Перспективы развития вредоносных программ

Практические примеры.

В августе 2005 года наибольшую активность проявили следующие вредоносные программы:

Net-Worm.Win32.Mytob.c

Сетевой вирус-червь, заражающий компьютеры под управлением Windows. Вирус распространяется, используя уязвимость в сервисе Windows LSASS (локальная подсистема аутентификации пользователей).

Также вирус распространяется через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь содержит в себе функцию бэкдора, принимающего команды по каналам IRC.

Email-Worm.Win32.NetSky.q

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Также червь обладает функцией размножения через P2P-сети и доступные HTTP и FTP каталоги.

Червь ищет файлы с расширениями eml, doc, html, php, adb и т.д., находит в них адреса электронной почты и рассылает свои копии по найденным адресам. Для отправки писем червь использует собственную SMTP-библиотеку.

Имя и текст письма имеет множество вариантов, в конец зараженного письма может дописывать ложное сообщение о том, что данное письмо было проверено каким-либо антивирусом.

Червь не посылает себя на адреса, в которых имеются подстроки: @avp, @antivi, @kaspersky, @mcafee и т.д.

Интересные факты из области информационной безопасности:

В начале ноября исполнится 17 лет с появления в Сети первого настоящего червя! В 1988 году червь Morris, написанный 23-летний американским студентом, был обнаружен в диком виде в Интернет. Состоял он из 99 строчек кода и тем не менее всего за час заразил тысячи машин, заставив администраторов отключить их от сети. На самом деле Morris был частью исследовательского проекта и никакого вреда не должен был наносить, зато саморазмножался с небывалой скоростью и валил машины направо и налево.

Троянец Yusufali-A отслеживает заголовок окна браузера. Если там появляются слова porno, sex или xxx, он сворачивает окно браузера и выводит на экран окно с цитатой из Корана.

Основные меры по борьбе с распространением вредоносного ПО:

- установка антивирусного ПО на АРМ и серверах;

- ограничение сетевого доступа по TCP/UDP портам, которые используются для распространения червями;

- четкая политика безопасности, запрещающая пользователям самостоятельно устанавливать ПО (коротко рассказать про Invent);

Некоторые их этих мер в дальнейшем будут рассмотрены нами подробно.

Громадное влияние на современную вирусологию оказали всемирные эпидемии, вызванные следующими сетевыми и почтовыми червями: Lovesan, Sobig, Swen и Sober. Почти все вновь создаваемые черви имеют черты заложенные этими вредоносными программами.

Worm.Win32.Lovesan (эпидемия 2003 год)

- использовал уязвимости ОС Windows;

- распространялся через глобальную сеть, путем прямого подключения к атакуемому компьютеру;

- пытался организовать распределенную DoS-атаки на сайт компании Microsoft.

I-Worm.Sobig.f

Появился в самом конце августа 2003 года и буквально за пару дней вызвал крупнейшую эпидемию почтового червя в XXI веке. На пике его активности, практически каждое 10 электронное письмо содержало в себе данного червя. Объемы почтового трафика возросли в десятки раз. Свой вклад в этот прирост внесли и миллионы отчетов почтовых антивирусов, честно рапортующих «отправителям» о найденном в письме вирусе и его удалении.

Червь не использовал какие-либо уязвимости, имел простенькие темы и тексты писем, но масштабы его проникновения на пользовательские компьютеры стали настолько велики, что обнаруженная в нем функция приема команд извне (бэкдор) заставила всех антивирусных экспертов с тяжелым сердцем ожидать 22 августа 2003 года - дня, когда все зараженные Sobig.f компьютеры должны были получить команду от своего «создателя». Что могло содержаться в той команде — не знал никто. Однако команда не пришла, серверы, откуда она могла быть послана, были оперативно закрыты, что не помешало Sobig.f почти год оставаться одним из самых распространенных почтовых червей.

Столь гигантские масштабы эпидемии не могли быть вызваны традиционным червем, который выпускается в сеть с нескольких компьютеров и достигает пика своей активности спустя недели, а то и месяцы с момента своего запуска. Задолго до появления Sobig.f, еще с января 2003 года, стали появляться его «старшие братья», другие черви того же семейства. Все они планомерно заражали компьютеры, создавая возможность рассылки через них все новых и новых версий. В конце концов, когда число предварительно зараженных ранними версиями червя машин достигло критической массы, через них хлынул поток писем с Sobig.f.

Таким образом, особенности данного червя:

- предварительное создание гигантской сети зомби-машин (установка бэкдоров и троянцев);

- первоначальная рассылка миллионов копий червя при помощи спам-технологий.

I-Worm.Mydoom.a (эпидемия 2004 год, крупнейшая эпидемия за всю историю Интернет)

Почтовый червь Mydoom.a сочетал в себе свойства многих своих предшествнников: предварительно создал гигантскую сеть зомби-машин, использовал весьма изощренный метод социального инжиниринга, содержал в себе мощную бэкдор-процедуру и должен был организовать DDoS-атаку на сайт компании SCO.

Устанавливаемый им на зараженные компьютеры бэкдор оказался лакомым кусочком для множества других червей. Практически сразу появились вирусы, которые сканировали сеть в поисках открытых Mydoom портов и через них проникали на компьютеры, либо уничтожая Mydoom и заменяя его собой, либо одновременно с ним функционируя в системе.

Отсюда можно вывести еще одну черту, которая постепенно становится четко выраженной тенденцией: использование для распространения уязвимостей или бэкдоров, оставленных другими червями.

Среди относящихся к классу троянских вредоносных программ на сегодняшний день можно выделить следующие основные тенденции:

- Значительный рост числа программ-шпионов, крадущих конфиденциальную банковскую информацию. Новые варианты подобных программ появляются десятками за неделю и отличаются большим разнообразием и принципами работы. Некоторые из них ограничиваются простым сбором всех вводимых с клавиатуры данных и отправкой их по электронной почте злоумышленнику. Наиболее мощные могут предоставлять автору полный контроль над зараженной машиной, отсылать мегабайты собранных данных на удаленные сервера, получать оттуда команды для дальнейшей работы.

- Стремление к получению тотального контроля над зараженными компьютерами. Это выражается в объединении их в зомби-сети, управляемые из единого центра. Как правило, для этого используются IRC-каналы или веб-сайты, куда автором выкладываются команды для машин-зомби.

- Использование зараженных машин для рассылки через них спама или организации DDoS-атак.

Классические файловые вирусы, царствовавших в 90-х годах прошлого века, практически исчезли, уступив свое место сетевым червям. Сейчас можно насчитать с десяток файловых вирусов, которые продолжают оставаться активными и даже иногда испытывают всплески активности, связанные с их проявившейся в последнее время побочной способностью заражения исполняемых файлов почтовых червей. Таким путем они пересылают себя вместе с инфицированными червями электронными письмами, в качестве своеобразных «прилипал». Очень часто попадаются экземпляры почтовых червей Mydoom, NetSky или Bagle, зараженные такими файловыми вирусами как Funlove, Xorala, Parite или Spaces.

Следующий, рассматриваемый нами вид угроз ИБ - Разведка

Дата добавления: 2014-01-07; Просмотров: 476; Нарушение авторских прав?; Мы поможем в написании вашей работы!