Отдельно остановимся на отказе от пересылки своего тела по электронной почте. Практически одновременно с появлением версии NetSky.q, которая посылала письма со ссылкой на ранее зараженный компьютер, в результате чего загрузка червя происходила оттуда, появился и первый червь, размножающийся через популярную программу ICQ, — червь Bizex. Проникая на компьютер, он рассылал по всему контакт-листу ссылку на зараженный сайт, откуда и происходила установка основного компонента вируса. Им использовались две идеи — отправка ссылки, а не файла и использование каналов ICQ для привлечения пользователей.

I-Worm.Snapper и I-Worm.Wallon

Окончательно тенденция указания одной лишь ссылки на файл червя оформилась чуть позже, когда в марте и мае 2004 появились черви Snapper и Wallon. Оба червя рассылали по найденным на компьютере адресам не себя, а ссылки на сайты. На сайтах были размещены скриптовые троянцы, которые использовали уязвимости в Internet Explorer для установки основных компонент на компьютер.

Такие письма, как правило, не вызывают у пользователей подозрений, поскольку они не содержат никаких вложенных файлов, как это бывает с традиционными почтовыми червями, к которым все уже привыкли. Весьма вероятно, что этот способ размножения будет неоднократно использован в вирусах в обозримом будущем. Его опасность может стремительно возрасти с обнаружением новых уязвимостей в Internet Explorer и Outlook.

Worm.Win32.Sasser

Sasser, появившийся в конце апреля, использовал очередную критическую уязвимость в Microsoft Windows и размножался аналогично червю Lovesan — через глобальную сеть, путем прямого подключения к атакуемому компьютеру. Червь вызвал значительную по своим масштабам эпидемию в странах Европы и содержал в запускаемом на зараженной машине FTP-сервисе уязвимость, которой попытались воспользоваться уже новые сетевые черви — Dabber и Cycle.

Автор червя Sasser был вскоре арестован, после чего сознался в авторстве червей семейства NetSky. По всей видимости, это действительно была правда, поскольку с тех пор новых NetSky не появлялось.

Таким образом, Sasser не только, фактически, явился реинкарнацией Lovesan по принципу размножения, но и сам, аналогично Mydoom, создал новую цель для атак со стороны других червей.

I-Worm.Plexus

Червь Plexus стал первым червем после Nimda (появился в 2001 году), использовавшим для своего размножения практически все доступные способы: уязвимости (аналогично Lovesan и Sasser), электронную почту, P2P-сети, локальные сети. Фактически, за три года ни один червь не использовал столь полный набор возможностей. Как правило, отсутствовал либо один, либо другой способ размножения. В лице Plexus мы получили потенциально весьма опасную вредоносную программу, кроме всего прочего еще и написанную на основе исходных кодов Mydoom. Можно даже провести определенные аналогии с червем Sober, оказавшимся талантливым плагиатором и обошедшим некоторых своих предшественников.

Впрочем, известные варианты Plexus так и не получили широкого распространения — по всей видимости, потому, что они не были первоначально разосланы массовой спам-рассылкой и в них относительно слабо реализованы методы социального инжиниринга. Однако не исключено, что в будущем нас ждут более мощные варианты этого червя или другие черви с таким же внушительным набором путей размножения.

Троянские программы

В программах, относящихся к классу троянских, на сегодняшний день можно выделить следующие основные тенденции:

Ø Значительный рост числа программ-шпионов, крадущих конфиденциальную банковскую информацию. Новые варианты подобных программ появляются десятками за неделю и отличаются большим разнообразием и принципами работы. Некоторые из них ограничиваются простым сбором всех вводимых с клавиатуры данных и отправкой их по электронной почте злоумышленнику. Наиболее мощные могут предоставлять автору полный контроль над зараженной машиной, отсылать мегабайты собранных данных на удаленные сервера, получать оттуда команды для дальнейшей работы.

Ø Стремление к получению тотального контроля над зараженными компьютерами. Это выражается в объединении их в зомби-сети, управляемые из единого центра. Как правило, для этого используются IRC-каналы или веб-сайты, куда автором выкладываются команды для машин-зомби. Существуют и более сложные варианты, например многие из вариантов Agobot объединяют зараженные компьютеры в единую P2P-сеть.

Ø Использование зараженных машин для рассылки через них спама или организации DDoS-атак.

Отдельного рассмотрения требуют такие классы программ, как Trojan-Dropper и Trojan-Downloader.

Конечные цели у них абсолютно идентичны — установка на компьютер другой вредоносной программы, которая может быть как червем, так и «троянцем». Отличается только принцип их действия. «Дропперы» могут содержать в себе уже известную вредоносную программу или наоборот — устанавливать новую ее версию. Также «дропперы» могут устанавливать не одну, а сразу несколько вредоносных программ, принципиально отличающихся по поведению и даже написанных разными людьми.

Фактически «дропперы» являются своеобразными архивами, внутрь которых может быть помещено все что угодно. Очень часто они применяются для установки в систему уже известных «троянцев», поскольку написать «дроппер» гораздо проще, чем переписывать «троянца», пытаясь сделать его недетектируемым для антивируса. Весьма значительную часть «дропперов» составляют их реализации на скрипт-языках VBS и JS, что объясняется сравнительной простотой программирования на них и универсальностью подобных программ.

«Даунлоадеры», или «загрузчики», активно используются вирусописателями как по причинам, описанным выше для «дропперов» (скрытая установка уже известных троянцев), так и по причине их меньшего по сравнению с «дропперами» размера, а также благодаря возможности обновлять устанавливаемые троянские программы. Здесь также выделяется группа программ на скрипт-языках, причем, как правило, использующих различные уязвимости в Internet Explorer.

Оба эти класса вредоносных программ используются для установки на компьютеры не только троянских программ, но и различных рекламных (advware) или порнографических (pornware) программ.

Классические вирусы

Что касается классических файловых вирусов, царствовавших в 90-х годах прошлого века, то в настоящее время они практически исчезли, уступив свое место сетевым червям. Сейчас можно насчитать с десяток файловых вирусов, которые продолжают оставаться активными и даже иногда испытывают всплески активности. Эти всплески связаны с недавно проявившейся у таких вирусов побочной способностью заражать исполняемые файлы почтовых червей. Таким путем они пересылают себя вместе с инфицированными червями электронными письмами, в качестве своеобразных прилипал. Очень часто попадаются экземпляры почтовых червей Mydoom, NetSky или Bagle, зараженные такими файловыми вирусами, как Funlove, Xorala, Parite или Spaces.