Наверное, никакие вредоносные программы так не заполонили Всемирную паутину, как вездесущие трояны. Конечно, по сравнению с какими-нибудь действительно опасными червями, по количеству случаев заражения им и вровень не стоять, но зато по разнообразию "ассортимента" нет равных. Не стала исключением в этом плане и прошлая неделя. Кстати, в такой закономерности нет ничего удивительного. Во-первых, сама по себе троянская программа не представляет собой, с точки зрения ее написания, ничего сверхсложного. Во-вторых, большое число троянских программ - это показатель тенденции коммерциализации вирусных технологий, когда создатели вирусов, скорее, охотятся не за славой своего "детища", а за паролями к кредитным карточкам.

Так, троян Revcuss, инфицирующий компьютеры с установленными на них операционными системами Windows, после проникновения на машину записывает на жесткий диск два файла с именами usersvc.exe и ntlogon.exe, ссылки на которые затем добавляются в ключ автозапуска реестра. Затем Revcuss начинает шпионскую деятельность, фиксируя вводимую при помощи клавиатуры информацию и отправляя ее своему автору. Кроме того, троян может соединяться с сайтами vivi.vibrahost.com, mig29here.com и addicted-to.druggs.info для получения управляющих команд. Хотя, в целом, программу можно считать малоопасной.

Из того же числа и шпионская программа Almat. Проникнув на компьютер под управлением операционной системой Windows, троян записывает на жесткий диск собственную копию с именем win.exe и регистрируется в ключе автозапуска реестра. Украденная им информация отправляется по электронной почте при помощи встроенного SMTP-модуля, причем указанный в коде вредоносной программы почтовый сервер находится на территории России.

В основные задачи следующей вредоносной программы - трояна Naninf - входит предоставление злоумышленникам несанкционированного доступа к удаленной машине. После запуска жертвой вредоносной программы, она записывает на жесткий диск свою копию с именем svcnxp32.exe и добавляет ссылку на этот файл в ключ автозапуска. Более того, находясь в памяти, Naninf периодически обновляет информацию о себе в реестре, что повышает шансы трояна остаться на инфицируемой машине подольше. Доступ к компьютеру авторы вредоносной программы могут получить через каналы IRC.

Существуют троянские программы, которые "терпеть не могут", когда на винчестере остается свободное место. Так, после проникновения на компьютер, троян HardFull записывает в системную директорию Windows свою копию под названием svchost.exe и регистрирует этот файл в ключе автозапуска. Далее HardFull удаляет из меню "Пуск" пункты "Выполнить" и "Найти", а также отключает средства редактирования реестра. Кроме того, троян создает в папке Windows файл Aavfhrie.jlc, который заполняется текстом "Win32.Delf.du_Ful" до тех пор, пока не будет исчерпано все свободное место на жестком диске. Правда, вредоносная программа HardFull не способна распространяться самостоятельно и требует для активации вмешательства со стороны пользователя. О целях создания программы остается только догадываться.

*

Сентябрь 2004 года вирусным точно не назовешь. То ли у создателей вирусов сезон летних отпусков еще не закончился, то ли началась зимняя спячка, а в прошедшем месяце серьезных вредоносных программ так и не появилось. Тем не менее, как заявила вирусный аналитик "Лаборатории Касперского" Алиса Шевченко, эволюция вредоносных программ в сентябре развивалась по трем стандартным направлениям.

Первое - это появление новых версий почтовых червей из так называемых "плодовитых" семейств. В данном случае речь идет о червях Mydoom и Bagle, новые версии которых были обнаружены в прошлом месяце.

Второе - возникновение вредоносных программ, использующих принципиально новые технологии заражения либо распространения. Представляет этот пункт безобидная программа Rucar.a. Все, что делает программа-шутка, - выводит на экран имена файлов, находящихся на жестком диске. Правда, ее примечательность заключается в том, что весь функциональный код спрятан внутри обыкновенной с виду BMP-картинки, в свою очередь находящейся внутри исполняемого файла-дешифровщика. Несмотря на то, что сама по себе эта технология не является новой и представляет собой классический пример стеганографии с использованием BMP-файлов, в вирусном контексте она встречается впервые.

В качестве третьего направления значится появление новых троянских программ, эксплуатирующих недавно найденные уязвимости в широко распространенных программах. Хотя это характерно почти для каждого месяца, троянские программы, эксплуатирующие брешь в формате JPEG, до сих пор вызывают опасения.

Если говорить о прогнозах, то в следующем месяце стоит ожидать появление новых опасных модификаций уже известных червей. К тому же сохраняется готовность к пришествию новых вирусов для мобильных устройств, неизбежное появление которых, по мнению "Лаборатории Касперского", - вопрос времени.

*

В то время как весь мир считает убытки от деятельности создателей вредоносных программ, несколько компаний готовы официально оплатить их деятельность. Одной из них является небольшая британская компания Avecho, занимающаяся разработкой программного обеспечения, которая пообещала приз в 10 тысяч фунтов стерлингов тому, кто сможет преодолеть созданную ею антивирусную защиту.

Конкурсанты должны зарегистрироваться в почтовой системе, защищенной продуктом GlassWall. Те, кто сумеет отправить со своего адреса или получить на него зараженное вирусом письмо, получат вышеперечисленную сумму. Как заявил вице-президент Avecho по международному маркетингу Марк Эллиотт, единственным условием является то, что все участники должны сообщать не только о своих удачах, но и о провалах.

Стоит отметить, Avecho - не первая компания, привлекающая к тестированию своих продуктов хакеров. В 2001 году компания Argus Systems объявила о готовности выплатить награду тем, кто взломает обслуживаемый ею сервер Pit Bull. Однако, в итоге, польские хакеры из группы Last Stage of Delirium обещанный приз так и не получили. Через год компания Korean Digital Works предложила 100 тысяч долларов тому, кто взломает ее сервер. Однако хакеры в качестве атаки выбрали сервер регистрации участников этого конкурса.

Андрей АСФУРА