Malware Evolution: April - June 2005

Kaspersky Lab presents its quarterly report on malware evolution by Alexander Gostev, Senior Virus Analyst. This
latest report addresses issues such as changing network attack trends, the evolution of adware, the use of old
technologies to create new viruses, the appearance of cyber blackmailers, and political malware.

Changing network attack trends
There have been several serious IT security incidents in the last few months, all of which clearly show that hack
attack vectors are changing. Major financial institutions such as Bank of America, Sumitomo Bank, Master Card
and Visa have all suffered from the attention of cyber criminals. Another noteably event this quarter was the
Hotworld incident, where a Trojan-Spy program was detected in the networks of more than 80 organisations in
Israel and Great Britain.
An analysis of these attacks, and some other incidents which received less publicity, leads us to the following
conclusions:

Cyber criminals are starting to forsake mass attacks conducted using
network worms or spamming Trojans.
There are several reasons for this. Firstly, the antivirus industry has almost a decade's worth experience with
worms which cause global epidemics, and have developed effective methods to combat such attacks. These
range from the simplest type of protection - detecting multiple copies of the same file in mail traffic, the first sign
that a malicious program has been spammed - to more complex approaches, including IDS and firewalls. Today, it
can take less than an hour between the first copy of a worm being detected to an antivirus database which will
detect and neutralize the malicious program being released. Consequently, the effectiveness of such attacks is
minimized significantly, and sometimes completely.
Secondly, even those worms which manage to break through the many layers of protection or infect a few
thousand users who don't have antivirus installed on their machines face a daunting task: they have to replicate,
and, most importantly, from the point of view of the cyber criminals who use them, harvest and transmit
information from infected machines. Analysis of malicious programs by virus analysts makes it possible to find the
server from which harvested information is transmitted, and also the channels and methods by which infected
machines are controlled. This makes it possible to shut down servers – although this may not lead to the arrest of
cyber criminals, it will ensure they are no longer able to get the information they desire.
Thirdly, even if criminals do manage to get their hands on the stolen data, they are then faced with the difficult
task of using it in order to earn money. This is far from simple, and at this stage of the process the risk of arrest
increases significantly.

Criminals are now attacking specific major targets.
The issues described above are leading cyber criminals to find other targets and other methods to access data
which can then be used or sold to a client who orders an attack.
So what are the motives behind such targeted attacks?
Firstly, attacks are carried out with the aim of stealing banking and personal confidential information - credit card
and social security numbers, and any other personal data which modern computer users possess. This data can
then be used for fraud and blackmail: emptying bank accounts, forging documents and bank cards, and so on.
Industrial espionage, which is becoming more and more widespread, also plays a role here. Information about a
competitor's business (such as financial and employee data), previously captured using bugs, recorders, and
cameras is now accessible via an organization's network.

Selecting targets and penetration methods
How do such targeted attacks differ from stealing Internet or ICQ passwords, and then selling them on for five
dollars?

It's one thing to infect a million computers around the world, and steal 50 thousand credit card numbers from
them. It's quite another thing to steal a million credit card numbers by infecting only one computer.
An analysis of the CardSystem Solutions incident as reported by the mass media gives details which do not add
up to a coherent story.
The malicious program allegedly detected within the CardSystem Solutions network has still not reached antivirus
companies. In comparison, antivirus companies added a sample of the Hotworld Trojan to antivirus databases two
days after the malicious program was detected.
This Trojan cannot have been a key logger, as it's highly unlikely that 40 million credit card numbers were
manually entered into the system via the keyboard of one infected computer.
In order to gain access to the database where credit card numbers were saved, the Trojan would have to have
been programmed specifcally for the CardSystem Solutions database.
It's still not been established how the information was transmitted beyond the CardSystem Solutions network
boundaries.
Obviously, the incident is still being investigated. It's unlikely that the details of the case will be made public in the
near future, and consequently there's some doubt as to why the mass media are asserting that Russian hackers
are behind the attack. It's claimed that that some Russian carding sites have some of the stolen numbers
available for sale. However, it's not clear how the mass media know exactly which credit card numbers were
stolen, nor whether these numbers were stolen during the CSS incident. The numbers for sale could have come
from another source.
Well publicized IT security incidents this year illustrate the new face of cyber crime. The latest generation of cyber
criminals is ready to spend tens of thousands of dollars to get insider information about the target object. They
have contacts within organizations who know how to evade multiple intrusion detection systems. They are not
script kiddies selling Trojans for ten dollars apiece, and they certainly do not sell stolen information through
publicly accessible (even underground) forums and sites.
The reason why we are hearing about such attacks more and more often is because they have become more
frequent, and the number has risen significantly. It's clear that often, the bigger the financial institution, the more
potentially vulnerable the network. A multitude of computers, hybrid networks with various levels of access, large
numbers of employees, all of these are additional factors making it easier for a remote malicious user to construct
an attack. In some large networks it's impossible to find a specific document. So how much harder is it to find a
Trojan program deliberately hidden in the system?
Such Trojans are also unique, programmed as a one-off with a specific target in mind. This means it is almost
impossible to writer heuristic detections, and the fact that only one copy may exist (in contrast to worms which
spread in their millions) mean that antivirus companies may never see a sample.
To conclude: attack vectors and targets are changing, moving away from end users to direct attacks on sites and
site owners with valuable information for cyber criminals.

Hacking sites
Infiltrating Trojans into banking networks and government organisations is still a matter for professionals. There
are still, of course, many rank and file virus writers who create and maintain botnets and information theft at a
rather lower level. In spite of all the publicity which spammed Trojans receive, such mailings in fact cause
relatively small, local epidemics and target the least protected user group on the Internet - those who either don't
use antivirus solutions, or those who fail to patch their operating systems.
Using email to cause an epidemic is now somewhat problematic, and unprofitable from a financial point of view.
The absence of critical vulnerabilities, or at any rate, the absence of vulnerabilities which could profitably lead to
the creation of an email worm) also hinders such virus writers, as it means they have to find new methods for
penetrating potential victim machines.
Kaspersky Lab's previous quarterly report contained information about the danger of vulnerable browser versions,
and the situation has not changed since then. MHTML URL Processing Vulnerability remains the most widely-

used vulnerability by virus writers. But this is only one aspect of the problem - in order to exploit this vulnerability,
it's necessary to tempt users into visiting a vulnerable site.
There are two main ways of doing this.
The first is to create a dedicated site, hosted anywhere, with a page containing malicious code. An email will then
be spammed with a message encouraging users to visit the site - a classic form of social engineering. This spam
mailing can be done using other programs such as IM applications.
This is the oldest and best known method. In practice, most of these sites are only in existence for a short space
of time until they are closed by the hosts at the request of antivirus companies or law enforcement agencies.
The second method is relatively new: hacking well known sites. The popularity of the site in question plays an
important role in attracting the attention of cyber criminals. After all, they don't have to organize a spam mailing
encouraging users to visit the site, as users will go there anyway on a regular basis. The most frequently attacked
sites are those running popular PHP engines (PhpBB, PhpNuke, WorldPress and so on). Why? Because
vulnerabilities are constantly being detected in these programs, and such vulnerabilities allow malicious users to
add the necessary scripts to a number of pages on the site. Santy demonstrated how quick and easy it was to
hack dozens, or even hundreds, of such sites in December 2004. Cyber criminals who hack such sites are
effectively acting in the same way as Santy.
There is one more method which Trojan authors use to gain access to sites: by infecting the site owner's or
hosting company's computer, thus gaining access to the site administration account.
One example of this approach is the series of attacks on sites running Php engines in the Russian segment of the
Internet during this year. In most cases, the goal was to install the Trojan spy program LdPinch on end user
machines. Also notable this year was the MSN Korea server hacking. Antivirus professionals believe that there
was a lapse of approximately 5 days from the moment the site was hacked to the moment when the Trojan was
detected. During this time, everyone who visited the site was in danger of being infected, and several thousand
machines were indeed infected. Its known which Trojan was used in the attack - yet another spy program, which
steals user accounts to the popular on-line game LineAge. Last quarter's report highlighted the fact that on-line
games and their subscribers are becoming a target for cyber criminals, and the MSN Korea case confirms this.

Adware
Kaspersky Lab virus analysts have been following the evolution of Adware with great interest. This group of
malicious programs is evolving at a rate unique in the contemporary computing world; the number of variants is
also unprecedented. The programs which started out a few years ago as simple scripts which opened additional
browser windows have now developed from undesirably, but still legal software, into full fledged malicious
programs. Much Adware now uses virus technology to penetrate systems and mask its presence on infected
machines, such as exploiting browser vulnerabilities, utilizing rootkit technology, writing its own code to system
files and replacing system applications, changing files on the user's computer etc.
Given the enormous market for Internet advertising, these developments are hardly surprising. The market is
estimated at several billion/ trillion dollars, and, most significantly, there are many competitors trying to gain
market share. To do this, they need to reach the largest number of users possible, and they are willing to use any
means necessary to do this.
In June we detected a piece of Adware which hides its presence in the system by using a rootkit driver. This is a
cause for serious concern as until then, this behaviour had only been present in backdoor programs. The vast
majority of antivirus solutions are unable to detect and delete rootkits from Windows systems, and naturally, the
latest dedicated anti-adware/spyware solutions are unable to do this either. Only a multi-functional antivirus
program, which works with the operating system at the very lowest levels and monitors all system functions, is
able to detect rootkits in an infected system.
Overall, the Adware situation is reminiscent of the traditional tension between virused and anti-virus solutions. The
more effort is put into combating such programs, the more devious and illegal the technologies used to install
Adware on systems will become. It seems likely that the Adware problem can't be solved by antivirus and antiadware solutions alone - there needs to be dialogue with those ordering and creating advertising. And it shouldn't
be forgotten that much of the Internet depends on advertising revenue for its survival, leading to a clear conflict of
interest.

The return of virus technology
Over the last three to four years, traditional file viruses have almost disappeared. This long interval might indicate
that such malicious programs were virtually extinct, as during this period there wasn't a single program which,
without worm functionality, would have been able to cause a significant epidemic. Virus writers have switched
their attention to creating Trojans and worms - not the quickest way of causing an epidemic or stealing data, but
far simpler than using a file virus.
Creating file viruses which will work correctly and infect files in more than one version of Windows takes a great
deal of programming experience. Polymorphism is an important attribute for such viruses, which means that the
programmer has to have experience of encryption algorithms.
However, in spite of the fact that no notable file viruses were detected during this period, a handful of such viruses
created early remained in existence. They also retained their capability to spread around the world from machines
which they had previously infected.
Given that methods for creating such viruses exist, why is no one using them? The consistent opposition from
antivirus companies has forced virus writers to find new ways to penetrate machines, and to hide the presence of
their creations within the infected system. One of the most popular methods is to use rootkits, with another being
injecting malicious code into system files.
Last quarter's review included details of Virus.Win32.Bube, a malicious program which appended its code to
Explorer.exe. When Internet Explorer was launched, the virus would act as a Trojan-Downloader. Of course,
detecting and blocking such behavior in Internet Explorer was beyond the functionality of the majority of
contemporary fire walls.
It wasn't only antivirus professionals who found this idea interesting, but virus writers too. An outbreak of a very
specific type of backdoor was detected at the beginning of the year: each backdoor was a legal type of file or
utility (such as winrar.exe) which contained Trojan code. The Trojan code was added to the standard file using
EPO methods, and, depending on which sub-program was called in the main file, the Trojan code would then be
activated. Nearly all these EPO backdoors were a version of one of the widespread bot programs - Agobot, Rbot
or SdBot. It's more likely than not that these files (the legal program/ utility with an added backdoor) were created
using a virus constructor, a program used to develop malware.
May and June brought yet another twist in the Trojan-code-in-system-files story. However, this time a package of
malicious programs was used. Trojan-Downloader.Win32.Agent.ns acted as the main infector - once it penetrated
the system, in addition to downloading other Trojans it would also infect wininet.dll, the system library. A small
piece of code added to this file gives added functionality, which intercepts all calls to the library (this happens
constantly when Explorer is being used to surf the Internet) and which also attempts to download other malicious
programs. So in this case, wininet.dll is effectively turned into a virus (i.e. a program infected by other code).
It could be said that here, a standard Trojan is being called a virus - after all, even an infected explorer.exe or
wininet.dll is not going to infect other files in the system. Perhaps, the classic term 'virus' is not appropriate in such
a case. However, this is a completely new class of malicious program, which use methods traditionally used by
viruses to inject code into the body of other programs. Nevertheless, such programs differ from viruses in that the
malicious code is not self-replicating. This makes Kaspersky Lab inclined to classify such programs as a subgroup of viruses, together with overwriting and companion viruses. If such viruses become more wide-spread in
the near future (and there are precedents for this), then it is possible that such viruses will then be placed in a
class of their own.
These new types of malware make it all the more important for users to not only all new files on the computer, but
also older files which have already been checked for infection; such files may well have had malicious code
injected into them since the last scan. In addition to checking file size, it is also necessary to monitor the contents
of such files, as the virus may not change the size of the infected file. Consequently, the necessity for effective file
monitoring within programs also increases.

Cyber hostages
In December 2004 we received the first samples of a number of files which were encrypted by an unknown
encryption program. There was no hint that in six months time, such files would become so common that we
would be receiving several dozen a day. Nor was there any clue that in the space of a single week in June, the
different encryption methods used would exceed two dozen.

Virus.Win32.Gpcode marked the beginning of a new era in cyber crime. This new approach is reminiscent of a
hostage/ ransom situation. An avalanche of emails from users in Russia, and a significantly smaller number from
users in the rest of the world, shows that blackmail and racketeering are becoming widespread on the Internet.
Unfortunately, it is still not clear how this malicious program penetrates victim systems. The vast majority of
infected systems are those belonging to banks, financial organizations and advertising companies, major
manufacturers, real estate offices and other organizations which have a very high document throughput. Hardly
any home users have fallen victim to this malicious program. This inevitably gives rise to the theory that this might
be a targeted attack. If so, how was is carried out? It's possible that spam was mass mailed to a list of
organizations' addresses, but no Trojans were detected in victims' email programs - some of the infected
machines don't even have email. It's possible that the malicious program penetrated via an Internet Explorer
vulnerability, but that would mean that all these affected organizations visited one and the same infected site; no
confirmation of this has yet been found. The geographical distribution of the victims makes it impossible to
characterize this as a local epidemic, taking place within a single town or region. And finally, the large number of
different encryption programs used makes it highly unlikely that there was a single source of infection - all the
victims were infected at different times and not from one single external source.
Given all of the above, what other possible explanations are there? A logic bomb? This is a program which is
activated when the chosen application - in this case an accounting or financial sector application - reaches a
designated condition. All the infected organizations would need to have been using the same software for this
explanation to be true.
In spite of the fact that the malicious program which encrypts the data deletes itself from the system once it has
finished the encryption process, Kaspersky Lab has obtained and analyzed several different samples. The
program recursively searches all directories on the victim machine using a designated algorithm, encrypts all
document files in all formats, and email client databases. A file called readme.txt will also appear in each directory
which contains encrypted files - the file contains an email address where the presumed author of the program can
be contacted. An offer is made: pay up, and we will de-encrypt your files. This is effectively blackmail. It seems
extremely likely that the cyber criminal, or grouping, behind Gpcode is Russian; this conclusion is due to certain
text strings in the messages, the email addresses used, and some encrypted file formats which are specific to
Russia.
Files infected by GPCode were also detected in the West, and in these cases, the messages from the program's
author were in English. This is another clear sign that attacks on the Russian and foreign segments of the Internet
are clearly differentiated, both in terms of timing, and in terms of the program variants used.
The most depressing thing about this whole affair has been the number of users who have contacted the author
of the malicious program, and who may have paid him the ransom demanded. By doing so, the users have not
only lost money, but have also encouraged the author to create new versions of this encryption program and to
conduct further attacks on other users. Such actions are not only unacceptable (and possibly criminal) but also
unjustifiable. The encryption algorithms used to encrypt files are extremely primitive and encrypted files can easily
be restored to their original condition by using a good antivirus which includes the right detections and treatment
procedures. All the user needs to do is send one encrypted file to an antivirus company for analysis.
Unfortunately, some users find it easier to pay for decryption of their files, which negates all the time and financial
resources expended on creating an IT security policy.
An assessment of the current situation by security professionals concludes that the situation could potentially
develop in a number of ways. If legislative and law enforcement bodies both within Russia and throughout the
world do not take decisive action now, it's highly likely more complex encryption methods will be developed in the
future, and these will be used on a massive scale by cyber criminals for financial gain.
Kaspersky Lab strongly recommends all those working in organizations potentially at risk to perform a security
audit of their current systems and applications. It is also extremely important to back up data on a regular basis to
prevent any data loss.

Politics and viruses
Malicious programs which contain political slogans, or which draw attention to a politician or political group are
nothing new in the world of viruses.. In the 1990s, the vast majority of such viruses were created in Russia and
former republics of the USSR, a fact easily explained by the political climate prevalent at the time. The political
atmosphere captured the imagination not only of the public, but also of the virus writers. Political figures were
caricatured in graphics and rhyme, but soon, such viruses started to disappear. The last memorable virus of this

type was Email-Worm.Win32.Sexer (October 2003), which agitated for one particular candidate in the mayoral
elections, and ceased to function as soon as voting was over.
In Europe, however, until recently the situation was the other way round - during the period when political viruses
were spreading actively in former Eastern Europe, viruses in the West were simply malicious programs without
any political overtones. With the detection of malicious code such as Email-Worm.Win32.Blare, which contained a
text criticizing the British leader Tony Blair, the situation has clearly changed. Other viruses have contained
attacks on the president of the USA, George Bush, and comment on the war in Iraq.
In terms of political viruses, Email-Worm.Win32.Sober stands apart head and shoulders above the rest - this
family has been in existence for a year and a half, and several of its variants have had clear political leanings.
In May 2005 millions of email users in Western Europe received messages which contained far-right propaganda.
These messages were sent from machines which had already been infected by Sober.p, and consequently, with
the worm's following variant, Sober.q.
The worm's author clearly planned the attack. At the beginning of May, Sober.p caused an epidemic. Sober.p then
downloaded another component, Sober.q, to infected machines. It seems that the author was on his own initiative
when he used malicious code and spam to express his political views. However, such methods could very quickly
become popular with political groups themselves, resulting in such viruses being written to order.
The cyber wars currently taking place in Asia also bear witness to the fact that politics could becoming a driving
force behind new cyber threats. The longstanding conflict between Indian and Pakistani hackers (in the course of
which, incidentally, the notorious Lentin (Yaha) worm was created) continues to this day. And this year gave rise to
the latest political conflict between China and Japan, with unrest taking place not only on the streets, but also in
cyberspace, with Chinese hackers attacking a number of governmental servers in Japan. Some of the servers
were hacked, and some were crashed. Similar incidents have taken place between the Chinese and the
Taiwanese, and also in South Korea. Over the last few months, several Russian sites belonging to political
organisations have been attacked, and in many cases, the groups' political opponents have taken responsibility
for these actions.
If such trends evolve further, there may be serious consequences. Some government departments have been
paralysed by virus epidemics (e.g., the US state department during the Welchia epidemic in 2003). However, this
was not a targeted attack - if an attack was constructed in such a way that it targeted the national infrastructure of
a country, lives could be at risk. The beginning of this quarter's overview mentioned the current threat to financial
organizations, which is frightening enough; however, in the future, military and political bodies could be attacked,
with the ultimate aim being to cause chaos, score political points, and perhaps ultimately even to seize power.
Alexander Gostev
Senior Virus Analyst, Kaspersky Lab

Современные информационные угрозы, второй квартал
2005
«Лаборатория Касперского» продолжает публикацию аналитических статей, посвященных тенденциям
эволюции современных информационных угроз. Новая статья цикла посвящена событиям второго
квартала текущего года.
Последние события в индустрии защиты информации заставляют говорить об изменении вектора сетевых
атак, о переходе к более точным, целенаправленным взломам особенно интересующих хакеров сетей и
компьютеров; о дальнейшем развитии Adware-программ, незаметно перешедших черту между
нежелательностью и откровенной нелегальностью; о новом пришествии вирусных технологий и многом
другом.

1.
2.
3.
4.
5.
6.

Изменение целей сетевых атак
Взлом сайтов
Нелегальные рекламные технологии
Возвращение вирусных технологий
«Электронные заложники»
Политика и вирусы

Изменение целей сетевых атак
Сразу несколько произошедших за последние месяцы серьезных инцидентов в сфере IT-безопасности
заставляют нас говорить о явном изменении вектора хакерских атак.
За прошедший квартал от действий киберпреступников пострадали такие финансовые гиганты, как Bank of
America, Sumitomo Bank и платежные системы MasterCard и Visa. Стоит также отметить скандал,
связанный с обнаружением троянской программы-шпиона Hotworld в сетях более чем 80 организаций в
Израиле и Великобритании.
Анализ этих, а также некоторых других менее известных инцидентов, позволяет нам сделать несколько
важных выводов.

1.
Преступники
окончательно
отказываются
от
методики
массированных атак при помощи сетевых червей и рассылок
троянских программ
Причин этому несколько. Во-первых, антивирусная индустрия, основываясь на почти десятилетнем опыте
борьбы с глобальными эпидемиями червей, создала внушительную инфраструктуру противодействия.
Начиная с самого первого уровня защиты — обнаружения в почтовом трафике множества копий одного и
того же файла, что является первичным признаком массовой рассылки — и до сложных уровней защиты,
включающих в себя IDS, аппаратные межсетевые экраны. Фактически, с момента появления первых
экземпляров червя в сети до момента выпуска антивирусных баз с процедурами его обнаружения и
лечения проходит максимум 1-2 часа, а чаще — всего несколько минут. Это значительно, если не
полностью, снижает эффективность подобных вирусных атак.
Во-вторых, даже если червю удается прорваться через множество уровней
защиты и заразить несколько тысяч пользователей, перед ним встают задачи
дальнейшего размножения и, что наиболее важно с точки зрения преступников,
сбора и пересылки украденной информации. Анализ вредоносных программ,
проводимый антивирусными экспертами, позволяет быстро установить сервера,
на которые отправляется собранная информация, а также каналы и способы
управления зараженными машинами. Это дает возможность если не задержать
злоумышленников, то хотя бы лишить их плодов деятельности созданных ими
вирусов — путем закрытия подобных серверов.

Антивирусная
индустрия создала
внушительную
инфраструктуру
противодействия
эпидемиям червей.

В-третьих, даже если украденные данные все-таки попадут в руки преступников, то перед ними встанет
проблема использования их с целью получения прибыли. Здесь тоже не все просто, и риск ареста на
данной стадии за последние годы многократно возрос.

2. Преступники предпочитают атаковать конкретные, наиболее
крупные цели
Вышеописанные проблемы заставляют киберпреступников искать другие цели и способы получения денег
и кражи интересующей их информации.
Необходимо сказать несколько слов о разнице в целях и причинах подобных атак. В первую очередь это,
конечно банковская и персональная информация. Номера кредитных карт, номера карт социального
страхования и прочие атрибуты, которыми обладает современный человек в компьютеризированном
обществе. Те данные, которые могут быть использованы другими людьми в собственных целях — кража
денег со счетов, подделка документов и банковских карт, различные виды вымогательства и шантажа.
Второй причиной атак — и число таких инцидентов будет постоянно расти — выступает промышленный
шпионаж. Информация о состоянии дел конкурентов, их финансовые документы, личные данные
сотрудников и многое другое, что раньше добывалось при помощи подслушивающих, записывающих,
фотографирующих устройств, сейчас возможно получить при помощи проникновения в компьютерную сеть
организации.
Читатель наверняка понимает, насколько подобные цели отличаются от кражи соседских паролей на
доступ в интернет или пароля от ICQ, который затем перепродается знакомому за 5 долларов. Одно дело
— заразить миллион компьютеров по всему миру и украсть с них 50 тысяч номеров кредитных карт.
Совсем другое дело — украсть сразу миллион номеров карт, заразив всего один компьютер.
Если мы проанализируем инцидент с CardSystem Solutions, основываясь на тех данных, что стали
доступны средствам массовой информации, то обнаружим в этой истории несколько «странностей».

Программа-шпион, которая якобы была обнаружена в сети CardSystem Solutions, до сих пор не
попала в руки антивирусных компаний. В аналогичной ситуации с троянцем Hotworld экземпляры
вредоносной программы были в течение двух дней после обнаружения добавлены в базы
практически всех антивирусных программ.

Подобный троянец, очевидно, не был клавиатурным шпионом — вряд ли 40 миллионов номеров
кредитных карт вводились вручную с клавиатуры зараженного компьютера.

Чтобы получить доступ к базе данных, где хранились номера карт, троянец должен был быть
создан с учетом формата этой базы данных.

Неясен способ, при помощи которого украденная информация выводилась за пределы
CardSystem Solutions.

Понятно, что инцидент находится в стадии расследования, и вся информация станет открытой еще очень
не скоро, но вызывают недоумение заявления некоторых средств массовой информации о том, что за этим
делом стоят «русские хакеры». Данные заявления якобы подтверждаются тем, что на каких-то русских
кардерских сайтах продаются некоторые из украденных номеров кредитных карт. Непонятно, откуда СМИ
знают, какие именно номера карт были украдены и почему они решили, что эти номера были украдены в
ходе инцидента в CardSystem Solutions, а не посредством какого-либо другого, «традиционного» способа.
На самом деле, за всеми громкими кражами данных в этом году видно новое лицо киберпреступности.
Преступности нового уровня. Это люди, которые готовы потратить десятки тысяч долларов на получение
«инсайдерской» информации об атакуемом объекте. Это люди, обладающие знаниями и способами
обхода многоуровневых систем защиты от вторжений. Это люди, которые не продают ни троянские
программы по 10 долларов за штуку, ни украденные с их помощью данные через общедоступные (хоть и
считающиеся «андерграундными») форумы и сайты.
За всеми громкими
кражами данных в
этом году видно
лицо
киберпреступности
нового уровня.

В последнее время мы все чаще и чаще слышим о подобных взломах — их
стало больше, гораздо больше чем раньше. И больше их стало именно потому,
что первые попытки подобных атак увенчались успехом. Очевидно, что
инфраструктура безопасности крупных финансовых институтов наиболее
уязвима. Множество компьютеров, разнородные сети и права доступа,

множество сотрудников — все это является дополнительными факторами, облегчающими задачу
злоумышленникам. В крупной сети зачастую невозможно найти даже известный документ, не говоря уж об
обнаружении троянской программы, искусно маскирующей свое присутствие в системе.
Не стоит забывать и об уникальности подобных троянцев. Для них практически невозможно создать
эвристические методы детектирования, а разовость их применения дает им шанс никогда не попасть в
антивирусные базы — в отличие от червей, расходящихся по миру миллионами копий.
Таким образом, можно сделать вывод о постепенном изменении вектора атак с конечных пользователей в
сторону непосредственных владельцев и держателей интересующей преступников информации.

Взлом сайтов
И все же пока внедрение троянских программ в сети банков и правительственных структур остается
уделом профессионалов. Многочисленная армия «рядовых» киберпреступников продолжает заниматься
ботнетами и кражей информации на нижнем, «бытовом» уровне. Несмотря на все описанные выше
препоны для рассылок троянских программ, большинство киберпреступников по-прежнему довольствуется
небольшими по своим масштабам эпидемиями, нацеленными на самую незащищенную часть
пользователей интернета — тех, у кого нет ни антивирусных программ, ни привычки устанавливать все
выпускаемые для операционных систем патчи.
Поскольку организация эпидемии через электронную почту, как уже было сказано, сейчас довольно
проблематична и невыгодна с финансовой точки зрения, а отсутствие пригодных для создания сетевого
червя критических уязвимостей в OS Windows не позволяет обойтись без использования электронной
почты, то «рядовым» вирусописателям приходится изобретать новые варианты для проникновения на
компьютеры пользователей.
MHTML URL
Processing
Vulnerability попрежнему остается
излюбленной
уязвимостью
вирусописателей.

Об опасности, которую несут уязвимые версии популярных браузеров, мы уже
писали в нашем предыдущем квартальном отчете. За прошедшее время
ситуация не изменилась, и MHTML URL Processing Vulnerability по-прежнему
остается излюбленной уязвимостью вирусописателей. Но это только одна
сторона медали. Чтобы пользователи пострадали от этой бреши их необходимо
как-то заманить на реализующий данную уязвимость веб-сайт.

Существует два основных способа достижения этой цели. Первый заключается в
создании специального сайта с вредоносной страницей на любом доступном
хостинге. Затем осуществляется массированная спам-рассылка текста, призывающего получателя зайти
на этот сайт. Рассылка может быть осуществлена не только через email, но и при помощи других средств
коммуникации, например, через интернет-пейджеры. Это самый старый и давно изученный способ. На
практике подобные сайты существуют довольно недолго: их закрывают сами хостеры при получении
запроса от антивирусных компаний или правоохранительных органов.
Второй способ достаточно нов и основывается на технологии взлома какого-нибудь относительно
популярного веб-сайта. Известность подобного сайта играет немаловажную роль в привлечении к нему
внимания злоумышленников: ведь им не придется тратить деньги на спам-рассылки с рекламой своего
сайта, если он и так привлекает множество посетителей.

Основным объектом
атак становятся
сайты, работающие
на одном из
популярных PHPдвижков.

Основным объектом атак становятся сайты, работающие на одном из
популярных PHP-движков (PhpBB, PhpNuke, WorldPress и т.д.). Это объясняется
постоянным обнаружением уязвимостей в данных продуктах, позволяющих
осуществлять добавление необходимых злоумышленникам скриптов на
различные страницы сайта. Насколько легко и быстро можно взломать десятки и
даже сотни подобных веб-сайтов наглядно продемонстрировал червь Santy в
декабре прошлого года. Действия преступников по взлому в данном случае
практически ничем не отличаются от того, что делал этот червь.

Еще один вариант, при котором авторы троянских программ могут получить доступ к сайту — это
заражение компьютера владельца сайта или хостинговой компании с последующим доступом к аккаунтам
для управления сайтами.
В качестве примеров вышеописанных способов можно привести целую серию взломов работающих на
PHP-движках сайтов, прокатившуюся по российской части интернета в этом году. Как правило, целью

злоумышленников, в конечном итоге, была установка на компьютеры пользователей троянской
программы-шпиона LdPinch.
Отдельно можно отметить взлом в конце мая сервера MSN Korea. По оценкам экспертов, от момента
взлома до обнаружения на сервере троянца могло пройти около пяти дней. Все это время каждый
посетитель сайта подвергался опасности заражения, и несколько тысяч заражений действительно
произошло. Известна и использованная троянская программа — это был очередной шпион, ворующий
аккаунты пользователей популярной онлайн-игры Lineage. О том, что онлайн-игры и их подписчики в
настоящее время являются еще одной целью киберпреступников, мы писали в нашем прошлом
квартальном отчете, и случай с MSN Korea полностью подтверждает сделанные нами тогда прогнозы.

Нелегальные рекламные технологии
Мы продолжаем с большим интересом следить за развитием программ класса Adware. Скорость и
многообразие форм их эволюции является уникальным явлением для современного компьютерного мира.
Начавшись несколько лет назад с простейших скриптов, автоматически открывавших множество
дополнительных окон в браузере, сейчас подобные программы уже окончательно перешагнули грань
между нежелательным, но все-таки легальным софтом и вредоносными программами. Ряд современных
adware-программ охотно использует вирусные технологии для проникновения и скрытия себя в системе:
уязвимости в браузерах, руткит-технологии, запись собственного кода в системные файлы или подмена
собой системных приложений, изменение файлов на компьютере пользователя и многое другое.
Если вспомнить об объемах рынка интернет-рекламы, то удивляться становится нечему. По оценкам
специалистов он составляет несколько миллиардов долларов и, что весьма важно, на этом рынке
существует множество конкурирующих между собой рекламных фирм. Они стремятся всеми доступными
средствами выполнить заказ и показать рекламу как можно больше раз как можно большему числу
пользователей.
В июне 2005 года мы
обнаружили
рекламную
программу,
скрывающую свое
присутствие в
системе при помощи
rootkit-драйвера.

В июне 2005 года мы обнаружили рекламную программу, скрывающую свое
присутствие в системе при помощи rootkit-драйвера. До сих пор подобное
поведение было зафиксировано только у ряда бэкдоров. Это очень тревожный
симптом. Целый ряд популярных современных антивирусов не имеет в своем
арсенале методов обнаружения и удаления rootkit на Windows-системах.
Понятно, что подобными методами не обладают и появляющиеся, как грибы
после дождя многочисленные решения «anti-adware/spyware». Для обнаружения
rootkit в системе необходимо многофункциональное антивирусное решение,
способное работать с операционной системой на самых низких уровнях и
контролирующее все системные функции.

В целом ситуация с Adware все больше и больше превращается в борьбу «снаряда и брони»,
традиционную для противостояния вирус-антивирус. Чем шире ведется борьба с Adware, тем все более
изощренными и нелегальными становятся приемы доставки рекламного контента на компьютеры
пользователей. Вероятно, проблема не может быть решена силами только антивирусных компаний и
компаний, специализирующихся на борьбе с Adware. Необходимо начинать диалог с организациями,
заказывающими рекламу и с организациями, выполняющими эти заказы. Не стоит забывать, что многие
интернет-проекты живут именно за счет рекламы, да и сам интернет во многом зависит именно от тех, кто
платит за рекламу. В противном случае нас ждет бесконечная эскалация этого конфликта.

Возвращение вирусных технологий
На протяжении последних 3-4 лет число обнаруживаемых нами традиционных файловых вирусов
практически равнялось нулю. Столь долгий срок, казалось бы, должен свидетельствовать об
окончательном закате данного класса вредоносных программ. За все эти годы не появилось ни одного
вируса, который, не обладая функционалом червя, смог бы вызвать сколько-нибудь заметную эпидемию.
Авторы вредоносных программ переключились на создание троянских программ и червей — ведь это не
только более быстрый, но и гораздо более простой способ организации эпидемий и кражи данных.
Создание файлового вируса, который бы смог корректно работать и заражать файлы на разных версиях
Windows требует большего объема знаний и опыта программирования. Неотъемлемым атрибутом таких
вирусов являются различные полиморфные процедуры, что требует знаний в области криптографии и
различных алгоритмов шифрования.

Однако, несмотря на все перечисленные выше трудности, некоторые из вирусов продолжали жить на
компьютерах пользователей и неспешно расползаться по миру. Число их невелико, но все-таки они все эти
годы были и остаются относительно распространенными.
Итак, технология создания вирусов существует, но ей никто не пользуется? Подобное не могло
продолжаться вечно. Злоумышленники, сталкиваясь с постоянным противодействием со стороны
антивирусных компаний, были вынуждены искать новые способы для проникновения и, что не менее
важно, для сокрытия своего присутствия в системе. Одним из таких «модных» способов являются руткиты,
а вот вторым оказался метод внедрения своего кода в системные файлы.
В прошлом обзоре мы уже рассказывали про Virus.Win32.Bube. Эта вредоносная программа дописывала
свой код к файлу Explorer.exe и, передавая управление на него, при запуске IE исполняла роль TrojanDownloader. Понятно, что обнаружить и блокировать такое поведение Internet Explorer средствами
большинства современных межсетевых экранов невозможно.
Вредоносная
программа
дописывала свой
код к файлу
Explorer.exe и при
запуске IE исполняла
роль TrojanDownloader.

Идея была замечена и оценена по достоинству не только антивирусными
специалистами, но и вирусописателями. В начале этого года мы наблюдали
всплеск особого вида бэкдоров. Все они представляли собой файл из состава
какой-либо легальной утилиты (например, winrar.exe), содержащий в себе
троянский код. Троянский код был добавлен к обычному файлу по методу EPOвирусов и получал управление в зависимости от того, какая подпрограмма
вызывалась в основном файле. Практически все эти EPO-бэкдоры были одними
из вариантов распространенных ботов — Agobot, Rbot или SdBot. Вероятней
всего такие файлы (легальная программа плюс бэкдор) создавались при
помощи одной из специальных программ-конструкторов.

В мае-июне этого года мы столкнулись с еще одним развитием темы внедрения троянского кода в
системные файлы. На этот раз это оказался целый комплекс вредоносных программ. Основную роль
инфектора выполняет Trojan-Downloader.Win32.Agent.ns. При попадании в систему он, помимо загрузки
других троянских программ, заражает системную библиотеку wininet.dll. В нее добавляется небольшая
функция, которая в дальнейшем перехватывает все обращения к данной библиотеке (подобное при работе
с интернетом происходит постоянно) и пытается загрузить на компьютер другие вредоносные программы.
Таким образом, зараженная wininet.dll сама становится вирусом.
Вы можете сказать, что мы не правы, и называем вирусом обычную троянскую программу — ведь
зараженный explorer.exe или wininet.dll уже не заражает другие файлы в системе. Действительно,
традиционное смысловое наполнение термина «компьютерный вирус» не подходит для описываемых
случаев. Мы имеем дело с совершенно новым классом вредоносных программ, использующих
традиционные для вирусов методы внедрения кода в тело других программ. Отличие только одно: этот код
не саморазмножающийся. Пока мы все-таки склонны классифицировать это как один из подвидов вирусов,
наряду с overwritting и companion-вирусами. Если в ближайшем будущем таких вирусов станет больше (а к
этому есть веские предпосылки), то возможно их выделение в отдельный класс.
Для пользователей становится крайне важным контролировать не только все новые попадающие на
компьютер файлы, но и давно проверенные, известные старые. Ведь не исключено, что какой-то из них
может стать жертвой очередного «инжектора». Кроме контроля над размерами файлов необходим и
контроль их содержимого, поскольку вирусы могут и не изменять размер заражаемого файла. Таким
образом, возрастает необходимость в программах — «файловых ревизорах».

«Электронные заложники»
Когда в декабре 2004 года мы получили первые экземпляры различных файлов, зашифрованных
неизвестной программой-шифровшиком, мы и предположить не могли, что через полгода мы будем
получать в день десятки таких файлов, а количество методов их шифрования всего за одну неделю июня
превысит два десятка.
Virus.Win32.Gpcode
открыл
новую
страницу
в
истории
киберпреступности:
методика
киберзлоумышленников напоминает захват заложников с последующим требованием выкупа. Вал
получаемых нами от пострадавших пользователей писем говорит о том, что сейчас в интернете
разворачивается настоящая эпидемия шантажа.
К сожалению, необходимо признать, что пока у нас нет четкого представления о способе проникновения
вредоносной программы в пострадавшие системы. Подавляющее большинство зараженных компьютеров

находятся в банках, различных финансовых и рекламных агентствах, крупных заводах, агентствах по
недвижимости и прочих структурах с большим документооборотом. Среди пострадавших практически нет
домашних пользователей. Все это заставляет задуматься о столь акцентированной атаке и о средствах
для ее достижения.
Возможно, что была осуществлена массовая спам-рассылка на электронные
адреса исключительно организаций — но никаких троянских программ в
электронной почте пострадавших обнаружено не было. Более того, некоторые
из пораженных компьютеров даже не имеют электронной почты. Можно
предположить, что злоумышленники воспользовались какой-либо уязвимостью в
Internet Explorer — но тогда мы приходим к выводу, что все пораженные
компьютеры посещали один и тот же веб-сайт, что также не подтверждается.
Географическое месторасположение пострадавших не позволяет высказать
предположение о локальной эпидемии, допустим, в рамках одного города.
Кроме того, большое количество разных вариантов программы-шифровщика
тоже отвергает вероятность единого заражения всех этих организаций. Нет, все
они заразились в разное время и не из одного и того же источника.

Необходимо
признать, что пока у
нас нет четкого
представления о
способе
проникновения
Virus.Win32.Gpcode в
пострадавшие
системы.

Что остается? Остается вариант с логической бомбой. Программой-закладкой в каком-то специфическом
бухгалтерском или банковском программном обеспечении, которым пользуются все пострадавшие
организации.
Несмотря на то, что шифрующая данные программа после окончания своей работы себя уничтожает, нам
удалось получить несколько ее вариантов, и мы можем в точности представить себе механизм ее работы.
Программа последовательно обходит все каталоги компьютера и шифрует по особому алгоритму все
найденные файлы документов различных форматов, а также почтовые базы данных. В каждом каталоге с
зашифрованными файлами появляется файл readme.txt, в котором злоумышленник указывает адрес
электронной почты для связи с ним. Он предлагает расшифровку данных за определенную сумму,
фактически выступая в роли вымогателя. Текстовые строки в посланиях, а также адреса электронной
почты и некоторые специфические для России форматы шифруемых файлов явно говорят о российском
происхождении Gpcode.
На Западе также были отмечены случаи заражения файлов данной программой, и там тексты посланий от
автора были составлены на английском языке. Это еще одно доказательство четкой дифференциации
атак на российский и зарубежный сегменты — как по времени проведения этих атак, так и вариантам
использованных программ.
Что самое печальное, ряд пользователей вступили в переписку со злоумышленником и, видимо,
заплатили требуемую им сумму. Тем самым они не только нанесли себе финансовый ущерб, но и
подстегнули его на создание новых версий шифровщика, на проведение новых атак на других
пользователей.
Мы призываем всех
специалистов из
организаций
входящих в «зону
риска» провести
тщательный аудит
всех имеющихся
систем и программ.

Мы считаем, что подобная практика не только недопустима с моральной точки
зрения, но и не оправдана логически. Ведь применяемые преступником
алгоритмы шифрования файлов весьма примитивны и легко поддаются
расшифровке при помощи антивирусной программы с соответствующей
процедурой детектирования и лечения. Все что требуется от пользователя — это
прислать один зашифрованный файл в антивирусную лабораторию для
анализа. К сожалению, некоторые предпочитают заплатить, тем самым, сводя к
нулю все усилия по содержанию собственных служб безопасности и расходам
на информационную безопасность.

Эксперты уже оценили потенциальные варианты развития ситуации в будущем, и если
правоохранительные органы стран, в которых отмечены случаи зашифровки данных жестко и уверенно не
пресекут деятельность данной группы вымогателей сейчас, то в будущем нас ждут более сложные методы
шифрования данных, более массовые и частые случаи подобных действий со стороны преступников.
Мы призываем всех специалистов из организаций входящих в «зону риска» провести тщательный аудит
всех имеющихся систем и программ на предмет обнаружения подобных инцидентов. Не следует забывать
и об обязательном и регулярном создании копий важных файлов и документов, чтобы защититься от их
утери в случаи невозможности расшифровки.

Политика и вирусы

Вирусные программы, содержащие в себе различные политические лозунги или написанные с целью
рекламы какого-либо политического деятеля — далеко не новое явление на вирусной сцене. В 90-х годах
подавляющее большинство таких вирусов были созданы в России или других республиках бывшего СССР.
Это легко объяснимо с учетом политической ситуации в этих странах в те годы. Повышенная политичность
общества захватила и рядовых граждан, и вирусописателей. Политические деятели и восхвалялись, и
осмеивались путем различных графических видеоэффектов либо в стихотворной форме.
Постепенно подобные вирусы стали пропадать. Последним ярким эпизодом стал Email-Worm.Win32.Sexer
в октябре 2003 года. Он содержал рекламу одного из кандидатов на пост мэра Москвы и прекратил свою
работу, как только выборы закончились.
Европейские вирусописатели до последнего времени, наоборот, не проявляли никакой политической
окраски, ограничиваясь традиционными вредоносными программами без всякой подоплеки. Недавно
ситуация изменилась. Были обнаружены вирусы, содержащие оскорбительные тексты в адрес лидеров
ряда стран, например, Email-Worm.Win32.Blare избрал целью для своих нападок премьер-министра
Великобритании Тони Блэйра. Несколько вирусов содержат в себе нападки на президента США Джорджа
Буша, а некоторые спекулируют на теме войны в Ираке.
Но, несомненно, особняком стоит Email-Worm.Win32.Sober. Семейство червей Sober существует уже
полтора года, и за это время в его составе было отмечено несколько вариантов с ярко выраженным
политическим содержанием.
В мае 2005 года миллионы пользователей электронной почты в Западной Европе получили письма с
текстами праворадикального толка. Их содержание выражало точку зрения автора на приближающиеся
выборы в Европарламент и голосование по вопросу Европейской Конституции. Эти письма были посланы
при помощи компьютеров, ранее зараженных червем Sober.p, а точнее, его новым вариантом — Sober.q.
В мае 2005 года
миллионы
пользователей
электронной почты в
Западной Европе
получили письма с
текстами
праворадикального
толка.

Автор червя тщательно спланировал эту акцию. Сначала, в начале мая, была
организована эпидемия Sober.p, который затем загрузил на пораженные
компьютеры новый компонент (Sober.q). По всей видимости, подобное
выражение своей политической позиции, путем распространения вредоносных
программ и рассылки через них писем, является пока еще индивидуальным
делом автора. Однако подобная методика очень быстро может быть взята на
вооружение различными политическими движениями, и тогда подобные вирусы
будут создаваться по заказу.

О том, что политика может стать одной из основных движущих сил в будущих
киберугрозах, говорят постоянные кибервойны, происходящие в Азии.
Многолетняя война между индийскими и пакистанскими хакерами, в ходе которой, кстати, был создан
знаменитый червь Lentin (Yaha), не прекращается и поныне. В этом году разразился очередной
политический конфликт между Китаем и Японией. Беспорядки происходили не только на улицах, но и в
сети. Китайские хакеры атаковали ряд государственных серверов в Японии, в результате чего некоторые
из них были взломаны или выведены из строя. Подобные инциденты происходят и между Китаем и
Тайванем, а также в Южной Корее.
В России в течение последних нескольких месяцев также произошло несколько атак и взломов сайтов
политических обществ, причем в ряде случаев ответственность за это взяли на себя их политические
оппоненты.

В России в течение
последних
нескольких месяцев
также произошло
несколько атак и
взломов сайтов
политических
обществ.

Дальнейшее развитие подобных тенденций может привести к печальным
последствиям. Мы хорошо помним, как в ходе некоторых вирусных эпидемий
была
парализована
работа
государственных
структур
(например,
госдепартамент США не выдавал визы из-за заражения червем Welchia осенью
2003 года). Но это были случайные жертвы эпидемии, деятельность червя не
была нацелена конкретно на них.

Если провести аналогию с тем, что мы говорили о точечных атаках в начале
данного обзора, то здесь нас ожидает нечто подобное, но с последствиями,
которые могут напрямую повлиять на общественную жизнь некоторых стран.
Отличие заключается в том, что там под угрозу ставятся финансовые институты и целью преступников
является получение финансовой выгоды, а здесь — военные и политические организации, а целью
является оказание давления ради политической выгоды.

Продолжение следует
Итак, основным трендом развития компьютерного андеграунда в первом полугодии 2005 года можно
считать постепенный переход от крупных, массовых эпидемий к более избирательным, точечным атакам.
Причем, проявления подобного подхода встречаются практически повсеместно: во взломах сайтов, в спамрассылках, в распространении новых вредоносных программ.
Вместе с тем, новые угрозы компьютерам обычных пользователей все чаще используют сложные rootkitтехнологии для сокрытия своего присутствия в системе — дошло уже до применения подобных технологий
в отчаянно пытающихся спрятаться от антивирусов рекламных программах. Троянцы все чаще прибегают
к «услугам» традиционных файловых вирусов, что позволяет обойти большинство межсетевых экранов. В
целом можно констатировать, что мастерство вирусописателей растет — и отсутствие крупных эпидемий
вряд ли мешает им проникать на пользовательские компьютеры. Скорее, наоборот, множество заслонов,
поставленных индустрией защиты информации на пути зараженных писем и эксплойтов, заставляет
киберпреступников серьезнее относиться к своей «работе», тщательнее выбирать цели для атаки,
использовать все более сложные программные техники.
Куда приведет нас эволюция вредоносных программ в следующем квартале? Аналитики «Лаборатории
Касперского» уже планируют продолжение статьи — ее следующая часть будет посвящена событиям лета
и начала осени 2005 года.
Александр
Гостев

Kahjurprogrammide arengusuunad, 2005. aasta teine kvartal
Kaspersky Lab jätkab kahjurprogrammide arengusuundi analüüsivate artiklite avaldamist. Tsükli järgmine artikkel
on pühendatud selle aasta teises kvartalis toimunud sündmustele.
Infoturbetööstuses toimunud viimased sündmused sunnivad rääkima võrgurünnete eesmärkide muutumisest,
üleminekust palju täpsemate ja sihipärasemate sissemurdmisteni häkkereid huvitavatesse võrkudesse ja
arvutitesse, reklaamprogrammide (Adware) märkamatust arengust üle soovimatuse ja avaliku illegaalsuse
vahelise piiri, viirusetehnoloogiate uuest tulekust ja paljust muust .

1.
2.
3.
4.
5.
6.

Изменение целей сетевых атак
Взлом сайтов
Нелегальные рекламные технологии
Возвращение вирусных технологий
«Электронные заложники»
Политика и вирусы

Võrgurünnete eesmärkide muutused
IT-turvalisuse sfääris viimaste kuude jooksul toimunud mitu tõsist intsidenti annab alust rääkida häkkerirünnete
eesmärkide selgest muutumisest.
Möödunud kvartali jooksul kannatasid küberkurjamite tegevuse läbi niisugused finantshiiglased nagu Bank of
America, Sumitomo Bank ning maksesüsteemid MasterCard ja Visa. Märkimist tasub ka skandaal, mis oli seotud
troojalasest programmspiooni Hotworld avastamisest rohkem kui 80-ne Suurbritannia ja Israeli organisatsiooni
arvutivõrkudes.
Nende ja mõnede teiste, pisut vähem tuntud intsidentide analüüs lubab meil teha mõned tähtsad järeldused.

1. Kurjategijad loobuvad lõplikult võrguusside ja trooja programmide
masspostituste abil teostatud massrünnete metoodikast
Selle põhjuseid on mitu. Esiteks on viirusetõrjetööstus, toetudes pea kümneaastasele kogemusele võitluses
globaalsete võrguusside epideemiatega, loonud muljetavaldava vastupanu infrastruktuuri. Alates esimesest
kaitsetasemest - postiliiklusest ühe ja sama faili hulgaliste koopiate avastamine, mis on masspostituse esmaseks
tunnuseks - kuni keerukate kaitsetasemeteni, mis hõlmavad IDS-e, riistvaralisi tulemüüre. Faktiliselt kulub ussi
esimeste eksemplaride võrkuilmumisest kuni tema eemaldamise protseduure sisaldavate viirusetõrjebaaside
uuenduste väljalaskeni maksimaalselt 1-2 tundi, aga tihipeale mitte rohkem, kui mõni minut. See vähendab
märgatavalt (kui mitte täielikult) taoliste võrgurünnete efektiivsust.
Viirusetõrjetööstus on
loonud muljetavaldava
infrastruktuuri
vastupanuks
võrguusside
epideemiatele.

Teiseks, kui ussil siiski õnnestub paljudest kaitsetasemetest läbi murda ja nakatada
mõne tuhande kasutaja arvutid, peab ta veel paljunema, andmeid koguma ja need
kurjategijatele
edasi
saatma.
Kahjurprogrammide
analüüs
lubab
viirusetõrjeekspertidel kiirelt välja selgitada serverid, kuhu kogutud teave saadetakse
ja nakatatud arvutite juhtimismeetodid ning kanalid. See võimaldab, kui mitte kurjamid
kinni pidada siis nende serverite sulgemisega vähemalt nad oma tegevuse
tulemustest ilma jätta.

Kolmandaks, isegi kui varastatud andmed siiski satuvad küberpättide kätte, peavad nad neid andmeid reaalse
kasu saamiseks kuidagi kasutama. See pole aga üldse lihtne, vahistamise risk selles staadiumis on viimaste
aastate jooksul mitmekordselt tõusnud.

2. Kurjategijad eelistavad rünnata konkreetseid, palju suuremaid
sihtmärke
Ülallotletud probleemid sunnivad küberpätte raha ja neid huvitava info varastamiseks otsima muid teid ning
võimalusi.
Mõne sõnaga tuleb rääkida ka taoliste rünnete eesmärkide ja põhjuste erinevusest. Esmalt on see muidugi panga
ja personaalne info ehk siis krediitkaartide numbrid, sotsiaalkindlustuse numbrid ja muu atribuutika, mida
kaasaegne, arvutiseeritud ühiskonnas elav inimene valdab. Needsamad andmed, mida võivad isiklikel
eesmärkidel kasutada teised inimesed - arvetelt raha varastamine, dokumentide ja pangakaartide võltsimine,
erinevad väljapressimis- ja šantaaživiisid.
Rünnete teiseks põhjuseks on (nende arvukus hakkab järkjärgult kasvama) tööstusspionaaš. Info konkurentide
äriasjades ning nende seisust, nende finantsdokumendid, kaastöötajate isiklikud andmed ja muu selline, mida
varem hangiti pealtkuulamis- ja salvestusseadmete ning fotoaparaatide abil, on nüüd kättesaadav organisatsiooni
võrku tungides.
Lugeja ilmselt taipab kuidas need eesmärgid erinevad naabri interneti või ICQ paroolide vargusest, mis hiljem
tuttavale 5$ eest maha müüakse. Üks asi on nakatada maailmas miljon arvutit ja varastada neist 50 000
krediitkaardinumbrit.Hoopis teine aga varastada kohe miljon krediitkaardinumbrit, nakatades selleks vaid ühe
arvuti.
Kui me analüüsime ajakirjandusse jõudnud andmete põhjal CardSystem Solution´i juhtumit, siis avastame siin
mõningad ”veidrused”.

CardSystem Solutions´i võrgust väidetavalt avastatud spioonprogramm pole siiani sattunud ühegi
viirusetõrjefirma kätte. Troojalasega Hotworld toimunud situatsiooniga sarnastel juhtudel oleks
kahjurprogrammi eksemplaride kirjeldused lisatud kahe päeva jooksul praktiliselt kõikide
viirusetõrjetootjete viirusetõrjebaasidesse.

See troojalane polnud ilmselt klaviatuurispioon – vaevalt, et 40 miljonit krediitkaardinumbrit sisestati
käsitsi nakatunud arvutist.

Kaartide numbreid sisaldavale andmebaasile ligipääsuks pidi troojalane olema loodud selle andmebaasi
iseärasusi silmas pidades.

Teadmata on ka see, mismoodi varastatud informatsioon CardSystem Solutions´ist välja viidi.

Selge on see, et juhtum on alles uurimisjärgus ja kogu info avalikustatakse hiljem, kuid arusaamatuks jäävad
mõningate massiteabevahendite avaldused nagu oleks juhtumi taga ”vene häkkerid”. Neid avaldusi kinnitatakse
väidetavalt varastatud krediitkaartinubrite müügiga mingitel vene häkkerilehtedel. Mõistetamatu on see, kuidas
massiteabevahendid teavad millised krediitkaardinumbrid varastati ja miks nad otsustasid,et need numbrid
varastati CardSystem Solutions´i juhtumi käigus aga mitte mõne muu traditsioonilise meetodiga.
Tegelikult on nende palju kära tekitanud andmevarguste taustal näha küberkuritegevuse uut nägu. Uue taseme
kuritegevust. Need on inimesed kes on valmis raiskama kümneid tuhandeid dollareid rünnatava objekti siseinfo
eest. Need on inimesed kellel on teadmised ja võimalused paljutasemelisest kaitsest möödahiilimiseks. Need on
inimesed kes ei müü üldkasutatavate (kuigi neid nimetatakse põrandaalusteks) foorumite ja veebilehtede kaudu ei
trooja programme ega ka nende abil varastatud andmeid.
Kõikide selle aasta
andmevarguste taga
oli näha
küberkuritegevuse uut
nägu.

Viimasel ajal kuuleme üha sagedamini sellistest sissemurdmistest, neid on rohkem,
palju rohkem kui enne ja rohkem on neid seepärast, et esimesed rünnakud lõppesid
edukalt. On ilmne, et suurte finantsinstitutsioonide turvalisust tagav infrastruktuur on
palju haavatavam. Palju arvuteid, erinevad võrgud ja juurdepääsuõigused, hulgaliselt
töötajaid – kõik see on pahatahtlikele isenditele nende ülesannet kergendavaks
lisafaktoriks. Suures võrgus on pahatihti isegi tuntud dokumendi leidmine võimatu,
mis siis rääkida end süsteemis osavalt varjavast trooja programmist.

Ei tasu unustada ka selliste troojalaste ainulaadsust. Heuristilisi meetodeid nende avastamiseks on praktiliselt
võimatu luua ning nende ühekordne kasutamine annab neile šansi mitte kunagi sattuda viirusetõrjebaasidesse,
erinevalt ussidest mis levivad üleilmselt miljardite koopiatena.
Nii võib järeldada, et rünnete suund on muutumas ja liigub lõppkasutajatelt neile, kel on kurjategijaid huvitav info.

Sissemurdmised veebilehtedele
Ja siiski jääb troojalaste sokutamine pankade ja riiklike struktuuride kodulehtedele proffessionaalide pärusmaaks.
Arvukas reakurjamide armee tegeleb edasi botnet-ide ja andmevargusega madalamal nn. olmetasemel.
Vaatamata kõikidele pingutustele ülalkirjeldatud troojalaste laialisaatmisel rahuldub enamik küberpätte interneti
kõige kaitsetumale osale (kasutajad kel pole viirusetõrjeprogrammi ja harjumust paigaldada operatsioonisüsteemi
kõiki kriitilisi parandusi) suunatud väikeste epideemiate korraldamisega.
Kuna epideemiate korraldamine e-posti kaudu nagu enne öeldud on praegu küllalt problemaatiline ja finantsilisest
küljest mitte eriti kasumlik ning võrguussi loomiseks vajalike Windowsi turvaaukude puudumine ei luba e-posti
kasutamisest mööda minna, siis reaviirusekirjutajal tuleb leiutada üha uusi variante kasutaja arvutisse
tungimiseks.
MHTML URL
Processing
Vulnerability on
jätkuvalt
viirusekirjutajate
lemmikturvaauk.

Ohtudest mille toovad kaasa turvaaukudega veebisirvijad rääkisime me oma eelmises
ülevaates. Sest ajast saadik pole olukord muutunud ja MHTML URL Processing
Vulnerability on jätkuvalt viirusekirjutajate lemmikturvaaukauk. Kuid see on vaid
medali oks külg. Et kasutajad selle turvaaugu läbi kannataksid tuleb nad kuidagi
meelitada seda veebilehtede tuvaauku kasutama.

Selle eesmärgi saavutamiseks on kaks põhilist viisi. Esimene neist realiseeritakse
nakatatud lehekülge sisaldava spetsiiaalse saidi loomisega suvalise veebihostnguga
tegeleva firma all. Seejärel organiseeritakse kodulehele kutsuvat teksti sisadava teate masspostitus.
Maaspostitus võib olla organiseeritud mittea ainult e-posti vaid ja suhtlusprogramme kasutades. See on kõige
vanem ja ammu tuntud meetod.Praktikas eksisteerivad need saidid lühikest aega: neid sulgevad hotingupakkujad
ise vastavalt viirusetõrjefirmadest või korrakaitseorganitest saabunud päringutele.
Teine .võimalus on suhteliselt uus ja põhineb mõne suhteliselt tuntud veebilehe lahtimurdmisel.Taolise lehe tuntus
mängib kurjamite tähelepanu võitmisel tähtsat rolli, pole ju tarvis teha kulutusi masspostitusele ning oma lehe
reklaamile, kui see niigi meelitab ligi hulgaliselt külastajaid.

Основным объектом
атак становятся
сайты, работающие
на одном из
популярных PHPдвижков.

Rünnakute põhiobjektideks on lehed mis töötavad ühega paljudest populaarsetest
PHP-mootorist (PhpBB, PhpNuke, WorldPress jne..). See on seletatav pidevalt neist
toodetest leitavate turvaaukudega mis võimaldab kurjamitel sinna oma skripte
paigutada. Kuivõrd kergelt ja kiiresti on võimalik lahti murda kümneid ja isegi sadu
selliseid lehti demonstreeris eelmise aasta detsembris uss Santy. Kurjategijate
sissemurdmised ei erine sel juhul praktiliselt mitte millegagi Santy tegevusest.

Veel üheks variandiks troojalase autori ligipääsuks lehele on lehe omaniku või
hostingufirma arvuti nakatamine ja hilisem ligipääs kontodele ning lehtede juhtimisele.
Ülalkirjeldatud metoodika näiteks võib tuua sellel aastal vene internetisektorist ülekäinud PHP-mootoriga
töötavate veebilehtede lahtimurdmise laine. Reeglina oli kurjamite lõppeesmärgiks kasutaja arvutisse troojalase
LdPinch paigutamine.
Eraldi võib ära märkida mai lõpus toimunud sissemurdmise MSN Korea serverisse. Ekspertide hinnangul võis
sissemurdmise hetkest kuni troojalase avastamiseni minna umbes viis päeva. Kogu selle aja oli iga lehte
külastanud kasutaja arvuti nakatumisohus ja mõnituhat nakatumist ka tegelikult toimus. Teada on ka kasutatud
troojalane - see oli järjekordne populaarse on-line mängu Lineage kasutajate kontosid varastav
spioonprogramm.Sellest, et on-line mängud ja nende tellijad on viimasel ajal küberpättide huviorbiiti tõusnud,
kirjutasime me ome eelmises ülevaates ja MSN Korea serveriga juhtunu kinnitab täielikult meie prognoose.

Illegaalsed reklaamitehnoloogiad
Me jätkame suure huviga Adware-klassi programmide arengut. Nende arengu kiirus ja vormide mitmekesisus on
tänapäeva arvutimaailmas unikaalne nähtus. Alustanud mõned aastad tagasi lihtsate skriptidega, mis avasid
veebilehitsejas järjest uusi ja uusi aknaid on on need programid nüüdseks lõplikult ületanud piiri soovimatute, kuid
siiski legaalsete programmide ja kahjurprogrammide vahel. Hulk tänapäevaseid adware-programme kasutab
arvutisse tungimiseks ja seal enda peitmiseks hea meelega erinevaid viirustehnoloogiaid - veebilehitsejate
turvaauke, rootkit-tehnoloogiaid, oma koodi kirjutamist süsteemifaiilidesse või süsteemirakenduste äravahetamist
iseendaga, failide muutmist kasutaja arvutis ja palju muud.

Kui meenutada ireklaamituru mahtu internetis, siis pole põhjust imestada. Spetsialistide hinnaguil moodustab see
mõni miljard dollarit ja oluline on see, et sellel turul eksisteerib mitu omavahel konkureerivad reklaamifirmat. Nad
püüavad iga hinnaga tellimuse täita ja näidata reklaami võimalikult paljudele kasutajatele võimalikult palju kordi.
В июне 2005 года мы
обнаружили
рекламную
программу,
скрывающую свое
присутствие в
системе при помощи
rootkit-драйвера.

2005. aasta juunis avastasime me reklaamprogrammi, mis varjas oma kohalolekut
süsteemis rootkit-draiveri abil. Sinnamaani oli selline käitumine omane vaid mõnele
tagaukse programmile. See on väga rahutukstegev sümptom. Paljudel tänapäevastel
populaarsetel viirusetõrjeprogrammidel pole arsenalis Windows-süsteemidest rootkit-i
avastamise ja eemaldamise metoodikat. On selge, et selliseid võimalusi pole ka
rohkearvulistel ”anti-adware/spyware” lahendustel, mida ilmub nagu seeni pärast
vihma. Rootkit-i avastamiseks süsteemis on vajalik paljufunktsionaalne
viirusetõrjelahendus, mis on võimeline töötama operatsioonisüsteemi kõige
madalamatel tasemetel ja kontrollima kõiki süsteemifunktsioone.

Kokkuvõttes muutub situatsioon Adware´iga üha rohkem ja rohkem ”mürsu ja soomuse” võitluseks nagu
traditsiooniline viiruse-antiviiruse vastasseis. Mida laiemal rindel reklaamprogrammidega võideldakse, seda
rafineeritumaks ja illegaalsemaks muutuvad reklaami kohaletoimetamisviisid kasutajate arvutitesse. Ilmselt ei
lahenda probleemi mitte ainult koostöö viirusetõrjefirmade ning reklaamprogrammide vastasele võitlusele
spetsialiseerunud firmade vahel. Tingimata tuleb alustada dialoogi ka reklaami valmistajate ja selle tellijatega. Ei
tasu unustada, et paljud internetiprojektid elavad just reklaamist ja internet ise sõltub paljuski nendest, kes
reklaami eest maksavad. Vastasel juhul ootab meid selle konflikti lõputu laienemine.

Viirustehnoloogiate tagasitulek
Viimase kolme nelja aasta jooksul on meie poolt avastatud traditsiooniliste failiviiruste arv nullilähedaseks
muutunud. Nii pikk aeg peaks tunnistama seda tüüpi kahjurprogrammide lõplikku loojangut. Kõigi nende aastate
jooksul pole välja ilmunud ühtki viirust, mis, omamata ussi funktsioone, võiks esile kutsuda pisutki märgatavat
epideemiat. Kahjurprogrammide autorid lülitusid ümber troojalaste ja usside loomisele - see pole mitte ainult
kiirem vaid ka palju lihtsam moodus epideemiate organiseetmiseks ja andmete varguseks.
Erinevates Windows-i versioonides korrektselt töötava ja faile nakatada suutva failiviiruse loomine nõuab mahukat
teadmistepagasit ja programmeerimiskogemust.Selliste viiruste lahutamatuks osaks on erinevad polümorfsed
protseduurid, mis nõuavad teadmisi krüptograafiast ja erinevatest šifreerimisalgoritmidest.
Vaatamata kõigile ülalloetletud raskustele elavad mõned viirused kasutajate arvutites siiski edasi ja roomavad
kiirustamata mööda maailma. Nende arvukus on tagasihoidlik, kuid nad on nende aastate jooksul jäänud ja
jaavad ka edaspidi suhteliselt levinuks.