Пресс-релизы

19 декабря 2003 г

Обзор вирусной активности за 2003 год

"Лаборатория Касперского", ведущий российский разработчик систем защиты от вирусов, хакерских атак и спама, представляет ежегодный обзор событий в области вредоносных программ. Данный материал содержит сведения о крупнейших вирусных инцидентах, произошедших в 2003 г., экспертную оценку тенденций в сфере создания и распространения вирусов и прогнозы "Лаборатории Касперского" относительно дальнейшего развития ситуации.

Общие

В 2003 году было зафиксировано 9 крупных вирусных эпидемий и 26 менее значительных, носящих, преимущественно, локальный характер. Это число уступает результатам прошлого года (12 и 34 соответственно). Однако, одновременно со снижением количества эпидемий, наблюдается многократный рост их масштабности и побочных действий, влияющих на работу интернета в целом.

Крупнейшие вирусные эпидемии

В 2003 году произошли две глобальные эпидемии, которые можно назвать крупнейшими за всю историю интернета. Важно отметить, что они были вызваны не классическими почтовыми червями, но их сетевыми модификациями - червями, распространяющимися в виде сетевых пакетов данных.

Начало было положено 25 января сетевым червем Slammer (Helkern), использующим для своего распространения уязвимость в системе управления базами данных Microsoft SQL Server. Slammer стал первым бестелесным сетевым червем, сумевшим в полной мере реализовать описанную в 2001 году технологию Flash-червей. В течение нескольких минут, 25 января 2003 года, он заразил сотни тысяч компьютеров по всему миру и смог настолько увеличить сетевой трафик (по экспертным оценкам от 40% до 80% в различных сетях), что послужило причиной выхода из строя отдельных национальных сегментов интернета. Червь атаковал компьютеры через порты 1433 и 1434 и при проникновении на пораженную машину не создавал своего тела на диске, присутствуя только в памяти. Анализ хода развития эпидемии позволяет выразить предположение о его восточно-азиатском происхождении.

Причиной второй, не менее значительной эпидемии стал червь Lovesan (Blaster), появившийся 12 августа. Червь еще раз продемонстрировал всему миру насколько уязвима популярная операционная система Windows. Как и Slammer, Lovesan использовал для своего размножения брешь в системе безопасности в программном обеспечении компании Microsoft. Отличием стало то, что Lovesan использовал брешь в службе RPC DCOM, которая присутствовала на каждом компьютере, работающем под управлением Windows 2000/XP. Это привело к тому, что практически каждый пользователь, выходя в дни эпидемии в интернет, подвергался атаке со стороны червя. В течение нескольких дней с момента появления Lovesan было обнаружено три модификации червя. Вскоре по интернету прокатилась эпидемия червя Welchia, который использовал ту же самую брешь в системе безопасности Windows. Однако, в отличие от оригинала, Welchia удаляла обнаруженные копии Lovesan и пыталась установить "заплатку" для службы RPC DCOM.

2003 год прошел под знаком непрекращающихся эпидемий различных почтовых червей. В январе были обнаружены черви Ganda и Avron. Первый их них был написан в Швеции и до сих пор является одним из наиболее распространенных почтовых червей в Скандинавии. Автор червя был арестован шведской полицией в конце марта. Червь Avron стал первым червем, написанным на территории бывшего СССР, который смог вызвать значительную эпидемию глобального масштаба. Исходные тексты червя были опубликованы на вирусописательских веб-сайтах, что привело к появлению нескольких, менее успешных вариантов.

Также, в январе появился первый червь из семейства Sobig, которые впоследствии регулярно вызывали значительные вирусные инциденты. Модификация "F" и вовсе побила все рекорды и стала самым распространенным почтовым червем в сетевом трафике за всю историю интернета. На пике эпидемии Sobig.F, появившийся в августе, находился в каждом 20-м письме. Важно отметить, что в этой вредоносной программе была использована весьма опасная технология. Одной из целей авторов семейства Sobig было создание распределенной сети зараженных компьютеров для проведения DoS-атак на произвольные сайты, а также для нелегального использования их в качестве серверов для спам-рассылок.

Очень заметным событием в компьютерной вирусологии стал почтовый червь Tanatos.b. Первая версия Tanatos (Bugbear) была написана еще в середине 2002 года и только спустя почти год появилась вторая. Червь использовал уже традиционный давно известную брешь в системе безопасности Microsoft Outlook (IFRAME-брешь) для автоматического запуска своего тела из зараженных писем.

Продолжали появляться очередные черви семейства Lentin (Yaha). По имеющимся данным все они были написаны в Индии одной из местных хакерских групп в ходе "виртуальной войны" между индийскими и пакистанскими вирусописателями. Наибольшее распространение получили версии M и O, в которых вирус размножался в виде ZIP-архива, прикрепленного к зараженным письмам.

Не отставали от своих зарубежных "коллег" и российские вирусописатели. Вторым червем, из бывшего СССР, вызвавшим глобальную эпидемию, стал Mimail. Червь использовал для своей активации очередную уязвимость в Internet Explorer, получившую название Mimail-based. Она позволяла извлечь из HTML-файла бинарный код и запустить его на исполнение. Впервые она была использована в мае 2003 года в России (Trojan.Win32.StartPage.L). Впоследствии эта уязвимость она применялась в семействе червей Mimail и еще нескольких троянских программах. Автор червя Mimail опубликовал исходные тексты в интернете, что привело к появлению в ноябре 2003 года нескольких новых вариаций, написанных другими людьми, в том числе из США и Франции.

Сентябрь 2003 года прошел под знаком сетевого червя Swen. Swen, выдававший себя за обновление от компании Microsoft, поразил несколько сотен тысяч компьютеров по всему миру и до сих пор остается одним из наиболее распространенных почтовых червей. Автору вируса удалось успешно использовать сложившуюся на тот момент ситуацию, когда пользователи были напуганы недавними инцидентами с Lovesan и Sobig.F и срочно устанавливали обновления для своих операционных систем.

Нельзя не упомянуть и две другие эпидемии. Во-первых, Sober, не очень сложный почтовый червь, написанный немецким вирусописателем, в качестве подражания лидеру года - Sobig.F. Во-вторых, троянец-backdoor Afcore: несмотря на сравнительно низкую распространенность он привлекает внимание из-за интересной технологии скрытия своего присутствия в системе - размещения своего кода в дополнительных потоках (Alternate Data Streams) файловой системы NTFS. Что еще интереснее, Afcore использует дополнительные потоки не файлов, а каталогов.

Десятка самых распространенных вирусов в 2003 г.*

Место Вредоносная программа Процентное соотношение

1 I-Worm.Sobig 18,25%

2 I-Worm.Klez 16,84%

3 I-Worm.Swen 11,01%

4 I-Worm.Lentin 8,46%

5 I-Worm.Tanatos 2,72%

6 I-Worm.Avron 2,14%

7 Macro.Word97.Thus 2,02%

8 I-Worm.Mimail 1,45%

9 I-Worm.Hybris 1,12%

10 I-Worm.Roron 1,01%

* данные на основе мониторинга почтового трафика

Типы вредоносных программ

В течение всего года черви оставались доминирующей разновидностью вредоносных программ. На втором месте вирусы (основной вклад обеспечили макровирусы Macro.Word97.Thus и Macro.Word.Saver). Однако осенью доля троянских программ превысила долю вирусов. Тенденция пока сохраняется.

Тенденции

Основной тенденцией 2003 г. можно назвать тотальное господство червей как преобладающего типа вредоносных программ. Более того, внутри этого вида наблюдается тревожный рост доли сетевых червей по сравнению с классическими почтовыми червями. "Лаборатория Касперского" прогнозирует сохранение этой тенденции и возможное превращение этого типа в доминирующий. В этой связи на первый план выходит насущная необходимость установки на каждый компьютер и корпоративную сеть не только средств антивирусной защиты, но также и межсетевых экранов (firewall).

Большую тревогу вызывает ситуация с обнаружением брешей в системах безопасности операционных систем и приложений. Если в предыдущие годы вредоносные программы проникали через давно известные уязвимости, для которых давно существовали "заплатки", то в 2003 г. это разрыв сократился до нескольких недель. Компьютерный андерграунд пришел к пониманию, что атака брешей является самым эффективным способом заражения компьютеров и активно эксплуатирует эту идею. В результате, вирусописатели оперативно получают информацию о новых уязвимостях и быстро разрабатывают образцы вирусов. 20 мая 2003 г. был зарегистрирован случай распространения троянской программы "StartPage", которая проникала на компьютеры через брешь "Exploit.SelfExecHtml" - для нее на тот момент не существовало обновления. Таким образом, не исключено, что в ближайшем будущем мы будем узнавать об обнаружении брешей из сообщений о новых вирусах, а не сообщений вендоров о выпуске "заплаток".

В 2003 г. была переломлена прошлогодняя тенденция наступления вредоносных программ на новые платформы и приложения. Напомним, что в 2002 г. жертвами вирусов пали Flash-технология, .NET, SQL-серверы, файлообменные сети (KaZaA). На этот раз "аппетит" вирусописателей ограничился картографической системой MapInfo: вирус российского происхождения "MBA.Kynel", написанный на языке MapBasic, успешно заражал документы этого формата и даже был обнаружен экспертами "Лаборатории Касперского" в "диком виде".

Тенденция 2002 года к значительному росту числа программ класса Backdoor (утилиты несанкционированного удаленного управления) и программ-шпионов была продолжена. Наиболее заметными представителями этих классов стали Backdoor.Agobot и Afcore. Первый из них сейчас существует более чем в сорока различных вариантах, что вызвано тем, что его автору удалось создать сеть из нескольких веб-сайтов и IRC-каналов, где всем желающим предлагается за определенную сумму (от 150 долларов США) стать обладателем собственной "эксклюзивной" версии Backdoor-а, настроенной в соответствии с пожеланиями "заказчика".

Новой тенденцией 2003 года стало стремительное появление в конце лета нового класса троянских программ - TrojanProxy (троянские программы для внедрения на компьютеры прокси-серверов). Это стало первым и наиболее явным признаком обьединения между вирусных и спамерских направлений. Пораженные такими "троянцами" машины в дальнейшем используются спамерами для своих рассылок, причем владелец зараженного компьютера может даже и не подозревать о факте злоупотребления. Спамеры, очевидно, также причастны к нескольким крупным эпидемиям, когда первоначальное распространение вредоносной программы происходило при помощи спам-технологий (Sobig).

Вторым активно развивающимся классом можно считать сетевых червей, размножающихся путем подбора паролей к удаленным сетевым ресурсам. Такие черви, как правило, базируются на клиенте IRC (Internet Relay Chat), осуществляют сканирование адресов пользователей IRC-каналов и пытаются проникнуть на их компьютеры, используя для этого протокол NetBIOS и 445 порт. Наиболее ярким представителем этого класса можно считать семейство сетевых червей Randon.

В заключение отметим прогрессирующее распространение технологии "ретровирусности" во вредоносных программах. Эта особенность подразумевает наличие встроенных функций защиты от антивирусных программ и межсетевых экранов - удаление их копий из памяти компьютера. В частности, такими функциями обладали упоминавшиеся выше Swen, Lentin и Tanatos.

версия для печати

SMS

Сообщите коллегам о последних новостях, пресс-релизах и сведениях из Каталога компаний через наш SMS-гейт.

Смотрите также

17 октября 2013 г

 • В Киеве завершился Международный научно-технологический форум «Наука. Инновации. Технологии – 2013»
 • Впервые в Киеве будет проведен глобальный курс для начинающих предпринимателей Earlydays

16 октября 2013 г

 • Украинские предприниматели выходят на международный рынок с помощью Windows Azure
 • Бионические разработки Festo – инвестиции в будущее

15 октября 2013 г

 • Компании тратят $1,5 млн в год на покупку поддельных наклеек на компьютеры

11 октября 2013 г

 • Відбувся 4-й Український форум з управління Інтернетом IGF-UA
 • В Киеве прошла Региональная конференция ENOG 6/RIPE NCC
 • Графические процессоры ускоряют пошив плаща-невидимки
 • Mail.Ru Group оштрафовали за отказ нарушить тайну переписки
 • Количество Android-смартфонов в сети «Киевстар» превысило 2 млн