Вирусы, шпионы и диалеры: кто,
зачем и как
Я думаю, что, если сегодня у любого
школьника спросить, что такое лавсан, он не
станет рассказывать вам о "синтетическом
волокне, получаемом при помощи
поликонденсации этиленгликоля и
двухосновной кислоты ароматического ряда".
Нет, его ответ будет вроде этого: "Lo-vesan, он
же msblast, проникающий в операционную систему
семейства Microsoft Windows NT, используя уязвимость
в службе DCOM RPC Microsoft Windows". Я боюсь
предположить, какие ассоциации будут через
некоторое время со словом doom. Явно не только
с одноименной игрой.
Как вы могли понять из названия и
вступления, разговор сегодня пойдет о
вирусах и иже с ними. Прежде чем перейти к
ответам на вопросы, поставленные в названии,
мне бы хотелось пройтись непосредственно
по нашим сегодняшним "гостям". Здесь же
будет дан ответ о том, как все это попадает
на наши компьютеры.
Вирусы
Вирусы суть программы, несущие какие-то
деструктивные последствия. Причем неважно,
в чем они заключаются: здесь может быть все
— от банальной замены разрешений файла и
порчи его внутреннего содержания до
нарушения работы Интернета и краха
операционной системы. Также под вирусом
подразумевают программу, не только несущую
деструктивные функции, но и способную
размножаться. Вот что сказано по этому
поводу в одной умной книге: "Обязательным
(необходимым) свойством компьютерного
вируса является возможность создавать свои
дубликаты (не обязательно совпадающие с
оригиналом) и внедрять их в вычислительные
сети и/или файлы, системные области
компьютера и прочие выполняемые объекты.
При этом дубликаты сохраняют способность к
дальнейшему распространению" ((с) Евгений
Касперский. "Компьютерные вирусы").
Действительно, для того, чтобы выжить,
вирусам необходимо размножаться, и это
доказано такой наукой, как биология. Кстати,
именно от тех самых биологических вирусов и
произошло название компьютерных. И сами они
вполне оправдали свое название: все вирусы
просты и, тем не менее, несмотря на старания
антивирусных компаний, затраты которых
исчисляются огромными суммами, живут и
процветают. За примерами далеко ходить не
надо: возьмем хотя бы такой вирус, как
I-Worm.Mydoom.b. Уж сколько раз говорили, что
нельзя открывать вложенные файлы от
неизвестных лиц, да и к посланиям от
известных следует относиться с опаской,
особенно если вы о таком не договаривались.
К тому же, если текст письма будет содержать
примерно следующее: "Зацени классную
фотку моей девушки", то тут уж его сразу
же необходимо отправлять в trash. Но если в
приведенном выше примере текст еще имеет
смысл, то содержание писем, зараженных mydoom'ом,
довольно странное. Судите сами:
The message cannot be represented in 7-bit ASCII encoding and has been sent as a
binary attachment sendmail daemon reported: Error #804 occured during SMTP
session. Partial message has been received. The message contains Unicode
characters and has been sent as a binary attachment. The message contains
MIME-encoded graphics and has been sent as a binary attachment. Mail transaction
failed. Partial message is available.
Внутри письма содержится файл, имеющий 9
вариантов названия вложенного файла и 5
вариантов расширения. Ко мне на ящик
приходило две вариации. Первая — zip-архив
с якобы doc-файлом, а второй — это простой
exe'шник с иконкой, замененной на иконку
блокнота. Если во втором случае любой
пользователь может заметить подвох,
посмотрев на разрешение, то в первом
сделать это уже сложнее. Именно на первый
случай я склонен относить наибольшее
количество заражений. Что делает данный
вирус, я рассказывать не буду, т.к. про это
уже много раз сказано в печатных изданиях и
интернет-ресурсах. На примере Mydoom мы
познакомились с первым способом
распространения вирусов — через
электронную почту.
Следующий способ рассмотрим на примере
Worm.Win32.Lovesan (известного также как msblast). Чем же
примечателен этот вирус, и почему заражение
им приобрело массовый характер?
Примечателен сей индивид тем, что в
принципе никак не влияет на
работоспособность системы в целом.
Компьютер, зараженный им, просто не может
нормально работать в Интернете. Через
некоторое время выскакивает табличка с
сообщением об ошибке RPC, после чего
компьютер перезагружается. Как же
происходит заражение? Данный вирус
использует уязвимость в службе DCOM RPC в Microsoft
Windows 2000/XP/2003 и попадает на компьютер
пользователя через 135 порт определенного IP-адреса.
Как же злоумышленник узнает именно ваш
адрес? Да очень просто. Сейчас написано
столько IP-сканеров, что даже дошкольнику
нетрудно узнать IP-адреса и посмотреть
открытые порты, через которые можно
загрузить вирус на компьютер. Для
наглядности продемонстрирую, как
происходит заражение непосредственно
вирусом Lovesan. Червь производит сканирование
IP-адресов на предмет нахождения открытых и
незащищенных портов. Процесс приведен на
схеме:
20.40.50.0
20.40.50.1
20.40.50.2
...
20.40.50.19
----------- пауза 1,8 секунды
20.40.50.20
...
20.40.50.39
----------- пауза 1,8 секунды
...
20.40.51.0
20.40.51.1
...
20.41.0.0
20.41.0.1
и продолжается в таком же духе и далее.
Для сканирования червь выбирает один из
двух способов. Способ первый: сканирование
случайного base address (A.B.C.D), где D равно 0, а A, B, C
случайно выбраны из диапазона 1-255. Диапазон
сканирования следующий: [1-255].[1-255].[1-255].0.
Способ второй: червь определяет адрес
локального компьютера (A.B.C.D), устанавливает
D в ноль и выбирает значение C. Если C больше
20, то червь выбирает случайное число от 1 до
20. Если C меньше или равно 20, червь не
изменяет его. Итак, второй способ
распространения вирусов — через
незащищенные порты компьютера, используя
бреши в программном обеспечении.
Способ третий — через Интернет, когда вы
скачиваете файлы (в желательном или
нежелательном варианте). Опять же, объясню
на примерах. Пример желательного. Вы
скачиваете из Сети какой-нибудь новый
прикол, или программу, или игру, а она
заражена вирусом. После загрузки программа/игра/прикол
запускается, и — вуаля — вы являетесь
обладателем вируса. Что тут можно сказать?
Будьте бдительны, регулярно обновляйте
базы данных своего антивируса, проверяйте
все программы антивирусом и не забывайте
хотя бы основы компьютерной безопасности.
Кто-то может сказать: "А зачем мне,
например, проверять программы, которые не
могли быть заражены вирусом?". Хочется
спросить: "Это что ж за программы такие?"
Любые программы могут быть заражены,
особенно если скачиваются они с варезников
или сайтов хакерских групп.
Теперь перейдем к нежелательной загрузке. Я
бы выделил два вида такой загрузки. Первый:
когда пользователь и не подозревает о том,
что на его компьютер что-то загружается.
Выполняется данная загрузка посредством
выполнения скриптов. Второй вид
нежелательной загрузки — это когда
загружается не то, что надо. Приведу пример.
В свое время один сайт с крэками
непосредственно перед закачкой файла
предлагал установить то "Free XXX bar", то
“100% крэк Интернета”. Если
пользователь согласился с этим (а я уверен,
что такие были, ибо еще помню вопрос месяца
в "Виртуальных Радостях" про "стопроцентный
крэк инета"), то происходила закачка
трояна или вируса. Разница, в принципе,
небольшая. Однако это еще не самое
интересное: в случае отклонения такого
заманчивого предложения выскакивала
табличка с надписью приблизительно
следующего содержания: "Site error" и
кнопочкой ОК или Continue, по нажатию на которую
закачка трояна все же происходила, правда,
уже без ведома пользователя. И спасти от
этого мог лишь файрволл.
Какие побочные эффекты, кроме основных
деструктивных функций, могут нести с собой
вирусы? Одно из "бесплатных приложений"
— функция DOS (Denial of service) атаки на какие-либо
сайты. В большинстве случаев жертвами
становятся сайты антивирусных компаний,
антиспамерские сайты и — как же без этого
— сайт многострадальной компании Microsoft.
Еще одним побочным эффектом является
установка backdoor-компонента, вследствие чего
злоумышленник получает полный контроль над
компьютером пользователя. Чем это грозит,
догадаться нетрудно.
Шпионы
В следующую группу входят программы-шпионы,
сюда же можно отнести рекламные модули.
Основным способом распространения
программ данного вида является их
установка в качестве компонента, зачастую
неотделимого, в какую-либо программу. Кроме
этого, есть нежелательная загрузка (описания
см. выше) и загрузка отслеживающих cookies-файлов.
Что же делают данные индивидуумы? Начнем с
общего для шпионов и рекламных модулей. Оба
вида собирают информацию о пользователе и
его компьютере, следят за его действиями,
разновидность шпионов — reylogger'ы — еще и
записывают все, что вы настучали на
клавиатуре, в файл. Также отслеживается
ваша активность в Интернете: что посещаете,
где больше всего задерживаетесь, по каким
ссылкам кликаете. После сбора данных вся
информация отсылается хозяину. И тут пути
шпионов и рекламных модулей расходятся.
После сбора данных рекламными модулями
информация чаще всего перепродается
третьему лицу, которое внимательно ее
изучает. После этого в лучшем случае
составляется программа интернет-политики
третьего лица типа: что предлагать, где
вешать свою рекламу. Но это в лучшем случае,
а в худшем — на ваш ящик просто начнут
сыпаться мега/кило/тонны спам-писем.
Чем же отличаются шпионы? После изучения
данных того же reylogger'а злоумышленник может
узнать ваши личные строго конфиденциальные
данные, которые впоследствии может
использовать для шантажа. И такие случаи
бывали. Кроме того, он может узнать пароли
пользователя, а также найти слабые места в
системе, с тем чтобы использовать все это
для установки троянов и backdoor-компонентов.
Чем это грозит, читайте выше.
Диалеры
Способы их проникновения не отличаются
от вышеописанных. Поэтому сразу же перейдем
к рассмотрению. Тут необходимо оговориться,
что существуют вполне мирные диалеры,
называемые в народе "звонилками". Эти
программы используются с целью помочь
пользователям dial-up'a дозвониться до
провайдера и по возможности поддерживать с
ним стабильную связь даже на старых или "модернизированных"
линиях. Те же, о которых пойдет наш разговор,
имеют другое название — боевые диалеры.
Используя бреши в операционной системе, а
иногда и по халатности или наивности
пользователей (см. выше про 100% крэк
Интернета) данные программы подменяют
телефон провайдера телефоном оператора
связи из какой-нибудь экзотической страны.
Причем в большинстве случаев в окне набора
номера остается старый добрый телефон
провайдера. Еще диалеры прописывают в
планировщике задание позвонить в заданное
время. И хорошо если пользователь имеет
привычку выключать модем или он у него
внешний и орет так, что мама не горюй. А если
модем тихонький да встроенный? Вот и я о том.
И узнает бедолага о своем горе лишь по
приходе ба-а-альшого такого счета за
телефон.
Кто
Пришла пора рассказать о том, кто же пишет
и запускает всю эту гадость в Сеть. Здесь я
попытаюсь классифицировать те группы людей,
которые занимаются этим неблаговидным
делом. Здесь не будет сказано о так
называемых "белых" хакерах. Объясню,
почему. Данная разновидность не
представляет опасности для общества и
скорее несет ему пользу. Именно они чаще
всего пишут вирусы-антивирусы для
обезвреживания особо вредоносных особей.
Почему вирусы? Эти программы
распространяются по тому же механизму, что
и вирусы. Почему анти-? Потому, что блокируют
или удаляют определенный вид вируса с
компьютера. Главным их отличием от вирусов
является также самоликвидация после
выполнения своей задачи и отсутствие каких-либо
деструктивных функций. Примером может
служить подобный вирус, появившийся в Сети
через некоторое время после рецидива Lovesan'а.
После загрузки вируса-антивируса Lovesan
удалялся, а пользователю предлагалось
загрузить обновления для Windows. "Белые"
хакеры также находят бреши в программном
обеспечении и компьютерных системах, после
чего сообщают о найденных ошибках
компаниям. Теперь перейдем непосредственно
к нашей классификации.
Тип первый: "дети скриптов". Зовут себя
не иначе как 37717 (00|_ HaCkeR-rr, читают журнал "Хакер",
не знают ни одного языка программирования,
а всех "своих" троянов и вирусов творят
посредством скачивания готовых программ из
Сети. (Чтобы избежать наездов, оговорюсь,
что журнал "Хакер", в принципе, неплох,
и материал в нем подается в довольно
простой форме — местами, правда. Но в
простой форме для людей, уже имеющих какой-то
багаж знаний. И материал они дают с умом —
не рассказывают все до конца — дабы не
привлекли их никуда, надо думать.) Эти "хакеры"
обычно, после того как пришлют кому-нибудь
скачанный откуда-нибудь троян, и последний
сработает, тут же начинают орать на форумах
о своей крутизне и т.д., и т.п. За что тут же
вполне справедливо получают в свой адрес
кучу нелицеприятных высказываний, ибо не
дело это. Раз уж напакостил, то лучше
помолчи. Особой опасности данные индивиды
не представляют, т.к. на более-менее
масштабное дело у них просто не хватит ни
опыта, ни (в некоторых случаях) мозгов.
Тип второй: "начинающий". Данный вид
является прямым потомком первого.
Некоторые из представителей первого типа
спустя некоторый промежуток времени
начинают понимать, что они не так круты, как
им казалось, что, оказывается, существуют
какие-то языки программирования, что можно
что-то сделать и после этого не орать на
весь мир про то, какой я молодец. Кто-то из
них в будущем, возможно, превратится в
представителя класса профи. Эти люди
начинают учить какой-нибудь язык, пробовать
что-то писать, в них начинает просыпаться
творческая мысль. И одновременно они
начинают представлять определенную
опасность для общества, ибо кто знает, какое
ужасающее произведение по неопытности
может написать такой представитель класса
вирусописателей. Ведь когда код пишет
профессионал, он все-таки осознает, что
некоторые вещи делать не нужно, т.к. они
могут сыграть против него. У новичка таких
знаний нет, и этим он опасен.
Тип третий: "профи". Развиваются из
второго вида. "Профи" отличаются
глубоким знанием языков программирования,
сетевой безопасности, разбираются в
глубинах операционных систем и, что самое
важное, обладают очень серьезными знаниями
и пониманием механизма работы сетей и
компьютерных систем. Причем "профи" не
только узнают о брешах в системах
безопасности из бюллетеней компаний, но и
сами находят их. Часто они объединяются в
хакерские группы для улучшения качества
своей "работы". Эти люди в основном
скрытные и не жадные до славы, при
проведении какой-нибудь успешной операции
не бегут сообщать об этом всему миру, а
предпочитают мирно отпраздновать успех в
кругу друзей. Безусловно, представляют
большую опасность, но, поскольку все они
люди знающие, то не пойдут на действия,
которые могут вызвать глобальный обвал
какой-либо системы — к примеру, Интернета.
Хотя бывают и исключения (не все еще забыли
про Slammer'a).
Тип четвертый: "промышленные хакеры".
Наиболее опасные для общества
представители семейства хакеров. Их по
праву можно называть настоящими
преступниками. Именно на их совести лежит
написание большей части диалеров и взлом
сетей банков, крупных компаний и
правительственных учреждений. Зачем и ради
чего они это делают, мы поговорим ниже. "Промышленники"
не считаются ни с чем и ни с кем, эти
индивиды способны сделать все ради
достижения своих целей.
Теперь обобщим написанное. "Дети
скриптов": молодо-зелено да неопытно.
Хочется показать, что ты круче всех, а круче
тебя — только Крутой Сэм.
"Начинающий": появилась тяга к
написанию чего-то самостоятельного. Часть
из них, к счастью, после попытки освоения
премудростей интернет-протоколов и языков
программирования бросают это дело и идут
заниматься чем-то более мирным.
"Профи": если вдруг наступает
состояние "осознал свою вину, меру,
степень, глубину", то представитель
данного вида становится
высококвалифицированным специалистом по
компьютерной безопасности. Хотелось бы,
чтобы побольше профи перешло к такому
состоянию.
"Промышленники": ничего святого. Про
таких хорошо говорит народная мудрость: "Горбатого
могила исправит".
Таково грубое разделение на типы
представителей класса компьютерных
злоумышленников. Теперь перейдем к вопросу,
зачем они это делают.
Зачем
А действительно, зачем пишутся вирусы,
трояны, диалеры и прочая нечисть? Одной из
причин является желание самоутверждения.
Оно характерно для представителей первого
и второго типа. Одному просто нужно
показать своим друзьям, что он "типа того,
реальна, крутой пацан", второму —
прежде всего для поднятия уровня
самооценки. Вторая причина — получение
опыта. Характерна для начинающих. После
написания своего первого шедевра,
естественно, хочется его на ком-нибудь
испытать. Не на себе же, в самом деле. Вот и
появляется в Сети определенное число новых,
не всегда очень опасных, вирусов. Следующая
причина — дух соперничества. Вы никогда
не слышали про хакерские соревнования?
Последнее известное мне состоялось летом.
Победила бразильская хакерская группа (оказывается,
не только футбол у них силен). Задача стояла
следующая: кто сломает больше всего сайтов.
Но я уверен, что есть соревнования и по
самому навороченному вирусу, и по самому
лучшему клавиатурному шпиону. Адреналин
— еще одна причина. Представьте себе:
ночь, свет монитора, пальцы бегают по
клавиатуре, вчера была найдена брешь в
системе защиты, сегодня нужно попытаться
получить доступ к системе и показать
товарищу администратору, кто в доме хозяин.
Следом за этой причиной идет и следующая
— романтика. А что, кому нравится на закат
смотреть, кому на звезды, а кому — вирусы
писать да сайты дефейсить. Сколько людей,
столько и вкусов. Причина следующая —
политический или социальный протест. По
этой причине взламывается большинство
правительственных сайтов, сайтов
политических партий, печатных и интернет-изданий,
а также крупных корпораций. За примерами
далеко ходить не надо. Сразу же после начала
войны в Ираке были произведены атаки на
правительственные американские сайты со
стороны недовольных политикой Буша, а также
на сайт арабской газеты "Аль-Джазира" и
ряд других арабских ресурсов с
противоположной стороны. И, пожалуй,
последняя причина — это вездесущие
деньги. Ради них в основном работают, если
можно так выразиться, промышленные хакеры.
Взламывая сети банков, они получают доступ
к счетам клиентов. Что за этим последует,
догадаться нетрудно. Собирая информацию о
любом пользователе Сети посредством
программ-шпионов, они в дальнейшем
занимаются банальным шантажом. Действия, на
которые идут "промышленники", можно
перечислять еще очень долго, хочу лишь еще
раз сказать, что именно они являются
полноценными компьютерными преступниками,
и относиться к ним нужно как к преступникам.
Дабы избежать гневных писем в свой адрес на
тему: "А что, остальные такие добрые и
пушистые, что ты их так защищаешь?", скажу
следующее. Защищать я никого не собирался, и
никто из представителей четырех описанных
видов не является ангелом во плоти — все
они несут определенное зло. Но хакеры
периодически дают нам понять, что не все
совершенно в этом мире. Приведу пример.
Вирус Slammer, на время парализовавший работу
Интернета, использовал ошибку, которую
Microsoft обнаружила и выложила заплатку за три
месяца до этого. Но следует помнить, что
приведенный пример — исключение. А
посему необходимо соблюдать хотя бы основы
компьютерной безопасности.
Андрей Радзевич
В статье использованы материалы Большой
вирусной энциклопедии, viruslist.com
© компьютерная
газета
