Спецпроекты

Безопасность

Покой нам только снится

Ефим Осипов

Период или, как шутят, целый season праздников не был спокойным. И удар последовал не со стороны вредоносного кода, скомпонованного с помощью социального инжиниринга, хотя был и такой, а вирусов, которые действовали через старые или недавно открытые слабые места в программном обеспечении. Начало года подарило нам целых 4 вируса, паразитирующих на слабостях Windows: Lirva в версиях A и B, ExploreZip E, а также Sobig. Кроме этого на первой неделе января не на шутку разыгрался Yaha. Он стал приходить к пользователю уже во второй версии, при этом в виде первоначального носителя выступало письмо, посланное по электронной почте с прикрепленным файлом. Само письмо имело различные темы, а прикрепленные файлы — расширение .exe или .scr. После заражения вирус вскрывал все контактные записи на различных носителях — внутри почты и систем мгновенного обмена сообщениями. Также он успешно блокировал некоторые

Как ни странно, ни один вирус не был напрямую связан с Рождеством. Так, например, тот же Lirva «вырос» скорее не на популярности восходящей музыкальной звезды Avril Lavigne, а по причине распространенности iframe-дыры. Он способен заражать машину без открытия прикрепленного файла, а сам файл мог маскироваться, выступая в качестве патча, пришедшего от Microsoft. Однако роль социального инжиниринга нельзя сбрасывать со счетов, тем более, что количество таких вирусов растет из года в год, поэтому вирус не мог не задеть чувства фанов Avril Lavigne, отсюда первоначальная «популярность» вредоносного кода, ведущая к росту эпидемии.

Как видно, массовые вирусы используют общий алгоритм, хотя иногда, несмотря на «знакомый» аналитикам код, оказываются способными на более сложные операции, чем можно было предложить. Так, появившийся во второй декаде января Sobig быстро разошелся по Сети, хотя и не показался опасным специалистам антивирусных компаний. После открытия пришедшего файла он рассылает себя по всем адресам контактных листов, затем связывается с сайтом, что скачать адрес другого сайта, после автоматического захода на последнюю на машину пользователя нацеливается, по мнению специалистов MessageLabs, уже троянская программа. Не очень тривиально, не правда ли?!.

Такие события воспринимаются в контрасте с тем, что, несмотря на сравнительно большое число массовых почтовых червей, появившихся в 2002 году, эксперты на этот год предсказывают резкую смену приоритетов злоумышленников. Некоторые из специалистов утверждают, что время макровирусов и массовых «почтовиков», которые в минувшем году отличились, в основном, в среде небольших офисов и пользователей, работающих на компьютере из дома, уходит. В 2003 году, с их слов, наступит время троянских программ и backdoor для создания несанкционированного удаленного доступа, а также вариаций использования «серого» шпионского ПО, которое дает информацию о сетевом поведении пользователя. Вирусы будут нужны не для того, чтобы «уничтожить» компьютер, а чтобы добиться контроля над пораженной машиной, получив максимум данных пользователя и о пользователе. В дополнение к этому также предсказывается распространение одного мощного массового червя через системы мгновенного обмена сообщениями в наступившем 2003 году.

Такой прогноз более чем вероятен. Многие из широко распространенных систем IM (instant messaging), такие как MSN или Yahoo Messenger, могут сделать корпоративные сети уязвимыми для вирусов, так считают в известной компании-производителе антивирусного программного обеспечения Sophos. При этом по оценке исследовательской фирмы International Data Corp, в 2003 году общий трафик обмена такими сообщениями достигнет отметки приблизительно в 40 млд. сообщений в день. В связи с тем, что кроме «развлекательного» использования IM , системы такого рода зачастую являются удобным каналом для коммуникаций с коллегами, а количество сообщений постоянно растет, опасность в этой области сетевой активности очень серьезна. Поэтому исследователи уже сейчас указывают на риски, разрабатывают различные сценарии и ищут возможные уязвимости в IM.

Занятным оказалось начало года для RIAA: сначала сайт ассоциации был взломан в шестой раз за последние 6 месяцев. Причем шутливо. Затем появилась информация, что сама RIAA якобы готовит червь, развивающийся через p2p-сети обмена музыкальными и иными файлами, осуществляя их заражение. В ответ представители RIAA заявили, что такого рода слухи ни что иное, как злонамеренная мистификация.

Что касается других новостей, то следует отметить «очередной» факт очередного ареста русского хакера в США в начале января, о росте спамерского трафика на 300% за прошедший год, об освоении в 2002 году ведомствами США на нужды, связанные с информационной безопасностью, $2,9 млд., и, наконец, об использовании футбольным клубом «Ливерпуль» средств шифрования для защиты своих коммуникаций.

Короткая ссылка