Множество вирусов, опасные загрузки

По данным F-Secure, количество вновь обнаруженных вредителей в 2008 году будет расти быстрее, чем когда-либо прежде.

В среднем 25 XNUMX образцов зараженных файлов поступают в лабораторию финской антивирусной компании каждый день недели, поэтому вполне вероятно, что к концу года программному обеспечению безопасности придется обнаруживать не менее миллиона различных вредоносных или опасных программ. В то время как преступники создают больше вредоносных программ, чем когда-либо прежде, пользователи часто сообщают о меньшем количестве заражений, чем в предыдущие годы. Объяснение этого очевидного противоречия состоит в том, что вирусописатели недавно изменились, и их привычки распространения вредителей стали менее заметными.

В прошлом и позапрошлом году большинство инфекций по-прежнему распространялось через прикрепления листьев, что привело к крупным эпидемиям (Beagle, MyDoom, Warezov). В наши дни этот метод больше не работает, поскольку почти каждая компания и учреждение используют фильтрацию, чтобы остановить опасные вложения, такие как файлы .EXE.

По этой причине киберпреступники в последнее время предпочитают метод «попутной загрузки», при котором заражение доставляется на компьютер жертвы посредством загрузки из Интернета. В первом раунде атака по-прежнему начинается с массовой рассылки нежелательных сообщений (спама), но вместо вложений эти письма содержат ссылки на вредоносные сайты — то есть заражение жертвы происходит через HTTP или FTP-трафик вместо протокола SMTP. .

Придорожные загрузки
Наш компьютер может автоматически стать жертвой попутного заражения, когда мы посещаем зараженный веб-сайт. У большинства пользователей нет идеально пропатченной операционной системы, веб-браузера и надстроек, а недостатки безопасности в этом программном обеспечении делают систему уязвимой. Вредоносный код также можно загрузить вручную, если хакеры могут обманом заставить пользователя перейти по опасной ссылке и запустить вредоносное ПО из Интернета.

Для распространителей вирусов важно увеличить количество посещений вредоносных веб-сайтов, поэтому они часто рассылают спам-сообщения, привлекающие внимание своей тематикой, чтобы убедить получателя открыть мошенническую веб-ссылку. Эти письма могут иметь такую ​​тему, как «Вы снимаетесь в видео на YouTube!», «Ваша поздравительная открытка прибыла!» или «Спасибо за заказ!».

Более изощренным является способ, которым преступники создают множество сайтов, заполненных ключевыми словами, подготовленными для поисковой системы Google, ожидая, пока веб-пользователи найдут вредоносный веб-сайт (например, вязаные перчатки), за которым следует код атаки (так называемый код перчатки). exploit) может автоматически запускаться в фоновом режиме, при этом пользователь, сидящий перед экраном, не обнаруживает ничего подозрительного.

Третий, наиболее рискованный метод распространения вредоносных программ основан на том факте, что популярные сайты, которые многие считают заслуживающими доверия, также могут использоваться для заражения пользователей Интернета. Длительная прямая атака, взлом сайта, сопряжена с высоким риском, поэтому преступники, в отличие от хакеров, которые забавляются или просто хотят протестовать в предыдущие годы, обычно не изменяют никаких видимых деталей на контролируемом ими веб-сайте.

Портал, похоже, продолжает нормально функционировать - за исключением того факта, что вредоносное ПО устанавливается на компьютеры посетителей с помощью нескольких строк инструкций JavaScript, встроенных в исходный код HTML. Сайты нескольких популярных журналов с миллионной аудиторией каждый день становятся жертвами такой атаки, и люди обычно доверяют сайтам, которые стали частью их повседневной жизни, поэтому они не думают, что посещение их компьютера может привести к сбою.

Кроме того, атака с использованием зарубежных веб-сайтов может быть проведена без взлома веб-сервера, поскольку мы ежедневно сталкиваемся с увеличением количества рекламы на порталах с высокой посещаемостью. Если хакерам удастся получить доступ к большой рекламной системе с помощью обмана или взлома, код атаки, скрытый в анимации, может достичь миллионов компьютеров, часто без ведома веб-мастера портала - как в случае со шведским TV4, Expedia или американским профессиональным бейсбольным мячом. и с сайтами хоккейных лиг.

По указанным выше причинам пользователям важно знать об изменившемся характере современных инфекций, поскольку хакеры могут воспользоваться возможностями вредоносного кода, заменяющего вредоносные программы на основе SMTP загрузками по протоколу HTTP несколькими способами. На сегодняшний день многие компании оценивают риск заражения их компьютерных сетей на основе количества вирусных вложений, отфильтрованных из их почты, что явно свидетельствует об уменьшении - но общая ситуация с безопасностью вряд ли улучшится из-за распространения веб-приложений. вредоносное ПО.

Вот почему частные и бизнес-пользователи должны убедиться, что их веб-трафик также проверяется на вирусы. Более того, фильтрация также должна охватывать протокол FTP, потому что эта старая система передачи файлов в последнее время стала очень популярной среди распространителей вирусов, рекламирующих зараженные сайты загрузки в спам-сообщениях.

Передовые руткит-технологии
Руткит Mebroot — одна из самых труднообнаружимых инфекций последнего времени. Эта способность Mebroot, который в настоящее время также свободно распространяется посредством загрузок с диска, обусловлена ​​тем, что он хранит минимальный программный код, необходимый для скрытности, в так называемой области основной загрузочной записи, самом первом физическом секторе жесткий диск и загружает его во время запуска системы.

Этот прием был использован 15 лет назад несколькими известными вирусами MS-DOS, такими как Stoned и Michelangelo, но с появлением Windows об этом методе на время забыли, поэтому многие программы безопасности сегодня еще не готовы к защите от вирусов. Угроза руткита MBR.

Вредоносная программа Mebroot, которая стала неожиданностью, использует пространство хранения в самом первом секторе, чтобы удалить из-под контроля чувствительные части своего вирусного кода и минимизировать количество вредоносных модификаций, вносимых в работающую систему. Этот трюк очень затрудняет обнаружение заражения из-под Windows. Чтобы раскрыть Mebroot, F-Secure также пришлось продолжить разработку собственного программного обеспечения для уничтожения руткитов под названием Blacklight.

Это событие также доказывает, что преступные группы, которые определяют сегодняшнее развитие вирусов, уже обладают достаточными финансовыми ресурсами и опытом для разработки новых сложных методов атак. Разработка мощного программного кода, который загружается из загрузочного сектора, выживает при запуске Windows, затем проникает и скрывается в операционной системе, а длительное тестирование, необходимое перед развертыванием в реальном времени, требует серьезных усилий.

Вредоносное ПО Mebroot в настоящее время используется распространителями вирусов в первую очередь для маскировки банковских троянов для защиты от краж, поскольку это явно та область, где они могут рассчитывать на быструю окупаемость своих инвестиций - однако, по мнению исследователей F-Secure, будет несколько различных руткитов спрятать в MBR в будущем.

Шантажировать мобильные вирусы
В настоящее время развитие все новых и новых вредителей мотивировано, прежде всего, получением прибыли. Появление трояна Kiazha еще раз подтверждает этот вывод, поскольку заражение китайского происхождения также распространяет уже известную из мира Windows-вирусов концепцию выкупа на мобильные устройства Symbian. Суть такой атаки заключается в том, что вредоносный код берет ценные данные «в заложники» путем несанкционированного шифрования файлов или существенного ограничения работы компьютера и требует выкуп в обмен на восстановление исходного состояния. Пользователь получит пароль, необходимый для расшифровки, только в том случае, если сначала переведет запрошенную хакерами сумму в электронном виде.

Троян-вымогатель Kiazha, работающий на смартфонах S60 второго поколения, работает несколько проще. Заражение в первую очередь распространяется под видом бесплатного скачиваемого условно-бесплатного приложения, но во время установки в систему добавляется несколько старых мобильных вирусов, и на экран выводится вымогательное сообщение. требует от пользователя перевода суммы, равной семи долларам.

Дополнительные угрозы в сфере мобильной связи
Мобильный червь Beselo, который также угрожает широко распространенному программному обеспечению ядра Symbian, нов в других отношениях - его успешное распространение основано на хитром обмане пользователей. Атакующие сообщения через канал Bluetooth или MMS содержат специально отформатированный пакет SIS, который хакеры замаскировали под медиафайл, что повышает вероятность того, что получатель нажмет на контент.

Однако маскировку червя выдает диалоговое окно с запросом подтверждения установки, появление которого было бы совершенно неоправданным в случае реального аудиовизуального контента. Поэтому, если вы встретите на устройстве Symbian файл с именем «beauty.jpg», «love.rm», «sex.mp3» или что-то подобное, обратите внимание на то, что действительные изображения и музыкальные треки начинаются сразу после открытие – поэтому любая другая деятельность может вызвать подозрения.

Также стоит упомянуть HatiHati.A, приложение для мобильных телефонов с характеристиками червя, которое, хотя и непреднамеренно, оказалось настоящим нарушителем спокойствия. Одна из ошибочных бета-версий приложения, разработанного как коммерческое программное обеспечение для индикации кражи телефона и отключения устройства, часто распространяется на «варезных» сайтах, предлагающих украденное программное обеспечение. К сожалению, пользователи нелегального ПО с удивлением обнаруживают, что их телефонный счет взимается за большое количество исходящих SMS-сообщений, а неисправный программный код также может распространяться с одного телефона на другой через карты расширения MMC.

В свете описанных выше угроз исследователи вирусов F-Secure рекомендуют пользователям защищать свои компьютеры и мобильные устройства от заражения с помощью новейших продуктов безопасности от уважаемых производителей.