oldi

Борьба с вирусами в эпоху Интернет

Александр Прохоров

Основные определения и классификация вредоносных программ

   Вирусы

   Сетевые черви

   Троянские программы

   Утилиты несанкционированного удаленного управления

   Эмуляторы DDoS-атак

   Троянские программы — похитители секретной информации

Эволюция сетей — эволюция вирусов

Самые распространенные вредоносные программы 2002 года

Борьба с вирусами

 

Мнение компании «ДиалогНаука» о прогнозах MessageLabs

 

Интернет — одно из величайших изобретений ХХ века. К началу 2003 года более 600 млн. человек имели доступ к Всемирной сети. К сожалению, каналы Интернета используются для распространения не только полезных программ и данных, но и бесполезной, отвлекающей рекламной информации и, что наиболее прискорбно, множества опасных вирусов. О том, как изменяются пути распространения вирусов по мере развития сетевых технологий, какие вирусы и вредоносные программы наиболее распространены сегодня и какие антивирусные программы доступны домашним пользователям, рассказывается в настоящей статье.

Основные определения и классификация вредоносных программ

Прежде чем приступить к рассказу о последних тенденциях распространения тех или иных типов вредоносных программ, следует напомнить читателю, какие существуют основные типы деструктивных программ. Большинство специалистов делит вредоносные программы на три большие группы: компьютерные вирусы, сетевые черви и троянские программы. Компьютерные вирусы обладают способностью размножаться и внедряют свои копии в другие файлы; сетевые черви размножаются по различным сетевым ресурсам (почта, Web-сайты и пр.), но не внедряют копии в другие файлы; троянские программы не размножаются и не рассылаются сами, но выполняют на компьютерах различные вредоносные действия. Наглядная классификация вредоносных программ и примеры наиболее ярких представителей каждого семейства представлены на рис. 1.

В начало В начало

Вирусы

Компьютерные вирусы — это программы, способные распространяться самостоятельно, дописывая свой код к файлам или в служебные области диска. Вирусы могут быть менее опасными (вызывать нежелательные видеоэффекты) и более опасными (изменять или уничтожать информацию владельца), но в любом случае, даже если вирус не содержит деструктивных функций, он так или иначе влияет на работу системы — занимает место и может мешать работе других программ.

Как видно на рис. 1, вирусы подразделяются на несколько групп.

Файловые вирусы — при размножении используют файловую систему какой-либо ОС. В свою очередь, по способу заражения файловые вирусы делятся на целый ряд подгрупп:

  • оverwriting-вирусы записывают свой код вместо кода заражаемого файла, уничтожая его содержимое;
  • рarasitic-вирусы изменяют содержимое файлов, оставляя при этом сами файлы полностью или частично работоспособными;
  • сompanion-вирусы не изменяют заражаемых файлов, а создают для заражаемого файла файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, то есть вирус;
  • файловые черви (worms) являются разновидностью компаньон-вирусов, однако не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в расчете на то, что эти новые копии будут когда-либо запущены пользователем;
  • link-вирусы, как и компаньон-вирусы, не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» ОС выполнить свой код за счет модификации необходимых полей файловой системы;
  • OBJ, LIB и вирусы в исходных текстах представляют собой группу вирусов, которые заражают библиотеки компиляторов, объектные модули и исходные тексты программ. Вирусы, заражающие OBJ- и LIB-файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл не является выполняемым и не способен на дальнейшее распространение вируса в текущем состоянии. Носителем же «живого» вируса становится COM- или EXE-файл, получаемый в процессе линковки зараженного OBJ/LIB-файла с другими объектными модулями и библиотеками. Загрузочные вирусы называются так потому, что заражают загрузочный (boot) сектор — записывают себя в загрузочный сектор диска (boot-сектор) либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record). Загрузочные вирусы замещают код программы, получающей управление при загрузке системы. Таким образом, при перезагрузке управление передается вирусу.

Макровирусы являются программами на макроязыках, встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Они заражают документы и электронные таблицы ряда офисных редакторов. Для размножения эти вирусы используют возможности макроязыков и с их помощью переносят себя из одного зараженного файла в другие. Наибольшее распространение получили макровирусы для Microsoft Word, Excel и Office 97. Вирусы этого типа получают управление при открытии зараженного файла и инфицируют файлы, к которым впоследствии идет обращение из соответствующего офисного приложения — Word, Excel и пр.

Скрипт-вирусы — это вирусы, написанные на скрипт-языках, таких как Visual Basic Script, Java Script и др. Они, в свою очередь, делятся на вирусы для DOS, Windows и для других систем.

В начало В начало

Сетевые черви

Червей (worms) часто называют вирусами, хотя, строго говоря, они таковыми не являются, — это программы, которые не изменяют файлы на дисках, а распространяются в компьютерной сети, проникают в память компьютера, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Программы этого типа могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). Сетевые черви подразделяются на следующие типы: Интернет-черви (распространяются по Интернету), LAN-черви (распространяются по локальной сети), IRC-черви Internet Relay Chat (распространяются через чаты).

В начало В начало

Троянские программы

Троянские программы, троянские кони, или просто троянцы, — это программы, которые совершают деструктивные действия, но при этом не размножаются и не рассылаются сами. Своим названием эти программы обязаны троянскому коню из «Илиады» Гомера. Подобно троянскому коню программа-троянец выдает себя за что-либо вполне безобидное, «подделываясь» под другие программы (игры, новые версии популярных утилит и пр.).

Троянские программы подразделяют на несколько видов (см. рис. 1):

  • утилиты несанкционированного удаленного управления, внедряясь в ваш компьютер, предоставляют хозяину троянца доступ к этому компьютеру и возможность управления им;
  • эмуляторы DDoS-атак (Distributed Denial of Service) вызывают «атаки» на Web-серверы, при которых на Web-сервер из разных мест поступает большое количество пакетов, что приводит к отказу системы;
  • похитители секретной информации воруют информацию;
  • дроппер (от англ. drop — бросать) — программа, задача которой «сбросить» в систему вирус или другие вредоносные программы.

Рассмотрим некоторые виды троянских программ подробнее.

В начало В начало

Утилиты несанкционированного удаленного управления

Утилиты несанкционированного удаленного управления по существу представляют собой полнофункциональные утилиты для удаленного администрирования компьютера, которые открывают злоумышленнику доступ к вашему компьютеру, позволяя ему выполнять на нем различные операции.

Типичным примером такой программы является троянский конь BO (Back Orifice), полное название которого Backdoor.BO.

По своей сути Back Orifice является мощной системой удаленного администрирования, позволяющей своему владельцу контролировать компьютеры посредством локальной сети или через Интернет. При запуске троянец самоустанавливается в системе, при этом пользователю компьютера, на который внедрилась программа, не выдается никаких сообщений о действиях троянца. Ссылка на троянца отсутствует в списке активных приложений. В результате пользователь компьютера может и не знать, что на его компьютере установлена троянская программа, в то время как его компьютер открыт для удаленного управления.

В зависимости от команды троянец может выполнять следующие действия:

  • высылать имена компьютера и пользователя, а также информацию о системе: тип процессора, размер памяти;
  • разрешать удаленный доступ к дискам;
  • искать файлы на дисках;
  • посылать/принимать файлы, а также уничтожать, копировать их и т.п.;
  • создавать/уничтожать каталоги;
  • упаковывать/распаковывать файлы;
  • отключать текущего пользователя от сети;
  • подключаться к сетевым ресурсам;
  • получать и отправлять кэшированные пароли (которые задействовались пользователем в течение текущего сеанса);
  • читать/модифицировать системный реестр;
  • открывать/перенаправлять другие сокеты TCP/IP;
  • перехватывать, запоминать и затем высылать строки, вводимые с клавиатуры в момент подсоединения компьютера к сети;
  • многие другие действия.
В начало В начало

Эмуляторы DDoS-атак

DoS-атака (Denial-of-Service) — тип атаки, организованной хакерами, при которой на сервер приходит множество запросов на предоставление услуги. Сервер расходует  ресурсы на обслуживание «лишних» запросов и при превышении определенного трафика перестает справляться с обслуживанием запросов законных пользователей. В результате подобной атаки может возникнуть ситуация, когда пользователь не может зайти на тот или иной сайт.

Сущность DoS-атаки заключается в том, чтобы вызвать перегрузку системы за счет передачи искусственно созданного трафика и помешать обратиться за сервисом легальным пользователям.

DDoS-атаки (Distributed Denial of Service) происходят в разных местах, но преследуют одну цель: устанавливается большое количество серверов DoS на различных компьютерах, которые по команде центрального клиента высылают огромный трафик по одному и тому же адресу. Центральный клиент управляет распределенной армией серверов DoS — отсюда и термин Distributed DoS, или DDoS. C помощью DDoS-атаки можно «забить» сервер любой мощности — нужно только подобрать необходимое количество участвующих в атаке компьютеров.

Интересно отметить, что технология DDoS была создана не хакерами — она использовалась для тестирования пропускной способности систем. Как известно, суть тестирования состоит в том, чтобы создать испытываемой системе максимально тяжелые условия функционирования. Именно так возникли программы, которые с распределенных источников забрасывали один адрес сообщениями для оценки устойчивости его на подобные воздействия и для определения порога перегрузки.

Хотя выше мы уже рассказали о том, как работают троянские программы, еще раз подчеркнем: вы можете даже не знать, что получили троянца и ваш компьютер участвует в DDoS-атаке. 

Атака идет с множества адресов ничего не подозревающих пользователей троянцев, среди которых нет адреса злоумышленника. Защита от DDoS-атак строится на анализе источников избыточного, по сравнению с обычным, трафика и на запрете его передачи.

В начало В начало

Троянские программы — похитители секретной информации

Данные программы воруют системные пароли, откуда и название: PSW — Password-Stealing-Ware. При запуске PSW-троянцы ищут конфиденциальную информацию, например пароли доступа к Интернету, и отсылают ее по указанному адресу.

Обычно PSW-троянцы являются Windows-программами, которые при работе используют стандартные функции Windows. Некоторые Windows-PSW-троянцы также копируют себя в каталог Windows, регистрируются в системном реестре и запускаются при каждой перезагрузке Windows, что позволяет им отсылать конфиденциальную информацию в течение длительного времени. Имеется значительное количество троянских программ, которые воруют пароли пользователей и прочую системную информацию и пересылают ее злоумышленникам. Если мы говорим о домашнем компьютере, подключенном к Сети, то наибольший интерес для хакера представляют пароли доступа в Интернет. Заполучив пароль, хакер может воспользоваться вашим кошельком.

В начало В начало

Эволюция сетей — эволюция вирусов

Как известно, в России первые вирусы появились в 1988 году. В период с 1988-го по 1994 год рабочие станции, подсоединенные к сети, составляли ничтожную долю от парка изолированных персональных компьютеров. Программы, которые распространялись с компьютера на компьютер, были небольшого размера и передавались в основном с помощью дискет. Соответственно вирусы передавались с дискеты на дискету, распространялись достаточно медленно, так же как антивирусы. В то время практически все задачи защиты от компьютерных вирусов сводились к необходимости защитить конкретную рабочую станцию. Обычно для этой цели использовалась программа-сканер, которая распространялась на дискетах, — она проверяла компьютер и лечила его.

С середины 90-х годов ситуация начала меняться. Программы приобрели такие размеры, что уже не умещались на дискетах и распространялись преимущественно на CD, что было безопаснее. Однако параллельно с этим начало расти количество компьютеров, объединенных в сети, и все чаще заражение одной станции приводило к выводу из строя всей сети. С появлением сетей бороться с вирусами стало сложнее. Сети продолжали расти и развиваться, и наконец появился Интернет. Прошло определенное время, и в Сети «завелись» черви — программы, которые «грамотно» использовали Интернет для своего распространения.

Первая программа такого типа появилась в начале 1999 года (в названии вируса как раз присутствовала цифра 99). С тех пор было создано около сотни вирусов такого типа. Одним из наиболее известных представителей данного семейства является вирус «I love you» (известный также под названием LoveLetter), который вызвал массовые поражения компьютеров и сетей в начале мая 2000 года. Вирус распространялся в электронных письмах, используя почтовую систему Microsoft Outlook, и при активизации рассылал себя с зараженных компьютеров по всем адресам, которые хранились в адресной книге Outlook.

Электронная почта оказалась идеальной средой для передачи вирусов. Степень зараженности электронных писем катастрофически росла. Если в 1999 году один вирус приходился на 1400 писем, то в 2000-м — уже на 700. Согласно данным ежегодного обзора вирусной активности «Лаборатории Касперского», в 2000 году на долю электронной почты приходилось 85% всех зарегистрированных случаев заражения, а в 2002 году эта цифра выросла до 96,4% (рис. 2). За электронной почтой следуют другие службы Интернета: Web-сайты, FTP-сайты, P2P-сети, IRC-каналы и пр. На все типы мобильных накопителей: дискеты, CD-ROM, ленты и т.п. — приходится лишь 1,3%. Следует отметить, что электронную почту в качестве основного канала распространения используют не только сетевые черви, но также вирусы и троянцы.

Недавно британская компания MessageLabs опубликовала исследование, в котором анализируется динамика распространения почтовых червей. В частности, там отмечается, что если рост числа зараженных почтовых посланий будет происходить теми же темпами, что в последние три года, то в 2004 году зараженным будет каждый сотый e-mail, к 2008 году вирус будет содержаться в каждом десятом электронном послании, а в 2015-м вирусы будут «сидеть» в 75% электронной корреспонденции.

Электронная почта (один из самых востребованных сервисов Интернета) может стать совершенно бесполезной как средство коммуникации из-за вирусной эпидемии и спама.

Из рис. 3 видно, что в 2002 году почти 90% всех заражений было вызвано сетевыми червями.

Как видно из рис. 4, среди сетевых червей преобладают почтовые черви, использующие e-mail в качестве основного транспорта для доставки на целевые компьютеры. Другие типы червей составляют незначительную долю:

  • LAN-черви, распространяющиеся по ресурсам локальных сетей, — 2,5%;
  • P2P-черви, перемещающиеся по сетям Peer-to-Peer; — 1,7%; 
  • IRC-черви, посылаемые по каналам IRC (Internet Relay Chat), — 0,2%.

Из замеченных в 2002 году компьютерных вирусов больше всего себя проявили макровирусы (56,1%) и Windows-вирусы (40,9%) — рис. 5.

Среди троянских программ лидируют утилиты несанкционированного администрирования (54%), позволяющие незаметно управлять зараженным компьютером на расстоянии. PSW-троянцы составляют 17,9%. Остальные 28,1% приходятся на другие типы троянцев, которые засылаются на компьютеры-жертвы для выполнения специфических задач (рис. 6).

В начало В начало

Самые распространенные вредоносные программы 2002 года

В табл. 1 приведена десятка наиболее распространенных в 2002 году вирусов. Несомненным лидером по количеству вызванных инцидентов является Интернет-червь Klez — более 60% случаев. На втором месте тоже червь — I-Worm.Lentin, который являлся причиной заражения в каждом пятом случае.

На рис. 7 показана динамика жизнедеятельности наиболее распространенных вирусов в 2002 году. Кривая вируса I-Worm.Klez сначала стремительно растет. В пик эпидемии кривая приближается к 100%! Далее видны результаты борьбы с вирусом — примерно за полгода количество заражений снижается до 15%.

В начало В начало

Борьба с вирусами

Стратегия антивирусной борьбы различна для корпоративных и частных систем. Очевидно, что обеспечение безопасности организации — гораздо более сложная задача, зависящая от множества факторов, вплоть до того, что создателем вируса может быть даже сотрудник компании. Обычно в рамках вирусной безопасности организации предпринимают также административные меры — определяют доступ к Интернет-ресурсам, регламентируют установку софта на компьютеры сотрудников и пр. Обычно в организации за установку программного обеспечения отвечают конкретные люди — сетевые администраторы, которые несут персональную ответственность за появление вирусов. Жесткие административные меры касаются также использования сотрудниками Интернета. Существуют режимные организации, в которых доступ в Интернет осуществляется с компьютеров, не связанных с сетью организации, а копирование информации из Интернета на электронные носители для сотрудников запрещено.

В рамках данной статьи невозможно рассмотреть все средства для обеспечения вирусной безопасности организации, поэтому ограничимся перечислением средств борьбы с вирусами для домашних пользователей.

В домашних условиях электронная почта является одной из основных причин появления вирусов на вашем компьютере, поэтому прежде всего поговорим о том, как обезопасить себя при работе с почтой. Следует напомнить, что вирусы пересылаются в виде выполняемых вложений и, чтобы занести вирус в систему, эти вложения должны быть запущены. Если вы получаете письмо от незнакомого вам адресата с сомнительными предложениями типа «заработать миллион, потратив пять минут», разумнее всего его просто удалить. В принципе, письмо, которое пришло даже от известного вам человека, может содержать вредоносную программу. Чтобы обезопасить себя, в обязательном порядке сканируйте все вложения перед тем, как их открыть.

Помните, «нельзя украсть то, чего нет» на вашем компьютере — это касается секретной информации. Держите ее на отдельном носителе, к которому нет доступа из Сети. Делайте резервные копии — зараженный компьютер может выйти из строя в самый неподходящий момент.

Тривиальный совет: используйте антивирусные программы, которые проверяют всю входящую почту в поисках зараженных файлов и позволяют предотвратить попадание вирусов, троянцев и червей в вашу систему. Пользуйтесь свежими версиями антивируса. Большинство современных антивирусов имеют функцию Live Update feature, которая обновляет антивирусные базы, как только вы выходите в Интернет.

Вторая возможность обезопасить не только свою электронную почту, но и весь компьютер в целом — использовать личный брандмауэр, который контролирует все потоки информации, поступающие на ваш компьютер.

Сегодня существует большое число антивирусных программ. На российском рынке наиболее популярны продукты трех компаний: «Лаборатории Касперского» (табл. 2), «ДиалогНауки» (табл. 3) и Symantec (табл. 4). Каждая из компаний имеет решения для корпоративных пользователей, для малого бизнеса и для домашних пользователей. В данной статье мы приводим информацию о продуктах только для домашних пользователей. Если вас интересует полный спектр решений указанных компаний, то найти данную информацию можно соответственно на сайтах http://www.avp.ru/, http://www.dialognauka.ru/, http://www.symantec.ru/.

В заключение хочется отметить, что вредоносные программы оказывают двойственное влияние на Интернет.

С одной стороны, они делают использование Интернета небезопасным и приносят конкретные убытки пользователям. С другой стороны, они делают Интернет безопаснее, поскольку выявляют несовершенство программного обеспечения.

Вредоносные программы используют для своего распространения лазейки в программном обеспечении Сети, однако, когда вирус обнаруживается, ПО модифицируется и Интернет становится безопаснее.

Автор благодарит «Лабораторию Касперского» за предоставленные материалы.

 

В статье использованы материалы вирусной энциклопедии http://www.viruslist.com/.

КомпьютерПресс 2'2003