Каталог статей
Поиск по базе статей  
Статья на тему Бизнес и финансы » Безопасность бизнеса » Будущее Bot-червей.Чего можно ожидать от авторов червей в ближайшие месяцы

 

Будущее Bot-червей.Чего можно ожидать от авторов червей в ближайшие месяцы

 

 

Дэвид Санчо ( David Sancho ), главный специалист по антивирусным исследованиям

Компания Trend Micro, специально для Клерк.Ру

Представляется, что текущая тенденция развития вредоносных программ движется в направлении bot -червей. Bot -программы, работающие как агент пользователя или другой программы, часто называются malware и способны атаковать огромное количество ничего не подозревающих пользователей. Каковы же возможные новые добавления и модификации, которые авторы bot -червей могут включить в свои отвратительные «произведения» уже в ближайшем будущем?

В настоящее время все bot -черви строятся по модульному принципу. Это значит, что автор программы может выбирать различные методы атаки, включая использование брешей в системах защиты, массовую почтовую рассылку, непосредственное размножение, а также их различные сочетания.

загрузка...

 

 

Результат - специализированный червь, разработанный специально для выполнения своей задачи: похищения информации и установления контроля за инфицированным ПК.

Идея модульности этих типов червей была реализована в WORM _ RBOT . CBQ и WORM _ ZOTOB - двух сетевых червях, которые стали «гвоздем» информационных выпусков на прошлой неделе. Бреши в сетевой системе защиты могут использоваться для проникновения, как только опубликован код, иллюстрирующий это слабое место. Когда написанный сегмент кода, использующий какую-то брешь в защите операционной системы, публикуется в Интернете, «создатели» этих червей сразу могут внедрить его в код уже существующего червя, перекомпилировать, и, пожалуйста - уже готов к распространению новый опасный вид червя.

Таким образом, в ближайшем будущем ожидается сокращение времени распространения сетевых червей. Ниже приведен список, в котором показано время, прошедшее с момента обнаружения бреши в системе защиты до появления червя, использующего эту брешь.

  • WORM _ NIMDA : 366 дней
  • WORM _ SLAMMER : 185 дней
  • WORM _ BLASTER : 26 дней
  • WORM _ SASSER : 18 дней
  • WORM _ ZOTOB : 4 дня

Что из этого следует: в настоящее время скорость создания червей постоянно растет. Поэтому пользователи ПК во всем мире подвергаются все большей опасности. Для того чтобы противостоять угрозе, предлагаются следующие методы:

  • Устанавливать обновления безопасности на домашних ПК, как только они станут доступны на Web -сайте корпорации Microsoft . Автоматическое обновление уже стало не дополнительной возможностью, а обязательной функцией. Безопасность домашних систем можно обеспечить, только имея подключение к Интернету.
  • В корпоративных системах используется программное и аппаратное обеспечение, разработанное специально с учетом защиты от таких вторжений. Определение и блокировка сетевых пакетов, которые используют черви для проникновения через слабые места, по существу, лучшая защита от такого типа malware . Эти системы включают системы обнаружения сетевых атак, а также специализированное сетевое антивирусное ПО, например, Trend Micro Network VirusWall ® или Trend Micro Personal Firewall , которое может блокировать прием пакетов, посылаемых вредоносными программами, даже если в основной системе имеется брешь.

Мы предполагаем, что в будущем вредоносные программы будут использовать следующие технологии:

Захват потоков RSS : как следует из названия, эта развивающаяся технология является методом автоматического получения обновлений, или « Real Simple Syndication ». Содержание Web -страниц может обновляться, и их RSS -подписчики могут получать новый контент по мере публикации с помощью клиентов RSS , которые постоянно отслеживают обновления. Самый простой способ использования этой развивающейся технологии - захват уже сконфигурированных клиентов RSS для автоматической загрузки новых копий червей и другого вредоносного ПО на инфицированные ПК. Это достигается путем перенастройки уже сконфигурированного клиента на другой, вредоносный Web -контент. Сначала червь проверяет, настроена ли данная система на какую-либо автоматическую загрузку обновлений. Если это так, остается всего лишь добавить или изменить один из адресов для обновлений на адрес вредоносного Web -сайта. Такой тип атак может иметь два прямых последствия:

  • Измененный агент может служить в качестве «пассивной» точки загрузки, т.к. соединение начинается с разрешенного адреса. Из-за того, что первое соединение уже «разрешено», он может обойти персональные межсетевые экраны и другие барьеры.
  • Загрузки будут все равно продолжаться, даже если червь обнаружен и удален. Для полного прекращения загрузки необходимо средство для удаления вредоносной информации из конфигурации клиента RSS .

Один из факторов, уменьшающих эту опасность: в настоящее время такие программы загрузки не стандартизованы, поэтому атакам могут подвергаться только определенные программы. Этот тип атак в настоящее время не является достаточно опасным.

Однако ситуация может измениться с выходом окончательной новой версии обозревателя Internet Explorer 7. Корпорация Microsoft уже объявила, что эта новая версия популярного Интернет-обозревателя будет содержать встроенную поддержку загрузки по технологии RSS . Поэтому авторы червей могут получить новые мощные возможности для атак.

Чтобы бороться с такими атаками, компании должны применять, если они еще не применяют, методы сканирования трафика HTTP . Судя по всему, это будет один из самых популярных методов борьбы с распространением malware в ближайшем будущем.

Еще одна возможная технология проникновения, о которой мы должны знать, заключается в следующем:

Полиморфные атаки с использованием изменяемого кода. Некоторые исследователи считают, что авторы подобных bot -червей могут создавать модули с изменяемым исполнимым кодом, который будет меняться при каждом запуске, но приносить такой же результат. Из-за того, что большинство систем обнаружения сетевых атак и систем обнаружения брешей в системе защиты определяют malware по определенным участкам кода, если код будет меняться каждый раз, вредоносные программы смогут обойти все сканеры и выполнить свою вредоносную задачу. Хотя это теоретически возможно, в случае, если такой модуль будет создан, его авторы должны иметь возможность понять, как работает код для проникновения и как его можно изменить. Эти концепции конфликтуют с вышеупомянутой тенденцией включения во вредоносные программы новых способов проникновения как можно раньше, и могут замедлить создание новых червей. Авторам червей придется выбирать между быстрой атакой и невидимой атакой. Мы надеемся, что такая технология останется возможной лишь теоретически, но эту опасность необходимо принимать во внимание.

Борясь с такими bot -червями, антивирусные компании уже давно поняли, что различия между многими вариантами одного и того же червя заключаются только в использовании разных методов сжатия . Авторы червей перекомпилируют их и по-другому сжимают новую программу. После того, как производители антивирусов научатся определять эту вредоносную программу, авторы червя просто используют другой алгоритм сжатия, и процесс продолжается снова. Существуют сотни различных алгоритмов сжатия, поэтому задача обнаружения bot -червей становится очень сложной.

Необходимо, конечно, научиться сначала определять, каким методом сжат файл, а уже потом применять различные шаблоны для поиска червей. Мы ожидаем, что в ближайшие месяцы в этом направлении будет достигнут определенный прогресс. Компания Trend Micro уже работает над созданием системы сканирования, которая сможет определять способ сжатия. Выпуск системы сканирования Trend Micro 7.7 планируется на начало будущего года, и благодаря новой технологии обнаружения bot -червей они будут определяться сразу после появления.

Bot-черви - самый опасный вид malware, существующий в настоящее время. Пользователи должны осознавать их опасность, а также знать методы, которые они используют для заражения других компьютеров, чтобы иметь возможность защититься от них.

Добавление по ZOTOB : авторы вредоносных программ активно используют брешь в системе защиты MS05-039...

С тех пор, как корпорация Microsoft две недели назад объявила о слабом месте в системе защиты, названном «Plug-and-Play» (MS05-039), авторы вредоносных программ «трудились» дни и ночи, чтобы успеть воспользоваться этой брешью, пока пользователи не получили возможность защитить свои системы.

На сегодняшний день специалисты Trend Micro обнаружили уже шесть новых «паразитов» - червей, которые имеют возможность размножаться, распространяясь через сеть «зомбированных» компьютеров, зараженных без ведома своих хозяев:

  • WORM_ZOBOT.C
  • WORM_ZOBOT.D
  • WORM_RBOT.CBQ
  • WORM_RBOT.CBR
  • WORM_SDBOT.BZH
  • WORM_DRUDGEBOT.A

По словам Джо Хартмана (Joe Hartmann), директора группы антивирусных исследований Trend Micro, это несколько разных вариантов, написанных разными авторами. «Мы уже обнаружили несколько новых вариантов ZOTOB, а также других вредоносных программ. Все они используют один и тот же обнародованный код», заявил Хартман. «Они используют одну и ту же брешь в системе защиты, но имеют также дополнительные функции, например, возможности массовой почтовой рассылки, которые мы несколько дней назад обнаружили у ZOTOB.C».


Статья получена: Клерк.Ру
загрузка...

 

 

Наверх


Постоянная ссылка на статью "Будущее Bot-червей.Чего можно ожидать от авторов червей в ближайшие месяцы":


Рассказать другу

Оценка: 4.0 (голосов: 16)

Ваша оценка:

Комментарии (1)

Аня, 23 января 2011, 21:02

Как можно определить что меня ожидает в будущем...

ответить

Ваш комментарий

Имя:
Сообщение:
Защитный код: включите графику
 
 



Поиск по базе статей:





Темы статей






Новые статьи

Противовирусные препараты: за и против Добро пожаловать в Армению. Знакомство с Арменией Крыша из сэндвич панелей для индивидуального строительства Возможно ли отменить договор купли-продажи квартиры, если он был уже подписан Как выбрать блеск для губ Чего боятся мужчины Как побороть страх перед неизвестностью Газон на участке своими руками Как правильно стирать шторы Как просто бросить курить

Вместе с этой статьей обычно читают:

Что можно сделать с обычным Jeep Wrangler

В ПЕРЕВОДЕ НА РУССКИЙ "FACELIFTING" ДОСЛОВНО ОЗНАЧАЕТ "ПОДТЯЖКА ЛИЦА". ОДНАКО, КОГДА РЕЧЬ ИДЕТ ОБ АВТОМОБИЛЯХ, ВНЕШНЯЯ МОДЕРНИЗАЦИЯ ЧАЩЕ ПРИВОДИТ К УВЕЛИЧЕНИЮ ОБЪЕМА. ТАК СЛУЧИЛОСЬ И С ЭТИМ JEEP WRANGLERВладелец Wrangler использовал машину в основном как прогулочное транспортное средство.

» Американскии автомобили - 3267 - читать


Посмотри на будущее автопрома

В Детройте проходит один из самых крупных автосалонов в этом году. На нем представлено несколько сотен автомобилей, среди которых есть масса новинок и концептов, которые в скором времени появятся на дорогах. Те, кто уже побывал на автосалоне, отмечают, что в этом году представлено довольно много спортивных машин.

» Американскии автомобили - 2279 - читать


Toyota построила светлое будущее

Корпорация Toyota собирается покорить посетителей Токийского автосалона не столько смелыми переделками существующих моделей, сколько убедительной демонстрацией своих возможностей по конструированию транспорта будущего. • Благодаря уникальным колесам, Fine X способен развернуться на месте Продемонстрировать превосходство Toyota в сфере «зеленых» технологий призваны концепты Fine-X и i-swing, построенные под лозунгом «экология и эмоции». В данном случае «экология» обеспечивает ...

» Японские автомобили - 3990 - читать


Путешествие с большим животом, или что можно будущей маме?

Будущие мамы порой беспокоятся по самому пустячному поводу. А в наших консультациях все еще принято их слегка припугнуть: мол, не делай ни того, ни этого, а еще лучше – замри на все девять месяцев… На самом деле очень многие ограничения давно устарели, и современная медицина дозволяет беременным женщинам наслаждаться жизнью почти в той же степени, что и тем, кто не находится в ожидании ребенка. Какие же поводы для волнений бывают у будущих мам?

» Беременность и роды - 1855 - читать


Восемь можно и нельзя для будущих мамочек

Что можно и что нельзя делать женщинам, ожидающим ребенка? На вопросы отвечает врач, хирург-гинеколог Городской клинической больницы "Скорой помощи" N36 г. Москвы Александр Павлович Русишвили.

» Беременность и роды - 2032 - читать



Статья на тему Бизнес и финансы » Безопасность бизнеса » Будущее Bot-червей.Чего можно ожидать от авторов червей в ближайшие месяцы

Все статьи | Разделы | Поиск | Добавить статью | Контакты

© Art.Thelib.Ru, 2006-2024, при копировании материалов, прямая индексируемая ссылка на сайт обязательна.

Энциклопедия Art.Thelib.Ru