Вход | Регистрация

Информационные технологии ::

Метки:

Обзор вирусной активности за 2003 г

Я
   skunk
 
04.01.04 - 08:16
В 2003 году произошли две глобальные эпидемии, которые можно назвать крупнейшими за всю историю интернета. Важно отметить, что они были вызваны не классическими почтовыми червями, но их сетевыми модификациями - червями, распространяющимися в виде сетевых пакетов данных.

Начало было положено 25 января сетевым червем Slammer (Helkern), использующим для своего распространения уязвимость в системе управления базами данных Microsoft SQL Server. Slammer стал первым бестелесным сетевым червем, сумевшим в полной мере реализовать описанную в 2001 году технологию Flash-червей. В течение нескольких минут 25 января 2003 года он заразил сотни тысяч компьютеров по всему миру и смог настолько увеличить сетевой трафик (по экспертным оценкам от 40% до 80% в различных сетях), что стал причиной выхода из строя отдельных национальных сегментов интернета. Червь атаковал компьютеры через порты 1433 и 1434 и при проникновении на пораженную машину не создавал своего тела на диске, присутствуя только в памяти. Анализ хода развития эпидемии позволяет выразить предположение о его восточно-азиатском происхождении.

Причиной второй, не менее значительной эпидемии стал червь Lovesan (Blaster), появившийся 12 августа. Червь еще раз продемонстрировал всему миру насколько уязвима популярная операционная система Windows. Как и Slammer, Lovesan использовал для своего размножения брешь в системе безопасности в программном обеспечении компании Microsoft. Отличием стало то, что Lovesan использовал брешь в службе RPC DCOM, которая присутствовала на каждом компьютере, работающем под управлением Windows 2000/XP. Это привело к тому, что практически каждый пользователь, выходя в дни эпидемии в интернет, подвергался атаке со стороны червя.

В течение нескольких дней с момента появления Lovesan было обнаружено три модификации червя. Вскоре по интернету прокатилась эпидемия червя Welchia, который использовал ту же самую брешь в системе безопасности Windows. Однако, в отличие от оригинала, Welchia удаляла обнаруженные копии Lovesan и пыталась установить "заплатку" для службы RPC DCOM.

2003 год прошел под знаком непрекращающихся эпидемий различных почтовых червей. В январе были обнаружены черви Ganda и Avron. Первый их них был написан в Швеции и до сих пор является одним из наиболее распространенных почтовых червей в Скандинавии. Автор червя был арестован шведской полицией в конце марта. Червь Avron стал первым червем, написанным на территории бывшего СССР, который смог вызвать значительную эпидемию глобального масштаба. Исходные тексты червя были опубликованы на вирусописательских веб-сайтах, что привело к появлению нескольких, менее успешных вариантов.

Также, в январе появился первый червь из семейства Sobig, которые впоследствии регулярно вызывали значительные вирусные инциденты. Модификация "F" и вовсе побила все рекорды и стала самым распространенным почтовым червем в сетевом трафике за всю историю интернета. На пике эпидемии Sobig.F, появившийся в августе, находился в каждом 20-м письме. Важно отметить, что в этой вредоносной программе была использована весьма опасная технология. Одной из целей авторов семейства Sobig было создание распределенной сети зараженных компьютеров для проведения DoS-атак на произвольные сайты, а также для нелегального использования их в качестве серверов для спам-рассылок.

Очень заметным событием в компьютерной вирусологии стал почтовый червь Tanatos.b. Первая версия Tanatos (Bugbear) была написана еще в середине 2002 года и только спустя почти год появилась вторая. Червь использовал уже традиционный давно известную брешь в системе безопасности Microsoft Outlook (IFRAME-брешь) для автоматического запуска своего тела из зараженных писем.

Продолжали появляться очередные черви семейства Lentin (Yaha). По имеющимся данным все они были написаны в Индии одной из местных хакерских групп в ходе "виртуальной войны" между индийскими и пакистанскими вирусописателями. Наибольшее распространение получили версии M и O, в которых вирус размножался в виде ZIP-архива, прикрепленного к зараженным письмам.

Не отставали от своих зарубежных "коллег" и российские вирусописатели. Вторым червем, из бывшего СССР, вызвавшим глобальную эпидемию, стал Mimail. Червь использовал для своей активации очередную уязвимость в Internet Explorer, получившую название Mimail-based. Она позволяла извлечь из HTML-файла бинарный код и запустить его на исполнение. Впервые она была использована в мае 2003 года в России (Trojan.Win32.StartPage.L). Впоследствии эта уязвимость она применялась в семействе червей Mimail и еще нескольких троянских программах. Автор червя Mimail опубликовал исходные тексты в интернете, что привело к появлению в ноябре 2003 года нескольких новых вариаций, написанных другими людьми, в том числе из США и Франции.

Сентябрь 2003 года прошел под знаком сетевого червя Swen. Swen, выдававший себя за обновление от компании Microsoft, поразил несколько сотен тысяч компьютеров по всему миру и до сих пор остается одним из наиболее распространенных почтовых червей. Автору вируса удалось успешно использовать сложившуюся на тот момент ситуацию, когда пользователи были напуганы недавними инцидентами с Lovesan и Sobig.F и срочно устанавливали обновления для своих операционных систем.

Нельзя не упомянуть и две другие эпидемии. Во-первых, Sober, не очень сложный почтовый червь, написанный немецким вирусописателем, в качестве подражания лидеру года - Sobig.F. Во-вторых, троянец-backdoor Afcore: несмотря на сравнительно низкую распространенность он привлекает внимание из-за интересной технологии скрытия своего присутствия в системе - размещения своего кода в дополнительных потоках (Alternate Data Streams) файловой системы NTFS. Что еще интереснее, Afcore использует дополнительные потоки не файлов, а каталогов.
Десятка самых распространенных вирусов в 2003 г(данные на основе мониторинга почтового трафика )
1 I-Worm.Sobig 18,25%
2 I-Worm.Klez 16,84%
3 I-Worm.Swen 11,01%
4 I-Worm.Lentin 8,46%
5 I-Worm.Tanatos 2,72%
6 I-Worm.Avron 2,14%
7 Macro.Word97.Thus 2,02%
8 I-Worm.Mimail 1,45%
9 I-Worm.Hybris 1,12%
10 I-Worm.Roron 1,01%

из материалов рассылки Безопасность PC@NEWS выпуск №53
 
  Рекламное место пустует


Список тем форума
Рекламное место пустует  
Компьютеры — это как велосипед. Только для нашего сознания. Стив Джобс
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Ветка сдана в архив. Добавление сообщений невозможно.
Но вы можете создать новую ветку и вам обязательно ответят!
Каждый час на Волшебном форуме бывает более 2000 человек.
Рекламное место пустует