2003 год
Время активного развития сетевых "червей". Интернет периодически сотрясают эпидемии. Вновь оказываются побитыми рекорды распространения вируса. На этот раз отличился "червь" Slammer, который в течение всего 10 минут заразил 75 тысяч компьютеров, среди которых оказались даже машины Госдепартамента США. В результате консульства Америки на полдня остались без работы, поскольку осуществлять процесс выдачи виз было невозможно.
Ну а в общем год прошел без особых неожиданностей. Антивирусное ПО стало еще более совершенным, поэтому сегодня в распространении вирусов виноваты в большинстве случаев сами пользователи. Внимание общественности к зловредным программам привлекают не только печатные СМИ, но и радио и телевидение. Поэтому постепенно пользователи начинают приучать себя к соблюдению основных правил безопасности в Интернете, который на сегодняшний день и является основным источником вирусов.
2. Примеры ЗПО
2.1 Эпидемии
1) В мае 2008 в России была зарегистрирована первая эпидемия компьютерного вируса, распространяющегося через социальные сети. Червь Win32.HLLW.AntiDurov заразил, по экспертным оценкам, до сотен тысяч компьютеров пользователей сети "ВКонтакте.ру". Следом аналогичный вирус появился и в сети "Одноклассники.ру". Специалисты отмечают, что социальные сети являются идеальным инструментом для распространения вирусов, поскольку пользователи доверяют размещенному там содержимому.
Социализация вирусов
Главная тенденция последних пяти лет развития интернета заключается в бурном росте социальных сетей — виртуальных объединений пользователей по интересам. По данным аналитической компании comScore за июнь, в глобальном масштабе аудитория этих сетей составляла более 580 млн человек. У каждой из наиболее популярных сетей — Facebook и MySpace — число пользователей превысило сотню миллионов. По числу активных пользователей социальных сетей на первом месте страны Азии (200 млн человек), затем Европа (165 млн) и Северная Америка (130 млн).
Неудивительно, что социальные сети оказались благодатной средой для распространения вредоносных программ, а также различных видов мошенничества. Во многом это связано с доверчивостью пользователей, к тому же разработчики, несмотря на предостережения антивирусных компаний, заверяли аудиторию в полной безопасности своих ресурсов. В итоге к середине десятилетия имелись три условия для возникновения вирусных угроз в социальных сетях. Во-первых, социальные сети обладают механизмом распространения вредоносного кода. Во-вторых, они не имеют встроенных технологий защиты. В-третьих, аудитория достигла масштабов, привлекавших злоумышленников.
Первыми от действий мошенников пострадали пользователи западных социальных сетей, таких как MySpace и Facebook. 4 октября 2005 года в течение 20 часов компьютеры более миллиона пользователей MySpace заразились сетевым червем Samy. К счастью, он оказался обычным "хулиганом": его единственным проявлением была незначительная модификация профилей учетных записей. Тем не менее автор червя Сами Камкар был арестован и приговорен к исправительным работам с трехлетним испытательным сроком.
Позднее вирусные эпидемии стали распространяться и на другие социальные сети и веб-сервисы. Черви атаковали пользователей Gaia Online, Orkut, Yahoo!, Twitter и даже китайский клон Facebook под названием Xiaonei. В 2008 году началась тотальная эпидемия в социальных сетях: за лето было обнаружено почти два десятка вирусов для MySpace и Facebook, при этом вирусологи наблюдали их бурный качественный рост. В "Лаборатории Касперского" выделили шесть поколений, каждое из которых использовало все более совершенные способы распространения и маскировки.
Российские пользователи также оказались абсолютно не готовы к внезапной атаке со стороны сетевых мошенников. Утром 16 мая СМИ сообщили о появлении червя Rovud — первой в своем роде вредоносной программы, распространявшейся в сети "ВКонтакте.ру". Этот вирус рассылал с инфицированных машин другим пользователям сети ссылку на картинку в формате .jpeg, ведущую на ресурс злоумышленника. Реально же сервер отдавал по этой ссылке исполняемый файл deti.scr, который и является сетевым червем. Запущенный без ведома пользователя файл сохранял на диске саму картинку и запускал приложение для просмотра файлов .jpeg. Таким образом, пользователь видел то, что ожидал увидеть, не подозревая, что в его компьютере поселился вирус. Скопировав себя в одну из системных папок под именем svc.exe, червь устанавливался в систему в качестве сервиса Durov VKontakte Service и находил пароль к "ВКонтакте.ру". Если пароль находился, то червь получал доступ ко всем контактам своей жертвы в данной сети рассылал по этим контактам все ту же ссылку. Деструктивная функция червя заключалась в том, что 25-го числа каждого месяца в 10.00 начиналось удаление с диска C всех файлов.
Эта проба пера вирусописателей опровергла расхожее представление о том, что "первый блин комом". Rovud на деле доказал свою работоспособность, а его жертвами стали десятки тысяч пользователей. Двумя месяцами позже по сети "ВКонтакте.ру" ураганом прошлась новая рассылка вредоносной программы. На этот раз под видом порноролика распространялась троянская программа Crypt, подчинявшая зараженный компьютер полному контролю злоумышленников. Несмотря на примитивную приманку, "троянец" все же смог поразить более 4 тыс. участников сети.
2) Российская компания-производитель антивирусного ПО "Лаборатория Касперского" объявила об очередной эпидемии компьютерных вирусов. На этот раз атака исходит от вируса-"червя" Net-Worm.Win32.Mytob, который стремительно распространяется за счет многочисленных модификаций.
Один из вариантов Mytob лидирует по показателям активности на протяжении последних трех недель, занимая около 30 процентов всего вирусного почтового трафика. В настоящее время черви этого семейства представлены в составляемом компанией рейтинге двадцати наиболее распространенных вирусов 5-6 вариантами.
Mytob создан на основе знаменитого почтового червя Mydoom, вызвавшего несколько эпидемий. Он заражает компьютеры под управлением Windows, на которых не установлены последние обновления системы безопасности от Microsoft, в частности, ликвидирующие уязвимость в механизме LSASS. Традиционно вирус приходит в виде письма с бессмысленным заголовком и текстом и с исполняемым файлом в качестве приложения, замаскированным под неисполняемый.
После заражения червь внедряется в систему и рассылает свои копии по почте по найденным на компьютере адресам, а также пытается проникнуть в другие незащищенные компьютеры, выборочно сканируя участки Интернета. Он, как большинство вирусов, содержит механизм, позволяющий разославшим его хакерам получить полный контроль над зараженной машиной.
Накануне компания Microsoft выпустила очередной пакет обновлений для своего ПО, в том числе имеющих статус "критических". В "Лаборатории Касперского" отмечают, что пользователям необходимо обязательно установить эти обновления, так как вновь найденные "дыры" могут вызвать новые эпидемии в случае появления вирусов, которые их используют.
2.2 Черви
1) 28.01.2008 PandaLabs - лаборатория компании Panda Security, которая занимается обнаружением и анализом вредоносного ПО, обнаружила два новых червя, Nuwar.OL и Valentin.E, которые для распространения используют тему грядущего Дня Святого Валентина.
"Год за годом в преддверии Дня Святого Валентина мы наблюдаем появление нескольких образцов вредоносного ПО, которые пользуются темой праздника как приманкой, чтобы обмануть пользователей, - объясняет Луис Корронс (Luis Corrons), технический директор PandaLabs. - Это говорит о том, что киберпреступники до сих пор активно используют такие технологии, а многие люди по-прежнему попадают в приготовленную для них ловушку".
Первый из этих червей, Nuwar.OL, попадает в компьютеры в электронном сообщении с такими темами, как "I Love You Soo Much", "Inside My Heart" или "You… In My Dreams". В тексте такого сообщения содержится ссылка на веб-сайт, с которого загружается вредоносный код. Страница выглядит очень просто и похожа на романтическую поздравительную открытку с изображенным на ней большим розовым сердцем.
Сразу же после заражения компьютера червь рассылает огромное количество электронных писем по всем контактам зараженного пользователя. За счет этого он распространяется, а также создает большую нагрузку на сеть и снижает скорость работы компьютера.
Valentin.E действует почти аналогичным образом. Как и червь Nuwar, он распространяется в электронных сообщениях с такими темами, как "Searching for true Love" или "True Love", и содержит вложение под названием "friends4u". Если пользователь открывает файл, копия червя загружается на его компьютер.
Вредоносный код устанавливает на компьютере файл с расширением .scr. Если пользователь запускает этот файл, Valentin.E меняет обои на рабочем столе для того, чтобы обмануть пользователя, а сам в это время создает в компьютере несколько своих копий.
Затем червь рассылает с зараженного компьютера электронные письма, содержащие его копию, чтобы заразить как можно больше пользователей.
"Оба этих червя – это великолепные примеры использования технологий социальной инженерии с целью распространения вредоносного ПО. Они обычно используют заманчивые темы – поздравительные открытки к Дня Святого Валентина, романтические обои для рабочего стола и другие визуальные элементы для того, чтобы заставить пользователя открыть вложение или перейти по ссылке, в результате чего на компьютер загружается вредоносное ПО", рассказывает Корронс.