1. Поширення комп'ютерних вірусів швидко набуває характеру епідемії. Як краще захистити себе і ізолювати...
2. Віртуальна ЕПІДЕМІЯ
3. ПО ЕЛЕКТРОННІЙ ПОШТІ
4. ДО САМОГО КІНЦЯ
5. ЗАВЖДИ БУДЕ РОЗДІЛЯТИ?
6. Слідкуйте за МОБІЛЬНИМ КОДОМ
7. ЗАЛИШАЙТЕСЯ У ГРІ
8. антивірусні АЛЬТЕРНАТИВИ
9. ЯК УНИКНУТИ ШОКУ

Поширення комп'ютерних вірусів швидко набуває характеру епідемії. Як краще захистити себе і ізолювати свою мережу?

Чи пам'ятаєте ви ще старі добрі часи, коли адміністраторів найбільше турбувало, як ефективніше використовувати наявні ресурси мережі, а не те, як видалити з мережі останній фрагмент ворожої програми? На жаль, ті часи давно пройшли, а ось ризик появи в системі будь-якої капості зростає з кожним днем. З огляду на різноманітність шкідливих програм, доводиться вдаватися до різних стратегій для захисту мережі від підступного, зрадливого коду.

У цій статті буде розказано про те, яку загрозу являють собою подібні програми, реалізовані як у вигляді традиційних вірус-носіїв ПО, так і у вигляді мобільного коду. Ми зупинимося на питаннях, пов'язаних з різними мовами опису сценаріїв, ActiveX, HTML в електронній пошті, вірусами, "хробаками", "троянськими кіньми" і спільно використовуваними відкритими файлами. І, найголовніше, ви зможете дізнатися, яким чином можна захистити свою мережу від такого роду загроз.

Віртуальна ЕПІДЕМІЯ

Практично будь-який код, який працює на персональному комп'ютері, здатний на зловмисні дії. Сьогодні така небезпека, як віруси, підстерігає на кожному кроці. У даній статті під вірусами ми будемо розуміти і власне віруси, і "черв'яки", оскільки велика частина з'явився останнім часом шкідливого програмного забезпечення має ознаки і того і іншого. За оцінками компанії Network Associates, до січня 2001 р число відомих вірусів і "черв'яків" досягло 54 тис.

Експерти вважають, що з цього великої кількості користувачі щомісяця стикаються тільки з кількома сотнями. Вони описані в каталозі WildList ( http://www.wildlist.org ), Де перераховуються віруси, що зустрічаються в реальних умовах, а не в лабораторіях розробників антивірусного програмного забезпечення.

Насправді важливо не кількість різних вірусів, а ступінь їх поширення. Вірус, виявлений десь далеко, в одній-єдиній компанії, навряд чи змусить мережевих менеджерів не спати ночами. Зовсім інша річ ті програми, які поширюються через Internet. У WildList не наводиться даних про ступінь поширеності вірусів, а ось англійська компанія MessageLabs, що пропонує послуги по виявленню шкідливих програм за допомогою трьох антивірусних сканерів, а також за допомогою власної евристичної технології виявлення вірусів, публікує на своєму сайті Web деякі цікаві цифри.

Коли в травні 2000 р з'явився вірус LoveLetter, протягом одного місяця MessageLabs виявила понад 23 тис. Повідомлень, заражених цим вірусом. У грудні їх число перевищило 32 тис. Компанія Anti-Virus Information Exchange Network провела неформальний опитування в організаціях, в системи яких надходить велика кількість повідомлень. Дані цього дослідження підтверджують, що такі показники аж ніяк не рідкість.

ПО ЕЛЕКТРОННІЙ ПОШТІ

Мережі стають все більш уразливими до інфікованим повідомленнями електронної пошти - цьому сприяє інтерактивний характер додатків, незакриті проломи в системах захисту та постійне вдосконалення вірусних програм. Віруси, подібні Kak, LoveLetter і Prolin, здатні самотіражіроваться по електронній пошті, використовуючи недоліки таких програм, як Microsoft Outlook і Outlook Express. В силу активного характеру кожного з цих вірусів за лічені години можуть бути розіслані тисячі інфікованих повідомлень, в результаті чого віруси виявляться в системі інших клієнтів. Melissa, що з'явився в березні 1999 року, став першим широко поширеним розмножуються поштою вірусом і викликав численні збої на корпоративних серверах електронної пошти, буквально засипавши їх величезною кількістю повідомлень. Створений близько року тому вірус LoveLetter точно так же вразив сервери електронної пошти. За деякими оцінками, збиток від нього в різних організаціях по всьому світу склав кілька мільярдів доларів.

Крім переповнення системи електронної пошти вірус може призвести до пошкодження файлів, переслати конфіденційну інформацію шляхом розсилки документів, ініціювати атаку "відмова від обслуговування" (Denial of Service, DоS), змінити і видалити конфігураційні налаштування, що зберігаються в пам'яті CMOS і у Flash BIOS системних плат деяких типів , а також вставити політичні гасла в корпоративні документи.

Як правило, для доставки свого "смертоносного вантажу" віруси використовують код HTML в тілі повідомлення електронної пошти. Вірус KakWorm - яскравий тому приклад. Він ховається в підпису, переданої разом з повідомленнями електронної пошти MS Outlook Express 5. KakWorm написаний на JavaScript і поширюється через англійську та французьку версії Windows 95/98. Цей "черв'як" заражає систему в той момент, коли користувач відкриває або просто переглядає інфіковане повідомлення електронної пошти. Оскільки багато так і не встановили необхідну латочку для Outlook, цей вірус як і раніше широко поширений, хоча вперше він був виявлений ще в жовтні 1999 р

На програми електронної пошти MS Outlook і Outlook Express розраховане чимало вірусів, в тому числі Bubble-Boy, Stages, Lucky, Melissa, NewLove і LoveLetter. Хоча деякі з найбільш поширених вірусів і "черв'яків" з'являються на настільній системі користувача як код HTML в тексті листа, багато проте розсилаються у вигляді приєднаних файлів, часто з "замаскованими" розширеннями. Найчастіше вони являють собою файли в форматі .doc, всередині яких знаходяться шкідливі макроси. Хоча кількість макровірусів продовжує швидко рости, переважна кількість інцидентів пов'язано з вірусами, що розсилають себе по електронній пошті.

Десятки вірусів, подібні Freelink, KakWorm і Internal, передаються як приєднані файли VBScript. Якщо на комп'ютері користувача встановлено Windows Scripting Host (WSH) (в операційних системах Windows 95/98 і Windows NT / 2000 він ставиться за замовчуванням при інсталяції Internet Explorer 5.x), то подвійне клацання на імені файлу VBS призведе до негайного запуску WSH. WSH підтримує виконання VBS і JavaScript в оригінальному форматі.

Хоча вперше про віруси VBS заговорили в жовтні 1998 р, весь масштаб лиха став очевидним лише з появою LoveLetter. Останній використовував цілий ряд недоліків програмного забезпечення і продемонстрував, як віруси перетворюються в руйнівні боєголовки. Ховаючись під іншими розширеннями, вони подорожують по каналах Internet Relay Chat (IRC), завантажуючи додатковий шкідливий код з Internet.

LoveLetter і деякі наступні віруси користуються тим, що користувачі рідко змінюють параметри Windows, задані за замовчуванням і стосуються виведення інформації. В цьому випадку відображаються лише імена файлів, без розширення, за яким можна визначити тип файлу. Поступаючи на комп'ютер у вигляді вкладення до повідомлення електронної пошти, Файл з вірусом має ім'я LOVE-LETTER-FOR-YOU.TXT.vbs. Оскільки більшість користувачів просто не бачать розширення, а ті, хто бачить, - цікавляться тільки частиною .txt, то приєднаний файл виглядає абсолютно нешкідливим. Багато клацають на нього клавішею миші, тим самим запускаючи вірус.

? LoveLetter також продемонстрував, яким чином вірус може замінити всі файли з розширенням .vbs і .vbe на своє власне VBS-вміст. Він також діє на файли з розширеннями .js, .jse, .css, .wsh, .sct і .hta, замінюючи їх на розширення .vbs, в силу чого file.JS перетворюється в file.VBS. Крім того, LoveLetter вражає і файли з розширеннями .jpg, .jpeg і .mp3, додаючи до повного імені файлу розширення .vbs, тому PICTURE1.JPG стає файлом PICTURE1.JPG.VBS.

Файли з розширеннями .shs і .shb (системні файли-фрагменти технології Windows OLE / 2) стали відомі всьому світу з появою в липні 2000 р вірусу Stages. Файли даного типу можуть містити будь-який виконуваний код. В силу особливостей роботи Windows, в звичайному випадку розширення .shs і .shb в імені файлу не відображаються, тому файл, який має одночасно розширення .txt і .shs, наприклад filename.TXT.SHS, виглядає як filename.TXT. Після появи LoveLetter користувачі стали ретельно стежити за файлами VBS. Автор Stages винайшов новий трюк, скориставшись прихованим в звичайному випадку розширенням .shs. LoveLetter розмножував варіанти і відтворював віруси, багато з новими, що не вселяють підозр іменами для своїх файлів VBS, щоб користувачі без побоювання клацали по ним.

ДО САМОГО КІНЦЯ

Автори вірусів, як правило, використовують IRC як засіб поширення своїх продуктів. Якщо LoveLetter або інший вірус знаходить певні файли mmIRC (популярної клієнтської програми IRC), він переписує конфігураційний файл SCRIPT.INI, замінюючи його своїм власним копією, куди додає команди Direct Client-to-Client (DCC) SEND для пересилання копії вірусу через IRC на всі інші машини, пов'язані з інфікованою.

Інші віруси аналогічним чином використовують файл EVENTS.INI в mIRC і pIRCH (ще одна програма клієнта IRC), часто пересилаючи копію вірусу при відкритті або закритті каналу. Вірус PrettyPark, також використовує IRC, може відкрити посилання на автора вірусу і передати інформацію про ПК і про користувача, а також паролі IRC.

Вірус PolyPoster - це приклад програми, яка намагається переслати конфіденційну інформацію за адресами за межами організації. Ці адреси можуть бути обрані довільним чином з адресної книги електронної пошти, бути адресами конкретних груп новин Usenet або адресами автора вірусу. Іноді документи вибираються безсистемно, а іноді вибір абсолютно конкретний, як в тих випадках, коли автор вірусу розраховує отримати цінні дані, наприклад банківські паролі. VBS / Funny - зразок саме такого типу вірусів. PSW.Hooker - це "троянський кінь", який хакер може налаштувати таким чином, щоб той посилав всі паролі, які будуть знайдені на машині, кожному, хто їх зажадає.

Вірус W97M / Groov.a може ініціювати атаку DoS. Він включає в себе підпрограму для організації повторних з'єднань FTP з сайтом компанії Frisk Software, яка випускає антивірусне програмне забезпечення. Аналогічний вірус, що відноситься до тієї ж категорії, VBS / Netlog, створювався для сканування адрес підмереж IP. Якщо в мережі виявилося інфіковано досить велика кількість машин, то трафік, що передається і отримується з серверів DNS, може привести до уповільнення роботи мережі, як при атаці "відмова від обслуговування".

Наступними в списку шкідливих програм коштують такі віруси, як Kriz і CIH (також званий Chernobyl). Вони змінюють установки CMOS і намагаються замінити вміст Flash BIOS на деяких системних платах ПК на свої дані, приводячи тим самим комп'ютер в неробочий стан. Один з перших макровірусів - WM / Nuclear - додавав в документи політичне гасло, що засуджує проведені Францією в Тихому океані ядерні випробування, щоб чинити тиск на французький уряд.

? VBS / Forgotten - це електронна пошта масової розсилки, яка використовує соціальний інжиніринг, щоб "обдурити" тих, на чиїх комп'ютерах настройки захисту Internet Explorer не дозволяють запускати елементи керування ActiveX. Якщо вірус виявляє ці параметри, він відображає діалогове вікно, в якому користувачеві пропонується дозволити виконання ActiveX. У темі повідомлення VBS / Forgotten вказує Financing ( "Фінанси"), щоб збільшити ймовірність того, що користувач зробить "правильний" вибір.

Вірус BleBla (званий також "Ромео і Джульєтта") ілюструє тенденцію, яка виявляється в середовищі авторів вірусів - одночасно використовувати кілька слабкостей Internet Explorer і Windows для доставки свого шкідливого ядра через поштове повідомлення на HTML, яке може автоматично запустити виконуваний файл з вірусом в той момент , коли користувач відкриває повідомлення. Вірус ініціює чотири різні атаки, використовуючи недоліки IFRAME ExecCommand, Cache Bypass, scriptlet.typelib / Eyedog і HTML Help File Code Execution.

За допомогою елементів IFRAME в HTML-повідомленні BleBla зберігає два своїх шкідливих файлу MYJULIET.CHM і MYROMEO.EXE в папку TEMP операційної системи Windows, не повідомляючи про це користувача. Потім, використовуючи дефект scriptlet.typelib / Eyedog, невеликий сценарій запускає скомпільований HTML-файл MYJULIET.CHM. Цей файл містить всього кілька рядків, які видають команду на виконання підписаного елементом управління скомпільованих HTML-файлів підказки. Запущений в результаті файл MYROMEO.EXE зчитує адресу з файлу з адресною книгою (Windows Address Book, WAB). Потім він розсилає самого себе за адресами, перерахованим в цій книзі, за допомогою одного з серверів SMTP. Якщо Outlook на машині користувача налаштований таким чином, що сценарії з повідомлень HTML не запускаються, то цей сценарій ніколи виконуватися не буде.

ЗАВЖДИ БУДЕ РОЗДІЛЯТИ?

Невикористання мережевих ресурсів Windows для поширення шкідливого коду стало практично повсюдним, особливо після того, як був створений "хробак" ExplorerZip. Ці віруси, як правило, виконують пошук відкритих поділюваних файлових ресурсів (вони не обов'язково повинні бути змонтовані, досить, щоб були розділяються) і заражають або видаляють певні файли в таких папках. Вірус Funlove.4099 не тільки поширюється через спільно використовувані ресурси, але також встановлює себе як сервіс NT або як приховану програму на Windows 9x.

Деякі віруси, такі, як W97 / Melissa.al - варіант Melissa, змінюють мережеві настройки в системному реєстрі, відкриваючи повний доступ до диска C, коли дозволено його спільне використання. Ці віруси також можуть змінювати спеціальні настройки обробки клавіш, не даючи користувачам можливості перервати роботу програми за допомогою комбінації Ctrl + Alt + Del.

Hybris, виявлений в листопаді 2000 р, показує напрямок розвитку майбутніх вірусів. Використовуючи Web-сайт, на якому зберігається додатковий код, Hybris може постійно удосконалюватися або змінюватися, завантажуючи нові версії свого коду. Все це свідчить про досить небезпечну тенденцію, оскільки відносно безпечний вірус може стати руйнівним, якщо автор вірусу оновить його таким чином. Hybris також використовує alt.comp.virus, конференцію Usenet, для отримання додаткових модулів, які змінюють його поведінку і вдосконалюють його можливості.

Слідкуйте за МОБІЛЬНИМ КОДОМ

Хоча основну загрозу представляє традиційний шкідливий код, проблеми може викликати і код іншого типу. Наприклад, зовнішній вигляд багатьох комерційних сайтів Web формується за допомогою аплетів JavaScript і елементів управління ActiveX. Щоб ця схема працювала, користувач повинен завантажити даний мобільний код на настільну систему, де той отримує доступ до жорсткого диска. Код такого типу може читати, видаляти і змінювати файли, а крім того, здатний звертатися до файлів на комп'ютерах, підключених до даного через локальну мережу.

Оскільки аплети Java відносять до безумовних довіри коду, вони працюють всередині віртуальної машини в так званій "пісочниці", теоретично це покликане обмежити операції вони виконують і вберегти від несанкціонованих дій комп'ютер користувача. Найчастіше ActiveX сприймається як більш серйозна загроза, оскільки, по суті, він являє собою компактну версію OLE, що дозволяє безпосередньо звертатися до оригінальних викликам Windows і пов'язувати їх з будь-якої системної функцією.

Більш того, оскільки хакер може приєднати аплет Java до електронної пошти, браузер здатний автоматично активувати цей аплет. Дізнатися, на які руйнівні дії здатне шкідливе програмне забезпечення на основі JavaScript і ActiveX, можна на багатьох сайтах. На сайті DigiCrime наведені приклади шкідливого мобільного коду, а немобільний приклад продемонстрований на сайті Finjan.

У разі вірусу I.Worm.Jer сайт може містити програму на базі сценарію VBS в тілі коду HTML, яка виповнюється автоматично, як тільки користувач відкриває інфіковану сторінку HTML. Користувач отримує попередження від системи про наявність об'єкта ActiveX, в якому йому пропонується дозволити (чи ні) використання цього невідомого сценарію. Якщо користувач погоджується, "хробак" запускається на його комп'ютері, створюючи копію JER.HTM інфікованої сторінки HTML в каталозі системи Windows і реєструючи цю сторінку в розділі початкового завантаження системного реєстру. Шкідливий мобільний код поки не вважається настільки ж серйозною загрозою, як віруси, але в міру зростання числа інцидентів організаціям доведеться зробити певні дії, щоб захистити себе.

ЗАЛИШАЙТЕСЯ У ГРІ

Щоб захистити систему від такого роду напастей, необхідно вжити чотири основні заходи: встановити і підтримувати актуальне антивірусне програмне забезпечення, визначити необхідні настройки для додатків Internet і інших типів, навчати користувачів, застосовувати альтернативні рішення для захисту від шкідливого програмного забезпечення.

У більшості організацій антивірусне програмне забезпечення встановлено, по крайней мере, на настільних комп'ютерах. Досить розумним вкладенням коштів було б також додавання антивірусного програмного забезпечення на шлюзи електронної пошти та міжмережеві екрани. Згідно з даними опитування, проведеного в великих організаціях компанією Tru-Secure, більшість вірусів і інший шкідливий код потрапляє в систему через електронну пошту. Виявлення якомога більшого числа потенційних проблем на основний точці входу в систему значно скорочує внутрішні роботи.

На жаль, велика частина антивірусного програмного забезпечення погано сконфигурирована і аналізує лише частина потенційно інфікованих об'єктів. В електронній пошті і на настільній системі має сенс використовувати сканер, налаштований так, щоб він перевіряв всі файли. З огляду на, що документально зафіксовано понад 200 типів файлів, які можуть бути інфіковані або містити інфіковані об'єкти, скануванню повинні піддаватися не тільки файли, розширення яких збігається з одним з пропонованого разом з продуктом списку з 30 або близько того елементів.

Застосовувані засоби захисту повинні бути якомога різноманітнішими, зокрема, антивірусні сканери від різних виробників на кожному рубежі системи захисту: міжмережеві екрани, поштові сервери, файлові сервери і настільні системи. Ці численні фільтри теоретично дозволяють відсікти більше вірусів, оскільки часто різні продукти здатні виявляти різні види шкідливого програмного забезпечення. Незважаючи на зростання витрат у разі застосування різних сканерів (як правило, на різних рівнях системи захисту), переваги переважують недоліки. Інформацію про рівень виявлення шкідливого ПО для різних антивірусних продуктів можна знайти на тестовому Web-сайті Магдебурзького університету за адресою: http://www.av-test.com .

Крім того, слід мати на увазі, що задані за замовчуванням в багатьох програмах настройки захисту неадекватні реальному середовищі. У таблиці наводяться короткі коментарі до установок, що дозволяє забезпечити максимальну безпеку для користувачів, які отримують доступ в Internet через Netscape і Internet Explorer 5x. Оскільки дослідники знаходять все нові вразливі місця в продуктах, необхідно постійно стежити за випуском нових латочок. Це можна зробити, підписавшись на бюлетень новин з питань захисту компанії Microsoft та інших компаній, які відстежують помилки в програмному забезпеченні, наприклад на списки розсилки Security-Focus.

Ще один важливий фактор - навчання користувачів. Правила, що діють вчора, сьогодні вже не працюють. Користувачів необхідно інформувати про можливий ризик, вони повинні бути особливо уважні при перегляді електронної пошти та роботі з неї. Крім того, важливо, щоб вони передбачали неприємні наслідки про зміну налаштувань захисту або установки програмного забезпечення, яка не є корпоративним стандартом.

антивірусні АЛЬТЕРНАТИВИ

Дуже важливо використовувати альтернативні антивірусні рішення. Саме по собі застосування антивірусних сканерів і налаштувань захисту в різних додатках не забезпечує адекватного захисту від шкідливого програмного забезпечення. Антивірусні сканери необхідно постійно оновлювати, хоча швидко поширюються віруси можуть випередити ці модернізації.

Єдиний спосіб уникнути впливу шкідливого програмного забезпечення - блокувати підозрілі файли на межсетевом екрані або на шлюзі електронна пошта. Багато організацій зараз блокують всі вхідні приєднані файли, що мають такі, потенційно небезпечні розширення: .exe, .com, .scr, .hta, .hto, .asf, .chm, .shs, .pif. Інші встановлюють ще більш жорсткі фільтри, блокуючи файли з розширеннями: .ade, .adp, .bas, .bat, .cmd, .cnt, .cpl, .crt, .css, .hlp, .inf, .ins, .isp , .js, .jse, .lnk, .mdb, .mde, .msc, .msi, .msp, .mst, .pcd, .reg, .sct, .shb, .url, .vb, .vbe,. vbs, .wsc, .wsf і .wsh.

Ті, хто використовує такий підхід, повідомляють, що перехоплення цих файлів на шлюзі дозволяє істотно скоротити число інцидентів, пов'язаних з діями шкідливого програмного забезпечення. Пауль Л. джмеля, керівник служби підтримки в Техаському університеті, підкреслює: "Фільтрація з розширення файли на нашому шлюзі значно скоротила число появ вірусів в університетських системах. Ми не тільки блокуємо таким чином відомі віруси, а й можемо зупинити невідомі віруси, що потрапляють на наш шлюз, ще за дві доби до того, як їх "виявить" який-небудь виробник ".

Крім програмного забезпечення для сканування на наявність виру є ще, наприклад, блокатори дій, програми контролю доступу та модулі перевірки цілісності. Ці програми перешкоджають здійсненню зловмисних дій або модифікації існуючих файлів, а не сканують файли в пошуку відомого шкідливого програмного забезпечення. Такий підхід забезпечує додаткову захист від атак, що здійснюються за допомогою ActiveX, Java і іншого руйнівного невірусного коду.

? Подібні функції виконують продукти таких виробників, як Aladdin, Computer Associates, Finjan, Indefense, Pelican Security, Sandbox Security, Stiller Research та Trend Micro. Вони виявляють шкідливий код Java і ActiveX або шляхом використання списків відомих блоків коду, або за допомогою виявлення шкідливих дій.

Хоча більшість корпорацій поки не застосовує подібну технологію, з часом вона стане використовуватися дуже широко. Застосування сканування в пошуках все більшої кількості зразків шкідливого коду виявляється неефективним. Крім того, вам не потрібно постійно модернізувати програмне забезпечення цього типу, оскільки захист здійснюється за рахунок усунення проблем, а не їх винуватців.

ЯК УНИКНУТИ ШОКУ

Віруси і інше шкідливе програмне забезпечення стають все більш різноманітними, тому для створення максимально надійного захисту організаціям слід вживати превентивних заходів. LoveLetter став кошмарним нагадуванням про те, наскільки великий фінансовий збиток можуть завдати такі програми. Ці проблеми залишаються. Лише неослабний контроль і блокування всіх постраждалих систем збільшать ймовірність успіху в забезпеченні ізоляції вашої мережі.

Роберт Виберт - автор "Корпоративної антивірусної книги" ( "The Enterprise Anti-Virus Book"). З ним можна зв'язатися за адресою: [email protected] .