«Лаборатория Касперского» предлагает анализ тенденций эволюции информационных угроз в первом квартале 2005 года, проведенный ведущим антивирусным экспертом компании Александром Гостевым.
Почему уже год как нет крупных эпидемий почтовых червей? Что скрывается за сегодняшними червями для ICQ, AOL и MSN Messenger? Чем обусловлен взрывной количественный и качественный рост фишинг-атак? Каковы результаты выпуска Microsoft второго Service Pack для Windows XP? Что такое Adware и Spyware, и почему о них так много говорят в последнее время?
Обо всем этом, а также о многом другом — читайте в нашем первом квартальном отчете.
Черви для интернет-пейджеров
Известные компьютерные черви типа IM-Worm имеют общий способ самораспространения — рассылку на обнаруженные записи контакт-листа интернет-пейджера сообщений, содержащих URL на файл, расположенный на каком-либо веб-сервере. Данный прием практически полностью повторяет один из используемых почтовыми червями способов саморассылки.
Одним из наиболее заметных событий 2005 года в компьютерной вирусологии стало появление множества червей, использующих для своего размножения популярные программы обмена сообщениями — MSN Messenger и AOL Messenger.
Если проанализировать все обнаруженные в течение первого квартала 2005 года IM-черви и полученные данные занести в таблицу, то можно сделать несколько важных выводов, помогающих понять, что же в действительности происходит с этим классом вредоносных программ.
Название | IM-клиент | Варианты | Язык программирования | Способ размножения |
Aimes | AOL | 4 | VB | Файл |
Atlex | ICQ | 1 | C | Ссылка |
Bropia | MSN | 18 | VB | Ссылка |
Kelvir | MSN | 4 | VB | Ссылка |
Nemesix | MSN | 1 | VB | Ссылка |
Sumom | MSN | 3 | VB | Ссылка |
VB | MSN | 9 | VB | Ссылка |
Из таблицы видно, что подавляющее большинство червей использует для своего размножения клиент MSN Messenger, являющийся весьма популярным в США, но практически не используемый в России. Все черви (за одним исключением) написаны на языке Visual Basic.
Это позволяет предположить, что мы наблюдаем начальный уровень развития данного класса вредоносных программ. Использование VB означает небольшой опыт программирования у авторов таких червей: этот язык является одним из самых простых в освоении, но мало подходит для создания сложных программ из-за большого размера получаемых исполнимых файлов и невысокой скорости их работы.
Явный крен в сторону MSN Messenger также свидетельствует о том, что практически все подобные черви создаются по «образу и подобию» появившихся ранее образцов. Вывод подтверждается проведенным в «Лаборатории Касперского» подробным анализом кода обнаруженных IM-червей. Достоверно известно, что исходные коды нескольких IM-червей были опубликованы в ряде вирусописательских электронных журналов. Именно эти исходные коды и стали основой большинства обнаруженных позже IM-червей. Можно со стопроцентной уверенностью утверждать, что в настоящий момент созданием данного класса вирусов занимаются исключительно неопытные программисты (т.н. script kiddies).
Ситуация практически повторяет историю появления и развития P2P-червей в 2002-2004 годах. В начале своего развития P2P-черви также на 90% были написаны на языке программирования Visual Basic и использовали для саморазмножения всего один популярный P2P-клиент — Kazaa. Простота создания подобных червей и довольно высокая скорость их распространения породили несколько сотен разнообразных семейств P2P-червей. Пик их развития пришелся на 2003 год, когда каждую неделю фиксировалось более десятка новых вариантов.
Ситуация с IM-червями практически повторяет историю появления и развития P2P-червей в 2002-2004 годах. |
Исследования, проведенные в тот момент «Лабораторией Касперского», показывали, что каждый второй файл файлообменной сети Kazaa являлся тем или иным вариантом P2P-червей. Кроме того, многие почтовые и сетевые черви использовали файлообменные сети в качестве дополнительного способа размножения. Однако в 2004 году тенденция развития подобных червей резко пошла вниз, и в настоящее время этот класс вредоносных программ переживает упадок. Вероятней всего, схожий цикл развития ожидает и IM-червей.
Интересен применяемый IM-червями способ доставки своего тела на атакуемый компьютер. Несмотря на то, что все интернет-пейджеры обладают возможностью передачи файлов, авторы червей избегают (или просто не умеют использовать) этого способа проникновения в систему. Вместо него на вооружение взят прием, свойственный некоторым почтовым червям 2004 года: отправка ссылки на специально подготовленный веб-сайт, на котором и находится сама вредоносная программа. Пользователь практически наверняка откроет полученную от своего знакомого ссылку (черви рассылают ссылки по контакт-листу IM-клиента). В этот момент червь (через эксплойты различных уязвимостей в Internet Explorer либо путем прямой загрузки и запуска) и проникает в систему.
Мы рекомендуем системным администраторам и специалистам в сфере IT-безопасности обратить максимальное внимание на повышенную опасность IM-клиентов в настоящее время и, возможно, внести в корпоративные политики безопасности правила, запрещающие использование подобных программ. Кроме того, учитывая способ проникновения подобных червей на компьютер (через ссылку, открываемую в уязвимом браузере), необходимо обязательно проверять весь входящий HTTP-трафик.
Кроме саморазмножения большинство IM-червей способны устанавливать в систему и другие вредоносные программы. Так, например, наиболее многочисленный в настоящее время по количеству вариантов червь Bropia устанавливает на зараженный компьютер Backdoor.Win32.Rbot, тем самым включая его в сеть «зомби-машин» — так называемый «ботнет» (botnet).
Проблема ботнетов
Данная проблема существует уже несколько лет: первые крупные сети из зараженных компьютеров появились на «черном рынке» андеграунда в 2002 году. С ростом числа подключенных к интернету пользователей и обнаружением новых критических уязвимостей в Windows количество объединенных в ботнеты машин начало расти в арифметической прогрессии.
Термин «ботнет» в настоящее время применяется к любой аналогичной сети, централизованно управляемой злоумышленником. Изначально зараженные компьютеры соединялись с каким-либо IRC-каналом и получали команды от автора при помощи IRC. Подобный способ управления и сейчас остается самым популярным. Его используют наиболее многочисленные представители семейств ботов — Agobot, Rbot, SdBot. Все они используют для проникновения в систему различные уязвимости в операционной системе Windows. Как правило, это уязвимости в службах RPC DCOM и LSASS, однако известны боты, содержащие в себе 8 и более эксплойтов. Также активно используется способ подбора пароля к открытым на доступ сетевым ресурсам (shared network resources).
Современное состояние ботнетов обусловлено событиями 2003 года, в частности, открытием уязвимости в службе RPC DCOM Windows 2000 и XP (именно через эту уязвимость распространялся нашумевший червь Lovesan).
Термин «ботнет» в настоящее время применяется к любой компьютерной сети, централизованно управляемой злоумышленником. |
Вторым значительным «вкладом» в дело создания «зомби-сетей» стал почтовый червь Mydoom, обнаруженный в январе 2004 года. Он открывал на зараженной системе порт в диапазоне 3127-3198 и позволял злоумышленнику получить полный доступ к системе. Кроме того, он мог загружать из интернета и запускать на исполнение произвольные файлы. Доступ к бэкдору производился при помощи специальной пятибайтовой комбинации, что было довольно быстро открыто другими вирусописателями, и сеть наводнили черви, пытающиеся проникнуть на зараженные червем Mydoom компьютеры. Также были созданы специальные программы-сканеры, позволяющие злоумышленнику просканировать ряд адресов в сети на наличие бэкдора от Mydoom и передать ему любой файл на исполнение. Зараженные компьютеры могли переходить «из рук в руки» несколько раз в день, рано или поздно становясь одним из участников какого-либо ботнета.
Третьим фактором развития ботнетов стала обнаруженная в апреле 2004 года критическая уязвимость Windows, на этот раз — в службе LSASS. В мае случилась эпидемия червя Sasser, распространявшегося с использованием эксплойта данной уязвимости. И в очередной раз вирусописатели воспользовались зараженными червем Sasser компьютерами в своих целях.
В настоящее время по оценкам ряда специалистов IT-безопасности число компьютеров, входящих в какой-либо ботнет, каждый месяц увеличивается на 300-350 тысяч, а общее количество «зомби-машин» составляет несколько миллионов. Все они используются киберпреступниками с целью получения финансовой выгоды — через них рассылается спам, организуются DoS-атаки с целью последующего вымогательства денег, через них же рассылаются новые версии вредоносных программ.
Именно ботнеты представляют сейчас главную проблему и угрозу безопасности пользователей интернета. Фактически, они являются требующей постоянного расширения и обновления питательной средой, в которой возникают все новые вирусные эпидемии. Решение проблемы ботнетов должно стать основным приоритетом IT-индустрии на ближайшее время. От ее успешного устранения напрямую зависит будущее интернета.
Закат эпохи почтовых червей
Начало 2005 года подтвердило прогнозы ряда антивирусных экспертов о постепенном вымирании современных почтовых червей, уступающих пальму первенства разнообразным сетевым червям с троянским функционалом.
После гигантских по своим масштабам эпидемий почтовых червей 2004 года (Mydoom, NetSky, Bagle и Zafi), в настоящее время наблюдается диаметрально противоположная картина. Фактически, в 2005 году мы еще не видели ни одной эпидемии почтового червя, сравнимой с эпидемиями среднего уровня прошлого года.
С одной стороны, это может свидетельствовать о значительных успехах антивирусных компаний в борьбе с эпидемиями Email-червей. За последний год антивирусная индустрия смогла представить несколько революционных технологий в области перехвата зараженных писем и остановки эпидемий на самых ранних стадиях (детектирование червей в закрытых паролями архивах, различные способы предварительного анализа писем с исполняемыми вложенными файлами и т.д.).
После гигантских по своим масштабам эпидемий почтовых червей 2004 года, в настоящее время наблюдается диаметрально противоположная картина. |
С другой стороны, угроза пользователям интернета со стороны сетевых червей, проникающих на компьютеры через уязвимости в операционной системе Windows, сейчас является более серьезной. Таким образом, на первый план выходит задача проверки антивирусами всего сетевого трафика, а не только почтового.
Вероятнее всего, в обозримом будущем нас также не ждут значительные эпидемии почтовых червей, рассылаемых в виде вложений к письмам. Во-первых, все критические уязвимости в популярных почтовых клиентах Outlook и Outlook Express давно закрыты патчами. Во-вторых, просветительская работа, проводимая в последние годы антивирусными компаниями и средствами массовой информации, дала свои результаты, и пользователи более осмысленно подходят к запуску приложенных к письмам файлов — особенно, когда письмо приходит от неизвестных отправителей. Для вирусописателей на первый план выходит проблема составления текста письма таким образом, чтобы заставить пользователя открыть приложенный файл.
Социальная инженерия
Методика введения пользователя в заблуждение путем сообщения ему важных для него данных, оказывающихся на самом деле ложными, в настоящее время испытывает очередной виток своего развития. Новых приемов пока не открыто, зато старые и давно испытанные используются в ужасающих масштабах. Одним из наиболее ярких примеров подобной методики являются фишинг-атаки.
Фишинг — вид онлайнового мошенничества, цель которого — получить идентификационные данные пользователей. Организаторы фишинг-атак рассылают электронные письма от имени популярных брендов и вставляют в них ссылки на фальшивые сайты. Оказавшись на таком сайте, пользователь рискует сообщить преступникам ценную информацию, например, номер своей кредитной карты.
Согласно исследованию Антифишинговой рабочей группы (APWG), в январе организаторы фишинг-атак отправили 12845 уникальных писем с призывами посетить 2560 сайтов
Таким образом, активность онлайн-мошенников возросла на 47% по сравнению с декабрем 2004 года (обнаружено 1740 фальшивых сайтов) и почти в два раза по сравнению с октябрем 2004 года (обнаружено 1186 фальшивых сайтов). Число писем с призывами посетить фальшивые сайты по сравнению с декабрем 2004 года возросло на 42%.
Наибольшей угрозе подвергаются пользователи самых распространенных банковских и платежных систем — Citibank, Ebay, Paypal, E-Gold, US Bank, WAMU и т.д.
Как мы уже отмечали, все подобные атаки производятся при помощи ботнетов, через которые рассылаются данные письма. Кроме того, через них постоянно рассылаются различные троянские программы, предназначенные для кражи банковских реквизитов пользователей. Наибольшую активность в этом проявляют бразильские киберпреступники. Троянские программы, нацеленные на кражу данных пользователей бразильских банков, составляют самую многочисленную группу среди подобных вредоносных программ.
Вниманием к теме Spyware также воспользовался ряд производителей Adware-программ, не говоря уже об откровенных мошенниках. |
Еще одна грань применяемого сегодня вирусописателями социального инжиниринга — повышенное, искусственно раздутое внимание СМИ и IT-индустрии к проблеме Spyware (шпионских программ). С выпуском компанией Microsoft бесплатной утилиты AntiSpyware моментально появилось несколько вредоносных программ, выдающих себя за «новую улучшенную версию» MS AntiSpyware. Вниманием к теме Spyware также воспользовался ряд производителей Adware-программ, не говоря уже об откровенных мошенниках.
«Лабораторией Касперского» отмечен значительный рост спам-рассылок, осуществляемых при помощи системного сервиса Windows «Служба сообщений» (Messenger). Этот вид спама доставляется на компьютер с использованием особенности в работе протокола сервиса Messenger и выглядит, как обычные окна системных сообщений.
В таком сообщении, как правило, утверждается, что на компьютере обнаружено множество различных программ класса Spyware и настоятельно рекомендуется посетить какой-либо сайт и скачать антишпионскую утилиту. На самом деле, загружаемые с подобных сайтов программы либо сами являются троянцами, либо просто имитируют видимость работы, не обнаруживая и не удаляя никакие Adware/Spyware-программы.
Не остаются незамеченными преступниками и происходящие в мире трагедии. Декабрьское цунами в Юго-Восточной Азии, унесшее жизни сотен тысяч людей, в руках вирусописателей стало поводом для внедрения вирусов или кражи информации. Были зафиксированы рассылки троянских программ, выдаваемых за «фотографии цунами» или «секретный отчет о числе жертв».
Отсутствие новых критических уязвимостей в Windows
Относительное спокойствие на вирусном фронте 2005 года в значительной мере можно поставить в заслугу компании Microsoft, в чьих продуктах не было обнаружено ни одной критической уязвимости, сопоставимой по масштабам с уязвимостями в службах RPC DCOM или LSASS. Последней из подобных угроз стала уязвимость в WINS — сервере имен NetBIOS для ОС Windows, обнаруженная 26 ноября прошлого года и оперативно исправленная очередным патчем от Microsoft.
Несмотря на обнаружение в начале 2005 года ряда достаточно опасных уязвимостей в Windows (Vulnerability in Cursor and Icon Format Handling, Windows Kernel Vulnerability, Vulnerability in PNG Processing, Vulnerability in Hyperlink Object Library), в целом можно констатировать, что ни одна из них не привела к глобальной эпидемии. Однако практически все они были отмечены в тех или иных вирусных инцидентах и использовались исключительно для внедрения в атакуемые системы различных программ-шпионов.
Отсутствие новых критических брешей в Windows и постепенный переход на Windows XP Service Pack 2 являются важными факторами сдерживания эпидемий. |
Тем не менее, можно констатировать, что отсутствие новых критических брешей в Windows и постепенный переход все большего числа пользователей Windows XP на Service Pack 2 являются важными факторами сдерживания глобальных эпидемий в первые месяцы текущего года.
Согласно статистическим данным, собранным и проанализированным экспертами «Лаборатории Касперского», наиболее используемой для внедрения вредоносного кода уязвимостью в браузере Internet Explorer в настоящее время является MHTML URL Processing Vulnerability (CAN-2004-0380).
Суть уязвимости заключается в том, что файлы формата CHM (Microsoft Compiled Help), ссылки на которые размещаются в интернете, могут содержать в себе исполняемые файлы, написанные на скрипт-языках VBS и JS. При открытии такого CHM-файла вложенные в него программы будут выполнены на атакуемой системе в Local Internet Zone с правами текущего пользователя. Как правило, данные скрипты относятся к классу троянских программ Trojan-Downloader или Trojan-Dropper. В результате работы такого скрипта в атакуемую систему устанавливается исполняемый файл троянской программы.
Отметим, что эта уязвимость была исправлена Microsoft (MS04-013) 13 апреля 2004 года.
Угрозы пользователям онлайновых игр
Помимо кражи банковских и платежных данных пользователей, вирусописатели не обходят вниманием еще одну черту современного интернета — все возрастающую популярность различных онлайновых игр. Современный рынок онлайновых игр, появившийся с выходом в 1997 году MMORPG Ultima Online, сейчас переживает период своего максимального расцвета и, скорее всего, будет активно развиваться и в будущем. На интернет-аукционах стоимость предметов или игровых персонажей для какой-либо игры может достигать нескольких десятков тысяч долларов. Известен случай, когда «виртуальный остров» в одной из таких игр был продан за 26500 долларов.
Общий оборот денег, так или иначе задействованных в различных «игровых вселенных», уже составляет несколько миллиардов долларов, приближаясь к бюджету небольшого государства.
Разумеется, эти факты не могли не привлечь внимания злоумышленников. Самыми первыми от киберворов пострадали пользователи популярной в Азии игры Legend of Mir (в настоящий момент игра насчитывает более 3 млн подписчиков, в основном, из Южной Кореи). В начале 2003 года появились первые троянские программы, ворующие учетные данные пользовательских эккаунтов к этой игре. В настоящий момент уже известно более 700 различных программ-шпионов, атакующих игроков в Legend of Mir. Анализ показывает, что наибольшая их часть создается в Южной Корее и Китае.
Рост популярности онлайновых игр и объема задействованных в них денег не могли не привлечь внимания злоумышленников. |
Второй часто атакуемой онлайновой игрой является Lineage. Эта игра также имеет корейское происхождение и весьма многочисленную армию поклонников. Первые варианты троянцев для данной игры были обнаружены менее полугода назад (в октябре 2004 года), однако сейчас количество модификаций подобных троянцев превысило сотню.
Из наиболее «свежих» игровых шпионов стоит отметить класс троянских программ, ворующих данные пользователей игры Gamania. Самый первый из них был обнаружен в феврале 2005 года, а новые варианты появляются каждую неделю.
Российские вирусописатели также участвуют в процессе кражи данных пользователей-игроков. В их прицел попала популярная российская игра «Бойцовский клуб», где стоимость некоторых предметов также достигает тысяч долларов. Стоит отметить тот факт, что администрация данного игрового проекта, осознавая всю важность проблемы, предложила «Лаборатории Касперского» сотрудничество в области борьбы с подобными программами. «Лаборатория Касперского» получает информацию от администраторов «Бойцовского клуба» о новых вирусах, троянских программах и вредоносных скриптах, применяемых в отношении игровых порталов, в самые короткие сроки разрабатывает методы защиты и вносит обновления в свои антивирусные базы. Подчеркнем, что подобная практика уникальна для мировой игровой индустрии.
Adware и вирусы — грань стерта?
Adware, наряду со Spyware, — самый модный термин в IT-безопасности в настоящее время. Мы не будем останавливаться на правовых аспектах проблемы, а также углубляться в идеологические споры на эту тему; вместо этого попробуем сконцентрироваться на не требующих доказательств фактах.
Итак, грань между «безобидным» рекламным софтом (Adware) и полноценными вредоносными программами практически стерта. Все больше и больше обнаруживаемых программ этого класса содержат в себе черты троянцев. Это выражается в способе инсталляции в систему (например, при помощи уязвимостей в браузерах) либо в поведении на компьютере пользователя. Эти программы всячески стараются затруднить свое обнаружение и деинсталляцию из системы, они ищут и удаляют программы-конкуренты, сами занимая их место. Они могут содержать модули для сбора и отправки третьим лицам информации о посещаемых сайтах и вводимых владельцем компьютера данных. Все это было зафиксировано нашими экспертами еще в 2004 году.
Грань между «безобидным» рекламным софтом (Adware) и полноценными вредоносными программами практически стерта. |
2005 год открыл нам новый вид подобных программ — вирусы. Классические файловые вирусы, заражающие файлы, эпоха которых, казалось, закончилась в прошлом веке, вернулись под видом рекламных программ.
Вирус Win32.Bube загружается на компьютер при посещении сайтов, содержащих эксплойты уязвимостей в Internet Explorer (MHTML URL Processing Vulnerability) или в Microsoft Virtual Machine (Flaw in Microsoft VM). После проникновения в систему вирус дописывает свое тело к файлу Explorer.exe и затем использует его в качестве Trojan-Downloader для загрузки на компьютер других программ класса Adware. Заражение стандартного Windows Explorer («Проводник») позволяет ему обходить некоторые межсетевые экраны.
Пример показывает, что в настоящее время уже невозможно провести четкую грань между Adware (рекламными программами) и Malware (вредоносными программами), что заставляет скептически относиться к некоторым программным продуктам, предназначенным исключительно для поиска и удаления Adware и не занимающимся борьбой со всем спектром вредоносного программного обеспечения.
Вредоносные программы для мобильных устройств
2004 год открыл новую страницу в истории информационной безопасности. В июне 2004 года был обнаружен первый вредоносный код, поражающий мобильные телефоны, работающие под управлением операционной системы Symbian. За прошедшее время мобильные угрозы претерпели ряд изменений и вышли на новый виток своего развития.
Технология, представленная в черве Cabir и затем опубликованная некоторыми представителями «андерграунда» в формате общего доступа, так и остается на сегодня единственной известной и использованной другими вирусописателями.
Именно на основе исходных кодов Cabir было создано несколько его модификаций, руку к которым приложили бразильские и китайские хакеры. Однако дальше переделки чужого кода дело у них, к счастью, пока не зашло.
Вместо этого вниманию мобильной и антивирусной индустрий было «представлено» несколько новых классов вредоносных программ. Для составления более полной картины мы объединим их в одну таблицу (данные на 26 марта 2005 года).
Название | Тип | Первый вариант* | Количество вариантов* |
Cabir | Bluetooth-Worm | Июнь 2004 | 10 |
Mosquit | Trojan | Август 2004 | 1 |
Skuller | Trojan | Ноябрь 2004 | 6 |
Lasco | Bluetooth-Worm/Virus | Январь 2005 | 1 |
Locknut | Trojan | Февраль 2005 | 2 |
Comwar | MMS-Worm | Март 2005 | 2 |
Dampig | Trojan | Март 2005 | 1 |
Drever | Trojan | Март 2005 | 3 |
* — Количество вариантов и даты обнаружения даны согласно классификации «Лаборатории Касперского» и могут не совпадать с данными других антивирусных компаний. |
Начавшись с Bluetooth-червя Worm.SymbOS.Cabir.a, вредоносные программы для мобильных устройств сегодня представлены сразу тремя классами (Worm, Virus, Trojan), полностью соответствующими существующей структуре компьютерных вредоносных программ. Однако если традиционным вирусам потребовались годы, чтобы прийти к такому количеству поведений, то мобильные вирусы проделали этот путь менее чем за год. И что самое опасное — вплотную подошли к возможности появления «моментального червя», так называемого «Warhol Worm», способного в течение короткого промежутка времени атаковать все системы, которые принципиально могут быть атакованы.
Речь идет об обнаруженном в марте первом образце MMS-червя. К счастью, данный червь (получивший название ComWar) имеет в себе несколько ошибок, а также значительную задержку во времени между отправкой сообщений. Однако, теоретически, подобные черви — использующие для своего размножения MMS-сообщения — способны не только очень быстро передавать свое тело с телефона на телефон, но и значительно увеличивать трафик в мобильных сетях, что может привести к их перегрузке и временному отключению. Именно подобные вирусы могут стать в самое ближайшее будущее основной головной болью специалистов IT-безопасности и провайдеров услуг мобильной связи.
Мобильные вирусы вплотную подошли к возможности появления «моментального червя», так называемого «Warhol Worm». |
Как было сказано выше, новых вариантов Bluetooth-червей в 2005 году обнаружено не было. Однако, несмотря на малый радиус действия технологии Bluetooth и, соответственно, потенциально низкую скорость распространения подобных червей, в настоящий момент червь Cabir.a (и его модификации) уже был обнаружен в 17-и странах мира.
Пять известных в настоящее время семейств троянских программ для мобильных телефонов, по большей части, представляют собой троянцы-бомбы. При установке в телефон они заменяют собой различные системные приложения, выводя, таким образом, телефон из строя. Практически все они содержат в себе тот или иной вариант червя Cabir, пытаясь передавать свое тело вместе с телом червя.
Отдельного упоминания достоин червь Lasco. Он представляет собой гибрид червя и вируса. При запуске он сканирует диск в поисках SIS-архивов и пытается заражать найденные файлы путем внедрения своего кода внутрь архива. Вирус представлен в двух вариантах: приложение для платформы Win32, заражающее найденные SIS-файлы, и приложение для платформы Symbian. Функционал размножения через Bluetooth основан на исходных кодах червя Cabir.
В заключение надо отметить, что «Лаборатория Касперского» провела специальные исследования относительно возможности заражения вирусами работающих под управлением ОС Symbian бортовых компьютеров некоторых моделей автомобилей. Согласно полученным результатам, в настоящее время подобная возможность полностью отсутствует, что, впрочем, не снимает возможности появления подобной проблемы в будущем, с развитием операционных систем не только для персональных компьютеров и мобильных телефонов, но и для других устройств.
Вместо заключения
Итак, события первого квартала 2005 года подтвердили ряд высказанных нами ранее предположений. В частности, стала окончательно очевидной тенденция постепенного отмирания классических почтовых червей. На замену им приходят черви сетевые, а также черви для программ-пейджеров, защищенных гораздо хуже современных почтовых систем.
Однако пока IM-черви делают свои первые шаги, а отсутствие новых значительных уязвимостей в ОС Windows предотвращает появление опасных сетевых червей, на первый план выходят менее важные в прошлом проблемы фишинга, конвергенции вирусов и рекламных программ, борьба с ботнетами и вредоносными программами для мобильных устройств — карманных компьютеров и смартфонов.
В условиях значительного усиления противодействия вирусным атакам и существенного роста пользовательской грамотности в области противостояния интернет-угрозам, вирусописатели и хакеры вынуждены активно развивать методы социального инжиниринга, позволяющие проникнуть даже на самый защищенный пользовательский компьютер.
Наконец, с ростом объемов и качества рынка онлайновых игр появились и первые вредоносные программы, предназначенные для кражи той или иной пользовательской информации: целых эккаунтов или же отдельных, особенно ценных игровых предметов. Учитывая, что рост рынка онлайновых игр в ближайшее время вряд ли замедлится, можно с уверенностью ожидать дальнейшего бурного развития этой категории вредоносных программ.