АРХИВ СТАТЕЙ ЖУРНАЛА «МОЙ КОМПЬЮТЕР» ЗА 2002 ГОД

Сам себе антивирус

• Все журналы \ Номер 44/215 `2002 от 04.11.2002 \ Сам себе антивирус

Роман ГОРБЕНКО, волонтер-исследователь «Центра Исследования Проблем Компьютерной Преступности» gorbenko@crime-research.org

Обзор

Первым делом хочу рассказать, что же меня подтолкнуло в очередной раз обратиться к вирусной тематике. Думаю, по моим публикациям Вы успели заметить, что я пытаюсь отслеживать те или события в области интернет-безопасности, так вот, я просто не мог пройти мимо очередного соревнования антивирусных программ, которое проводит компания Virus Bulletin, владеющая такими популярными ресурсами, как VirusBtn.com и WildList.org. В июне конкурс в нескольких номинациях, среди них вылавливание вирусов на платформах Windows XP, Windows Me, Windows NT. Как Вы можете наблюдать на иллюстрациях, в тестах на платформах Windows Me и Windows XP напротив Kaspersky красовалось fail (провалено). Примечательно, да? Особенно если учесть, что Касперский безраздельно властвует на большинстве компьютеров Украины/России. Получается, что пользователи оказываются совершенно беззащитны перед массой новых вирусов? Такая ситуация мне, естественно, не понравилась, и я решил поискать альтернативные способы борьбы. Насколько мои труды увенчались успехом, решать вам.

Один на один

Я не буду в очередной раз утомлять вас моралями о том, что нельзя бездумно запускать пришедшие по почте файлы,, что необходимо регулярно проверять диски антивирусной программой и так далее. Такие рассказы стали уже банальностью, ими напичканы все статьи про вирусы. Но что самое обидное, даже тщательное выполнение всех этих советов ничего не гарантирует.

Вот, например, один мой приятель оказался в эпицентре подобных неприятных событий. Как оказалось, в локальной сети, объединяющей с десяток компьютеров и имеющей выход в Интернет, попал вирус, который быстро распространился по локалке на все машины и уничтожил всю информацию. Кто-то восстановился с backup-ов (backup — «копирование», это, пожалуй, единственный способ сохранить свою информацию, действующий железно). Все пострадавшие были опытными пользователями: у всех стояли Касперский, Доктор Веб, у многих даже имелись последние обновления Касперского и никто, конечно же, не открывал подозрительных файлов, пришедших по электронной почте. Так что же случилось? Это начал свое печально известное шествие Klez, а также другие основанные на дыре IFrame вирусы (об этой уязвимости я уже писал, если интересно, читайте сериал статей «Как выжить в Сети», МК № 8, 11, 15, 17–18, 20 (179, 182, 186, 188–189, 191)).

Касперский и многие другие антивирусные программы оказались беспомощны в первые дни эпидемии. Это уже потом появилось новое обновление у AVP, соответствующую заплатку к IE выпустил «Микрософт», но десятки тысяч людей уже потеряли свои данные. Да еще и теперь вирусы, основанные на IFrame-уязвимости, занимают верхние строчки хит-парадов — и это после стольких публикаций, стольких предупреждений?

Постоянно появляются новые типы вирусов, разрушающие устоявшиеся стереотипы об опасности тех или иных форматов файлов. Например, до последнего времени считалось, что запускать pdf-файлы можно вполне спокойно. Но появление вируса с кодовым названием Peach, представляющего собой вредоносный скрипт, написанный на Visual Basic Script и внедренный в pdf-файл, заставило забыт о спокойствии. О вирусах нового поколения, использующих для распространения jpg-файлы, я уже писал (подробнее эта тема рассматривалась в статье «Заразные картинки», МК № 34 (205)). Причем спокойно «спать» не может никто: про «дырявость» продуктов Микрософта я вообще молчу, но существуют вирусы и под почтовые клиенты The Bat, Eudora, есть также вирусы, распространяющиеся по каналам ICQ и MSN Messenger, обнаружены вирусы под Linux и даже под Palm-компьютеры.

Никому не дано знать, когда и в какой программе обнаружится очередная дыра. Но то, что она появится, это так же точно, как и то, что завтра утром солнце встанет на востоке, а зайдет на западе. Естественно, ни Касперский, ни Микрософт в первые дни или даже недели не смогут вам ничем помочь. Что же делать? Руководствоваться моим любимым слоганом: «Никогда не сдавайся!».

Если Вы внимательно посмотрите на описание большинства популярных сегодня вирусов, то обнаружите, что таких, которые просто тупо уничтожают информацию, почти нет. Большинство из них заявляют о себе явным или косвенным образом, и даже если Касперский «молчит», Вы по тем или иным признакам сможете определить, что Ваш компьютер инфицирован.

Я уверен, что ребята из Лаборатории Касперского, производящие анализ вирусов, частенько заливаются от смеха. Большинство вирусов, в том числе и самые известные, содержат в себе грубые ошибки, ярким доказательством тому служит печально известный SirCam. Его создателем была допущена грубая ошибка, и вместо того, чтобы уничтожить информацию на вашем диске, он лишь выбрасывает системную ошибку Windows. Такие примеры не единичны, и обусловлено это тем, что, вопреки распространенному мнению, большинство вирмейкеров абсолютные дилетанты в программировании. Отсюда напрашивается вывод, что вполне реально самостоятельно найти и обезвредить даже самый новый вирус, еще не включенный в библиотеку AVP.

Итак, какие же косвенные признаки свидетельствуют о том, что Ваш компьютер заражен? Рассмотрим их подробнее.

1. Появление различных аудио- визуальных эффектов. Например, убегающее от мышки окно или непослушная кнопка «Пуск» в Windows, либо «Рабочий стол», с которого пропали все значки. Несмотря на то, что все это похоже на шутку, немало самых опасных вирусов перед тем, как отформатировать ваш винчестер или запортить CMOS, будут выкидывать на вашем компьютере вот такие финты.

2. Как я уже говорил выше, многие вирусы содержат ошибки, либо были написаны для иного типа ОС, либо еще что-то. Поэтому зачастую свидетельством того, что Ваш компьютер заражен, является постоянное возникновение ошибок либо появление диалоговых окон с подозрительным содержанием, например, таким как на рисунках.

3. Многие вирусы пытаются отключить/повредить антивирусные программы, firewall-ы и другое ПО, предназначенное для защиты вашего компьютера. Если такие программы у вас перестали запускаться — это должно послужить тревожным сигналом.

4. Еще одним таким сигналом для вас должны послужить сеансы необъяснимого обмена информацией в сети. Что я имею в виду? А то, что, например, отойдя от компьютера заварить себе чай, вы возвращаетесь и обнаруживаете, что экранчики в углу рабочего стола бешено мигают, и куда-то уходят сотни килобайт вашей информации. Дело в том, что большинство вирусов, обнаружив на компьютере наличие соединения с Интернетом и отсутствие какой-либо активности пользователя, пытаются скачать какую-либо свою компоненту, либо соединиться с smpt-сервером и разослать свои копии на e-mail-ы, находящиеся в Вашей адресной книге.

Первым делом необходимо установить firewall и внимательно следить, какое приложение и по какому порту хочет соединиться. Не буду тут останавливаться на проблеме выбора firewall-ов, та как МК уже несколько раз затрагивал эту тему. Рассмотрим типичное поведение зараженного вирусом компьютера. Вдруг во время работы в Сети firewall выдает предупреждение о том, что такая-то программа пытается соединиться по 25 порту. Речь идет об smpt-порте, использующемся для отправки писем по протоколу smpt, вирусы же обращаются к нему для отправки писем со своими копиями. Иногда соединение происходит по 21 порту, то есть ftp-порту, использующемуся для приема/передачи данных по протоколу ftp. Вирусам же он служит для передачи ваших файлов на удаленный сервер. Речь идет о файлах типа *.PWL, user.dat, user0.dat, содержащих логины и пароли для доступа в Интернет. Либо, наоборот, вирусы при помощи протокола ftp могут закачать на ваш компьютер какую-либо свою компоненту, которая в свою очередь расширит функциональные возможности самого вируса.

Если такое произошло, то тут же блокируем аналогичные попытки, запоминаем имя приложения и отправляемся на поиски вируса. Дело в том, что вирмейкеры жестко привязаны к возможностям ОС, и это должно сыграть нам на руку. Допустим, чтобы постоянно загружаться, вирус может использовать только механизмы, предусмотренные структурой ОС. Для Windows это соответственно файлы win.ini, system.ini и реестр. В win.ini и system.ini необходимо внимательно изучить строки, имеющие вид “run=путь\вирус.exe”. Для реестра, это будут следующие разделы:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

Именно в этих разделах вирус прописывает свой ключ, чтобы запускаться с каждой загрузкой Windows. На всякий случай делаем резервные копии наших системных файлов и начинаем изучать данные разделы на предмет наличия в них подозрительных ключей. Бояться подобной процедуры не нужно, так как ключей должно быть не так уж и много, и легко определить, какой ключ к какой программе принадлежит — все подозрительное удаляем.

Также немало проблем пользователям приносят так называемые макровирусы, то есть написанные на макроязыках, например, на Visual Basic for Applications (VBA). Благодаря тому, что такие языки встроены в различные офисные приложения (MS Word, MS Exсel и т.д.), сам факт открытия документа или таблицы, содержащего вредоносный макрос, приводит к тому, что последний запускается, начинает распространять инфекцию, производить какие-то изменения в вашей системе — в общем, совершать типичные для вируса действия. Антивирусные пакеты по мере сил и возможностей пытаются отлавливать такого рода вредоносные макросы. Но, как мы уже говорили, сам факт того, что ему ничего не удалось обнаружить, еще не гарантия «чистоты» ваших документов и таблиц. Вот некоторые косвенные признаки, по которым можно определить присутствие макровирусов.

1. В папке STARTUP присутствуют посторонние файлы.

2. В меню не работает пункт «Макросы» (таким образом макровирус не позволяет вам посмотреть на весь список имеющихся макросов, а следовательно, найти там и отключить посторонние).

3. Зараженные файлы меняют свой формат с Word Document на Template.

Одним из способов лечения зараженных документов является сохранение их в другом формате, скажем, в RTF (сохраняется вся информация за исключением макросов). Итак, сохраняем все документы в RTF-формате, а DOC-файлы и файл NORMAL.DOT (шаблон, по которому создаются новые документы; то есть если этот файл заражен, то окажутся инфицированы и все ваши новые документы) удаляем. Восстанавливаем всю информацию из документов в формате RTF.

Смертельно опасный setup.exe

Вы, наверное, заметили, что установка всевозможного софта протекает каждый раз одинаково: все тот же синий фон, далее лицензионное соглашение, затем выбор директории и т.д. Дело в том, что создатели софта зачастую просто берут уже готовый менеджер, позволяющий создавать программу инсталляции и деинсталляции их продукта за считанные минуты. Поскольку таких менеджеров в природе не так уж и много — процессы инсталляции абсолютно разных программ очень похожи друг на друга. Так вот, в последнее время десятки псевдохакеров, которые и программку «Hello Word» на Бейсике не в силах написать, скачивают такой менеджер и с его помощью в пошаговом режиме «лепят» некую инсталляцию, которая, конечно же, ничего не инсталлирует, а лишь наносит существенный вред вашему компьютеру!

Действительно AVP, проанализировав программу инсталляции, может определить, что вызывается системная функция удаления файлов, но беда в том, что эта функция должна вызываться и в обычных инсталляциях, например, чтобы удалить лишние копии файлов. Поэтому AVP, и вся другая защита, будет молчать, когда хакерская инсталляция начнет буквально «потрошить» Ваш компьютер. Некоторые хакерские ребята пытались проделать еще один фокус, например, сделать так, чтобы программа инсталляция вместо полезного ПО, попыталась установить на ваш компьютер вирус-троян, цель которого — похитить ваши пароли. Но такие фокусы не прошли, потому что AVP и другие антивирусы смогли обнаружить в недрах инсталлятора вредоносный код — код вируса.

Вы, наверняка, сгораете от нетерпения узнать, как такое вредоносное ПО могло оказаться на вашем компьютере? Отвечаю, самый вероятный вариант — скачивание какой-либо программы из файлового архива, которых в Интернете полным-полно. Причем любой может прислать свою программу с описанием в такой архив. По идее админ ресурса должен сам все проверить и лишь потом выкладывать продукт для скачивания. Но ведь программок присылают много, а админ один. Как правило, вредоносный софт имеет очень привлекательное название и описание, что-то вроде скринсейвер «Звездный войны: Эпизод 2», новая программа оптимизации работы Windows Me и так далее, чтобы больше желающих могло скачать себе такую «полезную» программу.

Как защититься? В условиях, когда нельзя положиться на антивирусное ПО, необходимо внимательно следить за другими факторами. Например, если вам пригляделась какая-то программа, не спешите ее скачивать, подождите пару дней. Она еще на месте ? Тогда скачивайте, если вам пытаются подсунуть нечто вирусоподобное, то наверняка, подвох обнаружится. Также, возможно, на файловых архивах найдется какой-то комментарий к заинтересовавшему вас софту. Рекомендую также можете посетить форум или guestbook.

«Песочницы»

Как известно, спрос рождает предложение. Поэтому с увеличением числа пользователей, не очень-то довольных возможностями антивирусных программ, нашлись компании, предлагающие альтернативную «панацею». В рекламе такого ПО подробно объясняется, что эти программы основаны на так называемом эффекте «песочницы» (sandbox), под этими словами подразумевалось не что иное, как перехват обращений к опасным системным функциям. Казалось бы, все правильно, например, какая-то программа путем вызова системных функций ищет точку входа в библиотеку Kernel32.dll, подозрительно! Блокируем такие действия, предупреждаем пользователя и так далее, все опасные функции находятся под колпаком — так гласила реклама.

Однако опыт моего общения с подобными программами показывает, что «панацея» заканчивается еще в рекламных проспектах. Может быть, в ближайшем времени я напишу детальный обзор такого ПО, но пока лишь предлагаю краткое изложение своих впечатлений. Работал я с двумя самыми распространенными представителями данного класса программ, продуктами SafeTnet от компании PelicanSecurity и SurfinGuardPro от Finjan Software. Так вот, SafeTnet работает только с избранным (откровенно говоря, довольно небольшим) набором программ. Причем после установки SafeTnet почему-то перестали запускаться некоторый софт. Впрочем, это меня не особенно удивило, потому что такие программы работают на низком системном уровне, а, собственно, сами они еще не достаточно доработаны.

Из всего вышесказанного напрашиваются следующие выводы. Если вы по своей натуре безудержный экспериментатор (что совсем не плохо), попробуйте поэкспериментировать, но, на мой взгляд, такого рода программы выглядят чрезмерно «сырыми». Чуть не забыл, SafeTnet качать отсюда: http://www.pelicansecurity.com; а SurfinGuardPro —http://www.finjan.com/products/surfinguard.cfm.

Ох, если б так было всегда…

В самом конце статьи хотел бы рассказать, как я стал свидетелем/участником одного события, имеющего непосредственное отношение к данной статье. Не так давно многие трейдеры «Русской Биржи», в том числе и я, получили письмо с приаттаченным вирусом, который, будучи активирован, похищает файлы и пароли, предоставляющие доступ к счету в платежной системе Webmoney. Поскольку «Русская Биржа» (http://www.indx.ru) — это месте, где «обитают» ключевые игроки рынка электронной коммерции Украины, России и других пост-советских стран, у многих из них на счету лежит по несколько тысяч долларов. Атака была хорошо спланирована, для нее был написан специальный вирус, который, конечно же, AVP еще не различал. Так как письмо рассылалось от имени очень уважаемого на бирже трейдера, можно заключить, что люди, рассылавшие вирус, были хорошо знакомы со всеми порядками на бирже. Вы думаете, кто-то пострадал? Буквально тут же один из трейдеров биржи дизассемблировал вирус и выяснил механизм его работы. Эта вредоносная программа пыталась украсть файлы, позволяющие получить доступ к счетам с большими суммами, соединиться с двумя ftp-серверами вирмейкера и переписать похищенное туда. Для соединения с этим самым ftp-сервером в теле вируса был прописан логин и пароль. Так вот, этот трейдер, воспользовавшись логином и паролем, зашел на сайт и поменял пароль, тем самым сделав бесполезной работу всех остальных, пусть даже и активированных копий вируса. Примечательный для этой статьи случай, неправда ли?

На этом сегодня все, надеюсь, мысли, изложенные в этой статье, Вам помогут. В свою очередь продолжаю работать над новым материалом по «теме», место встречи все тоже — МК.

Идёт загрузка...

Данную страницу никто не комментировал. Вы можете стать первым.

Ваше имя:
Ваша почта:
Комментарий:
Введите символы или вычислите пример: * Обновить