Сетевые черви (Internet worms).

Наиболее распространенный тип вирусов на сегодняшний день. Сетевым червем называют вид компьютерных вирусов, имеющий способность к самораспространению в локальной или глобальной компьютерной сети. Для этого червь должен обладать следующими возможностями:

- нахождение новых удаленных целей для атаки – узлов сети с наличием уязвимостей системы, доступных через сеть;

- организация канала связи с удаленным узлом с использованием обнаруженной уязвимости;

- передача своего кода на удаленную машину;

- запуск (получение управления) на ней;

- проверка на зараженность данной машины для ее повторного не заражения.

Определенные модификации сетевых червей могут жить исключительно в оперативной памяти компьютера, не используя носители информации (н-р Slammer, 2003 г.). Это стало возможно с тех пор, как основная масса узлов компьютерных сетей перешла на круглосуточный режим работы.

Для внедрения в систему сетевые черви, как правило, используют уязвимости в сетевых сервисах и сетевом программном обеспечении, возникшие в результате ошибок программирования или неправильных настроек безопасности. В некоторых случаях для распространения вирусов могут использоваться WEB-технологии, например – скрипты, FTP сервисы, элементы ActiveX и Java апплеты.

Например: на атакуемые компьютеры рассылаются сообщения, содержащие ссылку на специально подготовленный WEB-сайт. Используя технологию социального инжиниринга, злоумышленник заставляет пользователя пойти по указанной ссылке. При загрузке сайта, с помощью специального скрипта, червь загружается в систему, и запускается в ней.

Почтовые вирусы.

Особая разновидность сетевых вирусов. Для своего распространения почтовые вирусы используют возможности протоколов электронной почты. Они осуществляют пересылку своего тела по электронной почте в виде присоединенного файла. Когда пользователь открывает такой файл, вирус активируется, и выполняет заложенные в него функции. Из-за различных ошибок, присутствующих в клиентских почтовых программах (особенно Microsoft Outlook), файл вложения может запуститься автоматически, при открытии самого письма, например – вирус «I Love You». Для рассылки, вирус может использовать список адресов, хранящийся в адресной книге почтового клиента.

В целях маскировки распространители вирусов не редко пользуются тем фактом, что по умолчанию Проводник Microsoft Windows не отображает расширения зарегистрирован­ных файлов. В результате, присоединенный к письму файл с именем, например, FreeCreditCard.txt.exe, будет показан пользователю как FreeCreditCard.txt. И если пользователь не проконтролирует внешние атрибуты файла, и попытается открыть его, то вредоносная программа будет запущена. Еще один широко используемый ход: включение в имя файла между именем и истинным разрешением 70 – 100 или более пробелов. Имя файла приобретает вид:

«Readme.txt .exe»,

причем, Проводник Проводник Microsoft Windows, из-за недоработки разработчиков показывает только «Readme.txt». В результате чего пользователь без всяких подозрений может попытаться открыть файл, и тем самым запустить вредоносную программу.

Кроме того, сообщения электронной почты часто приходят в виде документов HTML, которые могут включать ссылки на элементы управления ActiveX, апплеты Java и другие активные компоненты. При получении сообщения в формате HTML почтовый клиент показывает его содержимое в своем окне. Если сообщение содержит вредоносные активные компоненты, они сразу же запускаются и делают свое черное дело. Чаще всего таким способом распространяются троянские программы и сетевые черви.

Macro – вирусы.

Macro-вирусы (или скриптовые вирусы) используют возможности макроязыков, встроенных в различные операционные системы и средства обработки информации (текстовые редакторы, электронные таблицы, финансовые системы и т.п.). Сегодня широко известны подобные вирусы для приложений пакета MSOffice, так же известны случаи появления macro-вирусов для пакета 1С. Вирусы для ОС Windows, написанные на VISUAL BASIC, так же можно считать разновидностью macro-вирусов.

Отличительной особенностью macro-вирусов является следующее:

- тело вируса представляет собой текстовый файл, содержащий команды и данные macro-языка;

- macro-вирус может активизироваться только в среде, где функционирует интерпретатор данного macro-языка;

- тело macro-вируса, как правило, помещается внутри файла документа, предназначенного для обработки в программном пакете, имеющем в своем составе соответствующий интерпретатор macro-языка;

- тело вируса, при заражении программы, как правило, сохраняется в программе вместе с настройками пользователя (н-р, шаблон normal.dot редактора MSWord), либо с дополнительными подгружаемыми модулями.

Запущенные из зараженного документа macro-вирусы захватывают управление при открытии заражённого файла, перехватывают некоторые файловые функции, и затем заражают файлы, к которым происходит обращение. Macro-вирусы способны «жить» не только на отдельных компьютерах, но и взаимодействовать с сетью, если подобные функции реализованы в среде, в которой обрабатывается зараженный документ.

Среда «жизни» macro-вирусов так же имеет внешние признаки заражения. Например, один из симптомов заражения программы MSWord – отсутствует возможность сохранять файлы с помощью команды «Сохранить как…». Или, если в меню «Сервис» вы не можете войти в пункт «Макрос» – это тоже признак заражения.

Так как, макровирусы под MSWord были наиболее популярны, то остановимся на них подробнее.

Во первых, необходимо помнить, что весь пакет программ MS Office состоит из макросов. Любое действие, совершаемое с документом, выполняется при помощи макроса. Например: печать документа – «FilePrint», сохранение файла – «FileSave», сохранение документа в другом файле – «FileSaveAs».

Для автоматического запуска макроса из шаблона при том или ином событии макрос должен иметь одно из следующих имен:

- AutoExec – Запускается при старте MSWord или загрузке глобального шаблона

- AutoNew – Запускается при создании нового документа

- AutoOpen – Запускается при открытии документа

- AutoClose – Запускается при закрытии документа

- AutoExit – Запускается при выходе из Word или при закрытии глобального шаблона.

В принципе, выполнение таких макросов можно отменить, нажав клавишу Shift при выполнении описанных выше действий.

Кроме того, создатели Microsoft Office облегчили задачу злоумышленников тем, что ввели возможность подменять команды MSWord макросами пользователя. Таким образом, если в загруженном документе есть макрос с именем, например, «FileOpen», то он будет исполняться каждый раз при открытии другого документа. То есть, макровирус, имеющий соответствующее имя, будет запускаться вместо соответствующего встроенного макроса редактора.

При заражении MSWord макровирусы сохраняют свое тело в шаблоне Normal.dot, но могут существовать так же другие шаблоны, подгружаемые при запуске редактора, и содержащие макровирусы. Для этого в редакторе используется параметр настройки «Автозагружаемые» доступный пользователю из меню: Сервис/ Параметры/ Расположение.

В принципе, MSWord сам в состоянии контролировать процесс загрузки макросов при открытии документа. Для этого необходимо выставить уровень безопасности в меню: Сервис \Макрос \Безопасность. Уровень безопасности MSWord управляется ключом реестра, например: MSWord 2000, управляется ключом: HKEY_CURRENT_USER \Software \Microsoft \Office \9.0 \Word \Security, для более поздних версий редактора «9.0» необходимо заменить на «10.0», «11.0», и т.п. Значения ключа, соответственно: 1, 2, 3и более. 1 – самый низкий уровень безопасности, позволяющий запускать любой макрос без уведомления пользователя. Любой макрос, исполненный под Win 9x, или под ОС Win 2000, Win XP, Win Vista под пользователем с правами администратора, способен изменить значение ключа на 1, и пользователь после этого будет не в состоянии отследить последующие загрузки макровирусов.

Вирусные мистификации.

К ним относятся заведомо ложные сообщения о новых, ранее неизвестных компьютерных вирусах. В таких сообщениях пользователей, как правило, «информируют» о том, что в сетях Интернет появился новый вирус, распространяющийся в письмах и/или через Интернет-сайты и уничтожающий информацию на пораженных компьютерах.

Подобные сообщения запускаются в сеть Интернет умышленно для их дальнейшего распространения наивными пользователями. Обычно текст таких писем написан в достаточно паническом тоне, например:

От: <*****@****.**>

Кому: ********@******.*****.**

Тема: Внимание VIRUS!

Внимание, Вы в нашей Адресной книге, это означает, что, возможно, Ваш компьютер также заражен вирусом, автоматически рассылающим себя по адресам книги. Этот вирус активизируется через 14 дней после проверки вашего почтового ящика и повреждает жесткий диск!

Как удалить вирус.

1. В меню "Пуск" выбрать "Найти"->"Файлы и папки"

2. В строке поиска набрать sulfnbk.exe - это тело вируса.

Если этот файл будет обнаружен на Вашем компьютере, отошлите это сообщение по адресам вашей адресной книги.

Цели распространения подобных сообщений могут быть различны, от банальной шутки, до провокации с целью выявления какой-либо полезной для злоумышленника информации.

Наши рекомендации