Компьютерные вирусы

В итоге расследования автором вирусов был назван 17-летний школьник из Германии, запустившим мировую эпидемия в качестве подарка себе на день рождения. Из-за несовершеннолетия он избежал какого-либо наказания.

С этого момента эксперты перестают подсчитывать ущерб от вирусов, т.к. суммы переваливают за десятки и сотни миллиардов долларов.

В ноябре 2004 года появляется и первый червь распространяющийся только через веб-сайты. Santy был написан на скриптовом языке Perl и использующий уязвимости форумов на phpBB. Вирус просто отправлял в гугл запрос, содержащий строку «Powered by phpBB», и получал таким образом адреса атакуемых форумов. Затем, сформировав некорректный запрос к файлу viewtopic.php, получал возможность выполнять на сервере произвольный код и заменял содержимое всех файлов с расширением asp, htm, jsp, php, phtm, shtm на «This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation X», где X — номер поколения червя.

Уже за сутки с момента своего появления 20 декабря 2004 червём было удачно атаковано 40 тысяч сайтов. На вторые сутки Google уже не проводил поиск по фразе «Powered by phpBB». После этого появились модификации червя, использующие другие поисковые системы.

2007 год — эра ботнетов. Теперь вирусы не просто инфицируют сайты, они создают ботнеты и защищают их. Червь Storm появился 17 января 2007 года и только за первую неделю заразил два миллиона компьютеров.

По инерции Storm называют «червём», хотя на самом деле эта зараза комплексного характера, и помимо метода распространения, характерного для почтовых червей, Storm Worm имеет функции трояна/бэкдора, а также может выполнять роль «DDoS-бота» — программы, используемой для проведения DDoS-атак.

Но главной проблемой является даже не сам червь, а созданная им сеть заражённых компьютеров. Её точные размеры точно не известны, но по некоторым оценкам, количество компьютеров-«зомби» уже перевалило за несколько десятков миллионов. Таким образом, совокупная вычислительная мощь ботнета, созданного Storm, может в разы превосходить самые мощные суперкомпьютеры планеты.

Известный специалист в области компьютерной безопасности Брюс Шнайер в октябре утверждал, что размеры ботнета по-прежнему колеблются между 1 и 50 миллионами. По мнению Шнайера, Storm — это будущее вредоносных программ как таковых. Ботнет Storm ведёт себя как колония муравьёв с чётким распределением ролей между машинами.

Эпидемия червя началась с компьютеров в Европе и Соединенных Штатах 19 января 2008 года, когда, прикрываясь темой урагана в Европе, пользователям повалились письма с предложением открыть вложенный файл с названиями Full Clip.exe, Full Story.exe, Read More.exe или Video.exe.

Все попавшиеся на удочку машины автоматически объединялись в ботнет, но в отличие от других сетей, он не использовал специальный управляющий сервер, доступ к которому легко перекрыть. Принцип управления Storm больше напоминает пиринговую сеть, в которой зараженные ноды подключаются к своему управляющему хосту (он руководит обычно 30-45 зомби), а хосты взаимодействуют между друг другом. Причем роль хоста в случае необходимости может занять любая из нод. Вся сеть устроена так, что полного списка нодов нет ни у кого, поэтому точные размеры ботнета так и остались загадкой.

Помимо функций по работе с ботнетом, Storm устанавливает в системе руткит: Win32.agent.dh, посредством которого держатели ботнета могли стащить любую конфиденциальную информацию, рассылать спам и устраивать мощные DDoS-атаки.

Как утверждает Джош Корман, сотрудник подразделения IBM Internet Security Systems, червь Storm отслеживает IP-адреса, с которых совершаются попытки зондирования его управляющих серверов, и организует DDoS-атаки на эти адреса. По словам эксперта, в результате исследователи, которым удалось собрать какие-то факты о Storm, боятся их публиковать.

2010 год стал поворотным пунктом в истории компьютерной безопасности, т.к. вирус Stuxnet вывел из строя атомную программу Ирана. Используя уязвимость Microsoft Windows, вирус заражал компьютеры, но ничем себя не выдавал — его целью были контроллеры марки Simatic Step 7, использующиеся в центрифугах для обогащения урана. Stuxnet скрытно прописывает себя на программируемые чипы (их используют для контроля за производством), маскируется и убивает какой-то важный процесс. Не случайный процесс, а возвращающий определенный код. К сожалению, что этот код значит, пока неизвестно. Но именно в 2009-2010 годах на иранских урановых фабриках начались массовые поломки центрифуг, приведшие к остановке всей ядерной программы.

Причем для создания вируса явно были приложены усилия крупной организации с неограниченным бюджетом. Вирус занимает полмегабайта кода на ассемблере, С и С++. Более того — вирус был подписан краденой цифровой подписью. Злоумышленники скорее всего украли подписи из тайваньских отделений фирм MicronJ и RealTek. Странный факт, но офисы этих фирм находятся в одном и том же здании в городе Шинчу. Если это не простое совпадение, то это значит кто-то физически проник в комнаты, зашел на соответствующие компьютеры, выкрал ключи. Тут уже никак не списать произошедшее на действия школьника-одиночки.

Как говорится, добро пожаловать в XXI век.

Сегодня общие годовые потери всех коммерческих организаций от действий вирусов могут сравниться с бюджетом небольшой страны, и эта сумма каждый год удваивается. Заявления некоторых специалистов по безопасности свидетельствуют о серьезности проблемы. По сведениям главы технологического департамента компании MessgeLabs Алекса Шипа, в 1999 году фиксировалось в среднем по одному новому вирусу в час, в 2000 году эта цифра составляла уже по одной программе каждые три минуты, а в 2004 году это время сократилось до нескольких секунд. По данным Санкт-

Петербургской антивирусной лаборатории И. Данилова (ООО «СалД»), только за март 2007 года в антивирусную базу добавлено более 7 тыс. записей.

Классификация компьютерных вирусов

Точную классификацию вирусов и других вредоносных программ до сих пор никто не придумал. Вирус часто нельзя отнести ни к одной из категорий. Кроме этого, антивирусные компании вводят свою терминологию, по-разному обозначая новый вирус. Однако по некоторым общим признакам вредоносные программы можно разделить на группы.

По среде обитания. Первая классификация относится к среде, в которой «живет» вирус.

Первые вирусы, которые были популярны до массового распространения Интернета, — файловые. Их еще называют традиционными. Сегодня известны программы, заражающие все типы исполняемых файлов в любой операционной системе. Например, в Windows опасности подвергаются в первую очередь исполняемые файлы с расширениями EXE, COM и MSI, драйверы (SYS), командные файлы (BAT) и динамические библиотеки (DLL).

Загрузочные вирусы также появились одними из первых. Как видно из названия, такие вирусы заражают не файлы, а загрузочные секторы дискет и жестких дисков.

С массовым развитием Интернета появились сетевые вирусы. По данным антивирусных компаний, именно различные виды сетевых червей представляют сегодня основную угрозу. Главная их особенность — работа с различными сетевыми протоколами и использование возможностей глобальных и локальных сетей, позволяющих им передавать свой код на удаленные системы.

Классическим примером сетевого вируса является червь Морриса.

Наибольшую распространенность получили сетевые черви, использующие электронную почту, интернет-пейджеры, локальные и файлообменные (P2P) сети, IRC-сети и сети обмена данными между мобильными устройствами. Некоторые сетевые черви, например W32.Slammer или Sapphire, использующий уязвимость Microsoft SQL Server 2000, могут не оставлять на жестком диске никаких следов, хранясь только в оперативной памяти. Благодаря способности активно распространяться и работать на зараженных компьютерах без использования файлов подобные вирусы наиболее опасны. Они существуют исключительно в системной памяти, а на другие компьютеры передаются в виде пакетов данных. Первое время антивирусное программное обеспечение не было способно бороться с такими бестелесными вредителями.

Сегодня наиболее популярны сетевые вирусы, распространяющиеся посредством электронной почты, поэтому их часто выделяют в отдельную категорию — почтовые черви. Так, три из четырех крупнейших эпидемий 2005 года были вызваны именно почтовыми червями. Такие вирусы чаще всего распространяются через электронную почту: они рассылают по адресам, имеющимся в адресной книге, письма с прикреплениями в виде самих себя. Для передачи могут использоваться средства операционной системы или небольшой встроенный почтовый сервер (функция такого сервера — отправка писем). Например, червь Melissa отсылал себя сразу после активизации только по первым 50 адресам, а I Love You использовал все записанные в адресной книге почтовые адреса, что обеспечило ему высокую скорость распространения. Другой тип червя — сценарий KakWorm, который после прочтения зараженного письма не рассылался, а прикреплялся к каждому посланию, отправляемому пользователем. При этом на новом компьютере вредоносное приложение либо выполнялось автоматически, используя уязвимости в почтовой программе, либо различными способами подталкивало пользователя к своему запуску. Зараженное письмо может прийти со знакомого адреса, и пользователь, скорее всего, откроет его. Могут применяться различные ухищрения. Например, вирус AnnaKournikova приглашал посмотреть фотографии известной теннисистки Анны Курниковой: любопытство чаще всего брало верх над осторожностью, и пользователи запускали прикрепленный к письму исполняемый файл.

Очень часто встречаются вирусы смешанного типа — почтово-сетевые. В таком случае их обычно называют просто сетевыми. Яркий пример — сетевой червь Mytob.c, который в марте 2005 года пересылался в виде вложений в электронные письма и использовал для своего распространения уязвимость в сервисе LSASS Microsoft Windows.

Черви — наиболее опасный тип вирусов. Они распространяются очень быстро и способны поражать файлы, диски и оперативную память. Правильно написанный червь может парализовать работу Интернета либо перегрузив каналы, либо заразив серверы. Например, Slammer сумел поразить почти четверть Интернета. В этом случае поражает беспечность фирмы-разработчика, так как об уязвимости, которая была использована автором Slammer,было известно еще за полгода до атаки. Интересно, что не один год до этого почтовые черви с успехом использовали уязвимость Microsoft Internet Explorer, позволяющую запускать любой исполняемый файл, пришедший

вместе с электронным письмом, без согласия пользователя.

Макровирусы являются программами, написанными на макросах — последовательностях команд, используемых в некоторых системах обработки данных, например текстовых редакторах и электронных таблицах. Возможности макроязыков в таких системах позволяют вирусу переносить свой код в другие файлы, заражая их. Наибольшее распространение получили макровирусы для Microsoft Word и Excel. Такой вирус активизируется при открытии зараженного документа и переносится на компьютер, как правило, внедряясь в шаблон Обычный (файл Normal.dot). После этого каждый сохраняемый документ заражается вирусом, а когда другие пользователи открывают его, их компьютеры также инфицируются. Существуют также макровирусы, заражающие базы данных Microsoft Access.Традиционные и макровирусы сегодня практически вымерли, так как скорость их распространения значительно ниже, чем скорость распространения сетевых вирусов, и у антивирусных компаний достаточно времени, чтобы создавать вакцину против таких вредителей. Однако это совсем не значит, что угроза миновала и такие вирусы не стоит брать в расчет.

По алгоритму работы. Например, существуют резидентные и нерезидентные вирусы.

Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, чтобы перехватывать все обращения операционной системы к объектам, пригодным для заражения. Это наиболее распространенный тип вирусов: они активны не только во время работы зараженной программы, но и — что наиболее важно — когда приложение закрыто. Резидентные вирусы постоянно находятся в памяти компьютера и остаются активными вплоть до его выключения или перезагрузки.

Нерезидентные вирусы не заражают память компьютера и сохраняют активность лишь ограниченное время, хотя возможны варианты. Однако нерезидентные вирусы сегодня практически не встречаются, они не способны к быстрому размножению. Можно сказать, что они не выдержали конкуренции своих более активных собратьев.

              Классификация именований вирусов по “Доктор Веб”

"HLL." (High Level Language) вирусы

Вирусы, написанные на языках программирования высокого уровня, таких как C, C++, Pascal, Basic и другие. В некоторых случаях вирусный код компилированных HLL - вирусов сжимают с использованием различных утилит уплотнения (PKLITE, LZEXE, DIET и др).

В группе HLL-вирусов выделяют несколько классов:

●      "HLLC." (High Level Language Companion) - вирус-компаньон, написанный на языке программирования высокого уровня. Такой вирус использует алгоритм инфицирования, который базируется на манипулировании именами файлов в файловой системе. Обычно HLLC - вирус переименовывает оригиналы исполняемых файлов (или перемещает их в другие директории), а затем использует названия оригинальных исполняемых файлов для создания на их месте вирусной копии.

●      "HLLO." (High Level Language Overwriting) -перезаписывающий вирус, написанный на языке программирования высокого уровня. HLLO - вирус перезаписывает данные файла-жертвы.

●      "HLLP." (High Level Language Parasitic) -паразитический вирус, написанный на языке программирования высокого уровня. HLLP - вирус поражает исполняемые файлы, не повреждая оригинальные данные файла - жертвы.

●      "HLLW." (High Level Language Worm) - вирусная программа-червь, написанная на языке программирования высокого уровня. Для распространения эти вирусы не нуждаются в хост-файле, а копируют себя в системные директории.

●      "HLLM." (High Level Language MassMailing Worm) - вирусные программы-черви массовой рассылки, написанные на языке программирования высокого уровня.

              Команды для работы вирусов с файлами в среде Delphi

1. Связь с файлом: procedure AssignFile(var F; FileName: string);

Например: AssignFile (F1,’filename.exe’);

2.Открытие файла для чтения: procedure Reset(var F [: File; RecSize: Word ] );

Например: Reset (F1);

3.Чтение информации из файла в буфер: procedure BlockRead(var F: File; var Buf; Count: Integer [; var AmtTransferred: Integer]);

Здесь buf- массив, например Buf: Array [1..65535] Of Char;

Count- необходимое число байтов для чтения

AmtTransfered- сколько байтов прочитано

Например: BlockRead (F1,Buf,1024);

4.Запись из буфера в файл: procedure BlockWrite(var f: File; var Buf; Count: Integer [; var AmtTransferred: Integer]);

5.Открытие файла на запись, вся запись будет проводиться в конец файла: Append (F: File);

6. Открытие файла для перезаписи: procedure Rewrite(var F: File [; Recsize: Word ] );  Содержимое файла при этом обнуляется.

7.Поиск файла. Без него нам никак не обойтись, надо же искать жертву J. function FindFirst(const Path: string; Attr: Integer; var F: TSearchRec): Integer;

Attr- атрибуты файла, например faAnyFile- любой файл, faArchive- архивный, faHidden- скрытый.

F- переменная типа TsearchRec, в нее Delphi помещает все характеристики найденного файла.

Например: FindFirst (‘*.exe’,faAnyFile,sr);