В очередной статье традиционного цикла аналитических публикаций от «Лаборатории Касперского» VIRUSLIST рассматривает события последнего квартала прошлого года.

Sober — уникальный червь
Krotten — развитие технологий «вирусного шантажа»
Уязвимости 0-Day
Мобильные тенденции
Игровые приставки — новая платформа для вирусов?
Руткит Sony

Sober — уникальный червь

15 ноября 2005 года полиция Баварии опубликовала пресс-релиз, сообщавший о том, что в ближайшие дни возможно появление новой версии почтового червя Sober. Данное предупреждение не сопровождалось подробными комментариями о том, как полиции удалось прийти к такому заключению. Однако, учитывая однозначно немецкое происхождение червя Sober, антивирусные компании всего мира исключительно серьезно отнеслись к данному предупреждению. Уже на следующий день, 16 ноября, «Лаборатория Касперского» получила образец нового варианта Sober. Как оказалось, именно этот вариант, получивший название Sober.y, и стал причиной вирусной эпидемии, разразившейся в последующие дни.

18 ноября миллионы пользователей в Западной Европе получили по электронной почте странное письмо. Текст несколько варьировался, но, как правило, там говорилось, что получатель обвиняется в нарушении авторских прав и незаконной загрузке из интернета различных музыкальных и видеофайлов. Письмо якобы было направлено из штаб-квартиры ФБР. В качестве приложения был прикреплен файл, в котором, как сообщалось в письме, содержались собранные доказательства. Получателю предлагалось ознакомиться с ними.

18 ноября миллионы пользователей в Западной Европе получили по электронной почте странное письмо.

Это был один из самых изощренных трюков социальной инженерии последнего времени; однажды (весной 2005 года) он уже был использован в черве Sober. Однако десятки (а возможно, и сотни) тысяч пользователей поверили таким письмам и запустили вложенный файл. Sober.y вырвался на свободу, и эпидемия начала развиваться по восходящей. Теперь уже в рассылку червя включились все зараженные компьютеры пользователей и десятки миллионов копий червя начали циркулировать в почтовом трафике.

Примененный автором червя трюк с поддельным письмом из ФБР, помимо запуска файла, имел и побочный эффект. Многие получатели писем позвонили по указанному телефону приемной ФБР. Номер телефона был верным, и в течение нескольких дней на него производилась своеобразная телефонная DDoS-атака.

Пик эпидемии был пройден только в начале декабря. Sober.y стал одним из наиболее успешных вирусов 2005 года по числу зараженных машин и проценту зараженных писем в почтовом трафике.

Я пытаюсь понять, в чем заключаются причины такого успеха данного червя и семейства Sober в целом. Казалось бы, нет никаких предпосылок для эпидемии подобных масштабов. С технологической точки зрения Sober крайне примитивен. Он написан на языке Visual Basic, который не отличается малым размером создаваемого кода. VB считается крайне простым языком, легко доступным для освоения. Практически все современные вирусы создаются либо на C/C++, либо на ассемблере. Также весьма велик процент вирусов, написанных на Delphi. На VB обычно пишутся несложные, даже скорее примитивные вирусы, без каких-то особых приемов. Я не могу припомнить ни одного вируса, вызвавшего глобальные эпидемии и написанного на VB. Кроме Sober.

Идем далее. Мы уже привыкли к тому, что глобальные эпидемии последних лет вызывались исключительно вирусами, использовавшими для своего размножения какую-либо критическую уязвимость в Windows: Lovesan, Slammer, Sasser, Mytob, сотни различных ботов. Sober не использует никаких уязвимостей. Кроме одной — человека. И тут уже применяется метод социальной инженерии. Метод, на котором базировался червь Mydoom, ставший причиной крупнейшей в истории вирусной эпидемии.

Sober не использует никаких уязвимостей. Кроме одной — человека.

Мы постоянно говорим о том, что вирусные угрозы меняются. Меняются от хулиганских поделок (NetSky, Sasser, Lovesan) в сторону CrimeWare (Mytob, Bagle), и вместе с этим вирусописатели уходят от практики глобальных эпидемий, предпочитая им небольшие локальные, но адресованные конкретным группам пользователей. То, что в 2005 году не было ни одной по-настоящему крупной эпидемии, отчасти является и заслугой антивирусных компаний, которые создали эффективные методики обнаружения и пресечения эпидемий на ранних стадиях. Казалось, что все именно так и будет еще какое-то время. Но тут появляется Sober — написанный на простом языке программирования, без использования каких-либо уязвимостей, с единственным способом распространения — по электронной почте, без очевидной коммерческой цели (не ориентирован на кражу данных, не создает ботнеты, не проводит DoS-атаки и т.д.). У него не должно было быть никаких шансов на существование, однако он — «номер один» среди вирусов IV квартала 2005 года. Это все весьма странно и мало объяснимо с тех точек зрения, которые я упомянул выше.

А ведь семейству Sober исполнилось уже два года. И почти каждый из его вариантов был заметным явлением на вирусной сцене. Кроме всего прочего, автор червя Sober постоянно использует его для пропаганды своих неофашистских взглядов. Sober — ярчайший пример «политического» вируса. О тенденциях развития таких вирусов я писал в прошлом отчете. Я не исключаю того, что в ближайшее время автор червя будет арестован, и пресс-релиз баварской полиции, предупреждавший о возможной эпидемии, является сигналом того, что расследование идет и оно на верном пути. Но я не исключаю и того, что 6 января 2006 года мы столкнемся с новым вариантом Sober, поскольку именно на этот день запрограммирована активация функции загрузки «обновлений» в Sober.y, и тогда десятки тысяч зараженных компьютеров скачают из интернета новую версию червя и все повторится снова.

Krotten — развитие технологии «вирусного шантажа»

Мы уже писали о появлении особого класса вредоносных программ, которые созданы с целью вымогательства денег у пользователей. Принцип их действия крайне прост. Попадая в компьютер жертвы, они шифруют различными методами шифрования имеющиеся файлы, а затем предлагают пострадавшему заплатить некую сумму денег за расшифровку данных. Наиболее яркими представителями таких программ являются Gpcode и JuNy.

Некоторые пользователи в подобной ситуации действительно идут на контакт с злоумышленниками, выплачивая тем затребованные ими суммы. Другие пользователи поступают гораздо умней, направляя зашифрованные файлы нам. К счастью, криптографические познания авторов подобных вирусов не слишком глубоки, и используемые ими алгоритмы шифрования достаточно легко взламываются вирусными аналитиками «Лаборатории Касперского». Поэтому во всех случаях нам с успехом удавалось не только расшифровать документы, но и реализовать эту функцию непосредственно в антивирусных базах.

В сентябре 2005 года нами был обнаружен первый вариант троянской программы Krotten. Тогда он еще назывался Trojan.Win32.Agent.il и был прислан нам несколькими российскими пользователями. В ходе анализа данной программы было установлено, что это очередной Троян-вымогатель, однако принцип его действия значительно отличается от известных Gpcode и JuNy. Автор троянца не стал заниматься шифрованием пользовательских данных. Он использовал метод топора, просто внося изменения в системный реестр Windows, с целью ограничения пользовательских действий.

В частности, Krotten блокирует запуск самого системного реестра (Regedit), запуск «Диспетчера задач» (Task Manager):

• блокирует закрытие окон проводника, окон Internet Explorer;
• блокирует доступ к настройкам файлов и папок;
• изменяет содержание меню «Пуск» («Start»);
• блокирует запуск командной строки и другие действия.

Понятно, что при подобных изменениях в системе, работать на таком компьютере становится практически невозможно. За восстановление работоспособности злоумышленник требует 25 гривен (валюта Украины, равны примерно 5 долларам США).

За несколько последующих месяцев мы обнаружили более трех десятков вариантов данного троянца и продолжаем получать новые.

Этот случай свидетельствует о том, что технология шантажа пользователей становится все более и более популярной в среде вирусописателей. Это очень опасная тенденция, которая с каждым месяцем будет все больше усиливаться. Фактически, это уже является отдельным видом интернет-преступности, причем самого низкого, грубого уровня. В прошлые годы мы в основном сталкивались с кражей пользовательских данных: файлов, номеров кредитных карточек, паролей и другой информации. Эта информация затем использовалась преступниками в собственных целях. Однако усилия, предпринимаемые системами интернет-банкинга, платежных систем и антивирусных компаний по противодействию подобным троянским программам и людям, их использующим, в настоящее время сделали подобный вид киберпреступности не таким доходным и простым, как ранее. Вместе с этим, на вирусную сцену вышло новое поколение вирусописателей, которые не хотят и не умеют создавать сложные троянские программы. Script-kiddies подросли и занялись шантажом. Зачем красть данные и пароли, чтобы потом с трудом пытаться их «обналичить»? Они выбирают более простой и грубый метод — метод прямого вымогательства денег у пользователей.