На прошедшей неделе в Сети снова появилось несколько сетевых червей. Тем самым повторяется ситуация последних нескольких месяцев, когда в интернете объявляются либо новые версии старых червей, либо оригинальные вирусы, не получающие широкого распространения. Как правило, и те, и другие используют однообразные приемы попадания на машину жертвы и способы своего дальнейшего распространения. Такая ситуация играет на руку большим компаниям, которые, чаще всего, страдают в результате крупных сетевых эпидемий; а вот для рядовых пользователей, на компьютер которых в равной степени проникают как представители именитых семейств сетевых червей, так и малоизвестные вирусы, эта тенденция ничего хорошего не предвещает. Тем более, что количество вредоносных программ, если верить статистике, увеличивается с каждым месяцем.

Червь Leebad после активации записывает в корневые каталоги доступных накопителей два файла с именами admin.bat и autorun.inf. Первый из этих файлов используется для создания новой учетной записи с правами администратора и паролем abcd1234!@#, а второй - для автоматического запуска основного модуля вредоносной программы. Помимо этого, червь пытается отследить ввод с клавиатуры и сохранить эту информацию в лог-файле. Похищенные данные впоследствии могут использоваться злоумышленниками с целью кражи паролей.

Новая версия червя Bagz, получившая название Bagz.h, распространяется по электронной почте, используя в процессе организации массовых рассылок кода встроенный SMTP-сервер. Адреса жертв при этом извлекаются из найденных на инфицированном компьютере файлов с расширениями .tbb, .tbi, .dbx, .htm и .txt. После запуска вирус записывает на винчестер несколько своих копий и обеспечивает собственный автозапуск при старте Windows. Кроме того, червь Bagz.h пытается закрыть доступ к онлайновым ресурсам компаний, специализирующихся на вопросах компьютерной безопасности.

Вирус Zafi.c, самый молодой пока представитель семейства сетевых червей Zafi, распространяется по электронной почте с различными именами и расширениями .exe или .scr, а также через локальные и пиринговые сети. После запуска вирус создает собственные копии в системной директории Windows с именами svchost.com и svchost.con, а также tm.txt в корневом каталоге диска C. Далее Zafi.c вносит ряд изменений в реестр и осуществляет массовую рассылку вредоносного кода по найденным на инфицированной машине адресам электронной почты. Кроме этого, червь пытается организовать DoS-атаки на сайты google.com, microsoft.com и miniszterelnok.hu. Из всей подборки вредоносных программ за эту неделю этот вирус представляет наибольшую опасность.

Червь Yeno, которого по праву можно назвать другом нетрезвого человека, распространяется по электронной почте в виде файлов с именем Oxney.b.vbs. После запуска вредоносная программа выводит на дисплей сообщение с текстом "Are you still drunk...???" ("Вы все еще пьяны?"). Если пользователь отвечает утвердительно, вирус завершает свою работу, не производя никаких действий. Если же владелец компьютера дает отрицательный ответ, Yeno создает в системной директории Windows собственную копию, регистрируется в ключе автоматического запуска реестра и инфицирует все файлы с расширениями .vbs, .vbe, .htm, .html на дисках C, D и E. Кроме того, копии вредоносного кода рассылаются по адресам, найденным в книге контактов Outlook.

* * *

Как и ожидалось, октябрьский рейтинг самых распространенных вредоносных программ заполонили существующие уже не первый месяц семейства сетевых червей NetSky, Bagle и Mydoom. Равно как и в сентябре, лидером хит-парада стали черви NetSky. Его различные модификации занимают восемь позиций из двадцати, а в своей совокупности составляют 51,3% вирусного трафика за октябрь.

Отмеченный в прошлом номере газеты червь Bagle.at на деле показал столь высокую скорость распространения, что буквально за два дня смог подняться до седьмого места. Тем не менее, в последние дни наблюдается стремительное падение показателей присутствия этого вируса в почтовом трафике, и вопрос о его дальнейшем появлении в рейтингах остается открытым.

Последнюю строчку "топа" заняла вредоносная программа Backdoor.Win32.Rbot.gen, управляемая через IRC-каналы и распространяющаяся через различные дыры в операционных системах Windows, в том числе через уязвимость в локальной подсистеме аутентификации пользователей LSASS.

Таким образом, все идет к тому, что вирусный рейтинг полностью займут представители трех именитых семейств. Кроме того, довольно внушительное число от общего вирусного трафика в интернете составили прочие вредоносные программы. Всего же за прошедший месяц было зафиксировано около 200 различных вирусов.

* * *

Уже сегодня методы, которые используют злоумышленники с целью украсть личную информацию, представляют большую опасность для пользователей всего мира. Не за горами же появление еще более изощренных способов, когда нужное письмо или необходимый сайт отличить от "фальшивки" будет почти невозможно. Один из руководителей Исследовательского центра прикладной кибербезопасности при университете Индианы Маркус Джэкобссон полагает, что сложные технические трюки приведут к тому, что гораздо больше людей станут жертвами злоумышленников. Такие технологии могут позволить мошенникам, например, подстраивать свои письма под личные обстоятельства конкретного пользователя. Бороться с этим Маркус Джэкобссон рекомендует ограничением количества личной информации, которую пользователи сообщают о себе в интернете.

Настоящая охота на личную информацию развернулась с того момента, когда мошенники научились все лучше маскировать свои письма под настоящие. Одни из самых изощренных обманных писем отсылают получателей к ресурсам, которые очень сложно отличить от настоящих сайтов финансовых организаций или интернет-компаний. Приемы кодировки страниц позволяют прятать настоящие адреса фальшивых сайтов. В одном из недавних случаев фальшивый сайт заменял навигационную панель браузера Internet Explorer полностью работающей фальшивой панелью, которая прятала настоящее расположение сайта.

Маркус Джэкобссон утверждает, что в будущем такие письма и сайты станут еще более изощренными, и в сети мошенников будет попадаться еще больше жертв. По его словам, в будущем такие письма смогут учитывать контекст и пользоваться любой доступной информацией о пользователе. Джэкобссон подозревает, что такие изощренные сообщения могут обмануть до 50% пользователей. Кстати, статистика показывает, что на сегодняшний момент только около 3% пользователей попадаются на уловки мошенников.

Технологические средства борьбы с такими обманами существуют и совершенствуются, но, по словам исследователя, пользователям тоже необходимо действовать. Маркус Джэкобссон в частности заявил: "Личная информация должна быть доступна на открытых сайтах только в случае крайней необходимости, или если пользователь дает на это свое согласие, зная о риске".

Андрей АСФУРА