«Лаборатория Касперского» сообщает о публикации годового аналитического отчета за 2005 год. Отчет, подготовленный вирусными аналитиками «Лаборатории Касперского», посвящен тенденциям развития вредоносных программ для операционных систем, отличных от Windows.

В отчете рассматриваются принципы и причины появления вредоносных программ для альтернативных операционных систем, приводятся сравнительные статистические данные, касающиеся количественных показателей вредоносных программ для той или иной операционной системы. Особое внимание уделяется тенденциям в области вредоносного программного обеспечения, а также прогнозам дальнейшего развития вирусной индустрии для альтернативных платформ.

В отчете на основе статистики по прошлым годам сделана попытка проследить тенденции, а также предположить некоторые перспективы и направления развития malware в ближайшем будущем.

История компьютеров, и вирусов в том числе, начиналась отнюдь не с Windows, и даже не с DOS. Как известно, первый компьютерный вирус-червь появился в 1988 году и был написан для Unix. Но настоящий расцвет компьютерных вирусов начался только тогда, когда персональные компьютеры появились у миллионов пользователей, работающих под ОС DOS, а затем и под Windows. Тенденции развития вирусной сцены повторяют тенденции развития компьютерной индустрии в целом. О популярности той или иной платформы можно судить и по тому, как много вирусов для данной платформы появляется в природе.

По мнению авторов доклада, лидером является Intel + Win32 платформа (т.е. Win32 как soft-платформа и Intel как hard). Надо сделать небольшое уточнение: именно 32-разрядный intel пока является основной платформой. Но в ближайшем времени ситуация будет плавно меняться в сторону 64-разрядных платформ. И уже сейчас есть несколько концептуальных вредоносных программ для Win64.

Но, наряду с мейнстримом, всегда есть альтернатива. Основной альтернативой Windows когда-то была OS/2, а сейчас Linux, FreeBSD и другие Unix. Linux во всем своем многообразии — безоговорочный лидер. Медленно, но верно он отвоевывает у Windows не только сервера, но и десктопы пользователей. Возможно, в ближайшее время взойдет звезда MacOS X, считают эксперты «Лаборатории Касперского». С переходом Apple на Intel-процессоры популярность и доступность Macintosh сильно увеличивается.

Главной мишенью для атак являются пользовательские ПК. Основной поток вредоносных программ для Win32 — это различные трояны (Trojan-Spy, Trojan-Downloader, Trojan-Dropper). На Linux это в большей степени бэкдоры, которые предоставляют удаленный доступ к скомпрометированной машине для использования ее в качестве площадки для атак на другие компьютеры.

Как только увеличивается популярность платформы, под нее начинают появляться вирусы и другие вредоносные программы. Первоначально они носят характер PoC (proof of concept), то есть являются концептуальными примерами, в которых, как правило, нет зловредного кода, несущего деструктивные действия. Они лишь показывают возможность использования уязвимостей. Сначала появляется информация об уязвимостях ОС и приложений. Затем эти теоретические знания материализуются в код в виде эксплойтов, бэкдоров, использующих эти уязвимости. Конечно, производители ПО закрывают известные уязвимости, что, в свою очередь, заставляет вирусописателей искать новые способы атак. В конце концов, поток malware растет просто лавинообразно. Именно это сейчас и происходит на Win32. На других платформах этого пока нет, но, возможно, только пока.

Несмотря на относительно спокойную жизнь, пользователи альтернативных платформ тоже подвергаются атакам вредоносных программ. Именно об этих платформах, их особенностях и тенденциях развития мы и будем говорить ниже. В общем, по сравнению с предыдущим годом, налицо количественный рост malware по всем направлениям. Несложно заметить, что вектор malware направлен в сторону Linux. Здесь наблюдается почти стопроцентный рост malware. Это и неудивительно — ведь эта платформа наиболее популярна среди всех Unix-систем. Стоит добавить, что, несмотря на то, что Linux работает на различных RISC-платформах, бинарные файлы, отличные от x86, встречаются крайне редко. Под другие RISC-платформы, например, под SPARC, скорее можно встретить образец бинарного файла для SunOS. Как правило, эти образцы — набор отдельных небольших утилит, которые написаны и скомпилированы под конкретную версию ОС и нацелены на конкретный сервер. Например, sniffer, backdoor, logcleaner, модуль ядра для скрытия действий атакующего — такой набор называется rootkit. Руткиты предназначены для атаки на совершенно конкретную машину, то есть в данном случае мы имеем четко спланированную атаку, бороться с которой будет сложней, чем просто с трояном, запускаемым скрипт-кодом.

Отличительной особенностью Unix malware является отсутствие различных пакеров исполняемых файлов, которые затрудняют процесс анализа и обнаружения вредоносной программы. Кроме UPX и его легкой модификации, ничего не встречалось.

В общем и целом по типу вредоносного кода картина на Unix повторяет ситуацию на Win32-фронте. Чистых вирусов, заражающих файлы на локальном диске, становится все меньше. В основном они создаются ради забавы и не совершают никаких разрушающих действий. Разве что из-за ошибки создателя при внедрении своего кода в файл они портят сам файл, и он становится нерабочим. Эпидемий до сих пор отмечено не было, и вирусы под Unix в целом носят «коллекционный» характер. Хотя иногда встречаются интересные экземпляры. Например, Virus.Linux.Grip. Этот вирус интересен тем, что использует интерпретатор языка brain fuck для генерации шифр-ключа, который, в свою очередь, используется для шифрования по алгоритму tea.

Но все это представляет интерес лишь в исследовательских целях и не несет никакого практического значения. Написание таких вирусов полностью отражает идею Линуса Торвальдса «Just for Fun». Другое дело — программы, которые предназначены для взлома серверов и затем их использования как площадки для дальнейших атак. Таких программ много. Речь идет о бэкдорах, эксплойтах, сниферах, флудерах и других hacktool’ах. Их количество, как и популярность самого Linux, постоянно растет.

Прошедший год был отмечен также несколькими червями. Например, Net-Worm.Linux.Lupper и вариацией на ту же тему Net-Worm.Linux.Mare. Оба они используют одни и те же уязвимости и похожие способы распространения. Одним из компонентов их является backdoor Tsunami. В процессе развития червя (т.е. перехода от предыдущей версии к более новой) к его функционалу добавляются новые возможности, так, например, в последней версии Net-Worm.Linux.Mare по одной из ссылок скачивается IRCBot, выполняющий функцию бэкдора.

Еще один инцидент в мире Linux: в сентябре прошлого года на одном из публичных серверов были обнаружены дистрибутивы популярного веб-браузера Mozilla корейской локализации, содержащие инфицированные бинарные файлы. Файлы были заражены вирусом Virus.Linux.Rst.

Темой руткитов, которая на Win32 «цветет» вовсю, на Linux, похоже, переболели. Ничего принципиально нового, лишь изредка вариации на старые темы. На остальных Unix-платформах все еще спокойнее. Да это и понятно: ведь популярностью ни с Linux, ни с Windows остальные Unix-системы сравниться не могут.

По прогнозам авторов доклада, прежде всего, грядет эра 64-битной архитектуры, и как только она прочно обоснуется на компьютерах пользователей, мир вирусописателей отреагирует на этот факт соответствующим образом. Здесь тоже есть свои сложности, так как бинарный код под AMD64 и под IA64 разный, поэтому под каждую платформу необходимо откомпилировать отдельную версию.

Еще большие надежды подает Apple, считают эксперты ЛК. Переход на Intel-процессоры может стать революционным. Однако не только дизайн компьютеров Apple, но и тот факт, что OS X можно назвать «Unix с человеческим лицом», могут сделать его хитом для пользователей ПК, говорят авторы доклада.

Ядро OS X основано на FreeBSD, поэтому опыт и идеи, используемые для написания malware для FreeBSD, могут быть использованы и для OS. X. Вдобавок ко всему, разработчики системы внесли еще и свои ошибки. За последние пару недель зафиксировано два PoC (Proof of Concept) червя для OS X, которые наглядно иллюстрируют использование ошибок в архитектуре системы. Затем был эксплойт для веб-браузера Safari, позволяющий запустить скрипт и выполнить команды на компьютере пользователя. OS X может быть достаточно благодатной почвой для исследований в области безопасности, для этого есть все предпосылки.

Еще одним из бурно развивающихся направлений ИТ-индустрии являются мобильные устройства. И здесь Linux тоже выступает как альтернатива Symbian и Windows Mobile.

Многие крупные производители или уже производят, или анонсировали выпуск устройств с Linux «на борту». Для появления вредоносных программ остается лишь дождаться критической массы подобных устройств у пользователей.

Возможно, бурный рост какой-нибудь новой технологии даст развитие и новым направлениям в вирусных технологиях. Ныне экзотическая среда распространения (какой была bluetooth) может стать вполне обычной не только для мобильных телефонов, но и для ПК, заключают авторы доклада.


Количества и поведения вредоносных программ для ОС Linux в коллекции «Лаборатории Касперского» по итогам 2004 и 2005 годов.

Количества и поведения вредоносных программ для ОС FreeBSD в коллекции «Лаборатории Касперского» по итогам 2004 и 2005 годов.


Количества и поведения вредоносных программ для ОС Sun в коллекции «Лаборатории Касперского» по итогам 2004 и 2005 годов.

Количества и поведения вредоносных программ для прочих Unix ОС в коллекции «Лаборатории Касперского» по итогам 2004 и 2005 годов.