Пожалуй, именно так можно сформулировать главную мысль прошедшей конференции: любая
проблема имеет решение, нужно лишь немного подумать - и немного поработать.
Китайские дети и социальные сети
Автор: Александр Бумагин
В феврале "Лаборатория Касперского" подвела итоги прошлого года, рассказав, чем за последние месяцы
"порадовали" антивирусную индустрию спамеры и вирусописатели. Киберпреступники старались изо всех сил и
ожиданий не обманули.

Первым трибуну на специальной конференции,
посвященной компьютерному андеграунду, занял руководитель центра глобальных исследований и анализа угроз Александр
Гостев. В прошлом году, сказал он, сбылось почти все, что пророчили антивирусные компании. Если 2007-й практически
похоронил категорию "некоммерческих" вирусов, которые писались из мести или забавы ради, то в 2008-м, по
мнению Гостева, сошли на нет "эксклюзивные" вредоносные программы, используемые кучкой людей.
Киберпреступность все больше напоминает отлаженную индустрию, где каждому участнику уготована своя роль. Один пишет,
второй обеспечивает распространение, третий собирает и обрабатывает данные с зараженных машин. Большая часть
обнаруженных в прошлом году вирусов была создана с целью продажи, при этом авторы не пренебрегают таким атрибутом
цивилизованного бизнеса, как техподдержка: если антивирусные программы начинают отлавливать "продукт", то
программисты берутся за его доработку.
Эльфийский меч в руках китайца
Докладчик отметил,
что 2008-й вошел в историю как год небывалой активности хакеров, взламывающих сайты. С апреля по октябрь зафиксировано
две волны взломов, невиданных ранее масштабов, получившие общее название "большой китайский хак". Только с
апреля по июнь по всему миру было взломано больше двух миллионов интернет-ресурсов!
Название знаковое,
поскольку армия китайских вирусописателей стала доминирующей силой в мире. Но китайцы не только создают собственные
творения. Они пошли по пути своих земляков, копирующих любые успешные товары. Отныне Поднебесная будет ассоциироваться
не только с поддельными "швейцарскими" часами или "японской" электроникой: местные хакеры начали
адаптировать под свои нужды зарубежные трояны и вирусы. Любопытно, что в качестве эталона у них особенно популярны
произведения российских программистов. Теперь существуют китайские версии таких популярных наборов эксплойтов, как
IcePack и FirePack; китайская разновидность появилась и у троянов Pinch и Zeus. Полный же список подобных переделок
гораздо обширнее. К счастью, китайцы пока берут количеством, а не качеством. Гостев поведал, что уровень местных
специалистов невысок. Однако добавил: "Это только пока".

Значительная часть обнаруженных в прошлом году вирусов была нацелена на любителей всевозможных онлайн-игр. С
лидирующих позиций они вытеснили программы, крадущие данные пользователей различных платежных систем. Онлайн-игры
наиболее популярны в Юго-Восточной Азии, и жители именно этого региона в основном подвергались нападениям
киберпреступников, базирующихся преимущественно в том же Китае. Распространению игровых червей немало способствовал
упомянутый "большой китайский хак". Украденные пароли к игровым аккаунтам позволяют злоумышленникам
шантажировать законных владельцев или торговать "трофейными" игровыми предметами. Особо отметился троян
Magania, который был обнаружен на одном из компьютеров МКС (см. "КТ" #748).
Эти коварные
сети
Не снижающийся интерес пользователей к социальным сетям активно эксплуатировался и киберпреступниками.
Если ранние вирусы были своего рода пробой пера, то теперь многочисленные атаки, в которые вовлечены социальные сети,
наносят прямой ущерб юзерам. Крупнейшей в прошлом году стала эпидемия червя Koobface, который изначально был нацелен на
пользователей Facebook и MySpace, а в поздних модификациях сделал уязвимой и сеть Bebo.
В России отличился
червь Rovud, атаковавший в мае пользователей сети "Вконтакте". Несколько дней спустя атаке подвергся и ресурс
"Одноклассники". На пользователей обрушился шквал предложений голосовать за участниц некоего конкурса. В
награду за помощь юзеры получали трояна на свои компьютеры. К концу 2008 года "Лаборатория" зафиксировала
более 43 тысяч вредоносных файлов, так или иначе связанных с социальными сетями. По мнению специалистов компании,
главная ответственность за безопасность пользователей лежит на владельцах ресурсов. Впрочем, и сами пользователи должны
быть всегда начеку.
Рейтинг самых опасных социальных сетей, по версии "Лаборатории Касперского",
возглавляет сеть "Одноклассники". В прошлом году на ее пользователей было нацелено больше трех тысяч
вредоносных программ, а шанс подцепить заразу составлял примерно 0,015%. Для сравнения, в самой популярной социальной
сети MySpace этот показатель, найденный путем сопоставления числа троянов и вирусов с общим количеством пользователей,
составил 0,003%.
Достижения вирусного цеха
"Одноклассники" - не единственный
российский "триумфатор" прошлого года. Наши соотечественники, несмотря на численное превосходство китайцев,
по-прежнему опережают конкурентов в том, что касается технологий создания вирусов. Так, в течение года активно
развивалась модель Malware 2.0, в основу которой положен принцип разделения модулей вредоносных программ по
функциональности. Одновременно использовались универсальные средства взаимодействия между этими модулями и защищенные
каналы обмена данными с центрами управления ботнетами. В качестве примера Гостев привел руткит Rustock.C и буткит
Sinowal.

Хорошая новость для тех, кто скучает по старым добрым временам и
вирусам, которые переносились на дискетах. Они вернулись в новом качестве. Правда, теперь, когда дисковод отыщется не в
каждом компьютере, вирусы перебрались на другой носитель - флэшки. Явление приобрело повсеместный характер, и те, кто
считает, что вирусная опасность исходит только от Интернета, сильно заблуждаются. Автор этих строк недавно тоже принес
домой вирус, который оказался на флэшке с пресс-релизом, полученной на презентации одной крупной компании.
"Лаборатория" в 2008 году обнаружила около шести тысяч подобных вирусов, "хитом" среди них стал
Sality.aa.
Чаще всего источником компьютерной заразы становились сайты, как специально созданные, так и
взломанные. При этом эксплуатировались уязвимости в браузерах и их плагинах. В прошлом году "Лаборатория"
зарегистрировала более 23 млн. атак на пользователей своих продуктов, причем 80% попыток нападений были с серверов,
расположенных в Китае.
Топ-лист возглавил троян Small.aacq, ответственный за 6,5% всех атак, а вот самой
опасной программой года неожиданно стал Flash Player - его уязвимости использовались вирусописателями чаще всего. Всем
антивирусным компаниям пришлось оперативно внедрять в свои продукты механизм проверки воспроизводимых роликов.
Хотя в двадцатку самых опасных приложений не вошел Acrobat Reader, популярность формата PDF, который многие
продолжают считать безобидным, вероятно, еще даст о себе знать. SWF-трояны, наряду с PDF-эксплойтами, в
"Лаборатории" считают самым неприятным сюрпризом 2008 года - прежде с этими форматами проблем не возникало. А
вот рядовые пользователи вряд ли удивили кого-то из специалистов своей беспечностью. Нежелание следить за обновлениями
установленных программ - скорее правило, нежели исключение.
Специалисты "Лаборатория Касперского" в
течение всего года ежедневно регистрировали в среднем 3400 новых вирусов. А ведь еще несколько лет назад пять сотен в
неделю казались чем-то запредельным. К концу года темп, правда, снизился, что Гостев связал с выходом киберпреступности
на "пик производительности". "Видимо, все, кто мог в Китае писать вирусы, уже этим занимаются", -
констатировал он.