Trend Micro: самый вредоносный код - черви-боты
Дэвид Санчо (David Sancho), главный специалист по антивирусным исследованиям компании Trend Micro, рассказал о своем видении будущего компьютерных
По его мнению, текущая тенденция развития вредоносных программ движется в направлении
Идея модульности этих типов червей была реализована в Worm_rbot.cbq и Worm_zotob двух сетевых червях, которые стали «гвоздем» информационных выпусков на прошлой неделе. Бреши в сетевой системе защиты могут использоваться для проникновения, как только опубликован код, иллюстрирующий это слабое место. Когда написанный сегмент кода, использующий
Таким образом, в ближайшем будущем ожидается сокращение времени распространения сетевых червей. Ниже приведен список, в котором показано время, прошедшее с момента обнаружения бреши в системе защиты до появления червя, использующего эту брешь
- Worm_nimda: 366 дней
- Worm_slammer: 185 дней
- Worm_blaster: 26 дней
- Worm_sasser: 18 дней
- Worm_zotob: 4 дня
В настоящее время скорость создания червей постоянно растет. Поэтому пользователи ПК во всем мире подвергаются все большей опасности. Для того чтобы противостоять угрозе, предлагаются следующие методы:
- устанавливать обновления безопасности на домашних ПК, как только они станут доступны на
корпорации Microsoft. Автоматическое обновление уже стало не дополнительной возможностью, а обязательной функцией. Безопасность домашних систем можно обеспечить, только имея подключение к интернету;веб-сайте - в корпоративных системах используется программное и аппаратное обеспечение, разработанное специально с учетом защиты от таких вторжений. Определение и блокировка сетевых пакетов, которые используют черви для проникновения через слабые места, по существу, лучшая защита от такого типа вредоносного кода. Эти системы включают системы обнаружения сетевых атак, а также специализированное сетевое антивирусное ПО, например, Trend Micro Network VirusWall или Trend Micro Personal Firewall, которое может блокировать прием пакетов, посылаемых вредоносными программами, даже если в основной системе имеется брешь.
Дэвид Санчо предполагает, что в будущем вредоносные программы будут использовать технологии захвата потоков RSS, эта развивающаяся технология является методом автоматического получения обновлений. Содержание
Такой тип атак может иметь два прямых последствия. Измененный агент может служить в качестве «пассивной» точки загрузки, т.к. соединение начинается с разрешенного адреса.
Один из факторов, уменьшающих эту опасность: в настоящее время такие программы загрузки не стандартизованы, поэтому атакам могут подвергаться только определенные программы. Этот тип атак в настоящее время не является очень опасным. Однако ситуация может измениться с выходом окончательной новой версии Internet Explorer 7. Корпорация Microsoft уже объявила, что эта новая версия популярного браузера будет содержать встроенную поддержку загрузки по технологии RSS. Поэтому авторы червей могут получить новые мощные возможности для атак.
Чтобы бороться с такими атаками, компании должны применять методы сканирования трафика HTTP. Судя по всему, это будет один из самых популярных методов борьбы с распространением malware в ближайшем будущем.
Еще одна возможная технология проникновения в полиморфных атаках с использованием изменяемого кода. Некоторые исследователи считают, что авторы подобных
Борясь с такими
Необходимо научиться сначала определять, каким методом сжат файл, а уже потом применять различные шаблоны для поиска червей. Дэвид Санчо ожидает, что в ближайшие месяцы в этом направлении будет достигнут определенный прогресс. Компания Trend Micro уже работает над созданием системы сканирования, которая сможет определять способ сжатия. Выпуск системы сканирования Trend Micro 7.7 планируется на начало будущего года, и благодаря новой технологии обнаружения
По мнению аналитиков Trend Micro,
Авторы вредоносных программ активно используют брешь в системе защиты MS05039. С тех пор как корпорация Microsoft две недели назад объявила о слабом месте в системе защиты, названном
На сегодняшний день специалисты Trend Micro обнаружили уже шесть новых «паразитов» червей, которые имеют возможность размножаться, распространяясь через сеть «зомбированных» компьютеров, зараженных без ведома своих хозяев: Worm_zobot.c, Worm_zobot.d, Worm_rbot.cbq, Worm_rbot.cbr, Worm_sdbot.bzh и Worm_drudgebot.a. По словам Джо Хартмана (Joe Hartmann), директора группы антивирусных исследований Trend Micro, это несколько разных вариантов, написанных разными авторами. «Мы уже обнаружили несколько новых вариантов Zotob, а также других вредоносных программ. Все они используют один и тот же обнародованный код, заявил Хартман. Они используют одну и ту же брешь в системе защиты, но имеют также дополнительные функции, например, возможности массовой почтовой рассылки, которые мы несколько дней назад обнаружили у Zotob.c».