Съедят ли черви интернет?

TanaT (tanat@hotmail.ru)

Спецвыпуск Xakep, номер #035, стр. 035-010-3

Далее, червь должен уметь заражать компьютер пользователя без вмешательства человека. Для этого и служат дыры в ПО. Уже сегодня существует много дыр в самых разных программах. Многие из этих дыр уже давно пропатчены и забыты. Но ведь есть бреши, которые еще никто не нашел! А найти их вполне реально, достаточно посмотреть ежедневные сводки: что-нибудь да найдут. Итак, и это не проблема для червя. А больше ему ничего и не надо.

Можно вкратце резюмировать: создание червя, эксплуатирующего новую брешь в системе безопасности и распространяющегося очень быстро, вполне реально. Здесь мы рассмотрели лишь стандартную составляющую сущности червя, а ведь можно добавить и обычные вирусные свойства. За последние три года мы увидели такие технологии, о которых раньше не могли и помыслить. Сегодня есть вирусы, необычайно маленькие, модульные (скачивающие свои апдейты из интернета), шифрующие себя мощными криптографическими средствами, чрезвычайно деструктивные (портящие все тот же CMOS) и т.п. Более того, все эти функции уже так или иначе реализованы в разных червях. Так что мешает соединить их в одном?

Итак, теоретически появление суперчервя вполне возможно. Почему же он до сих пор не создан? Разработать все модули такого гада одному человеку сложно. Ему нужно быть и очень хорошим программистом, и уметь отыскивать свежие баги в популярном софте, нужно знать ассемблер и иметь богатый опыт работы с дизассемблером. Так что же, таких людей нет? Дело, видимо, в том, что людям, способным создать такого червя (а такие люди, разумеется, есть), к счастью, хватает ума заниматься более конструктивными вещами. По большей части распространением вирусов занимаются закомплексованные подростки, мечтающие доказать всему миру свою крутость. Но, помимо немереных амбиций, нужны ведь еще и знания…

************************

Червяк необыкновенный

************************

Теперь мы поговорим о продвинутых червях. Червях, у которых нет тела. Правда, это куда более интересно? Эти паразиты существуют в виде пакетов, передаваемых по Сети. При попадании на компьютер такой гад находится лишь в его оперативной памяти! На мой взгляд, это венец эволюции сетевых червей.

Так почему такие черви столь опасны? А потому, что антивирус против них бессилен. Дело в том, что любой антивирус может проверять лишь файлы. Если вредоносный код не заражает файлы, то сканер, монитор, ревизор изменений и поведенческий блокиратор отдыхают. Это все равно, что в Нео из пистолета палить.

Ну хорошо, если антивирус не берет, то должен брать пакетный фильтр. Ведь бестелесный код представляет собой набор пакетов, значит, и фильтроваться должен брандмауэром или сетевым экраном. Мы пришли к хорошо известной «борьбе снаряда и брони». После появления первого бестелесного червя – CodeRed – разработчики, да и все остальные, предпочли просто заделать дыру в уязвимом ПО. А вот после недавнего зимнего нашествия Slammer специалисты задумались не на шутку. Сегодня в большинство корпоративных брандмауэров встроены специальные средства, которые фильтруют трафик на уровне пакетов и следят за «вредоносностью» кода. Как происходит анализ – тема отдельного разговора, более близкая к проблемам брандмауэров, а не антивирусов. Могу лишь сказать, что у нового бестелесного червя шансы проскочить такой фильтр незамеченным очень высоки.