«Лаборатория Касперского» провела конференцию «Компьютерный андерграунд 2007-2008: итоги и прогнозы», где ее эксперты проанализировали ситуацию с распространением вредоносных программ, спама и внутренними угрозами. Анализу подверглись в том числе и собственные прошлогодние прогнозы, что позволило оценить, насколько они оказались верными.
Вредоносы
Из прогноза прошлого года не оправдались предсказания развития вредоносных программ для операционных систем Windows Vista и Mac OS, а также для мобильных телефонов. Операционная система Vista не получила должного распространения, однако оказалось, что в ней вполне работают вредоносные программы, написанные для предыдущих версий Windows. Поэтому революционного перехода на новую операционную систему и не будет, но произойдет постепенная адаптация вредоносных кодов к защитным механизмам Vista.
Прогнозы же активного распространения вредоносов для Mac OS и мобильных платформ пролонгированы на 2008 год. Впрочем, в течение 2007 года для этих платформ были написаны все необходимые концептуальные коды как для нападения, так и для защиты. Отсутствие же «боевых» вредоносных программ, скорее всего, связано с рыночной конъюнктурой — сейчас по-прежнему экономически более эффективно атаковать Windows.
Из новых тенденций Александр Гостев, ведущий вирусный аналитик «Лаборатории Касперского», отметил смещение интереса хакеров в сторону сетевых игр и возврат к забытым технологиям. И хотя программы, которые похищают банковскую информацию, продолжают появляться, больший рост отмечается среди троянцев, ориентированных на кражу паролей от сетевых игр.
«Если банки активно противодействуют таким атакам и ищут нарушителей, — заметил Гостев, — то владельцы игровых серверов этим попросту не занимаются».
Кроме того, отмечается появление классических вирусов, которые встраиваются в файлы.
«Засилье червей, которых не нужно ‘лечить’, а достаточно просто удалить, привело к тому, что производители антивирусов забыли, как лечить зараженные файлы. Этим воспользовались авторы вредоносов и опять начали писать вирусы, которые встраиваются в исполнимые файлы», — полагает Гостев. Вирусописатели «вспомнили» и другой метод атаки — заражение компьютеров с помощью мобильных носителей.
Свой прогноз дальнейшего развития вредоносных программ Гостев обозначил термином MalWare 2.0 (напомним, что термином malware принято обозначать вредоносные программы). Речь идет о новом поколении «вредоносов». На практике соответствующий их тип был разработан и успешно использован создателями червей Warezov и Zhelatin. Для MalWare 2.0 характерно отсутствие единого центра управления создаваемой зомби-сетью — используется принцип организации, заложенный в файлообменных сетях, где каждый узел хранит информацию только о нескольких соседних и обменивается с ними командной информацией. Кроме того, заражение компьютера выполняется в несколько этапов. В Warezov был минимальный инфектор, который подгружал остальные модули вредоноса, а в Zhelatin вообще использовалась только ссылка, перейдя по которой пользователь получал весь остальной пакет модулей. Для MalWare 2.0 характерна модульная структура с обновлением модулей. Причем на каждом зараженном компьютере собирается свой набор вредоносных функций, адаптированный к его ресурсам. Кроме того, для нового типа вредоносов характерно использование систем передачи мгновенных сообщений с целью заражения и управления.
Более поздний червь Zhelatin, кроме указанных выше технологий, использовал методику быстрого изменения DNS-записей, при которой доменное имя соответствовало определенному IP-адресу лишь в течение нескольких секунд, а затем переключалось на другой адрес из списка. Вредонос к тому же имел компонент для сокрытия своего присутствия в системе. Но самое неприятное то, что он устраивал активную DDoS-атаку, когда зараженные компьютеры пытались изучать с адресов антивирусных компаний. Список этих адресов червь также переносил с собой.
Впрочем, увеличение количества червей нового типа — не единственная тенденция развития вирусной индустрии в 2008 году. Гостев прогнозирует развитие программ-невидимок, в том числе и тех, которые располагаются в загрузочном секторе жесткого диска. Вирусы продолжат борьбу с антивирусами. Уже сейчас некоторые из них для нахождения и деактивации антивирусных программ пользуются сигнатурными методами нахождения антивирусов. Похоже, в дальнейшем усилится борьба между вирусами и антивирусами, в которой каждая сторона будет использовать методы противника. Ожидается, что в 2008 году продолжится развитие классических файловых вирусов и червей для сменных накопителей. Активно будут использоваться атаки с использованием социальных сетей. Под прицелом вирусописателей останутся и серверы сетевых игр, кража информации для которых будет одной из прибыльных подпольных индустрий.
Спам
Спамеры также активно осваивают новые технологии и используют альтернативные форматы представления спама в виде файлов MP3, PDF, XLS и др. Дарья Гудкова, ведущий спам-аналитик «Лаборатории Касперского», отметила, что все новые технологии вначале обкатывались на биржевом спаме, связанном с махинациями с акциями. Активно развивается спам в картинках с зашумлением, поворотами изображения и разделением на куски. Прогнозируется дальнейшее развитие этого типа спама.
Возможно, уменьшится количество вредоносного спама — авторы червей будут использовать для проникновения на компьютеры пользователей другие протоколы обмена. Гудкова связывает это с эффективной работой шлюзовых почтовых антивирусов. Кроме того, появится спам, который подделывается под сообщения от социальных сетей, уведомления с форумов и другую служебную корреспонденцию. Также увеличится количество фишинговых сообщений, причем атакам подвергнутся не только платежные системы, как это было в 2007 году, но и сами банки и другие кредитные организации.
Утечки
Представители компании InfoWatch основными тенденциями ушедшего года назвали увеличение числа инцидентов, связанных с утечкой конфиденциальной информации, персональных данных, появление стандартов на защиту персональных данных от утечек, снижение эффективности чисто технических средств защиты. В будущем производители антивирусных программ будут встраивать защиту конфиденциальных данных в свой основной продукт, а поисковые системы, возможно, примут меры для блокирования поиска с их помощью конфиденциальной информации.