Вирусы всегда нацелены на «плоды, висящие внизу»: их жертвами становятся беспечные пользователи

Обнаружить червей довольно трудно, поскольку их нельзя идентифицировать по расширению, а выглядят они точно так же, как и все остальные программы. Так, червь Anna Kournikova преподносил себя в виде фотографий теннисной звезды

Черви, заставляющие нас вновь и вновь задуматься о вопросах компьютерной безопасности, распространяются, проникая в компьютерные сети и заражая все подключенные к ним ПК. Способность к самостоятельному воспроизводству и использование возможностей одноранговых сетей (P2P — peer-to-peer) создает благодатную почву для их дальнейшего размножения.

«Большинство червей основано на использовании давно известных особенностей не вполне корректно написанных блоков программного обеспечения и операционных систем, способствующих распространению вирусов через Internet», — предупреждает Хосе Назарио, аспирант-биохимик, участник группы экспертов по компьютерной безопасности Crimelabs Security Group. Назарио принял активное участие в пятой ежегодной конференции по вопросам безопасности Black Hat Briefings, выступив с докладом по вопросам несанкционированного проникновения злоумышленников в чужие сети с целью проведения деструктивных действий.

Мобильность таит в себе опасность

Внешние проявления компьютерных червей обманчивы, например, «троянский конь» (вредоносная программа, маскирующейся под что-то полезное) может пересылать информацию о вашей системе своему хозяину. В отличие от вирусов черви обладают способностью к самостоятельному распространению и активизируют определенные функции в соответствии с заложенным в них расписанием.

Обнаружить их довольно трудно, поскольку их нельзя идентифицировать по расширению, а выглядят они точно так же, как и все остальные программы.

Первым червем, получившим широкую известность, стала программа, написанная в 1988 году в качестве эксперимента студентом Корнелльского университета Робертом Моррисом. Червь Морриса блокировал значительную часть только зарождавшейся в то время сети Internet и стоил своему автору дальнейшего обучения в университете.

Вымирание бессловесных червей

Большинство современных червей не отличаются технической элегантностью. Назарио сравнивает их с «первичным бульоном» (возможным источником зарождения жизни на земле). Они напоминают броуновское движение разрозненных частиц, взаимодействующих друг с другом. Компоненты одного из последних нейтрализованных червей, по словам Назарио, были соединены друг с другом «чем-то совершенно немыслимым, наподобие книги, страницы которой скреплены обычным скотчем».

Управлять современными червями действительно просто. В то же время процедура эта требует постоянного контроля. Их довольно легко нейтрализовать, поскольку они постоянно используют одни и те же методы проникновения в незащищенные компьютеры. С их помощью тяжело решать конкретные задачи. Причиной этого является достаточно случайный характер их распространения.

Впрочем, с тех пор как червь Морриса поразил Internet, черви очень хорошо используют уязвимые места компьютеров.

«В ближайшие год-полтора черви должны стать гораздо более динамичными», — предупреждает Назарио.

Следующее поколение червей будет распространяться с помощью популярных программ совместного использования файлов (например, Napster и Gnutella). Назарио полагает, что в будущем обнаружить их будет гораздо сложнее. Мы столкнемся с оперативным обновлением и со встраиванием сообщений в другие виды файлов с целью их последующего анонимного распространения.

«Умные» черви живут дольше

Новые черви будут отличаться повышенной интеллектуальностью и способностью к самосохранению. Они, к примеру, смогут проверить целостность источника обновлений, чтобы избежать воздействия деструктивного кода, призванного их уничтожить. Кроме того, они способны к саморегулированию. Это помогает им избежать обнаружения при регистрации необычно большого объема трафика, генерируемого при распространении.

Назарио полагает, что следующее поколение червей будет напоминать отдельные органы тела. Предпочтение будет отдаваться выполнению различных функций на разных машинах, а не интеграции всех задач в рамках единой программы.

Эксперты Crimelabs опубликовали отчет о состоянии и природе Internet-червей. В нем делаются следующие выводы: во-первых, черви эффективны ровно настолько, насколько это позволяют им пользователи. Во-вторых, черви всегда нацелены на «плоды, висящие внизу». Их жертвами становятся беспечные пользователи, не беспокоящиеся о ликвидации уязвимых мест.


Схватка продолжается

Новый и потенциально более опасный вариант червя Code Red может внедрять «троянского коня» в Web-сервер Microsoft. «Троянец» позволяет любому пользователю Web-браузера получить контроль над такими серверами. Как и предыдущие версии, обновленный Code Red действует как инструментарий, с помощью которого можно организовать распределенную DoS-атаку (denial of service — «отказ в обслуживании»), используя уязвимое место — возможность переполнения буфера, оставшееся в немодернизированных серверах Microsoft Internet Information Server. Одновременно вариант червя, который окрестили Code Red II, позволяет загрузить «фальсифицированную» оболочку explorer.exe в Microsoft IIS, которые не защищены заплатками из июньского пакета обновлений SP2. По словам Русса Купера, редактора интерактивного бюллетеня новостей Ntbugtrak, посвященного вопросам защиты, и эксперта компании TruSecure, обновленная версия намного опаснее предыдущих.

Как указал Купер, Code Red II может установить виртуальный Web-каталог на инфицированном сервере IIS, благодаря чему доступ ко всем файлам предприятия способен получить любой пользователь при помощи обычного браузера.

Действие Cod Red II можно пресечь, установив на серверы Microsoft IIS программную заплату, которую можно загрузить с сайта www.microsoft.com. Она ликвидирует переполнение буфера и другие ошибки, которые активизируют «троянских коней».

Центр защиты национальной инфраструктуры США сообщил о появлении Code Red и предупредил об опасности нового варианта вируса. Но несмотря на множество публикаций, комментирующих данное сообщение, владельцы Web-серверов не спешат воспользоваться необходимыми заплатками. По некоторым оценкам, оригинальный Code Red инфицировал около 400 тыс. Web-серверов Microsoft, несмотря на то что пресса очень много писала об опасности этого червя.

По словам Купера, существует несколько категорий пользователей, которые не установили необходимые обновления. К первой относятся домашние пользователи и сотрудники небольших компаний, имеющих Web-серверы, в первую очередь те, кто является клиентами служб широкополосного Internet-доступа, например @home и RoadRunner. «Родители могут даже не знать, что их ребенок имеет Web-сервер», — заметил Купер.

Вторую категорию составляют компании, которые просто забыли о том, что в их сети intranet сохранились старые версии Web-серверы. А поскольку у них нет межсетевого экрана, устаревшие Web-серверы служат общедоступной мишенью для Code Red, когда тот осуществляет автоматический поиск новых жертв.

Наконец, новости о Code Red могли не достичь тех пользователей, которые обычно не читают бюллетени новостей, но тем не менее имеют дело с Web-серверами Microsoft, которые подвергались атаке. «В конце концов, — посетовал Купер, — нам придется выступить в каком-нибудь шоу, чтобы люди действительно нас услышали».

Элен Месмер

Поделитесь материалом с коллегами и друзьями