Malware Evolution: January

Kaspersky Lab presents its quarterly report on malware evolution by Alexander Gostev, Senior Virus Analyst. The
report addresses questions such as why email worms no longer seem to be causing epidemics, the increase in
worms targeting instant messenger applications, what effect the release of SP2 for Windows XP has had on
security, and why adware and spyware are the latest buzzwords in the field of IT security.

1.
2.
3.
4.
5.
6.
7.
8.

IM-Worms
Botnets
The twilight of email worms
Social engineering and phishing
No new critical Windows vulnerabilities
On-line games: a new arena
Adware, spyware and viruses: is there a difference?
Mobile malware

IM-Worm
IM-Worms: worms that propagate via Internet messaging services by sending URLs to all contacts in the local contact
list. The URLs take incautious users to websites containing the body of the worm. This approach is also often used by
email worms.

One of the most interesting developments in 2005 was the appearance of worms for instant messenger
applications. Instant messenger applications have become very popular, but users rarely perceive them as
potential infection vectors. Although IM-worms were detected prior to 2005, the start of the year brought a
noticeable increase in this type of malware.
An analysis of the IM-worms detected so far this year provides some data on possible future trends.
Name

IM-client

Variants

Language

Propagation method

Aimes

AOL

4

VB

File

Atlex

ICQ

1

C

Link

Bropia

MSN

18

VB

Link

Kelvir

MSN

4

VB

Link

Nemesix

MSN

1

VB

Link

Sumom

MSN

3

VB

File

VB

MSN

9

VB

Link

As Table 1 shows, most new IM-worms target MSN Messenger, which is extremely popular in the United States,
but almost never used in Russia. All the worms except for Atlex are written in Visual Basic.
These two facts taken together seem to indicate that IM-worms are at the initial stage of evolution. And the fact
that the vast majority of the worms are written in Visual Basic demonstrates that most of the authors are fairly new
to the virus writing scene and are relatively inexperienced programmers. VB is one of the easiest programming
languages to master, but it's unsuitable for serious projects due to the large files and the relatively slow speed that
results from this.
The obvious preference for MSN suggests that new worms were based on earlier samples. A detailed analysis of
the worms' code by Kaspersky Lab virus analysts confirms this hypothesis. The source code for some early IMworms was also published on a number of virus writers' sites, and most of the new worms are clearly based on
this code. The evidence currently points to IM-worms being the domain of script-kiddies.

This situation is effectively a repeat of the evolution of P2P-worms between 2002 and 2004. When P2P worms
first appeared, they were also mostly written in Visual Basic and also targeted one P2P client, Kazaa, the most
popular client at the time. As P2P-worms were simple to create, and spread rapidly, several hundred families
appeared, with numerous versions in each. The increase in this type of malware reached its peak in 2003, with
more than 10 new versions being detected every week.
Today IM-worms are
evolving in a very
similiar way to the
P2P-worms developed
between 2002 and
2004.

Kaspersky Lab monitored P2P networks closely during the upsurge in P2P-worms
and analysis showed that almost every second file in the Kazaa file-sharing network
was a P2P-worm. During that period most email-worms used file-sharing networks as
a secondary channel for propagation. However, the rapid evolution of P2P-worms
slowed dramatically in 2004 and they currently comprise an insignificant percentage
of contemporary malware. It seems likely that IM-worms will have the same life cycle.

One of the most interesting aspects of IM-worms is the way in which the worm files
are delivered to the victim machine. Despite the fact that Internet messaging services allow file transfer, for some
reason virus writers are not utilizing it as a method of infection, possibly because they find overly complex.
Instead, they all (with the exception of Aimes) use a technique pioneered by email-worms in 2004: a link to an
infected website containing the body of the worm is sent to the recipient, instead of a message with an attached
file containing the worm's body. The user believes that the link is from a trusted source, as the worms send their
links to contacts harvested from the local contact list. This makes the user more likely to visit the site in question.
The worm penetrates victim systems either by exploiting Internet Explorer vulnerabilities or simply by downloading
and installing the malicious code.
Given the fact that IM-worms have demonstrated their ability to propagate and spread, it seems self-evident that
system administrators and security managers should be focusing their attention on the potential threat which IM
applications represent. One option would be to forbid the use of IM applications in enterprise settings until security
improves. Monitoring incoming http traffic for malicious code (which should be part of any responsible security
policy) will block those worms which penetrate via browser vulnerabilities.
The majority of IM-worms also install other malware on the victim machine. IM-worm.Bropia, the family with the
most versions at the time of writing, installs Backdoor.Win32.Rbot on the infected machine, turning it into a
zombie machine in a bot network.

Botnets
Botnets have been an issue for the past few years; the first botnets of any size were first sold on the computing
black market in 2002. The number of botnets has increased proportionally with the number of Internet users has
grown and the number of vulnerabilities detected in Windows.
Today, the term botnet is used to refer to any network of infected computers that is controlled by a single
(malicious) remote user. Initially, infected computers were linked via an IRC channel and received commands
from the remote user via IRC, and this is still the most popular way of controlling botnets from a single central
point and is used by the Agobot, Rbot and SdBot families, which are the most common malicious bots. They all
penetrate victim machines by exploiting common vulnerabilities in Windows. Malicious bots usually exploit the
RPC DCOM and LSASS vulnerabilities, but there are bots that exploit as many as 8 vulnerabilities
simultaneously. Modern bots also use password generation algorithms/techniques to penetrate shared network
resources.
July 16 2003, the day the RPC DCOM vulnerability was detected in Windows 2000
and XP, was a decisive day in the history of contemporary botnets. In January 2004,
Email-worm Mydoom placed a second cornerstone in today's botnets . Mydoom
would open a single port in the range between 3127 and 3198 which gave anyone
access to the infected system. Mydoom was also able to download files from the
Internet and launch them.. A special 5-byte combination provided access to the
backdoor, and other virus writers quickly discovered and began using this hole. The
Internet was flooded with worms attempting to penetrate computers already infected
by Mydoom. Virus writers also wrote scanners that allowed potential controllers to search computers for the
Mydoom backdoor component: if the backdoor was detected, the new controller would drop and execute new
malware on the infected machine. At the height of this outbreak, infected machines were passing from controller
to controller several times a day.

The term botnet refers
to a network of
infected computers
that is controlled
remotely by a single
malicious user.

The critical LSASS vulnerability, first detected in April 2004, was the third key factor in the increase in botnets.
Sasser infected a large number of machines via this vulnerability, leaving potential zombies in its wake. Virus

writers immediately seized this opportunity and began using Sasser-infected machines, as well as the LSASS
vulnerability, to extend their reach.
Researchers estimate that the number of zombie machines in botnets increases by 300,000 to 350,000 every
month. The total number of zombies is estimated at several million. All of these infected machines are being
actively used by cyber criminals as spamming platforms in order to make money. Botnets can also be used in
DoS attacks and to spread new malware - such threats often lead site owners to pay cyber criminals not to attack
their sites. Botnets are also used to mail out more and more new Trojans that harvest and send banking
information to the controller. Today, virus writers from Brazil dominate this area of cyber crime.
Botnets are the greatest threat to the Internet as we know it. They stimulate the creation of new malicious
programs as they require constant refreshment, both in terms of new malware and new zombie machines to
extend the network. Detection and prevention of botnets should be a priority for both the IT industry and end
users, since the future of the Internet depends on coordinated action now.

The twilight of email worms
Towards the end of 2004, many IT security analysts forecast that email worms would gradually become less and
less prevalent. The events of 2005 have so far borne this out. Email worms have been effectively displaced by
network worms incorporating Trojan components.
2004 was distinguished by a number of major epidemics caused by email worms such as Mydoom, NetSky, Bagle
and Zafi. However, late 2004 and early 2005 was free of such outbreaks, with nothing on the scale of even the
mid-sized outbreaks of 2004.
The decline in successful email worms (i.e. ones which caused significant outbreaks) may be due to to the fact
that the antivirus industry has developed new methods to block such worms. These include breakthrough
technologies such as detecting worms in password protected zip files and preliminary analysis of emails with
executable attachments. All these techniques make it possible to stop outbreaks in the early stages before an
epidemic can develop.
We are witnessing a
marked lull in emailworm outbreaks: a
noticeable change
after the global
epidemics of 2004
(Mydoom, Bagle,
NetSky and Sasser)

However, network worms which exploit Windows vulnerabilities are starting to
represent more and more of a threat. Scanning network traffic as well as email traffic
is therefore essential from a security point of view.

It is extremely unlikely that email worms which arrive as attachments will cause
significant outbreaks in the foreseeable future. Firstly, during the first three months of
2005, Microsoft ensured that patches were available for all known critical
vulnerabilities in both Outlook and Outlook Express. Secondly, information provided
by antivirus vendors, and increased media focus on malicious code and security
issues has resulted in end users being noticeably more cautious about opening email
attachments, especially those from unknown sources.
Virus writers will now have to find new methods of tricking users into opening suspicious attachments or clicking
on links in emails.

Social engineering and phishing
Social engineering, i.e. techniques used by cybercriminals to trick end users into sharing confidential data,
continues to evolve. No truly new methods have been evolved, but the older tried and trusted methods are being
used in epidemic proportions. Phishing is currently among the most common and successful forms of cybercrime
which utilizies social engineering techniques.
Phishing is a form of on-line fraud where the goal is to trick users into disclosing personal data. 'Phishers send emails
purporting to be from well know companies with links to spoofed websites. Once users go to such a site, they risk
revealing their confidential information such as banking details to the owner of the fake site.

According to data from the Anti-Phishing Working Group, in January 2005 phishers sent 12,845 unique phishing
letters leading to 2,560 spoofed websites.

In January 2005, on-line fraud rose by 47% in comparison with December 2004, when 1,740 spoofed websites
were detected. January figures were up almost twice on October 2004, when 1,186 spoofed websites were
identified. The number of phishing emails has risen by 42% in comparison with December 2004 statistics.
Well known banks and on-line payment systems such as Citibank, Paypal, E-Gold, US Bank, WAMU are the main
targets of phishing attacks. Other major sites which may request financial data, such as Ebay, are also frequently
targeted.
As mentioned earlier, phishing attacks are carried out using spamming techniques, and are launched from
botnets. Brazilian hackers and virus writers are particularly fond of using botnets to spread additional spyware that
steals confidential and banking information. Trojans that steal banking information from Brazilian users currently
make up the majority of this particualr call of malware.
Public awareness of
spyware is being
exploited by makers
of adware, as well as
virus writers: unwary
users are captured
after agreeing to
install purported antispyware solutions.

Social engineering techniques are used not only in phishing attacks, but in other
areas too. Increased media coverage of spyware, and the consequent heightened
public awareness of the issues, have created new opportunities for cybercriminals. As
soon as Microsoft released a free anti-spyware application, even though it was only a
beta version, virus writers seized the chance to disguise their creations as a new,
improved version of the program. The public fear of spyware has also been exploited
by Adware writers and other cyber -fraudsters to penetrate victim machines.
The Kaspersky Virus Lab has seen a significant increase in spam sent via Windows
Messenger Service. This type of spam exploits inbuilt features in the Messenger
service, meaning that the message appears as a standard pop up window.

In most cases, these pop-ups inform the user that a large amount of spyware has been detected on the computer,
and urges the user to visit a specific site to download a free anti-spyware utility. Of course, the computer hasn't
been scanned for spyware and the downloadable utilities are either Trojans or at best useless applications which
neither detect nor delete spyware.
Cyber criminals also exploit tragedies for their own ends. The devastating tsunami in the Indian Ocean brought a
flood of scams and infected emails in its wake. Cyber criminals disguised Trojans as tsunami photographs or
confidential reports about the real number of victims. Other fraudsters sent phishing emails purportedly from
charities. These emails aimed to seduce users into donating money on-line via spoofed websites.

No new critical Windows vulnerabilities
Another reason for the relative calm on the virus front in 2005 is the fact that no new vulnerabilities as serious as
the LSASS or RPC DCOM vulnerabilities have been detected in Windows so far this year. The most recent
Windows vulnerability to pose a potentially serious threat was the WINS server NetBIOS naming issue, detected
on November 26, 2004. Microsoft issued a patch immediately, and there have been no significant cases of
malware exploiting this vulnerability.
Of course, serious serious vulnerabilities have been detected in Windows this year:

Vulnerability in Cursor and Icon Format Handling

Windows Kernel Vulnerability

Vulnerability in PNG Processing

Vulnerability in Hyperlink Object Library

To date, none of these have been exploited by virus writers to cause a worldwide outbreak, although all the
vulnerabilities listed above have been utilized at least once, with a variety of spy programs being installed on the
victim machines.
Isolated attacks notwithstanding, the fact that older versions of Windows do not have critical vulnerabilities, and
the encouraging trend of more and more Windows XP users installing Service Pack 2 gives hope for the future. It
seems that a more secure Windows environment is one of the main reasons for the relative quiet during the first
quarter of this year.

The current lack of
worldwide outbreaks
can be partially
acounted for by two
important factors: no
new serious
vulnerabilites in
Windows and the
migration of users to
Windows XP with
Service Pack 2.

On the other hand, security holes in Internet Explorer are responsible for a significant
number of infections. Kaspersky Lab data shows that the MHTML URL Processing
Vulnerability (CAN-2004-0380) is the loophole currently most frequently exploited by
virus writers.
This vulnerability makes it possible to hide executable files written in VBS or JS in
CHM files (Microsoft Compiled Help) and post links to the infected files on the
Internet. When an infected CHM file is opened, the hidden files are executed in the
Local Internet Zone with current user rights.These scripts are usually Trojan
Downloaders or Droppers that install other Trojans on the victim machines.

However, this vulnerability is not new and Microsoft issued the MS04-013 patch for it
over a year ago on April 13, 2004, meaning that users do have the ability to protect themselves against such
attacks.

On-line games: a new arena
Contemporary cyber criminals don't only steal banking and financial details. On-line games are also a target.
Such games have achieved enormous popularity since their first appearance, and individual items and/or
characters in various on-line games are sold for tens of thousands of dollars in on-line auctions. For instance, a
virtual island from "Project Entropia" was sold, for $26,500, the largest amount spent at any one time in onlinegaming history. In short, several billion dollars are currently invested in virtual worlds and role-playing games, a
sum equivalent to the budget of a small country.
Naturally, the presence of real money in on-line games hasn't escaped the attention of cyber criminals. The first
cybercrime targeting on-line games was committed in early 2003, when Trojans designed to steal user account
data to the Asian game Legend of Mir were detected. (Today over 3 million players – mostly from South Korea participate in this game) And two years on, there are more than 700 known malicious programs which target
Legend of Mir. Detailed analysis of these programs shows that most of them originate in South Korea and China.
As on-line games gain
in popularity, the large
sums of money
involved naturally
attract cyber
criminals.

Lineage, another Korean on-line game with a large following, is the second target of
choice for cybercriminals. The first Trojans attacking Lineage were detected by
Kaspersky Lab virus analysts in October 2004; in less than six months the number of
such malicious programs has grown to several hundred.
Among the most recent programs targeting online games is a family of Trojans
designed to steal personal information from Gamania players. The first one was
detected in February 2005 and since then there has been at least one new variant

every week.
Russian virus writers are also participating in this new form of cyber crime. They have focused their efforts on a
popular Russian game called “Boitsovsky Klub” (Fight Club). In this game, a single object can be sold on for up to
a thousand dollars. In this case, the game administrators realised that the threat posed by such malicious
programs was serious, and and turned to Kaspersky Lab. Admnistrators immediately forward any viruses, scripts
and Trojans attacking the game portals, and Kaspersky Lab ensures that updates protecting against such threats
are released almost immediately. This joint project is unique in the world of online gaming.

Adware, spyware and viruses: is there a difference?
Adware and spyware are the IT buzzwords of the moment. This paper will not go into any details on the legal
aspects of such programs, or debate whether or not such programs are appropriately used. However, our latest
research indicates the following:
The boundary between harmless adware and malicious programs has effectively disappeared. Every day the
Kaspersky Virus Lab detects more and more programs which seem to be adware, but which bear all of the
hallmarks of Trojans. Such programs may exhibit Trojan behaviour in how they install themselves, (for instance by
exploiting browser vulnerabilities), or in how they behave once they are installed.
Today, the
boundary between
harmless adware
and malicious
programs has
effectively
disappeared.

Contemporary adware programs will attempt to disguise their presence in the system
and prevent the user from deinstalling them. Additionally, many recent adware
programs will search for and delete competitor programs before installing themselves.
Adware is often developed in order to send information to a remote malicious user,

and this may include information about sites visited, as well as personal data which the user has on certain sites.
Adware writers first began to use these techniques in 2004, and in 2005, another approach was pioneered:
adware started to appear in the form of file viruses, dinosaurs which most analysts believed had long died out.
One example of such a virus is Virus.Win32.Bube, which downloads itself to victim machines when the user visits
sites containing exploits for Internet Explorer (MHTML URL Processing Vulnerability) or for the Flaw in Microsoft
VM. Once Bube penetrates the system, it writes its body to the end of explorer.exe, where it acts as a Trojandownloader, downloading other adware onto the victim machine. This method of exploiting Internet Explorer
enables Bube to circumvent some firewalls.
Bube serves as a vivid example of how the boundary between adware and other malware no longer really exists.
Adware, viruses and Trojans now exhibit many of the same characteristics, meaning that products designed only
to protect against adware should be treated with a healthy degree of skepticism. With adware becoming
increasingly inseparable from classic malware, dedicated anti-adware solutions will simply cease to provide
adequate protection.

Mobile malware
In 2004, a new chapter was opened in the history of information security. The first malicious code targeting mobile
phones (Cabir) was detected in the middle of June. Since then, mobile viruses have continued to appear, and
malicious programs for mobile devices now come in a range of forms.
Cabir code was made freely available on the internet. These technologies have been used by other virus writers,
and several versions of Cabir based on the original source code have come out of Brazil and China. However,
hackers and virus writers have not yet gone so far as to create their own, original mobile malware.
Rather than producing their own code, virus writers have provided the antivirus industry with new types of
malicious program for mobiles: Trojans and worm-virus hybrids:
Name

Type

First variant*

quantity of variants*

Cabir

Bluetooth-Worm

June 2004

10

Mosquit

Trojan

August 2004

1

Skuller

Trojan

November 2004

6

Lasco

Bluetooth-Worm/Virus

January 2005

1

Locknut

Trojan

February 2005

2

Comwar

MMS-Worm

March 2005

2

Dampig

Trojan

March 2005

1

Drever

Trojan

March 2005

3

*Note: the classification and number of variants is according to Kaspersky Lab
classification – names/versions may not coincide with those used by other vendors.

Table 2 shows that once the first Bluetooth-worm was detected, three types of mobile malware appeared in under
a year: worms, viruses, and Trojans. The characteristics of all of these programs correspond to their standard PC
counterparts. Frighteningly, it took over a decade for computer malware to evolve into these three families, but it
has taken less than a year for virus writers to adapt all three forms to the mobile environment. We are now staring
into the abyss: a Warhol Worm, which attacks all possible systems in the shortest possible time, is now a very real
possiblity.
The first attempt to create such a worm occurred in March this year. Fortunately, ComWar, an MMS-worm,
contained a number of errors and there was a significant time lag during propagation. In theory, however, a similar
worm using MMS messaging could not only propagate via mobile networks, but would overload them, possibly
even causing outages. Such malicious programs are therefore a serious concern both for security personnel and
mobile providers worldwide.
Virus writers who
write mobile malware
are on the verge of
creating a Warhol
Worm: a worm that
spreads over all
possible systems in a
minimal time period.

At the time of writing, no further Bluetooth-worms have been detected. However,
despite the fact that Bluetooth connections operate within a limited zone, restricting
the speed at which worms can spread, Cabir and subsequent versions of the program

have been detected in 17 countries around the globe. Given that the the use of mobile devices is increasing
worldwide, a new worm could potentially spread much further and faster than Cabir has done so far.
So far, 5 different Trojan families for mobile devices have been detected. Most of these are Trojan-bombs. Once
installed, they replace various applications on the device with their body, eventually causing the device to cease
functioning. Nearly all of them contain versions of Cabir which they use as a vehicle to propagate further.
One worm, Lasco, deserves individual attention. Lasco is a worm-virus hybrid. Once installed it scans the device
for SIS archives and infects them by writing its own code to the files. Currently, two version of Lasco exist - one
infecting SIS archives on Win32 devices and one for devices running Symbian. The Bluetooth propagation routine
is copied straight from the Cabir source code.
And a final word on mobile malware: Kaspersky Lab virus analysts have conducted a number of tests to check
whether or not automobile on-board computers running Symbian are infectable. At the time of writing, the tests
show that the answer to this question is negative. However, this may well the next target for virus writers, and
research will continue. Overall, the worms and Trojans created for smartphones are the harbingers of the malware
storm to come - smartphones, smart houses, and the devices and technologies of the future will provide endless
opportunities for generations of cyber criminals to come.

Summary
The events of the first quarter of 2005 bear witness to the fact that many of our analysts' predictions have come
true. It's clear that classic email worms are on the decline, with network and instant messaging worms exploiting
relatively lax security to take their place.
IM-worms are still in their infancy, and the combination of this, together with improved Windows security, have led
to a relatively quiet three months. However, phishing attacks are now moving to the fore; the convergence of
adware and malicious code, the increase in botnets, and malicious programs for mobile devices seem to indicate
that the first quarter of this year may simply be the calm before the storm.
Improved antivirus technologies, and increased user awareness of security issues are clearly forcing virus writers
and hackers to use new approaches to access users' information and systems.
And finally, the increasing interest in on-line games, with the potential profits to be made in this area, make it more
than likely that malicious code designed to steal such information will continue to evolve rapidly.
Alexander Gostev
Senior Virus Analyst, Kaspersky Lab

Современные информационные угрозы
«Лаборатория Касперского» предлагает своим читателям анализ тенденций эволюции информационных
угроз в первом квартале 2005 года, проведенный ведущим антивирусным экспертом компании
Александром Гостевым.

Почему уже год как нет крупных эпидемий почтовых червей? Что скрывается за сегодняшними червями
для ICQ, AOL и MSN Messenger? Чем обусловлен взрывной количественный и качественный рост фишингатак? Каковы результаты выпуска Microsoft второго Service Pack для Windows XP? Что такое Adware и
Spyware, и почему о них так много говорят в последнее время?
Обо всем этом, а также о многом другом — читайте в нашем первом квартальном отчете.

1.
2.
3.
4.
5.
6.
7.
8.

Черви для интернет-пейджеров
Проблема ботнетов
Закат эпохи почтовых червей
Социальная инженерия
Отсутствие новых критических уязвимостей в Windows
Угрозы пользователям онлайновых игр
Adware и вирусы — грань стерта?
Вредоносные программы для мобильных устройств

Черви для интернет-пейджеров
Известные компьютерные черви типа IM-Worm имеют общий способ самораспространения — рассылку на
обнаруженные записи контакт-листа интернет-пейджера сообщений, содержащих URL на файл, расположенный
на каком-либо веб-сервере. Данный прием практически полностью повторяет один из используемых
почтовыми червями способов саморассылки.

Одним из наиболее заметных событий 2005 года в компьютерной вирусологии стало появление множества
червей, использующих для своего размножения популярные программы обмена сообщениями — MSN
Messenger и AOL Messenger.
Если проанализировать все обнаруженные в течение первого квартала 2005 года IM-черви и полученные
данные занести в таблицу, то можно сделать несколько важных выводов, помогающих понять, что же в
действительности происходит с этим классом вредоносных программ.

Название

IMклиент

Варианты

Язык
программирования

Способ
размножения

Aimes

AOL

4

VB

Файл

Atlex

ICQ

1

C

Ссылка

Bropia

MSN

18

VB

Ссылка

Kelvir

MSN

4

VB

Ссылка

Nemesix

MSN

1

VB

Ссылка

Sumom

MSN

3

VB

Файл

VB

MSN

9

VB

Ссылка

Из таблицы видно, что подавляющее большинство червей использует для своего размножения клиент
MSN Messenger, являющийся весьма популярным в США, но практически не используемый в России. Все
черви (за одним исключением) написаны на языке Visual Basic.
Это позволяет предположить, что мы наблюдаем начальный уровень развития данного класса
вредоносных программ. Использование VB означает небольшой опыт программирования у авторов таких
червей: этот язык является одним из самых простых в освоении, но мало подходит для создания сложных
программ из-за большого размера получаемых исполнимых файлов и невысокой скорости их работы.
Явный крен в сторону MSN Messenger также свидетельствует о том, что практически все подобные черви
создаются по «образу и подобию» появившихся ранее образцов. Вывод подтверждается проведенным в
«Лаборатории Касперского» подробным анализом кода обнаруженных IM-червей. Достоверно известно,
что исходные коды нескольких IM-червей были опубликованы в ряде вирусописательских электронных

журналов. Именно эти исходные коды и стали основой большинства обнаруженных позже IM-червей.
Можно со стопроцентной уверенностью утверждать, что в настоящий момент созданием данного класса
вирусов занимаются исключительно неопытные программисты (т.н. script kiddies).
Ситуация практически повторяет историю появления и развития P2P-червей в 2002-2004 годах. В начале
своего развития P2P-черви также на 90% были написаны на языке программирования Visual Basic и
использовали для саморазмножения всего один популярный P2P-клиент — Kazaa. Простота создания
подобных червей и довольно высокая скорость их распространения породили несколько сотен
разнообразных семейств P2P-червей. Пик их развития пришелся на 2003 год, когда каждую неделю
фиксировалось более десятка новых вариантов.
Ситуация с IMчервями практически
повторяет историю
появления и
развития P2P-червей
в 2002-2004 годах.

Исследования, проведенные в тот момент «Лабораторией Касперского»,
показывали, что каждый второй файл файлообменной сети Kazaa являлся тем
или иным вариантом P2P-червей. Кроме того, многие почтовые и сетевые черви
использовали файлообменные сети в качестве дополнительного способа
размножения. Однако в 2004 году тенденция развития подобных червей резко
пошла вниз, и в настоящее время этот класс вредоносных программ переживает
упадок. Вероятней всего, схожий цикл развития ожидает и IM-червей.

Интересен применяемый IM-червями способ доставки своего тела на атакуемый компьютер. Несмотря на
то, что все интернет-пейджеры обладают возможностью передачи файлов, авторы червей избегают (или
просто не умеют использовать) этого способа проникновения в систему. Вместо него на вооружение взят
прием, свойственный некоторым почтовым червям 2004 года: отправка ссылки на специально
подготовленный веб-сайт, на котором и находится сама вредоносная программа. Пользователь
практически наверняка откроет полученную от своего знакомого ссылку (черви рассылают ссылки по
контакт-листу IM-клиента). В этот момент червь (через эксплойты различных уязвимостей в Internet
Explorer либо путем прямой загрузки и запуска) и проникает в систему.
Мы рекомендуем системным администраторам и специалистам в сфере IT-безопасности обратить
максимальное внимание на повышенную опасность IM-клиентов в настоящее время и, возможно, внести в
корпоративные политики безопасности правила, запрещающие использование подобных программ. Кроме
того, учитывая способ проникновения подобных червей на компьютер (через ссылку, открываемую в
уязвимом браузере), необходимо обязательно проверять весь входящий HTTP-трафик.
Кроме саморазмножения большинство IM-червей способны устанавливать в систему и другие
вредоносные программы. Так, например, наиболее многочисленный в настоящее время по количеству
вариантов червь Bropia устанавливает на зараженный компьютер Backdoor.Win32.Rbot, тем самым
включая его в сеть «зомби-машин» — так называемый «ботнет» (botnet).

Проблема ботнетов
Данная проблема существует уже несколько лет: первые крупные сети из зараженных компьютеров
появились на «черном рынке» андеграунда в 2002 году. С ростом числа подключенных к интернету
пользователей и обнаружением новых критических уязвимостей в Windows количество объединенных в
ботнеты машин начало расти в арифметической прогрессии.
Термин «ботнет» в настоящее время применяется к любой аналогичной сети, централизованно
управляемой злоумышленником. Изначально зараженные компьютеры соединялись с каким-либо IRCканалом и получали команды от автора при помощи IRC. Подобный способ управления и сейчас остается
самым популярным. Его используют наиболее многочисленные представители семейств ботов — Agobot,
Rbot, SdBot. Все они используют для проникновения в систему различные уязвимости в операционной
системе Windows. Как правило, это уязвимости в службах RPC DCOM и LSASS, однако известны боты,
содержащие в себе 8 и более эксплойтов. Также активно используется способ подбора пароля к открытым
на доступ сетевым ресурсам (shared network resources).
Современное состояние ботнетов обусловлено событиями 2003 года, в частности, открытием уязвимости в
службе RPC DCOM Windows 2000 и XP (именно через эту уязвимость распространялся нашумевший червь
Lovesan).
Термин «ботнет» в
настоящее время
применяется к
любой
компьютерной сети,
централизованно
управляемой
злоумышленником.

Вторым значительным «вкладом» в дело создания «зомби-сетей» стал почтовый
червь Mydoom, обнаруженный в январе 2004 года. Он открывал на зараженной
системе порт в диапазоне 3127-3198 и позволял злоумышленнику получить
полный доступ к системе. Кроме того, он мог загружать из интернета и запускать

на исполнение произвольные файлы. Доступ к бэкдору производился при помощи специальной
пятибайтовой комбинации, что было довольно быстро открыто другими вирусописателями, и сеть
наводнили черви, пытающиеся проникнуть на зараженные червем Mydoom компьютеры. Также были
созданы специальные программы-сканеры, позволяющие злоумышленнику просканировать ряд адресов в
сети на наличие бэкдора от Mydoom и передать ему любой файл на исполнение. Зараженные компьютеры
могли переходить «из рук в руки» несколько раз в день, рано или поздно становясь одним из участников
какого-либо ботнета.
Третьим фактором развития ботнетов стала обнаруженная в апреле 2004 года критическая уязвимость
Windows, на этот раз — в службе LSASS. В мае случилась эпидемия червя Sasser, распространявшегося с
использованием эксплойта данной уязвимости. И в очередной раз вирусописатели воспользовались
зараженными червем Sasser компьютерами в своих целях.
В настоящее время по оценкам ряда специалистов IT-безопасности число компьютеров, входящих в какойлибо ботнет, каждый месяц увеличивается на 300-350 тысяч, а общее количество «зомби-машин»
составляет несколько миллионов. Все они используются киберпреступниками с целью получения
финансовой выгоды — через них рассылается спам, организуются DoS-атаки с целью последующего
вымогательства денег, через них же рассылаются новые версии вредоносных программ.
Именно ботнеты представляют сейчас главную проблему и угрозу безопасности пользователей интернета.
Фактически, они являются требующей постоянного расширения и обновления питательной средой, в
которой возникают все новые вирусные эпидемии. Решение проблемы ботнетов должно стать основным
приоритетом IT-индустрии на ближайшее время. От ее успешного устранения напрямую зависит будущее
интернета.

Закат эпохи почтовых червей
Начало 2005 года подтвердило прогнозы ряда антивирусных экспертов о постепенном вымирании
современных почтовых червей, уступающих пальму первенства разнообразным сетевым червям с
троянским функционалом.
После гигантских по своим масштабам эпидемий почтовых червей 2004 года (Mydoom, NetSky, Bagle и
Zafi), в настоящее время наблюдается диаметрально противоположная картина. Фактически, в 2005 году
мы еще не видели ни одной эпидемии почтового червя, сравнимой с эпидемиями среднего уровня
прошлого года.
С одной стороны, это может свидетельствовать о значительных успехах антивирусных компаний в борьбе
с эпидемиями Email-червей. За последний год антивирусная индустрия смогла представить несколько
революционных технологий в области перехвата зараженных писем и остановки эпидемий на самых
ранних стадиях (детектирование червей в закрытых паролями архивах, различные способы
предварительного анализа писем с исполняемыми вложенными файлами и т.д.).
После гигантских по
своим масштабам
эпидемий почтовых
червей 2004 года, в
настоящее время
наблюдается
диаметрально
противоположная
картина.

С другой стороны, угроза пользователям интернета со стороны сетевых червей,
проникающих на компьютеры через уязвимости в операционной системе
Windows, сейчас является более серьезной. Таким образом, на первый план
выходит задача проверки антивирусами всего сетевого трафика, а не только
почтового.

Вероятнее всего, в обозримом будущем нас также не ждут значительные
эпидемии почтовых червей, рассылаемых в виде вложений к письмам. Вопервых, все критические уязвимости в популярных почтовых клиентах Outlook и
Outlook Express давно закрыты патчами. Во-вторых, просветительская работа,
проводимая в последние годы антивирусными компаниями и средствами
массовой информации, дала свои результаты, и пользователи более осмысленно подходят к запуску
приложенных к письмам файлов — особенно, когда письмо приходит от неизвестных отправителей. Для
вирусописателей на первый план выходит проблема составления текста письма таким образом, чтобы
заставить пользователя открыть приложенный файл.

Социальная инженерия
Методика введения пользователя в заблуждение путем сообщения ему важных для него данных,
оказывающихся на самом деле ложными, в настоящее время испытывает очередной виток своего

развития. Новых приемов пока не открыто, зато старые и давно испытанные используются в ужасающих
масштабах. Одним из наиболее ярких примеров подобной методики являются фишинг-атаки.
Фишинг — вид онлайнового мошенничества, цель которого — получить идентификационные данные
пользователей. Организаторы фишинг-атак рассылают электронные письма от имени популярных брендов и
вставляют в них ссылки на фальшивые сайты. Оказавшись на таком сайте, пользователь рискует сообщить
преступникам ценную информацию, например, номер своей кредитной карты.

Согласно исследованию Антифишинговой рабочей группы (APWG), в январе организаторы фишинг-атак
отправили 12845 уникальных писем с призывами посетить 2560 сайтов
Таким образом, активность онлайн-мошенников возросла на 47% по сравнению с декабрем 2004 года
(обнаружено 1740 фальшивых сайтов) и почти в два раза по сравнению с октябрем 2004 года (обнаружено
1186 фальшивых сайтов). Число писем с призывами посетить фальшивые сайты по сравнению с декабрем
2004 года возросло на 42%.
Наибольшей угрозе подвергаются пользователи самых распространенных банковских и платежных систем
— Citibank, Ebay, Paypal, E-Gold, US Bank, WAMU и т.д.
Как мы уже отмечали, все подобные атаки производятся при помощи ботнетов, через которые
рассылаются данные письма. Кроме того, через них постоянно рассылаются различные троянские
программы, предназначенные для кражи банковских реквизитов пользователей. Наибольшую активность в
этом проявляют бразильские киберпреступники. Троянские программы, нацеленные на кражу данных
пользователей бразильских банков, составляют самую многочисленную группу среди подобных
вредоносных программ.
Вниманием к теме
Spyware также
воспользовался ряд
производителей
Adware-программ, не
говоря уже об
откровенных
мошенниках.

Еще одна грань применяемого сегодня вирусописателями социального
инжиниринга — повышенное, искусственно раздутое внимание СМИ и ITиндустрии к проблеме Spyware (шпионских программ). С выпуском компанией
Microsoft бесплатной утилиты AntiSpyware моментально появилось несколько
вредоносных программ, выдающих себя за «новую улучшенную версию» MS
AntiSpyware. Вниманием к теме Spyware также воспользовался ряд
производителей Adware-программ, не говоря уже об откровенных мошенниках.

«Лабораторией Касперского» отмечен значительный рост спам-рассылок,
осуществляемых при помощи системного сервиса Windows «Служба
сообщений» (Messenger). Этот вид спама доставляется на компьютер с использованием особенности в
работе протокола сервиса Messenger и выглядит, как обычные окна системных сообщений.
В таком сообщении, как правило, утверждается, что на компьютере обнаружено множество различных
программ класса Spyware и настоятельно рекомендуется посетить какой-либо сайт и скачать
антишпионскую утилиту. На самом деле, загружаемые с подобных сайтов программы либо сами являются
троянцами, либо просто имитируют видимость работы, не обнаруживая и не удаляя никакие
Adware/Spyware-программы.
Не остаются незамеченными преступниками и происходящие в мире трагедии. Декабрьское цунами в ЮгоВосточной Азии, унесшее жизни сотен тысяч людей, в руках вирусописателей стало поводом для
внедрения вирусов или кражи информации. Были зафиксированы рассылки троянских программ,
выдаваемых за «фотографии цунами» или «секретный отчет о числе жертв».

Отсутствие новых критических уязвимостей в Windows
Относительное спокойствие на вирусном фронте 2005 года в значительной мере можно поставить в
заслугу компании Microsoft, в чьих продуктах не было обнаружено ни одной критической уязвимости,
сопоставимой по масштабам с уязвимостями в службах RPC DCOM или LSASS. Последней из подобных
угроз стала уязвимость в WINS — сервере имен NetBIOS для ОС Windows, обнаруженная 26 ноября
прошлого года и оперативно исправленная очередным патчем от Microsoft.
Несмотря на обнаружение в начале 2005 года ряда достаточно опасных уязвимостей в Windows
(Vulnerability in Cursor and Icon Format Handling, Windows Kernel Vulnerability, Vulnerability in PNG Processing,
Vulnerability in Hyperlink Object Library), в целом можно констатировать, что ни одна из них не привела к
глобальной эпидемии. Однако практически все они были отмечены в тех или иных вирусных инцидентах и
использовались исключительно для внедрения в атакуемые системы различных программ-шпионов.

Отсутствие новых
критических брешей
в Windows и
постепенный
переход на Windows
XP Service Pack 2
являются важными
факторами
сдерживания
эпидемий.

Тем не менее, можно констатировать, что отсутствие новых критических брешей
в Windows и постепенный переход все большего числа пользователей Windows
XP на Service Pack 2 являются важными факторами сдерживания глобальных
эпидемий в первые месяцы текущего года.
Согласно статистическим данным, собранным и проанализированным
экспертами «Лаборатории Касперского», наиболее используемой для внедрения
вредоносного кода уязвимостью в браузере Internet Explorer в настоящее время
является MHTML URL Processing Vulnerability (CAN-2004-0380).

Суть уязвимости заключается в том, что файлы формата CHM (Microsoft
Compiled Help), ссылки на которые размещаются в интернете, могут содержать в себе исполняемые
файлы, написанные на скрипт-языках VBS и JS. При открытии такого CHM-файла вложенные в него
программы будут выполнены на атакуемой системе в Local Internet Zone с правами текущего пользователя.
Как правило, данные скрипты относятся к классу троянских программ Trojan-Downloader или TrojanDropper. В результате работы такого скрипта в атакуемую систему устанавливается исполняемый файл
троянской программы.
Отметим, что эта уязвимость была исправлена Microsoft (MS04-013) 13 апреля 2004 года.

Угрозы пользователям онлайновых игр
Помимо кражи банковских и платежных данных пользователей, вирусописатели не обходят вниманием
еще одну черту современного интернета — все возрастающую популярность различных онлайновых игр.
Современный рынок онлайновых игр, появившийся с выходом в 1997 году MMORPG Ultima Online, сейчас
переживает период своего максимального расцвета и, скорее всего, будет активно развиваться и в
будущем. На интернет-аукционах стоимость предметов или игровых персонажей для какой-либо игры
может достигать нескольких десятков тысяч долларов. Известен случай, когда «виртуальный остров» в
одной из таких игр был продан за 26500 долларов.
Общий оборот денег, так или иначе задействованных в различных «игровых вселенных», уже составляет
несколько миллиардов долларов, приближаясь к бюджету небольшого государства.
Разумеется, эти факты не могли не привлечь внимания злоумышленников. Самыми первыми от
киберворов пострадали пользователи популярной в Азии игры Legend of Mir (в настоящий момент игра
насчитывает более 3 млн подписчиков, в основном, из Южной Кореи). В начале 2003 года появились
первые троянские программы, ворующие учетные данные пользовательских эккаунтов к этой игре. В
настоящий момент уже известно более 700 различных программ-шпионов, атакующих игроков в Legend of
Mir. Анализ показывает, что наибольшая их часть создается в Южной Корее и Китае.
Рост популярности
онлайновых игр и
объема
задействованных в
них денег не могли
не привлечь
внимания
злоумышленников.

Второй часто атакуемой онлайновой игрой является Lineage. Эта игра также
имеет корейское происхождение и весьма многочисленную армию поклонников.
Первые варианты троянцев для данной игры были обнаружены менее полугода
назад (в октябре 2004 года), однако сейчас количество модификаций подобных
троянцев превысило сотню.
Из наиболее «свежих» игровых шпионов стоит отметить класс троянских
программ, ворующих данные пользователей игры Gamania. Самый первый из
них был обнаружен в феврале 2005 года, а новые варианты появляются каждую
неделю.

Российские вирусописатели также участвуют в процессе кражи данных пользователей-игроков. В их
прицел попала популярная российская игра «Бойцовский клуб», где стоимость некоторых предметов также
достигает тысяч долларов. Стоит отметить тот факт, что администрация данного игрового проекта,
осознавая всю важность проблемы, предложила «Лаборатории Касперского» сотрудничество в области
борьбы с подобными программами. «Лаборатория Касперского» получает информацию от
администраторов «Бойцовского клуба» о новых вирусах, троянских программах и вредоносных скриптах,
применяемых в отношении игровых порталов, в самые короткие сроки разрабатывает методы защиты и
вносит обновления в свои антивирусные базы. Подчеркнем, что подобная практика уникальна для
мировой игровой индустрии.

Adware и вирусы — грань стерта?

Adware, наряду со Spyware, — самый модный термин в IT-безопасности в настоящее время. Мы не будем
останавливаться на правовых аспектах проблемы, а также углубляться в идеологические споры на эту
тему; вместо этого попробуем сконцентрироваться на не требующих доказательств фактах.
Итак, грань между «безобидным» рекламным софтом (Adware) и полноценными вредоносными
программами практически стерта. Все больше и больше обнаруживаемых программ этого класса содержат
в себе черты троянцев. Это выражается в способе инсталляции в систему (например, при помощи
уязвимостей в браузерах) либо в поведении на компьютере пользователя. Эти программы всячески
стараются затруднить свое обнаружение и деинсталляцию из системы, они ищут и удаляют программыконкуренты, сами занимая их место. Они могут содержать модули для сбора и отправки третьим лицам
информации о посещаемых сайтах и вводимых владельцем компьютера данных. Все это было
зафиксировано нашими экспертами еще в 2004 году.
Грань между
«безобидным»
рекламным софтом
(Adware) и
полноценными
вредоносными
программами
практически стерта.

2005 год открыл нам новый вид подобных программ — вирусы. Классические
файловые вирусы, заражающие файлы, эпоха которых, казалось, закончилась в
прошлом веке, вернулись под видом рекламных программ.

Вирус Win32.Bube загружается на компьютер при посещении сайтов,
содержащих эксплойты уязвимостей в Internet Explorer (MHTML URL Processing
Vulnerability) или в Microsoft Virtual Machine (Flaw in Microsoft VM). После
проникновения в систему вирус дописывает свое тело к файлу Explorer.exe и
затем использует его в качестве Trojan-Downloader для загрузки на компьютер
других программ класса Adware. Заражение стандартного Windows Explorer
(«Проводник») позволяет ему обходить некоторые межсетевые экраны.
Пример показывает, что в настоящее время уже невозможно провести четкую грань между Adware
(рекламными программами) и Malware (вредоносными программами), что заставляет скептически
относиться к некоторым программным продуктам, предназначенным исключительно для поиска и
удаления Adware и не занимающимся борьбой со всем спектром вредоносного программного обеспечения.

Вредоносные программы для мобильных устройств
2004 год открыл новую страницу в истории информационной безопасности. В июне 2004 года был
обнаружен первый вредоносный код, поражающий мобильные телефоны, работающие под управлением
операционной системы Symbian. За прошедшее время мобильные угрозы претерпели ряд изменений и
вышли на новый виток своего развития.
Технология, представленная в черве Cabir и затем опубликованная некоторыми представителями
«андерграунда» в формате общего доступа, так и остается на сегодня единственной известной и
использованной другими вирусописателями.
Именно на основе исходных кодов Cabir было создано несколько его модификаций, руку к которым
приложили бразильские и китайские хакеры. Однако дальше переделки чужого кода дело у них, к счастью,
пока не зашло.
Вместо этого вниманию мобильной и антивирусной индустрий было «представлено» несколько новых
классов вредоносных программ. Для составления более полной картины мы объединим их в одну таблицу
(данные на 26 марта 2005 года).
Название

Тип

Первый вариант* Количество вариантов*

Cabir

Bluetooth-Worm

Июнь 2004

10

Mosquit

Trojan

Август 2004

1

Skuller

Trojan

Ноябрь 2004

6

Lasco

Bluetooth-Worm/Virus

Январь 2005

1

Locknut

Trojan

Февраль 2005

2

Comwar

MMS-Worm

Март 2005

2

Dampig

Trojan

Март 2005

1

Drever

Trojan

Март 2005

3

* — Количество вариантов и даты обнаружения даны согласно классификации
«Лаборатории Касперского» и могут не совпадать с данными других антивирусных
компаний.

Начавшись с Bluetooth-червя Worm.SymbOS.Cabir.a, вредоносные программы для мобильных устройств
сегодня представлены сразу тремя классами (Worm, Virus, Trojan), полностью соответствующими
существующей структуре компьютерных вредоносных программ. Однако если традиционным вирусам
потребовались годы, чтобы прийти к такому количеству поведений, то мобильные вирусы проделали этот
путь менее чем за год. И что самое опасное — вплотную подошли к возможности появления
«моментального червя», так называемого «Warhol Worm», способного в течение короткого промежутка
времени атаковать все системы, которые принципиально могут быть атакованы.
Речь идет об обнаруженном в марте первом образце MMS-червя. К счастью, данный червь (получивший
название ComWar) имеет в себе несколько ошибок, а также значительную задержку во времени между
отправкой сообщений. Однако, теоретически, подобные черви — использующие для своего размножения
MMS-сообщения — способны не только очень быстро передавать свое тело с телефона на телефон, но и
значительно увеличивать трафик в мобильных сетях, что может привести к их перегрузке и временному
отключению. Именно подобные вирусы могут стать в самое ближайшее будущее основной головной болью
специалистов IT-безопасности и провайдеров услуг мобильной связи.
Мобильные вирусы
вплотную подошли к
возможности
появления
«моментального
червя», так
называемого «Warhol
Worm».

Как было сказано выше, новых вариантов Bluetooth-червей в 2005 году
обнаружено не было. Однако, несмотря на малый радиус действия технологии
Bluetooth и, соответственно, потенциально низкую скорость распространения
подобных червей, в настоящий момент червь Cabir.a (и его модификации) уже
был обнаружен в 17-и странах мира.

Пять известных в настоящее время семейств троянских программ для
мобильных телефонов, по большей части, представляют собой троянцы-бомбы.
При установке в телефон они заменяют собой различные системные
приложения, выводя, таким образом, телефон из строя. Практически все они
содержат в себе тот или иной вариант червя Cabir, пытаясь передавать свое тело вместе с телом червя.
Отдельного упоминания достоин червь Lasco. Он представляет собой гибрид червя и вируса. При запуске
он сканирует диск в поисках SIS-архивов и пытается заражать найденные файлы путем внедрения своего
кода внутрь архива. Вирус представлен в двух вариантах: приложение для платформы Win32,
заражающее найденные SIS-файлы, и приложение для платформы Symbian. Функционал размножения
через Bluetooth основан на исходных кодах червя Cabir.
В заключение надо отметить, что «Лаборатория Касперского» провела специальные исследования
относительно возможности заражения вирусами работающих под управлением ОС Symbian бортовых
компьютеров некоторых моделей автомобилей. Согласно полученным результатам, в настоящее время
подобная возможность полностью отсутствует, что, впрочем, не снимает возможности появления подобной
проблемы в будущем, с развитием операционных систем не только для персональных компьютеров и
мобильных телефонов, но и для других устройств.

Вместо заключения
Итак, события первого квартала 2005 года подтвердили ряд высказанных нами ранее предположений. В
частности, стала окончательно очевидной тенденция постепенного отмирания классических почтовых
червей. На замену им приходят черви сетевые, а также черви для программ-пейджеров, защищенных
гораздо хуже современных почтовых систем.
Однако пока IM-черви делают свои первые шаги, а отсутствие новых значительных уязвимостей в ОС
Windows предотвращает появление опасных сетевых червей, на первый план выходят менее важные в
прошлом проблемы фишинга, конвергенции вирусов и рекламных программ, борьба с ботнетами и
вредоносными программами для мобильных устройств — карманных компьютеров и смартфонов.
В условиях значительного усиления противодействия вирусным атакам и существенного роста
пользовательской грамотности в области противостояния интернет-угрозам, вирусописатели и хакеры
вынуждены активно развивать методы социального инжиниринга, позволяющие проникнуть даже на самый
защищенный пользовательский компьютер.

Наконец, с ростом объемов и качества рынка онлайновых игр появились и первые вредоносные
программы, предназначенные для кражи той или иной пользовательской информации: целых эккаунтов
или же отдельных, особенно ценных игровых предметов. Учитывая, что рост рынка онлайновых игр в
ближайшее время вряд ли замедлится, можно с уверенностью ожидать дальнейшего бурного развития
этой категории вредоносных программ.
Александр Гостев

Kahjurprogrammide arengusuunad: 2005. aasta esimene kvartal
Kaspersky Lab pakub oma lugejatele firmaviirusetõrje juhteksperdi
kahjurprogrammide arengusuundadest 2005. aasta esimeses kvartalis.

Aleksandr

Gostevi

analüüsi

Miks siis pole enam kui aasta olnud ühtegi suurt postiusside epideemiat? Mis peitub kaasaegsete ICQ, AOL, ja
MSN Messengeri usside taga? Millest on tingitud ”phishing-rünnete” arvukuse plahvatuslik kasv ja nende rünnete
kvaliteedi tuntav tõus? Millised on WinXP SP2 väljalaske tulemused? Mis on AdWare ja Spyware ja miks neist
viimasel ajal nii palju räägitakse?

Kõigest sellest ja paljust muust lugege meie kvartaliaruandest.

1.
2.
3.

4.
5.

6.
7.
8.

Suhtlusprogrammide ussid
Botnettide probleem
Postiusside ajastu loojang
Sotsiaalne katsetus
Windowsi uute turvaaukude puudumine
On-line-mängude ohud
AdWare ja viirused – kas piiri enam pole?
Mobiilseadmete kahjurprogrammid

Suhtlusprogrammide ussid
IM-Worm tüüpi tuntud arvutiussidel on ühine iselevimehhanism – mingis serveris asuva faili või sinna juhatava lingi
laialisaatmine nakatatud arvutis avastatud suhtlusprogrammi kõigile aadressidele. See võte kordab pea täielikult üht
samalaadset postiusside kasutatavat moodust.

2005. aasta üks silmapaistvamaid sündmusi viirusemaailmas oli enda levitamiseks suhtlusprogramme MSN
Messenger ja AOL Messenger kasutavate usside rohkearvuline ilmumine.
Kui analüüsida kõiki 2005. aasta esimeses kvartalis avastatud suhtlusprogrammide usse ja kanda saadud
andmed tabelisse, siis saab selle põhjal teha järeldusi kahjurprogrammide selles klassis toimuvast.
Nimetus

Suhtlusprogramm

Variante

Programmeerimiskeel

Levimoodus

Aimes

AOL

4

VB

Fail

Atlex

ICQ

1

C

Link

Bropia

MSN

18

VB

Link

Kelvir

MSN

4

VB

Link

Nemesix

MSN

1

VB

Link

Sumom

MSN

3

VB

Fail

VB

MSN

9

VB

Link

Tabelist on näha, et suurem osa usse levib MSN Messenger`i abil. See on väga populaarne USA-s, kuid
Venemaal seda peaaegu ei kasutata. Kõik ussid (ühe erandiga) on kirjutatud programmeerimiskeeles Visual
Basic.
See lubab oletada, et näeme kahjurprogrammide selle klassi algusfaasi. VB kasutamine tähendab, et nende
usside autoritel on vähene programmeerimiskogemus: See keel on kätteõppimiselt üks lihtsamaid, kuid ei sobi
keerukamate programmide loomiseks täidetava faili suure mahu ja väikese töökiiruse tõttu.
Ka selge pööre MSN Messenger`i poole tunnistab, et pea kõik uued ussid luuakse varem loodud ussidel
põhinevate näidete ja eeskujude najal. Järeldust kinnitab ka Kaspersky Lab-i poolt põhjalikult analüüsitud IMusside kood. Достоверно известно, что исходные коды нескольких IM-червей были опубликованы в ряде
вирусописательских электронных журналов. Именно эти исходные коды и стали основой большинства
обнаруженных позже IM-червей. Можно со стопроцентной уверенностью утверждать, что в настоящий
момент созданием данного класса вирусов занимаются исключительно неопытные программисты (т.н.
script kiddies).
Ситуация практически повторяет историю появления и развития P2P-червей в 2002-2004 годах. В начале
своего развития P2P-черви также на 90% были написаны на языке программирования Visual Basic и
использовали для саморазмножения всего один популярный P2P-клиент — Kazaa. Простота создания
подобных червей и довольно высокая скорость их распространения породили несколько сотен
разнообразных семейств P2P-червей. Пик их развития пришелся на 2003 год, когда каждую неделю
фиксировалось более десятка новых вариантов.

Ситуация с IMчервями практически
повторяет историю
появления и
развития P2P-червей
в 2002-2004 годах.

Исследования, проведенные в тот момент «Лабораторией Касперского»,
показывали, что каждый второй файл файлообменной сети Kazaa являлся тем
или иным вариантом P2P-червей. Кроме того, многие почтовые и сетевые черви
использовали файлообменные сети в качестве дополнительного способа
размножения. Однако в 2004 году тенденция развития подобных червей резко
пошла вниз, и в настоящее время этот класс вредоносных программ переживает
упадок. Вероятней всего, схожий цикл развития ожидает и IM-червей.

Интересен применяемый IM-червями способ доставки своего тела на атакуемый компьютер. Несмотря на
то, что все интернет-пейджеры обладают возможностью передачи файлов, авторы червей избегают (или
просто не умеют использовать) этого способа проникновения в систему. Вместо него на вооружение взят
прием, свойственный некоторым почтовым червям 2004 года: отправка ссылки на специально
подготовленный веб-сайт, на котором и находится сама вредоносная программа. Пользователь
практически наверняка откроет полученную от своего знакомого ссылку (черви рассылают ссылки по
контакт-листу IM-клиента). В этот момент червь (через эксплойты различных уязвимостей в Internet
Explorer либо путем прямой загрузки и запуска) и проникает в систему.
Мы рекомендуем системным администраторам и специалистам в сфере IT-безопасности обратить
максимальное внимание на повышенную опасность IM-клиентов в настоящее время и, возможно, внести в
корпоративные политики безопасности правила, запрещающие использование подобных программ. Кроме
того, учитывая способ проникновения подобных червей на компьютер (через ссылку, открываемую в
уязвимом браузере), необходимо обязательно проверять весь входящий HTTP-трафик.
Кроме саморазмножения большинство IM-червей способны устанавливать в систему и другие
вредоносные программы. Так, например, наиболее многочисленный в настоящее время по количеству
вариантов червь Bropia устанавливает на зараженный компьютер Backdoor.Win32.Rbot, тем самым
включая его в сеть «зомби-машин» — так называемый «ботнет» (botnet).

Проблема ботнетов
Данная проблема существует уже несколько лет: первые крупные сети из зараженных компьютеров
появились на «черном рынке» андеграунда в 2002 году. С ростом числа подключенных к интернету
пользователей и обнаружением новых критических уязвимостей в Windows количество объединенных в
ботнеты машин начало расти в арифметической прогрессии.
Термин «ботнет» в настоящее время применяется к любой аналогичной сети, централизованно
управляемой злоумышленником. Изначально зараженные компьютеры соединялись с каким-либо IRCканалом и получали команды от автора при помощи IRC. Подобный способ управления и сейчас остается
самым популярным. Его используют наиболее многочисленные представители семейств ботов — Agobot,
Rbot, SdBot. Все они используют для проникновения в систему различные уязвимости в операционной
системе Windows. Как правило, это уязвимости в службах RPC DCOM и LSASS, однако известны боты,
содержащие в себе 8 и более эксплойтов. Также активно используется способ подбора пароля к открытым
на доступ сетевым ресурсам (shared network resources).
Современное состояние ботнетов обусловлено событиями 2003 года, в частности, открытием уязвимости в
службе RPC DCOM Windows 2000 и XP (именно через эту уязвимость распространялся нашумевший червь
Lovesan).
Вторым значительным «вкладом» в дело создания «зомби-сетей» стал почтовый
червь Mydoom, обнаруженный в январе 2004 года. Он открывал на зараженной
системе порт в диапазоне 3127-3198 и позволял злоумышленнику получить
полный доступ к системе. Кроме того, он мог загружать из интернета и запускать
на исполнение произвольные файлы. Доступ к бэкдору производился при
помощи специальной пятибайтовой комбинации, что было довольно быстро
открыто другими вирусописателями, и сеть наводнили черви, пытающиеся
проникнуть на зараженные червем Mydoom компьютеры. Также были созданы
специальные программы-сканеры, позволяющие злоумышленнику
просканировать ряд адресов в сети на наличие бэкдора от Mydoom и передать
ему любой файл на исполнение. Зараженные компьютеры могли переходить «из рук в руки» несколько раз
в день, рано или поздно становясь одним из участников какого-либо ботнета.

Термин «ботнет» в
настоящее время
применяется к
любой
компьютерной сети,
централизованно
управляемой
злоумышленником.

Третьим фактором развития ботнетов стала обнаруженная в апреле 2004 года критическая уязвимость
Windows, на этот раз — в службе LSASS. В мае случилась эпидемия червя Sasser, распространявшегося с

использованием эксплойта данной уязвимости. И в очередной раз вирусописатели воспользовались
зараженными червем Sasser компьютерами в своих целях.
В настоящее время по оценкам ряда специалистов IT-безопасности число компьютеров, входящих в какойлибо ботнет, каждый месяц увеличивается на 300-350 тысяч, а общее количество «зомби-машин»
составляет несколько миллионов. Все они используются киберпреступниками с целью получения
финансовой выгоды — через них рассылается спам, организуются DoS-атаки с целью последующего
вымогательства денег, через них же рассылаются новые версии вредоносных программ.
Именно ботнеты представляют сейчас главную проблему и угрозу безопасности пользователей интернета.
Фактически, они являются требующей постоянного расширения и обновления питательной средой, в
которой возникают все новые вирусные эпидемии. Решение проблемы ботнетов должно стать основным
приоритетом IT-индустрии на ближайшее время. От ее успешного устранения напрямую зависит будущее
интернета.

Закат эпохи почтовых червей
Начало 2005 года подтвердило прогнозы ряда антивирусных экспертов о постепенном вымирании
современных почтовых червей, уступающих пальму первенства разнообразным сетевым червям с
троянским функционалом.
После гигантских по своим масштабам эпидемий почтовых червей 2004 года (Mydoom, NetSky, Bagle и
Zafi), в настоящее время наблюдается диаметрально противоположная картина. Фактически, в 2005 году
мы еще не видели ни одной эпидемии почтового червя, сравнимой с эпидемиями среднего уровня
прошлого года.
С одной стороны, это может свидетельствовать о значительных успехах антивирусных компаний в борьбе
с эпидемиями Email-червей. За последний год антивирусная индустрия смогла представить несколько
революционных технологий в области перехвата зараженных писем и остановки эпидемий на самых
ранних стадиях (детектирование червей в закрытых паролями архивах, различные способы
предварительного анализа писем с исполняемыми вложенными файлами и т.д.).
После гигантских по
своим масштабам
эпидемий почтовых
червей 2004 года, в
настоящее время
наблюдается
диаметрально
противоположная
картина.

С другой стороны, угроза пользователям интернета со стороны сетевых червей,
проникающих на компьютеры через уязвимости в операционной системе
Windows, сейчас является более серьезной. Таким образом, на первый план
выходит задача проверки антивирусами всего сетевого трафика, а не только
почтового.

Вероятнее всего, в обозримом будущем нас также не ждут значительные
эпидемии почтовых червей, рассылаемых в виде вложений к письмам. Вопервых, все критические уязвимости в популярных почтовых клиентах Outlook и
Outlook Express давно закрыты патчами. Во-вторых, просветительская работа,
проводимая в последние годы антивирусными компаниями и средствами
массовой информации, дала свои результаты, и пользователи более осмысленно подходят к запуску
приложенных к письмам файлов — особенно, когда письмо приходит от неизвестных отправителей. Для
вирусописателей на первый план выходит проблема составления текста письма таким образом, чтобы
заставить пользователя открыть приложенный файл.

Социальная инженерия
Методика введения пользователя в заблуждение путем сообщения ему важных для него данных,
оказывающихся на самом деле ложными, в настоящее время испытывает очередной виток своего
развития. Новых приемов пока не открыто, зато старые и давно испытанные используются в ужасающих
масштабах. Одним из наиболее ярких примеров подобной методики являются фишинг-атаки.
Фишинг — вид онлайнового мошенничества, цель которого — получить идентификационные данные
пользователей. Организаторы фишинг-атак рассылают электронные письма от имени популярных брендов и
вставляют в них ссылки на фальшивые сайты. Оказавшись на таком сайте, пользователь рискует сообщить
преступникам ценную информацию, например, номер своей кредитной карты.

Согласно исследованию Антифишинговой рабочей группы (APWG), в январе организаторы фишинг-атак
отправили 12845 уникальных писем с призывами посетить 2560 сайтов

Таким образом, активность онлайн-мошенников возросла на 47% по сравнению с декабрем 2004 года
(обнаружено 1740 фальшивых сайтов) и почти в два раза по сравнению с октябрем 2004 года (обнаружено
1186 фальшивых сайтов). Число писем с призывами посетить фальшивые сайты по сравнению с декабрем
2004 года возросло на 42%.
Наибольшей угрозе подвергаются пользователи самых распространенных банковских и платежных систем
— Citibank, Ebay, Paypal, E-Gold, US Bank, WAMU и т.д.
Как мы уже отмечали, все подобные атаки производятся при помощи ботнетов, через которые
рассылаются данные письма. Кроме того, через них постоянно рассылаются различные троянские
программы, предназначенные для кражи банковских реквизитов пользователей. Наибольшую активность в
этом проявляют бразильские киберпреступники. Троянские программы, нацеленные на кражу данных
пользователей бразильских банков, составляют самую многочисленную группу среди подобных
вредоносных программ.
Вниманием к теме
Spyware также
воспользовался ряд
производителей
Adware-программ, не
говоря уже об
откровенных
мошенниках.

Еще одна грань применяемого сегодня вирусописателями социального
инжиниринга — повышенное, искусственно раздутое внимание СМИ и ITиндустрии к проблеме Spyware (шпионских программ). С выпуском компанией
Microsoft бесплатной утилиты AntiSpyware моментально появилось несколько
вредоносных программ, выдающих себя за «новую улучшенную версию» MS
AntiSpyware. Вниманием к теме Spyware также воспользовался ряд
производителей Adware-программ, не говоря уже об откровенных мошенниках.

«Лабораторией Касперского» отмечен значительный рост спам-рассылок,
осуществляемых при помощи системного сервиса Windows «Служба
сообщений» (Messenger). Этот вид спама доставляется на компьютер с использованием особенности в
работе протокола сервиса Messenger и выглядит, как обычные окна системных сообщений.
В таком сообщении, как правило, утверждается, что на компьютере обнаружено множество различных
программ класса Spyware и настоятельно рекомендуется посетить какой-либо сайт и скачать
антишпионскую утилиту. На самом деле, загружаемые с подобных сайтов программы либо сами являются
троянцами, либо просто имитируют видимость работы, не обнаруживая и не удаляя никакие
Adware/Spyware-программы.
Не остаются незамеченными преступниками и происходящие в мире трагедии. Декабрьское цунами в ЮгоВосточной Азии, унесшее жизни сотен тысяч людей, в руках вирусописателей стало поводом для
внедрения вирусов или кражи информации. Были зафиксированы рассылки троянских программ,
выдаваемых за «фотографии цунами» или «секретный отчет о числе жертв».

Отсутствие новых критических уязвимостей в Windows
Относительное спокойствие на вирусном фронте 2005 года в значительной мере можно поставить в
заслугу компании Microsoft, в чьих продуктах не было обнаружено ни одной критической уязвимости,
сопоставимой по масштабам с уязвимостями в службах RPC DCOM или LSASS. Последней из подобных
угроз стала уязвимость в WINS — сервере имен NetBIOS для ОС Windows, обнаруженная 26 ноября
прошлого года и оперативно исправленная очередным патчем от Microsoft.
Несмотря на обнаружение в начале 2005 года ряда достаточно опасных уязвимостей в Windows
(Vulnerability in Cursor and Icon Format Handling, Windows Kernel Vulnerability, Vulnerability in PNG Processing,
Vulnerability in Hyperlink Object Library), в целом можно констатировать, что ни одна из них не привела к
глобальной эпидемии. Однако практически все они были отмечены в тех или иных вирусных инцидентах и
использовались исключительно для внедрения в атакуемые системы различных программ-шпионов.
Отсутствие новых
критических брешей
в Windows и
постепенный
переход на Windows
XP Service Pack 2
являются важными
факторами
сдерживания
эпидемий.

Тем не менее, можно констатировать, что отсутствие новых критических брешей
в Windows и постепенный переход все большего числа пользователей Windows
XP на Service Pack 2 являются важными факторами сдерживания глобальных
эпидемий в первые месяцы текущего года.
Согласно статистическим данным, собранным и проанализированным
экспертами «Лаборатории Касперского», наиболее используемой для внедрения
вредоносного кода уязвимостью в браузере Internet Explorer в настоящее время
является MHTML URL Processing Vulnerability (CAN-2004-0380).

Суть уязвимости заключается в том, что файлы формата CHM (Microsoft Compiled Help), ссылки на
которые размещаются в интернете, могут содержать в себе исполняемые файлы, написанные на скриптязыках VBS и JS. При открытии такого CHM-файла вложенные в него программы будут выполнены на
атакуемой системе в Local Internet Zone с правами текущего пользователя. Как правило, данные скрипты
относятся к классу троянских программ Trojan-Downloader или Trojan-Dropper. В результате работы такого
скрипта в атакуемую систему устанавливается исполняемый файл троянской программы.
Отметим, что эта уязвимость была исправлена Microsoft (MS04-013) 13 апреля 2004 года.

Угрозы пользователям онлайновых игр
Помимо кражи банковских и платежных данных пользователей, вирусописатели не обходят вниманием
еще одну черту современного интернета — все возрастающую популярность различных онлайновых игр.
Современный рынок онлайновых игр, появившийся с выходом в 1997 году MMORPG Ultima Online, сейчас
переживает период своего максимального расцвета и, скорее всего, будет активно развиваться и в
будущем. На интернет-аукционах стоимость предметов или игровых персонажей для какой-либо игры
может достигать нескольких десятков тысяч долларов. Известен случай, когда «виртуальный остров» в
одной из таких игр был продан за 26500 долларов.
Общий оборот денег, так или иначе задействованных в различных «игровых вселенных», уже составляет
несколько миллиардов долларов, приближаясь к бюджету небольшого государства.
Разумеется, эти факты не могли не привлечь внимания злоумышленников. Самыми первыми от
киберворов пострадали пользователи популярной в Азии игры Legend of Mir (в настоящий момент игра
насчитывает более 3 млн подписчиков, в основном, из Южной Кореи). В начале 2003 года появились
первые троянские программы, ворующие учетные данные пользовательских эккаунтов к этой игре. В
настоящий момент уже известно более 700 различных программ-шпионов, атакующих игроков в Legend of
Mir. Анализ показывает, что наибольшая их часть создается в Южной Корее и Китае.
Рост популярности
онлайновых игр и
объема
задействованных в
них денег не могли
не привлечь
внимания
злоумышленников.

Второй часто атакуемой онлайновой игрой является Lineage. Эта игра также
имеет корейское происхождение и весьма многочисленную армию поклонников.
Первые варианты троянцев для данной игры были обнаружены менее полугода
назад (в октябре 2004 года), однако сейчас количество модификаций подобных
троянцев превысило сотню.
Из наиболее «свежих» игровых шпионов стоит отметить класс троянских
программ, ворующих данные пользователей игры Gamania. Самый первый из
них был обнаружен в феврале 2005 года, а новые варианты появляются каждую
неделю.

Российские вирусописатели также участвуют в процессе кражи данных пользователей-игроков. В их
прицел попала популярная российская игра «Бойцовский клуб», где стоимость некоторых предметов также
достигает тысяч долларов. Стоит отметить тот факт, что администрация данного игрового проекта,
осознавая всю важность проблемы, предложила «Лаборатории Касперского» сотрудничество в области
борьбы с подобными программами. «Лаборатория Касперского» получает информацию от
администраторов «Бойцовского клуба» о новых вирусах, троянских программах и вредоносных скриптах,
применяемых в отношении игровых порталов, в самые короткие сроки разрабатывает методы защиты и
вносит обновления в свои антивирусные базы. Подчеркнем, что подобная практика уникальна для
мировой игровой индустрии.

Adware и вирусы — грань стерта?
Adware, наряду со Spyware, — самый модный термин в IT-безопасности в настоящее время. Мы не будем
останавливаться на правовых аспектах проблемы, а также углубляться в идеологические споры на эту
тему; вместо этого попробуем сконцентрироваться на не требующих доказательств фактах.
Итак, грань между «безобидным» рекламным софтом (Adware) и полноценными вредоносными
программами практически стерта. Все больше и больше обнаруживаемых программ этого класса содержат
в себе черты троянцев. Это выражается в способе инсталляции в систему (например, при помощи
уязвимостей в браузерах) либо в поведении на компьютере пользователя. Эти программы всячески
стараются затруднить свое обнаружение и деинсталляцию из системы, они ищут и удаляют программыконкуренты, сами занимая их место. Они могут содержать модули для сбора и отправки третьим лицам

информации о посещаемых сайтах и вводимых владельцем компьютера данных. Все это было
зафиксировано нашими экспертами еще в 2004 году.
Грань между
«безобидным»
рекламным софтом
(Adware) и
полноценными
вредоносными
программами
практически стерта.

2005 год открыл нам новый вид подобных программ — вирусы. Классические
файловые вирусы, заражающие файлы, эпоха которых, казалось, закончилась в
прошлом веке, вернулись под видом рекламных программ.

Вирус Win32.Bube загружается на компьютер при посещении сайтов,
содержащих эксплойты уязвимостей в Internet Explorer (MHTML URL Processing
Vulnerability) или в Microsoft Virtual Machine (Flaw in Microsoft VM). После
проникновения в систему вирус дописывает свое тело к файлу Explorer.exe и
затем использует его в качестве Trojan-Downloader для загрузки на компьютер
других программ класса Adware. Заражение стандартного Windows Explorer
(«Проводник») позволяет ему обходить некоторые межсетевые экраны.
Пример показывает, что в настоящее время уже невозможно провести четкую грань между Adware
(рекламными программами) и Malware (вредоносными программами), что заставляет скептически
относиться к некоторым программным продуктам, предназначенным исключительно для поиска и
удаления Adware и не занимающимся борьбой со всем спектром вредоносного программного обеспечения.

Вредоносные программы для мобильных устройств
2004 год открыл новую страницу в истории информационной безопасности. В июне 2004 года был
обнаружен первый вредоносный код, поражающий мобильные телефоны, работающие под управлением
операционной системы Symbian. За прошедшее время мобильные угрозы претерпели ряд изменений и
вышли на новый виток своего развития.
Технология, представленная в черве Cabir и затем опубликованная некоторыми представителями
«андерграунда» в формате общего доступа, так и остается на сегодня единственной известной и
использованной другими вирусописателями.
Именно на основе исходных кодов Cabir было создано несколько его модификаций, руку к которым
приложили бразильские и китайские хакеры. Однако дальше переделки чужого кода дело у них, к счастью,
пока не зашло.
Вместо этого вниманию мобильной и антивирусной индустрий было «представлено» несколько новых
классов вредоносных программ. Для составления более полной картины мы объединим их в одну таблицу
(данные на 26 марта 2005 года).
Название

Тип

Первый вариант* Количество вариантов*

Cabir

Bluetooth-Worm

Июнь 2004

10

Mosquit

Trojan

Август 2004

1

Skuller

Trojan

Ноябрь 2004

6

Lasco

Bluetooth-Worm/Virus

Январь 2005

1

Locknut

Trojan

Февраль 2005

2

Comwar

MMS-Worm

Март 2005

2

Dampig

Trojan

Март 2005

1

Drever

Trojan

Март 2005

3

* — Количество вариантов и даты обнаружения даны согласно классификации
«Лаборатории Касперского» и могут не совпадать с данными других антивирусных
компаний.

Начавшись с Bluetooth-червя Worm.SymbOS.Cabir.a, вредоносные программы для мобильных устройств
сегодня представлены сразу тремя классами (Worm, Virus, Trojan), полностью соответствующими
существующей структуре компьютерных вредоносных программ. Однако если традиционным вирусам
потребовались годы, чтобы прийти к такому количеству поведений, то мобильные вирусы проделали этот
путь менее чем за год. И что самое опасное — вплотную подошли к возможности появления

«моментального червя», так называемого «Warhol Worm», способного в течение короткого промежутка
времени атаковать все системы, которые принципиально могут быть атакованы.
Речь идет об обнаруженном в марте первом образце MMS-червя. К счастью, данный червь (получивший
название ComWar) имеет в себе несколько ошибок, а также значительную задержку во времени между
отправкой сообщений. Однако, теоретически, подобные черви — использующие для своего размножения
MMS-сообщения — способны не только очень быстро передавать свое тело с телефона на телефон, но и
значительно увеличивать трафик в мобильных сетях, что может привести к их перегрузке и временному
отключению. Именно подобные вирусы могут стать в самое ближайшее будущее основной головной болью
специалистов IT-безопасности и провайдеров услуг мобильной связи.
Мобильные вирусы
вплотную подошли к
возможности
появления
«моментального
червя», так
называемого «Warhol
Worm».

Как было сказано выше, новых вариантов Bluetooth-червей в 2005 году
обнаружено не было. Однако, несмотря на малый радиус действия технологии
Bluetooth и, соответственно, потенциально низкую скорость распространения
подобных червей, в настоящий момент червь Cabir.a (и его модификации) уже
был обнаружен в 17-и странах мира.

Пять известных в настоящее время семейств троянских программ для
мобильных телефонов, по большей части, представляют собой троянцы-бомбы.
При установке в телефон они заменяют собой различные системные
приложения, выводя, таким образом, телефон из строя. Практически все они
содержат в себе тот или иной вариант червя Cabir, пытаясь передавать свое тело вместе с телом червя.
Отдельного упоминания достоин червь Lasco. Он представляет собой гибрид червя и вируса. При запуске
он сканирует диск в поисках SIS-архивов и пытается заражать найденные файлы путем внедрения своего
кода внутрь архива. Вирус представлен в двух вариантах: приложение для платформы Win32,
заражающее найденные SIS-файлы, и приложение для платформы Symbian. Функционал размножения
через Bluetooth основан на исходных кодах червя Cabir.
В заключение надо отметить, что «Лаборатория Касперского» провела специальные исследования
относительно возможности заражения вирусами работающих под управлением ОС Symbian бортовых
компьютеров некоторых моделей автомобилей. Согласно полученным результатам, в настоящее время
подобная возможность полностью отсутствует, что, впрочем, не снимает возможности появления подобной
проблемы в будущем, с развитием операционных систем не только для персональных компьютеров и
мобильных телефонов, но и для других устройств.

Вместо заключения
Итак, события первого квартала 2005 года подтвердили ряд высказанных нами ранее предположений. В
частности, стала окончательно очевидной тенденция постепенного отмирания классических почтовых
червей. На замену им приходят черви сетевые, а также черви для программ-пейджеров, защищенных
гораздо хуже современных почтовых систем.
Однако пока IM-черви делают свои первые шаги, а отсутствие новых значительных уязвимостей в ОС
Windows предотвращает появление опасных сетевых червей, на первый план выходят менее важные в
прошлом проблемы фишинга, конвергенции вирусов и рекламных программ, борьба с ботнетами и
вредоносными программами для мобильных устройств — карманных компьютеров и смартфонов.
В условиях значительного усиления противодействия вирусным атакам и существенного роста
пользовательской грамотности в области противостояния интернет-угрозам, вирусописатели и хакеры
вынуждены активно развивать методы социального инжиниринга, позволяющие проникнуть даже на самый
защищенный пользовательский компьютер.
Наконец, с ростом объемов и качества рынка онлайновых игр появились и первые вредоносные
программы, предназначенные для кражи той или иной пользовательской информации: целых эккаунтов
или же отдельных, особенно ценных игровых предметов. Учитывая, что рост рынка онлайновых игр в
ближайшее время вряд ли замедлится, можно с уверенностью ожидать дальнейшего бурного развития
этой категории вредоносных программ.