CFA LogoCFA Logo Computer
Загрузка поиска
Новости Компьютеры Прайс-лист [Новое] Прайс-лист [Б/У] Для ноутбуков Конфигуратор ПК Заказ, Оплата, Доставка Сервис объявления Драйвера Статьи Как нас найти Контакты
Новости
RSS канал новостей
Компания ASRock представила мировой общественности материнскую плату H110-STX MXM, которая рассчитана ...
Компания MSI в рамках серии Arsenal Gaming представляет пользователям материнские платы линейки ...
По данным наших коллег, в этом месяце компания Huawei официально представит свой новый смартфон. ...
Поколение процессоров Broadwell-EX, представленное Intel в июне прошлого года, обзавелось новым ...
Что мы с вами знаем о принтерах? На бытовом уровне, конечно, есть определённое представление. – ...
Самое интересное
Программаторы 25 SPI FLASH Адаптеры Optibay HDD Caddy Драйвера nVidia GeForce Драйвера AMD Radeon HD Игры на DVD Сравнение видеокарт Сравнение процессоров

АРХИВ СТАТЕЙ ЖУРНАЛА «МОЙ КОМПЬЮТЕР» ЗА 2002 ГОД

Заразные картинки

Роман ГОРБЕНКО, волонтер-исследователь «Центра Исследования Проблем Компьютерной Преступности» Gorbenko@crime-research.org

К сожалению, число компьютерных вирусов с каждым днем не уменьшается. Как раз наоборот, они начинают принимать все более опасные и экзотические формы. О некоторых сенсациях в этой области Вы сможете ознакомиться в этой статье.

Как все начиналось

Не так давно на сайте компании Network Associates (http://www.nai.com) — для тех, кто не знает, это производитель очень популярной на Западе антивирусной программы McAfee Antivirus (http://www.mcafee.com) — появилась информация о том, что сотрудниками ее антивирусной лаборатории был выявлен первый в истории вирус, заражающий графический файлы формата JPEG. Новому «вредителю» тут же присвоили кодовое имя W32/Perrun. Немедленно новость подхватили многие сетевые информационные агентства, которым свойственно коверкать исходные данные, сгущать краски и в таком вот пугающем виде выдавать ее своим читателям. Поскольку меня появление такого типа вирусов не удивило, а реакция сетевых СМИ, мягко говоря, оказалась не совсем понятной, я решил выразить свое мнение, которое, надеюсь, будет небезынтересным читателям.

Погружение…

Итак, что же представляет собой W32/Perrun? По информации специалистов антивирусной лаборатории, в которой и был впервые исследован данный вирус, Perrun является Windows-приложением, написанным на Visual Basic и имеющим размер 18 Кб. Чтобы читатель лучше уяснил его алгоритм работы, я представил его в виде блок-схемы.

Теперь некоторые комментарии к блок-схеме. Под словом «инфицирование» понимается всего лишь добавление exe-кода в конец jpg-файла. Вирус не имеет действенного механизма распространения, поэтому можно сказать, что он примитивен и с технической точки зрения почти не интересен. Его алгоритм работы мало чем отличается от алгоритмов работы уже давно существующих вирусов, все то же записывание тела в конец файла, только на этот раз вредитель использует не .exe, .com, .dll файлы, а .jpg файлы, ну и передача управления осуществляется по-другому, вот и все. Я с уверенностью могу сказать, что 99.9 % пользователей никогда вживую вируса с кодовым именем W32/Perrun не увидят. Поэтому в предисловии я и счел нужным отметить, что паническая реакция сетевых СМИ на появление W32/Perrun для меня не очень понятна. Беспокоит меня другое: Perrun, скорее всего, окажется лишь первой ласточкой в этой вирусной атаке, потому что развернувшаяся вокруг него шумиха лишь подтолкнет (подтолкнула) вирмейкеров (так называют людей, занимающихся изготовлением компьютерных вирусов) к «работе» в этом направлении. И их продукты будут уже не примитивно дописывать свой код в конец файла, а действовать по сложным алгоритмам, в основе которых лежит стеганография.

По имеющейся у меня информации, работы над созданием таких вот типов вирусов уже идут. Анализируя полученные сведения, я смог составить «портрет» той «заразы», которую нам, скорее всего, еще доведется увидеть. Как я уже говорил, в основе грядущих вирусов лежит метод стеганографии (steganos — секрет, тайна; graphy — запись). Данный метод применяется человечеством с незапамятных времен, системы условных знаков и надписи невидимыми чернилами, хорошо знакомые нам по фильмам о шпионах, — все это примеры стеганографии. С появлением высоких технологий появились новые формы информации и способы ее передачи, а, следовательно, возникли и новые виды стеганография.

Метод стеганографии в области компьютеров базируется на том, что информация в виде аудио-, видео- и обычных графических изображений не критична к небольшим изменениям. Графическое изображение — это матрица чисел, например, каждый пиксель цветного изображения формата RGB кодируется 3 байтами, то есть получается нечто похожее на следующее: 00000000 00000000 0000000 — эта комбинация, например, соответствует черному цвету, а 11111111 11111111 11111111 — белому. Если в каждом байте изменить самый младший бит, то цвет соответствующего пикселя трансформируется таким образом, что человеческий глаз из-за своей структуры просто не сможет обнаружить в файле разницу до и после перемен. Но если применять специальный алгоритм, работающий со всеми пикселями в изображении, то благодаря таким вот манипуляциям всего лишь с младшим битом в графическом файле реально закодировать довольно внушительные объемы информации. Для подтверждения своих слов я продемонстрирую следующий пример. Сравните две картинки: на рисунке 1 представлено 16-битное изображение размером 16 Кб, а на 2-ом оно же, но в нем специальным алгоритмом зашифрован один абзац этой статьи.

Рис. 1   Рис. 2

На эти изображения можно сколько угодно смотреть, изучать, но, тем не менее, определить наличие в нем закодированного сообщения нельзя. И лишь при наличии специального алгоритма (ключа), получится извлечь зашифрованное сообщение. Как я уже говорил, данные можно спрятать не только в графических файлах, но и в видео, аудиофайлах. Причем последние подходят для скрытия в них информации даже еще лучше, чем файлы рисунков. Так, в цифровом аудиофайле с частотой дискретизации 44 100 Гц, в режиме стерео, можно спрятать до 10 Кб на каждую секунду записи, опять же за счет изменения младших битов.

К чему это я все? Да лишь к тому, чтобы показать, что появление вирусов, основанных на методе стеганографии, вполне реально. Опять же по имеющейся у меня информации, это будет двухкомпонентный вирус. Его первая половина — это очень небольшое приложение, так как его функция состоит лишь в том, чтобы найти аудио-, видеофайл или файл изображения и определить, содержит ли он вторую часть вируса, и если да, то извлечь, сохранить на диске и запустить на выполнение. Вторая часть вируса основная, и по размеру она на порядок больше первой, в ней реализованы механизмы инфицирования аудио-, видео- и графических файлов, а также механизмы распространения, по всей видимости, при помощи электронной почты и с использованием «дыры» Iframe, которая, к сожалению, все еще остается не закрытой на очень большом количестве компьютеров. Итак, механизм работы следующий: первая, маленькая часть, распространяется по электронной почте в виде приложения, вторая, где и реализованы все основные функции, расходится отдельно в аудио-, видео- и графических файлах. Например, никто не задумывается над тем, что, скачивая последнюю композицию Garbage или беря у знакомого диск с новым фильмом Джорджа Лукаса, может подвергнуться заражению. Вполне вероятно, что в скором времени антивирусом нужно будет проверять не только запускные файлы…

Естественно, чтобы вирмейкерам «запустить» «снежный ком» эпидемии, нужно будет распространить какое-то количество зараженных файлов, что, скорее всего, будет реализовано через галереи рисунков, порносайты, mp3-архивы и так далее. Зато с каждым днем эпидемии зараженных файлов будут все больше и больше, а следовательно, увеличится и количество инфицированных компьютеров — типичная геометрическая прогрессия.

Всю имеющуюся у меня информацию я передал производителям антивирусного ПО и другим компаниям, работающим в сфере интернет-безопасности, так что, надеюсь, к моменту появления таких вирусов, будут уже разработаны действенные механизмы борьбы с новой напастью. На этом все, читайте МК, и Вы будете в курсе самых новых и сенсационных исследований в области интернет-безопасности.

Рекомендуем ещё прочитать:






Данную страницу никто не комментировал. Вы можете стать первым.

Ваше имя:
Ваша почта:

RSS
Комментарий:
Введите символы: *
captcha
Обновить






Рейтинг@Mail.ru
Хостинг на серверах в Украине, США и Германии. © www.sector.biz.ua 2006-2015 design by Vadim Popov