2004

18 января: обнаружен почтовый червь Bagle, положивший начало целому семейству червей с явной криминальной направленностью — он устанавливал троянский прокси-сервер для дальнейшей рассылки спама.

В ночь с 26 на 27 января (по европейскому времени) разразилась эпидемия первой версии почтового червя Mydoom. Эпидемия практически моментально достигла своего пика — очевидно, что изначальное распространение червя велось при помощи спам-технологий посредством массовой рассылки зараженных писем через «зомби-сети». Количество писем было настолько велико, что почтовые сервера многих компаний не выдержали нагрузки и прекратили работу или резко снизили свою производительность. К особенностям этого червя следует отнести то, что он также имел криминальную сущность — так же как и Bagle он устанавливал троянский прокси-сервер для рассылки спама. Плюс к тому на компьютеры устанавливался бэкдор-троянец, позволявший полностью контролировать заражённые машины. И в завершении — начиная с 1-го февраля, червь организовал DDoS-атаку на веб-сайт производителя UNIX-систем SCO (www.sco.com). В результате атаки сайт был «отключён», и компания была вынуждена временно использовать альтернативный сайт (www.thescogroup.com).

9 февраля: эпидемия сетевого червя Doomjuice. Для своего распространения этот червь использовал компьютеры, уже заражённые червём Mydoom. Проникновение в компьютер производилось через сетевой порт, открываемый троянским компонентом Mydoom для приема удаленных команд. Если зараженный компьютер отвечал на запрос червя, то Doomjuice создавал соединение и пересылал свою копию. В свою очередь, установленная Mydoom троянская программа принимала данный файл и запускала его на исполнение. Таким образом, этот червь паразитировал на сети компьютеров, заражённых червём Mydoom.

15 февраля: эпидемия первого червя из серии NetSky. Одной из основных функций этого червя было удаление из системы известных версий червя Mydoom. В последующие варианты NetSky были также добавлены процедуры удаления червя Bagle. В результате в марте 2003 г. в интернете развернулась настоящая война между авторами червей NetSky с одной стороны и Mydoom и Bagle с другой. Всего за 3 часа 3 марта 2004 г. было зафиксировано сразу 5 новых модификаций этих червей. В марте и апреле 2004 г. наиболее «популярные» представители этих семейств составляли 80-90% всего вредоносного трафика в сети. Они удаляли из системы «противника», а в коде червя можно было обнаружить «послания» к противостоящей группировке:

NetSky.c:

we are the skynet — you can’t hide yourself! — we kill malware writers (they have no chance!) — [LaMeRz->]MyDoom.F is a thief of our idea! — -< SkyNet AV vs. Malware >- ->->

NetSky.f:

Skynet AntiVirus — Bagle — you are a looser!!!!

С другой линии фронта поступают ответные «реверансы»:

Mydoom.f:

to netsky’s creator(s): imho, skynet is a decentralized peer-to-peer neural network. we have seen P2P in Slapper in Sinit only. they may be called skynets, but not your shitty app.

Bagle.i

Hey, NetSky, fuck off you bitch, don’t ruine our bussiness, wanna start a war ?

30 апреля 2004 разразилась сильнейшая эпидемия сетевого червя Sasser. Проникновение в систему шло через дыру в службе LSASS Microsoft Windows, при этом в некоторых случаях компьютеры перезагружались. В результате своего распространения Sasser парализовал работу миллионов компьютеров по всему миру, от него пострадали тысячи крупных и мелких компаний, университеты, государственные учреждения. Некоторые авиакомпании отложили или даже отменили рейсы (British Airways, Delta Air Lines), прекратили работу несколько банков (Goldman Sachs и Westpac Bank), а финский банк Samp закрыл все 130 своих отделений в качестве профилактической меры. На Тайване червь парализовал работу технической выставки Computex и трети почтовых отделений, в Гонконге оставил без компьютеров государственные больницы, остановил железную дорогу Австралии.

Компания Microsoft объявила о готовности заплатить по 250 тысяч долларов за информацию, которая поможет привести к поимке авторов червей Mydoom и Sasser. В результате за создание и распространение червей NetSky и Sasser в мае 2004 г. в Германии был арестован 18-летний студент Свен Яшан (Sven Jaschan). Кто стоял за Mydoom — до сих пор неизвестно.

В 2004 г. появляется сразу несколько «концептуальных» вирусов, которые никакой «полезной нагрузки» не несут (авторы таких вирусов не извлекают из них никакой пользы), а только демонстрируют новые методы заражения. Практически все они были написаны членами международной группы вирусописателей 29A и были разосланы непосредственно в антивирусные компании.

27 мая: Rugrat — первый вирус, заражающий исполняемые файлы 64-битной версии операционной системы Windows.

14 июня: Cabir — первый вирус-червь для смартфонов под управлением операционной системы Symbian. Для своего распространения использовал Bluetooth-соединение: сканировал доступные смартфоны и пересылал на них свой код. Через некоторое время сообщения о заражении вирусом стали поступать из разных стран мира. Таким образом, вирусы «переселились» в совершенно новую для себя «зону обитания».

17 июля: Duts — первый компьютерный вирус для Windows Mobile — одной из наиболее популярных платформ среди мобильных устройств (карманных компьютеров, смартфонов).

5 августа: Brador — первый троянец-бэкдор для карманных персональных компьютеров PocketPC на базе Windows CE или более новых версий Windows Mobile. Первый пример вредоносной программы для мобильных устройств, разработанной в злоумышленных целях.

В конце года появляется первая версия троянской программы Gpcode. Троянец шифровал пользовательские данные и требовал выкуп за утилиту расшифровки.

В целом, начиная с 2004 года, в тех же злоумышленных целях создаётся подавляющее количество червей и троянских программ. «Классические вирусы» практически незаметны на фоне постоянно появляющихся новых версий разнообразных криминальных программ, созданных для кражи паролей, доступа к конфиденциальной информации, DDoS-атак и для распространения спама. Особый размах приобретают банковские атаки — троянские программы, ворующие коды доступа к банковским счетам, и фишинг-атаки, преследующие ту же цель — получить доступ к персональным банковским счетам.

Год 2004 также отмечен активизацией полицейских расследований, которые нередко заканчивались арестами. Всего за разнообразные компьютерные преступления, основываясь на информации из открытых источников, в разных странах было арестовано около ста человек.

С точки зрения «эпидемиологической ситуации» год 2004 можно разделить на две половины. Первая половина года характеризуется многочисленными эпидемиями почтовых червей, но, начиная с лета, их количество и размах заметно спадает. Что привело к таким резким изменениям — можно только догадываться. Скорее всего, сказалось сразу несколько факторов:

• антивирусные компании научились оперативно реагировать и выпускать защитные обновления, а интернет-провайдеры — не только устанавливать антивирус в обязательном порядке, но и дополнять антивирусную проверку различными фильтрами, и в результате эпидемии почтовых червей не достигали своего возможного пика;
• многочисленные случаи ареста вирусописателей и объявление денежных премий за поимку наиболее «зарвавшихся» из них были широко освещены прессой — в результате у компьютерного андеграунда заметно уменьшился интерес к «громким делам»;
• низкая эффективность массовых эпидемий с точки зрения интересов компьютерного криминала — постоянное и контролируемое заражение относительно небольшого числа компьютеров (тысячи, десятки тысяч машин) большим числом разных троянских программ эффективнее, чем заражение миллионов компьютеров одной или несколькими программами.

2005

Тенденции второй половины 2004 года сохранились и в последующих 2005 и 2006 годах. «Громких» инцидентов практически не происходит, но зато двукратно растёт число разнообразных троянских программ, которые распространяются самыми разными способами: через интернет-пейджеры, веб-сайты, при помощи сетевых червей или традиционной электронной почты. При этом растёт «популярность» именно сетевых не-почтовых червей, которые проникают на компьютеры, используя различные дыры в программном обеспечении, например, черви Mytob и Zotob (Bozori), авторы которых были арестованы в августе 2005.

С этими червями произошел курьёз. Они проникли в сети и практически парализовали работу нескольких американских СМИ (ABCNews, CNN, New York Times), которые, обнаружив червя в своих собственных сетях, раздули истерию об якобы глобальной эпидемии, по силе сравнимой с эпидемиями сетевых червей 2003-2004 годов. Сказался, видимо, информационный голод на ставшие уже привычными глобальные инциденты прошлых лет, когда главными новостными темами были всплески эпидемий червей Mydoom, Bagle, Sasser и т.д.

Продолжали появляться новые вирусы и троянские программы для мобильных платформ, особенно часто — для операционной системы Symbian. Помимо ставшего уже обычным метода заражения через Bluetooth-соединения, они использовали и принципиально новые методы. 10 января: Lasco — первый пример вируса, не только рассылавшего себя на другие телефоны, но и заражавшего исполняемые файлы Symbian. 4 марта: Comwar — рассылает себя в MMS-сообщениях по контактам из адресной книги (аналогично первым компьютерным почтовым червям). 13 сентября: Cardtrap — троянская программа, пытавшаяся установить другие вредоносные файлы для Windows, т.е. попытка использовать кросс-платформенное заражение.

Октябрь-ноябрь: скандал c троянскими руткит-технологиями, обнаруженными на компакт-дисках от Sony BMG. Руткит-технологии использовались в защите от копирования дисков и скрывали её компоненты. Однако эти же технологии вполне могли быть использованы в злонамеренных целях, что и произошло практически сразу — 10 ноября был обнаружен первый троянец-бэкдор, пользовавшийся для маскировки в системе руткитом от Sony.

Происходят изменения и в антивирусной индустрии. Корпорация Microsoft активно готовится к выходу на антивирусный рынок и покупает сразу две антивирусные компании. 8 февраля 2005 объявляется о покупке компании Sybari, специализирующейся на технологиях для защиты электронной почты для Microsoft Exchange, а 20 июля объявлено о покупке FrontBridge Technologies, разрабатывавшей технологии фильтрации сетевого трафика, — в дополнение к антивирусу RAV, приобретённому в 2003, и Anti-Spyware компании GIANT — о покупке этой компании было объявлено 16 декабря 2004.

5 июля 2005 объявлено о слиянии Symantec и производителя систем резервного копирования Veritas. Рынок и индустрия расценивают данный шаг как превентивные защитные меры Symantec перед появлением на рынке решений от Microsoft.

Также в 2005 разворачивается скандал с очередной уязвимостью в приложениях Windows. На этот раз «дыра» была обнаружена в обработчике графического формата Windows Meta Files (WMF). Ситуация осложнилась тем, что информация о данной уязвимости была опубликована до выхода соответствующего обновления Windows — пользователи оказались беззащитными перед сотнями троянских программ, которые тут же начали использовать эту «дыру» для проникновения в компьютеры. Кроме того, про дыру стало известно 26 декабря — в начале рождественских каникул, и быстрая реакция от Microsoft была маловероятна. Так и произошло: после несколько дней молчания, 3 января 2006 г., Microsoft сообщает о том, что обновление Windows выйдет согласно «утверждённому графику», а именно 10 января. Мир IT-безопасности буквально взорвался огромным количеством критических, гневных, а порой и оскорбительных статей в адрес Microsoft. В конце концов, под валом критики, Microsoft не выдержала и 6 января 2006 года выпустила обновление MS06-001, исправляющее уязвимость в обработке WMF-файлов.

2006

Криминальный бизнес в сети можно считать сформировавшимся. Практически полностью отсутствуют глобальные инциденты — многие виновники эпидемий прошлых лет обнаружены и изолированы от общества, новые не стремятся составить им компанию. При этом безопаснее интернет не становится — непрерывно растёт количество и качество троянских программ и червей, созданных с откровенно преступными намерениями.

Продолжается формирование криминальных программ для мобильных телефонов. 27 февраля обнаружен RedBrowser — первая вредоносная программы для мобильных телефонов, способных исполнять Java-приложения (J2ME). Потенциально этот троянец представляет опасность не только для смартфонов, но и для всех мобильных телефонов, поддерживающих платформу Java. Осуществляемые троянцем вредоносные действия — рассылка SMS-сообщений на платные мобильные сервисы.

Также появляются «концептуальные» вирусы в пока еще не криминализированных зонах. 13 февраля: Leap — первый червь для MacOS X. Червь рассылает себя по пейджинговым интернет-сетям и заражает файлы операционной системы MacOS X.

2006 год также войдёт в историю как год выхода корпорации Microsoft на антивирусный рынок. В конце мая начались продажи интегрированного решения Windows Live OneCare — в единый пакет объединены антивирус, межсетевой экран, система резервного копирования (back-up) и утилиты тонкой настройки Windows. А в июле начались продажи продуктов линейки Antigen (на базе приобретённых ранее технологий Sybari) — пакет для Microsoft Exchange и SMTP Gateways, предназначенный для защиты электронной почты от вредоносных программ и спама.

http://www.securelist.com/ru/threats/detect?chapter=139