Эксперты: вирусописатели взяли паузу


По мнению экспертов, с точки зрения информационной безопасности второй квартал 2006 года внешне выглядел одним из самых спокойных за последние годы. После выпуска новых версий антивирусов вирусописатели взяли небольшую паузу, однако противостояние по-прежнему велось, хоть и в иной плоскости – технологической.
Как отмечает в новом отчете Александр Гостев, ведущий вирусный аналитик «Лаборатории Касперского», практически полное отсутствие заметных эпидемий почтовых и сетевых червей совпало с выпуском бета-версий и полноценных продуктов нового поколения от большинства ведущих антивирусных вендоров. Вирусописатели взяли паузу для разработки новых методов противодействия антивирусным программам, поэтому основные «боевые действия» развернулись в невидимой для обычного пользователя области технологического противостояния, и лишь иногда отголоски этой скрытой войны отражались в новостях.
Говоря о самых заметных объектах атак вирусописателей, в «Лаборатории Касперского» отмечают, что в конце весны — начале лета 2006 года под прицел попал пакет MS Office — вторая важнейшая разработка Microsoft. Обнаруженная в марте уязвимость MS06-012 затронула все продукты, входящие в состав MS Office, начиная с 2000-ой версии. Обнаруженные в течение последующих трех месяцев «дыры» отличались друг от друга по своей сути крайне незначительно — в основе каждой лежала одна и та же проблема — неправильная проверка некоторых данных в описании OLE.
«Microsoft ограничивалась выпуском «костылей», почему-то не утруждая себя проверкой соседних полей в файлах, и после выпуска в свет очередного «патча» на следующий же день появлялась информация о новой уязвимости, — говорит г-н Гостев. — Анализ большинства уязвимостей показывает, что в их основе лежит, по сути, одна и та же проблема. Microsoft, очевидно, недостаточно будет ограничиваться выпуском патчей для каждой найденной «дыры» — верификации подлежат все поля структуры OLE-объектов, общее число которых превышает сотню». Специалисты также подчеркивают, что вирусописатели сейчас находятся на один шаг впереди, и в любой момент могут выпустить в интернет несколько новых опасных программ.
В «Лаборатории Касперского» также подчеркивают, что в этом году на пике своей активности оказались вирусы-шантажисты — представители нового класса вредоносных программ Ransomware – взломщиков кодов. Эти вирусы добрались до наиболее стойких методов шифрования (RSA) и использования техники помещения данных в запароленные архивы. В мае 2006 года последняя идея (уже не новая) была осуществлена в Великобритании, где появился троянец MayArchive. В целом троянцы-архиваторы продолжают оставаться угрозой для западных пользователей. В России же наибольшее распространение получила практика шифрования файлов.
Впервые алгоритм шифрования RSA был использован в январе 2006 года в вирусе Gpcode.ac. Автор ограничился длиной ключа в 56 бит, что не вызвало у антивирусных компаний никаких проблем в его взломе и восстановлении пораженных файлов. В июне Рунет поразила эпидемия новой версии вируса. На этот раз был использован значительно более длинный ключ — длиной 260 бит. Далее началась настоящая гонка: на взлом 260 бит вирусописатель ответил выпуском новой версии — 330 бит, а 7 июня с вирусного сайта на тысячи компьютеров в России началась загрузка Gpcode.ag. В нем использовался ключ максимальной длины, которая когда либо взламывалась, — 660 бит.
Что же касается полиморфных («многоформенных») вирусов, эксперты отмечают, что в первом полугодии 2006 года появилось несколько весьма опасных и активно распространяющихся почтовых червей — Feebs и Scano. Оба червя распространяются по электронной почте в виде приложенного к письму файла, представляющего собой зашифрованный JavaScript. По сути своей, он представляет собой обычную HTML-страницу, что ослабляет внимание пользователей, привыкших к тому, что почтовые вирусы бывают либо в виде исполняемых файлов, либо в виде документов MS Office. HTML-страницы по-прежнему не рассматриваются основной массой людей как нечто исполняемое, что может содержать опасный код.
При открытии такого файла происходит выполнение полиморфного кода, в результате чего в систему устанавливается уже «нормальный» исполняемый файл, являющийся основным телом червя. Затем он, помимо всего прочего, начинает генерировать свои новые копии в виде JavaScript-файла, и все они отличаются друг от друга настолько, что в них нельзя найти ни одного общего куска кода. Это и есть результат работы полиморфного движка червя. Затем такие файлы рассылаются с зараженного компьютера по всем найденным адресам электронной почты и цикл повторяется. Для усложнения работы антивирусных лабораторий авторы этих червей выпускают (выпускали) в свет свои новые варианты каждые два-три дня.
Во втором квартале было отмечено появление нескольких «концептуальных» вирусов: первого вируса для Microsoft Publisher (программа для издательской деятельности) под названием Avarta, а также вируса Bi.a, способного размножаться одновременно под Windows и Linux. В апреле-мае появились вирусы для математического пакета Matlab — Gabol и Xic.a, а также концепт макровируса для офисного пакета StarOffice — StarDust.
Самым же опасным концептом квартала стал Yamanner. В июне 2006 года потенциальными жертвами подобного червя стали почти двести миллионов пользователей почтовой системы Yahoo! Mail. Примечателен Yamanner тем, что для активации вредного кода от пользователя не требуется совершения каких-либо действий, помимо открытия письма в веб-интерфейсе Yahoo! Mail. Когда пользователь открывает письмо, исполняется скрипт, рассылающий червя на все адреса из адресной книги пользователя, в которых домен соответствует @yahoo.com либо @yahoogroups.com. Помимо этого, открывается заданная веб-страница (в настоящий момент не функционирует), а адресная книга зараженного аккаунта отсылается на заданный сервер.
Угрозе подвергались все пользователи Yahoo Mail, кроме тех, кто использует сторонние сервисы для получения своей почты через POP3 в автономный почтовый клиент (например, Outlook). Поскольку платформа распространения червя — скриптовый язык JavaScript, поддерживаемый всеми полнофункциональными браузерами, то браузер не имеет значения. Единственная эффективная защита от подобных червей — полное отключение скриптов в браузере. Однако это делает невозможным использование веб-интерфейса Yahoo Mail.
Yahoo! предпринял меры для фильтрации почтовых сообщений, использующих данную уязвимость, исправил интерфейс сервиса и порекомендовал пользователям более активно переходить на новую тестовую версию почтового программного обеспечения от Yahoo! —Yahoo Mail Beta, для которой данная уязвимость не актуальна. Однако эксперты предупреждают, что история может повториться вновь с любым другим популярным онлайн-сервисом: потенциально уязвим любой почтовый сервис, базирующийся на веб-интерфейсе (например, Google Mail), сообщает CNews.
 

Добавить комментарий

Adblock
detector