Надежда Баловсяк - Интернет. Трюки и эффекты

• «Стелс»-вирусы (вирусы-невидимки, stealth), представляющие собой весьма совершенные программы, которые перехватывают обращения MS-DOS к пораженным файлам или секторам дисков и «подставляющие» вместо себя незараженные участки информации. Кроме того, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие обходить резидентные антивирусные мониторы.

• «Полиморфик»-вирусы (самошифрующиеся, или вирусы-«призраки», polymorphic) – достаточно трудно обнаруживаемые вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же «полиморфик»-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

• Макровирусы – вирусы этого семейства используют возможности макроязыков (таких как Word Basic), встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т. д.). В настоящее время широко распространены макровирусы, заражающие документы текстового редактора Microsoft Word и электронные таблицы Microsoft Excel.

• Сетевые (сетевые «черви») – вирусы, которые распространяются в компьютерной сети и, как «компаньон»-вирусы, не изменяют файлы или секторы на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).

Самые популярные способы заражения следующие.

• Через Интернет, так называемым «добровольным» cпособом: когда пользователь скачивает что-либо из Сети. Очень часто под безобидным ускорителем браузера может сидеть самый настоящий WIN95.CIH (WIN95.CIH, или «Чернобыль», перепрошивает BIOS компьютера).

• Через Интернет методом «навязывания»: из-за неграмотной настройки обозревателя вам предлагают (в лучшем случае) загрузить JavaScript, ActiveX и т. д. как подписанный элемент. Результатом такой загрузки могут стать открытые порты (порт – канал взаимодействия между двумя или более компьютерами) для дальнейшей атаки, удаления данных или кражи файлов. Дело в том, что в состав веб-страниц входят не только текст, графика, музыка и анимация (то есть данные), но и активное содержимое, которое включает в себя апплеты Java и элементы ActiveX. Так вот, данные объекты являются программным кодом, выполняющимся на компьютере пользователя. Что мешает злонамеренному пользователю написать такой код, который бы форматировал диск? Конечно же, настройки безопасности Internet Explorer. Поэтому в настройках безопасности интернет-обозревателя необходимо отключить загрузку неподписанных элементов ActiveX и использование элементов ActiveX, не помеченных как безопасные, а еще лучше – установить высокий уровень безопасности.

Вирус из Интернета может проникнуть на ваш компьютер совершенно самостоятельно – для этого достаточно быть подключенным к Сети. По этому механизму распространяется широкоизвестный MSBlast, а также ряд других. Вот один из примеров алгоритма распространения посредством брешей в системе: используя брешь в службе DCOM RPC, «червь» проверяет 135-й порт машин, висящих в сети. При благоприятных результатах проверки открывается порт 4444 для ожидания последующих команд. Далее открывается порт 69 UDP, после чего на компьютер «червь» загружает файл носителя. Поэтому необходимо, чтобы в операционную систему были загружены новые обновления, иначе «черви» могут стать последним кодом, который она обработает.

• Через электронную почту. Несмотря на многочисленные предупреждения и предосторожности, этот способ заражения, как самый распространенный, прогрессирует. Поэтому будьте внимательны и никогда не открывайте прикрепленные файлы, пришедшие с сообщением от незнакомого человека.

• Через дискету или компакт-диск – также довольно распространенный способ заражения. По статистике, пользователи проверяют дискеты чаще, чем диски, если не сказать больше: компакт-диски обычно не проверяют вообще. Однако именно пиратские диски (никто не будет отрицать, что таких у нас большинство) играют значительную роль в распространении вирусов. Почему, когда вирус «Чернобыль» пронесся над Европой и Азией, оказалось, что инфицированы около 1 млн машин, а в США – всего 10 000? Потому что он распространялся через нелегальное программное обеспечение, скопированное на компакт-диски. Поэтому возьмите за правило проверять съемные диски антивирусной программой и регулярно обновляйте антивирусные базы.

Иногда вирус может быть замаскирован под joke-программу, имитирующую вирус, хотя и Kaspersky 5.0 и Panda Platinum определяют его как самый настоящий вирус. Изобретательность создателя вируса в этом случае не знает границ: название такой «шутки» может быть Not virus!Joke! Убедиться в объективности антивирусной проверки можно, лишь дизассемблировав подобную программу. Иногда вирусы могут находиться даже в программном коде антивируса.

В данном разделе поговорим о троянских конях. Сразу следует сказать, что троянский конь – это не вирус. По сравнению с вирусами, которые уничтожают Windows и форматируют диски, они приносят меньший ущерб. Область их компетенции – воровство конфиденциальной информации, паролей с последующей передачей их хозяину. В классическом варианте троянский конь состоит из клиента и сервера. Серверная часть обычно находится на компьютере у жертвы, клиентская – у хозяина, то есть у того, кто создал троянского коня или просто модифицировал его, заставив работать на себя. Связь клиента и сервера осуществляется через какой-либо открытый порт. Протоколом передачи данных обычно является TCP/IP (Transmission Control Protocol/Internet Protocol), но известны троянские кони, которые используют и другие протоколы связи, в частности ICMP (протокол межсетевых управляющих сообщений – Internet Control Message Protocol) и даже UDP (User Dategram Protocol – протокол стека TCP/IP). Тот, кто создает троянских коней, умело маскирует их, например, под полезные программы. При их запуске вначале происходит выполнение кода, который затем передает управление основной программе. Троянский конь также может быть просто, но эффективно замаскирован под файл с любым расширением, например GIF.

Современная классификация троянских коней выглядит следующим образом.

• Mail Sender – наиболее распространенная разновидность, так как подавляющее большинство троянов, если не все, отсылают хозяину пароли доступа в Интернет, от электронной почты, ICQ, чатов и т. д. в зависимости от изобретательности их создателя. Например: Trojan-PSW.Win32.QQPass.du (ворует пароли Windows), Bandra.BOK (пытается украсть пароли от банковских сайтов), Bancos.LU (сохраняет пароли во временных файлах, а затем пытается отослать их хозяину), Banker.XP (собирает конфиденциальные данные, пароли, счета и т. д. и отправляет их хозяину).