Отсутствие новостей - уже хорошая новость

Антивирусное обозрение "Отсутствие новостей - уже хорошая новость"
В нашем случае это действительно так. Никто не любит плохих новостей, а из мира вирусов приходят только такие.
"Появился новый опасный вирус! Вышли из строя тысячи компьютеров по всему миру! Власти долго искали и, наконец, вышли на след неуловимого создателя самого вредного вируса!" С таких слов обычно начинается очередная антивирусная истерия. Мы видим, как ведущие в теленовостях делают большие от ужаса глаза, называют большие числа и начинают избегать непонятых иностранных слов. Потом практически то же самое начинает публиковаться в газетах... И так каждые три-четыре месяца, пока не появится очередной "I love you" или "Анна Курникова".
Но это действует только на непосвященных. Потому что те, кто хоть немного знаком с вирусами и средствами защиты от них, знает, что надо делать в таких случаях. А что именно? Об этом немного позже...
И хотя особо плохих новостей нет, новые вирусы все же есть...


Происхождение вирусов

Откуда берутся вирусы? Когда мне впервые задали этот вопрос, то я, честно говоря, немного растерялся. Мне казалось, что тут и так все ясно - прозрачно. Я и представить себе не мог, что кто-то не знает на него ответа! Но потом услышал снова тот же вопрос, но уже от другого человека, я понял, что кому-то будет действительно интересно узнать, откуда же берутся вирусы.

Ответ простой - не из грязи и не из плесени. Не от сырости. И даже не от пыли, которая слоями собирается внутри системного блока компьютера. Вирусы берутся от людей!

Да, это люди пишут вирусы, целыми днями и даже ночами просиживая за мониторами компьютеров, в надежде разработать самую вредную и пакостную программу в мире. Зачем они это делают? Ведь им за это никто не платит, и они явно напрасно расходуют свое и машинное время!

Да, это так. Вирусописатели или вирусмейкеры, если их так можно назвать, - довольно мрачная и малопритягательная публика. В основной массе - это люди, страдающие различными психическими расстройствами, не отдающие себе полного отчета в своих деяниях. Всех вирусмейкеров можно разделить на четыре большие категории (см. табл.1).

Группа

Возраст

Опыт

Причины

Цель

Школьник

10-18

Малый

1. Проба собственных сил 2. Отсутствие достойных задач 3. Любопытство

1. Самоутверждение 2. "Насолить" другу, соседу, учителю информатики и пр. 3. Попасть в антивирусную базу.

Студент

18-25

Малый, средний

1. Комплекс неполноценности

1. Самоутверждение 2. Получить завышенную оценку общества 3. Насолить ближнему

Программист-"маньяк"

22-40

Средний

Мания величия Неуравновешенная психика

Желание прославиться, даже таким сомнительным способом

Исследователи-"вирусологи"

25-40

Большой

1.Большое количество свободного времени 2. Отсутствие достойных задач 3. Любопытство

Изучение вирусных программ, "дыр" в операционных системах и средствах защиты
Но, прежде чем мы приступим к их рассмотрению, стоит развеять один миф, связанный с разработчиками антивирусных программ. Он заключается в том, что, мол, создатели антивирусов сами вирусы и пишут. Выпускают вирус, а потом к нему - антивирус. Это утверждение не соответствует действительности! НИКОГДА разработчики антивирусов не пишут и уж тем более не распространяют вирусы.

Первая группа вирусописателей это школьники, которые пробуют свои силы, чтобы самоутвердиться и заслужить уважение одноклассников. Большинство из них успокаивается, когда их вирус, посланный разработчику какой-нибудь крупной антивирусной программы, оказывается в их базе данных. Как правило, этот период вирусосочинительства у многих быстро проходит. Они понимают бессмысленность, бесполезность и асоциальность своего увлечения и переключаются на решение других задач. Однако, другие, став старше, продолжают свое хобби, занимаясь им параллельно с учебой или основной работой.

Следующая группа - студенты, обычно плохо владеющие искусством программирования, но стремящиеся доказать окружающим, что их таланты недооценили и они заслуживают на порядок больше того, что дает им общество. Как и школьники, могут не понимать разрушительные последствия своих действий.

Третью группу составляют уже достаточно опытные программисты, которые страдают различными расстройствами психики, стремятся навредить ближнему и жаждут дешевой славы. Они уже никогда не оставят свое "творчество", отдавая ему все свободное время. Возможно, они и понимают, что делают, но остановиться уже не могут. В последнюю группу входят исследователи-"вирусологи", которые изучают компьютерные вирусы, не стремясь принести кому-либо вред.

Кроме вышеуказанных причин, из-за которых люди обычно пишут вирусы, существуют и специфические.

Во-первых, использование вредных программ для ведения недобросовестной конкурентной борьбы, написание вирусов на заказ. Сотрудник фирмы А пишет вирус для фирмы Б, которая будет потом использовать его против фирмы В.

Во-вторых, вполне можно предположить, что создание новых вирусов хорошо финансируется военно-промышленным комплексом крупных стран в рамках вполне обычной исследовательской программы, скажем, по обработке, резервному копированию и хранению распределенной информации. А что? На случай кибер-войны пара сотен вирусов нового поколения, способных вмиг парализовать компьютерную сеть противника, была бы вовсе не лишней.

В-третьих, международный терроризм. В современных условиях, когда почти всеми опасными и высокотехнологичными процессами (например, АЭС или химические производства) управляют компьютеры, самодельные трубчатые бомбы становятся бесполезными и ненужными. Достаточно одного маленького вируса, который потом сам себя и уничтожит, даже логи не найдешь!

Далее, другими причинами могут быть: протест против существующего политического режима, борьба с социальной несправедливостью и прочее.

Глядя на таблицу, можно подумать, что вирусмейкеры - это одиночки. Да, в основном так оно и есть. Создатели плохих программ обычно не афишируют свою деятельность. Хотя иногда некоторые из них объединяются в группы "по интересам", открывают сайты и издают электронные журналы. В последних, естественно, можно найти исходные тексты вирусов, различные идеи, технологии, истории о знаменитых вирусах, критику антивирусов и прочее.

Одна из таких групп называется Super MalWare Force или просто SMF Group (http://www. chat.ru/~smf/). На ее сайте можно прочитать вирусные новости, изучить вирусную коллекцию, посмотреть ссылки на вирусные и антивирусные сайты и прочее.

Новые вирусы

Чтобы не печатать описания всех новых вирусов, но получить представление о них, мы приводим лишь некоторые из них с целью убедить пользователей применять антивирусные средства.

1. VBS/Vierika.

Интернет-червь, написанный на языке Visual Basic Script. Распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook.

Червь состоит из двух частей: один скрипт прибывает на компьютер по e-mail, как вложение в письмо, другой скрипт находится на неком web-сайте в Интернете.

Сообщение, содержащее скрипт червя, имеет следующие характеристики:

Тема: Vierika is here

Тело: Vierika.jpg

Вложение: Vierika.JPG.vbs

При активизации (открытии присоединенного файла) червь записывет свою копию в "c:\Vierika.JPG.vbs". Файл Vierika.JPG.vbs содержит первую часть червя - небольшой скрипт, при выполнении которого в Internet Explorer устанавливается низкий уровень безопасности, а также меняется стартовая страница IE на некий итальянский сайт, содержащий другой скрипт червя, который и является главной его частью.

В следующий раз при старте IE браузер зараженной машины откроет инфицированную страницу. А поскольку уровень безопасности первая часть червя (VIERIKA.JPG.VBS) установила на самый низкий уровень, второй вирусный скрипт ("Vindex.html") будет выполнен на уже зараженном компьютере со страницы web-сайта, содержащего этот скрипт.

2. VBS/Cuartel-A (VBS/Vanina).

VBS-червь, распространяющийся по локальным сетям.

На инфицированный компьютер червь копирует себя в файл с именем "NAV.EXE***.VBS" (где "***" - это 74 пробела) в temp-каталог Windows. Затем червь прописывает себя в системном реестре, в результате чего активизируется при каждом рестарте Windows.

Червь заменяет стартовую страницу Internet Explorer на порнографическую картинку и отключает возможность изменить proxy-установки IE, а также предпринимает попытки удалить из реестра все ключи, в которых упоминаются файлы с расширениями XLS, DOC и MDB.

Червь распространяется по локальной сети, перезаписывая на всех доступных удаленных дисках своим кодом файлы с расширениями BTR, PST, XLS, MDB, JPG, PAB и WAB.

Всякий раз после выполнения червь пытается через Microsoft Outlook тысячу раз отправить "c:\windows\explorer.exe" на два адреса в Аргентине с почтовым ящиком на сервере "yrba.com.ar". При этом после отправки каждого сообщения червь его удаляет из папки, где содержатся отправленные письма.

3. HTML_SATANIK.B.

Интернет-червь, представляющий из себя VBS-скрипт и распространяющийся как вложение в электронные письма. При рассылке писем использует MS Outlook. Также передает свои копии в каналы IRC.

В отличие от предыдущего варианта (HTML_SATANIK.A), новый червь оказался деструктивным: SATANIK.B портит различные типы файлов, перезаписывая их своим кодом, а также уничтожает антивирусные файлы.

При активизации червь сохраняет на зараженном компьютере несколько своих копий:

%Sysdir%\Explorer32.vbs
%Windir%\EXPLORER.VBS
%Sysdir%\satanik.dmk
%Sysdir%\MSApps\satanik.dmk
где %Sysdir% - Windows System каталог и %Windir% - каталог Windows.

Для обеспечения своей загрузки при рестарте Windows, червь добавляет в системный реестр свои ключи:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\Explorer32 = %Sysdir%\Explorer32.vbs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices\EXPLORER = %Windir%\EXPLORER.VBS
HKEY_CURRENT_USER\.dmk = VBSFile
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\Iexplore=
"http://users.tmok.com/~dr_bulge/smt1/"

Червь перезаписывает файл AUTOEXEC.BAT своими командами для удаления следующих каталогов:
C:\Progra~1\Antivi~1\*.*
C:\Progra~1\Networ~1\McAffe~1\*.*
C:\Progra~1\Norton~1\*.*
C:\Progra~1\Fsi\*.*

Затем червь выводит на дисплей зараженного компьютера следующее сообщение:
Windows loading...
SATANIK CHILD S A T A N I K C H I L D SATANIK CHILD A
virus by Satanik Child has been detected!
Windows is destroyed! (c) SC

Червь проверяет присутствие на инфицированной машине каталогов C:\MIRC или C:\MIRC32. Если клиент MIRC установлен, то червь создает управляющий скрипт SCRIPT.INI в каталоге C:\MIRC (C:\MIRC32). Этот скрипт отсылает файл червя всем пользователям, подключающимся к зараженному IRC-каналу.

Червь также рассылает свои копии по электронной почте по всем адресам, содержащимся в адресной книге Microsoft Outlook. При этом червь применяет следующую схему: проверяет ключ системного реестра, значение которого соответствует количеству запусков червя на инфицированном компьютере:
HKEY_LOCAL_MACHINE\Explorer32

После каждых 20 выполнений вирусного кода червь производит рассылку своих копий.
Сообщения червя имеют следующие характеристики:
Тема: I picked this one especially for you my Sweetheart!
Тело сообщения: I wanna fuck you like an animal!
Вложение: с разными именами
Червь перезаписывает своим кодом следующие типы файлов, добавляя к ним VBS-расширение:
MP3, MP2, WAV, TXT, DOC, LOG, BMP, GIF, JPG, FLA, JS, HTML, SWF, WMF, PNG, HTM, AVI, MID, ZIP, RAR, PIF, PDF
Помимо прочего, червь способен распространяться по локальной сети, записывая на все доступные сетевые диски, включая съемные диски, свои копии в виде файла SATANIK.DMK.

АНТИВИРУСЫ

1. Sophos Anti-Virus. Sophos Plc, www.sophos.com

Один из самых известных в мире британский разработчик антивирусов. Выпускает продукты для защиты серверов (Windows NT/2000, NetWare, OS/2, Unix, OpenVMS), рабочих станций (Windows 95/98/NT/2000/Me, OS/2, Macintosh, DOS/Windows 3.1x) и электронной почты, в т.ч. Notes/Domino.

В сентябре 2000 года один из антивирусов получил награду Virus Bulletin 100%.

Sophos Anti-Virus for Windows 95/98/Me. Version 3.42.

Дата выпуска 05.02.01 г., всего вирусов 60206 (впечатляет, не так ли?). Дистрибутив: 7056 Кб.

Британский антивирус включает три компоненты: InterCheck - монитор, SWEEP - сканер и The Sophos Virus Library - краткий справочник по вирусам. InterCheck не имеет стандартных средств выгрузки его из памяти. После обнаружения вируса программа рекомендует проконсультироваться с онлайновой библиотекой. Излечиваются только загрузочные сектора и документы, остальные объекты могут быть переименованы, удалены (с возможностью восстановления или без), перенесены или скопированы.

• Сканирует память, файлы с определенными расширениями. Пропускает файлы, расширения которых включены в список исключений.

• Обновление - ежемесячное. Режим автоматического обновления через Интернет (Live Update) не поддерживается. Кто не хочет ждать очередного обновления, должен самостоятельно скачивать с сайта компании файлы *.IDE и помещать их в папку с антивирусом.

• Русский язык не поддерживается.

• Бесплатная для пользования версия на 30 дней.

2. Norton AntiVirus 2001. Version 7.00.32 от 10.07.01 г. Symantec Corporation, http://www.symantec.com

Всего вирусов 48816 (на 06.03.01 г.). Дистрибутив 23430 Кб.

Norton Antivirus - одно из самых известных и эффективных антивирусных средств в мире. Наверное, не стоит много о нем говорить, приведем лишь некоторые его характеристики.
• Shareware 30 дней.
• Удаление вирусов из памяти, жестких дисков, почтовых сообщений.
• Технология "Bloodhound" позволяет обнаруживать большое количество новых, неизвестных вирусов.
• Специальная область - Карантин, наличие которой позволяет изолировать подозрительные файлы, а затем передавать их в антивирусный центр для изучения.
• Режим Auto-Protect - антивирусный монитор.
• Функция LiveUpdate автоматически определяет наличие связи с Интернетом, а затем проверяет и автоматически скачивает обновленные антивирусные базы.
• Просмотр списка вирусов и их краткая характеристика.
• Возможность интегрирования в Microsoft Office 2000.
• Русская локализация. Устанавливается как update.exe, 1.57 Мб.

Вместо заключения

Так что же надо делать, когда появляется очередное сообщение о "суперстрашном" вирусе? Надо просто обновить вирусные базы Ваших антивирусных программ.

Правда, если они у Вас есть, эти самые антивирусные программы.

Использованы материалы www.viruslist.com

Дежурный по карантину
Доктор МакроФаг macrofag@hotbox.ru
(c) компьютерная газета




Компьютерная газета. Статья была опубликована в номере 10 за 2001 год в рубрике безопасность :: Антивирусное обозрение

©1997-2021 Компьютерная газета