26 октября 2006
Обновлено 17.05.2023

Атака из-под земли. Типология компьютерных вирусов, часть 2

Атака из-под земли. Типология компьютерных вирусов, часть 2 - изображение обложка

« Ваш компьютер был атакован с адреса . Тип атаки — Helkern. Атака была успешно отражена », — несколько раз рапортовал Kaspersky Anti- Hacker за время написания этой статьи, наглядно демонстрируя, сколь широко распространены интернет-черви. В классическом представлении черви не являются вирусами. Это одна из разновидностей вредоносных программ, к которым относятся и трояны, и враждебные Java-апплеты, и руткиты — последнее слово вирусописательской мысли. Но сейчас всех этих паразитов чаще всего рассматривают в рамках общей классификации компьютерных вирусов. Мы тоже не будем отходить от принятых правил.

Получи и распишись!

Сам термин «компьютерные черви» родился под влиянием фантастических романов Дэвида Геральда и Джона Браннера. Червями называют один из видов самовоспроизводящихся программ, которым для жизни и распространения необходимы компьютерные сети.

Все вирусы подобного типа используют оперативную память зараженной машины. Некоторые (резидентные) черви инфицируют только загруженные в ОЗУ утилиты. У такого вируса мало времени (он будет уничтожен при перезагрузке) и ограниченное число целей, на которые можно напасть (все, что находится в оперативке). Одним из представителей бестелесных червей является Helkern (он же Slammer ).

Эпидемия этой заразы продолжается по сей день. Специалисты говорят об уникальной технологии заражения и исключительно высокой скорости распространения Helkern. Вирус атакует серверы под управлением системы баз данных Microsoft SQL Server 2000. Пораженная машина получает нестандартный запрос, после чего выполняет спрятанные в коде запроса 376 байт тела Helkern. В ответ червь запускает бесконечный цикл самовоспроизводства. С пораженного сервера во все концы мира отправляются копии. Так что адрес, с которого атакован компьютер пользователя, указывает не на злоумышленника, а на одну из жертв — зараженного пользователя.

Нерезидентные черви сохраняют на жестком диске файл с кодом и предпринимают меры, чтобы при следующем запуске Windows заполучить управление системой (прописывают в реестре соответствующие ключи).

Наиболее распространены почтовые черви (E-mail-Worms), которые проникают на компьютер в виде вложений в письма. 26 марта 1999 года пандемия почтового червя Melissa за несколько часов охватила весь мир. Пострадали тысячи пользователей Microsoft Word и Microsoft Outlook (вирус был нацелен именно на эти программы). Обычно черви проникают в оперативную память компьютера и собирают информацию об адресах электронной почты, с которыми пользователь имел дело. При следующем соединении с сетью адресатам отправляются «червивые» письма. Почтовые вирусы, помимо оперативной памяти, могут вообще не использовать ресурсы пораженного компьютера. Хотя иногда создают свои рабочие файлы на жестких дисках.

Еще совсем недавно бытовало мнение, что заражения можно избежать, если не открывать вложений к подозрительным письмам или от неизвестных адресатов. Действительно, большая часть червей распространяются по e-mail в надежде на то, что пользователи сами запустят программу. Но никто почему-то не хочет по собственной воле заражать свой компьютер, и вирусописатели идут на различные уловки. Самый простой способ обмана — выдать вирус за полезное послание. Чаще всего доверчивых пользователей ловят на какое-нибудь заманчивое предложение (« Лучшая shareware-игра бесплатно », « 101 способ похудеть »). В ход идут даже громкие политические события. Например, I-Worm.Ganda прячет свое тельце в сообщениях о ходе боевых операций в Ираке. Наиболее продвинутые вирусы, такие как I-Worm.LovGate , научились писать «ответы» на письма, которые червяк обнаружил в почтовой базе. Иезуитская хитрость! Кто откажется посмотреть почту от своих знакомых?

Чтобы заставить получателя открыть приложение к письму, вирусы маскируются под безобидные файлы — картинки, текстовые документы. Для этого черви используют двойные расширения. К примеру, « 101 Sex and more. doc. exe » или « Обнаженная Анжелина Джоли. jpg. exe ». Хитрость в том, что последнее — истинное — расширение файла отстоит от фальшивого на десяток пробелов. Невнимательный пользователь увидит в окне почтового клиента только первую часть названия. Настоящее же расширение не показывается, поскольку для отображения такого длинного имени не хватает места (точки, намекающие на продолжение, замечает не каждый). Кликнув мышкой по «картинке», человек не увидит обнаженной Анжелины, зато запустит вирус.

Самым известным представителем червей этого типа стал VBS.SST@mm. Его обнаружили в феврале 2001 года. Вирус рассылал свои копии в письмах с заголовками « Here you have », « Here you go », « Here you are ». Само письмо призывало (« Hi : Check This!») посмотреть картинку теннисистки Анны Курниковой. Естественно, «картинка» имела двойное расширение — AnnaKournikova.jpg.vbs. Червь был написан на скрипт-языке Visual Basic Script (отсюда и расширение VBS). Полтора миллиона человек проглотили наживку и пожелали собственными глазами оценить прелести королевы большого тенниса, однако вместо секс-бомбы нашли в письме бомбу логическую. Но самое громкое выступление почтового червя зарегистрировано в 2000 году. 1 мая в Гонконге работники офисов стали получать электронные письма с интригующей темой « I Love You » и крайне опасным вирусом I-Worm.LoveLetter.

Злоумышленники рассчитывали на человеческое любопытство — интересно же узнать имя тайного воздыхателя. И не просчитались. Уже к 5 мая нанесенный ущерб оценивался в $1,5 млрд. Всего же почтовый червь поразил более трех миллионов компьютеров с установленным Microsoft Outlook (ви рус мог использовать данные из адресной книги только этого почтового клиента). Результат не остался незамеченным — вирус I Love You занесен в книгу рекордов Гиннеса как самый разрушительный в мире. Однако тут нужно отметить, что в своем первозданном виде червяк существовал недолго. Одной из причин, по которой он так быстро распространился, является его высокая мутагенность. Вирус стремительно менялся — уже на четвертый день после обнаружения он успел мутировать трижды. А в конце ноября в почтовые ящики приходили письма с загадочной темой « US PRESIDENT AND FBI SECRETS = PLEASE VISIT = >(HTTP: //WWW.2600.COM)<=». Желающие узнать все секреты ФБР и президента США получали в подарок 44-ю версию все того же I-Worm.LoveLetter.

С дырочкой в правом боку

Если почтовые вирусы пользователь запускает на своем компьютере сам, то интернет-черви в подобных услугах не нуждаются — а потому они намного опаснее. Вирусы этого типа работают в автономном режиме. Для проникновения на компьютер жертвы они используют ошибки программного обеспечения. В большинстве случаев целью становятся обнаруженные хакерами дыры в браузере Internet «Ослик» Explorer. Вы можете пользоваться любым другим браузером, но если в качестве почтового клиента на вашей машине работает Microsoft Outlook, червяк пролезет через бреши IE.

Дело в том, что Outlook формирует письма как обычные HTML-странички и выводит их на экран средства Internet Explorer. Поэтому «Ослика» нужно патчить постоянно. Чаще всего используется ошибка IFRAME , она позволяет червям автоматически сохранять и запускать присоединенный к письму файл (вам достаточно лишь просмотреть такое послание). Несмотря на то что Microsoft оперативно выпустила заплатку (более двух лет назад), вирусы до сих пор активно пользуются найденной лазейкой. К сожалению, это не единственная уязвимость.

Самые распространенные интернет-черви — I-Worm.Klez , Worm.SQL.Helkern , I-Worm.Frethem , IIS-Worm.CodeRed , I-Worm.Aliz — находят другие бреши в защите IE. Проблемы обычно возникают у пользователей пиратского софта, ведь обновления им недоступны. «Ослик» остается без заплат и в скором времени начинает «водить дружбу» с червями.

Структура таких вирусов бывает различной, но чаще всего в ней можно выделить инфекционную и боевую часть. Первая нужна для заражения объектов и размножения. Она представляет собой эксплойт — специальный код, который нацелен на ошибки в определенных программах. Это ключ, с помощью которого червяк проникает в систему. Боевая часть представлена телом вируса и вложенными функциями, с помощью которых реализуются задуманные создателем действия. Часто целью становится установка на компьютер пользователя троянской программы или передача управления машиной хакеру. То есть вирус распространяется не сам по себе, а вместе с другими вредоносными программами (и не с одной, а с целым букетом). В некоторых случаях на зараженную машину тайно устанавливаются бэкдоры (backdoor) — троянские утилиты удаленного администрирования. В их число входят троянцы семейства Downloader (для закачки других инструментов), Dropper (инсталляторы), PSW-трояны (для воровства паролей). Некоторые из подобных «наборов» могут самостоятельно распространяться по Сети и заражать другие компьютеры. Но в отличие от червей они начинают действовать только по команде хакера, за что их иногда называют управляемыми вирусами.

Черви приносят много вреда: воровство конфиденциальной информации, порча файлов, иногда даже доходит до порчи компьютера. Часто пораженную машину используют в заранее запрограммированной DoS-атаке как часть зомби-сети, когда определенный сервер в заданное время начинает получать огромное количество запросов на обслуживание с инфицированных компьютеров. При этом зарегистрированные пользователи не могут пробиться сквозь этот вал информации. В конце концов вирусописатель добивается своей цели — сервер падает.

К счастью, большую часть сетевых вирусов составляют обычные почтовые черви. Интернет-черви более сложны, требуют от хакера глубоких знаний, поэтому их разновидностей гораздо меньше.

* * *

За незащищенность пользователи больше всего ругают продукты Microsoft. Как только в них обнаруживается новая дырка, которую ловко использовал вирус последнего поколения, интернет-сообщество выражает свое громкое «фи» и хвалит альтернативные программы.

Но дело, конечно, не в том, что майкрософтовцы подходят к работе спустя рукава. Просто вирусы обычно пишутся под самые популярные программы — иначе им не выжить. Идеально же защищенных систем нет и никогда не будет. Зато вы можете позаботиться о безопасности своего компьютера уже сейчас — поставить сетевой фильтр, регулярно обновлять установленные программы (и не только те, которыми постоянно пользуетесь), использовать антивирус и брандмауэр. Если не позаботишься о себе сам, о тебе позаботятся вирусописатели.

Комментарии
Чтобы оставить комментарий, Войдите или Зарегистрируйтесь