Даже создатели вирусов следуют определенной моде. С того момента, как в середине 80-х появился первый «паразит», представляемая им угроза постоянно росла, и, скорее всего, она будет пугать нас и дальше. Какими же мотивами станут руководствоваться вирусописатели в дальнейшем, какие способы заражения применять?
Современным компьютерным вирусам хватит нескольких часов, чтобы вызвать масштабную эпидемию: антивирусные разработчики даже охнуть не успеют. «Червь» Моррисона, в свое время не на шутку напугавший всю компьютерную общественность, по сравнению с нынешним поколением вредоносных программ — грудной ребенок. Сейчас уже, наверное, не найти ни одной платформы, где бы не обосновался какой-либо вирус. Когда-то пиринговые сети были не только популярны, но и безопасны, а теперь в них можно заниматься «вирусным рыболовством» — без улова точно никто не останется. Виртуальное общение также не обходится без непрошеных гостей: вирусы для ICQ способны распространяться с огромной скоростью, что приводит к заражению миллионов компьютеров. Не успела появиться 64-битовая версия операционной системы Windows, как и там нашлись вредоносные программы. И похоже, что все это только разминка. Учитывая то, насколько плотно вошли в нашу жизнь беспроводные технологии, вирусная эпидемия, затрагивающая мобильную телефонную связь, может стать настоящей катастрофой.
Каждую неделю антивирусные эксперты находят во Всемирной паутине что-нибудь новенькое. Но действительно серьезная вредоносная программа встречается одна из сотни, если не из тысячи. Так что волноваться при каждом новом сообщении о вирусе теперь не принято. Однако когда речь касается вредоносной программы, поражающей мобильные устройства, то здесь все иначе. Из любого такого вируса средства массовой информации делают монстра беспроводных технологий. И даже не важно, способен ли он инфицировать хоть сколько-нибудь значительное количество устройств. Главное, что этот злодей посягнул на святая святых современного человека — мобильный телефон, где пока и антивирусы не установлены, и брандмауэры не действуют, да и вообще, если что случится, то неизвестно, как поступить и к кому обращаться. Интересно, что с какой быстротой общественность пугает себя подобным вирусом, с такой же потом о нем забывает, живя себе спокойно до нового сообщения о мобильном монстре.
Первые телефонные паразиты
История телефонных вирусов берет начало в июне 2000 г. Нежданно-негаданно объявился вирус с необычным именем Timofonica, созвучным названию компании Telefonica, крупнейшего испанского телекоммуникационного гиганта. Видимо, автору вируса чем-то насолили в компании, вот он и решил заняться «черным пиаром»: «timo» в переводе с испанского означает «надувательство». Timofonica использовал весьма оригинальный способ подпортить жизнь владельцам мобильных телефонов: незаметно для пользователей зараженных компьютеров он посылал SMS-сообщения на телефоны стандарта GSM через SMS-шлюз. Эти сообщения содержали всего одну строку на испанском языке: «Информация для вас: Telefonica вас надувает!» Первым, как мы понимаем, «повезло» испанцам. Весть об этом мгновенно облетела весь мир, и началось массовое беспокойство. Руководитель исследований антивирусной компании Symantec тогда сказал: «Пора браться за вирусную безопасность сотовых телефонов. Если трубки подключены к Интернету, то они подвержены неменьшей угрозе, чем обычные компьютеры в сети».
Теперь можно с уверенностью сказать, что Timofonica был первым компьютерным вирусом, определенным образом затрагивающим мобильные устройства. Но назвать его первым вирусом для мобильных телефонов язык как-то не поворачивается. Он распространялся по электронной почте, благодаря которой и посылал SMS-сообщения, и больше никоим образом на мобильные телефоны не влиял. Для вируса третьего тысячелетия это, мягко говоря, слабовато. Но у страха глаза велики, и многие СМИ окрестили Timofonica первым «сотовым» вирусом. Так началась эра «страшилок» для владельцев мобильных устройств.
Вслед за Пиренейским полуостровом встрепенулась и Страна восходящего солнца. Нападение на мобильники начало медленно, но упрямо набирать обороты. В Японии доступ во Всемирную паутину с мобильных устройств по технологии I-mode имеет бешеную популярность. Оператор крупнейшей службы такого доступа — компания NTT DoCoMo насчитывает около 25 млн. абонентов. В июне 2000 г. на телефоны некоторым из них посыпались сообщения с просьбой зайти на некий сайт, что, конечно же, заинтересовало любопытных и доверчивых японцев. Однако после «клика» телефон набирал номер скорой помощи, что перегружало сеть. Сделав вызов полиции, скорой помощи и аварийной службы или набрав иной номер, вирус даже мог вывести телефон из строя. Хотя и тогда никакой эпидемии не произошло, все это было больше похоже на показательные выступления — посмотрите, мол, что вас ожидает через несколько лет.
«Мобильный» антивирус
Не теряя времени даром, антивирусные разработчики сразу же объявили о выпуске защитных программ для мобильных устройств. С точки зрения материальной выгоды — это миллионы, если не миллиарды долларов, и многие поспешили занять эту нишу. Например, финская компания F-Secure уже в сентябре 2000 г. выпустила антивирусное ПО для операционной системы Symbian, установленной на ряде сотовых устройств компаний Ericsson, Nokia, Motorola, Panasonic и Sony, а также в карманных компьютерах Psion. «Сотовые телефоны также уязвимы для воздействия компьютерных вирусов. Достаточно вспомнить недавнее нашествие «червя» по имени Timofonica», — пытались оправдаться в компании. И хотя в то время ни одной серьезной вредоносной программы, действующей в этой ОС, обнаружено не было, разработчики утверждали, что с появлением мобильных телефонов третьего поколения риск заражения подобными вирусами будет огромным.
Как показало время, финский антивирус опередил события как минимум на четыре года. Следует признать, что основной причиной угрозы эпидемии телефонных вирусов стало постоянное совершенствование мобильных устройств. Возможность загружать на телефоны «левые» программы, создавать их самостоятельно и затем обмениваться ими по сети грозит миру появлением вирусов, не просто посылающих SMS-сообщения или дозванивающихся в аварийные службы, а живущих и процветающих непосредственно на самих смартфонах.
Кажется, что технология Java на деле доказала свою надежность. За годы ее существования на ПК были обнаружены всего лишь несколько Java-вирусов. Их нельзя назвать опасными, скорее, это была просто проверка платформы на прочность. Принцип работы Java-программ, основанный на выделении виртуального защищенного пространства, практически полностью исключает возможность появления вирусов. Но все до поры до времени. Уже сейчас при использовании специального приложения API Java вирус может получить доступ к функциям телефона и, например, стереть записную книжку или сделать международный звонок. Следует отметить, что при обнаружении таких действий надо просто удалить это Java-приложение. Потому что, к счастью для владельцев телефонов с поддержкой Java, подобные вирусы пока что относительно примитивны.
Палкой о двух концах для пользователей могут стать исследования компании Nokia в области применения технологии peer-to-peer для сотовых телефонов, позволяющей обмениваться любыми файлами всем пользователям сети. В настоящее время эта система разрешает передавать только текстовые сообщения и картинки. Следует ожидать, что вскоре ассортимент расширится, так что при несомненном плюсе такая идея открывает прямой путь вирусам. С появлением подобной услуги число мобильных вирусов может не просто удвоиться или утроиться, а взлететь до невиданной высоты.
Вирусное нашествие—2004
С момента появления вредоносной программы Timofonica информация о каких-либо концептуальных вирусах, поражающих мобильные устройства, не поступала вплоть до лета 2004 г.
Финские ребята из F-Secure как в воду смотрели: в Symbian с безопасностью не все в порядке. Это подтвердил еще один вирус. Как и в первом случае, его действие основывалось на симбиозе мобильных и интернет-технологий: услуги пиринговых сетей плюс возможность устанавливать программы «третьих» компаний. После загрузки из P2P-сети пиратской копии игры «Mosquitos 2.0» и запуска ее на телефоне скрытый в ней «троянец» начинал рассылать SMS-сообщения. Кроме такой «безобидной» рассылки, иного вреда вирус не способен был причинить. О его присутствии можно было узнать, взглянув на список отосланных сообщений или изучив счет за услуги мобильной связи. Избавиться от вируса проще простого — достаточно удалить игру.
Следующей «звездой» стал Cabir, первый «червь» для сотовых телефонов, использующий для размножения протокол Bluetooth и заражающий мобильные телефоны, работающие под управлением OС Symbian (подробнее см. «Мир ПК», № 4/05, с. 86). При каждом включении зараженного телефона «червь» сканировал список активных Bluetooth-соединений, чтобы по открытым перебраться в другой телефон. Что интересно, «червь» только тем и занимался, что саморазмножался — этакий мобильный киберкролик.
Опробовав платформу Symbian, хакеры тут же переключились на любимую всеми Windows. Вирус под названием Duts, демонстрирующий, как нужно заражать устройства с установленной на них OC Windows Mobile (ранее известной как PocketPC), — типичный прототип заразы нового поколения. И это неважно, что реальной угрозы он не представляет (подобное просто не входило в цели его создателей). Duts может быть доставлен на мобильное устройство по электронной почте, Интернету, сменным картам памяти, при синхронизации с ПК или по технологии Bluetooth. После запуска зараженного файла на экран выводится диалоговое окно с вопросом. В случае положительного ответа Duts внедряется в подходящие по формату и размеру исполняемые файлы в корневой директории устройства. Правда, получается это у него далеко не всегда: вирус плохо распространяется, заражает ограниченное количество файлов и его легко обнаружить при попытке размножения.
Не заставила себя ждать и первая программа-лазутчик для карманных компьютеров PocketPC — Backdoor Brador.a. По данным аналитиков Лаборатории Касперского, ее автором предположительно может являться российский вирусописатель. Такой вывод сделан в связи с тем, что информация о появлении вредителя поступила с российского адреса электронной почты, текст сообщения был составлен на русском языке. Эта утилита удаленного администрирования поражает КПК на базе Windows CE или более новых версий Windows Mobile. После запуска она создает файл с именем svchost.exe в папке автозапуска Windows, получая таким образом управление системой при каждом включении машины. Основная цель Brador.a — открытие портов на зараженных машинах для получения злоумышленниками доступа к КПК и полного контроля над мобильным устройством. Программа обладает функцией автозагрузки и удаленного управления. Кроме того, она способна добавлять или удалять файлы в памяти устройства, а также пересылать их злоумышленнику.
Интересно, что Brador.a не имеет функции самораспространения и может попасть на КПК пользователя по классической для «троянцев» схеме: через вложения в электронных письмах, при прямой загрузке из Интернета и при передаче данных с настольного компьютера. В отличие от описанных выше вирусов, Brador.a заслуживает звания вредоносной программы. Если раньше появлялись вирусы «демонстрационные», то нынче мы имеем коммерческий продукт хакеров, направленный на получение контроля над КПК и, как результат, информации потенциальной жертвы. Так что владельцам КПК также грозит немалая опасность. Не приходится сомневаться в том, что уже сегодня мобильные устройства содержат множество конфиденциальных данных.
Имеется тенденция к тому, что сотовый телефон становится не только средством связи, но и кредиткой, записной книжкой, фотоаппаратом, видеокамерой и т.п. Скоро, видимо, он превратится в универсальный мини-компьютер, без которого современному человеку не обойтись. Но, к сожалению, подобная универсальность будет стоить многих часов спокойного сна счастливым (или несчастливым?) владельцам различных устройств. Наверное, уже сейчас появились подобные модели. Создание вирусов для таких трубок — лишь вопрос времени. Тем не менее не стоит впадать в панику. Мобильные вирусы — это дань времени, с ними нужно просто смириться, как когда-то смирились с вирусами пользователи компьютеров. Тем более что антивирусные разработчики также не дремлют. Уже создано несколько мобильных антивирусных программ. Будут ли они распространяться массово, как уведомление о недостаче средств на счету, или владельцу трубки придется самому загружать программы, а затем и обновления, пока не ясно. Вирусы для мобильных телефонов — лишь свидетельство развития прогрессивных технологий, может быть, и не самое приятное, но все же далеко не самое опасное.
Знакомьтесь — Fontal
«Компания F-Secure сообщает, что новый «червь» для мобильных устройств под управлением ОС Symbian, получивший название Fontal, превзошел своих собратьев по вредоносности. После запуска файла Kill Saddam By OID500.sis вирус, маскирующийся под очередную компьютерную игру, отключает работу диспетчера программ и не дает возможности удалить его или запустить программное обеспечение. Также он устанавливает в систему поврежденный файл шрифта, и после перезагрузки устройство приходит в абсолютно нерабочее состояние. Есть только один способ борьбы с Fontal — жесткая перезагрузка системы с утерей всех данных». Такую информацию недавно опубликовали многие новостные ленты. Я обратилась в «Лабораторию Касперского» с просьбой прокомментировать очередную «угрозу».
«Нет никакого мобильного «червя»! Fontal — очередной «троянец» для смартфонов. Обнаружили его опять финны — черт его знает, где они такую дрянь находят! Сообщений от пользователей пока нет, сам «троянец» нами детектируется как Trojan.SymbOS.Fontal.a. Так как данный «зверь» «в природе» не встречается и самостоятельно не размножается, ожидать даже самой незначительной эпидемии не приходится. Алгоритмы обнаружения и удаления вредоносного кода уже добавлены в наши антивирусные базы», — успокаивают специалисты.
Будьте бдительны: не принимайте на ваш смартфон файлы неизвестного происхождения, воздержитесь от запуска подозрительных программ и обновите антивирусные базы.
Е. Т.
Вирусы будущего
!Они будут автоматически обновляться
Вероятнее всего, вирусы будут иметь модульную структуру. Выполняя несколько основных функций, необходимых для самокопирования, остальная часть кода будет загружаться по запросу для лучшей адаптации к зараженной системе или для изменения своих характеристик в ответ на обновление «противника», т.е. антивирусной программы. Это приведет к тому, что антивирусные программы придется обновлять гораздо чаще.
!Они станут служить целям организованной преступности
Времена, когда вирусы создавались просто для развлечения, ушли в прошлое. Учитывая нынешнюю тенденцию, можно сказать, что вирусы станут применяться для следующих целей: с их помощью будут создаваться «бот-неты», т.е. управляемые хакерами атакующие сети, которые будут арендоваться для рассылки спама или вымогательства денег за прекращение атаки на веб-сервер. Кроме того, они будут использоваться для получения конфиденциальной информации, характер которой зависит от типа зараженной системы. Например, уже обнаружен вирус, способный определять, находится ли он во внутренней сети крупного банка (ему было известно несколько сотен таких сетей), а затем собирать конфиденциальную информацию нужного типа. Связь между создателями вирусов, людьми, занимающимися рассылкой спама, и организованной преступностью стала прослеживаться в последние год-два, и ожидается, что в дальнейшем она будет укрепляться.
!Они будут многолики
Мы привыкли говорить о «троянских конях», вирусах и «червях». Эти типы угроз используют различные алгоритмы работы и имеют разные цели, однако сейчас можно утверждать, что различия между этими угрозами стираются. Создатели антивирусных программ используют термин «комбинированная угроза», но в будущем необходимость в нем отпадет и мы станем говорить просто о «паразитах». Это связано с тем, что создатели вредоносного кода явно не хотят самовыражаться в пределах одного жанра; они стремятся применять любые способы и приемы, гарантирующие успех их творениям. Последние смогут распространяться, как «черви», напрямую попадая в систему через сеть, заражать систему, как вирусы, собирать конфиденциальную информацию, как «троянские кони», и делать из персонального компьютера зомби, как «боты».
!Они станут более изощренными
Наблюдаемые вирусы сделали шаг назад с точки зрения технической сложности: они зачастую гораздо проще, чем те вирусы, что создавались в середине 90-х. Кстати, создатели вредоносного кода потратили несколько лет на совершенствование пакетов программ rootkit, встраиваемых в ядро Windows, и уже достигли больших успехов. Rootkit позволяют полностью захватить управление компьютером, действуя практически незаметно. Можно с уверенностью говорить о том, что вскоре вирусы будут устанавливать эти пакеты при каждом заражении компьютера.
Словарь
Вирус — вредоносный код, воспроизводящий себя, заражающий различные компоненты системы (файлы, секторы жесткого диска и т.д.) и делающий их, в свою очередь, заразными.
«Червь» — передается по сети Интернет и заражает систему, используя слабые места в ее защите.
«Троянский конь» — вредоносный код, который не воспроизводит себя; его целью является создание «засады» для уничтожения системы или незаметного копирования конфиденциальной информации. «Троянец» должен быть специально установлен на компьютере, так как не может попасть в систему самостоятельно.
«Бот» — программа-клиент, делающая из ПК «терминал», управляемый разработчиком «бота». Контролируя все имеющиеся в его распоряжении «боты», их создатель может либо использовать суммарную пропускную способность для атаки веб-узла с целью прекращения его работы на произвольный период времени, либо анонимно рассылать спам через созданную сеть.
Серж Йованович,
компания Symantec
Symbian — мишень для вирусописателей
Компания SimWorks (www.simworks.com), разработчик бизнес-решений на базе технологий мобильной связи, недавно сообщила о появлении очередного вируса для мобильной платформы Symbian. Новый «троянец» примечателен тем, что способен наносить заметный ущерб зараженному телефону — он блокирует все функции голосовой связи.
Ситуация на мобильном фронте усложнилась. Раньше вирусописатели лишь незначительно изменяли вредоносный код и давали творению новое название. Это позволяло эффективно бороться с разными вирусами одним средством. Теперь же, по словам Аарона Дэвидсона, главы SimWorks, «работать с различными вирусными платформами и языками становится труднее, ведь для этого нужно привлекать специалистов разного профиля». В SimWorks провели исследование, в результате которого были обнаружены 52 новых «троянца» для Symbian, основанные на различных ядрах.
Эти вирусы опасны для 60 моделей телефонов с ОС Symbian версии 6.1 и выше (например, Nokia 3650, 6600 и 6630). Пока что не обнаружено вирусов, поражающих UIQ-версию Symbian, установленную в телефонах Sony Ericsson P900/910 и Motorola A925/1000. В основном вредители «сидят» в популярных приложениях и играх, что способствует их массовому распространению.
Будьте внимательны! Не загружайте с неофициальных интернет-порталов бесплатные игры BitStorm, BugMe!, Cosmic Fighter, 3D Motoracer and SplashID — они чаще всего содержат вирусы Cabir и Locknut.
Е. Т.