Зловредов все больше

Можно ли верить в то, что компьютерные вирусы специально создаются… в спецлабораториях антивирусных компаний, ибо им  выгоден этот мировой хаос? Уверяю вас — такая теория, может быть, и хороша, но на практике этого, конечно, не происходит.  Число зловредов и так растер в геометрической прогрессии — подгонять эту тенденцию нет никакой необходимости. Как бы от нее  защитится 🙂 Тем более, что все больше и больше таких вирусов становится «специализированными» — они создаются  исключительно для прорыва совершенно конкретной обороны «противника». Этим они и опасны. Если посмотреть «свежий» отчет компании G Data, то можно обнаружить, что за первую половину 2011 года в Сети было обнаружено 1,2 млн. новых вредоносных компьютерных программ (по итогам 2011 года их будет 2,5 млн). То есть в день разбросанные по всем закоулкам Сети детекторы обнаруживали больше 6,8 тыс. новых «зловредов». В этой связи меня в принципе удивляют не то, что компании, а даже частные пользователи, которые выходят в Сеть без антивируса — интересно на что расчитывают?:) Правда, подавляющее число этих программ атакует «обычные» компьютеры под управлением «дырявой Windows» (доля вредоносных программ для этого сегмента составляет 99,6% от всего объема известных зловредов) — на смартфоны «девятого вала» пока не отмечено. Но и это — впереди.

Полагаю, для многих не будет открытием тот факт, что вирусы достаточно давно разделены на типы и классы, из который наиболее активным можно считать троянские программы. Именно в этой категории отмечен наибольший рост в первой половине 2011 года — именно сюда входят все программы, выполняющие конкретные вредоносные функции.

Интересно, какие же «страшности» ожидают пользователей уже сейчас — при каждом его подключении к глобальной Сети? К примеру, тот же Genome сочетает в себе функции загрузчика, клавиатурного шпиона и функцию шифрования файлов — если прорвется такая программа на ваш компьютер, она его полностью парализует: очень удобно атаковать такими вирусами call-центры или офисы абонентского обслуживания. Компьютеры зависли — работы нет, прямые убытки. Можно отметить и FakeAV — это троянская программа маскируется под антивирусное или другое ПО, связанное с обеспечением безопасности. Она имитирует обнаружение множества угроз безопасности или вредоносных программ в системе пользователя. Это должно заставить пользователя платить за программное обеспечение для удаления поддельных предупреждений — правда, скорее всего, он получит на свой компьютер ПО для добавления его компьютера в зомби-сеть. Причем, поставит его своими собственными руками.

Можно отметить и VBKrypt — это инструмент, используемый для маскировки вредоносных файлов. Процедуры маскировки написаны на языке Visual Basic. Содержание замаскированных файлов очень разнообразно и варьируется от загрузчиков и бэкдоров до программ-шпионов и червей. Руткит TDSS, благодаря широкому спектру технически очень сложных вариантов маскировки вредоносных файлов, стал своеобразным стандартом в среде вредоносных программ. Он используется для сокрытия файлов и записей реестра для бэкдоров, шпионского и рекламного ПО. А вот Palevo (название указывает на автора-соотечественника) — это простой Червь, который распространяется через сменные носители (autorun.inf), копируя себя под маскирующими названиями версий p2p программ для обмена файлами, таких как Bearshare, Kazaa, Shareaza и т.д. Он также распространяет ссылки на вредные сайты через системы мгновенного обмена сообщениями (в первую очередь MSN). Его основное действие — грамотно вписать функцию бэкдора в «виндоузовский» Проводник. Можно отметить и Buzus — троянские программы этого типа сканируют зараженные системы своих жертв на предмет выявления персональных данных (информации о кредитных карточках, онлайн-банкинге, электронной почте и доступе к информации по FTP), которые затем передаются злоумышленнику — похищение информации на заказ организуется, в том числе, и с помощью этого ПО.

Отметим и OnLineGames — программы этого семейства прежде всего крадут данные для входа в онлайн-игры. С этой целью проводится поиск различных файлов и записей реестра и/или устанавливается клавиатурный шпион. В последнем случае могут быть украдены данные не только об игре. Большинство атак нацелено на игры, популярные в Азии — к нам это пока не дошло. А вот с  FraudLoad пользователи могли встречаться — это семейство включает в себя многочисленные варианты так называемых поддельных антивирусов, которые представляются пользователю в виде ПО системы безопасности или системных инструментов. Жертву заставляют поверить, что система проверяется на наличие возможного заражения. Для удаления предполагаемых инфекций жертве настоятельно рекомендуется приобрести «полную версию» и, таким образом, раскрыть информацию о своей кредитной карте на специальном сайте. Как правило, заражение происходит через неисправленные дыры в системе безопасности операционных систем или через уязвимые приложения, которыми пользуется жертва атаки. Есть и такие методы нападения, с помощью которых пользователей заманивают на веб-сайты, где предлагается просмотреть видео эротического содержания или последние новости и светскую хронику. Предполагается, что для просмотра видео жертва нападения должна установить специальный кодек видео, который содержит вредоносную программу. Напоследок вспомним два «трояна»: это Menti и Refroso — они умеют обходить стандартные системы безопасности компьютеров, включая системы в число зомби-компьютеров. Кроме того, зараженные таким ПО компьютеры постоянно пытаются заразить «соседей».

Кстати, самая распространенная среда для распространения зловредов — совсем не зараженные физические носители, а веб-сайты и мобильные устройства 🙂 И наиболее «любимая» платформа для атак на мобильные терминалы — ОС Android. Во всяком случае так предрекают аналитики G Data Software AG. Правда, в этой категории совсем другие лидеры — две из трех вредоносных программ для смартфонов отправляют СМС на платные телефонные номера (вы еще хотите сохранить этот тип оплаты контента?). Выросло и число программ-шпионов и бэкдоров — кибер-преступники осваивают новую сферу применения этих программных средств.

Тренд на атаки именно смартфонов отмечается практически всеми антивирусными лабораториями — смартфоны чаще используются в качестве средства для оплаты услуг и, таким образом, становятся все более привлекательными для преступников. Такой класс программ завершил фазу апробации — теперь это самостоятельный и развивающийся рынок. Кстати, популярность ОС Android в отношении атак вирусописателей принесена ей… относительной дешевизной таких устройств. Они относительно недороги — и их больше. А ОС, активно набирающая пользователей может быть «монетизирована» со стороны злоумышленников. Кроме того, эту платформу поддерживают множество устройств различных телекоммуникационных компаний — следовательно, сразу проявляется сложность системы внутреннего контроля качества и то, что не всегда есть возможность обеспечивать обновления каждому клиенту в установленные сроки. Длинная цепочка доставки новых версий операционных систем — от Google к производителям устройств, через поставщиков услуг к клиентам — дает злоумышленникам возможность использовать в своих интересах слабые места операционных систем. И работа этой цепочки растягивается даже не на дни, а на месяцы. Такие слабые места и дальше будут пользоваться вниманием кибер-преступников. К тому же, поскольку возможности смартфонов далеко не исчерпаны, появляется все больше новых технологий, открывающих новые пути для атак. Например, такой технологией в ближайшее будущее может стать оплата услуг со смартфона через NFC (реализована в Android, начиная с версии 2.3).

Помимо рисков, связанных с аппаратной частью, не следует недооценивать и наличие «человеческого фактора». Во время установки программ пользователи часто подтверждают отображаемые на экранах запросы на разрешение, не придавая этому никакого значения. Это открывает приложениям доступ к информации, позволяет заняться ее сбором, делать вызовы на платные номера и многое другое. Пример тому — приложения, которыми управляет троянская программа Zsone на Google Android Market. Незаметно для пользователей приложение отправляет регистрационные данные для подписки на платные SMS-номера в Китае и даже перехватывает ответные SMS сообщения из абонентского отдела. Пользователи не знают о дорогих текстовых сообщениях, пока не получат счета за телефон 🙂 Опасно оно, понятное дело, только в китайских сотовых сетях. Но такие версии будут и для других «локальных рынков» — это без сомнения.

Максим Букин  http://i-business.ru/