УДК 004.652

А.А.ЖУКОВ (СТУДЕНТ 3 КУРСА АСОУ), С.А. РЯДНОВ

Тенденции изменения вирусных платформ за 2005-2006 г.

Прошедший 2005 год принес с собой ощутимые изменения в мире вредоносного программного обеспечения (ПО). Количество детектируемых вредоносных программ выросло на конец года в среднем до 6368 экземпляров в месяц. Рост по итогам года составил 117%, что превышает прошлогодние показатели на 24% и отчетливо свидетельствует об увеличивающихся темпах роста рынка вредоносного ПО. [1]

В течение всего года в почтовом трафике превалировали исключительно черви (как почтовые, так и сетевые). На втором месте различные троянские программы, а также многочисленные фишинговые атаки, которые в 2005 году вышли на исторический пик активности. Традиционные вирусы и макровирусы практически полностью исчезли. Другие важные тенденции вирусной индустрии – появление большого количества вредоносных программ для интернет-пейджеров, закат эпохи почтовых червей и рост количества сетевых и почтовых червей с троянским функционалом, увеличение количества вирусов для мобильных устройств, изменение вектора хакерских атак (от атак на отдельных пользователей до нападений на крупные компании и банки), появление политических мотивов в деятельности вирусописателей, использование руткит-технологий и т.д.
Большинство вредоносных программ сегодня создаются не столько ради славы, сколько для извлечения прибыли. Если говорить о краже финансовой информации (например, данных доступа к персональным банковским счетам), то для этих целей глобальные эпидемии не нужны, так как для обработки большого количества данных, полученных с множества зараженных компьютеров, требуется слишком много людей, а это несет в себе повышенный риск для преступников. Темпы роста данной категории вредоносных программ самые высокие среди всего вредоносного ПО и на конец 2005 года составляют 402% (К). [1] Более того, отмечены пробные попытки создания своеобразных аналогов бот-сетей: сначала распространяется программа для установки всевозможных Trojan-Spy.Win32.Banker, а далее злоумышленник может конфигурировать свою бот-сеть для кражи информации любой банковской системы. Также стоит отметить, что написание вирусов постепенно переходит от энтузиазма к коммерции. После эпидемии червя mail-Worm.Win32.Mydoom стало понятно, что вирусы являются сильным оружием, использовать которое можно в коммерческих и государственных целях. [2]
Алгоритм очень прост. Самое важное заразить машину. На какие только способы не ухитряются вирусописатели, чтобы заразить как можно больше машин жертв. Мало того, что вирусы сами стремятся к заражению все большего пространства. Вирусописатели рассылают их со спамом, причем не только в почтовые ящики, но и через интернет пейджеры. Получив контроль над машиной жертвы, вирус продолжает заражение всеми возможными способами и затем выполняет заложенную в него программу. Он может:

1. Спрятаться в системе и ждать команды от автора вируса. – Так создается “Бот-нет”; это множество машин зараженных одним вирусом или одной из модификаций, который заражает машину и ждет команды, например на атаку какого-либо сервера. Таким образом, можно устранять сайты, и эту услугу уже оказывают в Интернете.
2. Собрать с машины все возможные пароли и продолжить размножение. В 2003 году появилась вирусная программа Pinch.Он был достоянием избранных, но после того как конструктор этого вируса был выложен в свободный доступ началась эпидемия троянской программы LDPinch.
3. Возможны деструктивные действия по отношению к данным, хранящимся на компьютере жертвы. Но такие вирусы уже неактуальны и постепенно исчезают.

Согласно классификации “Лаборатории Касперского” [1] существует три типа классов вредоносных программ:

1. TrojWare: различные троянские программы без возможности самостоятельного размножения (backdoor, rootkit и всевозможные trojan);
2. VirWare: саморазмножающиеся вредоносные программы (вирусы и черви);
3. MalWare: программное обеспечение, интенсивно используемое злоумышленниками при создании вредоносных программ и организации атак.

Популярность вредоносных программ, распределена следующим образом:

Вирус Описание Поведение в 2005-2006 году
Email-Worm Размножающиеся по E-Mail +2%
IM-Worm Размножающиеся по ICQ 32 новых модификации/мес.
IRC-Worm Размножающиеся по IRC -31%
Net-Worm Через локальные сети или уязвимости в ОС +43%
P2P-Worm Через файлообменные сети P2P -43%
Worm Простые черви -3%
Virus Вирусы -45%

Распределение вредоносных программ на конец 2005 года.
IM-червям достаточно внимания стали уделять, только начиная с середины прошлого года, хотя появились они в 2001 году. На конец 2005 года количество новых экземпляров IM-Worm отмечалось уже на уровне 32 шт. в месяц, что однозначно свидетельствует о возрастающем интересе к ним, хотя пока и не столь значительном.
IRC-Worm в течение 2005 года продолжили уход с арены вредоносного ПО и практически выродились в Backdoor. Появление новых представителей данного поведения носит единичный характер.
Net-Worm за прошедший год вдвое увеличили темпы роста: 43% в 2005 году против 21% в 2004 году. Это происходит как благодаря появлению новых эксплойтов (например, MS05-39, на базе которого был написан червь, вызвавший глобальную эпидемию), так и благодаря особенности этого поведения, которая исключает человека как звено в распространении вредоносной программы (нет необходимости ждать, пока пользователь двойным щелчком запустит червя), что значительно увеличивает скорость самораспространения сетевых червей.
P2P-Worm продолжают тенденцию 2004 года, утрачивая свои позиции, что легко объясняется кампаниями, развернутыми против файлообменных сетей.
Теперь обратим внимание на самых старых представителей компьютерного андеграунда – классические вирусы. В течение прошедшего года их количество в месяц стало сокращаться менее интенсивно: -45% в 2005 году против -54% в 2004 году.
Это вполне объяснимо, так как вирусы с точки зрения разработки без сомнения можно назвать самыми трудоемкими вредоносными программами. Более того, скорость распространения классических вирусов несоизмерима со скоростью заражения компьютеров пользователей посредством спам рассылки.
2005 год принес заметные перемены в мир компьютерной вирусологии. Приведенные данные наглядно демонстрируют изменения в составе вредоносных программ. Год ознаменовался началом эры вирусов для мобильных телефонов. В прошлом году их число таких вирусов несколько увеличилось. Известно, что существует два пути распространения телефонных вирусов – Bluetooth и MMS. Второй путь гораздо опаснее первого и способен спровоцировать масштабную эпидемию в короткий срок, хотя существует и надежный способ борьбы с этой опасностью – санация всего MMS-трафика на сервере мобильного оператора. В случае с Bluetooth такой возможности нет. Интересным фактом является и растущий интерес киберхулиганов к другим платформам, а также продолжающиеся попытки создать мультиплатформенные вредоносные программы. В прошедшем 2005 году аналитиками лаборатории Касперского отмечено появление вредоносных программ для нескольких новых платформ, среди которых можно выделить платформы PSP (Trojan.PSP.Brick.a) и Nintendo (Trojan.NDS.Taihen.a). [1] Сам факт написания концептов для подобных платформ лишний раз подтверждает то, что криминальное киберсообщество находится в постоянном поиске новых платформ, которые откроют новые пути к незаконному обогащению. Нельзя не отметить ряд интересных вредоносных программ. Worm.SymbOS.Comwar.a – первый червь для мобильных устройств на базе операционной системы Symbian, который освоил новую среду распространения, а именно MMS, выйдя из ограничений, налагаемых протоколом Bluetooth (этот протокол позволял распространяться программе только в пределах 10 метров). Еще одним интересным фактом в 2005 году стало появление троянской программы Trojan.SymbOS.Cardtrap.a, представляющей собой обычный SIS-файл, который при
запуске сохраняет из своего тела на карту вредоносные программы для Win32-платформы. И хотя сохраненные из тела Trojan.SymbOS.Cardtrap.a Win32-программы не могут автоматически запуститься на персональных компьютерах из-за некоторых особенностей ОС, предпринимаемые попытки создания мультиплатформенных вирусов вызывают определенные опасения.

ЛИТЕРАТУРА

• https://www.viruslist.com/ – Аналитический ресурс лаборатории Касперского.
• https://www.xakep.ru/ Электронный Журнал “][akep” №.32 & №.35 2001 г.