Касперский: Количество вирусов под Linux возросло 0

<font size=«+1»>«Лаборатории Касперского»: Количество вредоносных программ под Linux резко возросло</font>

«Лаборатория Касперского» сообщает о публикации годового аналитического отчета за 2005 год. Отчет, подготовленный вирусными аналитиками «Лаборатории Касперского», посвящен тенденциям развития вредоносных программ для операционных систем, отличных от Windows.

В отчете на основе статистики по прошлым годам сделана попытка проследить тенденции, а также предположить некоторые перспективы и направления развития malware в ближайшем будущем.

По мнению авторов доклада, лидером является Intel + Win32 платформа (т.е. Win32 как soft-платформа и Intel как hard). Надо сделать небольшое уточнение: именно 32-разрядный intel пока является основной платформой. Но в ближайшем времени ситуация будет плавно меняться в сторону 64-разрядных платформ. И уже сейчас есть несколько концептуальных вредоносных программ для Win64.

Несмотря на относительно спокойную жизнь, пользователи альтернативных платформ тоже подвергаются атакам вредоносных программ. Именно об этих платформах, их особенностях и тенденциях развития мы и будем говорить ниже. В общем, по сравнению с предыдущим годом, налицо количественный рост malware по всем направлениям. Несложно заметить, что вектор malware направлен в сторону Linux. Здесь наблюдается почти стопроцентный рост malware. Это и неудивительно — ведь эта платформа наиболее популярна среди всех Unix-систем. Стоит добавить, что, несмотря на то, что Linux работает на различных RISC-платформах, бинарные файлы, отличные от x86, встречаются крайне редко. Под другие RISC-платформы, например, под SPARC, скорее можно встретить образец бинарного файла для SunOS. Как правило, эти образцы — набор отдельных небольших утилит, которые написаны и скомпилированы под конкретную версию ОС и нацелены на конкретный сервер. Например, sniffer, backdoor, logcleaner, модуль ядра для скрытия действий атакующего — такой набор называется rootkit. Руткиты предназначены для атаки на совершенно конкретную машину, то есть в данном случае мы имеем четко спланированную атаку, бороться с которой будет сложней, чем просто с трояном, запускаемым скрипт-кодом.

Отличительной особенностью Unix malware является отсутствие различных пакеров исполняемых файлов, которые затрудняют процесс анализа и обнаружения вредоносной программы. Кроме UPX и его легкой модификации, ничего не встречалось.

В общем и целом по типу вредоносного кода картина на Unix повторяет ситуацию на Win32-фронте. Чистых вирусов, заражающих файлы на локальном диске, становится все меньше. В основном они создаются ради забавы и не совершают никаких разрушающих действий. Разве что из-за ошибки создателя при внедрении своего кода в файл они портят сам файл, и он становится нерабочим. Эпидемий до сих пор отмечено не было, и вирусы под Unix в целом носят «коллекционный» характер. Хотя иногда встречаются интересные экземпляры. Например, Virus.Linux.Grip. Этот вирус интересен тем, что использует интерпретатор языка brain fuck для генерации шифр-ключа, который, в свою очередь, используется для шифрования по алгоритму tea.

Но все это представляет интерес лишь в исследовательских целях и не несет никакого практического значения. Написание таких вирусов полностью отражает идею Линуса Торвальдса «Just for Fun». Другое дело — программы, которые предназначены для взлома серверов и затем их использования как площадки для дальнейших атак. Таких программ много. Речь идет о бэкдорах, эксплойтах, сниферах, флудерах и других hacktool’ах. Их количество, как и популярность самого Linux, постоянно растет.

Прошедший год был отмечен также несколькими червями. Например, Net-Worm.Linux.Lupper и вариацией на ту же тему Net-Worm.Linux.Mare. Оба они используют одни и те же уязвимости и похожие способы распространения. Одним из компонентов их является backdoor Tsunami. В процессе развития червя (т.е. перехода от предыдущей версии к более новой) к его функционалу добавляются новые возможности, так, например, в последней версии Net-Worm.Linux.Mare по одной из ссылок скачивается IRCBot, выполняющий функцию бэкдора.

Еще один инцидент в мире Linux: в сентябре прошлого года на одном из публичных серверов были обнаружены дистрибутивы популярного веб-браузера Mozilla корейской локализации, содержащие инфицированные бинарные файлы. Файлы были заражены вирусом Virus.Linux.Rst.

Темой руткитов, которая на Win32 «цветет» вовсю, на Linux, похоже, переболели. Ничего принципиально нового, лишь изредка вариации на старые темы. На остальных Unix-платформах все еще спокойнее. Да это и понятно: ведь популярностью ни с Linux, ни с Windows остальные Unix-системы сравниться не могут.

Еще одним из бурно развивающихся направлений ИТ-индустрии являются мобильные устройства. И здесь Linux тоже выступает как альтернатива Symbian и Windows Mobile.

Многие крупные производители или уже производят, или анонсировали выпуск устройств с Linux «на борту». Для появления вредоносных программ остается лишь дождаться критической массы подобных устройств у пользователей.

Возможно, бурный рост какой-нибудь новой технологии даст развитие и новым направлениям в вирусных технологиях. Ныне экзотическая среда распространения (какой была bluetooth) может стать вполне обычной не только для мобильных телефонов, но и для ПК, заключают авторы доклада.

Количества и поведения вредоносных программ для ОС Linux в коллекции «Лаборатории Касперского» по итогам 2004 и 2005 годов.

Количества и поведения вредоносных программ для ОС FreeBSD в коллекции «Лаборатории Касперского» по итогам 2004 и 2005 годов.

Количества и поведения вредоносных программ для ОС Sun в коллекции «Лаборатории Касперского» по итогам 2004 и 2005 годов.

Количества и поведения вредоносных программ для прочих Unix ОС в коллекции «Лаборатории Касперского» по итогам 2004 и 2005 годов.

источник: SecurityLab