 На фоне повальной эпидемии Интернет-червей представляется весьма уместным рассказать как о механизмах их распространения, так и о способах выявления, предотвращения и удаления заразы. Насколько мне известно, до сих пор нет ни одной статьи в полной мере, освещающей эту проблему. Большинство авторов в основном упираются в несколько вирусов и в качестве основного средства лечения предлагают использовать антивирус, что, во-первых, сильно смахивает на рекламу (антивируса), а во-вторых, подавляющее большинство пользователей крайне неохотно и не оперативно обновляют антивирусные базы, в результате чего беда не заставляет себя ждать. ИсторияИсторически сложилось так, что титул первого Интернет-червя закрепился за так называемым "Вирусом Морриса", а некоторые даже присуждают ему звание первого компьютерного вируса вообще. На самом же деле это предположение неверно.
Черви в изобилии водились в глобальных (локальных) сетях еще до Морриса, и "заслуга" последнего состоит лишь в том, что ошибки, допущенные при реализации вируса, привели к чрезмерной активности червя и, как следствие, - колоссально возросшему сетевому трафику, который межсетевые узлы просто не смогли обрабатывать! Случившийся паралич сети вызвал массовую истерию сродни той, что сопровождалась недавней атакой на SQL-серверы. Тем не менее, никаких уроков из случившегося человечество так и не извлекло. Ведущие разработчики ПО по-прежнему не несут никакой ответственности за его качество и не предпринимают ничего, чтобы это качество хоть немного повысить. Вместо того, чтобы сконцентрироваться на одной конкретной версии и довести ее до ума, компании предпочитают вкладывать деньги в наращивание избыточной функциональности продукта, только преумножающей его дыры. В 1992 году, если верить "Вирусной Энциклопедии" Евгения Касперского, "…вирусы для не IBM-PC и не MS-DOS практически забыты: "дыры" в глобальных сетях закрыты, ошибки исправлены, и сетевые вирусы-черви потеряли возможность для распространения". Утверждение насчет отсутствия дыр - это сильно, но слишком уж неубедительно. Многие из дыр, обнаруженных еще до червя Морриса остаются не заткнутыми до сих пор, не говоря уже о том, что буквально каждый день обнаруживаются все новые. "Дальше так жить нельзя" (с) Анекдот. Современная ситуацияПо данным Лаборатории Касперского на сегодняшний день популярность различных типов сетевых червей распределяется так:первое место занимают почтовые черви, на долю которых приходится 95,6% всех сетевых червей вообщена втором месте с большим отрывом идут LAN-черви, использующие для своего распространения протоколы локальных сетей и удерживающие 2,5% "рынка" сетевых червейтретье место занимают чуть менее популярные P2P-черви, распространяющиеся по Peer-to-Peer сетям (таким, например, как KaZaA) - 1,7%и наконец, четвертое место с боем удерживают IRC-черви, распространяющиеся по каналам IRC (Internet Relay Chat) и удерживающие лишь 0,2%.В силу указанных обстоятельств, наибольший интерес представляют именно почтовые черви, поэтому основной упор статьи будет сделан именно на них. Механизмы распространения червейЖизненный цикл любого вируса (и червя в частности) начинается с процесса доставки его тела на целевой компьютер. Почтовые черви, как это и следует из их названия, внедряются в электронную почту и попадают в почтовый ящик жертвы вместе с зараженным письмом. Однако любой программный код сам по себе инертен, т. е. не способен ни на какие самостоятельные действия и для активации вируса операционная система должна явным или неявным способом передать ему управление. Ну, с "явным" способом все более или менее ясно. Приходит некоему пользователю письмо, ненавязчиво предлагающее запустить вложенную в него программу (порой тщательно замаскированную под звуковой файл или графическое изображение). Если жертва окажется слишком наивной (жадной/доверчивой/глупой), то вирус имеет хорошие шансы захватить бразды правления в свои руки. Пресечь такой способ распространения вирусов очень просто - достаточно не открывать никакие файлы, полученные из сети. Менее жесткая мера - открывать лишь те файлы, которые заведомо не содержат исполняемого кода, и/или присланы тем адресатом, кому вы безоговорочно доверяете. По моим наблюдениям, порядка 99% сетевых червей данного типа приходят от совершенно неизвестных жертве лиц либо же выдают себя несвойственным "отправителю" стилем письма. Оставшийся 1% приходится на умышленные заражения и сигнализирует о том, что жертвам следует сузить свой круг общения, исключив из него всех потенциально неблагонадежных адресатов. К сожалению, даже предприняв весь комплекс описанных выше защитных мер, вы не сможете полностью обезопасить себя и свой компьютер, - ведь ряд вирусов получают управление неявно, т. е. без каких-либо действий со стороны пользователя вообще! Ошибки реализации (или, попросту, "дыры") используемых жертвой программ, приводят к тому, что полученные из сети данные компьютер молчаливо интерпретирует как исполняемый код со всеми вытекающими отсюда последствиями. Иногда приходится слышать: дескать, без действий пользователя здесь все равно не обходится и, чтобы вирус захватил управление, жертва как минимум должна запустить почтового клиента и получить письмо (читать его совсем необязательно, некоторые вирусы активируются уже на стадии загрузки письма с сервера). А это - какие ни какие, а все таки действия! На самом деле, для заражения обращаться к каким бы то ни было серверам совершенно необязательно, - каждый компьютер, подключенный к сети, обязан принимать все присланные на его имя пакеты, независимо от того, запрашивал он их или нет (принятый пакет потом, конечно, можно и прибить, если окажется что он не "наш", но - обратите свое внимание - это будет уже потом). Наличие ошибок в модулях TCP/IP позволяет вирусам (пусть и теоретически) заражать компьютер посылкой всего одного-единственного TCP - или даже IP-пакета! От пользователя же требуется только одно - установить на свой компьютер уязвимую операционную систему и войти в Интернет, т. е. не сделать ровным счетом ничего! ("ничего" - потенциально опасного с его точки зрения имеется ввиду).
|