Служба новостей IDG, Вашингтон
Представители CA за один июньский день «засекли» восемь вариантов червя Glieder, «поразивших Internet своей скоростью и способностью захватывать максимальное количество жертв»
В начале июня, согласно данным Computer Associates, в Сети была осуществлена атака совершенно нового уровня, во время которой для того, чтобы превратить ПК в зомби, были использованы сразу три компонента вредоносного программного обеспечения.
Разновидность загрузчика червя Bagle, которую в CA называют Glieder, служит в качестве своего рода плацдарма для установки на компьютерах более серьезных вредоносных программ. Демонстрируя новый уровень координации между Glieder и другими атаками, на инфицированных компьютерах могут быть отключены антивирусные средства и сетевые экраны, после чего такие компьютеры могут превратиться в удаленно управляемых зомби, используемых для организации более масштабных кибератак.
«Эти атаки настолько хорошо скоординированы, что их можно назвать атаками совершенно нового уровня», — заметил Роджер Томпсон, директор CA по исследованиям вредоносного программного обеспечения.
Представители CA за один день «засекли» восемь вариантов Glieder, по их словам «поразивших Internet своей скоростью и способностью захватывать максимальное количество жертв».
«Самое поразительное — это их способность поражать максимальное число жертв и максимально быстро, причем «оружием» является очень небольшой фрагмент вредоносного кода», — подчеркивается в заявлении CA.
После своего проникновения на компьютер загрузчик Glieder открывает доступ к Web-сайту для того, чтобы загрузить «троянца» Fantibag Trojan. Этот вирус в свою очередь настраивает сетевые установки пораженных компьютеров таким образом, чтобы их системы не могли связаться с сайтом производителя антивирусного программного обеспечения, чтобы обновить свой инструментарий, а также не могли попасть на Web-сайт Microsoft, откуда можно загрузить соответствующие модернизации. Затем инфицированный компьютер загружает Mitglieder Trojan, который отключает сетевые экраны и антивирусное программное обеспечение и открывает «потайную дверь», через которую хакеры могут удаленно управлять зараженным компьютером.
«Этот вирус превращает компьютеры в зомби, — прокомментировал Томпсон новую атаку. — На самом деле хакеры стремятся создать свою так называемую сеть botnet (?сеть роботов?). По сути, они просто хотят заработать деньги».
До тех пор пока производители антивирусных средств не обновили свои программы, позволяющие выявлять последнюю версию Glieder, хакеры могут модифицировать программу загрузчика, и в результате противостояние превратится в гонку вооружений. Использование трех отдельных фрагментов вредоносных программ для атаки на компьютер свидетельствует о новом уровне координации. Черный рынок зараженных компьютеров становится стимулом для таких видов зомби-атак. Криминальные группировки платят хакерам за «формирование» группы таких «зомби-машин», которые впоследствии служат каналами распространения спама или источниками личной информации, используемой в схемах краж идентификационных данных.
Другие эксперты по защите Internet более сдержанно оценивают атаки Glieder. Как отметил Кен Данхем, директор по вопросам исследования вредоносного кода еще одного производителя систем киберзащиты, компании iDefense, хотя сочетание Glieder и Fantibag можно назвать новинкой, сам Glieder, как и более старые варианты Bagle, предназначен для работы в качестве программ загрузчика, которые могут втайне устанавливать программное обеспечение на зараженных машинах.
CA предупреждает, что новые атаки могут быть организованы криминальными группировками.
«Вполне резонно предположить, что за всеми подобными вещами стоят криминальные организации», — сказал Томпсон.
Как и специалисты CA, Джимми Куо, научный сотрудник группы Anti-Virus Emergency Response Team компании McAfee, считает, что за этим стоит черный рынок зомбированных машин. В McAfee нашли доказательство того, что криминалитет платит хакерам за проведение массированных атак по зомбированию компьютеров.
«Плата колеблется в пределах от нескольких сотен до нескольких тысяч долларов», — сказал Куо.
Однако он не считает, что атака, о которой сообщила CA, относилась к такого рода преступлениям, хотя отметил, что атаки с применением загрузчика становятся все более популярными и практически все они связаны с криминальной деятельностью. В некоторых случаях зомбированные машины используются для атаки на корпоративные сети с помощью массовой отсылки сообщений электронной почты. «Вполне вероятно, что сейчас почти 90% всего вредоносного ПО связано с той или иной схемой получения денег», — сказал он.
Данхем считает, что большинство таких атак инициируют небольшие криминальные группы или слабо организованные команды хакеров, а не криминальные синдикаты.
«Такие атаки более изощренные, но не намного, — заметил Данхем по поводу атак с использованием загрузчика. — Они не произвели на меня сильного впечатления. Я видел в этом году значительно более серьезные атаки с использованием шпионского программного обеспечения, причем более изощренные, чем любая из акций с применением загрузчика».
Томпсон и Данхем советуют компьютерным пользователям не открывать никакие из полученных ими по электронной почте исполняемых файлов. В большинстве случаев правила защиты, установленные в корпоративных сетях, запрещают доставлять сообщения с исполняемыми файлами, но многие ПК подобной защиты не имеют.