IRC-черви

В данной части бюллетеня использована информация Лаборатории Касперского ( http://www.avp.ru ) — самой известной и популярной российской компании, выпускающей антивирусное программное обеспечение.

IRC-черви
IRC (Internet Relay Chat) — это специальный протокол, разработанный для коммуникации пользователей Интернет в реальном времени.
Этот протокол предоставляет возможность Интернет "разговора" при помощи специально разработанного программного обеспечения. IRC чем-то похож на телефонный разговор, за исключением того, что в разговоре могут участвовать более двух собеседников, объединяющихся по интересам в различные группы IRC-конференций.
Для поддержки IRC-конференций созданы различные IRC-сервера, к которым подключаются участники IRC-"разговоров". Во всем мире насчитывается огромное количество IRC-серверов, объединенных в так называемые сети. Самой большой является сеть EFnet, серверы которой каждый день одновременно посещают несколько десятков тысяч пользователей.
Для подключения к IRC-серверу и ведения IRC-"разговоров" разработаны специальные программы — IRC-клиенты.
Подключившись к IRC-серверу при помощи программы-клиента, пользователь обычно выбирает тему IRC-конференции, командой join входит в одну или несколько конференций ("каналы" в терминах IRC) и начинает общение с другими "обитателями" этих каналов.
Помимо посещения общих (public) конференций пользователи IRC имеют возможность общаться один-на-один с любым другим пользователем (private), при этом они даже не обязательно должны быть на одном канале. Кроме этого существует довольно большое количество IRC-команд, при помощи которых пользователь может получить информацию о других пользователях и каналах, изменять некоторые установки IRC-клиента и прочее. Существует также возможность передавать и принимать файлы — именно на этой возможности и базируются IRC-черви.

IRC-клиенты

На компьютерах с MS Windows самыми распространенными клиентами являются mIRC и PIRCH. Это не очень объемные, но довольно сложные программные продукты, которые, кроме предоставления основных услуг IRC (подключение к серверам и каналам), имеют еще и массу дополнительных возможностей.
К таким возможностям относятся, например, сценарии работы (скрипты) и задание автоматической реакции на различные события.
Например, при появлении во время разговора определенного слова IRC-клиент передает сообщение пользователю, пославшему это слово. Также возможно отключение пользователя от канала, посылка персональных сообщений новым пользователям, подключающимся к каналу, и многое другое. В PIRCH-клиенте, например, событий, на которые предусмотрена реакция, более 50.

Скрипт-черви

Как оказалось, мощная и разветвленная система команд IRC-клиентов позволяет на основе их скриптов создавать компьютерные вирусы, передающие свой код на компьютеры пользователей сетей IRC, так называемые "IRC-черви". Первый инцидент с IRC-червем зафиксирован в конце 1997 года: пользователями mIRC-клиента был обнаружен скрипт (файл SCRIPT.INI), переносивший свой код через каналы IRC и заражавший mIRC-клиентов на компьютерах пользователей, подключавшихся к зараженным каналам. Как оказалось, скрипт-черви являются достаточно простыми программами, и через довольно короткое время на основе первого mIRC-червя были созданы и "выпущены" в сети несколько десятков различных скрипт-червей.
Принцип действия таких IRC-червей примерно одинаков. При помощи IRC-команд файл сценария работы (скрипт) или реакции на IRC-события автоматически посылается с зараженного компьютера каждому вновь присоединившемуся к каналу пользователю. Присланный файл-сценарий замещает стандартный и при следующем сеансе работы уже вновь зараженный клиент будет рассылать червя.
Черви при этом используют особенности конфигурации клиента (всех версий mIRC младше 5.31 и всех версий PIRCH до PIRCH98), благодаря которой принимаемые файлы всех типов помещаются в корневой каталог клиента. Этот каталог также содержит и основные скрипты клиента, включая авто-загружаемые mIRC-скрипты SCRIPT.INI, MIRC.INI и PIRCH-скрипт EVENTS.INI. Данные скрипты автоматически исполняются клиентом при старте и в дальнейшем используются как основной сценарий его работы.
Некоторые IRC-черви также содержат троянский компонент: по заданным ключевым словам производят разрушительные действия на пораженных компьютерах. Например, червь "pIRCH.Events" по определенной команде стирает все файлы на диске пользователя.
В скрипт-языках клиентов mIRC и PIRCH также существуют операторы для запуска обычных команд операционной системы и исполняемых модулей (программ) DOS и Windows. Эта возможность IRC-скриптов послужила основой для появления скрипт-червей нового поколения, которые, помимо скриптов, заражали компьютеры пользователей EXE-вирусами, устанавливали "троянских коней" и т.п.
Скрипт-черви работоспособны только в том случае, если пользователь разрешает копирование файлов из сети на свой компьютер.
Данная опция IRC-клиентов называется 'DCC autoget' — получение файлов по протоколу DCC автоматически и без предупреждающего сообщения. При отключенной опции зараженный файл принимается, помещается в каталог клиента и в следующем сеансе работы продолжает свое распространение. При этом пользователь не получает никаких предупреждающих сообщений. Следует отметить, что фирма-изготовитель клиента mIRC отреагировала достаточно оперативно и буквально через несколько дней после появления первого червя выпустила новую версию своего клиента, в которой были закрыты пробелы в защите.


Компьютерная газета. Статья была опубликована в номере 30 за 1999 год в рубрике безопасность :: Вирусный бюллетень

©1997-2024 Компьютерная газета