Филин С.А. Информационная безопасность, 2006
.pdfи контрольной суммой каждого из расположенных на них файлов) должен обнаружить новый файл и сообщить пользователю о том, что у этого файла нет значения контрольной суммы. Если храни тель обнаружит изменения в содержании или размере, то он не медленно сообщит об этом пользователю. Однако сообщение будет выдано и в том случае, если пользователь сам создаст новый файл. Поэтому пользователь, скорее, укажет хранителю целостности вы числить новую контрольную сумму для нового (инфицированного) файла.
Наиболее, удачным средством против медленных вирусов яв ляются оболочки целостности (резидентные хранители целостно сти). Они постоянно находятся в памяти компьютера и наблюдают за созданием каждого нового файла, и у медленного вируса не оста ется практически никаких шансов. Еще одним способом проверки целостности является создание ловушек. Здесь специальная антиви русная программа создает несколько СОМ- и ЕХЕ-файлов опреде ленного содержания. Затем программа проверяет содержимое этих файлов. Если медленный вирус инфицирует их, то пользователь сра зу же узнает об этом.
Например, медленный вирус может наблюдать за программой ко пирования файлов. Если ООБ выполняет запрос на копирование, то вирус поместит свое тело в новую копию файла. Процесс инфициро вания медленным вирусом копии файлов включает:
1)медленный вирус остается в памяти;
2)ООБ записывает зараженный файл на диск;
3)диск содержит зараженную программу, которая будет запу скать медленный вирус при каждом своем запуске.
Ретро-вирус — это КВ, пытающийся обойти или помешать дей ствиям антивирусных программ. Эти вирусы атакуют антивирусное программное обеспечение. Компьютерные профессионалы называ ют ретро-вирусы анти-антивирусами4 .
Создание ретро-вируса является относительно несложной за дачей, так как создатели вирусов обладают доступом ко всем анти вирусным программам. Исследуя такую программу, они изучают ее работу, находят в ней слабости с точки зрения возможного воздей ствия КВ и создают на этой основе вирус. Большинство ретро-виру сов занимается поисками и удалением файлов с данными о сигнату рах КВ. Таким образом, антивирусная программа, использовавшая
45 Существуют еще анти-вирус-вирусы — вирусы, созданные для уничтоже ния других вирусов.
293
этот файл, не может больше нормально функционировать. Более сложные ретро-вирусы занимаются поиском и удалением баз дан ных, содержащих информацию о целостности файлов. Удаление по добной базы производит на хранителя целостности такой же эффект, как уничтожение файлов с сигнатурами вирусов на антивирусную программу.
Многие ретро-вирусы обнаруживают активизацию антивирусных программ, а затем прячутся от программы либо останавливают ее выполнение. Кроме того, они могут запустить процедуру разруше ния до того, как антивирусная программа обнаружит их присутствие. Некоторые ретро-вирусы изменяют оболочку вычислений антивиру са и таким образом влияют на выполнение антивирусных программ. Кроме того, существуют ретро-вирусы, использующие недостатки антивирусного программного обеспечения, чтобы замедлить его ра боту или существенно снизить эффективность программы.
Составные вирусы инфицируют как исполняемые файлы, так и загрузочные секторы дисков. Кроме того, они могут инфицировать загрузочные сектора дискет. Такое название они получили потому, что инфицируют компьютер различными путями. Другими слова ми, они не ограничиваются одним типом файлов или определен ным местом на диске. Если запустить инфицированную программу, составной вирус инфицирует загрузочную запись жесткого диска. При следующем включении компьютера составной вирус активи зируется и будет инфицировать все запущенные программы. Одним из наиболее известных составных вирусов является One-Half, ко торый обладает признаками стелс-вируса и полиморфного вируса. Процесс инфицирования составным вирусом включает:
1)составной КВ записывает себя в загрузочной записи;
2)чистая программа загружена в память;
3)составной вирус заражает программу;
4)DOS записывает зараженный файл на диск.
Вооруженные вирусы защищают себя с помощью специального кода, благодаря которому сильно усложняется отслеживание и диз ассемблирование КВ. Вооруженные вирусы могут воспользоваться для защиты «пустышкой». Это — код, позволяющий увести разра ботчика антивирусных программ от настоящего кода КВ. Кроме того, вооруженный вирус может включать в себя специальный фраг мент, указывающий на то, что КВ расположен в одном месте, хотя на самом деле его там не будет. Одним из наиболее известных воору женных вирусов является Whale.
294
Вирусы-компаньоны создают параллельно с инфицирован ным файлом файл с таким же именем, но с другим расширением. Например, вирус-компаньон может сохранить свое тело в файле winword.com. Благодаря этому операционная система перед каждым запуском файла winword.exe будет запускать файл winword.com, ко торый будет располагаться в памяти компьютера. Обычно вирусыкомпаньоны генерируются вирусами-фагами.
Вирус-фаг — это программа, которая изменяет другие программы или базы данных. Компьютерные профессионалы называют эти ви русы фагами потому, что по своему действию они напоминают жи вые микроорганизмы. В природе вирусы-фаги представляют собой особенно вредные микроорганизмы, которые замещают содержимое клетки своим собственным. По аналогии вирусы-фаги обычно заме щают текст программы своим собственным кодом. Чаще всего они являются генераторами вирусов-компаньонов. Вирусы-фаги — это наиболее опасный вид КВ. Дело в том, что они не только размножа ются и заражают другие программы, но и стремятся уничтожить все инфицированные программы.
Вирус-червь46 старается вывести из строя инфицированный ком пьютер, создатель вируса должен наделить его способностями пере мещаться с помощью сети от одного компьютера к другому. Вирусычерви копируют себя на другие компьютеры с помощью протоколов и иных подобных систем. Удаленное воспроизведение необходимо, так как после отключения компьютера пользователь постарается удалить все имеющиеся на жестком диске КВ. Для своего распро странения вирусам-червям не требуется изменять программы хоста.
Для нормальной работы вирусам-червям необходимы опера ционные системы, обеспечивающие возможность удаленного вы полнения и позволяющие приходящим программам выполняться на компьютере. В 1988 г. такими возможностями обладала только
46 Червем называется не только определенный тип вирусов, но и антивирус ное инструментальное средство. Недостаток большинства стандартных средств аудита и хранителей целостности заключается в том, что они также могут стать жертвами вирусов. Однако можно хранить информацию безопасности и прог раммы на изолированном и неизменяемом носителе. Наиболее подходят для этих целей 1М Ж М -диски. Привод ^ОЯМ-диска обычно представляет собой приспособление оптического хранения данных, работающее с несколькими \У011М-дисками.
295
одна операционная система — Unix. До недавнего времени многие персональные компьютеры не могли быть инфицированы виру сом-червем — этого не позволяют сделать ни DOS, ни Windows 98. Однако NT-подобные операционные системы обладают возможно стями удаленного выполнения и поэтому может поддерживать рабо ту вирусов-червей.
Одним из самых распространенных вирусов в Интернет являет ся WINSTART. Свое название он получил от имени файла — mnstart. bat, — в котором обычно и располагается тело вируса. Этот червь, как и многие остальные, копирует себя в памяти компьютера до тех пор, пока не будет выведена из строя операционная система. После этого компьютер автоматически зависает. Во время своего выполне ния вирус-червь параллельно занимается поиском следующей ком пьютерной операционной системы.
Файловые вирусы и макровирусы — наиболее опасные типы КВ.
Именно с ними приходится иметь дело администраторам сетевых сер веров и одноранговых сетей, соединенных с Интернет. Загрузочные вирусы обычно не распространяются по Интернету, так как соеди ненный с Интернетом компьютер не может произвести на другом компьютере дисковые операции низкого уровня. Сервер Интернета обычно не может записывать файлы на другой компьютер. Такую операцию в состоянии произвести только компьютер-получатель.
Файловым вирусом может быть троянский конь, вооруженный вирус, стелс-вирус и некоторые другие. Файловые вирусы опасны для данных, хранящихся на сервере, одноранговых сетей и в какойто степени, Интернет. Способы инфицирования сетевого сервера следующие:
—копирование (пользователем или администратором) инфи цированных файлов прямо на сервер. После этого КВ, рас положившийся в файле, начнет инфицировать все остальные файлы;
—наличие файлового вируса на рабочей станции может инфици ровать сеть. После своего запуска вирус сможет инфицировать любое приложение, хранимое на сервере. Если же вирус сумеет проникнуть в какой-либо файл, расположенный на сервере, то он сможет инфицировать и все компьютерные системы в сети;
—наличие резидентного вируса на рабочей станции может вы звать инфицирование всей сети. После своего запуска рези дентный вирус может получить информацию о передаваемых данных и скопировать себя на сервер, не обладая при этом прямым доступом к расположенной на сервере информации.
296
Абсолютно не важно, как вирус попадет в сеть. Он может быть размещен на дискете, получен с сообщением электронной почты или загружен из Интернета вместе с исполняемым файлом. Как только вирус попадает на компьютер, обладающий доступом к другим се тевым компьютерам, то он способен инфицировать все остальные компьютерные системы. Инфицировав всего первую компьютерную систему в сети, вирус начнет распространяться по всей сети и в ко нечном итоге попадет на сервер.
После заражения файлового сервера любой пользователь, запус тивший инфицированную программу, может инфицировать файлы на своем жестком диске или другие файлы, размещенные на том же сервере. Кроме того, администратор, зарегистрировавшийся в се ти с правами суперпользователя, может обойти запреты на доступ к файлам и каталогам и инфицировать еще большее количество файлов. При загрузке сервер размещает в памяти достаточно боль шое количество сетевых приложений. Инфицированный сервер ста новится носителем исполняемых файловых вирусов. Компьютерные вирусы не размножаются на сервере и не портят его программ. Они переносятся, если пользователь загрузит инфицированную программу на свою рабочую станцию. До сих пор не зарегистриро вано ни одного КВ, способного внедриться в программное обеспе чение сервера и инфицировать файлы во время чтения или записи на сервер. Однако технологии создания вирусов не стоят на месте, и возможно появление именно такого типа вирусов.
Одноранговые сети еще более подвержены атакам файловых вирусов. Средства безопасности одноранговой сети слабы, а ее ар хитектура (каждая компьютерная система одновременно является
исервером, и рабочей станцией) делает компьютерные системы еще более уязвимыми.
Файловые вирусы не могут размножаться в Интернете и инфи цировать удаленные компьютеры, поэтому Интернет является не «- инкубатором» для КВ, а носителем КВ. Чтобы произошло инфи цирование, компьютер должен загрузить зараженный файл из сети
изапустить его.
Впоследнее время возросло количество КВ, распространяемых с помощью Интернета. Обычные текстовые сообщения электрон ной почты не могут содержать КВ. Текстовые сообщения относят ся к файлам данных, которые не являются программами и не могут выполняться на компьютерной системе. Компьютерные вирусы могут заражать только исполняемые программы (не считая макро вирусов).
297
То же самое можно сказать практически обо всех сообщениях электронной почты. Однако существуют ситуации, когда файл с дан ными оказывался исполняемым файлом. Некоторые Web-броузеры и диалоговые служебные программы (вроде America Online) выпол няют программы сразу после их загрузки.
Гораздо чаще пользователям приходится иметь дело с пересыл кой файлов данных текстовых процессоров (например, документы M icro so ft Word). Благодаря разработкам в области текстовых процес соров эти файлы перестали быть просто файлами данных. В боль шинстве случаев такие файлы содержат внедренные макрокоманды, с помошью которых можно существенно ускорить работу. На самом деле макрокоманда является некоторой разновидностью программ. Благодаря этому стало возможным создание макровирусов.
Макровирус — это макрокоманда, которая воспроизводит себя в каждом новом документе.
Большинство современных макровирусов не представляют собой большой опасности. Однако потенциально они обладают огромны ми возможностями. Макрокоманды обладают доступом к набору операций, с помощью которых можно производить различные (в том числе и разрушительные) действия в системе. Например, с помощью макрокоманды можно удалить с жесткого диска системные файлы.
Макровирусы — наиболее быстро развивающаяся разновидность КВ, способных перемещаться посредством Интернета. Макровирусы представляют опасность не только для сетей, но и для автономных компьютеров, так как они не зависят от компьютерной платформы и от конкретной операционной системы. Более того, эти КВ зара жают не исполняемые файлы, а файлы с данными, которых гораздо
больше.
Макровирус — это программа, написанная на внутреннем языке программирования (иногда эти языки называют языками разработ ки сценариев или макроязыками) какого-либо приложения. В каче стве таких приложений обычно выступают текстовые или табличные процессоры, а также графические пакеты.
Обычно макровирусы распространяются путем создания копий в каждом новом документе. Таким образом, макровирус может попа дать на другие компьютерные системы вместе с инфицированными документами. Наиболее часто макровирусы удаляют файлы так, что бы впоследствии их нельзя было восстановить. Макровирусы могут выполняться на любом типе компьютеров, в том числе с различны ми операционными системами. Главное, чтобы на компьютере была
298
необходимая им программа обработки документов вместе со своим внутренним языком программирования. Именно благодаря этому языку макровирусы могут выполняться на различных платформах и под управлением различных операционных систем.
Внутренние языки программирования наиболее популярных при ложений представляют собой очень эффективное инструментальное средство. С их помощью можно удалять или переименовывать фай лы и каталоги, а также изменять содержимое файлов. Созданные на таких языках программирования макровирусы могут проделывать аналогичные операции.
В настоящее время большинство известных макровирусов на писано на Microsoft WordBasic или Visual Basic for Application (VBA). WordBasic — это внутренний язык программирования текстового процессора Word for Windows (начиная с версии 6.0) и Word 6.0 for Macintosh. По сравнению с созданием системных вирусов с помо щью ассемблера написать макровирус не так уж сложно. WordBasic и VBA представляют собой достаточно простые языки программи рования.
Так как при каждом использовании программы из пакета Microsoft Office выполняется и VBA, то написанные с его помощью макровирусы представляют для системы чрезвычайную опасность. Макровирус, созданный с помощью VBA, может заражать и таблицы Excel, и базы данных Access, и презентации PowerPoint. С ростом воз можностей внутренних языков программирования возрастет и коли чество новых макровирусов.
Microsoft W)rd обладает огромными возможностями, благодаря которым макровирус может производить различные действия. Кроме того, созданы версии этой программы для различных компьютерных платформ: существуют версии для DOS, Windows 2000 и Mac OS. Это увеличивает поле деятельности макровирусов.
Общий шаблон (в Windows он хранится в файле normal.dot) со держит глобальные макрокоманды, всегда доступные в Microsoft Word. Именно в этом шаблоне обычно и размещается тело макро вируса. Именно из него вирус заражает все созданные в текстовом процессоре документы.
Microsoft Word автоматически выполняет указанные макроко манды без участия пользователя. Благодаря этому макровирус мо жет выполняться вместе с обычными макрокомандами (с помощью обычных макрокоманд программа производит открытие и закрытие документа, а также завершение своей работы).
Обычно пользователи помещают документы Word в сообщения электронной почты, на FTP-сайты и в листы рассылки. Все это спо собствует быстрому распространению макровирусов.
299
WordMacro/Concept, известный также как Word Prank Macro
или WWW6 Macro, — это макровирус, написанный на внутреннем языке Microsoft Word 6.0. На самом деле он состоит из нескольких макрокоманд: AAAZAO, AAAZFS, AutoOpen, fileSaveAs и PayLoad.
Макрокоманды AutoOpen и FileSaveAs являются стандартными. Макровирус пытается инфицировать общий шаблон документов normal.dot. Если же в процессе инфицирования вирус обнаружит, что в файле шаблона уже находится макрокоманда PayLoad или FileSaveAs, то он прекратит атаку. Инфицировав общий шаблон, макровирус начинает инфицировать все документы, сохраненные с помощью команды Сохранить как. Для обнаружения макровируса воспользуйтесь меню Сервис и выберите в нем пункт Макрос. Если
впоявившемся окне есть макрокоманда AAAZFS, скорее всего, ви рус уже поразил вашу систему
Для борьбы с макровирусом достаточно создать пустую макро команду с именем PayLoad — она запишется поверх макрокоман ды макровируса. Теперь система надежно защищена от инфициро вания. Макровирус, обнаружив эту макрокоманду, посчитает, что система уже инфицирована, и не станет ее инфицировать. Однако создание макрокоманды-пустышки — это лишь временное решение. Возможно, что именно в этот момент кто-то изменяет Concept таким образом, чтобы он заражал систему, не обращая внимания на макро команды, расположенные в шаблоне normal.dot.
Вмакровирусе Word Macro/Atom зашифрована макрокоманда макровируса, поэтому его гораздо сложнее обнаружить. Макровирус воспроизводится во время открытия или сохранения файла. Он про изводит два вида разрушений, похожих по действию, но различных
вреализации.
Макровирус активизируется 13 декабря. При этом он пытается удалить все файлы из текущего каталога. Вторая активизация насту пает в тот момент, когда пользователь запускает команду FileSaveAs, а внутренние часы компьютера показывают 13 секунд. При этом на сохраняемый документ накладывается пароль, и пользователь боль ше не сможет открыть его. Чтобы остановить действие макровируса, необходимо отключить автоматическое выполнение макрокоманд или заставить Word запрашивать разрешение на сохранение измене ний в normal.dot. Для этого откройте меню Сервис и выберите пункт Параметры. Выберите в появившемся диалоговом окне закладку Сохранение и поставьте флажок напротив пункта Запрос на сохране ние шаблона «Обычный».
Word Macro/Bandung состоит из шести макрокоманд: AutoExec, AutoOpen, fi/eSave, FileSaveAs, ToolsCusiomiie и ToolsMacra. При от
300
крытии зараженного файла (или запуске Word с зараженным файлом обшего шаблона) после 11:00 начиная сдвадцатого числа каждого ме сяца (и до конца месяца) вирус удаляет файлы во всех подкаталогах диска С:, за исключением каталогов \WINDOWS, \W1NW0RD или \WINWORD6. Во время этой операции в строке состояния высве чивается сообщение «Reading menu ... Please Wait!». После удаления вирус создает файл c:\pesan.txt и оставляет в нем свое сообщение.
Если при просмотре зараженного документа пользователь выбе рет меню Сервис, а в нем пункт Макрос, то вирус отобразит на экране диалоговое окно с сообщением «Fail on step 29296» (в заголовке окна будет отображена строка Егг@#*(с) и символ STOP). После этого ви рус заменит в документе все символы а на #@, а затем сохранит до кумент.
Макровирус WordMacro/Colors (иногда его еще называют Rain bow) поддерживает в файле win.ini счетчик поколений — он распола гается в секции [windows] в строке countersu=. При каждом выпол нении макрокоманды значение счетчика увеличивается на единицу. После некоторого значения макровирус изменяет установки цветов системы. При следующей загрузке Windows она будет раскраше на в случайно подобранные цвета. Этот макровирус заражает до кументы Word так же, как и многие остальные вирусы. Однако он не полагается на автоматическое выполнение макрокоманд и ак тивизируется даже в том случае, если запущен Word с параметром DisableAutoMacros или средства защиты шаблонов от вирусов (они расположены на Web-сайте http://www.microsoft.com).
Во время выполнения макрокоманд макровирус активизируется и инфицирует файл normal.dot. После открытия инфицированно го документа макровирус будет выполняться при каждом создании нового файла, закрытии инфицированного файла и сохранении от крытого файла. Кроме того, он будет выполняться и при открытии подменю Макрос в меню Сервис. Таким образом, не нужно пользо ваться этим подменю для определения макровируса. Необходимо от крыть меню Файл, выбрать подменю Шаблоны и открыть с его помо щью диалоговое окно Организатор. В этом окне необходимо выбрать закладку Макро, в которой можно определить и удалить опасные макрокоманды. Однако макровирус может заново переписать их — в макровирусе предусмотрен встроенный режим отладки.
Макровирус Word Macro/Hot содержит четыре макрокоманды. Этот макроирус создает строку (QLHot= 120401) в файле winword. ini, где записана «горячая дата», — она должна наступить через две недели после инфицирования. После этого вирус копирует в файл normal.dot макрокоманды AutoOpen, StartOfDoc, DrawBringlnFront, AutoOpen, InsertPBreak, Insert Page Break, ToolsRepaginat, FileSave.
301
Через несколько дней после наступления «горячей даты» макрос вирус активизируется и удалит выбранные случайным образом фай лы. Чтобы избавиться от этого макровируса, необходимо удалить его макрокоманды.
Макровирус Word Macro/MDMA содержит всего лишь одну макрокоманду —»AutoClose. Этот макровирус инфицирует все вер сии от WinWord 6.0 и более поздние, причем он действует и на PC, и на Macintosh. Вирус активизируется первого числа каждого месяца. Его действия зависят от компьютерной платформы. На компьютерах Macintosh он пытается удалить все файлы, расположенные в текущей папке. Однако из-за ошибки в своем тексте вирус не может выпол нить своего предназначения. При этом возникает синтаксическая ошибка, и макровирус не причиняет никакого вреда. BNT-подоб- ных операционных системах КВ уничтожает все файлы в текущем каталоге, а также файл c:\shmk.
Очень распространенным является макровирус Wbrd Macro/ Nuclear. Как и остальные макровирусы, он старается инфицировать основной шаблон документов. Однако он не пытается раскрыть своего присутствия с помощью диалоговых окон. Вместо этого ви рус незаметно инфицирует каждый документ, созданный с помощью подменю Сохранить как в меню Файл. При этом он добавляет к доку менту свою макрокоманду. Чтобы не быть обнаруженным, при каж дом закрытии документа Nuclear сбрасывает флажок Запрос на со хранение шаблона «Обычный». После этого Word больше не будет запрашивать у пользователя разрешение на сохранение изменений файла normal.dot. Благодаря этому вирус становится практически незаметным. Некоторые пользователи используют этот параметр для защиты от макровирусов, не предполагая, что макровирус может изменить его.
Пятого апреля макрокоманда вируса — PayLoad — пытается уда лить системные файлы io.sys, msdos.sys и command.com. Кроме того,
макровирус добавляет в конце каждого напечатанного или послан ного по факсу (из Word) документа в течение последних пяти секунд каждой минуты следующие строки: «And finally I would like to say: STOP ALL FRENCH NUCLEAR TESTING. IN THE PACIFIC (А на последок я скажу: ПРЕКРАТИТЕ ВСЕ ФРАНЦУЗСКИЕ АТОМНЫЕ ИСПЫТАНИЯ В ТИХОМ ОКЕАНЕ)». Так как эти строки добавля ются только во время печати, то пользователь не может их увидеть во время просмотра документа. Это действие производит макроко манда макровируса InsertPayLoad. Чтобы уничтожить вирус, необхо димо воспользоваться подменю Макрос в меню Сервис: при обнару жении макрокоманды типа InsertPayLoad необходимо ее удалить.
302