Как поймать зловредный код

Распространение компьютерных вирусов быстро приобретает характер эпидемии. Как лучше защитить себя и изолировать свою сеть?

Помните ли вы еще старые добрые времена, когда администраторов больше всего заботило, как эффективнее использовать имеющиеся ресурсы сети, а не то, как удалить из сети последний фрагмент враждебной программы? К сожалению, те времена давно прошли, а вот риск появления в системе какой-нибудь пакости возрастает с каждым днем. Учитывая разнообразие вредоносных программ, приходится прибегать к различным стратегиям для защиты сети от коварного, вероломного кода.

В этой статье будет рассказано о том, какую угрозу представляют собой подобные программы, реализованные как в виде традиционных вирусо-носителей ПО, так и в виде мобильного кода. Мы остановимся на вопросах, связанных с различными языками описания сценариев, ActiveX, HTML в электронной почте, вирусами, "червями", "троянскими конями" и совместно используемыми открытыми файлами. И, самое главное, вы сможете узнать, каким образом можно защитить свою сеть от такого рода угроз.

ВИРТУАЛЬНАЯ ЭПИДЕМИЯ

Практически любой код, работающий на персональном компьютере, способен на злонамеренные действия. Сегодня такая опасность, как вирусы, подстерегает на каждом шагу. В данной статье под вирусами мы будем понимать и собственно вирусы, и "черви", поскольку большая часть появившегося в последнее время вредоносного программного обеспечения имеет признаки и того и другого. По оценкам компании Network Associates, к январю 2001 г. число известных вирусов и "червей" достигло 54 тыс.

Эксперты считают, что из этого большого количества пользователи ежемесячно сталкиваются только с несколькими сотнями. Они описаны в каталоге WildList (http://www.wildlist.org), где перечисляются вирусы, встречающиеся в реальных условиях, а не в лабораториях разработчиков антивирусного программного обеспечения.

На самом деле важно не количество различных вирусов, а степень их распространения. Вирус, обнаруженный где-то далеко, в одной-единственной компании, вряд ли заставит сетевых менеджеров не спать по ночам. Совсем иное дело те программы, которые распространяются через Internet. В WildList не приводится данных о степени распространенности вирусов, а вот английская компания MessageLabs, предлагающая услуги по обнаружению вредоносных программ с помощью трех антивирусных сканеров, а также с помощью собственной эвристической технологии выявления вирусов, публикует на своем сайте Web некоторые любопытные цифры.

Когда в мае 2000 г. появился вирус LoveLetter, в течение одного месяца MessageLabs выявила более 23 тыс. сообщений, зараженных этим вирусом. В декабре их число превысило 32 тыс. Компания Anti-Virus Information Exchange Network провела неформальный опрос в организациях, в системы которых поступает большое количество сообщений. Данные этого исследования подтверждают, что такие показатели отнюдь не редкость.

ПО ЭЛЕКТРОННОЙ ПОЧТЕ

Сети становятся все более уязвимыми к инфицированным сообщениям электронной почты - этому способствует интерактивный характер приложений, незакрытые бреши в системах защиты и постоянное совершенствование вирусных программ. Вирусы, подобные Kak, LoveLetter и Prolin, способны самотиражироваться по электронной почте, используя недостатки таких программ, как Microsoft Outlook и Outlook Express. В силу активного характера каждого из этих вирусов за считанные часы могут быть разосланы тысячи инфицированных сообщений, в результате чего вирусы окажутся в системе других клиентов. Melissa, появившийся в марте 1999 г., стал первым широко распространенным размножающимся по почте вирусом и вызвал многочисленные сбои на корпоративных серверах электронной почты, буквально засыпав их огромным количеством сообщений. Созданный около года назад вирус LoveLetter точно так же поразил серверы электронной почты. По некоторым оценкам, ущерб от него в различных организациях по всему миру составил несколько миллиардов долларов.

Помимо переполнения системы электронной почты вирус может повредить файлы, переслать конфиденциальную информацию путем рассылки документов, инициировать атаку "отказ от обслуживания" (Denial of Service, DоS), изменить и удалить конфигурационные настройки, хранящиеся в памяти CMOS и во Flash BIOS системных плат некоторых типов, а также вставить политические лозунги в корпоративные документы.

Как правило, для доставки своего "смертоносного груза" вирусы используют код HTML в теле сообщения электронной почты. Вирус KakWorm - яркий тому пример. Он скрывается в подписи, передаваемой вместе с сообщениями электронной почты MS Outlook Express 5. KakWorm написан на JavaScript и распространяется через английскую и французскую версии Windows 95/98. Этот "червь" заражает систему в тот момент, когда пользователь открывает или просто просматривает инфицированное сообщение электронной почты. Поскольку многие так и не установили необходимую заплатку для Outlook, этот вирус по-прежнему широко распространен, хотя впервые он был обнаружен еще в октябре 1999 г.

На программы электронной почты MS Outlook и Outlook Express рассчитано немало вирусов, в том числе Bubble-Boy, Stages, Lucky, Melissa, NewLove и LoveLetter. Хотя некоторые из наиболее распространенных вирусов и "червей" появляются на настольной системе пользователя как код HTML в теле сообщения, многие тем не менее рассылаются в виде присоединенных файлов, зачастую с "замаскированными" расширениями. Чаще всего они представляют собой файлы в формате .doc, внутри которых находятся вредоносные макросы. Хотя количество макровирусов продолжает быстро расти, подавляющее число инцидентов связано с вирусами, рассылающими себя по электронной почте.

Десятки вирусов, подобные Freelink, KakWorm и Internal, передаются как присоединенные файлы VBScript. Если на компьютере пользователя установлен Windows Scripting Host (WSH) (в операционных системах Windows 95/98 и Windows NT/2000 он ставится по умолчанию при инсталляции Internet Explorer 5.x), то двойной щелчок на имени файла VBS приведет к немедленному запуску WSH. WSH поддерживает исполнение VBS и JavaScript в оригинальном формате.

Хотя впервые о вирусах VBS заговорили в октябре 1998 г., весь масштаб бедствия стал очевиден лишь с появлением LoveLetter. Последний использовал целый ряд недостатков программного обеспечения и продемонстрировал, как вирусы превращаются в разрушительные боеголовки. Скрываясь под другими расширениями, они путешествуют по каналам Internet Relay Chat (IRC), загружая дополнительный вредоносный код из Internet.

LoveLetter и некоторые последующие вирусы пользуются тем, что пользователи редко меняют параметры Windows, заданные по умолчанию и касающиеся вывода информации. В этом случае отображаются лишь имена файлов, без расширения, по которому можно определить тип файла. Поступая на компьютер в виде вложения к сообщению электронной почты, Файл с вирусом имеет имя LOVE-LETTER-FOR-YOU.TXT.vbs. Поскольку большинство пользователей просто не видят расширения, а те, кто видит, - интересуются только частью .txt, то присоединенный файл выглядит абсолютно безвредным. Многие щелкают на него клавишей мыши, тем самым запуская вирус.

?LoveLetter также продемонстрировал, каким образом вирус может заменить все файлы с расширением .vbs и .vbe на свое собственное VBS-содержимое. Он также действует на файлы с расширениями .js, .jse, .css, .wsh, .sct и .hta, заменяя их на расширение .vbs, в силу чего file.JS превращается в file.VBS. Кроме того, LoveLetter поражает и файлы с расширениями .jpg, .jpeg и .mp3, добавляя к полному имени файла расширение .vbs, поэтому PICTURE1.JPG становится файлом PICTURE1.JPG.VBS.

Файлы с расширениями .shs и .shb (системные файлы-фрагменты технологии Windows OLE/2) стали известны всему миру с появлением в июле 2000 г. вируса Stages. Файлы данного типа могут содержать любой исполняемый код. В силу особенностей работы Windows, в обычном случае расширения .shs и .shb в имени файла не отображаются, поэтому файл, имеющий одновременно расширения .txt и .shs, например filename.TXT.SHS, выглядит как filename.TXT. После появления LoveLetter пользователи стали тщательно следить за файлами VBS. Автор Stages изобрел новый трюк, воспользовавшись скрытым в обычном случае расширением .shs. LoveLetter размножал варианты и воспроизводил вирусы, многие с новыми, не внушающими подозрений именами для своих файлов VBS, чтобы пользователи без опаски щелкали по ним.

ДО САМОГО КОНЦА

Авторы вирусов, как правило, используют IRC в качестве средства распространения своих продуктов. Если LoveLetter или другой вирус находит определенные файлы mmIRC (популярной клиентской программы IRC), он переписывает конфигурационный файл SCRIPT.INI, заменяя его своей собственной копией, куда добавляет команды Direct Client-to-Client (DCC) SEND для пересылки копии вируса через IRC на все остальные машины, связанные с инфицированной.

Другие вирусы аналогичным образом используют файл EVENTS.INI в mIRC и pIRCH (еще одна программа клиента IRC), часто пересылая копию вируса при открытии или закрытии канала. Вирус PrettyPark, также использующий IRC, может открыть ссылку на автора вируса и передать информацию о ПК и о пользователе, а также пароли IRC.

Вирус PolyPoster - это пример программы, которая пытается переслать конфиденциальную информацию по адресам за пределами организации. Эти адреса могут быть выбраны произвольным образом из адресной книги электронной почты, быть адресами конкретных групп новостей Usenet или адресами автора вируса. Иногда документы выбираются бессистемно, а иногда выбор совершенно конкретен, как в тех случаях, когда автор вируса рассчитывает получить ценные данные, например банковские пароли. VBS/Funny - образец именно такого типа вирусов. PSW.Hooker - это "троянский конь", который хакер может сконфигурировать таким образом, чтобы тот посылал все пароли, которые будут найдены на машине, каждому, кто их востребует.

Вирус W97M/Groov.a может инициировать атаку DoS. Он включает в себя подпрограмму для организации повторных соединений FTP с сайтом компании Frisk Software, выпускающей антивирусное программное обеспечение. Аналогичный вирус, относящийся к той же категории, VBS/Netlog, создавался для сканирования адресов подсетей IP. Если в сети оказалось инфицировано достаточно большое количество машин, то трафик, передаваемый и получаемый с серверов DNS, может привести к замедлению работы сети, как при атаке "отказ от обслуживания".

Следующими в списке вредоносных программ стоят такие вирусы, как Kriz и CIH (также называемый Chernobyl). Они меняют установки CMOS и пытаются заменить содержимое Flash BIOS на некоторых системных платах ПК на свои данные, приводя тем самым компьютер в нерабочее состояние. Один из первых макровирусов - WM/Nuclear -- добавлял в документы политический лозунг, осуждающий проводимые Францией в Тихом океане ядерные испытания, чтобы оказать давление на французское правительство.

?VBS/Forgotten - это электронная почта массовой рассылки, которая использует социальный инжиниринг, чтобы "обмануть" тех, на чьих компьютерах настройки защиты Internet Explorer не разрешают запускать элементы управления ActiveX. Если вирус обнаруживает эти параметры, он отображает диалоговое окно, в котором пользователю предлагается разрешить исполнение ActiveX. В теме сообщения VBS/Forgotten указывает Financing ("Финансы"), чтобы увеличить вероятность того, что пользователь сделает "правильный" выбор.

Вирус BleBla (называемый также "Ромео и Джульетта") иллюстрирует тенденцию, проявляющуюся в среде авторов вирусов - одновременно использовать несколько слабостей Internet Explorer и Windows для доставки своего вредоносного ядра через почтовое сообщение на HTML, которое может автоматически запустить исполняемый файл с вирусом в тот момент, когда пользователь открывает сообщение. Вирус инициирует четыре различные атаки, используя недостатки IFRAME ExecCommand, Cache Bypass, scriptlet.typelib/Eyedog и HTML Help File Code Execution.

С помощью элементов IFRAME в HTML-сообщении BleBla сохраняет два своих вредоносных файла MYJULIET.CHM и MYROMEO.EXE в папку TEMP операционной системы Windows, не уведомляя об этом пользователя. Затем, используя дефект scriptlet.typelib/Eyedog, небольшой сценарий запускает скомпилированный HTML-файл MYJULIET.CHM. Этот файл содержит всего несколько строк, которые выдают команду на исполнение подписанным элементом управления скомпилированных HTML-файлов подсказки. Запущенный в результате файл MYROMEO.EXE считывает адрес из файла с адресной книгой (Windows Address Book, WAB). Затем он рассылает самого себя по адресам, перечисленным в этой книге, с помощью одного из серверов SMTP. Если Outlook на машине пользователя настроен таким образом, что сценарии из сообщений HTML не запускаются, то этот сценарий никогда исполняться не будет.

ВСЕГДА ЛИ СЛЕДУЕТ РАЗДЕЛЯТЬ?

Не использование разделяемых сетевых ресурсов Windows для распространения вредоносного кода стало практически повсеместным, особенно после того, как был создан "червь" ExplorerZip. Эти вирусы, как правило, выполняют поиск открытых разделяемых файловых ресурсов (они не обязательно должны быть смонтированы, достаточно, чтобы были разделяемыми) и заражают или удаляют определенные файлы в таких папках. Вирус Funlove.4099 не только распространяется через совместно используемые ресурсы, но также устанавливает себя как сервис NT или как скрытую программу на Windows 9x.

Некоторые вирусы, такие, как W97/Melissa.al - вариант Melissa, изменяют сетевые настройки в системном реестре, открывая полный доступ к диску C, когда разрешено его совместное использование. Эти вирусы также могут менять специальные настройки обработки клавиш, не давая пользователям возможности прервать работу приложения с помощью комбинации Ctrl+Alt+Del.

Hybris, выявленный в ноябре 2000 г., показывает направление развития будущих вирусов. Используя Web-сайт, на котором хранится дополнительный код, Hybris может постоянно совершенствоваться или меняться, загружая новые версии своего кода. Все это свидетельствует о весьма опасной тенденции, поскольку относительно безопасный вирус может стать разрушительным, если автор вируса обновит его таким образом. Hybris также использует alt.comp.virus, конференцию Usenet, для получения подключаемых модулей, которые меняют его поведение и совершенствуют его возможности.

СЛЕДИТЕ ЗА МОБИЛЬНЫМ КОДОМ

Хотя основную угрозу представляет традиционный вредоносный код, проблемы может вызвать и код иного типа. Например, внешний вид многих коммерческих сайтов Web формируется с помощью апплетов JavaScript и элементов управления ActiveX. Чтобы эта схема работала, пользователь должен загрузить данный мобильный код на настольную систему, где тот получает доступ к жесткому диску. Код такого типа может читать, удалять и изменять файлы, а кроме того, способен обращаться к файлам на компьютерах, подключенных к данному через локальную сеть.

Поскольку апплеты Java относят к не вызывающему доверия коду, они работают внутри виртуальной машины в так называемой "песочнице", теоретически это призвано ограничить выполняемые ими операции и уберечь от несанкционированных действий компьютер пользователя. Зачастую ActiveX воспринимается как более серьезная угроза, поскольку, по существу, он представляет собой компактную версию OLE, позволяющую напрямую обращаться к оригинальным вызовам Windows и связывать их с любой системной функцией.

Более того, поскольку хакер может присоединить апплет Java к электронной почте, браузер способен автоматически активировать этот апплет. Узнать, на какие разрушительные действия способно вредоносное программное обеспечение на основе JavaScript и ActiveX, можно на многих сайтах. На сайте DigiCrime приведены примеры вредоносного мобильного кода, а немобильный пример продемонстрирован на сайте Finjan.

В случае вируса I.Worm.Jer сайт может содержать программу на базе сценария VBS в теле кода HTML, которая исполняется автоматически, как только пользователь открывает инфицированную страницу HTML. Пользователь получает предупреждение от системы о наличии объекта ActiveX, в котором ему предлагается разрешить (или нет) использование этого неизвестного сценария. Если пользователь соглашается, "червь" запускается на его компьютере, создавая копию JER.HTM инфицированной страницы HTML в каталоге системы Windows и регистрируя эту страницу в разделе начальной загрузки системного реестра. Вредоносный мобильный код пока не считается столь же серьезной угрозой, как вирусы, но по мере роста числа инцидентов организациям придется предпринять определенные действия, чтобы защитить себя.

ОСТАВАЙТЕСЬ В ИГРЕ

Чтобы защитить систему от такого рода напастей, необходимо предпринять четыре основные меры: установить и поддерживать актуальное антивирусное программное обеспечение, определить необходимые настройки для приложений Internet и других типов, обучать пользователей, применять альтернативные решения для противодействия вредоносному программному обеспечению.

В большинстве организаций антивирусное программное обеспечение установлено, по крайней мере, на настольных компьютерах. Весьма разумным вложением средств было бы также добавление антивирусного программного обеспечения на шлюзы электронной почты и межсетевые экраны. Согласно данным опроса, проведенного в крупных организациях компанией Tru-Secure, большинство вирусов и другой вредоносный код попадает в систему через электронную почту. Выявление как можно большего числа потенциальных проблем на основной точке входа в систему значительно сокращает внутренние работы.

К сожалению, большая часть антивирусного программного обеспечения плохо сконфигурирована и анализирует лишь часть потенциально инфицированных объектов. В электронной почте и на настольной системе имеет смысл использовать сканер, настроенный так, чтобы он проверял все файлы. Учитывая, что документально зафиксировано более 200 типов файлов, которые могут быть инфицированы или содержать инфицированные объекты, сканированию должны подвергаться не только файлы, расширение которых совпадает с одним из предлагаемого вместе с продуктом списка из 30 или около того элементов.

Применяемые средства защиты должны быть как можно более разнообразными, в частности, антивирусные сканеры от различных производителей на каждом рубеже системы защиты: межсетевые экраны, почтовые серверы, файловые серверы и настольные системы. Эти многочисленные фильтры теоретически позволяют отсечь больше вирусов, поскольку часто разные продукты способны выявлять различные виды вредоносного программного обеспечения. Несмотря на рост затрат в случае применения различных сканеров (как правило, на разных уровнях системы защиты), преимущества перевешивают недостатки. Информацию об уровне выявления вредоносного ПО для различных антивирусных продуктов можно найти на тестовом Web-сайте Магдебургского университета по адресу: http://www.av-test.com.

Кроме того, следует иметь в виду, что заданные по умолчанию в большинстве приложений настройки защиты неадекватны реальной среде. В таблице приводятся краткие комментарии к установкам, позволяющим обеспечить максимальную безопасность для пользователей, получающих доступ в Internet через Netscape и Internet Explorer 5x. Поскольку исследователи обнаруживают все новые уязвимые места в продуктах, необходимо постоянно следить за выпуском новых заплаток. Это можно сделать, подписавшись на бюллетень новостей по вопросам защиты компании Microsoft и других компаний, отслеживающих ошибки в программном обеспечении, например на списки рассылки Security-Focus.

Еще один важный фактор - обучение пользователей. Правила, действующие вчера, сегодня уже не работают. Пользователей необходимо информировать о возможном риске, они должны быть особенно внимательны при просмотре электронной почты и работе с ней. Кроме того, важно, чтобы они предвидели неприятные последствия об изменении настроек защиты или установки программного обеспечения, не являющегося корпоративным стандартом.

АНТИВИРУСНЫЕ АЛЬТЕРНАТИВЫ

Очень важно использовать альтернативные антивирусные решения. Само по себе применение антивирусных сканеров и настроек защиты в различных приложениях не обеспечивает адекватной защиты от вредоносного программного обеспечения. Антивирусные сканеры необходимо постоянно обновлять, хотя быстро распространяющиеся вирусы могут опередить эти модернизации.

Единственный способ избежать воздействия вредоносного программного обеспечения - блокировать подозрительные файлы на межсетевом экране или на шлюзе электронной почты. Многие организации сейчас блокируют все входящие присоединенные файлы, имеющие следующие, потенциально опасные расширения: .exe, .com, .scr, .hta, .hto, .asf, .chm, .shs, .pif. Другие устанавливают еще более жесткие фильтры, блокируя файлы с расширениями: .ade, .adp, .bas, .bat, .cmd, .cnt, .cpl, .crt, .css, .hlp, .inf, .ins, .isp, .js, .jse, .lnk, .mdb, .mde, .msc, .msi, .msp, .mst, .pcd, .reg, .sct, .shb, .url, .vb, .vbe, .vbs, .wsc, .wsf и .wsh.

Те, кто использует такой подход, сообщают, что перехват этих файлов на шлюзе позволяет существенно сократить число инцидентов, связанных с действиями вредоносного программного обеспечения. Пауль Л. Шмел, руководитель службы поддержки в Техасском университете, подчеркивает: "Фильтрация по расширению файла на нашем шлюзе значительно сократила число появлений вирусов в университетских системах. Мы не только блокируем таким образом известные вирусы, но и можем остановить неизвестные вирусы, попадающие на наш шлюз, еще за двое суток до того, как их "обнаружит" какой-нибудь производитель".

Помимо программного обеспечения для сканирования на наличие вируов есть еще, например, блокираторы действий, программы контроля доступа и модули проверки целостности. Эти программы препятствуют совершению злонамеренных действий или модификации существующих файлов, а не сканируют файлы в поиске известного вредоносного программного обеспечения. Такой подход обеспечивает дополнительную защиту от атак, осуществляемых с помощью ActiveX, Java и другого разрушительного невирусного кода.

?Подобные функции выполняют продукты таких производителей, как Aladdin, Computer Associates, Finjan, Indefense, Pelican Security, Sandbox Security, Stiller Research и Trend Micro. Они выявляют вредоносный код Java и ActiveX либо путем использования списков известных блоков кода, либо посредством выявления вредоносных действий.

Хотя большинство корпораций пока не применяет подобную технологию, со временем она станет использоваться очень широко. Применение сканирования в поисках все большего количества образцов вредоносного кода оказывается неэффективным. Кроме того, вам не нужно постоянно модернизировать программное обеспечение этого типа, поскольку защита осуществляется за счет устранения проблем, а не их виновников.

КАК ИЗБЕЖАТЬ ШОКА

Вирусы и другое вредоносное программное обеспечение становятся все более разнообразными, поэтому для создания максимально надежной защиты организациям следует принимать превентивные меры. LoveLetter стал кошмарным напоминанием о том, насколько большой финансовый ущерб могут нанести такие программы. Эти проблемы остаются. Лишь неослабевающий контроль и блокировка всех пострадавших систем увеличат вероятность успеха в обеспечении изоляции вашей сети.