«Вирусные» итоги 2004 года, обнародованные «Лабораторией Касперского», удивили многих. Вряд ли кто-то ожидал, что за последние два месяца отчетного периода столь кардинально изменится расстановка сил в рядах вредоносных программ
ЕВГЕНИЙ КАСПЕРСКИЙ: «Угроза массовых вирусных эпидемий смещается в сторону мобильных вычислений» |
Первое место в «хит-параде» занял венгерский червь Zafi.d, обнаруженный в октябре, а второе — его «брат» Zafi.b, особенно активно распространявшийся летом. Интересно, что из тройки Mydoom, Bagle, Netsky, в течение всего года претендовавшей на верхние строчки рейтинга «Лаборатории», лишь Netsky удалось взять бронзу. А Mydoom и Bagle, не имевшие равных еще в ноябре, значительно сдали позиции в конце года и не дотянули до призовых мест.
Неожиданностью стало и появление среди лидеров рейтинга корейского червя LovGate.w, занявшего четвертую строчку в вирусном табеле о рангах. Его ближайший родственник LovGate.ad пока находится на 18 месте, но прогнозировать дальнейшую активность этого червя специалисты не берутся. Евгений Касперский, руководитель направления антивирусных исследований «Лаборатории», подчеркивает, что корейские вирусы, в отличие от других участников рейтинга, не рассылаются вместе со спамом. Специалисты полагают, что они распространяются по миру «классическим» способом, начиная с небольшого числа компьютеров и постепенно осваивая все новые территории.
По данным Computer Economics, в 2004 году сумма финансового ущерба компаний от деятельности вирусов и прочего вредоносного ПО приблизилась к отметке 18 млрд долл. В представленной статистике не учитываются убытки от спама и огромные суммы, украденные со счетов доверчивых пользователей с помощью фишинга. Как свидетельствует Computer Economics, наиболее разрушительным в прошлом году оказался MyDoom, разоривший пользователей более чем на 4,5 млрд долл. За ним следует Sasser, убытки от которого оцениваются примерно в 3,5 млрд долл. Чуть скромнее были Netsky и Bagle, причинившие ущерб в 2,7 млрд долл. и 1,5 млрд долл. соответственно.
Подавляющее большинство вредоносных программ составляли черви (87%), на троянцев пришлись 7%, на макровирусы — 4%, на вирусы и Exploit (программы, использующие уязвимости в ОС) — по 1 %. Крупнейшими вирусными эпидемиями года специалисты «Лаборатории» считают MyDoom (она бушевала в феврале и оказалась самой серьезной напастью за всю историю Сети) и Sasser (пик ее активности пришелся на май). Евгений Касперский сообщил, что декабрь 2004 года прошел без заметных эпидемий червей, поскольку основное внимание вирусописателей было сосредоточено на уязвимостях в Internet Explorer, создании программ-шпионов и AdWare (рекламного ПО). К этой категории относятся два новичка из статистики «Лаборатории» — Trojan-Downloader.Win32.Agent.bq и Trojan-Spy.HTML.Bankfraud.w. Первый из них, распространяясь по электронной почте, устанавливает на машины программы класса AdWare и собирает информацию о посещаемых пользователем ресурсах. Полученные данные программа передает своим создателям, которые используют их для адресной рассылки рекламных объявлений, соответствующих интересам владельца зараженного компьютера. В свою очередь, Trojan-Spy.HTML.Bankfraud.w является ярким представителем индустрии фишинга. Попадая в систему под видом письма, якобы отправленного службой поддержки Washington Mutual Internet Banking, он «выманивает» у пользователей пароли и коды доступа к их банковским счетам. По словам Касперского, примерно 80—90% вредоносного ПО создается в корыстных целях, поэтому фишинг, стремительно распространяющийся на Западе, скоро станет реальной угрозой и для пользователей Рунета.
Еще одна сенсация — сообщение о первом случае заражения на территории России мобильной трубки (Nokia 7610) сетевым червем Cabir.a. Анализ информации в телефоне показал, что вредоносный код полностью идентичен оригинальному варианту Cabir, обнаруженному в июне 2004 года. По мнению специалистов «Лаборатории», это дает основания для неутешительного вывода: считавшийся ранее концептуальным изобретением сетевой червь уверенно распространяется по всему миру, инфицируя аппараты под управлением ОС Symbian. Россия стала девятой по счету страной, в которой произошло заражение. Особую опасность представляют места массового скопления людей (метро, кинотеатры, вокзалы, аэропорты), где наиболее вероятно подхватить вирус через модуль Bluetooth.
Чтобы минимизировать риск заражения, аналитики «Лаборатории» советуют пользователям мобильных телефонов на платформе ОС Symbian принять ряд мер. Рекомендуется не использовать систему передачи данных bluetooth в режиме «видимость для всех», не принимать файлы от незнакомых отправителей, установить специальную утилиту для поиска и удаления Cabir, доступную для бесплатной загрузки на WAP-сайте «Лаборатории».
Для повышения эффективности защиты от вирусов Евгений Касперский советует следовать простым правилам: использовать хороший антивирус, регулярно обновлять его БД и не верить ни единому письму от неизвестных отправителей. Неопознанные письма надо либо удалять, либо отправлять на проверку в виртуальную Web-лабораторию Касперского.
Черви совершенствуются
«Лаборатория Касперского» сообщила об обнаружении Bagle.ay — новой модификации известного сетевого червя Bagle. Эксперты зафиксировали массовое распространение вредоносной программы, что вынуждает заявить об очередной вирусной эпидемии в Internet. Таким образом, пауза, взятая Internet-червями после памятной эпидемии Sasser в мае 2004 года, оказалась недолгой.
Червь Bagle.ay распространяется в виде вложений в электронные письма. Он представляет собой исполняемый в среде Windows файл размером 19 Кбайт, приложенный к письму с одним из предустановленных заголовков (Delivery service mail, Delivery by mail, Registration is accepted, Is delivered mail и You are made active). Текст письма также имеет варианты исполнения (Thanks for use of our software и Before use read the help), как и наименование вложенного файла (выбирается произвольным образом из имен wsd01, viupd02, siupd02, guupd02, zupd02, upd02 и Jol03).
Bagle.ay активизируется, когда пользователь открывает приложение к письму. Он копирует себя в системный каталог Windows и регистрируется в ключе автозапуска системного реестра. При этом прерываются процессы, обеспечивающие персональную защиту компьютера и локальных подсетей. Червь использует стандартную процедуру сканирования файловой системы компьютера в поисках адресов электронной почты (за исключением адресов крупных компаний — разработчиков ПО). Для отправления зараженных писем он напрямую взаимодействует с SMTP-сервером, а кроме того, ищет каталоги, содержащие строку «shar». Найдя их, Bagle.ay выкладывает себя в файлы с названиями популярных приложений и утилит. В результате число каналов распространения вредоносного кода увеличивается за счет использования разделяемых ресурсов и P2P-сетей.