Поле битвы — Интернет
Конец 2006 года выдался довольно сложным для антивирусных компаний всего мира. На протяжении трех месяцев отделы антивирусных исследований работали в режиме повышенной боеготовности и мобилизации всех резервов.
Это было вызвано небывалой по своей длительности и массовости вирусной атакой на Интернет почтовых червей семейства Warezov. Первые экземпляры этого червя появились в Сети в октябре 2006 года; наибольшая активность пришлась на конец месяца, когда в сутки появлялось до 20 его новых вариантов.
Warezov по ряду признаков очень сильно напоминает известный червь Bagle. Хотя в основе Warezov лежат исходные коды червя Mydoom.a, а Bagle был полностью «оригинальной» разработкой неизвестной группы вирусописателей, мы были склонны считать этих червей «родственниками». Во-первых, по очень похожему способу организации эпидемии — массированному выбросу множества разных вариантов в течение короткого периода времени, с дифференциацией в том числе и по географическому признаку (в России рассылались одни варианты червя, в Европе — другие). Во-вторых, по их функционалу — установке на компьютер любых других модулей с троянских сайтов и сбору адресов электронной почты с последующей отправкой их злоумышленникам. Bagle был первым, кто использовал вирусные технологии для пополнения спамерских баз. Warezov делал то же самое.
Появление Warezov и прекращение выхода новых вариантов Bagle практически совпадало по времени, с разницей в одну неделю. Трудно было предположить, что авторы Bagle вдруг внезапно «ушли из бизнеса», а их инициативу быстро перехватил кто-то другой. Мы не исключали того, что оба червя являются творениями одной и той же группировки.
До конца 2006 года нами были обнаружено более 400 вариантов червя Warezov. Его авторы устраивали многочисленные кратковременные, но весьма массированные спам-рассылки новых вариантов, что привело к созданию гигантского ботнета. Более того, Warezov еще и собирал адреса электронной почты — стало ясно, что вскоре нас захлестнет волна спама и фишинга. Warezov создавался и распространялся с единственной целью — для дальнейшего использования зараженных компьютеров в качестве почтовых прокси-серверов.
Фактически, авторы червя и их клиенты захватили большую долю черного рынка нелегальных почтовых рассылок. Это должно было вызвать ответную реакцию со стороны конкурентов. Ответный удар был лишь вопросом времени.
18 января 2007 года на Европу обрушился ураган «Кирилл». Снежный шторм унес жизни более 30 человек. Десятки тысяч европейцев оказались без света, сотовой связи и нормального транспортного сообщения. Внимание всего мира было приковано к этим событиям, круглосуточно освещавшимся в средствах массовой информации.
20 января начался еще один шторм. На этот раз он захлестнул электронную почту. Гигантская спам-рассылка содержала письма с кричащими заголовками: о 230 погибших в результате урагана «Кирилл», о сбитых русскими ракетами китайских и американских спутниках, о том, что Саддам Хуссейн жив, а президент Путин умер и о многом другом. Эти заголовки должны были подогреть любопытство получателя и заставить его запустить содержащийся в письме файл.
Я приведу только небольшой список тем, использованных авторами этой вирусной атаки:
230 dead as storm batters Europe.
Russian missle shot down Chinese satellite
Chinese missile shot down USA aircraft
Sadam Hussein alive!
Venezuelan leader: "Let's the War beginning".
Fidel Castro dead.
President of Russia Putin dead
Third World War just have started!
Прикрепленные файлы на самом деле были троянской программой, получившей название Trojan-Downloader.Win32.Small.dam и Trojan-Downloader.Win32.Small.bet. В результате ее работы на пораженный компьютер загружались дополнительные компоненты и все вместе представляло собой новый, крайне агрессивный использующий руткит-технологию сетевой червь. Неофициальное название ему было дано соответствующее — Storm Worm. Официально же он вошел в наши антивирусные базы как Email-Worm.Win32.Zhelatin.a.
Детальный анализ этого червя, а также появившихся в следующие дни и недели его вариантов, выявил интересные особенности. Zhelatin, точно так же как и Warezov, превращал зараженный компьютер в троянский прокси-сервер для рассылки спама, а также создавал ботнет для проведения DdoS-атак. Угадайте, кто стал одной из их основных его мишеней? Сайты, использовавшиеся авторами червя Warezov! И еще несколько сайтов, принадлежащих различным организациям по борьбе со спамом. Пиком эпидемии нескольких вариантов червя Zhelatin стал февраль.
Кибервойна между группировками Warezov и Zhelatin была объявлена. Учитывая масштабы ботнетов, имеющихся в распоряжении обеих групп, и ориентированность на множественность атак, мы понимали: это грозило стать одной из самых серьезных проблем в Сети за последние годы.
Наиболее известной до сегодняшнего дня была кибервойна между Mydoom, Bagle и NetSky весной 2004 года. Тогда сеть наводнили десятки вариантов этих червей: они искали на компьютерах «конкурентов», удаляли их и занимали их место. Конец войне положил арест в Германии 18-летнего Свена Яшана (Sven Jaschan), автора NetSky, однако его творения и по сей день остаются одними из самых распространенных червей в электронной почте. А из участников той войны до 2007 года продолжали свою активность только авторы червей Bagle. Правда, до поры до времени они отошли в тень и никак не реагировали на появление Warezov (что давало нам основание считать их причастными к созданию этого червя). Однако в январе они неожиданно вернулись из небытия, и один из Bagle стал самым распространенным вредоносным кодом в электронной почте. Пришлось отказаться от идеи, что у Warezov и Bagle одни и те же авторы.
Сложилась интересная ситуация. На сцене находятся три группы, из разных стран мира, которые занимаются одним и тем же — созданием ботнетов для рассылки спама и сбором адресов электронной почты. Все они напрямую зависят от денег спамеров, которые платят за самый большой ботнет и за самую большую базу адресов. Это заставляет их вести борьбу друг с другом всеми доступными способами, которые приводят к бесконечным вирусным атакам на рядовых пользователей. Для того чтобы попасть на компьютеры пользователей, им приходится придумывать все новые и новые способы обхода антивирусных фильтров.
Авторы Warezov начали отвечать на атаки Zhelatin в марте, Bagle периодически появляется в новых вариантах несколько раз в месяц начиная с января. Если в конце прошлого года антивирусным компаниям приходилось бороться только против одной группы, то сейчас сложность и объем задач выросли в три раза. Все это сопровождается увеличением количества спама и фишинга.
Почти 32% от общего вредоносного трафика в электронной почте марта 2007 года занял Trojan-Spy.HTML.Bankfraud.ra. Это прямое следствие вирусных эпидемий Bagle, Zhelatin или Warezov. Он представляет собой не что иное, как типичное фишинговое письмо, миллионами копий разосланное по всему миру, причем нами были отмечены многократные рассылки этого троянца. Впервые он был обнаружен 27 февраля 2007 года. Троянец ориентирован на клиентов Branch Banking and Trust Company (BB&T) и заманивает их на поддельные сайты, зарегистрированные злоумышленниками в Хорватии и на Кокосовых островах.
