Перспективы развития вредоносных программ
Складывающаяся сейчас на вирусном фронте ситуация обусловлена событиями, произошедшими во второй половине 2003 года. Громадное влияние на современную вирусологию оказали всемирные эпидемии, вызванные следующими сетевыми и почтовыми червями: Lovesan, Sobig, Swen и Sober. Каждый из них возвел в ранг эталона собственные отличительные черты, все из которых активно используются в настоящее время новыми вирусами и будут продолжать использоваться в обозримом будущем.
Основные тренды — 2003 год
Worm.Win32.Lovesan
Итак, сетевой червь Lovesan, появившийся в августе 2003 года, использовал для своего распространения критическую уязвимость в операционной системе Windows. За считанные дни ему удалось заразить миллионы компьютеров по всему миру. Использованный им принцип размножения (через глобальную сеть интернет, с непосредственной атакой заражаемого компьютера, игнорируя традиционные для того времени пути распространения — электронную почту, IRC, P2P-сети) был впервые реализован еще в 1988 году в первом в истории сетевом черве Моррисона, однако затем, на протяжении почти 15 лет, ничего подобного не случалось.
Отметим, что Lovesan был не единственным подобным червем в 2003 году. Первым стал червь Slammer, за три дня в январе 2003 сумевший заразить около полумиллиона компьютеров. Он также использовал уязвимость в программном продукте компании Microsoft — MS SQL Server. Однако глобальные последствия и количество реальных случаев заражения заставляют отдать пальму первенства именно Lovesan.
Впрочем, Slammer можно считать первым, классическим бестелесным червем, написание которого является, несомненно, делом более трудным, чем написание обычного червя. Подтверждением этого является то, что за полтора года, прошедших с момента эпидемии Slammer, появился только один новый бестелесный червь - Witty, в марте 2004 года.
В дополнение ко всему, червь Lovesan пытался организовать DDoS-атаку на сайт компании Microsoft, что могло повлечь за собой весьма печальные последствия для миллионов пользователей, которые могли бы лишиться возможности обновлять программные продукты, в том числе и те, что должны защитить компьютер от червей, аналогичных Lovesan. К счастью, DDoS-атака не удалась, но принципиальная ее возможность заставила Microsoft значительно изменить архитектуру и принцип доступа к своим ключевым сетевым ресурсам.
Таким образом, Lovesan сделал классическими следующие черты современных вирусов:
использование критических уязвимостей в программных продуктах Microsoft;
распространение через глобальную сеть, путем прямого подключения к атакуемому компьютеру;
организация распределенной DoS-атаки на произвольные сайты.
I-Worm.Sobig.f
Почтовый червь Sobig.f появился в самом конце августа 2003 года и буквально за пару дней вызвал крупнейшую в XXI веке эпидемию почтового червя. На пике его активности практически каждое десятое электронное письмо содержало в себе такой червь. Объемы почтового трафика возросли в десятки раз: почтовые антивирусы рассылали миллионы своих отчетов, рапортуя «отправителям» о найденном в письме вирусе и его удалении.
Червь не использовал какие-либо уязвимости, имел довольно простенькие темы и тексты писем, но масштабы его проникновения на пользовательские компьютеры стали настолько велики, что обнаруженная в нем функция приема команд извне (бэкдор) заставила всех антивирусных экспертов с тяжелым сердцем ожидать 22 августа 2003 года — дня, когда вирус Sobig.f на всех зараженных им компьютерах должен был получить команду от своего «создателя». Что могло содержаться в той команде — не знал никто. Однако команда не пришла, серверы, откуда она могла быть послана, были оперативно закрыты, что не помешало Sobig.f почти год оставаться одним из самых распространенных почтовых червей.
Столь гигантские масштабы эпидемии не могли быть вызваны традиционным червем, который выпускается в сеть с нескольких компьютеров и достигает пика своей активности спустя недели, а то и месяцы с момента своего запуска. Задолго до появления Sobig.f, еще с января 2003 года, стали появляться его «старшие братья» — другие черви того же семейства. Все они планомерно заражали компьютеры, создавая возможность рассылки через них все новых и новых версий. В конце концов, когда число предварительно зараженных ранними версиями червя машин достигло критической массы, через них хлынул поток писем с Sobig.f.
Фактически именно Sobig.f положил начало эпидемиям почтовых червей, которые произошли в 2004 году и еще произойдут в будущем:
Эпидемии такого вируса обязательно предшествует следующая "подготовительная работа":
Предварительное создание гигантской сети зомби-машин (установка бэкдоров и троянцев);
первоначальная рассылка миллионов копий червя при помощи спам-технологий.
I-Worm.Swen
18 сентября 2003 года, рано утром по московскому времени, «Лаборатория Касперского» получила первый экземпляр данного червя от одного из пользователей в Новой Зеландии. Червь сразу привлек внимание своей оригинальностью, однако тогда речь о глобальной эпидемии еще не шла. Лишь спустя 6-8 часов, когда сообщения о заражении стали поступать практически отовсюду, стало ясно, что на вирусном фронте появился новый, опасный «игрок».
Swen использовал для размножения традиционные способы — электронную почту, IRC, P2P-каналы. Однако не это было его отличительной чертой. Особенностью данного червя стал мощнейший метод социального инжиниринга: Swen выдавал себя за специальный патч от компании Microsoft, якобы устраняющий все известные уязвимости. Письмо, содержавшее легко узнаваемые элементы официального сайта Microsoft, ссылки на другие ресурсы данной компании и грамотно составленный текст, неотразимо действовало не только на неискушенных, но и на многих опытных пользователей, заставляя их запускать приложенный к письму файл. Этому изрядно поспособствовали недавние эпидемии Lovesan и Sobig, после которых пользователи привыкли к необходимости установки новых патчей и слухам о возможной атаке на сайт Microsoft, способной привести к невозможности загрузки обновлений.
Масштабы разразившейся эпидемии, конечно, уступали и Lovesan, и Sobig, да и способ рассылки своих писем через 350 открытых для этого серверов был не идеален, но в целом именно Swen стал первым, кто в полной мере смог использовать еще один способ проникновения на компьютер:
метод социального инжиниринга.
I-Worm.Sober
Наконец, последний яркий представитель 2003 года — почтовый червь Sober, характерный пример вирусописательского плагиата, который смог кое в чем переплюнуть свои оригиналы. Написанный как подражание Sobig, использующий множество различных текстов писем, причем на разных языках, выбираемых в зависимости от страны получателя письма, выдающий себя за утилиту для удаления Sobig — он первым смог объединить в себе некоторые черты двух других червей, о которых было сказано выше и, таким образом, стал первым подтверждением наметившихся тенденций.
Продолжение трендов — 2004 год
Первое полугодие 2004 года принесло нам множество новых, зачастую оригинальных вредоносных программ, активно использовавших идеи своих предшественников и, в свою очередь, добавивших множество новых черт в основные тенденции развития вирусов.
Trojan-Proxy.Win32.Mitglieder
Троянский прокси-сервер Mitglieder появился сразу после новогодних праздников. Утром 4 января 2004 года тысячам пользователей ICQ было разослано сообщение с просьбой посетить некий сайт. Многие из тех, кто зашел по присланной ссылке, вскоре обратились за помощью в антивирусные компании. На сайте была размещена троянская программа, которая, используя одну из множества уязвимостей Internet Explorer, скрытно устанавливала и запускала троянский прокси-сервер, открывавший на зараженной машине порты для приема и дальнейшей отправки почтовых сообщений. Проще говоря, позволявший использовать зараженный компьютер для рассылки спама.
Тут можно отметить две черты, которые впоследствии неоднократно встречались в новых вредоносных программах и хорошо вписываются в общую картину тенденции их развития:
рассылка сообщений по электронной почте или ICQ с целью привлечения пользователей на зараженный сайт;
фактическое выделение троянских прокси-серверов в отдельный класс, тесно связанный с рассылкой спама.
Была еще одна черта, о которой мы уже сказали выше — «создание сети зомби-машин», но всерьез она проявилась чуть позже, когда появился червь Bagle.
I-Worm.Bagle
Bagle, по всем признакам написанный той же группой вирусописателей, что и Mitglieder, либо сразу устанавливал на зараженные машины троянский прокси-сервер, либо загружал его из интернета. Фактически это был тот же самый Mitglieder, только с функцией саморазмножения по электронной почте. И, что не менее важно, для рассылки Bagle опять-таки использовались машины, ранее зараженные троянцем Mitglieder.
I-Worm.Mydoom.a
Спустя короткое время после появления Bagle в интернете разразилась крупнейшая на сегодняшний день эпидемия за всю его историю. Почтовый червь Mydoom.a, предварительно разосланный через гигантскую сеть зомби-машин (аналогично Sobig), использовал весьма изощренный метод социального инжиниринга (подобно Swen), содержал в себе мощную бэкдор-процедуру и должен был организовать DDoS-атаку на сайт компании SCO (подобно Lovesan).
Сочетание трех основных особенностей появившихся ранее червей вызвало кумулятивный эффект — Mydoom.a легко обошел недавнего лидера Sobig.f по количеству созданного почтового трафика, заразил миллионы компьютеров, открыв на них порты для доступа извне, и смог успешно осуществить DDoS-атаку на сайт SCO, в результате чего тот был выведен из строя на месяцы вперед.
С другой стороны, он и сам привнес кое-что новое в историю вирусологии. Устанавливаемый им на зараженные компьютеры бэкдор оказался лакомым кусочком для множества других червей. Практически сразу появились вирусы, которые сканировали сеть в поисках открытых Mydoom портов и через них проникали на компьютеры, либо уничтожая Mydoom и заменяя его собой, либо одновременно с ним функционируя в системе. Таких вирусов за короткое время появилось несколько десятков, самые распространенные из них также вызывали локальные эпидемии и все они заставляли армию зомби-машин, созданных эпидемией Mydoom, работать на себя.
Здесь можно отметить еще одну черту, которая постепенно становится четко выраженной тенденцией:
Использование для распространения уязвимостей или бэкдоров, оставленных другими червями.
I-Worm.NetSky.b
Очевидно, первоначально этот червь был разослан через сеть компьютеров, зараженных Backdoor.Agobot. Он использовал практически все идеи своих предшественников с одной только разницей — он уничтожал найденные на компьютере черви, в частности Mydoom, Bagle и Mimail. Принцип «вирус-антивирус» не нов, еще в 2003 году сетевой червь Worm.Win32.Welchia, используя для размножения уязвимость DCOM RPC в Windows XP, проникал на компьютеры и не только уничтожал экземпляры Lovesan, но и пытался загрузить с сайта Microsoft соответствующие заплатки для предотвращения новых заражений.
NetSky никаких заплаток не ставил, однако пытался бороться с конкурентами не только путем их удаления с зараженных машин, но и словесно. И если автор червя Mydoom в этой кибервойне участия не принимал, то вот авторы Bagle подняли брошенную перчатку и на каждую новую версию NetSky с очередной порцией словесной брани отвечали новой версией Bagle с аналогичными по смыслу текстами. Порой за один день появлялось по три новые версии червей каждого семейства.
В ходе этой «войны» вирусописательских группировок проявилось несколько новых черт современной вирусологии:
стремление к удалению других червей с зараженных машин, фактически — борьба за место под солнцем (NetSky);
рассылка себя в виде архивов (Bagle, NetSky);
рассылка себя в виде закрытых паролем архивов с указанием пароля в тексте письма либо в виде картинки (Bagle);
отказ от пересылки своего тела по электронной почте и отправка вместо этого в письме ссылки на веб-сайт или на зараженный ранее компьютер (NetSky).
Все эти факторы оказали громадное влияние не только на вирусные технологии, но и на архитектуру и возможности современных антивирусных программ.
Отдельно остановимся на отказе от пересылки своего тела по электронной почте. Практически одновременно с появлением версии NetSky.q, которая посылала письма со ссылкой на ранее зараженный компьютер, в результате чего загрузка червя происходила оттуда, появился и первый червь, размножающийся через популярную программу ICQ, — червь Bizex. Проникая на компьютер, он рассылал по всему контакт-листу ссылку на зараженный сайт, откуда и происходила установка основного компонента вируса. Им использовались две идеи — отправка ссылки, а не файла и использование каналов ICQ для привлечения пользователей.
I-Worm.Snapper и I-Worm.Wallon
Окончательно тенденция указания одной лишь ссылки на файл червя оформилась чуть позже, когда в марте и мае 2004 появились черви Snapper и Wallon. Оба червя рассылали по найденным на компьютере адресам не себя, а ссылки на сайты. На сайтах были размещены скриптовые троянцы, которые использовали уязвимости в Internet Explorer для установки основных компонент на компьютер.
Такие письма, как правило, не вызывают у пользователей подозрений, поскольку они не содержат никаких вложенных файлов, как это бывает с традиционными почтовыми червями, к которым все уже привыкли. Весьма вероятно, что этот способ размножения будет неоднократно использован в вирусах в обозримом будущем. Его опасность может стремительно возрасти с обнаружением новых уязвимостей в Internet Explorer и Outlook.
Worm.Win32.Sasser
Sasser, появившийся в конце апреля, использовал очередную критическую уязвимость в Microsoft Windows и размножался аналогично червю Lovesan — через глобальную сеть, путем прямого подключения к атакуемому компьютеру. Червь вызвал значительную по своим масштабам эпидемию в странах Европы и содержал в запускаемом на зараженной машине FTP-сервисе уязвимость, которой попытались воспользоваться уже новые сетевые черви — Dabber и Cycle.
Автор червя Sasser был вскоре арестован, после чего сознался в авторстве червей семейства NetSky. По всей видимости, это действительно была правда, поскольку с тех пор новых NetSky не появлялось.
Таким образом, Sasser не только, фактически, явился реинкарнацией Lovesan по принципу размножения, но и сам, аналогично Mydoom, создал новую цель для атак со стороны других червей.
I-Worm.Plexus
Червь Plexus стал первым червем после Nimda (появился в 2001 году), использовавшим для своего размножения практически все доступные способы: уязвимости (аналогично Lovesan и Sasser), электронную почту, P2P-сети, локальные сети. Фактически, за три года ни один червь не использовал столь полный набор возможностей. Как правило, отсутствовал либо один, либо другой способ размножения. В лице Plexus мы получили потенциально весьма опасную вредоносную программу, кроме всего прочего еще и написанную на основе исходных кодов Mydoom. Можно даже провести определенные аналогии с червем Sober, оказавшимся талантливым плагиатором и обошедшим некоторых своих предшественников.
Впрочем, известные варианты Plexus так и не получили широкого распространения — по всей видимости, потому, что они не были первоначально разосланы массовой спам-рассылкой и в них относительно слабо реализованы методы социального инжиниринга. Однако не исключено, что в будущем нас ждут более мощные варианты этого червя или другие черви с таким же внушительным набором путей размножения.
Троянские программы
В программах, относящихся к классу троянских, на сегодняшний день можно выделить следующие основные тенденции:
Значительный рост числа программ-шпионов, крадущих конфиденциальную банковскую информацию. Новые варианты подобных программ появляются десятками за неделю и отличаются большим разнообразием и принципами работы. Некоторые из них ограничиваются простым сбором всех вводимых с клавиатуры данных и отправкой их по электронной почте злоумышленнику. Наиболее мощные могут предоставлять автору полный контроль над зараженной машиной, отсылать мегабайты собранных данных на удаленные сервера, получать оттуда команды для дальнейшей работы.
Стремление к получению тотального контроля над зараженными компьютерами. Это выражается в объединении их в зомби-сети, управляемые из единого центра. Как правило, для этого используются IRC-каналы или веб-сайты, куда автором выкладываются команды для машин-зомби. Существуют и более сложные варианты, например многие из вариантов Agobot объединяют зараженные компьютеры в единую P2P-сеть.
Использование зараженных машин для рассылки через них спама или организации DDoS-атак.
Отдельного рассмотрения требуют такие классы программ, как Trojan-Dropper и Trojan-Downloader.
Конечные цели у них абсолютно идентичны — установка на компьютер другой вредоносной программы, которая может быть как червем, так и «троянцем». Отличается только принцип их действия. «Дропперы» могут содержать в себе уже известную вредоносную программу или наоборот — устанавливать новую ее версию. Также «дропперы» могут устанавливать не одну, а сразу несколько вредоносных программ, принципиально отличающихся по поведению и даже написанных разными людьми.
Фактически «дропперы» являются своеобразными архивами, внутрь которых может быть помещено все что угодно. Очень часто они применяются для установки в систему уже известных «троянцев», поскольку написать «дроппер» гораздо проще, чем переписывать «троянца», пытаясь сделать его недетектируемым для антивируса. Весьма значительную часть «дропперов» составляют их реализации на скрипт-языках VBS и JS, что объясняется сравнительной простотой программирования на них и универсальностью подобных программ.
«Даунлоадеры», или «загрузчики», активно используются вирусописателями как по причинам, описанным выше для «дропперов» (скрытая установка уже известных троянцев), так и по причине их меньшего по сравнению с «дропперами» размера, а также благодаря возможности обновлять устанавливаемые троянские программы. Здесь также выделяется группа программ на скрипт-языках, причем, как правило, использующих различные уязвимости в Internet Explorer.
Оба эти класса вредоносных программ используются для установки на компьютеры не только троянских программ, но и различных рекламных (advware) или порнографических (pornware) программ.
Классические вирусы
Что касается классических файловых вирусов, царствовавших в 90-х годах прошлого века, то в настоящее время они практически исчезли, уступив свое место сетевым червям. Сейчас можно насчитать с десяток файловых вирусов, которые продолжают оставаться активными и даже иногда испытывают всплески активности. Эти всплески связаны с недавно проявившейся у таких вирусов побочной способностью заражать исполняемые файлы почтовых червей. Таким путем они пересылают себя вместе с инфицированными червями электронными письмами, в качестве своеобразных прилипал. Очень часто попадаются экземпляры почтовых червей Mydoom, NetSky или Bagle, зараженные такими файловыми вирусами, как Funlove, Xorala, Parite или Spaces.
В целом опасность появления нового файлового вируса, способного вызвать глобальную эпидемию, сейчас практически равна нулю. Даже появление первого вируса, работающего на Win64-платформе (Win64.Rugrat.a), не сможет изменить эту ситуацию в ближайшем будущем.
Новые среды и возможности
Если попробовать оценить проявляющиеся новые возможности вредоносных программ, то нельзя не отметить весьма вероятное увеличение числа программ, написанных на языке программирования .NET. Первые концептуальные вирусы и черви на этом языке появились довольно давно, и с каждым днем популярность этой платформы все увеличивается, что, в конечном итоге, неминуемо привлечет внимание вирусописателей.
Linux-платформы, вероятно, по-прежнему будут оставаться полем действия программ класса rootkit, а также простейших файловых вирусов. Однако основная угроза для них будет исходить не от вирусов, а от обнаруживаемых уязвимостей в программных продуктах для данной платформы, что в принципе также может дать вирусописателям помощь в достижении их цели — тотального контроля за все большим числом машин в интернете.
И напоследок обратимся к такому пока экзотическому классу как вредоносные программы для КПК. Стремительный рост популярности ОС Windows Mobile 2003, широкие возможности сетевой коммутации данных устройств и наличие среды разработки приложений (.NET framework) неминуемо приведут к появлению в скором времени не только троянских программ (для PalmOS они уже существуют), но и их более опасных разновидностей, не исключая и сетевых червей.
Источник