Черви в сети начали вымирать
7 марта 2005, 02:06
Общество
"Лаборатория Касперского" сообщает об обнаружении ряда модификаций известного сетевого червя "Email-Worm.Win32.Bagle".Все новые варианты червя представляют собой различные варианты паковки одной и той же вредоносной программы, отличительной особенностью которой является отсутствие функции размножения. Данное исполнение червя, относящее программу к классу так называемых "intended" червей, исключает самостоятельное распространение зловредного кода с пораженного компьютера.
Вместе с тем, многочисленные случаи обнаружения в почтовом трафике новых модификаций Bagle подтверждают информацию о том, что данная эпидемия вызвана цепью спам-рассылок зараженных червем писем. Новые варианты Bagle были разосланы через электронную почту в виде вложений в электронные письма. Червь представляет собой исполняемый в среде Windows файл, приложенный к письму с произвольными либо отсутствующими заголовком и текстом. Название, равно как формат и размер приложенного файла, также произвольно. Это не позволяет выявить зараженное письмо по его формальным признакам, тем самым конечного пользователя к максимальной осторожности. Активизация червя производится по инициативе пользователя, открывшего приложение к письму и тем самым запустившего зараженный файл. После запуска червь копирует себя в системный каталог Windows и регистрирует себя в ключе автозапуска системного реестра. При этом вредоносная программа прерывает процессы, осуществляющие персональную защиту компьютера и локальных подсетей, оставляя атакованный компьютер незащищенным. В настоящее время антивирусными аналитиками "Лаборатории Касперского" обнаружены 9 различных новых вариантов "Email-Worm.Win32.Bagle". То, что различие между ними незначительно и состоит в используемой для упаковки зараженного файла утилите, позволило использовать единую процедуру выявления и нейтрализации всех новых модификаций червя. Из также сообщают, что итоги мониторинга вирусной активности в феврале подтверждают прогноз о начале медленного вымирания современных почтовых червей, в котором они уступят пальму первенства разнообразным сетевым червям с троянским функционалом. Этот процесс может свидетельствовать о значительных успехах антивирусных компаний в борьбе с эпидемиями email-червей. За последний год антивирусная индустрия представила несколько революционных технологий в области перехвата вирусных писем и остановки эпидемий на самых ранних стадиях (детектирование червей в защищенных паролями архивах, различные способы предварительного анализа писем с исполняемыми вложенными файлами и т.д.). С другой стороны, на сегодняшний день более опасной угрозой для пользователей интернет является проникновение сетевых червей, использующих уязвимости в операционной системе Windows. Это значит, что при антивирусном сканировании на первый план выходит проверка всего сетевого трафика, а не только почтового. В списке наиболее активных вредоносных программ в феврале лидировали черви Zafi-Email-Worm.Win32.Zafi.b (21.71%), за ним следует Email-Worm.Win32.NetSky.q (18.30%), Email-Worm.Win32.Zafi.d (13.31%), Email-Worm.Win32.Bagle.ay (7.03%) и Email-Worm.Win32.NetSky.b (6.94%), передает агентство "МК-Новости".