Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Специальный выпуск 35_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

12.09 Mб

Скачать

☆

<<< < Предыдущая 12 / 142 3 4 5 6 7 8 9 10 11 12 13 14 > Следующая >>>

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Вирусы в e-mail. По данным MessageLabs

Сетевой червь Melting

наивности запустит инфицированный файл.

Помнишь Klez? Конечно, помнишь. Я просто не могу обойти его стороной. Этот червь-легенда заразил за свою жизнь сотни тысяч компьютеров. Что ему было нужно? Только уязвимое программное обеспечение в лице Outlook и Internet Explorer. И не стоит думать, что виноваты во всем ребята из Microsoft, напротив, они заблаговременно выпустили необходимый патч. Нельзя во всем винить и пользователей - ну, забыли некоторые установить hot-fix или сервис-пак. Ни- чего не поделаешь. Жизнь такая. Наметанный глаз сразу углядит - проблема в другом: сама технология "червь+дыра" позволяет таким вот монстрам безнаказанно распространяться по всему миру. Червь запускается при щелчке пользователя на самом письме в Outlook. Казалось бы, всего ничего, а компьютер уже под властью пришельца.

Но смерть интернета путем заражения всех или подавляющего большинства компьютеров - это не единственное, чего все боятся. Помимо таких общих вопросов, как "интернет упадет", есть более насущные проблемы бизнеса. Бизнес сейчас контралируют страны, прессу, образование и т.д. Интересы бизнеса - это то, что заботит сильных мира сего куда больше мировых проблем. Поверь, никто и не заметил бы, как разбомбили Ирак, если бы не арабская нефть. Своя рубашка ближе к телу. Казалось

	11
áû, êàê ýòî âñå	вреда он не причинил. Во-первых, у
связано с чер-	нас было не очень много компаний
вями? Компа-	с большим количеством компьюте-
нии терпят ог-	ров. Их и сейчас немного, но 3 года
ромные убытки	назад было еще меньше. Во-вто-
из-за простоя	рых, большинство российских ком-
ПК, потери	паний используют Антивирус Кас-
нужной инфор-	перского, который изначально да-
мации и необ-	вал иммунитет к LoveLetter. Инте-
ходимости вос-	ресно, что ребята из "Лаборатории
становления	Касперского" предсказали появле-
множества ма-	íèå LoveLetter åùå çà ãîä èëè äâà
шин. Не стоит	до реальных событий. Конечно, они
забывать, что	не знали, что тело вируса будет лю-
подавляющее	бовным письмом, но предугадали
большинство	технологию, которую вирус исполь-
офисных сот-	зовал для заражения компьютера.
рудников не	Как часто бывает, никто им не по-
сильно разби-	верил. Но наши парни реализовали
раются в виру-	эвристическую защиту от гадов та-
сах, червях и	кого типа в модуле под названием
прочей заразе.	ScriptChecker (он входит в состав
Их стоит защи-	любого дистрибутива Антивируса
ùàòü äàæå îò	Касперского). В результате, когда
обычных червя-	LoveLetter добрался до нас, ни
ков с надписью	îäèí êëиент "Лаборатории" так с
"Запусти меня!"	этим червем и не познакомился.
À òóò åùå è ñà-	Это хороший эпизод из истории
мозапускаю-	борьбы с червями. Но плохих эпизо-
щийся гад поя-	дов больше. Во сколько обходится
вился... Еще раз	простой серверов, на которых раз-
напомню о	мещается сетевой магазин, или
LoveLetter, êî-	простой компьютеров в банке? Это

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha
								Û
								Ñ
								Ó
								Ð
								È
								Â

Интересно, что ребята из "Лаборатории Касперского" предсказали

появление LoveLetter еще за год или два до реальных событий.

торый за месяц своей жизни в	астрономические суммы. И никому
2000 году нанес мировой экономи-	не хочется их терять только потому,
ке урон в 8,75 млрд. долларов (по	что какой-то шалун написал малень-
данным "Лаборатории Касперско-	кую программку, которая ставит на
го"). Нам, правда, в России особого	колени целые сети.	»

Исполняемый вирус Hanta

Какой человек удержится от соблазна прочесть любовное письмо от своего коллеги? Это психология. Психология прошлого. Сегодня она никому не нужна.

В том-то и дело, что проблема "пользователя, которому надо что-то впаривать" уже сошла на нет.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY						12
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha
	Û
	Ñ
	Ó
	Ð
	È
	Â

ВИРУСЫ СЪЕДЯТ ЛИ ЧЕРВИ ИНТЕРНЕТ?

Скрипт для Corel Draw под названием Gala

Проблема

интернета не только в червях. Черви - лишь вершина айсберга. Под водой же скрывается огромная часть под названием спам. Следует отметить, что за последний месяц всемирно известная аналитическая компания MessageLab s зафиксировала объем спама, больший, чем за весь 2002 год. Неплохие темпы, да?

Мы разобрались в мотивах, заставляющих людей бояться "конца виртуального света". Посмотрим, насколько реально создание червя, которому это под силу. Прежде всего, червь должен уметь быстро размножаться. Но речь пойдет не о банальном поиске адресов в адресной книге пользователя. Нет, разговор будет о спаме. С недавнего времени вирусописатели стали использовать спам-технологии, чтобы повысить скорость распространения вирусов в сотни и даже тысячи раз. Ведь огромная база e-mail адресов - это то, чего так долго не хватало червям! Почтовый адрес - это та маленькая дырочка в большом яблоке, через которую можно влезть внутрь. Результатом такого подхода является чрезвычайно быстрый старт эпидемии, когда миллионы пользователей по всему миру получают инфицированные письма.

Далее, червь должен уметь заражать компьютер пользователя без вмешательства человека. Для этого и служат дыры в ПО. Уже сегодня существует много дыр в самых разных программах. Многие из этих дыр уже давно пропатчены и забыты. Но ведь есть бреши, которые еще никто не нашел! А найти их вполне реально, достаточно посмотреть ежедневные сводки: что-нибудь да найдут. Итак, и это не проблема для червя. А больше ему ничего и не надо.

Можно вкратце резюмировать: создание червя, эксплуатирующего новую брешь в системе безопасности и распространяющегося очень быстро, вполне реально. Здесь мы рассмотрели лишь стандартную составляющую сущности червя, а ведь можно добавить и обычные вирусные свойства. За последние три года мы увидели такие технологии, о которых раньше не могли и помыслить. Сегодня есть вирусы, необычайно маленькие, модульные (скачивающие свои апдейты из интернета), шифрующие себя мощными криптографическими средствами, чрезвычайно деструктивные (портящие все тот же CMOS) и т.п. Бо-

лее того, все эти функции уже так или иначе реализованы в разных червях. Так что мешает соединить их в одном?

Итак, теоретически появление супер- червя вполне возможно. Почему же он до сих пор не создан? Разработать все модули такого гада одному человеку сложно. Ему нужно быть и очень хорошим программистом, и уметь отыскивать свежие баги в популярном софте, нужно знать ассемблер и иметь богатый опыт работы с дизассемблером. Так что же, таких людей нет? Дело, видимо, в том, что людям, способным создать такого червя (а такие люди, разумеется, есть), к счастью, хватает ума заниматься более конструктивными вещами. По большей части распространением вирусов занимаются закомплексованные подростки, мечтающие доказать всему миру свою крутость. Но, помимо немереных амбиций, нужны ведь еще и знания…

ЧЕРВЯК

НЕОБЫКНОВЕННЫЙ

Теперь мы поговорим о продвинутых червях. Червях, у которых нет тела. Правда, это куда более интересно? Эти паразиты существуют в виде пакетов, передаваемых по Сети. При попадании на компьютер такой гад находится лишь в его оперативной памяти! На мой взгляд, это венец эво-

				hang		e
			C			e	E
		X					E
	-							d
	F									i
	F									t
P	D									o
P	D					NOW!				r
					BUY	NOW!
				to	BUY
				to
w											m
w Click										o	m
	w									o
жен брать пакетный фильтр. Ведь .									.c
жен брать пакетный фильтр. Ведь .								e
		p	df				g
			df			n
				-x cha

бестелесный код представляет собой набор пакетов, значит, и фильтроваться должен брандмауэром или се-

Хороший пример объединения антивируса (Касперского) и брандмауэра (Check Point Firewall)

тевым экраном. Мы пришли к хорошо известной "борьбе снаряда и брони". После появления первого бестелесного червя - CodeRed - разработчики, да и все остальные, предпочли просто заделать дыру в уязвимом ПО. А вот после недавнего зимнего нашест-

Итак, теоретически появление суперчервя вполне возможно.

Почему же он до сих пор не создан?

люции сетевых червей.

Так почему такие черви столь опасны? А потому, что антивирус против них бессилен. Дело в том, что любой антивирус может проверять лишь файлы. Если вредоносный код не заражает файлы, то сканер, монитор, ревизор изменений и поведенческий блокиратор отдыхают. Это все равно, что в Нео из пистолета палить.

Ну хорошо, если антивирус не берет, то дол-

Мобильные накопители 1,3%

Интернет

2,30%

Электронная почта 96,40%

Основные источники вирусной угрозы в 2002 году. По данным "Лаборатории Касперского"

ХАКЕРСПЕЦ 10(35) 2003

hang

NOW!

BUY

w Click

Други е

-xcha

0,3%

Windows-вирусы

Скрипт-вирусы

40,9%

2,75

Макро-вирусы 56,1%

Самые распространенные в 2002 году типы компьютерных вирусов (черви и троянцы сюда не относятся). По данным "Лаборатории Касперского"

Другие

28,1% back doorпрограммы

54%

PSW-программы 17,9%

Самые распространенные в 2002 году типы троянских программ. По данным "Лаборатории Касперского"

IRC-черви Р2Р-черви 0,2%

1,7%

LAN-черви 2,5%

Почтовые черви 95,6%

Самые распространенные в 2002 году типы сетевых червей. По данным "Лаборатории Касперского"

близкая к проблемам брандмауэров, а не антивирусов. Могу лишь сказать, что у нового бестелесного червя шансы проскочить такой фильтр незамеченным очень высоки. Что меня так привлекло в этих бестелесных червях? Во-первых, их необычайная скорость распространения. Ты, наверное, и сам понимаешь, что передать небольшой объем пакетов проще, чем 130 килобайт (примерный размер Klez). К тому же, как только червь типа Slammer попадет на компью- тер-жертву, он сразу начнет генерировать непрерывный поток трафика, направленный именно на заражение других ПК. То есть такому червю вовсе не нужно, чтобы его кто-то запускал и открывал - он распространяется без помощи людей и делает это намного быстрее любого другого червя, даже ес-

Теперь поставим следующий вопрос. Может ли бестелесный червь поставить на колени всю Сеть?

Может, но лишь теоретически.

вия Slammer специалисты задума-	ли тот использует спам-технологии.
лись не на шутку. Сегодня в больши-	Идем дальше. Последний бестелес-
нство корпоративных брандмауэров	ный червь показал потрясающие ре-
встроены специальные средства, ко-	зультаты - он заразил примерно чет-
торые фильтруют трафик на уровне	верть интернета всего за пару дней.
пакетов и следят за "вредонос-	Это значит, что каждый четвертый
ностью" кода. Как происходит анализ	сайт был недоступен. Интересна са-
- тема отдельного разговора, более	ма сущность Slammer: он поражал

лишь сервера, использующие MS SQL Server. То есть домашним пользователям он никакого вреда причи- нить бы не смог. Но направленность на серверный сегмент Сети свидетельствует о том, что автор ставил перед собой задачи, вполне достойные злого гения (или просто не нашел другую дыру в ПО, которую можно эксплуатировать для распространения червя - прим. ред.). Он мечтал положить интернет на лопатки. Это у него почти получилось. На одну четверть. Slammer показал всему миру, как должен себя вести настоящий червяк.

Теперь поставим следующий вопрос. Может ли бестелесный червь поставить на колени всю Сеть? Может, но лишь теоретически. Правда, если мощный бестелесный червь все-таки будет создан, угроза "обглоданного интернета" станет более чем реальной.

Потенциал бестелесного червя намного выше, чем обычного файлового. Но создать червя-призрака еще сложнее, чем мощного экземпляра, типа Klez. Так что черви - не угроза будущему.

ЯЩИК ПАНДОРЫ

Проблема интернета не только в червях. Черви - лишь вершина айсберга. Под водой же скрывается огромная часть под названием спам.

Следует отметить, что за последний месяц всемирно известная аналити- ческая компания MessageLabs зафиксировала объем спама, больший, чем за весь 2002 год. Неплохие темпы, да?

Ключей к интернету два: серверы и трафик. Уничтожить интернет можно двумя способами: повредить/заразить серверы или создать повсеместный избыточный трафик. Первое довольно проблематично, а второе вполне реально. Slammer, благодаря генерируемому трафику, вывел из строя четверть Глобальной Сети. А спам и файловые черви создают дополнительный избыточный трафик плюс финансовые потери для бизнеса и домашних пользователей. Вот где корень зла.

Но можно взглянуть на проблему шире. Чем крупнее система, тем сложнее ее проблемы. Вот три слабых места интернета: безнаказанность, полное отсутствие контроля и отсутствие международных законов и международных органов надзора. Если обобщить, то получится такая картина: любой человек может делать в Сети все, что захочет (законное и незаконное), и его будет очень сложно отыскать, а даже если это удастся, то наказать его будет нелегко (не везде есть подходящая правовая и исполнительная базы).

Что же делать? Многие антивирусные эксперты во главе с Евгением Касперским предлагают ввести систе- »

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha
								Û
								Ñ
								Ó
								Ð
								È
								Â

hang

NOW!

BUY

ВИРУСЫ

СЪЕДЯТ ЛИ ЧЕРВИ ИНТЕРНЕТ?

w Click

ýòî òåìà äëÿ

-xcha

Троянские

разговора.

программы

Вирусы

По мнению Евге-

3,9%

ния Касперского,

7,0%

корень зла - ца-

рящая анархия и

безнаказан-

ность. В интерне-

те нет никаких

законов. Если бы

Сетевые черви

то же самое бы-

ло в реале, то

89,1%

любой даун мог

бы разбить вит-

рину или помять

крыло машины

Типы вредоносных программ в 2002 году. По данным

соседа. И никто

"Лаборатории Касперского"

áû åãî çà ýòî íå

наказал. В ин-

тернете сейчас

именно такая си-

туация - пользо-

ватель не несет

никакой ответ-

ственности за

свое хулиган-

ство (вирусопи-

сательство, рас-

сылку спама).

Сегодня количе-

ство вредонос-

ной информации

стремительно

приближается к

количеству по-

лезной. Если эта

тенденция сох-

Теперь пос-

ранится, то од-

тавим сле-

нажды в интер-

дующий

вопрос. Мо-

Динамика распространенности типов вредоносных программ в

нете просто не-

æåò ëè áåñ-

2002 году. По данным "Лаборатории Касперского"

чего будет де-

телесный

лать - открыва-

червь пос-

тавить на

ешь почтовый

колени всю

ÿùèê, à òàì íà 1

Ñåòü? Ìî-

æåò, íî

полезное пись-

ëèøü òåî-

мо 99 вирусов и

ретически.

спама. Именно

для предотвра-

щения этого

предлагается

С недавнего

ввести правила,

времени ви-

регламентирую-

русописате-

щие работу с

ли стали

Сетью. Прежде

использо-

âàòü ñïàì-

всего, персо-

технологии,

нальный иденти-

чтобы по-

Динамика распространенности вредоносных программ в 2002

высить ско-

фикационный

рость расп-

году. По данным "Лаборатории Касперского"

êîä. Åãî ñóòü

ространения

вирусов в

сотни и да-

же тысячи

ðàç. Âåäü

Чем сложнее объект, тем большую угрозу

áàçà e-mail

огромная

его размер представляет для него самого.

ýòî òî, ÷åãî

адресов -

так долго

Чтобы этого не произошло с интернетом,

не хватало

червям!

нужно вводить правила игры.

му уникальных идентификационных

примерно следующая: заходишь в

номеров и создать правовую и ис-

Сеть, будь добр предъявить "права" и

полнительную базы. Вторая часть

соблюдать "правила движения". Так

этого предложения нас не касается -

можно без труда вычислить, кто и ког-

мы не юристы. А вот уникальные ID -

да запустил очередной вирус или ра-

hang

NOW!

BUY

w Click

зослал тонны спама. Естественно, .

полностью искоренить киберпреступ-

-x cha

ность не удастся никогда, но этот шаг

даст возможность значительно ее

сократить.

Теперь любопытно обсудить проб-

лему приватности: ведь не все мы

преступники. В идеале, идентифи-

кационный код - это универсаль-

ный сетевой паспорт, который при-

нимается по всему миру, всеми

провайдерами (как, например, кре-

дитная карточка Master Card или

Visa). При работе с интернетом

пользователь предъявляет его, и

с этого момента провайдер начи-

нает вести отчет о действиях. Вот

тут-то и загвоздка - можно смело

привести контрдовод - попытка

нарушить священную privacy при

работе с Сетью. Если снова обра-

титься к реальной жизни, то на

автодорогах есть правила движе-

ния, права, технические паспорта,

проверки, а при пересечении гра-

ницы есть таможенный и паспорт-

ный контроль. Можно привести

еще кучу аналогичных примеров.

Люди согласились на компромисс

между бардаком, анархией и упо-

рядоченностью, процессуаль-

ностью. Чем сложнее объект, тем

большую угрозу его размер

представляет для него самого.

Чтобы этого не произошло с ин-

тернетом, нужно вводить правила

игры. Это единственный выход.

Так рассуждает Касперский.

Однако, все эти доводы можно оспо-

рить. Сейчас у каждого гражданина

РФ есть паспорт и, более того, про-

писка или регистрация. Но снижения

роста преступности нет и не предви-

дится. Дополнительные заморочки

вроде московской регистрации, явля-

ясь по сути абсолютно безполезны-

ми, превратились в средства получе-

ния взяток чиновниками и левых до-

ходов мелкими мошенниками. А нас

как взрывали - так и продолжают

взрывать.

Тут дело не в законах, а в состоянии

общества, в том, что у нас в головах

творится. Ведь если бы «большин-

ство» не хотело сделовать букве за-

кона - никто бы их законы не выпол-

нял (за примерами долго ходить на

надо). Поэтому думать надо не о то-

тальной слежке и идентификации

всех граждан и пользователей Сети,

а о повышении уровня их культуры,

образования и нравственых ценнос-

тей. Если каждый будет действовать

по принципу "поступай по одноше-

нию к другому так, как бы ты хотел,

чтобы он поступал по отношению к

тебе", мы будем жить в мире и сог-

ласии.

Буду рад обсудить эту тему в форуме

íà www.xakep.ru!

ХАКЕРСПЕЦ 10(35) 2003

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

hang

NOW!

BUY

ВИРУСЫ

КАК ПОСЕЯТЬ ПАНИКУ В ИНТЕРНЕТЕ

w Click

Александр Алексеев aka Shen (_shen_@mail.ru), http://code.e-forums.ru

-xcha

КАК ПОСЕЯТЬ

Ñ Û

ПАНИКУ В ИНТЕРНЕТЕ

ВСЕ О ВИРУСНЫХ МИСТИФИКАЦИЯХ

ирусы, вирусы... Да что вы зациклились на этих вирусах (цикл FOR)? УК РФ позабыли? Там, где насчет

Â"распространения вредоносных программ"? То-то же. Ну, не унывай, есть ведь еще альтернативные методы, и

один из них - вирусные мистификации.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

"Здравствуйте, Вы только что получили по почте ин- тернет-ви- рус "Талибан".

»только что получили по почте интернет-ви-

рус "Талибан", но так как мы в Афганистане"Здравствуйте, Вы

не сильно продвинуты в высоких технологиях, вам следует исполнить этот вирус вручную: 1) пожалуйста, разошлите вирус всем своим знакомым и друзьям; 2) удалите все файлы из папки c:\windows".

Слышал такую шутку? Даже видел в своем ящике? А ты в курсе, что, используя похожий прием, можно устроить в Сети такую панику, что не снилась даже именитым возмутителям спокойствия, вроде Klez и SirCam? Не в курсе? Тогда читай.

СМЕРТЬ МОБИЛАМ!

"Если вам позвонили и на дисплее вашего мобильного телефона высве- чивается АСЕ-?, не отвечайте на этот звонок, сразу прекратите. Если вы ответите на звонок, то ваш телефон будет заражен этим вирусом. Вирус сотрет всю информацию IMEI и IMSI с вашего телефона и с вашей SIM-карточ-

ки, что сделает ваш телефон неспособным связываться с телефонной сетью. Вам придется покупать новый телефон. Эту информацию подтвердили фирмы Моторола и Нокиа. Уже 3 миллиона мобильных телефонов заражены этим вирусом в США. Эти сведения вы также можете проверить на сайте СNN. Пожалуйста, сообщите эту информацию всем друзьям".

Такое сообщение появилось на одном из форумов интернета в октябре 2002. Через час на этом форуме уже шла жаркая дискуссия о борьбе со страшным вирусом, а через несколько суток каналы крупнейших e-mail провайдеров были переполнены подобными письмами-предупреждения- ми - тысячи пользователей Сети торопились предостеречь друзей и зна-

телями телефонов раскрутили на детальки пару десятков мобильников :), во всем разобрались и вывесили на своих сайтах опровержения в духе "Все ништяк, живите дальше". Но такой мирный исход мистификации имеют не всегда.

SULFNBK.EXE - УБИЙЦА ОТ МАЙКРОСОФТ

Знаешь, что общего между дракой, сходом лавины и вирусной мистификацией? Во-первых, все это интересно наблюдать только со стороны. А во-вторых, и то, и другое, и третье можно спровоцировать неосторожно сказанным словом.

Чаще всего в основе слухов, из которых впоследствии вырастают вирусные мистификации, лежат вполне

Один участливый юзер предупредил другого, тот - своих знакомых,

и пошло-поехало.

"Люди глупы, их можно заставить поверить любой лжи либо потому, что они хотят в нее верить, либо потому, что боятся, что она окажется правдой".

Впоследствии выяснилось, что этот файл всего-навсего стандартная утилита Виндовс

комых от опасности. Сообщалось, что вирус может попасть на мобильник не только через звонок, но и через SMS-сообщение, что вирус выводит телефоны из строя мгновенно и безвозвратно, а также прочая чушь. По- чему я говорю "чушь"? А потому, что не было никакого вируса. Ну, не было и все. Газетчики назвали бы случившееся уткой, но у нас, людей цифрового века, есть собственное название для этого - вирусная мистификация.

Случай с вирусом для сотовых закон-

Все, можно выкидывать :) чился довольно безобидно - антивирусные компании вместе с производи-

благие намерения. Но ты ведь помнишь, куда ведет вымощенная ими (намерениями) дорога. Один участливый юзер предупредил другого, тот - своих знакомых, и пошло-поехало. Известны и другие варианты, когда в основе дезинформации действительно лежит реальный вирус. Такова, например, нашумевшая история с файлом sulfnbk.exe. Если у тебя Win9x, загляни в каталог %windir%\command, и ты найдешь там этот файл. Человека, пустившего слух в Сеть, насторожили три вещи: sulfnbk.exe антивирус определял как зараженный, файл имел странные иконку (посмотри сам) и название (я тоже как-то не доверяю файлам, типа ds7afw2q.exe). Впоследствии выяснилось, что этот файл всего-навсе- го стандартная утилита Виндовс, а имя расшифровывается как System Utility for Long FileName Backup (системная утилита для резервного копи-

ХАКЕРСПЕЦ 10(35) 2003

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D									r
P						NOW!				o
P
					BUY
				to	BUY
w Click				to							m
w Click											m
w
	w									o
	.							рования фалов с длинными имена-
	.							.c
		p					g
			df			n		e
				-xcha

ми). Просто этот файл на компьютере инициатора суматохи действительно был заражен вирусом, а вернее, червем под названием Magistr - одним из самых распространенных и опасных в то время. Похожая история произошла также с "вирусом" jdbgmgr.exe, который доброжелатели советовали удалить как можно скорее, и который оказался безобидной частью

скоростью. Причин тому было две: отсутствие общедоступных глобальных сетей и то, что люди, сидевшие за теми немногими терминалами, что всетаки были подключены к сети, имели уровень технической подготовки, заметно превышающий уровень среднестатистического пользователя дней нынешних. С приходом массовых сервисов, вроде America Online, ситуация резко изменилась, и в 1994

Для того чтобы стать жертвой вируса, достаточно было прочитать письмо со словами Good Times в заголовке. Стоит ли говорить, что никакого вируса не было и в помине?

пакета Visual J++. И снова экземпляр jdbgmgr.exe на компьютере, который первым поднял тревогу, был на самом деле заражен вирусом. Кстати, через некоторое время после первого появления ложных сообщений о вирусе jdbgmgr.exe, в Сети действительно появился червь с таким названием (также известный как Recory).

Теперь можно спать спокойно

КАК ВСЕ НАЧИНАЛОСЬ

Вирусные мистификации как явление были отмечены еще в конце 80-х, но тогда подобные провокации не представляли особой угрозы и не распространялись с сегодняшней

году среди пользователей AOL появился слух о вирусе Good Times, который, "по сведениям из достоверных источников", безвозвратно унич- тожал всю информацию, хранящуюся на компьютере. Для того чтобы стать жертвой вируса, достаточно было прочитать письмо со словами Good Times в заголовке. Стоит ли говорить, что никакого вируса не было и в помине? Надо отметить, что вклад, внесенный пользователями AOL в развитие многих мистификаций, трудно переоценить :). Впоследствии попытки вызвать в Сети крупную панику, используя вирусные мистификации, предпринимались много раз, но далеко не все из них оканчивались успехом. И по сей день редкий месяц проходит без сообщений о "самом опасном вирусе в истории, который может уничтожить ваш компьютер в считанные секунды". »

АНТИВИРУСНЫЙ МАНУАЛ ОТ РОБЕРТА МОРРИСА

Когда в 1988 году появились сообщения о вирусе Good Times, небезызвестный Роберт Моррис III создал следующее руководство по борьбе с вирусом:

1)Не используйте электрическую сеть!

2)Не используйте батарейки и аккумуляторы - есть сведения, что вирусом захвачено большинство фабрик по их производству, и вирус заражает положительный полюс батарей и аккумуляторов (вы можете попробовать присоединять только "-").

3)Не скачивайте и не закачивайте файлы.

4)Не храните файлы на жестком диске или дискетах.

5)Не читайте почтовые сообщения. Даже это!

6)Не используйте последовательные порты, модемы и телефонные линии.

7)Не пользуйтесь клавиатурой, монитором или принтером.

8)Не используйте процессор и память!

9)Не пользуйтесь электрическим светом, электрическими или газовыми обогревателями. Не включайте кондиционер. Опасайтесь воды и огня!

Я уверен, что если все мы будем следовать этим 9 простым инструкциям, вирус будет уничтожен, и электронные флюиды наших компьютеров вновь станут чистыми.

CАМЫЕ-САМЫЕ ВИРУСЫ

САМЫЙ ПОПУЛЯРНЫЙ

Конечно же, в этой категории лидирует I-Worm.Klez. Этот червячок тусуется в Сети уже довольно давно, регулярно посещая и мой мыльник. Видимо, популярность обошлась ему дорого, поскольку некоторые издания начали называть его и "самым деструктивным". Действительно, по 13 числам четных месяцев он любит портить все найденные файлы, записывая в них слу- чайное содержимое, но разве это деструкция? Это они еще деструкции не видели :). Правда, суммарный ущерб от этого вируса составил 9 млрд. долларов. Видимо, это связано с тем, что для распространения он использует дыру в IFrame (запускаясь при просмотре сообщения), а каждая отосланная копия вируса содержит все электронные адреса, стыренные с предыдущей машины.

САМЫЙ ДЕСТРУКТИВНЫЙ

Однозначно это - Win.CIH, прозванный также чернобылем. Творение образца 98 года живет до сих пор, исправно заражая любителей игрового вареза. Дело в том, что в России этот вирь появился в виде зараженной копии Dune2000 и некоторых других игр. Вирус (длиной 1Кб) заражает PE файлы, перехватывая обращения к ним при открытии. Самым деструктивным его можно обозвать потому, что 26 апреля он с удовольствием чистил диски пользователей и портил flashбиос на некоторых платах (особенно на которых запись была разрешена по умолча- нию). Полмиллиона людей по всему миру выкинули свои мамки на помойку именно изза Чиха, который так и остался единственным вирусом, реально портящим железо.

Лозовский Александр (alexander@real.xakep.ru)

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha
								Û
								Ñ
								Ó
								Ð
								È
								Â

hang

NOW!

BUY

ВИРУСЫ

КАК ПОСЕЯТЬ ПАНИКУ В ИНТЕРНЕТЕ

BUY

w Click

Click

КОГДА СЛОВО - ОРУЖИЕ

САМЫЕ ПРАВДОПОДОБНЫЕ ПРЕДУПРЕЖДЕНИЯ :)

-xcha

-x cha

Бывают также и случаи, когда

мистификация создается, что называ-

A.I.D.S.

ется в здравом уме и трезвой памяти,

Сообщаем вам о существовании вируса A.I.D.S. Этот вирус, проник-

преследуя вполне конкретные цели.

нув внутрь компьютера, уничтожает вашу память. Эта память не

Ты спросишь, зачем? Ведь толку от

подлежит замене. Покончив с памятью, он заражает мышь или дру-

такой дезы никакого, вреда тоже ма-

ло, это ж не вирусы, где и многомил-

гое устройство ввода. Затем вирус инфицирует клавиатуру, и бук-

лионные убытки, и выведенные из

вы, которые вы нажимаете, не будут отображаться на экране. Пе-

строя компьютеры. Но давай-ка прис-

ред самоликвидацией вирус уничтожит 5 мегабайт на вашем жест-

мотримся к этому "явлению" повнима-

ком диске и удалит все программы на нем.

тельней. Интернет, находящийся во

Death Ray.

власти очередной вирусной мистифи-

кации, мне больше всего напоминает

Новый смертоносный вирус действительно заставляет компьютеры

муравейник, в который воткнули ло-

взрываться. С 15 августа от осколков и огня уже пострадало, по

пату: усердные юзеры спешат предуп-

меньшей мере, 47 человек. Миллионы людей рискуют получить

редить друг друга об опасности, обме-

травму, ослепнуть или даже погибнуть каждый раз, когда садятся

ниваются методами борьбы с виру-

за свои компьютеры! "Вирусы прошлого могли вывести из строя

сом, городская АТС перегружена

звонками в службы поддержки, а ад-

ваш компьютер, но этот вирус пошел дальше - он может убить

мины почтовых серверов тихонько

вас", - заявил Мартин Хериден, специалист по компьютерным виру-

офигевают, глядя на размер трафика.

сам. "У этого вируса нет традиционных "маркеров", по которым его

А теперь подумай, какое влияние мо-

можно обнаружить. Он проникает сквозь любые щели. Это крайне

жет оказать сообщение о вирусе, ко-

сложный процесс. Могу сказать, что вирус влияет на компьютерное

торый выводит из строя мобильники

фирмы Нокиа, на репутацию этой са-

оборудование, создавая условия, приводящие к опасным коротким

мой Нокии. И тогда ты поймешь, поче-

замыканиям. Конечный результат? Взрывы, мощнейшие взрывы.

му для этой пакости придумали краси-

Миллионы пользователей интернета в опасности".

вое название "вирусная мистифика-

ция", почему ни один учебный курс по

защите информации не обходится

она окажется правдой". Вот этим-то

принципом и пользуются на полную

Админы почтовых серверов

катушку некоторые личности, в уго-

ловном кодексе РФ именуемые злоу-

тихонько офигевают,

мышленниками. Причем сначала ра-

ботает вторая часть: юзер боится, что

глядя на размер трафика

это может оказаться правдой, и что,

пропустив мимо ушей предупрежде-

ние, он обречет себя на медленную и

без этой темы и почему каждая круп-

комых и друзей!" Все, процесс пошел.

мучительную смерть. А после самос-

ная антивирусная компания тщатель-

Доверчивые юзеры, дважды перечи-

тоятельного "лечения" в дело вступа-

но следит за появлением подобных

тав письмо, чтобы ничего не упустить,

ет первая часть: всегда ведь удобнее

"предупреждений" и прикладывает

начнут с умным видом удалять файлы

думать, что компьютер не работает не

все силы, чтобы пресечь распростра-

типа kernel32.dll, вот только разослать

из-за собственных кривых рук, а из-за

нение слуха до того, как он наберет

предупреждения они уже никому не

"таинственного вируса, написанного

обороты. Но этим деструктивный ха-

смогут, поэтому эффективнее про-

на языке Ассемблера для IBM PC".

рактер мистификаций не исчерпыва-

сить сначала разослать предупрежде-

Кстати, отказ от подобного способа

ется: есть еще, как минимум, два спо-

ния, а потом уже "избавляться от ви-

мышления есть первый шаг на долгом

соба превратить безобидную, каза-

руса". Самое смешное, что люди, став-

пути от юзера к хакеру.

лось бы, шутку в серьезную угрозу.

шие жертвой собственного легкове-

рия, описывают происшедшее при-

ПЕРВОЕ ПРАВИЛО

мерно так: "Все сделал так, как было

ВОЛШЕБНИКА

написано, но, видать, поздно - вирус

Итак, способ номер один, самый

уже успел компьютер испортить". И

распространенный. Выбирается файл,

процесс продолжается - "жертвы ви-

без которого нормальная работа сис-

руса" демонстрируют всем желающим

темы невозможна или затруднена, и

черные экраны мониторов с надписью

Всегда ведь

рассылается письмо вида: "Achtung!"

"Boot Sector Failed", свидетели в ужа-

По сообщениям сайтов

се спешат домой удалять зловредные

удобнее ду-

ìàòü, ÷òî

www.microsoft.com è www.virusi.new-

файлы. А особо бдительные гражда-

компьютер

mail.ru, интернет захлестнула эпиде-

не считают своим долгом прислать

не работает

мия новой модификации вируса

файлы с "вирусом" тов. Касперскому

íå èç-çà

собствен-

WIN95.CIH, которая не определяется

и прочей антивирусной братии. Весе-

ных кривых

антивирусными программами! Если на

ло, наверное, получать в день тысяч

Многострадальный AOL...

ðóê, à èç-çà

"таинствен-

вашем компьютере в папке c:\win-

десять config.sys'ов.

ного вируса,

dows\ åñòü ôàéë taskmgr.exe - âû

НЕ ТЫ ОДИН УМНЫЙ

написанного

на языке

УЖЕ стали жертвой эпидемии! Един-

Ты удивляешься, почему так много

Ты, конечно, думаешь, что, прочи-

Ассемблера

ственный способ избавится от вируса

людей ведутся на это? Есть хорошая

тав все это, никогда в жизни не попа-

äëÿ IBM

- удалить его вручную. Для этого вы-

книга - "Первое правило волшебника"

дешься на подобную провокацию и

PC".

полните следующие шаги: найдите

(Т. Гудкайнд). Знаешь, в чем это пра-

будешь встречать такие письма в сво-

указанный файл на вашем компьюте-

вило заключается? "Люди глупы, их

ем ящике со снисходительной усмеш-

ре (Пуск->Найти) и удалите его, удер-

можно заставить поверить любой

кой. А знаешь, какой второй шаг на

живая клавишу Shift (в ОС Windows).

лжи либо потому, что они хотят в нее

пресловутом пути от юзера к хакеру?

Не забудьте предупредить своих зна-

верить, либо потому, что боятся, что

Осознание того, что не ты один такой

ХАКЕРСПЕЦ 10(35) 2003

				hang		e
			C			e	E
		X					E
	-							d
	F									i
	F									t
P	D									o
P	D					NOW!				r
					BUY	NOW!
				to	BUY
				to
w											m
w Click										o	m
	w									o
	.								.c
								e
		p	df					умный (и принятие мер к исправле-
		p					g
						n
				-xcha

нию этого досадного факта). Так что вот тебе второй способ обратить мистификацию в реальный вред.

Все помнят басню про пастуха-ве- сельчака? Про того, который овец пас

èразвлекался, крича "Волки овец резать пришли!" Народ выбегает, а волков нет. И так раза три. А когда и впрямь волки пришли, пастух там горло надрывал, надрывал, да так никто

èне пришел... То же самое и с вирусами. Улеглась шумиха вокруг слухов о сверхразрушительном и, естественно, необнаружимом вирусе, скрывающемся в файле sulfnbk.exe. Все уже начи- тались опровержений от Касперского, посмотрели новости по ОРТ, посмеялись над своими страхами и успокоились. А злые черти из вирмейкерской группы "Последняя осень мира" взяли и написали настоящий вирус, назвали его sulfnbk.exe и пустили в Сеть. И что мы видим? Массы зараженных, с усмешкой закрывающих окошко Доктора Веба с текстом "Virus detected in sulfnbk.exe": дескать, нет, второй раз не купимся.

Известны также случаи, когда несколько абсолютно разных программ имели одно и то же название - это вводило пользователей в заблуждение и порождало панику. Так в 1997 году имела место вирусная мистификация вокруг программы AOL4Free. На самом деле программ было две: первая предоставляла бесплатный (естественно, нелегальный) доступ к AOL, а вторая была самым настоящим трояном. Путаница в названиях и возникшие на основе этого противоре- чия привели к возникновению оче- редной мистификации.

ПАМЯТКА

ДЛЯ ПОЛЬЗОВАТЕЛЕЙ AOL

Теперь пришла пора поговорить о том, как же все-таки не стать жертвой обмана. Есть, конечно, много методик, начиная от "не пользоваться электронной почтой", заканчивая "каждое полученное письмо отправлять AVмейкеру". По вполне понятным причи- нам ты, вероятно, пойдешь другим путем: научишься отличать провокацию от реальных предупреждений. Наверное, всем уже и так все понятно, но систематизация - великая вещь, поэтому давай соберем все в кучу под названием "Мануал по борьбе с мистификациями":

-если на твой адрес пришло письмо лично от Гейтса с дружеским предупреждением о новом вирусе - смело удаляй его, Билл ничего не делает бесплатно :), и если только ты не подписан на его "сверхэффективную программу борьбы с вирусами всего за $799", то такого письма тебе никогда не придет;

-если тебе пришло письмо с твоего поч-

тового сервера, есть повод слегка нас-

торожиться и сходить на их сайт или на сайт антивирусника: если это действительно настоящее предупреждение, в новостях будет об этом сказано;

-обрати внимание на оформление письма. Надеюсь, за долгие годы борьбы со спамом ты научился не верить призывам, написанным большими буквами с кучей восклицательных знаков;

-обрати внимание на тон письма. Если в письме применительно к вирусу встречаются приставки "супер", "ультра" и "сверх", тебя явно грузят;

-обрати внимание на технические подробности. Если в послании говорится, что новый вирус написан на Visual SQL++ .NET, оснащен системой эхолокации и встроенным токоприемником - ты знаешь, где у тебя Trash. Ярким примером может служить упомянутый выше Good Times - в пись- мах-предупреждениях говорилось, что вирус выводит из строя процессор, заставляя его выполнять "бесконечный бинарный цикл n-ой сложности". Хотя, конечно, на самом деле, надо обращать внимание даже на менее грубые ошибки;

-если тебя просят разослать это сообщение своим знакомым - это 100% подстава;

-если тебя просят удалить какой-то файл или подправить реестр, см. выше, насчет Trash.

Враг не дремлет!

ГДЕ ПОЛУЧИТЬ ДОСТОВЕРНУЮ ИНФОРМАЦИЮ?

Новости о вирусных мистификациях, подтверждения и опровержения есть на любом серьезном антивирусном сайте. Я лично за подобной информацией хожу на F-Secure.com и Viruslist.com.

Оперативно и достоверно, но на

английском

Если же тебе нужна не скупая сводка, вроде "это провокация, не верьте", а интересная информация, подробности и т.д., стоит заглянуть по следующим двум адресам:

Куча информации, довольно часто

обновляется

1. Vmyths.com, "Все о вирусных мистификациях" (на английском). Ресурс интересен тем, что обычно предоставляет хороший анализ происшедших мистификаций: почему обман удался, почему слух распространился так быстро и т.п. Кроме того, автор выдвигает довольно любопытные предположения относительно политики ведущих антивирусных компаний - он счи- тает, что крупные фирмы, занимающиеся разработкой средств защиты от вирусов, сами используют более совершенное программное обеспече- ние, чем предлагают клиентам. При- чем на сайте приводятся довольно убедительные доказательства.

История мистификаций, тексты

предупреждений и много чего еще

2. Hoaxbusters.ciac.org, "Охотники за провокациями" (на английском). Есть раздел про историю компьютерных мистификаций, их классификацию и методы противодействия. Хороших сайтов, посвященных вирусным мистификациям, в рунете, к сожалению, нет. Максимум, что ты сможешь найти - статьи вроде этой да десяток советов от Касперского.

НАПОСЛЕДОК

Тебе может показаться, что время, когда вирусные мистификации вводили в заблуждение тысячи че- ловек, безвозвратно прошло. Ведь на страже нашего спокойствия десятки антивирусных компаний и сотни новостных сайтов, готовых изобличить очередную провокацию. Но это не так. Самое уязвимое звено в любой системе - человек. Недаром Митник так гордился своим умением общаться с людьми. И вирусные мистификации - как раз тот случай, когда умело подобранные слова могут принести больше вреда, чем все вирусы мира. A

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha
								Û
								Ñ
								Ó
								Ð
								È
								Â

Если на твой адрес пришло письмо лич- но от Гейтса с дружеским предупреждением о новом вирусе - забей, Билл ничего не делает бесплатно...

hang

NOW!

BUY

ВИРУСЫ

ИНТЕРВЬЮ С VIRUSBUSTER'ОМ ИЗ 29A

w Click

mindw0rk

ИНТЕРВЬЮ

ÑÓ Û

-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Â È Ð

VIRUSBUSTER ÈÇ 29A

Oсообществе вирусмейкеров мало что известно. Пресса постоянно пишет о рождении нового виря или червяка, но их авторы находятся в тени. Тем не менее, это сообщество существует и живет своей подпольной жизнью. Далеко не последнюю роль

в нем играет группа 29A. Бесспорно - это самая известная VX-team, так как журнал 29A, ею издаваемый, читает каждый уважающий себя вирусмейкер. Основатель группы, человек, который владеет самой большой в мире коллекцией вирусов, согласился рассказать немного о 29А, о своем видении сцены и некоторых других околовирусных вещах. Встречайте - VirusBuster.

... не стоит называть что-либо невозможным. Лучше сказать, что пока этого еще не сделали.

Все мемберы 29A являются лучшими в мире вирускодерами.

»	VIRUSBUSTER:
	"VX-СЦЕНА -
	ÑÀÊÑ"
	mindw0rk: Привет. Ну
	что, приступим?

VB: Поехали.

mindw0rk: Для начала расскажи немного о себе. Как зовут, сколько лет, где живешь, где работаешь, холост или женат, а также чем интересуешься и как относишься к жизни?

VB: Зовут меня Луис, мне 29 лет. На данный момент проживаю в Испании, работаю в компьютерной области. Женат, и жена моя, пожалуй, является моим главным интересом. Еще коллекционирую вирусы, люблю играть на гитаре, выезжать на пикник, ходить в кино, читать книги (особенно Стивена Кинга и Артура Конан Дойла) и слушать музыку (блюз). А мой жизненный принцип можно сформулировать так: "Если проблема имеет решение - зачем тогда беспокоиться? И если решения нет - тем более, на фиг забивать голову ерундой".

mindw0rk: Расскажи, как ты подсел на компы. И как у тебя возник интерес к компьютерным вирусам.

VB: Где-то в районе 1984 г. у моего кузена появился ZX Spectrum, после этого я стал намного чаще захаживать к нему в гости. Мы днями напролет пуляли в разные игрушки и даже не пытались вникнуть во что-то кроме них. Первые попытки освоить программирование я преддпринял в старших классах школы. Ничего серьезного - так, ламерские программки на Бейсике и Коболе, эксперименты с ассемблером. Гораздо сильнее, чем программированием, я увлекался собиранием вареза. Искал и скачивал все, что только можно, и аккуратно складировал на дискетах. Через ка- кое-то время я познакомился с Gordon Shumway - человеком, который помог мне основать и координировать работу Dark Node BBS. Именно он открыл для меня такое явление, как компьютерные вирусы. У него тогда была небольшая коллекция вирей,

рис. Константин Комардин

Я не пишу вирусов и никогда их не писал. По правде сказать, я не ахти какой кодер.

и мы вместе с интересом ее изучали.	VB: Я не пишу вирусов и никогда их
Со временем Гордон рассказал мне	не писал. По правде сказать, я не ах-
обо всем, что знал сам, после чего	ти какой кодер. Мне даже приходи-
мой интерес к вирусам окреп и вылил-	лось обращаться к друзьям, когда
ся в одно из главных увлечений в	нужно было написать какую-то прог-
жизни. В 1994 г. у меня дома появился	рамму. Тем не менее, я люблю изу-
интернет. Чтобы наполнить свою BBS	чать компьютерные вирусы и разра-
свежим варезом, я стал активно сер-	батывать для них новые алгоритмы,
фить по разным сайтам и таким обра-	которыми потом делюсь со своими
зом узнал о вирус-сцене. С этого все и	друзьями-вирусмейкерами. В 1998 г.
началось.	я приступил к написанию утилиты
	для сортировки вирей. Этот проект
mindw0rk: Сколько вирусов ты уже	под названием VS2000 побудил ме-
успел зарелизить?	ня более серьезно отнестись к изу-

ХАКЕРСПЕЦ 10(35) 2003

<<< < Предыдущая 12 / 142 3 4 5 6 7 8 9 10 11 12 13 14 > Следующая >>>

Соседние файлы в папке специальные выпуски

#
20.04.202411.82 Mб16Специальный выпуск 30_Optimized.pdf
#
20.04.202411.84 Mб16Специальный выпуск 31_Optimized.pdf
#
20.04.202411.87 Mб15Специальный выпуск 32_Optimized.pdf
#
20.04.202411.69 Mб15Специальный выпуск 33_Optimized.pdf
#
20.04.202411.64 Mб16Специальный выпуск 34_Optimized.pdf
#
20.04.202412.09 Mб15Специальный выпуск 35_Optimized.pdf
#
20.04.202414.14 Mб15Специальный выпуск 36_Optimized.pdf
#
20.04.202413.53 Mб16Специальный выпуск 37_Optimized.pdf
#
20.04.202412.58 Mб15Специальный выпуск 38_Optimized.pdf
#
20.04.202413.28 Mб16Специальный выпуск 39_Optimized.pdf
#
20.04.202418.16 Mб15Специальный выпуск 40_Optimized.pdf