На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Вирусные атаки

Компьютерные вирусы теперь способны делать то же, что и настоящие вирусы: пе­реходить с одного объекта на другой, изменять способы атаки и мутировать, чтобы проскользнуть мимо выставленных против них защитных кордонов.
Как в повторяющейся каждый год истории, когда эпидемиологическим центрам при­ходится гадать, от гриппа какой разновидности надо готовить вакцины к середине зимы, так и между появлением новых компьютерных вирусов и их «лечением» поставщика­ми антивирусных средств проходит время.
Поэтому необходимо знать, что случится, если новый не идентифицированный вирус попадает в вашу сеть, насколько быстро поможет антивирусное решение, скоро ли эта помощь достигнет всех клиентских настольных систем и как не допустить распрост­ранения такой заразы.
До широкого распространения Internet-вирусов было относительно немного, и они передавались преимущественно на дискетах. Вирусы достаточно просто было выявить и составить их список после того, как они проявили себя и нанесли вред. Если такой список содержал распознаваемые строки байт (сигнатуры) из программного кода, со­ставляющего вирус, то любой файл (или загрузочный сектор) можно было достаточно быстро просмотреть на предмет наличия такой строки. В случае ее обнаружения файл с большой степенью вероятности содержал вирус.
Большинство пользователей применяют этот метод и до сих пор. Проверка сигнатур вирусов пока является наилучшим способом защиты системы от вирусов.
Конечно, такой подход означает, что кто-то где-то был успешно атакован вирусом, когда вирус был еще неизвестен. Это является серьезной причиной для беспокойства, потому что сегодня вирусы распространяются с электронной почтой, а не через дис­кеты, а электронная почта — гораздо более быстрое и надежное средство обмена ин­формацией.
Если бы сейчас кто-нибудь «выпустил» такого червя, которого 2 ноября 1988 года
сотворил Роберт Тарран Моррис (младший), глобальный финансовый кризис был бы неминуем.


Червь Морриса вывел из строя до 20% компьютеров, подключенных тогда в Internet, что составило около 80 000 компьютеров. Сегодня это число равнялось бы 5 млн и бо­лее. Данный вирус «прошелся» по хостам и клиентским машинам. Если бы он был нацелен на маршрутизаторы, то, возможно, поразил бы всю сеть Internet. Ведь каж­дый выведенный из строя маршрутизатор — это около 100 тыс. остановленных ком­пьютеров. Более того, если из-за червя Морриса прервалось общение относительно немногочисленных университетских групп, исследователей и ученых, то отказ от об­служивания такого же масштаба сегодня привел бы к остановке бизнес-процессов. В ре­зультате миллионы людей не смогли бы выполнять свои профессиональные обязанно­сти. В 1988 году на восстановление ушло два дня, сейчас же это потребовало бы значительно больше времени.
Червь использовал изъяны, найденные Моррисом в исходном коде, в том числе незак­рытые «дыры» почтовой программы Sendmail, а также утилиты Finger. Он тиражировал себя с такой скоростью, какую не ожидал даже сам МорСам же
Моррис так и не признался, почему запустил червя, ставшего, по существу, первой в Internet атакой на отказ от обслуживания. Ему было тогда 24 года, он отлично разбирал­ся в Unix — операционной системе, которую использовал для создания и запуска вируса.
Тем не менее в 1990 году после судебного разбирательства по иску, поданному пра­вительственными органами, он получил три года условно, штраф в размере тыс.
долларов и 400 часов общественных работ.
Эта громкая история привлекла внимание всей мировой общественности. Атака стала катализатором исследований, направленных на повышение защищенности
Internet. Уже спустя примерно две недели после этой атаки Министерство обороны
связалось с Институтом разработки программного обеспечения (Software Engineering Institute, SEI) Университета Карнеги-Меллона и предложило создать централизован­ную организацию, которая могла бы ликвидировать аналогичные кризисные ситуации в будущем. В итоге был образован CERT.
Как показала эпидемия вируса Melissa в 1999 году, при распространении вирусов с помощью электронной почты тысячи компьютеров могут быть инфицированы за не­сколько часов, поэтому просто не остается времени на неспешное выяснение, что не­кий код действительно является вирусом, помещение его в следующий набор сигнатур вирусов и отправку с очередным обновлением антивирусного продукта.
Melissa и ее потомки демонстрируют чрезвычайную точность метафоры: особо ви­рулентные штаммы склонны к быстрой мутации, благодаря чему они более устойчивы к традиционным противоядиям.
Если бы все вирусы действовали подобно червю Морриса, это было бы не так страш­но. Но все больше опасных инфекций оказываются смертельными. Целая колония но­вых вирусов занимается уничтожением файлов. Например, вирус Explorer.zip немед­ленно уничтожает все файлы с документами, как только их находит.
Конечно, доля вирусов, намеренно уничтожающих данные, но общее
их число растет отчасти потому, что писать вирусы стало намного проще. Так называ­емые макровирусы легко поддаются изучению и анализу. Для этого злоумышленни­ку не надо ни редакторов, ни дисассемблеров кода.


Макровирусы представляют собой простые текстовые компоненты обычного офис­ного настольного приложения, поэтому создание новой разновидности — это всего
лишь несколько операций вырезания и вставки (причем обычно новый вирус имеет
иную сигнатуру). Вдобавок, традиционные исполняемые вирусы становятся все хит­рее: в некоторых из них предусмотрены собственные периодические мутации.
Сейчас по миру «гуляют» более 300 вредоносных программ, представляющих се­рьезную угрозу компьютерам пользователей. И это лишь малая часть из 50 тыс. вре­доносных программных кодов, известных на сегодняшний день.
По словам директора Антивирусного исследовательского центра компании Symantec, они ежедневно получают, в среднем, около новых копий вирусов, хотя большинство из них не реализуются.
Пик активности вирусов обычно приходится на осень и на период после зим­них праздников. Именно тогда заканчиваются каникулы в колледжах, во время ко­торых юные программисты получают возможность практиковаться в создании но­вых вирусов.
Макровирусы, которые инициируются автоматическими задачами внутри таких программ, как Microsoft Word, сегодня представляют серьезнейшую угрозу. Виру­сы добрались и до файлов с расширением RTF, ранее считавшиеся не подвержен­ными воздействию вирусов. Существуют также более сложные варианты - поли­морфные и скрытые вирусы, которые мимикрируют, меняя свою внутреннюю структуру.
Помимо вирусов, очень опасны другие типы вредоносного программного обеспе­чения:
троянские кони; черви;
□ враждебные апплеты Java.
Троянский конь, как видно по названию, представляет собой программу, которая
на первый взгляд абсолютно безвредна, но имеет скрытую функцию, способную нане­сти вред компьютеру. Троянский конь обычного типа часто распространяется по элек­тронной почте с целью скопировать пароль доступа компьютера, а затем пересылает украденные данные анонимному получателю.
Черви используют такие компьютерные ресурсы, как память и сетевая полоса про­пускания, замедляя работу и компьютеров, и серверов. Кроме того, черви иногда уда­ляют данные и быстро распространяются по электронной почте.
Враждебные апплеты Java служат для захвата информации или наносят ущерб компьютерам пользователей, которые посещают Web-узлы конкурентов. Пользо­ватель может стать жертвой таких программ, когда щелкает на ссылке, получен­ной им по электронной почте. Хотя до сих пор враждебные апплеты не наносили серьезного ущерба, именно от них в будущем стоит ждать самых страшных разру­шений.
уже говорилось, одни вирусы после их написания не используются (но могут), другие же, наоборот, используются очень активно. Хроника вирусного вредительства может быть проиллюстрирована следующими примерами. Так, компания Sophos опуб­ликовала очередной перечень вирусов, наиболее часто встречавшихся в июне 2000 года. Их перечень представлен в табл. 1.1.


Таблица 1.1. Перечень наиболее распространенных в июне 2000 г. вирусов.
VBS/Kakworm 28,5%
VBS/Stages-A 16,9%
VBS/LoveLetter 7,4%
WM97/Melissa 3,2%
W32/Ska-Happy99 2,8%
WM97/Marker-C 2,5%
2,1%
WM97/Marker-0 2,1%
2,1%
WM97/Class-D 2,1% Прочие 30,3%
Как видно из табл. 1.1, вирус VBS/Kakworm остается наиболее часто встречаю­щимся в мире, хотя Microsoft выпустила патч от него. Данный вирус использует «дыры» в MS Internet Explorer и MS Outlook, что означает возможность заразить компьютер уже при чтении почты, даже не запуская присоединенный файл. Его вредоносность во многом зависит от беззаботности владельцев компьютеров.
Кроме перечисленных, есть еще многие другие вредоносные программы, использу­ющие различные «средства передвижения» и прикрытие. Например, вирус Serbian Badman предназначен для соединения с Web-сервером, загрузки оттуда троянца SubSeven и его инсталляции. Serbian Badman распространяется как эротический видеоклип в фай­ле mpg.exe. Для введения пользователя в заблуждение и скрытия того, что файл исполняемый, в его имени содержатся буквы «mpg» (как для формата MPEG). Кроме того, есть пиктограмма, представляющая видео в этом формате для ОС Windows.
При загрузке данного файла из newsgroup и попытке его визуализации (двойным
щелчком) вирус Serbian Badman активизируется, соединяется с сайтом и загружает
троянский вирус SubSeven, с помощью которого реализуется удаленное управление зараженными системами. В дополнение к действиям, общим для большинства троянс­ких вирусов, SubSeven может записывать звуки (если зараженный компьютер обору­дован микрофоном и звуковой картой), а также производить видеозаписи WebCam и QuickCams. В число других операций входят: О функции ICQ Spy и регистрации паролей;
□ модернизация серверной программы через URT-адрес;
□ редактирование Windows Registry;
□ изменение конфигурационных установок Windows.
На сегодняшний день не забыты и Internet-черви, подобные написанному Морри­сом. Вот лишь некоторые из них.
Червь Jer использует «топорный» метод проникновения в компьютер. На Web-сайт добавляется скрипт-программа (тело червя), которая автоматически активизируется


при открытии соответствующей HTML-страницы. Затем выдается предупреждение о том, что на диске создается неизвестный файл. Тонкий расчет сделан на то, что пользо­ватель автоматически ответит Да, чтобы отвязаться от назойливой скрипт-програм­мы. Тем самым он пропустит на свой компьютер Internet-червя. Именно таким обра­зом 2 июля 2000 года автор вируса Jer разместил этого червя на одном из сайтов системы Geocities. Заголовок сайта содержал заманчивый текст THE 40 WAYS WOMEN FAIL IN BED (40 ВАРИАНТОВ ЗАТАЩИТЬ ЖЕНЩИНУ В ПОСТЕЛЬ). Затем информа­ция об этой странице была анонсирована в нескольких каналах/ЩЬйепк* Relay Chat), после чего количество посещений этой страницы превысило в первый же день. Червь Jer не обладает серьезным деструктивным воздействием. Его код содержит ряд ошибок, из-за которых он распространяется только по каналам IRC, но не по элект­ронной почте. Само появление этого червя свидетельствует о вхождении в моду но­вой технологии «раскрутки» вирусов в Internet.
Существуют и более опасные экземпляры. Для проведения разрушительных действий в теле червя Dilber, например, интегрированы 5 различных вирусов, среди которых та­кие опасные экземпляры, как Чернобыль, Freelink и SK. Каждого из них Dilber активи­зирует в зависимости от текущей даты. Несмотря на столь внушительный разрушитель­ный заряд, данный Internet-червь не представляет большой опасности для пользователей. Из-за незначительной ошибки, допущенной в коде программы, она неспособна к разм­ножению, т. е. рассылке своих копий по электронной почте или по локальной сети.
Internet-червь Scrapworm (VBS/Stages) был выложен злоумышленником на автор­ском сайте. Через несколько дней этот червь был обнаружен в «диком виде» практи­чески во всех странах мира. Вирус обладает потенциалом обрушить почтовые серве­ры и, в то же время, не слишком опасно воздействует на инфицированные компьютеры. Червь распространяется, в основном, через электронную почту с помощью MS Outlook, но может использовать и каналы IRC. Причем эта программа рассылает сразу по сообщений. Есть и другие имена этого червя: IRC/Stagesworm, IRC/Stages mi, LIFESTAGES TXT SHS, ShellScrap Worm, VBS/ LifeStages, VBS/Stages 14558, VBS/ Stages.2542, VBS/Stages worm, VBS STAGES.
Первый год нового тысячелетия немногим отличается от предыдущего. По Internet вновь гуляет вирус под названием Code Red П. Он представляет собой Internet-червя, распространяющегося через электронную почту. Вирус довольно вредный. Мало того, что, рассылая сам себя, он загружает каналы связи, он еще является троянской про­граммой, позволяющей получить удаленный контроль над зараженным компьютером.
Единственное, что может радовать многих пользователей компьютеров: вирус Code
Red II может осуществлять свою вредоносную деятельность только на компьютерах с Microsoft IIS, работающих под Windows 2000, то есть на Web-серверах, поэтому на­вредить офисным и домашним компьютерам он не может. К тому же, уже выпущено «противоядие» от этого вируса.
В настоящее время появился более опасный вирус, распространившийся даже в больших масштабах, чем широко известные LoveLetter и Melissa вместе взятые, — это вирус SirCam. Он поражает в том числе и домашние компьютеры, а также спосо­бен отправлять во все концы света не только себя самого, но и произвольные части файлов, находящихся на жестком диске зараженного компьютера. А файлы эти могут быть любые, в том числе и те, которые вы бы не хотели показать посторонним.


Пострадал от компьютерного вируса и отдел ФБР по координированию борьбы с ки-бератаками. Вирус был получен с электронной почтой и не распознали, хотя на компь­ютере была установлена последняя версия антивирусной программы. Как только вирус обнаружили, были приняты необходимые меры, однако они не смогли блокировать рас­пространение вируса, попавшего на один из компьютеров отдела и с него распростра­нившегося дальше. Вирус отправился по всем электронным адресам, которые он нашел на зараженном компьютере.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика