IM-хробак вимирає, Securelist

Такі хробаки, як Sumom, спричиняли серйозні епідемії і, як наслідок, широко обговорювалися в засобах масової інформації.

Автори подібних хробаків — кібервандали, зацікавлені у завданні будь-якої шкоди та приверненні до себе уваги. Може здатися, що IM-хробаки загалом — насамперед інструмент самоствердження кібервандалів. Але це не так: два з найвідоміших сімейств, Bropia та Kelvir, створені виключно для отримання матеріальної вигоди.

Поява черв'яків Bropia, Kelvir і Prex

Через два тижні після появи першого варіанта Bropia було вперше виявлено хробака Kelvir. Ці дві родини дуже схожі одна на одну, але між ними є одна важлива відмінність.

Як Bropia, так і Kelvir містить IRCBot, для встановлення якого вони, власне, призначені.

При цьому Bropia завантажується у вигляді одного файлу, що представляє собою IM-черв'як з вбудованим IRCBot, а Kelvir зазвичай поширюється у вигляді архіву, що саморозпаковується (RAR), що містить два файли - IM-черв'як і IRCBot.

Ранні варіанти Bropia та Kelvir регулярно розміщувалися на голландських серверах. Враховуючи той факт, що Голландія займає одне з провідних місць у світі за кількістю користувачів MSN, а також те, що про загрозу безпеці, яку несли IM-хробаки, користувачам практично нічого не було відомо, не дивно, що країною пройшла велика хвиля локальних епідемій .

В основі черв'яків Prex - третього зі згаданих вище сімейств IM-хробаків - лежить той же код, що і в основі сімейств Bropia/Kelvir. Спочатку їх вважали троянськими програмами (Trojan-IM), а не IM-хробаками.

Завдяки значній схожості між сімействами Bropia, Kelvir та Prex десятки варіантів черв'яків з усіх трьох сімейств визначаютьсяза допомогою нашої сигнатури IM-Worm.Win32.Prex.d.

Соціальна революція

Зібрані нами дані ясно показують, що черв'яки, що використовували розширення pif, викликали набагато масштабніші епідемії, ніж використовували розширення scr. Це майже напевно пов'язано з тим, що користувачі помилково вважали, що мають справу з графічним файлом із розширенням gif (або tiff).

Вірусописачі більш активно використовували розширення pif, оскільки воно представлялося їм більш перспективним, і кількість хробаків, які використовують це розширення, значно зросла. Тим не менш, і черв'яки, що використовували розширення scr, не зникли.

Як використовується PHP? Насамперед для створення динамічного веб-контенту та серверних програм. Клієнт (в даному випадку користувач) може надсилати на сервер дані для обробки.

Pictures.php це PHP-скрипт, що виконується на сервері. Все, що знаходиться праворуч від знака "?", - Дані, що посилаються для обробки PHP-скриптом.

Подальше залежить від змісту PHP-скрипту.

поширення

Наступним був виявлений варіант черв'яка Kelvir з функціональністю «чобота». Цей черв'як за допомогою стандартних фраз «балакав» з користувачем, перш ніж відправити йому посилання.

AOL Instant Messenger

Очевидно, те що, що MSN не підтримує HTML-розбір, одна із трьох основних причин явної переорієнтації вірусописачів з MSN на AIM.

Друга причина полягає в тому, що людей, які використовують як MSN, так і AIM, зовсім небагато. Відповідно, в результаті переорієнтації на AIM вірусописачі отримали для своєї риболовлі море нових можливостей. А з урахуванням числа користувачів AIM, особливо в США, потенційний вилов був надзвичайно великий.

Зрештою, третя причинапереорієнтації — в тому, що якщо користувачів AIM ввести в оману просто, то користувачів MSN обманювати ставало все складніше. Справа не стільки в тому, що користувальницька спільнота стала краще обізнана про можливі загрози, скільки в радикальних заходах, вжитих системою MSN.

Наприклад, у мережі MSN стали на рівні мережі блокуватися всі повідомлення, що містять текст .pif. Повідомлення, до складу яких входить текст "gallery.php" або "download.php", також блокуються. Крім цих заходів, спрямованих на посилення безпеки, в останніх версіях MSN Messenger до пересилання не приймаються файли, розширення яких вказує на можливу небезпеку, зокрема, pif, scr і т.д.

Незважаючи на наявність кількох сімейств IM-хробаків, орієнтованих на мережу AIM, їхнє значення в наші дні не дуже велике. Прикладом може бути досить поширений черв'як IM-Worm.Win32.Opanki, IRCBot-функціональність якого зводиться до завантаження файлів.

Невидимі IM-хробаки

Незважаючи на те, що ще в травні 2005 року нам стали траплятися IM-хробаки, які використовують руткіт-технології для приховування своїх дій у системі, в цьому розділі йтиметься про іншу проблему.

Одна з цікавих відмінностей між шкідливим ПЗ, що розповсюджується через MSN, і шкідливими програмами, що використовують для розмноження AIM, полягає в тому, що за поширення MSN-хробака зазвичай відповідає окремий компонент/файл, у той час як у шкідливих програм, що розповсюджуються через AIM, ця функція найчастіше інтегрована в тіло шкідливої ​​програми, причому процедура поширення часто вторинна по відношенню до шкідливої ​​складової.

Деякі шкідливі програми такого роду використовують для поширення MSN. Наприклад, деякі варіанти черв'яка Mytob такожмістять компонент, що використовує системи миттєвого обміну повідомленнями для розмноження. Цей компонент визначається антивірусними програмами як Mytob. Тим не менш, кількість шкідливих програм, що використовують для свого поширення AIM, більша. Одне з найбільш примітних подібних сімейств - Backdoor.Win32.Aimbot, типовий IRCBot, здатний поширюватися через AIM.

Існує також безліч SdBot і Rbot, чия здатність поширюватися через AIM є лише однією з безлічі їх властивостей. Деякі троянські програми-завантажувачі, зокрема, сімейство Banload, мають подібний функціонал.

В результаті важко дати точну відповідь на питання про кількість шкідливих програм, які можуть поширюватися за допомогою AIM. Ясно одне: таких програм набагато більше, ніж може здатися на перший погляд.

Розвиток технологій

Вище вже йшлося про деякі аспекти розвитку технологій, що лежать в основі IM-хробаків. Далі ми розглянемо ще кілька цікавих особливостей розвитку.

У травні 2005 року було виявлено IM-хробаки, які мають розширену функціональність. Зокрема, черв'як Bropia.ad був здатний поширюватися через пірингові (P2P) мережі, у той час як до складу черв'яка IM-Worm.Win32.Kelvir.bm входив руткіт.

Пакети з IM-хробаків та бекдорів, такі як Kelvir та Bropia, останнім часом втратили колишню популярність. Очевидно, вірусописачі дійшли окремого використання цих шкідливих програм з кількох причин.

Розглянемо сценарій, що часто зустрічається в наші дні.

Користувач отримує посилання через систему миттєвого обміну повідомленнями, проходить по ній та потрапляє на сайт, що містить експлойт, що дозволяє автоматично встановити шкідливе програмне забезпечення на його комп'ютері. Можливий варіант,коли користувачеві пропонується завантажити та/або встановити файл, що виконується, тобто. IRCBot.

Після запуску бекдор автоматично завантажує IM-хробак або отримує команду на його завантаження через IRC-канал.

Хоча такі черв'яки, як і раніше, дуже схожі на Kelvir, є одна істотна відмінність — вони поширюються лише за командою.

Черв'я приступає до поширення тільки після отримання через канал від IRC-оператора (бот-майстра) конкретної команди. Зокрема, він може бути відправлений на конкретний комп'ютер користувача. Слід зазначити, що у таких випадках черв'як поширюється як посилання на бекдор, а чи не себе самого.

Такий підхід має кілька переваг.

  • Якщо команда на завантаження передається через IRC-канал, отримання зразків відповідних файлів фахівцями з інформаційної безпеки — лише справа часу. Фахівці з безпеки часто звертаються до хостинг-провайдерів, на серверах яких розміщуються шкідливі файли, з проханнями припинити обслуговування подібних сайтів. Виявивши, що сайт перестав працювати, бот-майстер може завантажити шкідливий файл на інший сервер та змінити посилання для завантаження цього файлу, що використовується IRCBot. Це дозволяє забезпечити подальше зростання ботнету.
  • Антивірусним компаніям може виявитися складніше отримати зразки IM-хробаків. В результаті створення та випуск процедур їх виявлення може піти більше часу.

Але найважливіша перевага цього підходу - можливість керувати розміром ботнета. Перші варіанти хробака Kelvir поширювалися безконтрольно. А якщо інструкцію на поширення отримують лише один або два IRCBot, можна уникнути масштабної епідемії, яка приверне увагу антивірусних компаній, правоохоронних органів.та ЗМІ.

Деякі варіанти черв'яків Kelvir та Opanki здатні розсилати динамічні повідомлення та/або посилання на доступні для завантаження файли. Це дозволяє ботмайстру повністю керувати інформацією, що розсилається IM-хробаком. Для бекдорів, що розповсюджуються через AIM, таке рішення стало цілком стандартним.

securelist

Ця шкідлива програма здатна не тільки розсилати посилання через різні IM-мережі, а й варіювати як текст повідомлення, так і саме посилання. Ймовірно, це є вершина розвитку функціональності IM-хробаків.

Висновок

У цій статті не розглянуто інших шкідливих програм, таких як Trojan-PSW.Win32.PdPinch, що поширюється через ICQ і викликає серйозні проблеми в Україні та деяких країнах за межами Європи. Тим не менш, ми постаралися дати читачеві загальне уявлення про IM-хробаків.

З того часу, як вперше з'явилися IM-хробаки, відбулися великі зміни у способах їх поширення, складності їх коду та виборі IM-мереж для їх поширення. Крім того, використання динамічних повідомлень дозволяє продовжити життєвий цикл шкідливих програм та ботнетів, а кероване поширення допомагає вірусописувачам не привертати до себе уваги.

У більшості випадків IM-хробаки потрібно розглядати не як окремі шкідливі програми, а як допоміжний інструмент для розповсюдження IRCBot.

Поява IRCBot.lo показує, що мережі миттєвого обміну повідомленнями ще вичерпали себе середовище поширення шкідливого ПЗ. Крім того, цей код легко піддається копіюванню, що може призвести до значного зростання числа IRCBot, здатних розсилати посилання у всіх великих мережах IM. Тому ймовірно, що в майбутньому вірусописувачі все більшою мірою орієнтуватимуться і на інші IM-мережі.

Здатність поширюватися через системи миттєвого обміну повідомленнями — це властивість, яку вірусописувачі, безсумнівно, продовжать використовувати у функціональних черв'яках IRCBot. При цьому шкідливі програми, створені тільки для поширення через мережі миттєвого обміну повідомленнями (такі як ранні варіанти IM-хробаків), ймовірно, продовжать поступово вимирати.