Подвижные вирусы: миф или реальность?

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #035, стр. 035-042-1

(forb@real.xakep.ru)

Технологии распространения червей в инете на конкретных примерах

Как известно, вирусы бывают разные. Большинство из них наносит вред операционной системе либо отдельным файлам. Но есть и такие экземпляры, у которых цель - поразить множество машин, подключенных к интернету. Это, пожалуй, самый опасный вид заразы, который получил название интернет-червь. Оно вполне оправданно, ибо вирус по принципу своего действия напоминает живого червяка, который обживается на месте, а затем ползет дальше, используя бреши в операционной системе.

Рождение заразы

Черви появляются несколько позже выхода эксплоита на определенную уязвимость в системе. Это происходит в тот промежуток времени, когда бага еще не потеряла актуальности, а пользователь своевременно не пропатчил систему. Проникая на территорию врага, вирус осваивается в системе, а затем начинает сканить инет и ломиться на другие машины (хотя это не всегда так).

Как известно, операционки не идеальны. Багов обнаруживают очень много, поэтому время от времени мир узнает о новом червяке. Но учитывая, что бреши в осях в основном локальные (для червяка приемлем лишь удаленный метод проникновения), экземпляров данного типа вирусов очень мало.

Цели червей, как я уже сказал, могут быть разными. Одни поражают операционную систему и пытаются пролезть через нее на другие машины, другие просто ведут паразитический образ жизни, накручивая баннеры на сайте, третьи творят глобальный DDoS в определенное время... После моей подробной классификации ползучей заразы ты поймешь, что червяки - очень опасные вирусы, которые при желании могут парализовать весь интернет.

Ползем через Web

Уязвимости в Web с каждым годом обнаруживают все чаще и чаще. Начиная с самой популярной unicode-баги в IIS под винду, заканчивая ошибкой в модуле mod_php и mod_ssl под Linux. Взломщики пользуются этими багами в целях подчинения системы, вирусописатели же создают червяков, которые вламываются на машину и пытаются заразить большое количество серверов.

Самым нашумевшим вирусом, который проникал в систему через IIS, был известный CodeRed. По подсчетам, он заразил порядка двенадцати тысяч серверов по всему миру. Изначально червь был ориентирован на глобальный DDoS против сайта Белого дома www.whitehouse.gov. Атака была выполнена успешно, нормальная работа сервера нарушилась. Помимо DDoS’а Белого дома, червяк перехватывал все запросы на Web-сервер и показывал уже свою страницу, вводя в заблуждение посетителей.

Как же действовал CodeRed? Используя известную unicode-багу, он проникал в систему и уже оттуда искал новые IIS-сервера. Если ты помнишь, ошибка была обнаружена в июне 2001 года. Буквально через несколько дней мелгомягкие выпустили патч, но мало кто своевременно скачал и установил его.

Масштаб заражения CodeRed'ом мог быть больше в десятки раз, если бы он ориентировался на другие платформы Windows. Червяк заражал лишь системы с Win2k. Видимо, это было сделано умышленно.

Уникальность CodeRed была в том, что вирус не использовал никаких временных и постоянных файлов в своей работе. Червь переползал в систему в виде TCP/IP пакета, затем селился в оперативке машины и искал новые жертвы. При этом определить заразу было весьма проблематично, так как только специальные антивирусные модули для межсетевых экранов могли это сделать.