Распространение вредоносных программ при помощи интернет-пейджеров

По собранной в течение года статистике интернет-пейджеры все чаще применяются для внедрения вредоносных программ на компьютеры пользователей. Методика внедрения представляет собой классическую социальную инженерию. С зараженного компьютера от имени ICQ его владельца вредоносная программа рассылает сообщения, призывающие под тем или иным предлогом открыть указанную ссылку. Ссылка ведет на троянскую программу (обычно со смысловым именем типа picture.pif или flash_movie.exe) или на сайт, страницы которого содержат эксплойты. Следует особо отметить тот факт, что распространяются именно ссылки на вредоносные программы, а не их тела.

За прошедший год было зафиксировано несколько эпидемий, основанных на таком принципе. В России пострадавшими в основном были пользователи ICQ, а распространялись таким образом чаще всего программы категории Trojan-PSW — троянские программы, ворующие пароли пользователя. Автор в среднем получает от одного до десяти сообщений в день, причем к концу года наблюдается активизация подобных рассылок.

Защита от вредоносных программ данного типа крайне проста — не следует открывать подобные ссылки. Однако статистика показывает, что любопытство пользователей нередко перевешивает, там более если сообщения приходят от имени хорошо известного им человека. В корпоративной среде эффективной мерой является запрет на применение интернет-пейджеров, поскольку в плане безопасности они являются идеальным каналом утечки информации.

USB flash-носители

Существенное падение цен на flash-носители (а также рост их объема и быстродействия) привело к закономерному эффекту — бурному росту их популярности среди пользователей. Соответственно разработчики вредоносных программ стали создавать программы, заражающие flash-диски. Принцип работы таких программ крайне прост: в корне диска создаются два файла — текстовый файл autorun.inf и копия вредоносной программы. Файл autorun применяется для автозапуска вредоносной программы при подключении диска. Классическим примером такой вредоносной программы является почтовый червь Rays. Важно отметить, что в качестве носителя вируса могут выступать цифровой фотоаппарат, многие сотовые телефоны, MP3-плееры и КПК — они, с точки зрения компьютера (и соответственно червя), неотличимы от flash-диска. При этом наличие вредоносной программы никак не сказывается на работе этих устройств.

Мерой защиты от подобных программ может служить отключение автозапуска, применение антивирусных мониторов для своевременного обнаружения и удаления вируса. Перед угрозой притока вирусов и утечки информации многие компании идут на более жесткие меры — блокируют возможность подключения USB-устройств при помощи специализированного ПО или блокировки USB-драйверов в настройках системы.

Заключение

В данной статье были рассмотрены основные направления развития вредоносных программ. Их анализ позволяет сделать несколько прогнозов:

• можно предположить, что будет активно развиваться направление маскировки от сигнатурных сканеров и защиты от запуска на виртуальных компьютерах и эмуляторах. Следовательно, для борьбы с такими вредоносными программами на первое место выходят различные эвристические анализаторы, брандмауэры и системы проактивной защиты;
• наблюдается явная криминализация отрасли разработки вредоносных программ, растет доля спам-ботов, троянских прокси, троянских программ для воровства паролей и персональных данных пользователей. В отличие от вирусов и червей, подобные программы могут нанести пользователям ощутимый материальный ущерб. Развитие отрасли троянских программ, осуществляющих шифровку данных пользователям, заставляет задуматься о целесообразности периодического резервного копирования, которое сводит фактически к нулю ущерб от подобного трояна;
• анализ случаев заражения компьютеров показывает, что нередко злоумышленники осуществляют взлом web-серверов для размещения на них вредоносных программ. Такой взлом гораздо опаснее так называемого дефейса (подмены стартовой страницы сайта), поскольку компьютеры посетителей сайта могут подвергаться заражению. Можно предположить, что данное направление будет развиваться весьма активно;
• flash-диски, цифровые фотоаппараты, MP3-плееры и КПК становятся все большей угрозой для безопасности, поскольку могут выступать носителями вирусов. Многие пользователи недооценивают опасность, исходящую, скажем, от цифрового фотоаппарата, — однако автору за 2006 год довелось изучить не менее 30 инцидентов, связанных с подобными устройствами;
• анализ устройства и принципов работы вредоносных программ показывает, что защититься от них можно без антивируса — они просто не смогут функционировать в грамотно настроенной системе. Основное правило защиты — это работа пользователя под ограниченной учетной записью, которая, в частности, не имеет привилегий на запись в системные папки, на управление службами и драйверами, а также на модификацию системных ключей реестра.