В прятки с мистером Бондом

Андрей Семенюченко

Спецвыпуск: Хакер, номер #070, стр. 070-046-7

[другие новейшие технологии маскировки]

[технологии «0-day»]

Основным критерием удачи сокрытия зловреда и продления его присутствия в системе является использование технологий или уязвимостей, еще неизвестных компьютерному сообществу. Появление «zero-day» технологий представляет наибольшую опасность, поскольку производителю софта приходится тратить время на анализ проблемы и выпуск патча, в то время как в интернете уже активно распространяется вредоносный код. Чаще всего от таких атак страдают серьезные корпорации, атакуемые извне «на заказ», по чьей-либо наводке. Хотя, например, знаменитая fishing-технология, наделавшая столько шума и заставившая попотеть антивирусных разработчиков, до сих пор тревожит покой именно простых пользователей. Вспомним также появившуюся не так давно технологию, скрывающую информацию в стримах ntfs. Напомню, что известный компьютерный вирус "Stream" включал способности по манипулированию дополнительными потоками (ADS) файловой системы NTFS. Опасными также становятся вирусы, работа которых практически не зависит от действий пользователя. Почтовые черви, использующие уязвимость скриптовых движков cross-site scripting различных популярных веб-ресурсов(веб-почта, блоги), могут активизироваться просто при посещении зараженной страницы сайта. Так, жертвами червя Yamanner только в июне 2006 года стали почти 200 миллионов пользователей веб-почты Yahoo!Mail. Для активации червя достаточно было лишь открыть письмо в окне веб-браузера. Причем червю даже не требовалось проникновение на компьютер жертвы. При активации червь рассылал себя по всем контактам атакованного пользователя.

[полиморфные скрипты]

Полиморфные вирусы активно развивались до конца прошлого века. Несмотря на то, что вирусный полиморфизм прошел множество стадий своего развития: от простейшего побайтного xor до уникальных метаморфов, использующих сложнейшие криптографические алгоритмы. В конце концов полиморфики уступили пальму первенства более шустрым и проворным червям и троянцам. Однако неожиданно мы стали очевидцами новой ступени эволюции – создании полиморфных скриптовых червей. Проблема возникла с появлением у веб-мастеров технологии шифрования кода html-страницы и тем самым прячущей ее от сторонних глаз. Некоторые авторы шифраторов страниц сделали код своих программ полностью открытыми, чем способствовали развитию вирусной индустрии в данном направлении. Вскоре появились очень опасные черви — Feebs и Scano, — распространяемые по почте в виде аттача, представляющего собой зашифрованный java-скрипт. Трудность в поимке таких червей антивирусами возникает из-за большого процента ложных срабатываний типа False positive, поскольку имеющиеся эвристические анализаторы могут признать вредоносной программой вполне легальный зашифрованный сайт.