Противостоять индустрии создания вредоносных программ довольно сложно — требуется разрывать складывающиеся экономические связи. Однако это работа для правоохранительных органов. Корпоративным же пользователям приходится устанавливать все новые и новые версии инструментов защиты информационных систем, причем желательно от нескольких производителейХорошо известно, что производство вредоносных программ стало индустрией. Признаками промышленного подхода является формирование самостоятельного рынка комплектующих, борьба за клиента с неизбежным улучшением качества, постоянное создание новых видов продуктов на базе прежних разработок. В случае производства вредоносных программ все эти признаки налицо. Такой вывод следовал из доклада аналитика «Лаборатории Касперского» Виталия Камлюка на конференции «Информационная безопасность в современных условиях».

Сегодня на этом рынке, по словам Камлюка, можно приобрести не только сам вредоносный код, но и уже готовые зомби-сети, спамоустойчивый хостинг, услуги по перекодированию вредоносных программ и другие полуфабрикаты. А поскольку индустрия эта подпольная и к тому же виртуальная, то появляются различные посредники, которые выступают в качестве своеобразных гарантов для защиты сделок от обмана.

Далее, борьба за клиента стимулирует выработку комплексных, качественных, удобных в эксплуатации, а главное, недорогих решений. Этот признак также присутствует. К примеру, раньше зомби-сети управлялись с помощью технологии IRC, однако сейчас продавцы этой услуги перешли на более удобный Web-интерфейс.

Также Камлюк отмечает, что сейчас вирусописатели практически не разрабатывают новых вредоносных кодов, но стремятся так модифицировать старые, чтобы антивирусы их не выявляли. В частности, для червей Warezov и Zhelatin были разработаны программные «фабрики», способные автоматически генерировать новые коды вирусов, которые уже не распознавались антивирусами с обновленными базами. Кроме того, на рынке появились предложения услуг по шифрованию вредоносных кодов с гарантией нераспознавания антивирусами. Компьютеры, зараженные компонентом зомби-сети, постоянно модифицируют свои вредоносные компоненты, чтобы антивирусы их не могли удалить. Для тех же целей используется метод двойного инфицирования, при котором удаление одного компонента приводит к загрузке новых вредоносных кодов, не определяемых антивирусом.

По словам Камлюка, в настоящее время разрабатываются решения для блокирования эмуляторов, которые используются в шлюзовых антивирусах. Да и в целом вирусная индустрия в значительной мере сконцентрировалась не на разработке новых вредоносных программ, а на совершенствовании методов «защиты» от обнаружения прежде созданных. В частности, для этого часть вредоносного кода помещается вне атакующего модуля; она подгружается уже в ходе атаки. Начинают появляться и троянские программы с серверной частью, у которых также часть кода находится вне системы и не детектируется. Кроме того, в будущем должны появиться «мета-зомби-сети» — инструменты для управления несколькими зомби-сетями. Дело в том, что размеры зомби-сетей намеренно уменьшаются, чтобы затруднить их обнаружение, поэтому для их контроля нужны средства совместного управления несколькими такими сетями. Уже в ближайшем будущем ожидается использование инструментов Web 2.0 для нападения на посетителей сайтов социальных сообществ.

Поделитесь материалом с коллегами и друзьями