки (Bagle);
отказ от пересылки своего тела по электронной почте и отправка вместо этого в письме ссылки на веб-сайт или на зараженный ранее компьютер (NetSky).

Все эти факторы оказали громадное влияние не только на вирусные технологии, но и на архитектуру и возможности современных антивирусных программ.

Отдельно остановимся на отказе от пересылки своего тела по электронной почте. Практически одновременно с появлением версии NetSky.q, которая посылала письма со ссылкой на ранее зараженный компьютер, в результате чего загрузка червя происходила оттуда, появился и первый червь, размножающийся через популярную программу ICQ — червь Bizex. Проникая на компьютер, он рассылал по всему контакт листу ссылку на зараженный сайт, откуда и происходила установка основного компонента вируса. Им использовались две идеи — отправка ссылки, а не файла и использование каналов ICQ для привлечения пользователей.

I-Worm.Snapper и I-Worm.Wallon
Окончательно тенденция указания одной лишь ссылки на файл червя оформилась чуть позже, когда в марте и мае 2004 появились черви Snapper и Wallon. Оба червя рассылали по найденным на компьютере адресам не себя, а ссылки на сайты. На сайтах были размещены скриптовые троянцы, которые использовали уязвимости в Internet Explorer для установки основных компонент на компьютер.

Такие письма, как правило, не вызывают у пользователей подозрений, поскольку они не содержат никаких вложенных файлов, как это бывает с традиционными почтовыми червями, к которым все уже привыкли. Весьма вероятно, что этот способ размножения будет неоднократно использован в вирусах в обозримом будущем. Его опасность может стремительно возрасти с обнаружением новых уязвимостей в Internet Explorer и Outlook.

Worm.Win32.Sasser
Sasser, появившийся в конце апреля, использовал очередную критическую уязвимость в Microsoft Windows и размножался аналогично червю Lovesan — через глобальную сеть, путем прямого подключения к атакуемому компьютеру. Червь вызвал значительную по своим масштабам эпидемию в странах Европы и содержал в запускаемом на зараженной машине FTP-сервисе уязвимость, которой попытались воспользоваться уже новые сетевые черви — Dabber и Cycle.

Автор червя Sasser был вскоре арестован, после чего сознался в авторстве червей семейства NetSky. По всей видимости, это действительно правда, поскольку с тех пор новых NetSky не появлялось.

Таким образом, Sasser не только, фактически, явился реинкарнацией Lovesan по принципу размножения, но и сам, аналогично Mydoom, создал новую цель для атак со стороны других червей.

I-Worm.Plexus
Червь Plexus стал первым червем после Nimda (появился в 2001 году), использовавшим для своего размножения практически все доступные способы — уязвимости (аналогично Lovesan и Sasser), электронную почту, P2P-сети, локальные сети. Фактически, за три года ни один червь не использовал такой набор возможностей; как правило, отсутствовал либо один, либо другой способ размножения. В лице Plexus мы получили потенциально весьма опасную вредоносную программу, кроме всего прочего еще и написанную на основе исходных кодов Mydoom. Можно даже провести определенные аналогии с червем Sober, оказавшимся талантливым плагиатором и обошедшем некоторых своих предшественников.
`
Впрочем, известные варианты Plexus так и не получили широкого распространения, по всей видимости, потому что они не были первоначально разосланы массовой спам-рассылкой и в них относительно слабо реализованы методы социального инжиниринга. Однако не исключено, что в будущем нас ждут более мощные варианты этого червя или другие черви с таким же внушительным набором путей размножения.

Троянские программы
Среди относящихся к классу троянских вредоносных программ на сегодняшний день можно выделить следующие основные тенденции:

Значительный рост числа программ-шпионов, крадущих конфиденциальную банковскую информацию. Новые варианты подобных программ появляются десятками за неделю и отличаются большим разнообразием и принципами работы. Некоторые из них ограничиваются простым сбором всех вводимых с клавиатуры данных и отправкой их по электронной почте злоумышленнику. Наиболее мощные могут предоставлять автору полный контроль над зараженной машиной, отсылать мегабайты собранных данных на удаленные сервера, получать оттуда команды для дальнейшей работы.

Стремление к получению тотального контроля над зараженными компьютерами. Это выражается в объединении их в зомби-сети, управляемые из единого центра. Как правило, для этого используются IRC-каналы или веб-сайты, куда автором выкладываются команды для машин-зомби. Существуют и более сложные варианты, например многие из вариантов Agobot объединяют зараженные компьютеры в единую P2P-сеть.

Использование зараженных машин для рассылки через них спама или организации DDoS-атак.

Отдельного рассмотрения требуют такие классы программ как Trojan-Dropper и Trojan-Downloader.

Конечная цель у них абсолютно идентична — установка на компьютер другой вредоносной программой, которая может быть как червем, так и «троянцем». Отличается только принцип их действия. «Дропперы» могут содержать в себе уже известную вредоносную программу или наоборот — устанавливать новую ее версию. Также «дропперы» могут устанавливать не одну, а сразу несколько вредоносных программ, принципиально отличающихся по поведению и даже написанных разными людьми.

Фактически «дропперы» являются своеобразными архивами, внутрь которых может быть помещено все что угодно. Очень часто они применяются для установки в систему уже известных «троянцев», поскольку написать «дроппер» гораздо проще, чем переписывать «троянца», пытаясь сделать его недетектируемым для антивируса. Весьма значительную часть среди «дропперов» составляют их реализации на скрипт-языках VBS и JS, что объясняется сравнительной простотой программирования на них и универсальностью подобных программ.

«Даунлоадеры», или «загрузчики», активно используются вирусописателями, как по причинам, описанным выше для дропперов (скрытая установка уже известных троянцев), так и по причинам их меньшего по сравнению с «дропперами» размера, а также возможностью реализации процедуры регулярной загрузки обновлений и новых версий троянских программ. Здесь также выделяется группа программ на скрипт-языках, причем, как правило, использующих различные уязвимости в Internet Explorer.

Оба эти класса вредоносных программ используются для установки на компьютеры не только троянских программ, но и различных рекламных (advware) или порнографических (pornware) программ.

Классические вирусы
Что касается классических файловых вирусов, царствовавших в 90-х годах прошлого века, то в настоящее время они практически исчезли, уступив свое место сетевым червям. Сейчас можно насчитать с десяток файловых вирусов, которые продолжают оставаться активными и даже иногда испытывают всплески активности, связанные с их проявившейся в последнее время побочной способностью заражения исполняемых файлов почтовых червей. Таким путем они пересылают себя вместе с инфицированными червями электронными письмами, в качестве своеобразных «прилипал». Очень часто попадаются экземпляры почтовых червей Mydoom, NetSky или Bagle, зараженные такими файловыми вирусами как Funlove, Xorala, Parite или Spaces.

В целом опасность появления нового файлового вируса, способного вызвать глобальную эпидемию, сейчас практически равна нулю. Даже появление первого вируса, работающего на Win64-платформе (Win64.Rugrat.a), не сможет изменить эту ситуацию в ближайшем будущем.

Новые среды и возможности
Если попробовать оценить проявляющиеся новые возможности вредоносных программ, то нельзя не отметить весьма вероятное увеличение числа программ, написанных на языке программирования .NET. Первые концептуальные вирусы и черви на этом языке появились довольно давно, и с каждым днем популярность этой платформы все увеличивается, что, в конечном итоге, неминуемо привлечет внимание вирусописателей.

Linux-платформы, вероятно, по-прежнему будут оставаться полем действия программ класса rootkit, а также простейших файловых вирусов. Однако основная угроза для них будет исходить не от вирусов, а от обнаруживаемых уязвимостей в программных продуктах для данной платформы, что в принципе также может дать вирусописателям помощь в достижении их цели — тотального контроля за все большим числом машин в интернете.

И напоследок обратимся к такому пока экзотическому классу как вредоносные программы для КПК. Стремительный рост популярности ОС Windows Mobile 2003, широкие возможности сетевой коммутации данных устройств и наличие среды разработки приложений (.NET framework) неминуемо приведут к появлению в скором времени не только троянских программ (для PalmOS они уже существуют), но и их более опасных разновидностей, не исключая и сетевых червей.