Вирусописатели приспособились к графику выпуска обновлений Microsoft

“Лаборатория Касперского” опубликовала очередной аналитический отчёт своего вирусного аналитика Александра Гостева. Он содержит обзор информационных угроз, замеченных в III квартале 2006 г. и озаглавлен достаточно претенциозно: “Затишье перед бурей”.

По мнению г-на Гостева, первое полугодие отличалось повышенной сложностью технологических проблем, которые приходилось решать антивирусным компаниям, большим количеством новинок вирусной мысли, а также все возрастающим интересом хакеров к приложениям Microsoft Office. При этом “горячими темами” были проактивность, криптография и руткит-технологии. Но после весеннего всплеска активности наступило время затишья. Оно пришлось на третий квартал, совпавший с периодом летних отпусков и всеобщего снижения деловой активности.

Г-н Гостев отмечает, что в третьем квартале не было ни одной значительной эпидемии, хотя август все ожидали с некоторым волнением, правда, скорее, по традиции: в последние три года в августе всегда случались мощные вирусные эпидемии. В третьем квартале не было зафиксировано и новых концептуальных вирусов, что, видимо, связано с тем, что вирусописателям требовалось время на осознание тех возможностей, которые им в избытке были продемонстрированы новыми PoC-вирусами в первом полугодии.

Уязвимости

Давно уже ушли в прошлое времена, когда вирусы могли существовать и распространяться просто так, по воле их создателей и беспечных пользователей. Годы борьбы между вирусописателями и антивирусными компаниями привели к тому, что в настоящее время практически все вредоносные программы, способные вызвать эпидемии, так или иначе используют различные бреши в программах.

Так, например, сетевые черви, получившие “право на жизнь” из-за уязвимостей в службах Windows — ярчайший пример того, как использование дыр в софте может привести к эпидемиям глобального масштаба. Уязвимости в браузере Internet Explorer стали питательной средой для распространения тысяч троянских программ. Все это заставляет экспертов с тревогой ожидать информации о каждой новой найденной критической уязвимости, особенно если для нее ещё нет соответствующего исправления от производителя.

Уязвимости в Microsoft Office

Начиная с марта, аналитики “Лаборатории Касперского” едва успевали фиксировать появление то одной, то другой уязвимости в различных продуктах, входящих в состав пакета Microsoft Office. Только за три месяца число “дыр” в Word, Excel и Power Point составило почти десяток, и все они становились известными ещё до опубликования патча от Microsoft, закрывающего соответствующую “дыру”.

Более того, вирусописатели приспособились к существующему у Microsoft графику выпуска обновлений (каждый второй вторник месяца) и стали выпускать в свет свои поделки спустя всего несколько дней (не более недели) после очередного “планового” патча. В результате практически целый месяц новая уязвимость могла быть использована хакерами, а пользователи все это время оставались без защиты, предоставленной компанией-производителем данного программного обеспечения.

ЛК и другие антивирусные компании в процессе борьбы с вредоносными программами, использующими уязвимости в Office, проводили собственный анализ “дыр”. Стало очевидно, что в их основе лежит по сути одна и та же проблема формата документов, использующих OLE-технологию. Так как данная проблема не решается выпуском патчей для каждой найденной дыры, то компании Microsoft, по мнению вирусологов, необходимо полностью пересмотреть структуру OLE-объектов. Общее число мест в OLE-объектах, которые потенциально могут быть уязвимы, составляет более ста. Поэтому выходящие раз в месяц патчи напоминают заплатки на рыбацкой сети.

Ничего не изменилось и в третьем квартале. Злоумышленники, среди которых выделялись своей активностью китайские хакеры, продолжали “удивлять” Microsoft все новыми и новыми троянскими программами, а империя Билла Гейтса продолжала придерживаться традиционного графика выпуска обновлений.

Мобильные новости

За отчётный период мобильных вирусов, заслуживающих отдельного внимания и выделяющихся из общей массы примитивных skuller-подобных троянцев, было обнаружено всего три.

По мнению аналитиков ЛК, мир мобильных вирусов, по большому счету, находится сейчас в состоянии застоя. Практически все возможные технологии, виды и классы вредоносных программ для Symbian-смартфонов уже реализованы. От действительно массового распространения подобных вирусов нас спасает пока ещё низкая (по сравнению с компьютерами) распространенность смартфонов и отсутствие явной коммерческой выгоды от заражения телефона. Информация, которую содержит телефон, — не слишком интересный объект для мошенников: адресная книга, список совершенных звонков, тексты и адреса принятых и отправленных SMS.

Вирусы в системах мгновенного обмена сообщениями

В течение последнего года одной из наиболее заметных проблем информационной безопасности стали вредоносные программы, распространяющиеся при помощи IM-клиентов таких служб как ICQ, MSN, AOL. Несмотря на то, что все интернет-пейджеры обладают возможностью передачи файлов, авторы IM-червей игнорируют (или просто не умеют использовать) этот способ проникновения в систему.

По данным ЛК, начало 2005 г. было ознаменовано появлением множества примитивных IM-червей, которые продемонстрировали, что способ рассылки линков на вредоносные программы, размещенные на зараженных сайтах, является почти столь же эффективным, как отправка вирусов по почте. С тех пор и поныне основным видом IM-атаки является отправка ссылки на специально подготовленный веб-сайт, на котором и находится сама вредоносная программа.

Заключение

Г-н Гостев считает, что на протяжении всего 2006 г. наблюдается тренд исчерпания старых идей как защиты, так и нападения. Вирусописатели судорожно мечутся в попытках противостоять современным технологиям защиты и пытаются создавать концептуальные вирусы для новых платформ, закапываются все глубже и глубже в поиск уязвимостей, но все это пока не сказывается на реальной ситуации.

То, что происходит сейчас, — это местами интересно, местами очень технологично и серьезно (например, криптография в вирусах), но в целом угрозы сейчас не столь глобальны и долговременны, как ранее. Можно констатировать весьма значительное снижение уровня противостояния: ничего действительно нового — всё тот же поток одних и тех же троянцев, вирусов, червей, только увеличившийся в несколько раз.

Похоже, вирусописателей устраивает время реакции антивирусных компаний, которое составляет порой считанные часы, а то и минуты, и те результаты, которых злоумышленники успевают достичь за это время. А антивирусные компании не могут работать быстрее, чем сейчас, и достигли в массе своей некого технологического предела в противодействии угрозам.

Но по мнению г-на Гостева, в скором времени всё должно измениться. Либо антивирусные компании перейдут в наступление и “додавят” этот вирусный вал, либо вирусная мысль родит нечто совершенно новое, что задаст новые планки и стандарты антивирусной защиты.

Текст: Владимир Митин
Источник: PC Week