Поделиться
ICQ – идеальная платформа для вирусных атак
Количество вредоносных программ, зарегистрированных с начала 2005 г. в сетях обмена сообщениями ICQ, America Online и MSN, в три раза превышает аналогичные показатели предыдущего года.Ахиллесова пята
Программные средства группы IM (instant messengers), предназначенные для мгновенного обмена сообщениями, получают все большее распространение среди всех категорий пользователей интернета. По данным Jupiter Media Metrix, интенсивность использования наиболее популярных продуктов этого класса в 2004 году увеличилась более чем в два раза. Между тем, специалисты в области информационной безопасности отмечают, что столь высокие темпы роста не могут не привести к такому же интенсивному развитию вредоносных программ, поражающих IM-сети.
Эксперты Symantec подчеркивают, что IM-системы удовлетворяют всем требованиям, которые определяют идеальную платформу для быстрого распространения сетевых червей и других типов вредоносных программ. Повсеместное использование IM-продуктов, высокая скорость обмена информацией (обычно в режиме реального времени), наличие списка контактов, который позволяет вирусам находить новые цели и маскировать рассылку своего кода под сообщения от знакомых пользователей, – все эти факторы приводят к значительной уязвимости компьютеров. Кроме того, как отмечают в Symantec, контроль на IM-средствами может быть получен при помощи относительно простых скриптов.
«В начале 2005 г. эксперты предсказывали, что число атак вредоносного ПО в IM-сетях третий год подряд будет демонстрировать более чем трехкратный рост, и корпоративные сети во всем мире впервые пострадают от широкомасштабных атак, проведенных через IM-службы», — говорит Питер Шоу (Peter Shaw), директор компании Akonix, поставляющей IM-решения бизнес-класса. «Проанализировав первые шесть недель 2005 года, мы пришли к выводу, что, возможно, даже такие прогнозы недооценивают степень угроз, с которыми предприятиям предстоит столкнуться в течение следующих 10 месяцев», — добавляет он.
Количество обнаруженных модификаций IM-вирусов
(включая P2P-вирусы)
Источник: IMlogic
Обращает на себя внимание не только количественное увеличение вредоносных программ, но и их качественное изменение. Если все IM-вирусы, зарегистрированные в 2003 году, были отнесены специалистами IMlogic к категории низкого уровня риска, то из вредоносных программ, появившихся за первые два месяца 2005 года, низкий уровень риска имело менее 65%.
Упреждающий удар
 Cетевой червь W32.Bizex вызвал первую глобальную эпидемию среди пользователей ICQ |
В отличие от пересылки зараженных файлов, прикрепленных к электронным письмам, передача сообщений в режиме реального времени позволяет IM-червям распространяться с гораздо более высокой скоростью. Например, уже через несколько часов после появления в феврале 2004 года сетевого червя W32.Bizex, который вызвал первую глобальную эпидемию среди пользователей интернет-пейджера ICQ, эксперты оценивали количество зараженных компьютеров десятками тысяч. Следует отметить, что в IMlogic вирусу W32.Bizex был присвоен всего лишь «низкий уровень риска», появление же червей высокого уровня, поражающих такие распространенные сервисы, как ICQ, может в течение суток привести к инфицированию миллионов компьютеров.
Нынешние методы разработки антивирусного ПО и его последующего обновления на пользовательских машинах не позволяют достаточно оперативно отреагировать на заражения, распространяющиеся со столь высокой скоростью. Аналитики подчеркивают, что для борьбы с IM-угрозами необходимы принципиально иные, превентивные действия, направленные, например, на ограничение числа сообщений, которые пользователь может разослать в течение заданного времени.
Одна из подобных методик, разработанная компанией Hewlett Packard и прошедшая тестирование в ее корпоративных сетях, получила название «торможения вирусов». В рамках такого подхода отправленная информация пересылается адресату только через определенный интервал после передачи предыдущего сообщения. Если время, прошедшее между моментами отправки двух сообщений, меньше этого значения, то второе и последующие сообщения помещаются в буфер и пересылаются с некоторой задержкой. Если объем буфера превышает предельную величину, то передача информации блокируется на более длительное срок. «Использование торможения может существенно снизить скорость распространения червей в IM-сетях», – говорит Меттью Вильямсон (Matthew Williamson), сотрудник бристольской лаборатории HP.
К настоящему времени «торможение вирусов» не протестировано в крупных IM-сетях, оно прошло апробацию только в корпоративных условиях, где интенсивность обмена сообщениями обычно невелика, что позволяет достаточно четко отделять легитимный трафик от вирусной саморассылки. «Вполне возможно, что привычки и предпочтения молодежи несколько отличаются от тех, что свойственны людям старшего возраста. К примеру, может быть, подростки предпочитают более активные переговоры», – добавляет г-н Вильямсон. По этой причине в сетях общего пользования эффективность анонсированной технологии может оказаться не столь высокой, как заявляют ее разработчики.
Между тем, использование предложенным принципов может оказаться весьма перспективным хотя бы для ограничения несанкционированных рассылок в IM-сетях, которые становятся все более серьезной проблемой. По данным IMlogic, объем спима (spim - spam over instant messaging) за последний год увеличился примерно в четыре раза.
Опасный потенциал
Судя по числу новых модификаций IM-вирусов, обнаруженных в последние дни, неблагоприятные прогнозы экспертов Akonix, обещавших более чем трехкратное увеличение количества атак, продолжают сбываться. За неполные две недели марта появились сообщения о десяти новых IM-вирусах, причем три из них отнесены экспертами IMlogic к среднему уровню риска.
Характеристики IM-вирусов, обнаруженных в марте 2005 г.
(включая P2P-вирусы)
| Имя вируса | Уровень риска | Дата обнаружения | Поражаемый объект |
| W32.Elitper-C | низкий | 11.03.2005 | IRC; P2P |
| W32.Sumom-B | низкий | 10.03.2005 | MSN Messenger; |
| W32.Toxbot | низкий | 10.03.2005 | IRC |
| W32.Tibick-C | низкий | 08.03.2005 | IRC; P2P |
| W32.Sumom-A | средний | 07.03.2005 | MSN Messenger; Windows Messenger; P2P |
| W32.Kelvir-D | средний | 07.03.2005 | MSN Messenger; Windows Messenger |
| W32.Kelvir-B | средний | 06.03.2005 | MSN Messenger; Windows Messenger |
| VBS.Speery-A | низкий | 02.03.2005 | IRC |
| низкий | 01.03.2005 | IRC | |
| W32.Mytob-C | низкий | 01.03.2005 | IRC |
Источник: IMlogic
На сегодняшний день масштабы эпидемий в сетях мгновенного обмена сообщениями значительно меньше, чем при передаче зараженных файлов посредством электронной почты. Однако потенциально IM-вирусы представляют большую опасность за счет высоких скоростей распространения. Кроме того, хотя многие пользователи с настороженностью относятся к неизвестным файлам, пришедшим на e-mail, большинство считает естественным открывать ссылки, которые приходят в виде IM-сообщений от знакомых людей.
По мнению экспертов, в ближайшие годы компьютерные эпидении примут значительно более широкие размеры, поскольку уже сегодня намечается тенденция к созданию «универсальных» вирусов, которые могут использовать для своего распространения любой канал коммуникации, будь то электронная почта, IM-пейджер или P2P-система.
Максим Терновский / CNews
Поделиться
Короткая ссылка
