Донецкий техникум промышленной автоматики

Атака з-під землі. Типологія комп'ютерних вірусів, частина 2

«Ваш комп'ютер був атакований з адреси ****. Тип атаки - Helkern. Атака була успішно відбита », - кілька разів рапортував Kaspersky Anti- Hacker за час написання цієї статті, наочно демонструючи, наскільки широко поширені інтернет-черви. У класичному поданні хробаки не є вірусами. Це один з різновидів шкідливих програм, до яких відносяться і трояни, і ворожі Java-аплети, і руткіти - останнє слово вірусопісательской думки. Але зараз всіх цих паразитів найчастіше розглядають в рамках загальної класифікації комп'ютерних вірусів. Ми теж не будемо відходити від прийнятих правил.

Сам термін «комп'ютерні хробаки» народився під впливом фантастичних романів Девіда Геральд і Джона Браннера. Хробаками називають один з видів самовідтворюються програм, яким для життя і поширення необхідні комп'ютерні мережі.

Всі віруси подібного типу використовують оперативну пам'ять зараженої машини. Деякі (резидентні) черви інфікують лише завантажені в ОЗУ утиліти. У такого вірусу мало часу (він буде знищений при перезавантаженні) і обмежене число цілей, на які можна натрапити (все, що знаходиться в оперативці). Одним з представників безтілесних хробаків є Helkern (він же Slammer).

Епідемія цієї зарази триває донині. Фахівці говорять про унікальною технологією зараження і виключно високій швидкості поширення Helkern. Вірус атакує сервери під управлінням системи баз даних Microsoft SQL Server 2000. Уражена машина отримує нестандартний запит, після чого виконує заховані в коді запиту 376 байт тіла Helkern. У відповідь черв'як запускає нескінченний цикл самовідтворення. З ураженого сервера в усі кінці світу відправляються копії. Так що адреса, з якого атакований комп'ютер користувача, вказує не на зловмисника, а на одну з жертв - зараженого користувача.

Нерезидентні черви зберігають на жорсткому диску файл з кодом і вживають заходів, щоб при наступному запуску Windows роздобути управління системою (прописують в реєстрі відповідні ключі).

«Ваш комп'ютер був атакований з адреси ****

При кожному сеансі зв'язку Kaspersky Anti-Hacker доводиться відбивати безліч атак інтернет-хробаків.

Найбільш поширені поштові черв'яки (E-mail-Worms), які проникають на комп'ютер у вигляді вкладень в листи. 26 березня 1999 року пандемія поштового хробака Melissa за кілька годин охопила весь світ. Постраждали тисячі користувачів Microsoft Word і Microsoft Outlook (вірус був націлений саме на ці програми). Зазвичай черв'яки проникають в оперативну пам'ять комп'ютера і збирають інформацію про адреси електронної пошти, з якими користувач мав справу. При наступному з'єднанні з мережею адресатам відправляються «червиві» листи. Поштові віруси, крім оперативної пам'яті, можуть взагалі не використовувати ресурси ураженого комп'ютера. Хоча іноді створюють свої робочі файли на жорстких дисках.

Ще зовсім недавно існувала думка, що зараження можна уникнути, якщо не відкривати вкладень до підозрілих листів або від невідомих адресатів. Дійсно, велика частина черв'яків поширюються по e-mail в надії на те, що користувачі самі запустять програму. Але ніхто чомусь не хоче з власної волі заражати свій комп'ютер, і вирусописатели йдуть на різні хитрощі. Найпростіший спосіб обману - видати вірус за корисне послання. Найчастіше довірливих користувачів ловлять на яке-небудь привабливу пропозицію ( «Краща shareware-гра безкоштовно», «101 спосіб схуднути»). У хід йдуть навіть гучні політичні події. Наприклад, I-Worm.Ganda ховає своє тільце в повідомленнях про хід бойових операцій в Іраку. Найбільш просунуті віруси, такі як I-Worm.LovGate, навчилися писати «відповіді» на листи, які черв'як виявив у поштовій базі. Єзуїтська хитрість! Хто відмовиться подивитися пошту від своїх знайомих?

Щоб змусити одержувача відкрити додаток до листа, віруси маскуються під нешкідливі файли - картинки, текстові документи. Для цього черв'яки використовують подвійні розширення. Наприклад, «101 Sex and more. doc. exe »або« Оголена Анжеліна Джолі. jpg. exe ». Хитрість в тому, що останнє - справжнє - розширення файлу відстоїть від фальшивого на десяток прогалин. Неуважний користувач побачить у вікні поштового клієнта тільки першу частину назви. Справжнє ж розширення не відображається, оскільки для відображення такого довгого імені не вистачає місця (точки, що натякають на продовження, зауважує не кожен). Клікнувши мишкою по «картинці», людина не побачить оголеною Анжеліни, зате запустить вірус.

Найвідомішим представником черв'яків цього типу став VBS.SST@mm. Його виявили в лютому 2001 року. Вірус розсилав свої копії в листах з заголовками «Here you have», «Here you go», «Here you are». Сам лист закликало ( «Hi: Check This!») Подивитися картинку тенісистки Анни Курнікової. Природно, «картинка» мала подвійне розширення - AnnaKournikova.jpg.vbs. Черв'як був написаний на скрипт-мові Visual Basic Script (звідси і розширення VBS). Півтора мільйона людей проковтнули наживку і побажали на власні очі оцінити красу королеви великого тенісу, однак замість секс-бомби знайшли в листі бомбу логічну. Але найгучніше виступ поштового хробака зареєстровано в 2000 році. 1 травня в Гонконзі працівники офісів стали отримувати електронні листи з інтригуючою темою «I Love You» і вкрай небезпечним вірусом I-Worm.LoveLetter.

LoveLetter

Електронна пошта зазвичай нашпигована хробаками, як консервна банка у хорошого рибалки.

Фрактальна графіка, відома також як «червиві візерунки». Ядро багатьох комп'ютерних черв'яків теж базується на фрактальних алгоритмах.

Зловмисники розраховували на людська цікавість - цікаво ж дізнатися ім'я таємного залицяльника. І не прорахувалися. Вже до 5 травня нанесений збиток оцінювався в $ 1,5 млрд. Всього ж поштовий черв'як уразив понад три мільйони комп'ютерів з встановленим Microsoft Outlook (ві рус міг використовувати дані з адресної книги тільки цього поштового клієнта). Результат не залишився непоміченим - вірус I Love You занесений в книгу рекордів Гіннеса як найбільш руйнівний в світі. Однак тут потрібно відзначити, що в своєму первозданному вигляді черв'як існував недовго. Однією з причин, по якій він так швидко поширився, є його висока мутагенність. Вірус стрімко змінювався - вже на четвертий день після виявлення він встиг мутувати тричі. А в кінці листопада в поштові скриньки приходили листи із загадковою темою «US PRESIDENT AND FBI SECRETS = PLEASE VISIT => (HTTP: //WWW.2600.COM)<=». Бажаючі дізнатися всі секрети ФБР і президента США отримували в подарунок 44-ю версію все того ж I-Worm.LoveLetter.

LoveLetter

«Антихакер» відбиває чергову атаку всюдисущого Helkern. Для звичайного користувача черв'як не є небезпечним, а ось для якого-небудь сервера - дуже навіть небезпечний.

Якщо поштові віруси користувач запускає на своєму комп'ютері сам, то інтернет-черви в подібних послугах не потребують - а тому вони набагато небезпечніше. Віруси цього типу працюють в автономному режимі. Для проникнення на комп'ютер жертви вони використовують помилки програмного забезпечення. У більшості випадків метою стають виявлені хакерами діри в браузері Internet «Ослик» Explorer. Ви можете користуватися будь-яким іншим браузером, але якщо в якості поштового клієнта на вашій машині працює Microsoft Outlook, черв'як пролізе через проломи IE.

Справа в тому, що Outlook формує листи як звичайні HTML-сторінки і виводить їх на екран кошти Internet Explorer. Тому «Ослика» потрібно патчить постійно. Найчастіше використовується помилка IFRAME, вона дозволяє черв'якам автоматично зберігати і запускати приєднаний до листа файл (вам достатньо лише переглянути таке послання). Незважаючи на те що Microsoft оперативно випустила латочку (більше двох років тому), віруси досі активно користуються знайденої лазівкою. На жаль, це не єдина вразливість.

Найпоширеніші інтернет-черви - I-Worm.Klez, Worm.SQL.Helkern, I-Worm.Frethem, IIS-Worm.CodeRed, I-Worm.Aliz - знаходять інші проломи в захисті IE. Проблеми зазвичай виникають у користувачів піратського софту, адже поновлення їм недоступні. «Ослик» залишається без латок і незабаром починає «водити дружбу» з хробаками.

Морські черв'яки часто живуть в симбіозі з іншими мешканцями моря. Інтернет-черв'яки нерідко вступають в симбіоз з троянами.

Структура таких вірусів буває різною, але найчастіше в ній можна виділити інфекційну і бойову частину. Перша потрібна для зараження об'єктів і розмноження. Вона являє собою експлойт - спеціальний код, який націлений на помилки в певних програмах. Це ключ, за допомогою якого черв'як проникає в систему. Бойова частина представлена ​​тілом вірусу і вкладеними функціями, за допомогою яких реалізуються задумані творцем дії. Часто метою стає установка на комп'ютер користувача троянської програми або передача керування машиною хакеру. Тобто вірус поширюється не сам по собі, а разом з іншими шкідливими програмами (і не з одного, а з цілим букетом). У деяких випадках на заражену машину таємно встановлюються бекдори (backdoor) - троянські утиліти віддаленого адміністрування. В їх число входять троянці сімейства Downloader (для закачування інших інструментів), Dropper (інсталятори), PSW-трояни (для крадіжки паролів). Деякі з подібних «наборів» можуть самостійно поширюватися по Мережі і заражати інші комп'ютери. Але на відміну від черв'яків вони починають діяти тільки по команді хакера, за що їх іноді називають керованими вірусами.

Черви приносять багато шкоди: злодійство конфіденційної інформації, псування файлів, іноді навіть доходить до псування комп'ютера. Часто уражену машину використовують в заздалегідь запрограмованої DoS-атаці як частина зомбі-мережі, коли певний сервер в заданий час починає отримувати величезну кількість запитів на обслуговування з інфікованих комп'ютерів. При цьому зареєстровані користувачі не можуть пробитися крізь цей вал інформації. Зрештою вирусописатели домагається своєї мети - сервер падає.

На щастя, більшу частину мережевих вірусів складають звичайні поштові черв'яки. Інтернет-черви більш складні, вимагають від хакера глибоких знань, тому їх різновидів набагато менше.

За незахищеність користувачі найбільше лають продукти Microsoft. Як тільки в них виявляється нова дірка, яку спритно використовував вірус останнього покоління, інтернет-спільнота висловлює своє гучне «фе» і хвалить альтернативні програми.

Але справа, звичайно, не в тому, що майкрософтовци підходять до роботи абияк. Просто віруси зазвичай пишуться під найпопулярніші програми - інакше їм не вижити. Ідеально же захищених систем немає і ніколи не буде. Зате ви можете подбати про безпеку свого комп'ютера вже зараз - поставити мережевий фільтр, регулярно оновлювати встановлені програми (і не тільки ті, якими постійно користуєтеся), використовувати антивірус і брандмауер. Якщо не подбати про себе сам, про тебе подбають вирусописатели.

Хто відмовиться подивитися пошту від своїх знайомих?