Вирусные угрозы – постоянная опасность

Михаил Касимов, начальник отдела вирусного мониторинга Центра технической поддержки "Доктор Веб":

За последние 10 лет вредоносные программы претерпели немало изменений, как по способу своего распространения, так и по способу инфицирования поражённой системы. По способу распространения условно можно выделить три этапа:

• С 1987 года (когда появились первые вирусы для платформы IBM PC) и по 1998 год – период дискет.
• С 1998 года, когда Интернет стал доступен массовому пользователю, а дискеты как средство транспортировки вирусов стали отходить на второй план, уступая электронной почте, по 2007 год.
• С начала 2007 года и по сегодняшний день – период смешанной транспортировки. Доставка вредоносных программ осуществляется как по электронной почте, посредством Web-браузера, так и с использованием внешних носителей – flash-накопителей.

Прежде чем продолжить рассказ, необходимо остановиться на вопросе терминологии. По устоявшейся традиции, любая программа, выполняющая нежелательные действия на компьютере, получает название "вирус". Поскольку на сегодняшний день не существует чёткого определения термина "компьютерный вирус", будет использоваться определение, принятое в компании "Доктор Веб".

Итак, вирус – это программа несанкционированного и неавторизованного доступа к ресурсам вычислительной системы (данным), обладающая свойством самовоспроизведения и распространения. При этом новый файл не всегда идентичен порождающему.

Рассмотрение проблематики распространения вредоносных программ начнём с 1998 года – начала доступности Интернета массовому пользователю. Главным средством транспортировки файлов стала электронная почта. И этим не преминули воспользоваться вирусописатели, так как скорость доставки вредоносного кода через электронную почту несоизмеримо выше скорости доставки посредством внешних носителей. Как ни удивительно, но компания Microsoft, по злому умыслу или без него, сделала вирусописателям неплохой подарок, поскольку почтовый клиент Outlook Express, входящий в состав операционной системы Windows, позволял автоматически запускать вложенные файлы при просмотре писем. После значительных эпидемий скриптовых червей VBS.Loveletter (известный также как червь I Love You) и WScript.Kak компания Microsoft убрала возможность автоматического запуска вложенных файлов, но, тем не менее, это не уменьшило опасности электронной почты. Перед вирусописателями встала задача заставить пользователя самому открыть вредоносные вложения. Идея лежала на поверхности – использовать особенности характера человека, такие как любопытство, жажда зрелищности, наживы и даже сострадания. По сути, впервые это было успешно продемонстрировано тем же VBS.Loveletter, в теме писем которого была строка I Love You, и человек не мог удержаться от соблазна взглянуть на "любовное послание". Но на тот момент явление эксплуатирования человеческого фактора не было систематизировано. Позже данное явление получило название "социальная инженерия".

На своём начальном этапе каждый новый приём злоумышленников являлся едва ли не откровением, что приводило к масштабным эпидемиям. В качестве примеров можно привести распространение почтового червя массовой рассылки Win32.HLLM.Gibe.2, маскирующегося под заплатку безопасности от Microsoft или под сообщение почтового сервера о невозможности доставки почты – Win32.HLLM.MyDoom.32768.

Начиная с 2000 года основными игроками "вирусного фронта" стали почтовые черви массовой рассылки. Выход новой версии ОС Windows XP, к сожалению, дал новый толчок к распространению вредоносных программ. Памятным событием стало появление червя Win32.HLLW.Lovesan, использующего для своего распространения уязвимость в службе DCOM RPC. Для своего распространения червь сканировал компьютеры в сети на наличие указанной уязвимости и, в случае обнаружения таковой, заражал. В инфицированных системах червь устанавливал семафор BILLY, предотвращая таким образом повторное заражение компьютера себе подобными червями. Кроме того, Win32.HLLW.Lovesan обладал функционалом организации DDoS-атаки (Distibuted Denial of Service – распределённый отказ в обслуживании) на серверы Microsoft. Немного позже подобным функционалом обладал почтовый червь массовой рассылки Win32.HLLM.MyDoom, но, в отличие от Win32.HLLW.Lovesan, атака проводилась и на серверы компании SCO. При этом если компания Microsoft предприняла меры для противодействия атакам Win32.HLLM.MyDoom, то SCO – нет. Это и привело к тому, что серверы SCO были недоступны.

В дальнейшем и по сегодняшний день вредоносные программы претерпели определённые изменения – изменилась сама парадигма их работы. "Вирусная" составляющая стала отходить на второй план, являясь опциональной. В огромном количестве появились вредоносные программы, представляющие собой лишь транспортное средство доставки других вредоносных программ, – загрузчики и инсталляторы. Устанавливаемые ими вредоносные программы в подавляющем большинстве случаев используются для кражи конфиденциальной информации – паролей к платёжным системам, паролей к почтовым ящикам, системам мгновенного обмена сообщениями и т.п. Иными слова, произошла перенаправленность вредоносных программ на коммерциализацию и воровство информации с целью обогащения. Кроме того, в работе с электронной почтой акцент сместился в сторону рассылки спама. При этом следует разделять первичную и вторичную спам-рассылку. Первичная используется для доставки вредоносной программы конечному пользователю с применением методов социальной инженерии. Вторичная – спам-рассылка, которую генерирует уже установленная на инфицированный компьютер вредоносная программа. Обычно злоумышленники стремятся к инфицированию не одного компьютера и даже не одной тысячи компьютеров, организовывая целые сети для своей деятельности (ботнеты). В качестве примера следует отметить ботнет "штормового червя", получивший по классификации компании "Доктор Веб" наименование BackDoor.Groan.

В настоящее время реальностью стало распространение вредоносных программ посредством внешних накопителей, при этом весьма активное. Именно поэтому можно говорить, что начиная с 2007 года наступил период смешанной транспортировки вредоносных программ конечному пользователю. Заражение происходит при монтировании флэш-накопителей: на них помещается тело вредоносной программы и файл autorun.inf, в котором прописывается путь к телу вредоносной программы. Тем самым обеспечивается запуск вредоносной программы при активировании флэш-раздела. В данном случае переносчиком инфекции может служить не только традиционная "флэшка", но и любые другие устройства, имеющие USB-интерфейс. При этом следует помнить, что они являются всего лишь средством для транспортировки вредоносных программ и не более.