Сетевые вирусы - черви

История» компьютерных вирусов ведет начало с 1984 г., когда Фред Коэн (США) написал программу, которая автоматически активизировалась и проводила деструктивные изменения информации при незаконном обращении к другим программам автора. После этого было создано большое количество программ, предназначенных для вызова тех или иных «вредных» действий, и постепенно сформировалось самостоятельное инженерное направление по борьбе с ними.

Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Данное положение особенно важно для локальных и глобальных компьютерных сетей, объединяющих работу сотен и миллионов пользователей. Известны случаи, когда вирусы блокировали работу организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека: в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию.

Несмотря на огромные усилия конкурирующих между  собой антивирусных фирм (разрабатывающих  программы против вирусов), убытки, приносимые компьютерными вирусами, не падают и достигают астрономических величин, измеряемых сотнями миллионов долларов ежегодно. Особенно эти потери актуальны в больших компьютерных сетях. Так, например, в апреле 1999 г. только по причине деструктивного действия одного компьютерного вируса под названием Win95. ОН во Франции было поражено более 100 тысяч банковских компьютеров с общим ущербом более 300 млн. долларов. Надо полагать, что эти оценки явно занижены, поскольку известно становится лишь о части подобных инцидентов.

При этом следует иметь в виду, что используемые антивирусные программы и аппаратная часть не дают полной гарантии защиты от вирусов. Примерно так же плохо обстоят дела на другой стороне тандема «человек — компьютер». Как прикладные пользователи, так и профессионалы-программисты часто не имеют даже навыков «самообороны» от вирусов, а их представления о проблеме порой весьма и весьма поверхностны.

 

Компью́терный ви́рус (зараза) — компьютерная программа или вредоносный код, отличительным признаком которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру.

Даже  если автор вируса не программировал вредоносных эффектов, вирус может  приводить к сбоям компьютера из-за ошибок, неучтённых тонкостей  взаимодействия с операционной системой и другими программами. Кроме того, вирусы обычно занимают некоторое место на накопителях информации и отбирают некоторые другие ресурсы системы. Поэтому вирусы относят к вредоносным программам.

Некомпетентные  пользователи ошибочно относят к  компьютерным вирусам и другие виды вредоносных программ — программы-шпионы и прочее. Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру.

Создание  и распространение вредоносных  программ (в том числе вирусов) преследуется в России согласно Уголовному кодексу РФ (глава 28, статья 273). Согласно доктрине информационной безопасности РФ, в России должен проводиться правовой ликбез в школах и вузах при обучении информатике и компьютерной грамотности по вопросам защиты информации в ЭВМ, борьбы с компьютерными вирусами, обеспечению информационной безопасности в сетях ЭВМ.

Вирусы  распространяются, копируя свое тело и обеспечивая его последующее  исполнение: внедряя себя в исполняемый  код других программ, заменяя собой  другие программы, прописываясь в автозапуск и другое. Вирусом или его носителем  могут быть не только программы, содержащие машинный код, но и любая информация, содержащая автоматически исполняемые команды — например, пакетные файлы и документы Microsoft Word и Excel, содержащие макросы. Кроме того, для проникновения на компьютер вирус может использовать уязвимости в популярном программном обеспечении (например, Adobe Flash, Internet Explorer, Outlook), для чего распространители внедряют его в обычные данные (картинки, тексты и т. д.) вместе с эксплоитом, использующим уязвимость.

 

Классифицировать компьютерные вирусы можно по различным признакам. Укажем четыре из них:

• среда обитания;

• операционная система;

• особенности алгоритма работы;

• деструктивные возможности.

По  среде обитания вирусы можно разделить на типы:

• файловые;

• загрузочные;

• макровирусы;

• сетевые.

Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).

Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.

Макровирусы заражают файлы-документы, электронные таблицы и презентации ряда популярных редакторов.

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Существует  большое количество сочетаний, например файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в операционную систему, используют стеле- и полиморфик-технологии. Другой пример такого сочетания — сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте (например, «I lov you» или «Анна Курникова»).

Заражаемая  операционная система (вернее, ОС, объекты  которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS-DOS, Win95/98/NT, OS/2 и т.д. Макровирусы заражают файлы форматов Word, Excel, Power Point, Office97. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.

 

Среди множества известных вирусов особое место занимают сетевые вирусы, как правило, они считаются и наиболее опасными.

Возможность инфицирования компьютерными вирусами корпоративных компьютерных сетей  становится все более серьезной  проблемой. Опасность действия вирусов  определяется возможностью частичной  или полной потери ценной информации, а также потерей времени и средств, направленных на восстановление нормального функционирования информационных систем.

Обычная корпоративная компьютерная сеть включает в себя сотни рабочих станций, десятки серверов и, как правило, имеет очень сложную структуру. Стоимость обслуживания такой сети растет вместе с ростом числа подключенных рабочих станций. При этом расходы на антивирусную защиту являются не последним пунктом в списке общих расходов. Основной возможностью их снижения является централизация управления работой антивирусной системы, установленной в корпоративной компьютерной сети. Администратор должен иметь возможность с одного рабочего места вести мониторинг всех точек проникновения вирусов и управлять всеми антивирусными продуктами, перекрывающими эти точки. Компьютерные вирусы проникают в сеть вместе с файлами.

Основные  пути, которыми файлы, зараженные вирусами, попадают в корпоративную сеть:

• копирование инфицированных файлов или при запуске программ и других файлов с переносимых источников (гибких дисков, оптических дисков, Zip, Jazz, Floptical, и т.д.);

• программное обеспечение, полученное через Web или FTP и сохраненное на локальных рабочих станциях;

• файлы, получаемые удаленными пользователями, которые соединяются с корпоративной сетью по модему;

• файлы, получаемые при соединении удаленного сервера с сетью для обмена с файловым сервером, сервером приложений или сервером баз данных;

• электронная почта, содержащая приложенные зараженные файлы.

Глобальная компьютерная сеть ИНТЕРНЕТ на сегодняшний день также является основным источником вирусов. Наибольшее число заражений вирусом происходит при обмене письмами в форматах Word/Office. Пользователь зараженного макровирусом редактора, сам того не подозревая, рассылает зараженные письма адресатам, которые в свою очередь отправляют новые зараженные письма и т.д. К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла.

Бытует  ошибочное мнение, что сетевым  является любой вирус, распространяющийся в компьютерной сети. Но в таком случае практически все вирусы были бы сетевыми, даже наиболее примитивные из них: ведь самый обычный нерезидентный вирус при заражении файлов не разбирается, сетевой (удаленный) это диск- или локальный. В результате такой вирус способен заражать файлы в пределах сети, но отнести его к сетевым вирусам нельзя.

Наибольшую  известность приобрели сетевые  вирусы конца 1980-х годов, их также  называют сетевыми червями (worms). К ним относятся вирус Морриса, вирусы «Cristmas Tree» и «Wank Worm&». Для своего распространения они использовали ошибки и недокументированные функции глобальных сетей того времени — вирусы передавали свои копии с сервера на сервер и запускали их на выполнение. В случае с вирусом Морриса эпидемия захватила даже несколько глобальных сетей в США.

 

Черви — вид вирусов, которые проникают  на компьютер-жертву без участия  пользователя. Черви используют так  называемые «дыры» (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер. Уязвимость — это ошибки и недоработки в программном обеспечении, которые позволяют удаленно загрузить и выполнить машинный код, в результате чего вирус-червь попадает в операционную систему и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для DDoS-атак.

 

Зачастую  черви даже безо всякой полезной нагрузки перегружают и временно выводят из строя сети только за счёт интенсивного распространения. Типичная осмысленная полезная нагрузка может заключаться в порче файлов на компьютере-жертве (в том числе, изменение веб-страниц, так называемый «deface»), также из зараженных компьютеров возможна организация ботнета для проведения сетевых атак или рассылки спама.

 

Все механизмы («векторы атаки») распространения  червей делятся на две большие  группы:

• Использование уязвимостей и ошибок администрирования в программном обеспечении, установленном на компьютере. Например, вредоносная программа Confickerдля своего распространения использовала уязвимость в операционной системе Windows; червь Морриса подбирал пароль по словарю. Такие черви способны распространяться автономно, выбирая и атакуя компьютеры в полностью автоматическом режиме.
• Используя средства так называемой социальной инженерии, провоцируется запуск вредоносной программы самим пользователем. Чтобы убедить пользователя в том, что файл безопасен, могут подключаться недостатки пользовательского интерфейса программы — например, червь VBS.LoveLetter использовал тот факт, чтоOutlook Express скрывает расширения файлов. Данный метод широко применяется в спам-рассылках, социальных сетях и т. д.

Иногда  встречаются черви с целым  набором различных векторов распространения, стратегий выбора жертвы, и даже эксплойтов под различные операционные системы.

 

Черви могут состоять из различных частей.Часто выделяют так называемые резидентные черви, которые могут инфицировать работающую программу и находиться в ОЗУ, при этом не затрагивая жёсткие диски. От таких червей можно избавиться перезапуском компьютера (и, соответственно, сбросом ОЗУ). Такие черви состоят в основном из «инфекционной» части: эксплойта (шелл-кода) и небольшой полезной нагрузки (самого тела червя), которая размещается целиком в ОЗУ. Специфика таких червей заключается в том, что они не загружаются через загрузчик как все обычные исполняемые файлы, а значит, могут рассчитывать только на те динамические библиотеки, которые уже были загружены в память другими программами.

Также существуют черви, которые после  успешного инфицирования памяти сохраняют код на жёстком диске и принимают меры для последующего запуска этого кода (например, путём прописывания соответствующих ключей в реестре Windows). От таких червей можно избавиться только при помощи антивирусного программного обеспечения или подобных инструментов. Зачастую инфекционная часть таких червей (эксплойт, шелл-код) содержит небольшую полезную нагрузку, которая загружается в ОЗУ и может «догрузить» по сети непосредственно само тело червя в виде отдельного файла. Для этого некоторые черви могут содержать в инфекционной части простой TFTP-клиент. Загружаемое таким способом тело червя (обычно отдельный исполняемый файл) теперь отвечает за дальнейшее сканирование и распространение уже с инфицированной системы, а также может содержать более серьёзную, полноценную полезную нагрузку, целью которой может быть, например, нанесение какого-либо вреда (например, DoS-атаки).

Большинство почтовых червей распространяются как один файл. Им не нужна отдельная «инфекционная» часть, так как обычно пользователь-жертва при помощи почтового клиента или Интернет-браузера добровольно скачивает и запускает червя целиком.

После некоторого затишья проблема сетевых вирусов вновь обострилась в начале 1997 г. с появлением вирусов «Macro. Word. ShareFun» и «Win. Homer». Первый из них использует возможности электронной почты Microsoft Mail. Он создает новое письмо, содержащее зараженный файл-документ («ShareFun» является макровирусом), затем выбирает из списка адресов службы MS-Mail (из вашей компьютерной записной книги) три случайных адреса и рассылает по ним зараженное письмо. Поскольку многие пользователи устанавливают параметры MS-Mail таким образом, что при получении письма автоматически запускается MS Word, то вирус «автоматически» внедряется в компьютер адресата зараженного письма.