«Лаборатория Касперского» публикует отчет «Современные информационные угрозы, I квартал 2008»

«Лаборатория Касперского», ведущий производитель систем защиты от вредоносного и нежелательного ПО, хакерских атак и спама, публикует отчет о современных информационных угрозах за I квартал 2008 года. Александр Гостев, ведущий вирусный аналитик «Лаборатории Касперского», прослеживает основные тенденции вирусной индустрии и анализирует основные угрозы в области информационной безопасности на сегодняшний день.

В I квартале 2008 года продолжали увеличиваться темпы роста численности вредоносных программ, тысячи новых вариантов которых обнаруживаются каждый день. Этот процесс сопровождается ростом их технологической сложности. По-прежнему всплывают старые идеи и техники, реализация которых на новом уровне несет совершенно иную степень опасности. Это и заражение загрузочных секторов жестких дисков, и распространение вредоносных программ при помощи съемных накопителей, и заражение файлов.

В начале 2008 года и произошла символическая смерть «старой школы» вирусописательства. В феврале на сайте легендарной группы 29A появилось сообщение о прекращении ее существования. Люди, создавшие Cap (первый макровирус, вызвавший глобальную эпидемию), Stream (первый вирус для дополнительных потоков NTFS), Donut (первый вирус для платформы .NET), Rugrat (первый вирус для платформы Win64) и первый мобильный червь Cabir, отступили под натиском всеобщей коммерциализации вирусописательства. Никто уже не создает вредоносные программы для самоутверждения или исследований – гораздо более выгодно генерировать сотни примитивных троянских программ на продажу.

Буткит

Главной проблемой антивирусной индустрии в начале 2008 года стали буткиты - руткиты с функцией загрузки из бут-секторов любых устройств. На заре вирусописательства бут-вирусы были одними из самых распространенных вредоносных программ. Такие вирусы записывают свой код вместо оригинального кода boot-сектора дискеты, получая при загрузке управление системой. С появлением Windows 95/98 и выходом из употребления дискет бут-вирусы на 10 лет исчезли со сцены.

Но в начале 2007 года двое индийских программистов Nitin и Vipin Kumar представили Vbootkit – руткит с функцией загрузки из бут-секторов, способный работать в Windows Vista. Старая технология заражения бут-секторов пересеклась с модой на руткиты.

В ноябре 2007 года в Интернете появилось несколько веб-сайтов, которые производили загрузку некой вредоносной программы. Анализ этой программы выявил, что мы столкнулись с кодом, способным поражать MBR и сектора жесткого диска. Помимо сокрытия своего присутствия в системе, вредоносный код устанавливает в Windows бэкдор, который занимается также кражей информации - в том числе аккаунтов доступа к ряду банковских систем. Этот буткит выглядит как самодостаточная платформа, которая может быть легко добавлена к любой существующей вредоносной программе для ее защиты и сокрытия. Это означает, что не исключено скорое появление буткита на продажу, в результате чего технология станет доступной тысячам вирусописателей, и - учитывая текущие темпы роста числа вредоносных программ – может оказаться одной из наиболее распространенных угроз.

Опасность буткитов состоит в том, что вредоносный код получает управление еще до старта ОС, а значит, и антивирусной программы. 10 лет назад мы решили эту проблему при помощи загрузочных дискет с антивирусом. Похоже, что наступает время возвращения старых технологий не только для зловредов, но и для антивирусных программ.

Шторм продолжается

В середине января 2008 года исполнился год с момента появления вредоносной программы, известной как Zhelatin, Nuwar и Storm Worm. Zhelatin сочетает в себе модульность структуры, частоту появления новых вариантов, использование сотен зараженных сайтов для распространения и распространение через Skype и IM, а также использует руткит-технологии, методы обратной атаки на антивирусные компании и децентрализованный ботнет. Менее чем за год Storm Worm стал главной проблемой информационной безопасности - в первую очередь из-за своего мифического ботнета. Из-за децентрализации ботнета невозможно установить точное число зомби-машин. В январе компания Fortinet объявила о том, что считает этот ботнет вовлеченным в фишинговую атаку на банки Barclays и Halifax. Если это так, то это первый случай прямого использования ботнета Storm Worm для «классических» киберпреступных целей.

Эксперты расходятся во мнении, граждане какой страны стоят за Storm Worm. Одним из наиболее вероятных вариантов является деятельность международной группировки с четким разделением обязанностей. Кто-то создает программную часть червя, кто-то занимается спам-рассылками, кто-то размещает червя на зараженных сайтах, кто-то взламывает сайты, а кто-то еще создает эксплоиты. Storm является идеальной иллюстрацией современной киберпреступности с ее международным разделением труда.

TrojanGet

Инциденты информационной безопасности, в которых легальное ПО становится распространителем инфекции, довольно редки, но все же случаются.

Такие инциденты наносят удар по репутации компании, затрагивают пользователей, соблюдающих базовые правила компьютерной безопасности, и доставляют проблемы антивирусным компаниям, которые воспринимают легальный софт как доверенный.

В начале марта эксперты «Лаборатории Касперского» стали получать письма от пользователей по поводу наличия у них троянских программ в каталоге популярного клиента-загрузчика FlashGet. Кроме троянцев, свежую дату создания и модификации в каталоге самого FlashGet имел файл FGUpdate3.ini, в котором содержалась ссылка на файл inapp4.exe, являющийся троянцем. Троянец загружался с настоящего сайта FlashGet. Популярная легальная программа выступала в роли троянца-загрузчика, осуществляя в системах пользователей установку и запуск троянских программ, размещенных на сайте компании-производителя!

В результате взлома сайта производителя злоумышленникам удалось подменить стандартный файл конфигурации на файл, указывающий на троянскую программу, размещенную там же. Эта «уязвимость» существует во всех версиях FlashGet 1.9.xx. Любая троянская программа может изменить локальный ini-файл FlashGet, заставив его выполнять функции троянца-загрузчика. Официальной реакции от китайской компании-разработчика FlashGet на настоящий момент нет.

Социальные черви

По нашим прогнозам, в 2008 году основной мишенью фишинга станут пользователи социальных сетей. Учетные данные абонентов таких сервисов, как Facebook, MySpaces, Livejournal, Blogger и аналогичных им, будут пользоваться повышенным спросом у злоумышленников. В 2008 году множество троянских программ будут распространяться через аккаунты пользователей социальных сетей, через их блоги и профили.

Основными факторами, обеспечивающими одновременный интерес пользователей и хакеров к сервисам Web 2.0, являются:

1. Перенос пользовательских данных с персонального компьютера в Сеть
2. Использование одного аккаунта для нескольких разных сервисов
3. Детальная информация о пользователях
4. Информация о связях, контактах и знакомых пользователей
5. Место для публикации чего угодно
6. Доверительные отношения между контактами

Проблема достаточно серьезна уже сейчас и имеет все шансы стать главной проблемой информационной безопасности.

Мобильные новости

Новостей из мира мобильной вирусологии в первом квартале 2008 года было довольно много. Налицо продолжающийся прогресс технологий и все большее число участников этого процесса – как среди вирусописателей, так и среди антивирусных компаний. Вредоносные новинки примерно поровну распределились между четырьмя основными мишенями мобильных угроз: ОС Symbian, Windows Mobile, J2ME и iPhone.

Так, в первом квартале 2008 года с пугающей периодичностью появлялись троянцы для J2ME (мобильной версии платформы Java), работающие практически на любом современном мобильном телефоне. В январе мы обнаружили Smarm.b, в феврале - Smarm.c и Swapi.a, в марте - SMSFree.d. Они используют один и тот же способ зарабатывания денег – отправку SMS на платные premium-номера.

Было обнаружено и совершенно новое семейство Symbian-червей, получившее название Beselo, и китайский троянец для платформы Windows Mobile - InfoJack, - попавший в «дикую природу» и вызвавший множественные заражения пользователей.

Заключение

Период технологического затишья на вирусном фронте явно подходит к концу.

В прошлом году мы констатировали типичную работу вредоносного конвейера, задачей которого было создание примитивных, но многочисленных однотипных поделок.

Сейчас же явно наметилось изменение тенденции – об этом свидетельствует появление буткитов. Все чаще и чаще используются различные методы заражения файлов, в том числе с использованием сложных полиморфных технологий. Для борьбы с антивирусами вирусописатели даже начали заимствовать некоторые антивирусные технологии!

События первого квартала могут оказать сильное влияние на всю индустрию информационной безопасности в самом ближайшем будущем.

Полную версию отчета «Современные информационные угрозы, I квартал 2008» читайте на информационно-аналитическом портале Viruslist.ru.