CFA LogoCFA Logo Computer
Новости Статьи Магазин Драйвера Контакты
Новости
RSS канал новостей
В конце марта компания ASRock анонсировала фирменную линейку графических ускорителей Phantom Gaming. ...
Компания Huawei продолжает заниматься расширением фирменной линейки смартфонов Y Series. Очередное ...
Компания Antec в своем очередном пресс-релизе анонсировала поставки фирменной серии блоков питания ...
Компания Thermalright отчиталась о готовности нового высокопроизводительного процессорного кулера ...
Компания Biostar сообщает в официальном пресс-релизе о готовности флагманской материнской платы ...
Самое интересное
Программаторы 25 SPI FLASH Адаптеры Optibay HDD Caddy Драйвера nVidia GeForce Драйвера AMD Radeon HD Игры на DVD Сравнение видеокарт Сравнение процессоров

АРХИВ СТАТЕЙ ЖУРНАЛА «МОЙ КОМПЬЮТЕР» ЗА 2002 ГОД

Как выжить в Cети

Роман ГОРБЕНКО, волонтер-исследователь «Центра Исследования Проблем Компьютерной Преступности» Gorbenko@crime-research.org

(Окончание, начало см. в МК № 8, 11, 15, 17–18 (179, 182, 186, 188–189))
Интернет переживает очередную вспышку вирусных эпидемий. С чем это связано? Причин много, но одна из основных — это обнаруженная брешь в очень популярных во всем мире программных продуктах фирмы Microsoft. Об этом и о многом другом и пойдет речь в данной статье.

Антивирусная защита. Введение

И хоть разновидностей и типов вирусов существует огромное множество, свой выбор я остановил, именно на интернет-ориентированных их представителях. Почему?

Дело в том, что время «дискетных» вирусов, таких, например, как ранее грозный OneHalf, уже ушло, ну или почти ушло. Конечно, их еще можно найти на Богом забытых «тетрисодромах» и на стареньких компьютерах университетских кафедр, но все меньше и меньше они встречаются на винчестерах обычных пользователей. Эту «заразу» вытеснили интернет-черви, троянцы даже в нашей не очень-то компьютерно развитой стране.

Поскольку про вирусы (в том числе и интернет-ориентированные) и защиту от них было написано уже не один десяток статей, я не буду вновь нагружать читателя определениями и другими прописными истинами, а остановлюсь лишь на наиболее актуальных и мало освященных на сегодняшний день проблемах.

История большого прокола

Существенным стимулом для широкого распространения интернет-червей послужила, можно даже сказать, преступная халатность программистов из Microsoft.

Как Вам известно, раньше, чтобы заразить компьютер вирусом, надо было запустить на исполнение какой-либо приаттаченный к письму файл. Огромного масштаба эпидемии, о которых вы все, наверняка, хорошо наслышаны, вспыхивали лишь из-за того, что авторы вирусов удавалось найти оригинальные способы заставить пользователей запустить тот или иной зараженный вирусом файл. Так, падкость на вирус «I Love You» объясняется свойственным человеку природным любопытством, усугубленным оригинальным для того времени приемом с двойным расширением файла вида txt.exe. Расширение exe по умолчанию не отображалось, и люди смело запускали файл, думая, что это безобидный txt-документ. Для вируса, обещающего выдать секреты ФБР и Пентагона, — это было врожденное для человека желание узнать чужие тайны и секреты, а в случае с Anna Kournikova, предлагавшего посмотреть на пикантные фотографии этой знаменитой теннисистки, сыграли на тяге людей ко всякого рода клубничке. В итоге у многих пользователей сложилось впечатление, что если они не будут запускать никаких подозрительных полученных по электронной почте файлов, то нечего плохого с ними не случится. Но не тут-то было.

Продукты Microsoft, которые и раньше «радовали» нас всякого рода «дырами» и ошибками, преподнесли еще один сюрприз. На этот раз речь идет об очень популярном браузере Internet Explorer, а поскольку в Windows все составляющие очень тесно между собой связано, эта ошибка стала актуальной и для не менее популярного почтового клиента Outlook Express. Это и послужило началу тех печальных событий, о которых пойдет речь ниже.

Дело в том, что для просмотра получаемой почты в формате html Outlook пользуется средствами Эксплорера. Как выяснилось недавно, некоторые последние версии этого самого Эксплорера содержат ошибку, называемую IFRAME-уязвимость, позволяющую запускать файлы без какого-либо предупреждения и разрешения пользователя. Это значит, что Вы можете заразить свой компьютер вирусом, просто просматривая web-страницу или полученное html-письмо с приаттаченным исполнительным файлом.

Да, вирмейкерам (так называют людей, создающих и распространяющих вирусы) такой подарок, наверное, и во сне не мог присниться. Но обо всем по порядку. Сейчас попытаемся ответить на два вечных вопроса: что делать и кто виноват?

Виноватым является, как я уже говорил, IE самых популярных на сегодняшний день версий — 5.00, 5.01,5.50. Какая версия этого браузера стоит у вас, Вы можете узнать, выбрав в меню «Справка» —> «О программе». Также все желающие могут провериться на портале onego.ru, точная ссылка выглядит следующим образом: http://antivirus.onego.ru/iframebug/frames.html. Если после открытия этой страницы, Вы увидите сообщение «Обнаружена уязвимость MS Internet Explorer», то значит Ваш IE IFRAME уязвим.

Если «диагноз» подтвердился, то теперь, я думаю, вас интересует, что же делать дальше. Во-первых, советую тут же прекратить пользоваться OE до установки соответствующих патчей или же, не исключено, навсегда (переход на другой почтовый клиент и браузер). Во-вторых, ваш компьютер, возможно, уже заражен, поэтому не медлите, помните, во многие вирусы встроен внутренний таймер, запускающий их в определенные дни (часы). Кто знает, сколько сейчас у вируса на часах :-)? Поэтому, не откладывая в долгий ящик, проверяем все диски антивирусной программой. Внимание, очень рекомендую скачать и установить последнее обновление антивирусных баз.

Как же устранить ошибку IFRAME-уязвимости? На сайте «Лаборатории Касперского» по этому вопросу меня отослали на ресурс Microsoft, точный url выглядит следующим образом: http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp.

Но, к сожалению, эта заплатка подходит не для всех версий Эксплорера, а только для тех, на которых уже предустановлен Service Pack 1. Проведя небольшое исследование, я выяснил, что у всех моих знакомых и дома, и на работе стоят именно не SP-версии. Что же делать? Microsoft на этот случай рекомендует сначала предустановить сам SP. Точный размер последнего указывается в пределах от 6 до 17 Мб, и, вероятно, зависит от версии IE (5.00, 5.01 или 5.50). Есть желание качать такой файл?

Насчет же новой версии IE 6.00 доподлинно известно, что уязвимость IFRAME в Full-версии отсутствует. Внимание, установка же minimal- и custom-версии могут не разрешить проблему!

Справиться с этой и еще целым рядом возможных в будущем трудностей с безопасностью поможет переход с IE на альтернативные браузеры, такие как Opera или Netscape Navigator. Для тех, кого не смущает все-таки объективно меньшие функциональные возможности, — это выход из ситуации.

Также, к радости всех пользователей известного The Bat выяснилось, что для отображения писем в формате html тут механизм IE не используется, и, следовательно, вирусы, заражающие компьютер благодаря IFRAME-уязвимости, для них не опасны. Очень популярный в Европе, но почему-то непризнанный у нас почтовый клиент Eudora тоже достаточно надежен в плане инет-безопасности. Так что, альтернатива OE существует.

Но сменить один почтовый клиент на другой непросто. Какой-либо конвертации адресной книги в этом случае не существует, а бывалые интернетчики, наверное, поймут меня, если я упомяну о годами накопленных записей. Для тех же, кто не хочет менять OE и IE на что-то другое либо в силу привычки, либо потому что не желает тратиться на новое программное обеспечение, которое по сути будет уже дублировать имеющееся (пиратские же Bat, Eudora, etc. могут поставить далеко не все), я рекомендую почаще следить за обновлениями, скачивать всевозможные Service Pack, заплатки и т. д.

Вирусов, использующих IFRAME-уязвимость, уже предостаточно. Вот, например, некоторые из них.

I-Worm.Toil. Распространяется посредством электронной почты: открыв письмо в Outlook, вы тем самым заражаете свой компьютер. Действие вируса заключается в том, что он открывает все ваши диски на чтение и запись через Сеть, сохраняет ваши пароли в текстовый файл, возможно, для того чтобы впоследствии отправить его вирмейкеру. С помощью поисковой системы сайта ICQ он находит e-mail-адреса и рассылает себя еще сотням адресатов. Кроме всего перечисленного, в I-Worm.Toil заложен еще целый ряд деструктивных функций, проявляющихся при различных обстоятельствах.

I-Worm.Klez. Точно так же, как и его собрат, описанный выше, распространяется при помощи электронной почты. Заразив ваш компьютер, вирус первым делом рассылает себя по всем записям, содержащимся в вашей адресной книге, тему и имя приаттаченного файла он выбирает произвольным образом. Вирус имеет серьезные деструктивные функции, по определенным числам он безвозвратно! уничтожает все файлы на всех доступных дисках (включая сетевые).

I-Worm.Nimda. Очень опасный червь, распространяется посредством электронной почты, письмо имеет формат html, имя вложенного файла —Readme.exe. Просматривая такого рода полученное письмо, вы заражаете компьютер. Проникнув в систему, вирус первым делом рассылает свои копии по тем e-mail адресам, которые он находит, сканируя документы на всех дисках. Его деструктивная функция заключается в том, что он открывает все локальные диски на чтение и запись через Интернет. Распространяется с очень большой скоростью, поэтому производители антивирусного ПО предполагают, что вскоре появятся еще более вредная разновидность I-Worm.Nimda.

Я описал лишь наиболее распространенные и опасные вирусы, обрабатывающие IFRAME-уязвимость, и на http://www.viruslist.com, и на http://www.wildlist.org в Top 10 они названы самыми опасными. «Лаборатория Касперского» и другие производители антивирусного ПО заявляют об эпидемии и предлагают скачать очередное обновление своих антивирусных программ.

Но если причина всех вышеописанных бед кроется в ошибке IE, то возможен ли такой вариант, что я заражаю свой компьютер вирусом, просто зайдя в Интернете на ту или иную страницу? Думаю, этот вопрос возник не у одного читателя. Что ж, чисто теоретически да. Но, к счастью, вероятность подобного развития событий минимальна, и вот почему. Ведь вирусописатель должен куда-то выложить эти страницы, а любая компания, предоставляющая услуги платного или бесплатного хостинга, очень внимательно следит за содержанием размещаемого материала. Время от времени их проверяют на предмет, не содержится ли там порнография или какая-либо другая информация, противоречащая действующему законодательству, также ведется антивирусная проверка. Все страницы, в которых обнаружены те или иные нарушения, тут же с сервера удаляются, независимо от того, платили вы деньги за хостинг или нет. Все это делается на законных основаниях. В некоторых случаях против вирусописателей, распространителей детской порнографии etc. могут применяться определенные меры, например, в Китае некоторых вирмейкеров расстреляли, но это я так к слову :-).

Вирус vs антивирус

За те 10 лет холодной войны между этими двумя противоборствующими сторонами всем, наверное, стало ясно, что это противостояние будет длиться вечно. А ведь всего каких-то пару лет назад широко распространялись слухи о разработках всемогущих систем эвристического анализа, которые смогут выявлять любые вирусы. Сами разработчики антивирусного ПО поняли, что эвристический анализатор — это тупиковое для них направление. Если ваш антивирус будет находить любые вирусы, то купите ли вы новую версию программы, зайдете ли на сайт антивирусной компании? Конечно же нет! Но ни для кого не секрет, что на антивирусной безопасности делаются очень и очень хорошие деньги. Как на продаже соответствующего ПО (даже у нас, в условиях тотального пиратства), так и на реализации рекламных площадей сайта, которые из-за постоянно подогреваемого интереса к теме вирусов являются очень и очень популярными.

Итак, если говорить о том, какую антивирусную программу выбрать, то я бы порекомендовал либо DrWeb от компании «ДиалогНаука», либо AVP от «Лаборатории Касперского». Оба продукта держатся где-то на равных, это суждение справедливо как по отношению к интернет-ориентированным вирусам, так и ко всем остальным категориям этих вредоносных программ. Главным критерием качественного антивирусного ПО является постоянное обновление базы. Ведь по большому счету антивирус лишь сравнивает проверяемый файл со своей базой, содержащей примеры кода уже известных компании вирусов. Если фрагмент кода совпадает, то программа выдает сообщение о том, что файл инфицирован. Что из этого следует? Да то, что даже небольшие изменения в коде вируса помешают антивирусной программе его найти, естественно, до тех пор, пока антивирусная база не пополнится. Именно поэтому каждый, хоть сколько-нибудь оригинальный вирус, сопровождает масса модификаций, например, помимо известного Nimda, существует множество его разновидностей: Nimda.b, Nimda.c и т. д. Многие вирмейкеры, не имея способности написать что-либо оригинальное самостоятельно, берут за основу уже «хорошо» себя зарекомендовавшие вирусы и немного трансформируют их. В основном модификация заключается в небольшом изменении функциональных возможностей программы и добавлении информации об авторе вируса (ник, принадлежность к той или иной хакерской группе, etc.). И вот, в связи с ограниченными возможностями эвристического анализатора (об этом я уже писал выше) для антивируса подобные видоизмененные вирусы уже «невидимы». И так будет продолжаться до очередного его обновления.

Подведу небольшое резюме этого раздела. Поскольку по указанным выше причинам полагаться на эвристический анализатор особо не стоит, чтобы «выжить», необходимо регулярно скачивать обновление антивирусных баз.

Что же будет с родиной и с нами…

Большинство червей, помимо явных деструктивных функций, как-то уничтожение файлов, форматирование дисков, etc., могут обладать еще рядом не столь явных, но от этого не менее опасных свойств. Как известно, Windows хранит пароли в зашифрованном виде, заполучив эти два файла и проведя их дешифровку, мошенник получит логин и пароль от вашего провайдерского аккаунта. И хотя он вряд ли воспользуется ими лично, наверняка найдется немало желающих получить доступ к Интернету за треть от номинальной цены.

Как я уже говорил выше, все вирусы настроены на то, чтобы инфицировать как можно больше файлов и компьютеров (поэтому они и называются вирусами), и все без исключения черви пытаются разослать свои копии посредством e-mail. Самый распространенный способ — рассылка по записям из WAB (Windows Adress Book). Чей e-mail в вашей адресной книге, Начальника? Друзей? Любимой девушки? А теперь представьте, они получают письмо от вас и без всяких предосторожностей всего лишь открывают его. Уже этого может быть достаточно, чтобы потерять всю накопленную годами информацию. Естественно, вам спасибо никто не скажет, а вот сделать нечто посерьезней, я думаю, смогут.

А если вирус работает и как key-logger? Что это такое? Он постоянно находится в оперативной памяти компьютера и методично записывает все нажатые вами клавиши в текстовый файл. Через определенное время этот текстовый файл отсылается на e-mail-ящик автора вируса. Что, страшного? Да, ведь в этом документе будут все пароли от всех используемых вами сервисов! Логин и пароль у вашего провайдера, пароль к счету в WebMoney, Рауcash, банковскому счету.

Как видите, вирусы не только угрожают вашей информации, но могут повредить друзьям, стать причиной неприятностей на работе, утечки денег на счетах. Есть над чем задуматься, неправда ли?

«Светлое» будущее

Прогнозирование — затея неблагодарная. Но все же, логично предположить, что с ростом числа пользователей Интернета, со все большим его влиянием на нашу жизнь, число вирусов и причиняемый ими ущерб будет также возрастать. По данным MessageLabs, еще в 1999 г. один вирус приходился на 1400 писем, а в 2000 г. — уже на 700, а сейчас вирус находится уже в каждом 300-м письме. В итоге, специалисты MessageLabs обещают, что к 2004 г. зараженным окажется каждый сотый e-mail, а в 2015 г. вирусы будут «сидеть» в 75 % пересылаемых письмах.

На этом очередное повествование на тему интернет-безопасности считаю законченным. Надеюсь, вы поняли, что к вирусной безопасности надо подходить очень и очень серьезно. Если после прочтения данной статьи, у Вас остались (или появились :-)) какие-то вопросы, пишите, попытаюсь помочь.

Рекомендуем ещё прочитать:






Данную страницу никто не комментировал. Вы можете стать первым.

Ваше имя:
Ваша почта:

RSS
Комментарий:
Введите символы или вычислите пример: *
captcha
Обновить





Хостинг на серверах в Украине, США и Германии. © sector.biz.ua 2006-2015 design by Vadim Popov