Михаил Кондрашин: «Эра вирусов-динозавров закончилась, началась эра млекопитающих»В конце года принято подводить итоги, вот и компания Trend Micro отдала дань этой традиции. «Эра больших и страшных вирусов-динозавров закончилась, — так охарактеризовал Михаил Кондрашин, руководитель российского центра компетенции по продуктам Trend Micro, современное состояние дел в антивирусной индустрии. — Им на смену пришли млекопитающие, которые, однако, не менее опасны, поскольку они нападают целой стаей».

Под «млекопитающими» в данном случае подразумеваются Web-атаки, в которых обычно используются несколько компонентов, а сами сценарии атак могут меняться в зависимости от установленного у посетителя программного обеспечения. Причем есть специальные хакерские утилиты, которые позволяют автоматизировать процесс атаки, контролируя инфицирование компьютеров и собирая статистику. При этом инфекторы, используемые для Web-нападения, атакуют даже не сам браузер, а дополнительные модули — Java, Flash, PDF и др. А поскольку такие модули поставляются для всех браузеров, то атака получается «браузеронезависимая».

Web также активно используется для выуживания у доверчивых пользователей конфиденциальной информации — номеров кредитных карт, паролей от ящиков электронной почты, игровых сервисов или других ценных ресурсов. В частности, для подделки под поисковый портал Google используют кнопку поиска «Мне повезет», которая переадресует посетителя на первую ссылку. Мошенники создают сайт, который по определенному запросу оказывается в выдаче Google первым, и в URL указывают этот запрос с нажатой кнопкой «Мне повезет». Посетитель считает, что такая ссылка ведет на сайт Google, однако на самом деле происходит автоматическая переадресация на совершенно посторонний сайт.

Еще одним приемом злоумышленников является использование фиктивных DNS-серверов, ссылкой на которые запускается поставка на компьютеры жертв специального троянца. Атакованные же им компьютеры за преобразованием имени в IP-адрес обращаются в фиктивный сервис DNS, где правильным именам могут соответствовать поддельные сайты. В Internet создана уже целая система таких поддельных DNS-серверов, и сейчас пользователь не всегда может определить, с какой DNS-системой он работает.

Впрочем, Web-технологии используются криминалом не только для атаки, но и для поиска соучастников. В частности, сотрудниками Trend Micro обнаружен сервис для отмывания денег, пользователям которого предлагают переводить деньги на другие счета за проценты от переводимой суммы. Таким образом, с помощью Web любой желающий за не очень большие деньги может стать соучастником преступления — воровства денег с чужих счетов, электронного вымогательства или просто торговли оружием.

По оценкам Trend Micro, количество вирусов, распространяющихся по электронной почте, практически не растет. В то же время количество атак с помощью Web растет очень быстро.

«Электронная почта себя дискредитировала, — отметил Кондрашин. — Было установлено, что на сообщение по электронной почте люди реагируют менее охотно, чем на то же сообщение, но размещенное на Web-сайте».

Тем не менее спамеры продолжают бомбардировать почтовые ящики рекламными сообщениями. Новинкой сезона 2007 года является спам в картинках со слегка наклоненным текстом и зашумленным фоном — таким способом спамеры борются против систем распознавания образов в спам-фильтрах.

Trend Micro выпустила в 2007 году несколько продуктов для защиты от Web-угроз. Одним из ключевых компонентов такой защиты является InterScan Web Security Suite 3.0, предназначенный для контроля Web-трафика и поиска в нем вредоносных программ. Он использует репутационный фильтр, основанный на базе данных Trend Micro, где хранится статистическая информация обо всех доменах. Система позволяет проследить историю домена и определить, насколько ему можно доверять. В частности, под подозрение попадают сайты, которые слишком часто меняют IP-адреса или на которых обнаружены вредоносные коды. Кроме того, в InterScan Web Security Suite реализована технология IntelliTunnel, способная блокировать утилиты передачи мгновенных сообщений, они позволяют передавать данные даже сквозь межсетевые экраны и другую шлюзовую защиту.

Еще одним инструментом для защиты от Web-угроз является PortalProtect 1.7, который позволяет защитить серверы групповой работы, построенные на основе Windows SharePoint Services 3; также он поддерживает Office SharePoint Server 2007. Его задача — не допустить установки на корпоративный сайт ссылки на посторонние сайты с возможным вредоносным содержанием. Это поможет не только сохранить здоровье корпоративным компьютерам, но и защитить репутацию компании от последствий взломов.

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF