Вы препятствуете правосудию!

Антивирусное обозрение "Вы препятствуете правосудию!"
Стивен Сигал

Уже не секрет, что правительство США в лице ФБР ведет активную разработку программы "Волшебный фонарь" (Magic Lantern) для слежения за активностью подозрительных пользователей Интернета. Или говоря по-простому, пишет и отлаживает суперхитрого и умного трояна, который, по определению, является вредной программой. И это не слухи, а официально доказанный факт, о чем недавно лично заявил представитель ФБР Пол Брессон. Когда будет готова к использованию эта электронная система Федерального Бюро Расследований, неизвестно, но уже сегодня в некоторые антивирусные базы данных занесена информация о Malantern, трояне, который активно маскируется под Magic Lantern.
Сей продукт "разработан" 17-летним аргентинский хакером Agentlinux. Троян представляет собой примитивный вредоносный код, написанный на Visual Basic. При запуске вирус уничтожает каталог временных файлов Windows (C:\WINDOWS\TEMP) и все файлы с расширением .SYS в каталоге системных драйверов (C:\WINDOWS\SYSTEM32\DRIVERS\).
Как считает Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского", "В случае появления "официального" "Фонаря" вирусописатели не заставят себя ждать его многочисленными клонами. Кроме того, не исключена вероятность, что в руки хакеров попадет и оригинальная версия "троянца", которую они смогут использовать в своих целях".
Проблема в том, что антивирусные компании стоят перед выбором: поддерживать начинание ФБР и не включать их "законнорожденного" и стоящего на страже порядка трояна в свои базы данных вирусных сигнатур (известные американские антивирусные компании Symantec и Mcaffe уже решили так поступить) или включать и тем самым противопоставить себя правительству США (см. эпиграф).
Представитель Sophos, ведущий эксперт Грэм Клюли считает неправильным преднамеренно воздерживаться от обнаружения троянца, особенно по отношению к пользователям за пределами США. Как он сообщил журналу New Scientist, сделанный федералами троянец автоматически обнаруживается некоторыми уже существующими антивирусными программами. "А если и не обнаруживается, то в любом случае написать специальный детектор для него является относительно тривиальной задачей", — отметил Клюли.
Но все это не только просто морально-правовая сторона вопроса, как может показаться вначале. Дело в том, что отказ антивирусных компаний от обнаружения Magic Lantern может вызвать большую вирусную эпидемию, с которой пользователи не смогут справиться при помощи антивирусных программ, потому что последние будут делать стойку на любую гадость (Malantern — это только первая ласточка!), в которой содержатся всего два волшебных слова: Magic Lantern. Лаборатория Касперского полагает, и не без основания, что все это может повлечь за собой глобальный, неуправляемый хаос с непредсказуемыми последствиями.
И куда катится мир?!
С каждой новой версией почтовая программа The Bat! становится не только тяжелее (по размеру) но и более функциональнее. Так, недавно в ней появилось новое окно, которое называется Virus Protection ("Вирусная защита"). В этом окне можно выбрать и установить антивирусный плагин для проверки вирусов. Число таких плагинов может быть несколько, и все они отдельно конфигурируются. В настройках по умолчанию ("Default settings") пользователь может установить проверку присоединенных файлов на вирусы перед их открытием прямо из The Bat! и проверку всех входящих электронных сообщений на вирусы.
При этом, в случае обнаружения вируса, почтовик способен посылать ответное сообщение: "Внимание! По всей видимости, Ваша машина заражена вирусом. Пожалуйста, удостоверитесь в том, что у Вас имеется самое последнее обновление вашего вирусного сканера и проверьте все ваши файлы сразу же! С заботой и вниманием Ваш...". Правда, текст письма может быть настроен под Ваше собственное усмотрение.
Среди возможных действий на обнаруженный вирус:
— Попытка вылечить зараженные части.
— Удаление зараженных частей.
— Удалить сообщение полностью.
— Переместить письмо в изолированную папку (карантин).
— Выдать сообщение о вирусе.
Желающие воспользоваться 16-м бета-выпуском версии 1.54 The Bat! могут скачивать файл отсюда: http://download.ritlabs.com/ftp/pub/the_bat/beta/tb154b16.rar .
И почему еще кто-то пользуется Microsoft Outlook-ом? Ведь есть более совершенные вещи...

Английская антивирусная компания Sophos, кроме ежемесячных рейтингов вирусов, составляет также и прогнозы на будущее. Какие компьютерные гадости ждут компьютерных пользователей в новом году?
Во-первых, в 2002 году для интернетчиков вирусы станут еще более сложной проблемой. Вредные программы будут пытаться заразить компьютеры несколькими разными способами, наподобие червя Nimda. Сей вирус был самым популярным в 2001 году.
Кроме того, в будущем году компания Sophos ждет массового появления вирусов типа Windows 32, к которому принадлежат Nimda и SirCam. Больше будет макро- и скрипт-вирусов, которые легко можно написать с помощью специальных программ для создания вирусов, даже без умения по-настоящему программировать (вспомним, как был создан червь Anna Kournikova). Усилят свои позиции и трояны, оставляющие на компьютере жертвы "черный ход", через который может проникнуть хакер. Активизируются также и вирусы для Unix-систем. Также больше появится Internet-червей типа Code Red, которые будут нацелены главным образом на Web-серверы на базе продуктов Microsoft.
Возможно, что в 2002 г. следует также ожидать появления множества новых вирусов, поражающих мобильные устройства — карманные компьютеры и смартфоны. Но вряд ли они получать наибольшее распространение из-за специфики использования данных мобильных систем.
Нет никаких оснований считать, что разработкой вирусов заинтересуются террористы, поскольку это не очень хорошее оружие (как показывает история, для них излюбленным оружием являются пластид, гексаген, Боинг-747 и почтовые конверты с сибирской язвой), и точно спрогнозировать его воздействие просто невозможно. Для активизации вируса пользователь должен открыть файл с вирусом, а современные антивирусные программы могут автоматически блокировать присылаемые файлы потенциально опасных типов и загружать обновления вирусных баз данных из Сети.

Вирусы, которые нас поразили
Gokar (I-Worm.Gokar.A). Обнаружен в диком виде 12 декабря 2001 года.
Размер программы — 14 336 байт, написан на Visual Basic 6 и упакован утили-той UPX. После распаковки размер составляет около 53 Кб. Вирус содержит внутри себя текст: "W32.Karen by Gobo... happy birthday girl!!! shouts: W1z, Merl, NM, and whoever else" и "#teamvirus on Undernet... say hello. bob is the king of bots:)". Степень опасности — средний.
Вирус распространяется по электронной почте, IRC (Internet Relay Chat) и через уязвимости Micro-soft IIS. Рассылая себя как присоединенный файл всем получателям, хранящимся в адресной книге Microsoft Outlook, вирус также не упускает случай размножаться и посредством каналов IRC.
Зараженные письма не имеют постоянной темы, потому что возможны целых 15 различных вариантов заголовка письма: "If I were God and didn't belive in myself would it be blasphemy", "The A-Team VS KnightRider... who would win?", "Just one kiss, will make it better. just one kiss, and we will be alright" и т.д. Текст электронного сообщения также может быть различным, но вариантов меньше — всего четыре. Присоединенный к письму файл может иметь следующие расширения: *.PIF, *.COM, *.EXE, *.BAT, *.SCR. Имя этого файла формируется произвольным образом и состоит из букв и цифр.
Заметим, что файлы с расширением *.SCR спокойно пропускают многие файерволы. Возможно, это еще одно объяснение начала эпидемии этим вирусом. Вирус активизируется обычным способом: нужно открыть письмо и щелкнуть 2 раза по присоединенному файлу. При этом червь копирует себя в каталог Windows с именем KAREN.EXE, делая его скрытым, и производит запись в ключе автозапуска системного реестра:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Karen = \karen.exe
Как червь распространяется через каналы IRC? Червь перезаписывает в каталоге C:\MIRC файл SCRIPT.INI своим скриптом. Новый скрипт рассылает дропер вируса файл KAREN.EXE всем пользователям, входящим в канал. Также он посылает свое сообщение, как визитную карточку: If this doesn't make you smile, nothing will. Подключается к каналу #teamvirus, если получает строку с буквой 'e'. Червь игнорирует пользователя, от которого приходят сообщения с "опасными" для него ключевыми словами: "script", "infected", "dcc", "script", "infected".
Заражая IIS-сервер, червь перезаписывает файл C:\INETPUB\ WWWROOT\DEFAULT.HTM своим кодом и копирует себя в папку C:\INETPUB\WWWROOT под именем WEB.EXE. Инфекционный DEFAULT.HTM содержит ссылку на файл WEB.EXE, авторский комментарий "!- Gobo 04/12/01 -" и показывает текст "We Are Forever". Всем, кто будет просматривать эту страницу, будет предложено загрузить файл WEB.EXE.
Для восстановления работоспособности сервера необходимо переименовать файл REDESI.HTM обратно в D DEFAULT.HTM.

Противодействие антивирусным программам
Хитроумный Gokar выполняет сканирование процессов в оперативной памяти и при обнаружении антивирусных программ беспощадно завершает их работу при помощи функции TerminateProcess. Вот имена этих "счастливчиков": VSHWIN32.EXE, PW32. EXE, _avpm.exe, avpm.exe, ICLOAD 95.EXE, ICMON.EXE, IOMon98.exe, VetTray.exe, Claw95.exe, f-stopw.exe.

Десять самых опасных вирусов 2001 года
1 W32/Sircam 24.2%
2 W32/Disemboweler 18.1%
3 W32/MTX 12.5%
4 W32/Hybris 9.4%
5 VBS/Help 8.3%
6 W32/Magistr.B@mm 8.07%
7 W32/Navidad.B 5.6%
8 W32/Badtrans.B 5.1%
9 W32/Nimda.A 5.09%
10 W32/Nimda.D 3.3%
Источник: http://www.pandasoftware.com

ПВО — противовирусная оборона
PC Bodyguard. Разработчик: Calluna Technology Ltd, Шотландия ( www.calluna.com ).
Хотя программные средства защиты от вирусов на персональном компьютере зарекомендовали себя достаточно хорошо, однако, в некоторых случаях они могут оказаться неудобными или неудачными решениями. А некоторые нерадивые пользователи могут отключить работающие антивирусные мониторы или просто вывести их из строя. То же самое может быть достигнуто программными средствами (или, говоря по-простому, злобными действиями вирусов и червей).
Как быть? Каким образом можно поднять надежность работы антивирусных средств и одновременно усилить безопасность информации, хранимой на жестких дисках? Повсеместный стремительный рост использования Интернета, наличие, мягко говоря, неподготовленных пользователей (да здравствует победное шествие вирусов во всем мире!), а также винчестеров с большими объемами (попробуйте представить себе, хотя бы на минуту, мгновенную потерю 10-20 и более Гб наиценнейшей для Вас информации — и Вы поймете важность проблемы) делают необходимым воспользоваться более серьезными антивирусными средствами, чем просто установка специализированных программ. Но это только первая сторона данной проблемы. Вторая сторона состоит в понимании того факта, что работоспособность "убитой" системы и уничтоженной информации все-таки придется восстанавливать. А на это потребуется не только труд специалистов, которые никогда не смогут гарантировать 100% восстановления (а платить им за работу все равно надо!), но и много часов рабочего (и/или личного) времени на то, что можно не делать.
Одним из решений данной проблемы является продукт шотландской компании Calluna Technology Ltd. Она предлагает для очень бережливых (и ответственных!) пользователей свой продукт под названием PC Bodyguard ("Телохранитель ПК"). Физически сей продукт представляет собой всего лишь небольшую плату весом 104 г, устанавливаемую в разъем ISA материнской платы.
В основном, PC Bodyguard предназначен для многопользовательских компьютеров, которые могут находиться в учебных классах или местах общего доступа (библиотеки, компьютерные клубы и прочее).

Цель "Телохранителя" — обеспечить быстрое и простое восстановление оригинальной конфигурации персонального компьютера. При этом неважно, из-за чего система вышла из строя: то ли это некорректные действия неопытного пользователя и его собственные ошибки, то ли преднамеренная атака новоиспеченного хакера. Во всех этих случаях компьютер всегда будет восстановлен. Для этого достаточно просто выключить его и включить снова.
Но заметим, что чаще всего проблемы с системой и информацией, хранимой на жестких дисках, возникают после "знакомства" электронного "друга" с компьютерным вирусом. Пожалуй, это более 90 процентов всех случаев выхода ПК из строя.
В любой современной организации компьютер является ключевым инструментом в работе. Но когда он находится в неумелых или неконтролируемых руках, вероятность того, что компьютер может выйти из строя, резко повышается. Что может произойти? Это может быть, например, случайное (случайно ничего не бывает!) удаление необходимых системных и важных файлов, запуск несовместимых или нежелательных программ или просто неправильные действия пользователя — все это может парализовать компьютерную систему.
Исправление таких ошибок, как Вы уже догадались, потребует кучу времени и отвлечение опытного технического персонала от выполнения важных работ на восстановительные мероприятия, которых могло и не быть. А что делать, если эти мероприятия требуется проводить с удивительной регулярностью? Специально держать человека? Или целый коллектив, если организация большая?
С появлением PC Bodyguard необходимости в этом больше нет. Разработанная компанией Calluna Technology для офиса и домашне-офисного применения, PC BODYGUARD защищает операционную систему ПК от любой модификации или искажения. Применение в PC BODYGUARD технологии защиты, названной Write Many Recoverable (WMR ), позволяет пользователю свободно использовать на полную мощность все функциональные возможности компьютера в течение всего рабочего сеанса.
PC BODYGUARD гарантирует, что если где-то произошла ошибка, то повторным включением машины первоначальная конфигурация ПК будет восстановлена. Пользователь может также безопасно выполнять пробную инсталляцию программного обеспечения, загружать с Сети файлы или проводить другие изменения.

PC BODYGUARD также позволяет выделить в безопасную область Ваши ценные ключевые данные, чтобы они были недоступны не только с клавиатуры, но и удаленно. Тут срабатывает технология HARDWALL , которая надежно защищает как важные данные пользователя, так и саму операционную систему от вирусной инфекции.
Как все это работает? PC BODYGUARD содержит отдельный микропроцессор. BIOS PC BODYGUARD начинает загрузку до загрузки операционной системой ПК. Это дает гарантию того, что поток информации между жестким диском и центральным процессором системы будет постоянно контролироваться. PC BODYGUARD охраняет операционную систему в защищенной области винчестера.
Запатентованная технология WMR гарантирует, что когда пользователь вводит очередную команду, то она фактически перенаправляется к скрытой рабочей области. И хотя изменения во время рабочего сеанса будут видимы, однако, на самом деле никаких воздействий на операционную систему сделано не будет. Выключение машины и затем ее включение очищает рабочую область и восстанавливает первоначальную конфигурацию PC.
Цена продукта — 199 USD. Минимальные требования: компьютер на базе процессора Pentium, операционная система: Win 95, Win 98, Win NT 4.0 и минимум 500 Мб свободного от вирусов места на жестком диске EIDE.

Доктор М
Вопросы по антивирусной
защите присылать сюда: macrofag@hotbox.ru


(c) компьютерная газета


Компьютерная газета. Статья была опубликована в номере 49 за 2001 год в рубрике безопасность :: Антивирусное обозрение

©1997-2024 Компьютерная газета