Издательский дом ООО "Гейм Лэнд"СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #35, ОКТЯБРЬ 2003 г.

Подвижные вирусы: миф или реальность?

Докучаев Дмитрий aka Forb

Спецвыпуск Xakep, номер #035, стр. 035-042-4


Известный червь Jer находил своих жертв через IRC в виде безобидной web-страницы, на которой находился ActiveX-метод. Пользователь получал предупреждение от браузера, но, как правило, отвечал согласием на создание в системе файла. Скорее, чтобы отвязаться от назойливого окна. В итоге вирь записывал себя в виде mIRC-скрипта, а также закреплялся в реестре. Как только на канале звучало кодовое слово, злоумышленнику предоставлялся удаленный шелл для управления компьютером жертвы.

Непосредственно через IRC подхватить заразу довольно трудно, если быть предельно бдительным. Чаще черви рассылают по DCC либо просят выполнить определенную команду. Без ведома пользователя зараза не распространится (если, конечно, в IRC-клиенте нет уязвимостей).

Вам письмо!

Самым излюбленным методом распространения червей является электронная почта. При этом неважно, какая система стоит у жертвы, а также нет необходимости искать уязвимость в операционке. Все происходит "по желанию" пользователя - как правило, он открывает прилагающийся к письму аттач и запускает заразу.

Примером стандартного аттачного червяка является вирус Coronex, написанный полностью на ассемблере. При открытии аттача с вирусом он копирует себя в c:\my downloads (либо в текущий каталог) под именем какой-либо игры. При этом размер вируса становится около 10 мегабайт. В определенное время происходит рассылка писем по всей адресной книге. Вместе с письмом, как ты уже догадался, поставляется аттач ;) в виде копии червяка.

Более известный вирус I Love You, заразивший огромное количество машин, был написан на Visual Basic и при активизации рассылал почту по адресной книге Microsoft Outlook, а также вписывал себя в реестр и в скрипт IRC-клиента (если таковой присутствовал). При этом его не замечал никакой антивирус, благодаря чему червь активно путешествовал по просторам интернета. Как ты знаешь, в теле вируса располагались строки, не относящиеся к коду:

barok -loveletter(vbe) < i hate go to school >

by: spyder / ispyder@mail.com / @GRAMMERSoft Group /

Manila,Philippines

Кроме этого, вирус несет разрушительные действия. Во-первых, LoveLetter заменяет все VBS-файлы на свою копию. Во вторых, добавляет ко всем JPG и JPEG-файлам расширение VBS и делает ту же процедуру, что и с VBS-скриптами. Старый файл вирь уничтожает. И, наконец, ко всем mp3-файлам червяк добавляет дополнительное расширение VBS (со своей копией), а на старый устанавливает "скрытый" атрибут.

Червь был написан филиппинским школьником в тот день, когда он, прогуливая уроки, кодил на Бейсике за своим компьютером (как выяснилось позже ;)). Естественно, что при хорошей смекалке и умении программировать на любом языке, можно написать отличный червь, передающийся через электронную почту. Это связано с тем, что не нужно портировать код эксплоита и беспокоиться о том, что уязвимость будет пропатчена - что-что, а переписку по e-mail никто не запретит.

Еще пример? Популярный вирус Klez когда-то заразил огромное число машин. Причем электронная почта была лишь одним способом проникновения. При открытии аттача червь ищет все расшаренные диски в сети и записывает себя на удаленный компьютер. При этом он сканирует локальные диски, выбирает любой файл с расширением txt .htm .doc .jpg .bmp .xls или .mpg, добавляет к нему окончание .exe и дозаписывает себя в бинарную структуру.

Назад на стр. 035-042-3  Содержание  Вперед на стр. 035-042-5