Наши сертификаты Наши сертификаты

Партнерская программа Партнерская программа

Юридическим
лицам
Оставить заявку

8 (495) 232-52-16 для Москвы

8 800 200-22-33 для бесплатных звонков из России

? Хотите
скидку?
Получить скидку
Каталог

Главная > Блог > Касперский: Тенденции развития вредоносных программ в сентябре 2004

Касперский: Тенденции развития вредоносных программ в сентябре 2004

04.10.2004 / 09:34 52 0 0 Все новости
Касперский: Тенденции развития вредоносных программ в сентябре 2004

Прошедший месяц ничем особенно серьезным в мире вредоносных компьютерных программ не отметился. Октябрь будет в этом отношении более насыщенным.

Эволюция вредоносных программ в сентябре развивалась по трем стандартным направлениям:

  • появление новых версий почтовых червей из "плодовитых" семейств (в этом месяце таковыми стали Mydoom и Bagle);
  • возникновение вредоносных программ, использующих принципиально новые технологии заражения либо распространения;
  • новые "троянцы", эксплуатирующие недавно найденные уязвимости в широко распространенных программах.

Итак, целый "выводок" новых почтовых червей нашумевшего семейства I-Worm.Mydoom (модификации с R по Y, всего 8 штук) появился преимущественно в первой половине сентября, причем три червя - в один и тот же день. Более-менее существенное отличие от предшественников обнаружилось только у I-Worm.Mydoom.y, умеющего распространяться через ICQ скрытно от пользователя. Кроме того, в последние версии Mydoom добавлена функция загрузки на инфицированный компьютер различных версий троянской программы Backdoor.Win32.Surila.

Второй пункт приведенного списка представлен в этом месяце безобидной программой not-a-virus:Win32.Rucar.a. Все, что делает эта программа-шутка - выводит на экран имена файлов, находящихся на жестком диске. Её примечательность заключается в том, что весь функциональный код спрятан внутри обыкновенной с виду BMP-картинки, в свою очередь спрятанной внутри исполняемого файла-дешифровщика.

Сама по себе эта технология не является новой и представляет собой классический пример стеганографии с использованием BMP-файлов, однако в вирусном контексте она встречается впервые. Функциональный код "размазан" по неиспользуемым битам данных BMP-файла, по отношению к которому исходный исполняемый файл является оболочкой-дешифровщиком.

Наконец, в прошедшем месяце появилось две троянских программы, использующих в своей работе недавно обнаруженные уязвимости в популярных программах. Это, во-первых, новое семейство самостоятельных "троянцев", представляющих собой картинку формата JPEG (детектируются Антивирусом Касперского как Exploit.Win32.MS04-028.gen). Исполнение вредоносного кода происходит на базе эксплойта для уязвимости, найденной 14 сентября в механизме обработки JPEG-картинок большинством актуальных версий ядра Internet Explorer (которое используется, помимо самого IE, в таких программах, как Outlook Express и компонентах Microsoft Office XP). Код "троянца" находится внутри специальным образом сконструированного файла формата JPEG и выполняется непосредственно при его "просмотре" уязвимой программой; ранние версии Exploit.Win32.MS04-028.gen только вызывали аварийное завершение программы-просмотрщика.

Во-вторых, в сентябре была обнаружена первая троянская программа-дроппер, написанная на Java (детектируется Антивирусом Касперского как Trojan.Java.Binny.a). "Троянец" эксплуатирует уязвимость в Sun Java Runtime для запуска любой другой содержащейся в нем программы. Эксплойт срабатывает при просмотре сайта с соответствующим Java-апплетом в браузерах Opera и Mozilla.

Что касается прогнозов на октябрь, то они остаются теми же, что озвучивались месяцем ранее. С практически стопроцентной уверенностью можно говорить о появлении нескольких новых эпидемологически опасных модификаций уже известных интернет-червей. Можно ждать некоторой активизации вирусописателей в связи с приходом холодного времени года. А также - по-прежнему сохранять готовность к пришествию новых вирусов для мобильных устройств, неизбежное появление которых - лишь вопрос времени.

Алиса Шевченко, вирусный аналитик "Лаборатории Касперского"

Источник: "Лаборатория Касперского"

[PIC ID="154"]
0 0
Оставить комментарий
Ваш комментарий отправлен на модерацию и будет опубликован после проверки
К сожалению, добавление комментариев доступно только после авторизации на сайте
Всего 0 комментариев

Широкий ассортимент
Можем поставить любое ПО и оборудование, продающееся в РФ. Заказываем редкие программы, в том числе не представленные на сайте.
Официальные поставщики
Всё ПО и оборудование поставляются через официальных дистрибьюторов. Программы предназначены для активации на территории России.
Скидки постоянным клиентам
Сделав первую покупку, вы автоматически получаете скидку на следующий заказ.
Быстрая доставка
Доставляем ПО на email от 10 минут. Физические товары доставляем с курьером по всей России.
Вы используете устаревшую версию браузера .
Наш сайт построен на передовых и современных технологиях, поэтому при использовании устаревших версий браузера некоторые элементы могут отображаться некорректно.
Мы рекомендуем вам обновить браузер до последней версии.