"Мобильные" угрозы

В последнее время авторы вредоносных программ все больше специализируются на написании троянов. Как результат, крупномасштабные эпидемии сетевых червей встречаются крайне редко, в то время как информация о потерях в результате деятельности троянских и шпионских программ поступает почти каждую неделю. Только по предварительным данным на один червь приходится более пяти троянских модулей. Засилье троянов становится головной болью для компьютерной общественности - если раньше внимание злоумышленников было в большей степени нацелено на компьютер пользователя и Сеть, в целом, то сейчас оно устремилось гораздо дальше, а именно - на "кошелек" владельца машины.

Троян Delf.vb после попадания на компьютер создает в системном каталоге Windows файл "glduid.dll" и регистрируется в реестре системы с целью автоматического запуска. Стоит отметить, Delf.vb может работать как обычное приложение и как сервис (актуально для операционных систем Windows NT/2K/XP) с именем "Network Host Controller". Когда вредоносный модуль окончательно обоснуется в системе, он соединится с IRC-сервером для приема команд от своего создателя. Помимо того, что троян обладает встроенной функцией удаленного управления компьютером, по команде "хозяина" он также способен сканировать другие машины на наличие открытых сетевых ресурсов, а также распространенных уязвимостей - LSASS, DCOM, Microsoft IIS Extended Unicode Traversal vulnerability. После того, как вредоносная программа найдет лазейку, она автоматически устанавливает себя на другие компьютеры и продолжает свое виртуальное путешествие.

Следующая вредоносная программа - сетевой червь Envid.a - использует один из самых популярных на сегодняшний момент способов распространения: на электронный ящик приходит зараженное письмо, содержащее ссылку на онлайн-ресурс, в котором, собственно, и "спрятался" вирус. После запуска червь копирует себя с именем "FTPGRABER.EXE" в корневой каталог Windows, там же создает файл "WININIT.INI", а также регистрирует себя в ключах автозапуска системного реестра. Для своего дальнейшего распространения Envid.a сканирует адресные книги Windows в поисках адресов будущих жертв и использует имеющийся на зараженной машине почтовый клиент с целью организации рассылки зараженных писем.

Троян Padodor.gen после проникновения на машину производит инсталляцию себя в систему: с копированием своего тела в системный каталог Windows и добавлением ключей реестра для своей автозагрузки. Вредоносный модуль обеспечивает злоумышленнику неавторизованный доступ к зараженной машине. Помимо этого, Padodor.gen может закачивать на компьютер другие троянские программы, а некоторые модификации (версия "gen" означает, что существует множество вариантов данной программы) - и шпиона для похищения конфиденциальной информации. Отличительной особенностью этой вредоносной программы является то, что после закачки файлов производится чистка URL-кэша браузера - своеобразное заметание следов.

Семейство троянских программ IstBar.gen предназначено для скрытного скачивания из Сети на компьютер пользователя всевозможных вредоносных программ. Особенностью семейства является универсальный механизм получения адресов программ, подлежащих скачиванию. С этой целью каждые 30 минут IstBar.gen загружает файл-задание, к примеру, с адреса www.adzhooter.com/DR_S/gSD.html, который и несет в себе полную информацию об адресах подлежащих закачке программ.

 

* * *

Компания F-Secure, первая выпустившая "мобильный" антивирус, систематически предупреждает о появлении новых вредоносных программ, инфицирующих портативные устройства под управлением операционных систем Symbian. На этот раз эксперты по безопасности обнаружили сетевой червь Mabir, который, по сути, представляет собой модификацию вируса Cabir, впервые объявившегося в июне прошлого года. Cabir, напомню, попадает на смартфон в виде файла формата SIS. В процессе распространения используется беспроводная связь ближнего радиуса действия Bluetooth. Mabir по своим характеристикам очень похож на Cabir. Однако в F-Secure подчеркивают, что Mabir, несмотря на использование оригинального кода своего предшественника, представляет большую угрозу. Дело в том, что он способен распространяться не только посредством Bluetooth, но и в составе мультимедийных коротких сообщений (MMS). Во втором случае копии вредоносного кода высылаются в качестве ответов на входящие послания. Такая схема может ввести жертву в заблуждение и побудить ее открыть полученный файл. К счастью, какими-либо "неприятными" функциями Mabir не обладает. Кроме того, сообщений об инцидентах с заражением червем пока не поступало.

Спустя три дня после появления вируса Mabir та же компания F-Secure сообщила еще об одной вредоносной программе для портативных устройств под управлением операционной системы Symbian. Троян Fontal не способен распространяться самостоятельно и может попасть на смартфон только в том случае, если пользователь вручную загрузит его из Всемирной паутины. Установочный файл вредоносной программы носит название "Kill Saddam By OID500.sis". После своего запуска Fontal нарушает работу диспетчера программ, что приводит к тому, что владелец гаджета не может удалить программу и установить антивирус. Помимо этого, троян устанавливает в систему поврежденный файл. Если пользователь впоследствии попытается перезагрузить операционную систему, смартфон переходит в полностью нерабочее состояние. Единственный способ устранения вредоносной программы заключается в перепрошивке коммуникатора. Однако при этом все записанные в память устройства данные, включая содержимое книги контактов, будут потеряны.

Андрей АСФУРА

Версия для печатиВерсия для печати

Номер: 

15 за 2005 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!