Поведенческий блокиратор или эвристический анализатор требует постоянных доработок и обновлений.

Таким образом, Lovesan сделал классическими следующие черты современных вирусов:

· использование критических уязвимостей в программных продуктах Microsoft;

· распространение через глобальную сеть, путем прямого подключения к атакуемому компьютеру;

· организация распределенной DoS-атаки на произвольные сайты.

· I-Worm.Sobig.f

Почтовый червь Sobig.f появился в самом конце августа 2003 года и буквально за пару дней вызвал крупнейшую в XXI веке эпидемию почтового червя. На пике его активности практически каждое десятое электронное письмо содержало в себе такой червь. Объемы почтового трафика возросли в десятки раз: почтовые антивирусы рассылали миллионы своих отчетов, рапортуя «отправителям» о найденном в письме вирусе и его удалении.

Червь не использовал какие-либо уязвимости, имел довольно простенькие темы и тексты писем, но масштабы его проникновения на пользовательские компьютеры стали настолько велики, что обнаруженная в нем функция приема команд извне (бэкдор) заставила всех антивирусных экспертов с тяжелым сердцем ожидать 22 августа 2003 года – дня, когда вирус Sobig.f на всех зараженных им компьютерах должен был получить команду от своего «создателя». Что могло содержаться в той команде – не знал никто. Однако команда не пришла, серверы, откуда она могла быть послана, были оперативно закрыты, что не помешало Sobig.f почти год оставаться одним из самых распространенных почтовых червей.

Столь гигантские масштабы эпидемии не могли быть вызваны традиционным червем, который выпускается в сеть с нескольких компьютеров и достигает пика своей активности спустя недели, а то и месяцы с момента своего запуска. Задолго до появления Sobig.f, еще с января 2003 года, стали появляться его «старшие братья» – другие черви того же семейства. Все они планомерно заражали компьютеры, создавая возможность рассылки через них все новых и новых версий. В конце концов, когда число предварительно зараженных ранними версиями червя машин достигло критической массы, через них хлынул поток писем с Sobig.f.

Фактически именно Sobig.f положил начало эпидемиям почтовых червей, которые произошли в 2004 году и еще произойдут в будущем:

· Эпидемии такого вируса обязательно предшествует следующая «подготовительная работа»:

· Предварительное создание гигантской сети зомби-машин (установка бэкдоров и троянцев);

· первоначальная рассылка миллионов копий червя при помощи спам-технологий.

· I-Worm.Swen

18 сентября 2003 года, рано утром по московскому времени, «Лаборатория Касперского» получила первый экземпляр данного червя от одного из пользователей в Новой Зеландии. Червь сразу привлек внимание своей оригинальностью, однако тогда речь о глобальной эпидемии еще не шла. Лишь спустя 6-8 часов, когда сообщения о заражении стали поступать практически отовсюду, стало ясно, что на вирусном фронте появился новый, опасный «игрок».

Swen использовал для размножения традиционные способы – электронную почту, IRC, P2P-каналы. Однако не это было его отличительной чертой. Особенностью данного червя стал мощнейший метод социального инжиниринга: Swen выдавал себя за специальный патч от компании Microsoft, якобы устраняющий все известные уязвимости. Письмо, содержавшее легко узнаваемые элементы официального сайта Microsoft, ссылки на другие ресурсы данной компании и грамотно составленный текст, неотразимо действовало не только на неискушенных, но и на многих опытных пользователей, заставляя их запускать приложенный к письму файл. Этому изрядно поспособствовали недавние эпидемии Lovesan и Sobig, после которых пользователи привыкли к необходимости установки новых патчей и слухам о возможной атаке на сайт Microsoft, способной привести к невозможности загрузки обновлений.

Масштабы разразившейся эпидемии, конечно, уступали и Lovesan, и Sobig, да и способ рассылки своих писем через 350 открытых для этого серверов был не идеален, но в целом именно Swen стал первым, кто в полной мере смог использовать еще один способ проникновения на компьютер:

 

I-Worm.Sober

Наконец, последний яркий представитель 2003 года – почтовый червь Sober, характерный пример вирусописательского плагиата, который смог кое в чем переплюнуть свои оригиналы. Написанный как подражание Sobig, использующий множество различных текстов писем, причем на разных языках, выбираемых в зависимости от страны получателя письма, выдающий себя за утилиту для удаления Sobig – он первым смог объединить в себе некоторые черты двух других червей, о которых было сказано выше и, таким образом, стал первым подтверждением наметившихся тенденций.

Первое полугодие 2004 года принесло множество новых, зачастую оригинальных вредоносных программ, активно использовавших идеи своих предшественников и, в свою очередь, добавивших множество новых черт в основные тенденции развития вирусов.