3204
.pdfфайлу (программе, электронному документу) по сети могут получить доступ гораздо большее число пользователей, чем на локальном компьютере. Поэтому зараженная программа может быть переписана в огромном числе экземпляров.
Распространение вирусов путем копирования пользователями зараженных программ является пассивным. В этом случае успех распространения вируса во многом зависит от степени популярности зараженного файла, доступного пользователям из сети. Если вирус находится в файле, содержащем информацию, интересуюгцую широкий круг пользователей, то ему открываются хорошие перспективы для распространения. При этом важно, чтобы источник таких файлов заслуживал доверия. В противном случае вирус может быть выявлен при целенаправленном исследовании безопасности переписанных файлов или может никогда не покинуть пределов компьютера-источника.
Однако если методы доступа к сетевым дисковым ресурсам аналогичны методам доступа к локальным дискам (например, пользователь, обладающий необходимыми правами, смонтировал сетевой диск), то обычные файловые вирусы способны заражать исполняемые файлы на удаленных компьютерах.
Активное распространение вирусов подразумевает получение доступа к ресурсам вычислительной сети с целью заражения исполняемых файлов, расположенных на удаленных компьютерах. В этом случае распространение вируса никак не связано с субъективными чертами пользователя и зависит только от уровня защищенности вычислительной сети.
Вирусы, использующие для распространения каналы локальных и глобальных вычислительных сетей, называются сетевыми вирусами или червями. Как правило, сетевые вирусы не выполняют ассоциирования с программными файлами, а представляют собой цельные программные модули, несанкционированно копирующие себя с одного компьютера на другой.
Первым в истории сетевым вирусом, видимо, является
181
легендарная программа Creeper (вьюнок), написанная приблизительно в 1970 г. для одной из первых компьютерных сетей – APRAnet. Интересно, что для уничтожения этой вредной программы была написана другая, названная Reaper (жнец), которая также распространялась по сети и уничтожала копии Creeper.
Много новых идей в развитие вредящих программ внесли писатели-фантасты в 1970-х годах. Например, 1975 г. Джоном Брунером был опубликован роман «Shockwave rider». В нем была достаточно детально описана программа, называемая червем (worm), которая распространялась по компьютерной сети, подбирала имена и пароли пользователей, и была распределена по всей сети – если одни ее фрагменты уничтожались, их заменяли аналогичные, находящиеся в других компьютерах.
Примерно по той же схеме был построен знаменитый вирус Морриса, запущенный 2 ноября 1988 г. студентом Робертом Моррисом в локальную сеть компьютера Массачусетского Технологического института. В течение 6 ч были поражены около 6 ООО компьютеров, в том числе и некоторые компьютеры НАСА и Министерства обороны США.
Вирус Морриса представлял собой программу из примерно 4 ООО строк, написанную частично на языке С и частично на языке shell командного интерпретатора UNIX. Вирус Морриса только распространялся по сети и не оказывал вредных воздействий на зараженные, за исключением заметного увеличения нагрузки на сеть, однако эта нагрузка оказалась столь велика, что в отдельных случаях вызывала аварийное завершение работы операционных систем.
После этого инцидента в течение почти десяти лет сетевые вирусы не проявляли себя, однако в начале 1997 г. практически одновременно появилось сразу два сетевых вируса нового поколения: ShareFun и Homer.
Вирус ShareFun представлял собой макровирус Microsoft Office, рассылающий себя внутри электронных писем системы
Microsoft Mail.
182
Вирус Homer использовал для распространения протокол FTP, передавая свою копию на удаленный FTPсервер в каталог Incoming, при этом автоматический запуск этой копии вирусом не обеспечивался.
Вдальнейшем количество сетевых вирусов быстро росло, и начиная с 2002 – 2003 гг. сетевые вирусы являются наиболее обширным классом компьютерных вирусов, как по видовому разнообразию, так и по общему «поголовью». Так, по данным «Лаборатории Касперского», в 2003 г. на долю сетевых вирусов пришлось более 85 % всего вирусного «поголовья» планеты.
Если вирус обладает алгоритмами активного распространения через компьютерные сети, то он может распространяться с очень большой скоростью. Это подтверждают примеры атак вируса Морриса и вируса MS Blast, поразившего летом 2003 г. почти половину всех экземпляров Windows 2000/ХР во всем мире. Неоднократно отмечались случаи, когда компьютер, подключенный к локальной или глобальной до операционной системы, заражался сетевым вирусом прямо в ходе установки, как только активизируются основные сетевые интерфейсы. В октябре 2003 г. в Гавайском университете был проведен эксперимент, в ходе которого незащищенный сервер был подключен к Интернету по высокоскоростному каналу связи. Сервер был поражен вирусом Nachi менее чем за 12 мин после начала эксперимента.
Иногда дело доходило до курьезов. Например, вирус Dabber заражал только те компьютеры, подключенные к Интернету, которые уже были заражены вирусом Sasser, причем это ограничение не помешало вирусу Dabber организовать масштабную эпидемию осенью 2003 г. Аналогично, вирусы Doomjuice и Deadhat заражали только компьютеры, уже зараженные вирусом MyDoom, а вирус Sahay
вкачестве «полезной нагрузки» содержал процедуру, удаляющую с компьютера вирус Yaha.
В2001 г. вирус Nimda попал в почтовые рассылки от
Microsoft Samsung и Dell, вирус Goner – в рассылки CISCO,
183
«бестелесный» вирус CodeRed некоторое время жил на почтовом сервере Hotmail, принадлежащем Microsoft. Вирус Funlove проник на DVD-диски с мультфильмами Уолта Диснея и CD-диски с драйверами к принтерам Hewlett-Packard. Вирус Magistr рассылался подписчикам сайта компьютерных новостей SiliconValley.com.
В 2002 – 2003 гг. ряд аналитиков высказывали мнение о грядущем «вирусном апокалипсисе» в масштабах всего Интернета. Так, начальник аналитического центра «Лаборатории Касперского» Максим Поташев заявлял в интервью средствам массовой информации, что в руках у вирусописателей оказались алгоритмы, позволяющие создавать черви с настолько высокой скоростью распространения, что порог эпидемии будет достигаться за несколько секунд. Сам Евгений Касперский утверждал, что современный Интернет находится на завершающей стадии своего жизненного цикла, еще немного – и он просто умрет. Речь шла о возможности так называемой атаки на Интернет – когда зараженные компьютеры заваливают ложными запросами корневые серверы DNS, приводя к их перегрузке. В результате пользователи не смогут получить доступ к любым интернетсайтам.
К счастью, опасения не оправдались. К началу 2004 г. пандемия сетевых вирусов пошла на спад, и вскоре ситуация с вирусной активностью в Интернете стабилизировалась, в основном за счет более оперативного и качественного технического сопровождения программных продуктов Microsoft. После эпидемии MSBlast летом 2003 г. система выпуска обновлений для Windows подверглась серьезной реорганизации, в результате чего пакеты обновлений для обнаруженных уязвимостей стали появляться раньше, чем вирусы, использующие эти уязвимости. После 2003 г. единственная более-менее серьезная эпидемия, связанная с эксплуатацией вирусами уязвимостей программного обеспечения, имела место в конце декабря 2005 – начале января 2006 гг., когда программисты Microsoft разъехались на
184
рождественские каникулы, из-за чего выпуск очередного пакета обновления задержался на несколько дней. Чат-вирусы и IM-вирусы, о которых много говорили в 2003 – 2004 гг., так и не стали заметной угрозой безопасности Интернета.
Самым знаменитым сетевым вирусом, несомненно, является вирус MSBlast, начавший свое размножение 11 августа 2003 г. на территории США.
Для своего распространения MSBlast использовал уязвимость переполнения буфера в сервисе RPC Windows 2000/ХР (MS03-026). Интересно, что пакет обновления, исправляющий данную уязвимость, был выпущен Microsoft 16 июля 2003 г., за 26 дней до начала эпидемии. 25 июля китайский хакер FlashSky выложил на один из интернет-сайтов исходный текст на языке С, эксплуатирующий данную уязвимость. Остальное было делом техники:
26 июля в Интернете появилась версия эксплойта, соответствующая спецификациям интерфейса MetaSploit. Теперь даже малоквалифицированный хакер мог интегрировать этот эксплойт в свою программную закладку;
начиная с 30 июля отмечалось множество случаев использования хакерами данной уязвимости для взлома различных компьютерных систем на базе Windows. По некоторым сведениям [31], с помощью «неавтоматических прототипов» MS Blast в этот период времени было взломано более тысячи систем;
1 августа неизвестный хакер опубликовал версию эксплойта, полностью готовую к интеграции в тело сетевого вируса. Ориги нальная версия, разработанная FlashSky, имела ряд недостатков, серьезно затруднявших применение данного кода внутри виру са;
6 августа на сайте американской компании Ос 192 Computer Solu tions, специализирующейся в области компьютерной безопасности, появилась статья, в которой были опубликованы последние де тали данной уязвимости, ранее остававшиеся недоступными ши рокому кругу хакеров. В частности, были опубликованы «волшеб ные числа»,
185
необходимые для корректного заражения Windows 2000 и Windows ХР. Следует, однако, отметить, что из множества до пустимых вариантов были выбраны далеко не лучшие числа – они позволяли корректно заражать лишь англоязычные версии
Windows;
11 августа начала распространяться первая, оригинальная моди фикация MSBlast.
В первые же сутки эпидемии было заражено более 120 000 компьютеров [28]. Успех нового вируса был столь ошеломляющим, что немедленно появились подражания – другие вирусы, использующие тот же механизм размножения. К 1 сентября в Интернете функционировали шесть различных разновидностей MSBlast, написанных разными людьми и несовместимых друг с другом, а в течение следующего года число различных штаммов MSBlast достигло одиннадцати. К началу апреля 2004 г. общее количество зараженных компьютеров достигло 8 млн [29], а к середине 2005 г. – 25 млн
[30].
Заражая очередной компьютер, вирус направлял на случайный IP-адрес специально сформированный сетевой пакет, некорректно обрабатывавшийся большинством Windows-систем. В результате обработки пакета небольшой фрагмент машинного кода, вложенный в пакет, получал управление. Этот фрагмент кода с помощью программы TFTP получал от вируса-родителя полное тело вируса и сохранял его в системную директорию Windows под именем msblast.exe (некоторые штаммы вируса использовали другие имена файлов: penis32.exe, mslaugh.exe и др.). С вероятностью не менее 40 % процедура заражения выполнялась некорректно, что приводило к самопроизвольной перезагрузке операционной системы (Windows ХР) либо разнообразным сбоям в работе офисных программ и веб-браузеров (Windows 2000). Особенно часто подобная ситуация проявлялась в тех экземплярах Windows, локализация которых отличалась от английской – в этом случае корректное заражение операционной системы вирусом MSBlast было практически невозможно. Если
186
англоязычные версии Windows рано или поздно заражались вирусом корректно, и дальнейшее функционирование операционной системы протекало более-менее нормально, то для русскоязычной Windows ХР заражение данным вирусом чаще всего приводило к полному выходу операционной системы из строя. При этом экстренная переустановка системы далеко не всегда восстанавливала ее работоспособность – отмечены случаи, когда операционная система вновь заражалась вирусом еще до завершения инсталляции. Исходя из этого российские антивирусные компании, как правило, классифицировали вирус MSBlast как «особо опасный», в то время как в США этот вирус классифицировался как просто «опасный».
Интересно, что принудительная перезагрузка, инициированная вирусом, могла быть в любой момент прервана командой shutdown –а, введенной в командной строке, однако подавляющее большинство пользователей зараженных компьютеров об этом не знали.
Единственным вредоносным проявлением вируса MSBlast, заложенным в него разработчиком, была сетевая атака, направленная на выведение из строя сервера автоматического обновления Windows, выполняемая путем «заваливания» сервера большим количеством однотипных запросов. Все остальные негативные последствия MSBlast были вызваны не злой волей автора вируса, а допущенными им ошибками.
В ходе эпидемии MSBlast администраторами и программистами широко применялись «доморощенные» средства и методы для противодействия вирусу. Так, например, в [26] описана программная ловушка, которая с точки зрения вируса выглядит неотличимо от уязвимого компьютера, но при попытке заражения «наносит контрудар» и излечивает от вируса операционную систему компьютера, пытающегося заразить ловушку. Интересно, что для излечения используется та же самая уязвимость MS03-026, которой пользуется
MSBlast.
187
Наиболее радикальным из «доморощенных» средств противодействия MSBlast стал вирус Welchia, использующий ту же схему размножения, что и MS Blast (но немного улучшенную, вирус Welchia использовал не только уязвимость MS03-026, но и уязвимость MS03-007). На каждом зараженном компьютере Welchia обнаруживал и удалял MSBlast, а затем устанавливал пакет обновления MS03-026, предотвращающий повторное заражение данным вирусом. В начале января 2004 г. все копии вируса Welchia самоуничтожились, однако за предшествующие четыре месяца Welchia успел нанести ущерб, сопоставимый с ущербом от MSBlast.
Большинство сетевых вирусов (как и большинство файловых вирусов) относительно безобидны, но встречаются и опасные исключения. Так, вирусы Mimail и Foo, заразив систему, предпринимают DoS-атаки против ряда серверов, которые созданы для борьбы со спамом, при этом вирус Foo, кроме того, пытается получить обманным путем конфиденциальную информацию о пользователях платежной системы PayPal.
Современные сетевые вирусы можно разделить на следующие основные классы:
онлайн-вирусы, заражающие удаленные компьютеры путем явного копирования своего тела по одному из прикладных сетевых протоколов;
почтовые вирусы, распространяющиеся посредством рассылки зараженных сообщений электронной почты, новостей
UseNet и FIDO, IM-программ (ICQ, AOLIM и т. п.), веб-
форумов и чатов, блогов и т. п.
Отметим, что разделение вирусов на эти два класса весьма условно, существуют вирусы (например, Magistr), использующие для своего размножения методы, типичные для обоих классов вирусов.
Алгоритм функционирования онлайн-вируса в общем случае включает в себя следующие основные этапы.
1. Инициализация. Вирус получает доступ к системным интерфейсам, необходимым для выполнения следующих
188
шагов. Часто на этом шаге вирус выполняет дополнительные действия – запуск стелс-функций, поиск и нейтрализация антивирусов, инициализация «полезной нагрузки» вируса и т. п. При первой инициализации новая копия вируса обычно обеспечивает свой автозапуск после перезагрузки зараженного компьютера.
2.Выбор жертвы. Вирус ищет в локальной или глобальной сети компьютер, который может быть заражен. Основными методами поиска потенциальной жертвы являются:
сканирование того или иного участка пространства IPадресов;
случайный выбор IP-адреса; сканирование тех или иных DNS-доменов;
сканирование пространства WINS-имен (сетевого окружения Windows);
перехват обращений прикладных и системных программ
ксетевым интерфейсам и последующее заражение компьютеров, к ресурсам которых обращается локальный пользователь (или компьютеров, с которых пользователи обращаются к ресурсам зараженного сервера);
обнаружение уязвимых систем через специально подобранные запросы к глобальным поисковым системам
(Google и т.п.).
3.Заражение. Вирус копирует свое тело в заражаемую систему и обеспечивает передачу ему управления.
В отличие от почтовых вирусов, которые будут рассмотрены далее, онлайн-вирусы распространяются самостоятельно, при минимальном участии или вообще без участия пользователя зараженного компьютера. Если для того чтобы получить почтовый вирус, пользователь-жертва должен выполнить определенные действия, то для заражения онлайнвирусом достаточно подключить уязвимый компьютер к сети, имеющей физическую связь (не обязательно прямую) с одним или несколькими зараженными компьютерами.
Самостоятельность размножения онлайн-вирусов является их основным преимуществом, выгодно (с точки
189
зрения вирусописателей) отличающим их от других сетевых вирусов. Если онлайн-вирус поразил высокопроизводительный компьютер, подключенный к высокоскоростной сети, этот вирус может распространяться с очень высокой скоростью, каждую минуту создавая несколько своих активных копий на других компьютерах. С другой стороны, онлайн-вирусам свойственен существенный недостаток, заключающийся в том, что для создания своей копии онлайн-вирус, как правило, должен получить административный доступ к заражаемому компьютеру.
Для онлайн-вирусов типичны следующие методы получения доступа к ресурсам компьютеров-жертв.
1.Использование легальных средств операционной системы и штатных сетевых средств. Данный метод обычно реализуется в виде тотального сканирования сети в целях обнаружения доступных сетевых ресурсов. Вирус, единовременно получивший полномочия администратора большой локальной сети, способен заразить всю сеть в считанные минуты. Однако в глобальных сетях, не поддерживающих централизованного управления, данный метод практически неприменим.
2.Подбор паролей по словарю. Пользователи нередко выбирают в качестве паролей короткие, осмысленные слова, которые могут быть подобраны всего за несколько опробований. Данный метод позволяет вирусу распространяться в локальных сетях даже при отсутствии административных полномочий, но в сетях, где применяется аудит, вирус, пользующийся данным методом, обнаруживается спустя считанные часы, а то и минуты после первого запуска.
3.Перехват паролей. Сетевой вирус может осуществлять перехват паролей пользователей различными способами:
перехват вводимой информации в момент аутентификации пользователя;
получение пароля или его хеш-образа из сетевых пакетов аутентификации;
190