РЕКЛАМА
ИНФОРМАЦИЯ
ДРУЗЬЯ THG

Exler : авторский проект
iXBT.com : коллеги
BenchmarkHQ
G-Class.ru : Гелики
Avto.ru : автомобили
КомпьютерПресс
Radeon.ru : поддержка
PCNews : новости IT
NV World : Мир nVidia
iPhoneRoot : новости
Kraftway : серверы
SLY : компьютеры

Rambler's Top100 Рейтинг@Mail.ru

НОВОСТИ

RSS

Новости Tom's Hardware от 24 августа, 2005

16:00 [Дмитрий Опалейчук]
Bot-черви: опастность приближается...

    Представляется, что текущая тенденция развития вредоносных программ движется в направлении bot-червей. Bot-программы, работающие как агент пользователя или другой программы, часто называются malware и способны атаковать огромное количество ничего не подозревающих пользователей. Каковы же возможные новые добавления и модификации, которые авторы bot-червей могут включить в свои отвратительные "произведения" уже в ближайшем будущем?

    В настоящее время все bot-черви строятся по модульному принципу. Это значит, что автор программы может выбирать различные методы атаки, включая использование брешей в системах защиты, массовую почтовую рассылку, непосредственное размножение, а также их различные сочетания. Результат - специализированный червь, разработанный специально для выполнения своей задачи: похищения информации и установления контроля за инфицированным ПК.

    Идея модульности этих типов червей была реализована в WORM_RBOT.CBQ и WORM_ZOTOB - двух сетевых червях, которые стали "гвоздем" информационных выпусков на прошлой неделе. Бреши в сетевой системе защиты могут использоваться для проникновения, как только опубликован код, иллюстрирующий это слабое место. Когда написанный сегмент кода, использующий какую-то брешь в защите операционной системы, публикуется в Интернете, "создатели" этих червей сразу могут внедрить его в код уже существующего червя, перекомпилировать, и, пожалуйста - уже готов к распространению новый опасный вид червя.

    Worm

    Таким образом, в ближайшем будущем ожидается сокращение времени распространения сетевых червей. Ниже приведен список, в котором показано время, прошедшее с момента обнаружения бреши в системе защиты до появления червя, использующего эту брешь.
  • WORM_NIMDA: 366 дней
  • WORM_SLAMMER: 185 дней
  • WORM_BLASTER: 26 дней
  • WORM_SASSER: 18 дней
  • WORM_ZOTOB: 4 дня

  • Что из этого следует: в настоящее время скорость создания червей постоянно растет. Поэтому пользователи ПК во всем мире подвергаются все большей опасности. Для того чтобы противостоять угрозе, предлагаются следующие методы:
    1. Устанавливать обновления безопасности на домашних ПК, как только они станут доступны на Web-сайте корпорации Microsoft. Автоматическое обновление уже стало не дополнительной возможностью, а обязательной функцией. Безопасность домашних систем можно обеспечить, только имея подключение к Интернету.

    2. В корпоративных системах используется программное и аппаратное обеспечение, разработанное специально с учетом защиты от таких вторжений. Определение и блокировка сетевых пакетов, которые используют черви для проникновения через слабые места, по существу, лучшая защита от такого типа malware. Эти системы включают системы обнаружения сетевых атак, а также специализированное сетевое антивирусное ПО, так называемые "фаерволлы", которые могут блокировать прием пакетов, посылаемых вредоносными программами, даже если в основной системе имеется брешь.

    Предполагается, что в будущем вредоносные программы будут использовать следующие технологии:

    Захват потоков RSS: как следует из названия, эта развивающаяся технология является методом автоматического получения обновлений, или "Real Simple Syndication". Содержание Web-страниц может обновляться, и их RSS-подписчики могут получать новый контент по мере публикации с помощью клиентов RSS, которые постоянно отслеживают обновления. Самый простой способ использования этой развивающейся технологии - захват уже сконфигурированных клиентов RSS для автоматической загрузки новых копий червей и другого вредоносного ПО на инфицированные ПК. Это достигается путем перенастройки уже сконфигурированного клиента на другой, вредоносный Web-контент. Сначала червь проверяет, настроена ли данная система на какую-либо автоматическую загрузку обновлений. Если это так, остается всего лишь добавить или изменить один из адресов для обновлений на адрес вредоносного Web-сайта. Такой тип атак может иметь два прямых последствия:
    1. Измененный агент может служить в качестве "пассивной" точки загрузки, т.к. соединение начинается с разрешенного адреса. Из-за того, что первое соединение уже "разрешено", он может обойти персональные межсетевые экраны и другие барьеры.

    2. Загрузки будут все равно продолжаться, даже если червь обнаружен и удален. Для полного прекращения загрузки необходимо средство для удаления вредоносной информации из конфигурации клиента RSS.

    Один из факторов, уменьшающих эту опасность: в настоящее время такие программы загрузки не стандартизованы, поэтому атакам могут подвергаться только определенные программы. Этот тип атак в настоящее время не является достаточно опасным.

    Однако ситуация может измениться с выходом окончательной новой версии обозревателя Internet Explorer 7. Корпорация Microsoft уже объявила, что эта новая версия популярного Интернет-обозревателя будет содержать встроенную поддержку загрузки по технологии RSS. Поэтому авторы червей могут получить новые мощные возможности для атак.

    Чтобы бороться с такими атаками, компании должны применять, если они еще не применяют, методы сканирования трафика HTTP. Судя по всему, это будет один из самых популярных методов борьбы с распространением malware в ближайшем будущем.

    Еще одна возможная технология проникновения, о которой мы должны знать, заключается в следующем:

    Полиморфные атаки с использованием изменяемого кода. Некоторые исследователи считают, что авторы подобных bot-червей могут создавать модули с изменяемым исполнимым кодом, который будет меняться при каждом запуске, но приносить такой же результат. Из-за того, что большинство систем обнаружения сетевых атак и систем обнаружения брешей в системе защиты определяют malware по определенным участкам кода, если код будет меняться каждый раз, вредоносные программы смогут обойти все сканеры и выполнить свою вредоносную задачу. Хотя это теоретически возможно, в случае, если такой модуль будет создан, его авторы должны иметь возможность понять, как работает код для проникновения и как его можно изменить. Эти концепции конфликтуют с вышеупомянутой тенденцией включения во вредоносные программы новых способов проникновения как можно раньше, и могут замедлить создание новых червей. Авторам червей придется выбирать между быстрой атакой и невидимой атакой. Будем надеяться, что такая технология останется возможной лишь теоретически, но эту опасность необходимо принимать во внимание.

    Борясь с такими bot-червями, антивирусные компании уже давно поняли, что различия между многими вариантами одного и того же червя заключаются только в использовании разных методов сжатия. Авторы червей перекомпилируют их и по-другому сжимают новую программу. После того, как производители антивирусов научатся определять эту вредоносную программу, авторы червя просто используют другой алгоритм сжатия, и процесс продолжается снова. Существуют сотни различных алгоритмов сжатия, поэтому задача обнаружения bot-червей становится очень сложной.

    Необходимо, конечно, научиться сначала определять, каким методом сжат файл, а уже потом применять различные шаблоны для поиска червей. Мы ожидаем, что в ближайшие месяцы в этом направлении будет достигнут определенный прогресс. В частности, компания Trend Micro уже работает над созданием системы сканирования, которая сможет определять способ сжатия. Выпуск системы сканирования Trend Micro 7.7 планируется на начало будущего года, и благодаря новой технологии обнаружения bot-червей они будут определяться сразу после появления.

    Bot-черви - самый опасный вид malware, существующий в настоящее время. Пользователи должны осознавать их опасность, а также знать методы, которые они используют для заражения других компьютеров, чтобы иметь возможность защититься от них.

    Популярные статьи на THG.ru:
  • Эпидемия Zotob: как защититься
  • Конференции по безопасности Black Hat/Defcon: сбор хакеров в Лас-Вегасе
  • Черви атаковали издательства CNN, ABC и New York Times
  • Хакеры атакуют Microsoft
  • Устанавливаем ASP Linux v10: руководство THG.ru

перейти к следующей новости
У ICQ появился серьёзный конкурент...

предыдущая новость
Запутались в проводах? Logitech предлагает решения...

ВЕРНУТЬСЯ НАЗАД



Свежие статьи
RSS
Лучший компьютерный корпус: текущий анализ рынка Обзор Mpow H7 Plus: беспроводная гарнитура с проводом Лучшая материнская плата: текущий анализ рынка Обзор и тестирование блока питания Cooler Master MWE 750 WHITE 230V V2 Лучший процессорный кулер: текущий анализ рынка
Лучший компьютерный корпус Обзор беспроводной гарнитуры Mpow H7 Plus Лучшая материнская плата Обзор и тестирование блока питания Cooler Master MWE 750 WHITE 230V V2 Лучший процессорный кулер
РЕКЛАМА
РЕКОМЕНДУЕМ ПРОЧЕСТЬ!
ПОСЛЕДНИЕ НОВОСТИ

Акции Xiaomi Group выросли почти на 4%: установлен новый максимум

Samsung инвестирует $8 млрд в развитие завода в Китае

Xiaomi готовит новую «умную» новинку Smart Display Speaker Pro 8: «живые» фото незадолго до анонса

Анонс Getac ZX70-Ex: защищённый планшет для работы в промышленных средах

Microsoft показала Xbox Series X: новый дизайн и процессор AMD Zen 2


12 декабря, 2019

OPPO Reno 3 Pro получит обновленную версию технологии быстрой зарядки

Аналитики: Apple не будет значительно повышать цены на iPhone 5G в 2020 году

Sharkoon представила новые корпуса RGB LIT 100 и RGB LIT 200

MSI выпустила видеокарты серии Radeon RX 5500 XT Gaming и Mech

Sony обещает сделать камеры смартфонов ещё лучше: представлена технология 2x2 OCL

Рассекречен первый представитель серии смартфонов Huawei P40

Анонс смартфона Samsung Galaxy A71: огромный экран, производительная начинка и 64-Мп камера

Представлен Samsung Galaxy A51: 6,5-дюймовый AMOLED-дисплей, четверная камера и экранный сканер пальцев

Oukitel K13 Pro: «дырявый» дисплей и 11 000 мАч батарея всего за $169.99

Представлен монитор Fujitsu P27-9 TS QHD с репликатором портов

AMD Radeon RX 5500 XT выйдет в двух версиях с ценником от $169

ССЫЛКИ
Реклама от YouDo
Услуги специалиста: cover ремонт: полное описание.
Замена дверцы стиральной машины LG, подробная информация на YouDo.
Настройка wins сервер - подробности...