18/10/2004, Олег Сыч, руководитель антивирусной лаборатории ООО "Украинский Антивирусный Центр"
В настоящее время все мы можем наблюдать повальную информатизацию нашего
общества. Там, где ещё вчера работа велась дедовским методом (кипы бумаг, счёты,
калькуляторы), сегодня всё чаще и чаще мы видим компьютеры. Количество компьютеров
растёт, их объединяют в локальные сети и со временем, как правило, подключают
к глобальной сети Интернет (или, по крайней мере, к некоторым её сервисам, таким
как электронная почта). А вместе с тем люди, которых поставили перед фактом,
что отныне они должны делать свою работу с использованием передовых технологий
вычислительной техники, не имеют ни малейшего опыта работы с компьютерами. И
если непосредственную работу они хоть как-то худо-бедно учатся делать (запоминая
на какие кнопочки, и в каком порядке надо нажимать), то обо всех подстерегающих
их опасностях не имеют ни малейшего представления.
Именно отсюда и все наши беды: тысячи пользователей, которых принудительно
посадили за клавиатуру, не научив толком как ею пользоваться. Ну что, к примеру,
может знать о вирусах или уязвимостях Internet Explorer женщина-бухгалтер подпенсионного
возраста, которая всю жизнь пользовалась древнейшим компьютером - счётами.
За долгие годы работы в сфере антивирусной безопасности специалистами Украинского
Антивирусного Центра выведена закономерность: если организацией используются
компьютеры (не обязательно даже объединённые в локальную сеть), активно используется
Интернет (или хотя бы электронная почта) и не применяются антивирусные средства
(или не обновляются базы антивирусных продуктов) то с 99%-ой уверенностью можно
сказать - в организации есть вирусы. И пусть до поры до времени они себя никак
не проявляют, но это бомба. И рано или поздно эта бомба взорвётся.
Вообще в последние 2 года наибольшим источником компьютерных вирусов является
именно глобальная сеть Интернет. Из нее к пользователям попадают минимум 95%
всех вредоносных программ.
По определению вирусами являются программы, которые имеют возможность создавать
свои копии, которые в свою очередь сохраняют способность к размножению (размножение
- главное свойство вируса). Но это определение вируса в узком смысле этого слова.
В широком же смысле слова мы называем вирусами как собственно сами вирусы, так
и: Internet-черви, сетевые черви, троянские программы, утилиты скрытого администрирования.
Вирусы.
Сами вирусы в узком смысле этого слова ранее были наиболее массовым типом вредоносных
программ. Наиболее распространённые из них нынче: Win95.CIH, Win32.Funlove,
Win32.Elkern. Но сейчас они потеряли былую "популярность". Связано
это, прежде всего с тем, что переносятся такие вирусы с компьютера на компьютер
через исполняемые файлы. Нынче же пользователи всё реже и реже переписывают
друг у друга программы. Чаще меняются компакт дисками или ссылками всё в той
же глобальной сети. Хотя естественно полностью этот класс вредоносных программ
не вымер, и время от времени мы слышим о заражении компьютеров всё тем же "Чернобылем"
(WinCIH) или ещё чем-то до боли знакомым.
Кроме того существует огромное наследие: десятки тысяч вирусов, написанных
для операционной системы MS DOS. Большинство этих вирусов не могут существовать
в современных версиях Windows, и тем не менее остаётся угроза, что кто то случайно
или намеренно активизирует на компьютере вирус, нанеся тем самым непоправимый
вред.
Internet-черви.
Самым распространённым типом вирусов в последние два года являются Интернет
черви. Именно они представляют главную угрозу для всех пользователей глобальной
сети. Почти все Интернет черви - это почтовые черви, и лишь малая доля - это
непочтовые черви, применяющие уязвимости программного обеспечения (как правило,
серверного). Примеры непочтовых Internet-червей: IIS-Worm.CodeRed, IIS-Worm.CodeBlue,
Worm.SQL.Helkern.
Почтовые черви можно делить на подклассы по-разному, но для конечного пользователя
они делятся на два основных класса:
Черви, которые запускаются сами (без ведома пользователя);
Черви, которые активизируются, только если пользователь сохранит присоединённый
к письму файл и запустит его.
К первому типу относятся черви, которые используют уязвимости (ошибки) почтовых
клиентов. Чаще всего такие ошибки находятся в почтовом клиенте Outlook, а вернее
даже не в нём, а в Интернет браузере Internet Explorer. Дело в том, что MS Outlook
создаёт письмо в виде HTML страницы и при отображении этих страниц он использует
функции браузера Internet Explorer.
Наиболее распространённая уязвимость, применяемая червями, ошибка IFRAME. Применяя
соответствующий код, вирус имеет возможность при просмотре письма автоматически
сохранить присоединённый к письму файл на диск и запустить его. Самое обидное
то, что данная уязвимость обнаружена более двух лет назад. Тогда же компанией
Microsoft выпущены заплатки для всех версий браузера Internet Explorer, исправляющие
эту ошибку. И, тем не менее, черви, применяющие данную уязвимость, по-прежнему
являются наиболее распространёнными (I-Worm.Klez, I-Worm.Avron, I-Worm.Frethem,
I-Worm.Aliz).
Почтовые черви второго типа рассчитаны на то, что пользователь, по каким то
соображениям сам запустит программу, присоединённую к письму. Для того чтобы
подтолкнуть пользователя к запуску инфицированного файла авторами червей применяются
различные психологические ходы. Самый распространённый приём - выдать зараженный
файл, за какой то важный документ, картинку или полезную программку (I-Worm.LovGate
создаёт ответы на письма, содержащиеся в почтовой базе; I-Worm.Ganda маскируется
под информацию о боевых действиях в Ираке). Практически всегда червями применяются
"двойные расширения". В этом случае присоединённый файл имеет имя
вроде: "Doc1.doc.pif", "pict.jpg.com". Данный принцип рассчитан
на то, что почтовые клиенты не отображают полное имя файла (если оно слишком
длинное), и пользователь не увидит второго расширения, которое и является "реальным".
То есть пользователь думает, что файл является документом или картинкой, а тот
на самом деле является исполняемым файлом с расширением вроде: EXE, COM, PIF,
SCR, BAT, CMD и т.п. Если такой файл "открыть", то тело червя активизируется.
Кроме основной функции, размножения, черви почти всегда несут в себе и боевую
нагрузку. Действительно, зачем писать червя и выпускать его "в свет",
предварительно не заложив бомбу. Вложенные функции чрезвычайно разнообразны.
Так, например, очень часто почтовые черви призваны для того, чтобы установить
на зараженный компьютер троянскую программу или утилиту скрытого администрирования
и сообщить адрес компьютера творцу червя. Не редко просто уничтожают информацию
или просто делают невозможной дальнейшую работу на компьютере. Так червь I-Worm.Magistr
выполнял те же действия, что и печально-известный WinCIH - стирал содержимое
FLASH BIOS и затирал мусорными данными информацию на жёстком диске.
В любом случае, независимо от наличия или отсутствия вредоносных функций и
их "опасности" почтовые черви вредны уже только потому, что они существуют.
Это связано с тем, что при размножении они загружают каналы связи и нередко
настолько, что полностью парализуют работу человека или целой организации.
Макро-вирусы.
Вторыми по распространённости в диком виде являются макро-вирусы. Данные вирусы
являются макросами, хранящимися во внешних файлах программного обеспечения (документах
Microsoft Office, Autocad, CorelDRAW и пр.) и при открытии документа исполняются
внутренними интерпретаторами данных программ. Широкое распространение они получили
благодаря огромным возможностям интерпретатора языка Visual Basic, интегрированного
в Microsoft Office.
Излюбленным местом обитания этих вирусов являются офисы с большим документооборотом.
В таких организациях людям, работающим за компьютерами (секретари, бухгалтеры,
операторы ЭВМ) некогда заниматься такими мелочами как компьютерные вирусы. Документы
лихо переносятся с компьютера на компьютер, без какого либо контроля (особенно
при наличии локальной сети).
К сожалению, людям свойственно не воспринимать всерьёз макровирусы, а напрасно.
На самом деле макрос, написанный на языке VBA и интегрированный в документ того
же Word или Excel, обладает всеми теми же возможностями, что и обычное приложение.
Он может отформатировать Ваш винчестер или просто удалить информацию, украсть
какие то файлы или пароли и отправить их по электронной почте. Фактически вирусы
этого класса способны парализовать работу целого офиса, а то даже и не одного.
Опасность макровирусов заключается ещё и в том, что распространяется вирус
целиком в исходном тексте. Если человек, к которому попал вирус, более-менее
умеет писать на Visual Basic, то он без труда сможет модифицировать вирус, вложить
в него свои функции и сделать его невидимым для антивирусов. Не забывайте, что
авторы вирусов пользуются теми же антивирусными программами и модифицируют свои
вирусы до тех пор, пока те не перестают детектироваться антивирусами. Фактически,
таким образом, рождаются новые модификации уже известных вирусов, но для того,
чтобы данный вирус обнаруживался антивирусом, он сначала должен попасть в антивирусную
лабораторию и только после этого будут добавлены функции детектирования и обезвреживания
новой модификации. Так специалистам Украинского Антивирусного Центра известно
более 100 модификаций вируса Macro.Word97.Thus, более 200 модификаций Macro.Word97.Marker
и более 50 модификаций Macro.Word97.Ethan (здесь речь идёт о модификациях, значительно
отличающихся друг от друга, что требует добавления дополнительных модулей детектирования
и лечения данных модификаций вирусов).
Троянские программы и утилиты скрытого администрирования.
Следующими по распространённости являются Trojan и Backdoor программы. Отличие
этих двух типов программ заключается в том, что троянская программа выполняет
активные действия (уничтожение данных, сбор данных и отправка через Internet,
выполнение каких либо действий в определённое время), в то время как Backdoor-программы
открывают удалённый доступ к компьютеру и ожидают команды злоумышленника. Для
простоты будем называть оба этих класса троянскими программами.
Главное отличие "троянов" от всех перечисленных выше творений человеческого
разума является то, что троянские программы не размножаются сами. Они единоразово
устанавливаются на компьютер и долгое время (как правило, либо до момента обнаружения,
либо до переустановки операционной системы по какой либо причине) выполняет
свои функции. При этом троянский конь не может самостоятельно переместиться
с одного компьютера в локальной сети на другой.
Так почему же Трояны так распространены. Причина таится именно в том, что они
максимально "полезны" и незаметны. Часто они являются спутниками сетевых
или почтовых червей. Так, почтовый червь I-Worm.LovGate при попадании на компьютер
устанавливает в систему backdoor модуль, открывающий доступ к компьютеру по
TCP/IP и отправляет разработчику червя письмо, в котором указывается имя пользователя,
имя компьютера и сетевой адрес зараженного компьютера.
Все троянские программы можно разделить на три основных класса по выполняемым
действиям:
Логические (временные) бомбы - программы, различными методами удаляющие/модифицирующие
информацию в определённое время, либо по какому то условию.
Шпионы - собирающие информацию (имена, пароли, нажатия на клавиши) и складирующие
её определённым образом, а не редко и отправляющие собранные данные по электронной
почте или другим методом.
Собственно BackDoor программы - удалённое управление компьютером или получение
команд от злоумышленника (через локальную/глобальную сеть, по электронной
почте, в файлах, от других приложений, например тех же червей или вирусов).
Одинаково опасны все три типа программ. Каждый из них способен либо уничтожить
данные, либо украсть ценную информацию (хотя бы те же имена и пароли доступа
к различным ресурсам).
Стоит отметить, что многие троянские программы постоянно обновляются, выходят
всё новые и новые модификации. Учитывая то, что троянская программа не может
попасть к вам случайно, злоумышленник старательно выбирает: какой бы троян вам
установить. Очень велика вероятность того, что он пойдёт в Интернет и выкачает
что то свеженькое. Именно поэтому необходимо регулярно обновлять базы антивирусного
продукта. И если вы активно пользуетесь Интернетом, рекомендуем обновлять антивирус
минимум раз в неделю (хотя конечно идеально было бы обновляться каждый день).
В завершение хотелось бы сказать: процесс развития вирусов и антивирусов -
это постоянная война технологий. Регулярно в вирусах реализовываются оригинальные
идеи, что требует адекватных действий от разработчиков антивирусного ПО. Поэтому
рядовому пользователю рекомендуется следить за новостями на сайтах антивирусных
компаний и прислушиваться к советам специалистов по информационной безопасности
о необходимости обновления программного обеспечения (не только антивирусного)
или выполнении специфических действий по улучшению защищённости ПК.