2. Примеры вирусов класса “Червь” и полиморфный

Вирус-червь. Также известен под названием Korgo. Распространяется по глобальным сетям, используя для своего размножения уязвимость в службе LSASS Microsoft Windows. Ее описание приведено в Microsoft Security Bulletin MS04-011. Червь написан на языке C++. Имеет размер около 10 КБ, упакован UPX.

Размножение

При запуске червь копирует себя в системный каталог Windows с произвольным именем и регистрируется в ключе автозапуска:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinUpdate"="%system%\[имя файла]"

Также создает ключ:

[HKLM\SOFTWARE\Microsoft\Wireless] "Server"="1"

Создает в памяти уникальные идентификаторы "10", "u2", и "uterm5" для определения своего присутствия в системе. Червь, аналогично другим червям, использующим уязвимость в службе LSASS, выбирает произвольные IP-адреса для атаки и заражения. На этой неделе в сети появились сразу три версии червя Korgo, которые используют уязвимость в ОС Windows, о которой стало известно более месяца назад. Это свидетельствует о том, что патч, устраняющий эту уязвимость установили далеко не все пользователи. Черви-“родственники” используют LSASS-дефект, который был обнаружен в середине апреля 2004 г. Korgo.a, Korgo.b и Korgo.c сканируют системы без установленных исправлений так же, как и червь Sasser, который первым использовал эту уязвимость. Korgo обнаруживает уязвимую систему и подгружает себя. Korgo, также известный как Padobot, случайным образом выбирает IP-адреса компьютеров атакует и инфицирует их, по такому же принципу, что и другие черви, использующие LSASS-дефект. Черви открывают несколько TCP-портов, в том числе 113, 445, 2041, 3067 и 6667 в качестве “задней двери”, а затем соединяется с несколькими IRC-серверами для получения дальнейших команд и передачи информации. В случае удачного проникновения в систему, червь дает хакеру возможность полного контроля над ней. Тем не менее, червям семейства Korgo большинство анти-вирусных компаний присвоило рейтинг “низкая степень угрозы”, а Symantec поставил им 2 балла по 5-балльной шкале опасности. Однако финская компания F-Secure считает, что вирус достаточно опасен, так как ворует информацию с помощью шпионских программ, мониторящих нажатия на клавиши. Несмотря на то, что новый вирус не вызвал серьезной эпидемии, антивирусные компании настойчиво рекомендуют пользователям убедиться в том, что исправления, устраняющие уязвимость в LSASS, установлены на их ОС Windows NT, 2000, XP и Windows Server 2003.

3. Примеры вирусных эпидемий и их последствия

2003 год, без сомнения, стал годом самых мощных вирусных эпидемий в истории интернета. Началось все уже в январе с атаки червя Slammer.

Этот червь атаковал серверы баз данных Microsoft SQL Server, используя уязвимость в этой СУБД. Атака производилась с уже зараженных машин по случайным IP-адресам, что привело к лавинообразному разрастанию эпидемии. Вирус имел небольшой размер (всего 376 байт), но из-за масштабности эпидемии привел к перегрузке многих сегментов интернета. Сильнее всех от Slammer пострадала Южная Корея, на время почти полностью лишившаяся интернета.

Следующей крупной эпидемией стало "нашествие" почтового червя Bugbear.b в начале июня. За сутки этот червь поразил около 400 тысяч компьютеров, но вскоре эпидемия пошла на спад. К концу года о Bugbear.b и вовсе почти забыли, поскольку в августе на интернет обрушились сразу две мощнейшие эпидемии.

11 августа стало датой начала эпидемии червя Blaster (он же Lovsan или MSBlast), использующего дыру в интерфейсе DCOM RPC операционных систем семейства Windows NT. Как и Slammer, Blaster самостоятельно сканировал IP-адреса в поисках уязвимых машин. В планах создателей червя значилась DoS-атака на сайт Microsoft Windows Update со всех пораженных машин. Однако эта затея провалилась. Тем не менее, Blaster нанес серьезный ущерб как корпоративным, так и домашним пользователям.

Виновником второй масштабной эпидемией августа стал почтовый червь Sobig.F. Первая его вариация появилась еще в январе, и несколько месяцев клоны Sobig присутствовали в большинстве хит-парадов антивирусных компаний. Однако именно Sobig.F вызвал самую мощную эпидемию почтовых червей за последнее время. Почтовые серверы буквально надрывались от перекачки миллионов зараженных писем, а ящики многих пользователей оказались попросту переполненными вирусной корреспонденцией. Эпидемия Sobig.F пошла на спад лишь после 10 сентября - заложенного в вирус создателями срока деактивации.

4. spyware, adware, rootkit

Spyware — программа, которая скрытным образом устанавливается на компьютер с целью сбора информации о конфигурации компьютера, пользователе, пользовательской активности без согласия последнего. Также могут производить другие действия: изменение настроек, установка программ без ведома пользователя, перенаправление действий пользователя.

Законные виды применения

• Tracking Software (программы отслеживания) широко и совершенно законно применяются для мониторинга персональных компьютеров.

• Adware может открыто включаться в состав бесплатного и условно-бесплатного программного обеспечения. Пользователь соглашается на просмотр рекламы, чтобы иметь какую-либо дополнительную возможность (например — пользоваться данной программой бесплатно). В таком случае наличие программы для показа рекламы должно явно прописываться в соглашении конечного пользователя (EULA).

• Программы удалённого контроля и управления могут применяться для удалённой технической поддержки или доступа к собственным ресурсам, которые расположены на удалённом компьютере.

• Дозвонщики (диалеры) могут давать возможность получить доступ к ресурсам, нужным пользователю (например — дозвон к Интернет-провайдеру для подключения к сети Интернет).

• Программы для модификации системы могут применяться и для персонализации, желательной для пользователя.

• Программы для автоматической загрузки могут применяться для автоматической загрузки обновлений прикладных программ и обновлений ОС.

• Программы для анализа состояния системы безопасности применяются для исследования защищённости компьютерных систем и в других совершенно законных целях.

• Технологии пассивного отслеживания могут быть полезны для персонализации веб-страниц, которые посещает пользователь.

Adware — программное обеспечение, содержащее рекламу.

Многие adware осуществляют действия, присущие Spyware: показывают рекламные заставки, базирующиеся на результатах шпионской деятельности на компьютере, могут устанавливаться без согласия пользователя. Примеры: Exact Advertising от BargainBuddy, Gator Software от Claria Corporation (может быть установлен тайным способом, демонстрирует всплывающие окна с рекламой).

Некоторые программы adware, поставляемые при деинсталляции не удаляют рекламный модуль.

Другие действия, характерные для spyware, такие как доклад о веб-сайтах, посещаемых пользователем, происходят в фоновом режиме. Данные используются для целевого рекламного эффекта.

Примером программы adware может служить официальный клиент ICQ (в отличие, например, от клиентов QIP, Miranda IM, Kopete и т. д.) или медиаконвертер MediaCoder, распространяемый по условию свободного ПО, но официальная сборка которого содержит многочисленные баннеры рекламы.

Rootkit — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Кроме непосредственно себя руткит, как правило, может маскировать присутствие в системе любых описанных в его конфигурации каталогов и файлов на диске, ключей в реестре.

Легальные руткиты

Корпорация Sony встраивала подобие руткита в свои лицензионные аудиодиски. Руткитами по сути является большинство программных средств защиты от копирования (и средств обхода этих защит — например, эмуляторы CD и DVD приводов). От «нелегальных» они отличаются только тем, что ставятся с ведома пользователя.