Назад в дневник Пишет .L
История вред программ часть 4находит через интернет уязвимые компьютеры и заражает их. По статистике 'Лаборатории Касперского' доля подобных вредоносных программ в общем объеме вирусных инцидентов 2001 года составила около 55%. Столь пристальное внимание компьютерного андерграунда к брешам в системах безопасности вполне логично. Традиционный способ проникновения вируса на компьютер, при котором пользователь самостоятельно запускает зараженный файл, уже не является столь эффективным, как раньше. Учитывая это, вирусописатели начали поиск нового, более эффективного способа заражения компьютеров и нашли его в использовании уязвимостей в системах безопасности. Электронная почта и интернет - главные источники вирусной угрозы По статистике "Лаборатории Касперского" в 2001 г. количество вирусных атак через электронную почту увеличилось по сравнению с 2000 г. на 5% и достигло почти 90% от общего числа инцидентов. Наряду с этим наблюдался рост числа заражений компьютеров через интернет. Ранее подавляющее большинство таких случаев происходило, когда пользователи загружали непроверенные файлы с веб-сайтов и запускали их на своих компьютерах. 2001 год стал переломным в этом отношении. Все больше инцидентов стало происходить при намеренном или случайном посещении инфицированных сайтов. Вредоносная программа подменяет одну из страниц сайта, так что при ее посещении компьютер может быть заражен: либо посредством использования злоумышленниками брешей в системах безопасности веб-браузеров, чаще всего Internet Explorer (бреши позволяют незаметно заразить компьютер в момент просмотра инфицированной страницы), либо при помощи автоматического предложения пользователю загрузить некую программу, которая оказывается вредоносной. В 2001 г. стала также очевидной уязвимость таких популярных среди пользователей всего мира интернет-технологий, как многочисленные интернет-пейджеры (ICQ, Instant Messenger), которые были использованы для распространения целого ряда вредоносных программ. Жертвой сетевого червя Mandragore стала сеть обмена данными Gnutella. Наконец, огромное количество червей было запрограммировано на распространение по каналам IRC. Атака на Linux продолжается 2001 г. ознаменовался появлением большого количества вредоносных программ, нацеленных на операционную систему Linux. Первой ласточкой стал сетевой червь Ramen, обнаруженный 19 января и за считанные дни поразивший большое количество крупных корпоративных систем. В число жертв червя попали Национальная администрация по аэронавтике и космосу США (НАСА), Техасский университет A&M, Тайваньский производитель компьютерного оборудования Supermicro. Далее процесс развивался лавинообразно. Вслед за Ramen появились его клоны и новые оригинальные Linux-черви, также вызвавшие многочисленные инциденты. Практически все вредоносные программы для этой операционной системы использовали известные бреши в системах безопасности Linux. Их широкое распространение указывает на неготовность компаний противостоять новой угрозе. Считая Linux абсолютно защищенной системой, пользователи недостаточно ответственно отнеслись к необходимости своевременной установки заплаток и повсеместного внедрения антивирусных программ. В результате многие из них оказались жертвами Linux-червей. Бестелесные черви - очередной вызов антивирусной индустрии Одним из самых неприятных сюрпризов 2001 г. стало обнаружение нового типа вредоносных кодов (CodeRed, BlueCode), способного активно распространяться и работать на зараженных компьютерах без использования файлов. В процессе работы такие программы существуют исключительно в системной памяти, а при передаче на другие компьютеры - в виде специальных пакетов данных. Эта особенность создала серьезные проблемы разработчикам антивирусного ПО. Традиционные технологии (антивирусный сканер и монитор) оказались неспособными эффективно противостоять новой угрозе, поскольку их алгоритм борьбы с вредоносными программами основан именно на перехвате файловых операций. 'Лаборатория Касперского' первой решила эту проблему и создала специальный антивирусный фильтр, который в фоновом режиме проверяет все поступающие на компьютер пакеты данных и удаляет бестелесных червей. Глобальная эпидемия сетевого червя CodeRed (по некоторым оценкам зараженными оказались более 300.000 компьютеров) подтвердила исключительную действенность технологии, используемой бестелесносными червями. Windows-черви наступают В 2001 г. резко изменился состав наиболее распространенных вредоносных программ. В 1999-2000 гг. безусловными лидерами всех вирусных хит-парадов были макро- и, позднее, скрипт-вирусы и черви. Однако в начале этого года ситуация начала быстро меняться, и уже осенью около 90% зарегистрированных случаев заражения компьютеров были вызваны Windows-червями. Причина такой резкой смены обстановки заключается в разработке эффективных средств борьбы с макро- и скрипт-вирусами, способных нейтрализовать как существующие, так и потенциальные угрозы этого типа. Вирусные мистификации Необычайно богатым на вирусные мистификации оказался 2001 год. Уже в первые два месяца года были зафиксированы около 10 'предупреждений' о 'новом опасном вирусе', массово пересылаемых друг другу напуганными пользователями. Наиболее заметными и получившими широкое распространение стали мистификации California IBM и Girl Thing. Также большой переполох наделало заявление некоторых западных информационных агентств о том, что 14 февраля, в день Св. Валентина, случится эпидемия нового варианта червя ILoveYou. В целом же, некоторые мистификации получились настолько удачными, что спустя несколько лет предупреждающие письма все еще можно встретить с своем почтовом ящике. По итогам 2001 года можно сказать, что: электронная почта и интернет укрепили свои позиции как наиболее опасные источники вредоносных программ; приобрели популярность альтернативные способы рассылки вредоносных программ (ICQ, Gnutella, MSN Messenger, IRC); получили распространение вредоносные программы для Linux; появились бестелесные сетевые черви; в списках наиболее распространенных вредоносных программ доминировали сетевые черви для Windows, и резко снизилась доля скрипт- и макро-вирусов. 2002 В 2002 г. было зафиксировано 12 крупных и 34 менее значительных новых вирусных эпидемий, которые происходили на фоне непрекращающихся эпидемий, унаследованных от более ранних периодов (Sircam, Hybris, Magistr, CIH, BadtransII, Thus и др.). В течение года вредоносные программы продолжили активно проникать на новые платформы и приложения. Уже в январе с разницей всего в два дня появились flash-вирус LFM и вирус Donut, которые впервые использовали для своего распространения технологию .NET. Однако развитие событий показало, что оба вируса оказались не более чем концептуальными: в дальнейшем не было зарегистрировано ни одного случая заражения ими. В середине мая были обнаружены сетевые черви Spida (заражающий SQL-серверы) и Benjamin. Последний стал вдохновителем целого семейства вредоносных программ, которые на протяжении 2002 г. непрерывно атаковали членов файлообменной сети KaZaA. Также не прекращались атаки на пользователей Linux. Лучшим опровержением распространенного мнения, что эта операционная система защищена от любых вредоносных программ, стал червь Slapper, который всего за несколько дней успел заразить тысячи Linux-систем по всему миру. Эта же участь не миновала и пользователей FreeBSD: обнаруженный в сентябре сетевой червь Scalper также получил довольно широкое распространение. Нельзя не отметить стремительный рост так называемых коммерческих вредоносных программ, которые преследуют конкретные коммерческие цели - похищают конфиденциальные данные, финансовые средства, пароли доступа в интернет или производят другие действия, наносящие какой-либо материальный ущерб пользователям. Несомненным лидером по количеству вызванных инцидентов в 2002 г. является интернет-червь Klez. Данная вредоносная программа была впервые обнаружена 26 октября 2001 г. и на ближайшие два года его модификации стали завсегдатаями списка наиболее распространенных угроз. В истории компьютерной вирусологии еще ни разу не случалось, чтобы вредоносная программа смогла так долго продержаться на высших позициях десятки. Однако в течение 2002 года свирепствовали лишь две из десяти существующих разновидностей этого червя - Klez.H (обнаружен 17.04.2002) и Klez.E (обнаружен 11.01.2002). В общей сложности каждые 6 из 10 зарегистрированных случаев заражения были вызваны Klez. По масштабам и продолжительности эпидемия Klez не имела себе равных. Ближайшим конкурентом Klez оказался интернет-червь Lentin. В конце 2002 года он смог превзойти Klez по количеству вызванных инцидентов. Весьма заметным оказался и червь Tanatos (также известен как Bugbear), эпидемия которого разразилась в октябре 2002 года. Тенденция 2001 года, когда для своего распространения черви использовали различные бреши в программных продуктах Microsoft, была продолжена в 2002 г. Все вышеназванные черви (Klez, Lentin, Tanatos), а также BadTrans - использовали для своего распространения IFRAME-брешь в системе безопасности Internet Explorer. В целом на них пришлось более 85% всех инцидентов. В конце года наметилась интересная тенденция в качественном составе самых распространенных вредоносных программ. Если раньше почти 100% всех инцидентов приходилось на один, два, максимум три вируса, то начиная с сентября 2002 года ситуация коренным образом изменилась. С этого момента наблюдается так называемая диверсификация - все больше заражений приходится на вирусы, не вошедшие в хит-парады: в декабре этот показатель достиг 62%. Это свидетельствует о том, что пользователи наконец обратили внимание на главные угрозы и предприняли необходимые меры защиты. Грамотные действия пользователей повлекли за собой сокращение числа инцидентов с участием, например, Klez, Lentin и Tanatos. Однако снижения общего количества заражений отмечено не было. Это позволяет заключить, что на арену вышло большое количество других вредоносных программ (например, Bridex). По отдельности доля заражний, вызыванных каждой из них, была невелика, но в совокупности они составили достаточно внушительный объем. Сетевые черви Среди сетевых червей традиционно преобладали почтовые черви (прежде всего Klez и Lentin), использующие email в качестве основного транспорта для доставки на целевые компьютеры. Стало появляться все больше почтовых червей, применяющих метод прямого соединения с SMTP-сервером. Эта тенденция объясняется тем, что традиционный способ рассылки червей (например, через Outlook или другие почтовые клиенты) уже не имеет достаточных шансов на успех. Производители почтового ПО интегрировали в свои программы антивирусные модули или специальные функции для предотвращения несанкционированной рассылки каких-либо данных. Учитывая это, вирусописатели все чаще используют новые технологии распространения червей, которые обходят такой тип защиты. Другие типы червей (LAN, P2P, IRC) были практически незаметны. Вирусы Среди замеченных в 2002 г. компьютерных вирусов, как ни странно, больше всего себя проявили макро-вирусы. Прежде всего здесь стоит отметить Thus, TheSecond, Marker и Flop. Эти макро-вирусы для текстового редактора Microsoft Word показали удивительную живучесть. Эпидемии с их участием были зафиксированы еще в конце 90-х, но в 2002 году они пережили второе рождение: пользователи, уверенные в том, что макро-вирусы полностью сошли со сцены реальных угроз, ослабили бдительность и отключили соответствующие системы защиты. Немного отстают от лидеров Windows-вирусы. Больше всего заражений вызвали Elkern, CIH, FunLove и Spaces. Практически незаметными в течение 2002 г. оказались скрипт-вирусы и другие типы этого класса компьютерной фауны. Компьютерные мистификации Начавшееся в 2001 году повальное 'увлечение' мистификациями продолжилось и в 2002 году. Пользователи регулярно засыпали друг друга как старыми, так и новыми мистификациями. Наибольший резонанс имели слухи о вирусах JDBGMGR и Ace-?, а также SULFNBK, Virtual Card for You, California IBM и Girl Thing.
www.viruslist.com
(1) 