Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Специальный выпуск 35_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

12.09 Mб

Скачать

☆

1 / 141 2 3 4 5 6 7 8 9 10 11 12 13 14 > Следующая >>>

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

ßI N T R O

вирус. Я пришел к тебе. Ведь ты же ждал меня, правда? Поздно чертыхаться и материться, я - ошибка матрицы. Пробой в твоей системе безопасности. Не расстраивайся, ты не один такой "счастливчик". Тревогу тоже объявлять не нужно, это всего лишь тренировочные учения. Войной пока не пахнет. Не бойся, я не причиню тебя вреда. Я просто потрогал тебя чуть-чуть. Тебя и твою систему :). Я маленький и добродушный. Ребенок, порожденный самим человечеством. Впрочем, если ты захочешь меня уничтожить, знай - я не один. Остальные на подходе.

Причем они будут уже гораздо хитрее и злее меня...

ïñèõ

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY	content
w Click				to		content
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

¹ 10 (35)

ВИРУСЫ

4 Чем ты заразился?

Классификация вирусов

6 История болезни

От начала до наших дней

10 Съедят ли черви интернет?

Насколько опасны современные интернет-черви

16 Как посеять панику в интернете

Все о вирусных мистификациях

20 Интервью

VirusBuster èç 29A

24 Диковинные вирусы

Нестандартная зараза для стандартных вещей

28 Смерть шпионам

ADWARE/SPYWARE - что это такое и кому и зачем нужно?

32 Бойтесь данайцев, дары приносящих

Трояны: виды, принципы работы, защита

АЛГОРИТМЫ

36 Техника шифрования

Введение в полиморфизм

42 Подвижные вирусы: миф или реальность?

Технологии распространения червей

48 Заражение файлов

6 способов инфицировать PE-файл

50 Пишем свой стелс

Стелс-технологии в вирусах

54 Игры настоящих кодеров

CoreWar aka бой в памяти

60 Борьба за выживание

Способы защиты от антивирусов

62 Ring0

Уход в нулевое кольцо защиты Win9x

66 High Level Code

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Вирусы на языках высокого уровня

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

ЗАЩИТА

70 Интервью

Евгений Касперский

76 Интернет - потенциальный источник заразы

Как уберечь себя от вирусов в сети

80 Как антивирус находит свои жертвы

Анализ файлов на предмет зараженности

88 Dr.Web - êàê

за каменной стеной!

Интегрируем демонов с антивирусом

94 Найдем и обезвредим

Как обнаружить заразу в системе

SPECial delivery

100 Генераторы зла

Обзор вирусных генераторов

102 Поставь предохранитель

Обзор антивирусов

106 Книжная лавка

Обзор книжных новинок

110 Чтобы время не терять

Обзор сети на наличие вкусных сайтов

ОФФТОПИК

HARD

114 Комбайны на рынке!

Тестирование комбинированных DVD/CD-R/RW-приводов

119 Samsung SyncMaster 173P

STORY

120 Настоящий полковник

hang

NOW!

BUY

Редакция

главный редактор

Николай «AvaLANche» Черепанов

w Click

(avalanche@real.xakep.ru)

-x cha

выпускающие редакторы

Иван «SkyWriter» Касатенко (sky@real.xakep.ru), Константин «p0r0h» Буряков (p0r0h@real.xakep.ru)

»редакторы

Александр Лозовский (alexander@real.xakep.ru), Андрей Каролик (andrusha@real.xakep.ru)

редактор CD

Карен Казарян

»(kazarian@real.xakep.ru)

литературный редактор

Мария Альдубаева (litred@real.xakep.ru)

Art

арт-директор

Кирилл Петров «KROt» (kerel@real.xakep.ru) Дизайн-студия «100%КПД»

дизайн-верстка

Алекс

художник

Константин Комардин

руководитель отдела

Игорь Пискунов (igor@gameland.ru)

менеджеры отдела

Басова Ольга (olga@gameland.ru) Крымова Виктория (vika@gameland.ru) Рубин Борис (rubin@gameland.ru) Eмельянцева Ольга (olgaeml@gameland.ru)

òåë.: (095) 935.70.34 ôàêñ: (095) 924.96.94

Распространение

директор отдела дистрибуции

èмаркетинга

Владимир Смирнов

»(vladimir@gameland.ru)

оптовое распространение

Андрей Степанов (andrey@gameland.ru)

Региональное розничное распространение

Андрей Наседкин

»(nasedkin@gameland.ru)

Алексей Попов (popov@gameland.ru)

PR-менеджер Яна Губарь (yana@gameland.ru)

òåë.: (095) 935.70.34 ôàêñ: (095) 924.96.94

PUBLISHING

издатель

Сергей Покровский (pokrovsky@real.xakep.ru)

директор

Дмитрий Агарунов (dmitri@gameland.ru)

финансовый директор

Борис Скворцов (boris@gameland.ru)

технический директор

Сергей Лянге (serge@gameland.ru)

Для писем

101000, Москва, Главпочтамт, а/я 652, Хакер Спец

»Web-Site http://www.xakep.ru

E-mail spec@real.xakep.ru

Мнение редакции не обязательно совпадает с мнением авторов.

Редакция не несет ответственности за те моральные и физические увечья, которые вы или ваш комп можете получить, руководствуясь информацией, почерпнутой из статей номера. Редакция не несет ответственности за содержание рекламных объявлений в номере.

За перепечатку наших материалов без спроса - преследуем.

Отпечатано в типографии «ScanWeb», Финляндия

Зарегистрировано в Министерстве Российской Федерации по делам печати, телерадиовещанию

èсредствам массовых коммуникаций ÏÈ ¹ 77-12014 от 4 марта 2002 г.

Тираж 42 000 экземпляров. Цена договорная.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w						Content:
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

4 Чем ты заразился?

Классификация вирусов

6 История болезни

От начала до наших дней

10 Съедят ли черви интернет?

Насколько опасны современные интернет-черви

16 Как посеять панику в интернете

Все о вирусных мистификациях

20 Интервью

VirusBuster èç 29A

24 Диковинные вирусы

Нестандартная зараза для стандартных вещей

28 Смерть шпионам

ADWARE/SPYWARE - что это такое и кому и зачем нужно?

32 Бойтесь данайцев, дары приносящих

Трояны: виды, принципы работы, защита

ВИРУСЫ

hang

NOW!

ВИРУСЫ

ЧЕМ ТЫ ЗАРАЗИЛСЯ?

BUY

w Click

Скрыпников Сергей aka Slam (sergey@soobcha.org)

×ÅÌ ÒÛ

-x cha

ЗАРАЗИЛСЯ?

КЛАССИФИКАЦИЯ ВИРУСОВ

Ñегодня я расскажу тебе сказку о том, что же обозначает это таинственное и злобное слово "вирус", и какие вирусы бывают. Естественно, разговор будет

идти только о компьютерных вирусах, если ты поймал другой, то вопрос не к нам :).

»	PART I. WHO IS WHO
		В общем, я могу начать


	грузить тебя техническими



	терминами, но, думаю, лучше


	объяснить все на пальцах.

"Компьютерный вирус - это программа (некоторая совокупность выполняемого кода/инструкций), способная создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в различ- ные объекты/ресурсы компьютерных систем, сетей и т.д. без ведома пользователя". Это самое "нормальное" определение, которое мне удалось найти, давай его разберем. Как ты уже понял, вирус - это программа (точно такая же, как, например, твой MS Word), которая может изменять другие файлы, записывая в них свой код и делая их "зараженными". Сейчас почти во всех вирусах заложен алгоритм размножения по Сети (по электронной почте, через WEB и т.п.). Кстати, здесь - www.viruslist.com/viruslistbooks.html?id=6 - есть интересное определение для домохозяйки. Прочитай, и все сразу встанет на свои места.

PART II. А КАКИЕ ОНИ?!

Вирусы принято делить на классы по следующим основным признакам:

среда обитания операционная система алгоритм работы объем причиненного вреда

По среде обитания вирусы можно разделить на: 1. файловые 2. загрузочные 3. макро 4. сетевые

По алгоритму работы: резидентные

1. с использованием стелс-алгоритмов

2. с самошифрованием и полиморфич- ностью

3. с использованием нестандартных приемов

По объему причиненного вреда:

1. безвредные, т.е. никак не влияющие на работу компьютера

2. неопасные, т.е. те, которые просто себя распространяют, при этом, например, выдвигая СD-ROM или мигая лампочками на клавиатуре

3.опасные, которые могут привести к серьезным сбоям в работе компьютера

4.очень опасные, которые могут привести

êпотере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, даже ту, которая находится в системной области данных!

Классификацию вирусов по признаку того, в какой операционной системе они работают, я приводить не стал - ты и сам не маленький.

PART III. ТЕПЕРЬ О КАЖДОМ ПОНЕМНОГУ

ФАЙЛОВЫЕ ВИРУСЫ

Файловые вирусы - это те, которые при своем размножении используют файловую систему определенной операционной системы. Чаще всего файловые вирусы заражают исполняемые файлы; они могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не полу- чают управление и, следовательно, теряют способность к размножению (да, такие бестолковые вирусы иногда тоже встречаются :).

По способу заражения файловые вирусы делятся на несколько групп:

1.Overwriting-вирусы

2.Паразитические

3.Компаньон-вирусы

Первый способ заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Но дальше этого дело не идет, т.к. рано или поздно система начинает глючить или падает. А если у тебя есть антивирус, то Overwriting-вирусы обнаруживаются быстрее остальных.

Паразитические вирусы добавляют свой код в зараженный файл, файл при этом остается полностью или частично работоспособным.

К категории компаньон-вирусов относятся вирусы, не изменяющие заражаемые файлы. Алгоритм их работы состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник.

СЕТЕВЫЕ ВИРУСЫ

Сетевыми называются такие вирусы, которые при своем распространении использу-

ХАКЕРСПЕЦ 10(35) 2003

				hang		e
			C			e	E
		X					E
	-							d
	F									t
	D									i
	D									r
P						NOW!				o
P
					BUY
				to	BUY
w Click				to							m
w Click											m
w
	w									o
	.						g		.c
		p					g
			df			n		e
				-xcha

Исходник одного из вирусов

ют возможности интернета и локальных сетей.

Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервак и заставить его выполниться. Сетевые вирусы нередко называют сетевыми червями. Для своего распространения они используют ошибки и недокументированные функции сетей или ОСей, при этом распространяясь по сервакам и запуская свой код на каждом из них.

Существует категория вирусов, которые используют для своего распространения протокол FTP и передают свою копию на удаленный ftp-сервер в каталог Incoming. Поскольку сетевой протокол FTP исключает возможность запуска файла на удаленном серваке в каталоге Incoming, этот вирус можно охарактеризовать как "полусетевой". Его действие основано лишь на любопытстве пользователя.

МАКРОВИРУСЫ

Это вирусы на макроязыках различных приложений, вроде MS Excel (VB), MS Word (WB) и т.п.

Для своего размножения они используют возможности макроязыков и с их помощью переносят себя из одного зараженного файла (документа или таблицы) в другие.

Для существования вирусов в конкретной системе необходимо наличие встроенного в систему макроязыка с такими возможностями:

- привязка программы на макроязыке к конкретному файлу;

Вот так вот обманывают доверчивых юзверей

INTENDED-ВИРУСЫ

-копирования макропрограмм из одного файла в другой;

-получение управления макропрограммой без вмешательства пользователя (хотя бы прямого, вроде необходимости нажатия кнопки "запусти меня, я вирус" :).

Макроязык позволяет копировать файлы или перемещать макропрограммы в служебные файлы системы и редактируемые файлы, при открытии\редактировании\закрытии зараженного файла.

Чаще всего идет заражение стандартного шаблона, который загружается при открытии нового документа, таким образом, все последующие копии файла тоже являются зараженными.

ЗАГРУЗОЧНЫЕ ВИРУСЫ

Загрузочные вирусы заражают загрузочный (boot) сектор флоппидиска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия прост: при включении или загрузке компьютера сначала проходит тест оборудования, а потом, в зависимости от настроек, считывается первый физический сектор (будь то флопик, сидюк или винчестер), и на него передается управление.

При заражении дисков загрузочные вирусы подставляют свой код вместо какой-либо программы, получающей управление при загрузке системы. Вирус заставляет систему при перезапуске считать в память и отдать управление не оригинальному коду загрузчи- ка, а коду вируса.

Заражение флопиков производится единственным известным способом - вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами - вирус записывается либо вместо кода MBR, либо вместо кода bootсектора загрузочного диска (обычно диска C:), либо модифицирует адрес активного boot-сектора в Disk Partition Table, расположенной в MBR винчестера.

В вирусах семейства "Stoned" задействован другой метод. Эти вирусы размещают первоначальный загрузочный сектор в неиспользуемом или редко используемом секторе - в одном из секторов винчестера (если такие есть), расположенных между MBR и первым boot-сектором, а на дискете такой сектор выбирается из последних секторов корневого каталога.

Вирусы семейства "Azusa" содержат в своем теле стандартный загрузчик MBR и при заражении записываются поверх оригинального MBR без его сохранения. A

Это такие вирусы, в которых есть баги :). Т.е. в коде вируса либо неправильно создана процедура размножения, либо вирус не записывает себя в файлы или даже неправильно определяет свой адрес для передачи управления.

CАМЫЕ-САМЫЕ ВИРУСЫ

САМЫЙ МАЛЕНЬКИЙ

Win95.Repus - вирус, который заражает PE файлы, записываясь в неиспользуемую часть заголовка. Имеет 2 модификации - размером 127 и 156 байт. Не очень-то это мало, скажешь ты и будешь прав. Но вирус, имеющий очень оригинальный алгоритм заражения - че- рез кеш-память windows, и поэтому распространяющийся с огромной скоростью этого заслуживает. С ним может поспорить только известный Slammer aka Helkern размером 376 байт, использующий баг MS SQL Server. Но, поскольку Slammer не имеет тела, первое место ему не досталось. В принципе, существуют вирусы еще меньшей длины, но они обычно представляют собой старые com-нерезиденты. В крайнем случае - глючные com-exe-TSR.

САМЫЙ СЛОЖНЫЙ

МI-Worm.Hybris, пожалуй, самый сложный из современных вирусов. Чувствуется, что прога сделана с любовью: вирь, состоящий из тела и подпрограмм-плагинов (которые он способен обновлять через инет), заражает WSOCK32.DLL, получая таким образом доступ к трафику юзера. Отправляя письма по выдранным из трафика адресам, он гарантирует себе распространение. Работа с плагинами тоже вызывает уважение - вирь коннектится к конференции alt.comp.virus и качает новые версии оттуда, обретая интересные функции - заражение архивов и PE файлов, алгоритмы шифровки тела перед отправкой письма и многое другое. Интересно, что при заражении exe'шника не изменяется ни длина, ни, в некоторых случаях, CRC файла, что может обмануть некоторые прогиревизоры. Но не ADinf, конечно ;). В общем, несмотря на наличие конкурентов из прошлого, первое место присуждается Хибрису. За волю к победе.

Лозовский Александр (alexander@real.xakep.ru)

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha
								Û
								Ñ
								Ó
								Ð
								È
								Â

hang

NOW!

BUY

ВИРУСЫ

ИСТОРИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ

w Click

Shen (_shen_@mail.ru)

-xcha

ИСТОРИЯ БОЛЕЗНИ

ОТ НАЧАЛА И ДО НАШИХ ДНЕЙ

еужели не интересно, с чего все начиналось? Когда появился первый вирус, первый антивирус? Под какую ОСь

Íбыл написан первый вирус? Все это есть в статье, вступление к которой ты сейчас читаешь :).

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Такое упоминание относится к концу 60-х, - началу 70-х годов, когда на машине Univac 1108 появилась программа "Pervading Animal".


Ê		омпьютерные вирусы
		сегодня - явление
		столь обыденное и
		привычное, что редко
		кто задумывается, по-
чему эти формы жизни названы имен-
но вирусами, а не, скажем, паразита-
ми. Ответ прост: название позаим-
ствовано из биологии, потому что
жизненные циклы вирусов компью-
терных и биологических совпадают -
внедрение в программу/клетку и
дальнейшее размножение. Однако
прежде чем выяснять, где и когда по-
явился первый вирус, было бы непло-
хо узнать четкое определение терми-
на "компьютерный вирус". Такое оп-
ределение дал в 1986 году Фред Ко-
эн: "Компьютерный вирус есть прог-
рамма, способная заражать другие
программы путем добавления в них
собственной копии". Ф.Коэн вообще
личность примечательная - первый
человек в истории, защитивший док-
торскую диссертацию по теме компь-
ютерных вирусов. Он доказал невоз-
можность написания программы, ко-
торая, глядя на файл, могла бы со
стопроцентной точностью сказать, ви-
рус ли это. Теперь можно начинать
копаться в истории вычислительной				Комардин
ние о программе, подходящей под оп-				Комардин
техники, отыскивая первое упомина-
ределение Коэна.				рис. Константин



			машине Univac 1108 появилась прог-	писать программы для них могли лишь
			рамма "Pervading Animal". Собственно,	избранные, поэтому впереди у компь-
			вирусом ее назвать было нельзя, од-	ютерного сообщества было больше
			нако это была первая программа, вы-	десяти лет спокойствия.
			полнявшая не те действия, которых
			ожидал от нее оператор, и пытающая-	Но вот в середине 80-х компьютеры,
			ся создавать свои копии. Мысли о соз-	теперь уже персональные, становятся
			дании саморазмножающихся прог-	общедоступными. С тех пор и ведет
			рамм начали приходить в голову неко-	свое начало вирусная история.
			торым людям еще в конце 40-х, когда
			появилось несколько теорий, связан-	ДРЕВНОСТЬ
			ных с созданием таких программ. Од-
ПЕРВЫЙ			ных с созданием таких программ. Од-	1981
ПЕРВЫЙ			нако первая успешная реализация от-	1981
	Такое упоминание относится к кон-		носится лишь к концу 60-х годов. Дос-	- Появляется вирус Elk Cloner, распро-


цу 60-х - началу 70-х годов, когда на			туп к ЭВМ в те годы имели немногие,	страняющийся на дискетах для Apple

ХАКЕРСПЕЦ 10(35) 2003

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							II. Вирус выводит на экран следующие
	.							.c
		p					g
			df			n		e
				-xcha

строчки:

It will get on all your disks

It will infiltrate your chips

Yes it's Cloner!

It will stick to you like glue It will modify ram too Send in the Cloner!

Elk Cloner считается первым в истории компьютерным вирусом.

- В том же году Фред Коэн начинает работу в области исследования саморазмножающихся программ.

1983

-В рамках работы Коэна "Computer Viruses - Theory and Experiments" появляется первый экспериментальный вирус.

-И именно в этом году появляется сам термин "компьютерный вирус", предложенный Леном Адлеманом.

1986

-Имена этих братьев знакомы каждому антивируснику, запомни их и ты: Basit и Amjad (как это звучит по-рус- ски, я не знаю :)). Два пакистанских программиста, владеющих компанией Brain Computer Services, создают вирус Brain - первый вирус для MS-DOS. Brain был загрузочным вирусом, и, попав в память при запуске компьютера, заражал boot-сектор всех вставляемых 360-килобайтных дискеток. Вся его полезная нагрузка заключалась в том, что зараженные дискеты имели метку "(c) Brain". Вирус сразу же проявлял себя, поэтому крупномасштабной эпидемии он не вызвал. К тому же, после того как дискеты на 360 Кб ушли в прошлое, вирус стал бесполезен. Но на базовом коде этого вируса было создано целое семейство вирусов, не все из которых были так же безобидны, как Brain. Зачем братьям понадобилось писать и распространять вирус? Существует много точек зрения, но большинство экспертов склоняются к мысли, что идея с вирусом - просто рекламный ход, призванный привлечь внимание к небольшой пакистанской компании. Ведь в коде вируса содержались имена авторов и их адрес! О, наивное время :).

-В том же 1986 году Ральф Бургер пишет безвредный демонстрационный вирус VIRDEM, заражающий *.comфайлы, и представляет его общественности. Интерес к теме столь велик, что Бургеру приходится писать книгу, посвященную вирусам.

1987

- Появляется вирус Lehigh. Не представляя собой ничего особенного (заражает только command.com, портит FAT), он, тем не менее, занимает в вирусной истории довольно заметное место из-за следующего технического момента: сам вирус нерезидентный, но т.к. он заражает command.com, который остается в памяти резидентно,

то и сам Lehigh считается первым в мире резидентным вирусом.

-В это же время один за другим появляются три вируса группы SURIV (про- читай наоборот): первый заражает *.com-файлы, второй - *.exe, третий - оба типа. Причем SURIV-02 был первым в мире EXE-инфектором. Четвертым членом семейства SURIV является знаменитый Jerusalem. Вирус заражал и *.com, и *.exe-файлы, но не трогал command.com, т.к. после Lehigh, люди стали внимательнее относиться к этому файлу. Jerusalem был безобиден большую часть времени, но в пятницу, выпадающую на 13 число, вирус стирал все зараженные файлы. Первые версии Jerusalem содержали ошибку - вирус повторно заражал уже зараженные им файлы, из-за этого они не получили распространения, но следующие вирусы семейства уже были избавлены от этого бага. С этим вирусом вообще связано много интересных баек. Например, почему Jerusalem известен также как Israeli (Израильский), 1813 и IDF? Изначально вирус именовался Israeli, по месту обнаружения, потом антисемитское название сменили на 1813, так как именно столько байт он занимал. Использовалось также другое название

-IDF, означавшее Israeli Defence Forces (Израильские Защитные Войска), в одном из отделений которых был обнаружен вирус. И, в конце концов, вирус назвали красивым именем Jerusalem.

-В этом же году появляются знаменитые Stoned (первый MBR-инфектор) и Vienna. Бургер дизассемблирует Виенну и дает исходник в своей книге "Computer Viruses: A High-Tech Disease".

ривает наказания за подобные преступления, поэтому Моррис отделался десятитысячным штрафом и работами по восстановлению систем, пострадавших от его червя. Компьютерное сообщество, наконец, понимает масштабы угрозы, и для предотвращения подобных случаев создается организация CERT (Computer Emergency Response Team), существующая и активно действующая до сих пор (www.cert.org).

-IBM обнаруживает в своих сетях вирус Cascade и в связи с этим начинает заниматься антивирусными исследованиями.

-Также этот год знаменателен тем, что некий индонезийский программист публикует программу, чистящую дискеты от вируса Brain и предохраняющую от этого вируса в дальнейшем. Т.о. эта программа считается одним из первых, если не первым, антивирусом.

1989

- Под давлением клиентов, IBM распространяет антивирус, который до этого использовался исключительно внутри компании.

РАСЦВЕТ

1990

- Знаешь, что такое SPAM? Нет, это не предложения "заработать $$$$" и пр. SPAM - это Stealth Polymorph Armored Multipartite.

Stealth (стелс, невидимость) - способность вируса заражать файлы скрытно, не давая пользователю повода заподозрить неладное;

Polymorph (полиморфизм) - способность вируса шифровать свое тело

Stealth (стелс, невидимость) - способность вируса заражать файлы скрытно, не давая пользователю повода заподозрить неладное

1988 - Роберт Моррис пишет своего знаме-

нитого червя. Первый в истории слу- чай, когда компьютерная программа причинила реальный многомиллионный ущерб. Закон еще не предусмат-

Тот самый CERT

так, чтобы никакие две копии вируса не были похожи друг на друга; Armored (защита, бронирование) - способность вируса сопротивляться отладке и дизассемблированию; Multipartite (многосторонность) - способность вируса заражать и программы, и загрузочные сектора дисков. Вот такие веселые техники появились в начале 90-х. Каждая из них по отдельности крайне затрудняет жизнь как простого пользователя, так и антивирусника, представь, какой напастью были вирусы, применявшие сразу несколько этих методик!

- В Болгарии открывается первая в мире VX-BBS. Вообще, Болгария и Россия внесли довольно значительный вклад в дело развития вирмейкерства. Так вот, на болгарской BBS любой желающий мог слить себе десяток новых вирусов и отправить их ку- »

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha
								Û
								Ñ
								Ó
								Ð
								È
								Â

Известнейший вирмейкер Dark Avenger выпускает MtE (Mutation Engine) - полиморфный движок. С помощью этого движка любой вирус можно превратить в полиморфный, просто слинковав его с MtE.

hang

NOW!

BUY

ВИРУСЫ

ИСТОРИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ

BUY

w Click

да угодно. Открываются конференции

юзер, способный кликать мышкой, мо-

ли до тех пор, пока через несколько .

-xcha

Usenet, посвященные написанию ви-

жет создать серьезный разрушитель-

месяцев после релиза не был обнару-

-x cha

русов, публикуются документы, в ко-

ный вирус. С одной стороны, для анти-

жен вирус, названный исследователя-

торых матерые вирмейкеры делятся

вирусников наступает сущий кошмар,

ми Concept. Вирус был написан на

опытом. Публикуется книга Марка

но с другой - эпоха благоденствия, ан-

WordBasic'е - встроенном языке MS

Людвига "Маленькая Черная Книжка

тивирусный бизнес процветает.

Word'а. Т.о. Concept стал первым мак-

о Компьютерных Вирусах". Вкупе с

- Тогда же выходят еще два конструк-

ровирусом в истории. Антивирусники

книгой Ральфа Бургера и руковод-

тора вирусов: PS-MPC (Phalcon/Skism

и Misrosoft этого не ожидали. Если за

ством по MS-DOS, у рядового програм-

Mass-Produced Code Generator) è G2

десять лет, прошедшие со времен

миста есть все необходимое для стар-

от той же группы. Касперский говорит,

Brain'а, техника борьбы с файловыми

та на VX-сцене. Вирмейкерство возво-

что на его складе хранятся несколько

и загрузочными вирусами была отто-

дится в ранг искусства, создаются VX-

сотен вирусов, сгенерированных G2 и

чена, то теперь борцы за чистоту

компьютеров столкнулись с совер-

шенно новой концепцией построения

Вирмейкерство возводится в ранг искусства,

вирусов.

создаются VX-группы. И одновременно

- Вирмейкеры продолжают изощрять-

ся: появляются BAT-вирусы.

(или поэтому) начинается эра

1996

глобального вирусов

- Второй удар по самоуверенности

Гейтса. Появляется вирус Boza, прек-

группы. И одновременно (или поэто-

VCL, и больше тысячи, созданных при

расно заражающий Win95-системы.

му) начинается эра глобального расп-

помощи PS-MPC.

Да и стоит ли говорить, сколько но-

ространения вирусов. В ответ на это

- Антивирусные компании разрабаты-

вых макровирусов появилось за год?

возникает антивирусная индустрия.

вают успешные методы борьбы с по-

Одного MS Word'а им уже мало -

Сканеры, сторожа и пр. существовали

лиморфами, но появляется другая

Laroux, например, заражает Excel'евс-

и раньше, но сейчас за дело берутся

проблема - сканер определяет как по-

кие таблицы!

тяжеловесы - Symantec выпускает

лиморфные вирусы многие програм-

- Вирмейкеры начинают мечтать о

Norton AntiVirus.

мы, вирусами не являющиеся. Так что

Ring0-вирусах, а так как единствен-

- В том же 1990 году выходит 32-бит-

до победы над полиморфизмом еще

ным документированным способом

ная ОС Apple System 7.0, пользовате-

далеко.

воспользоваться сервисами нулевого

ли которой полностью защищены от

- Появляется несколько оригинальных

кольца является написание VxD, то

старых 16-битных вирусов. А до выхо-

вирусов. Например, Cruncher, архиви-

вскоре такой вирус появляется, и имя

да Win95 еще целых пять лет :). Viva

рующий зараженные им программы.

ему - Punch. Используя VxD-сервисы,

la Microsoft!

Punch перехватывает все обращения

1994

к файловой системе.

1991

- В Англии появляется вирус

1997

- С появлением Chameleon начинается

Pathogen. И ничего примечательного

эпоха полиморфных вирусов. Первый

в этом событии не было бы, если бы

- Появляется Bliss - вирус под Линукс.

же удачный полиморф Tequila вызы-

не тот факт, что автор был найден и

Точка.

1995. Ðàáî-

вает настоящую эпидемию. И все бы

арестован. Это одно из первых уго-

- Также в этом году появляются но-

ничего, но на сцену (во всех смыслах)

ловных дел, связанных с вирусами.

вые типы червей: ftp- и mIRC-черви.

òà íàä

Windows95

выходят такие личности, как Nowhere

- Также в 1994 году появляется изве-

- Происходит очередной раунд схватки

практически

Man, Dark Avenger, Dark Angel è äð.

стнейший представитель рода виру-

McAfee vs Dr.Solomon. Антивирусные

завершена,

тестерам

сов - One Half, который я до сих пор

продукты тестируются по двум основ-

рассылают-

1992

встречаю на некоторых компьютерах.

ным признакам: скорости сканирования

ñÿ áåòà-

- Известнейший вирмейкер Dark

версии. Все

диски с

Avenger выпускает MtE (Mutation

Скорость обычно замеряется на проверке

заражены

Engine) - полиморфный движок. В

Win95.Beta

практически чистого диска с парой вирусов,

Form.

поставку входит *.obj-файл и краткое

вирусом

руководство. С помощью этого движ-

а количество обнаруживаемых вирусов -

ка любой вирус можно превратить в

полиморфный, просто слинковав его

на огромной коллекции разнообразных вирей

ñ MtE.

- Nowhere Man не отстает и создает

НОВЫЕ ГОРИЗОНТЫ

VCL (Virus Creation Laboratory èëè

и количеству обнаруживаемых виру-

Viral Construction Laboratory) -

сов. Скорость обычно замеряется на

конструктор вирусов и NED (Nuke

1995

проверке практически чистого диска с

Encryption Device) - шифровальный

- Работа над Windows95 практически

парой вирусов, а количество обнаружи-

модуль, который можно использовать

завершена, тестерам рассылаются бе-

ваемых вирусов - на огромной коллек-

в любом вирусе.

та-версии. Все диски с Win95.Beta за-

ции разнообразных вирей. Так вот

- Dark Angel пишет DAME (Dark Angel

ражены вирусом Form. Репутация

McAfee обвинила Доктора Соломона в

Multiðle Encryðtor) - åùå îäèí óäà÷-

Microsoft как надежного производите-

следующем злодеянии: антивирус от

ный полиморфный движок.

ля ПО ощутимо крепнет :). Но вот, на-

Соломона, определив, что работает над

- И, наконец, VX-группа Trident выпус-

конец, выходит окончательная версия

коллекцией, а не над обычном диском,

êàåò TPE (Trident Polymorphic Engine).

Windows95, на релизе которой Гейтс

переключается в режим более тща-

- Выходит Windows 3.1 и тут же, сле-

заявляет, что с вирусной угрозой по-

тельного сканирования, чем обычно,

дом, первый вирус под нее - WinVer

кончено - по его словам, новая плат-

что снижает скорость, но увеличивает

1.4, заражающий NE-файлы.

форма полностью защищена от лю-

показатель "выявляемости". По словам

бых типов вирусов. Подтверждения

McAfee, только благодаря такому трю-

1993

того, как сильно она защищена, мы

ку, Dr.Solomon'овский антивирь нес-

- За год выходит несколько новых

видим каждый день на сайте Касперс-

колько раз выходил на первые позиции

версий вышеперечисленных прог-

кого :). Но тогда в неуязвимость новой

в рейтингах. Соломоновцы, в свою оче-

рамм-конструкторов, и теперь любой

системы действительно верили. Вери-

ХАКЕРСПЕЦ 10(35) 2003

				hang		e
			C			e	E
		X					E
	-							d
	F									t
	D									i
	D									r
P						NOW!				o
P
					BUY
				to	BUY
w Click				to

											m
w
	w									o
	.								.c
		p					g
			df			n		e
				-xcha

Гигант, купивший Доктора Соломона

пользователей стоит Acrobat Reader, а не просто Acrobat, заражения червем немногочисленны.

2002 - Если раньше вирмейкеры тратили

время на изобретение различных техник защиты кода вируса или оригинальных методик заражения, то теперь акцент сместился в сторону написания совершенно нетрадиционных вирусов, вроде следующих:

LFM-926 - вирус, заражающий *.swfфайлы (Shockwave Flash).

Sharp-A - первый .NET вирус, написанный на C#.

SQLSpider - червь на JavaScript, заражающий системы с запущенным MS SQL Server.

2003 - Появляется несколько любопытных

вирусов и червей, среди них: MBA.First - вирус, заражающий таблицы программы MapInfo. Написан вирус

редь, придрались к рекламному лозун-

гу MacAfee. Конкуренция, понимаешь.

1998

- В крышку гроба Win9x забивается

последний гвоздь - появляется CIH.

Уход в Ring0, перепрошивка Flash

BIOS, перехват всех обращений к

файловой системе, периодическое

стирание всей информации на диске -

Поддержи отечественного производителя!

вот краткий перечень достоинств

ÍÀØÈ ÄÍÈ

на встроенном языке программы -

WIN95.CIH :).

- Тогда же появляются первые поли-

MapBasic.

морфные Win9x-вирусы и Strange

2000

TrojanProxy.Win32.Zebroxy - троян, поз-

Brew - первый Java-вирус.

- ILOVEYOU aka LoveBug. Червь, по-

воляющий хозяину использовать за-

- Компания McAfee покупает компа-

дозрительно похожий на Мелиссу. Ви-

раженную машину как прокси-сервер.

нию Dr.Solomon. Бой окончен.

русы на VBScript приобретают неви-

Lovesan aka Lovsan aka Blaster aka

данную популярность.

Msblast aka Poza - обыкновенный

1999

- Liberty - первый вирус, вернее, троян

червь для NT-систем, получивший

- В Сети обнаружен макровирус

под Palm OS. Мобильники на очереди!

широкое распространение этим ле-

Melissa, побивший все рекорды по

том (2003). Я сам пару дней назад

скорости заражения. Melissa успешно

2001

прихлопнул файл msblast.exe на

сочетает методы действия сетевого

- Кроме эпидемий таких вирусов, как

своей машине :).

червя, рассылая себя всем людям, за-

CodeRed и SirCam, год знаменателен

несенным в адресную книгу Outlook, и

появлением PeachyPDF-A - червя,

×ÒÎ ÍÀÑ ÆÄÅÒ?

макровируса - заражая Word'овские

распространяющегося через PDF-до-

Да ничего хорошего. Если в кон-

документы.

кументы. Но так как у большинства

це 80-х годов, с тогдашним уровнем

развития коммуникаций и малой

W W W

распространенностью персональ-

ЛИНКИ

ных компьютеров, вспыхивали са-

мые настоящие эпидемии, то что же

говорить о дне нынешнем, когда

По идее, сейчас надо бы дать кучу ссылок, но дело в том, что на лю-

каждый школьник имеет доступ к

бом антивирусном сайте есть раздел, посвященный истории виру-

компьютеру, зачастую подключен-

сов. Короче говоря, сюда ходи:

ному к Сети, когда интернет превра-

тился из технической библиотеки

www.cert.org - существует со времен червя Морриса, заслужил

для специалистов в вещь, почти

почет и доверие.

столь же привычную, как телеви-

www.kaspersky.ru - существует немного :) меньше, но наш,

зор. Через несколько месяцев пос-

отечественный, значит, хороший.

ле выхода новой технологии или

www.cknow.com - Computer Knowledge. Есть хороший раздел об

платформы под нее появляется ви-

рус. Через пару дней после обнару-

истории вирусов. При написании статьи я активно пользовался

жения уязвимости в каком-либо се-

этим ресурсом.

тевом софте выходит простенький

www.google.com - самый главный твой друг. Бартерный принцип:

VBS-червь, использующий эту уяз-

даешь ему имя вируса, получаешь взамен кучу ссылок.

вимость. Раздали народу оружие,

теперь не обижайтесь.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha
								Û
								Ñ
								Ó
								Ð
								È
								Â

Раздали народу оружие, теперь не обижайтесь.

hang

NOW!

BUY

ВИРУСЫ

СЪЕДЯТ ЛИ ЧЕРВИ ИНТЕРНЕТ?

w Click

TanaT (tanat@hotmail.ru)

-xcha

СЪЕДЯТ ЛИ

Ð Ó

ЧЕРВИ ИНТЕРНЕТ?

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Â È

НАСКОЛЬКО ОПАСНЫ СОВРЕМЕННЫЕ ИНТЕРНЕТ-ЧЕРВИ

Ðазвелось что-то в последнее время много разных червей. Интернет, вроде бы, не яблоко, чтобы быть съеденным, но все шансы на это у него есть. В этой статье мы поговорим о сетевых червях и их влиянии на самую главную сеть нашей планеты.

Но чего все боятся? Прежде всего, того, что интернет упадет. На день или неделю. А может, насовсем. Думаешь, враки? Нет. Точно так же, как большому кораблю - большое плавание, так и глобальной сети - глобальный конец :).

»	ЧЕРВЯК
»	ОБЫКНОВЕННЫЙ
	ОБЫКНОВЕННЫЙ
		Вирусы (а также


	трояны, бэкдоры и т.п.)

сейчас у всех на слуху. Черви, однако, это разговор особый. В отличие от классических вирусов, средой обитания червей является Сеть. Цель вируса - заразить как можно больше файлов на компьютере, а червя - максимальное количество систем в Сети. К этому могут добавляться более прозаические зада- чи (потереть информацию, выкрасть и отослать данные и т.д.). Современные черви обладают функциональностью и огромного количества стандартных вирусов: они поражают файлы, оперативную память, загрузочные сектора. Именно потому, что червь - это больше, чем вирус, и его стоит серьезно опасаться.

Взглянем на проблему шире. Черви - это единственный вид вредоносного кода, который вызывает у пользователей и экспертов тревогу за будущее. Но чего все боятся? Прежде всего, того, что интернет упадет. На день или неделю. А может, насовсем. Пустые слова? Нет. Точно так же, как большому кораблю - большое плавание, так и глобальной сети - глобальный конец :). Интернет - это сложная система, которую вполне реально

Потери мировой экономики от вирусов (в млрд. долларах). По данным "Лаборатории Касперского"

рис. Константин Комардин

поставить на колени. Еще пару лет назад об этом не могло быть и речи, но сегодня случилось страшное: появились черви, эксплуатирующие ту или иную дыру в системе безопасности ПО и размножающиеся за счет этого с невероятной скоростью. То есть проблема "пользователя, которому надо что-то впаривать" уже сошла на нет.

Помнишь старого-престарого червя - LoveLetter? Этот червь буйствовал в течение лишь одного месяца, но внимания привлек к себе уйму. Автор этого творения, чтобы заставить пользователя открыть зараженный файл, писал в теме письма "I Love You!". Какой человек удержится от соблазна прочесть любовное письмо

от своей (своего) коллеги? Это психология. Психология прошлого. Сегодня она никому не интересна. Этот прием можно сравнить со стрельбой из пушек ядрами. Когда кавалерия наступает, это неплохой способ покрошить вражеских всадников. Но на дворе третье тысячелетие - компьютерный мир взял на вооружение новую заразу. Теперь, чтобы остановить наступление, используется ракета с ядерным боезарядом. Она несет в себе смерть: взрывную волну, радиацию, высочайшую температуру, магнитный импульс. Смерть для всего живого и техники. Точно так же и новый червь - он сам залезет на компьютер, ему не нужен пользователь, который по своей глупости и

ХАКЕРСПЕЦ 10(35) 2003

1 / 141 2 3 4 5 6 7 8 9 10 11 12 13 14 > Следующая >>>

Соседние файлы в папке специальные выпуски

#
20.04.202411.82 Mб1Специальный выпуск 30_Optimized.pdf
#
20.04.202411.84 Mб1Специальный выпуск 31_Optimized.pdf
#
20.04.202411.87 Mб1Специальный выпуск 32_Optimized.pdf
#
20.04.202411.69 Mб1Специальный выпуск 33_Optimized.pdf
#
20.04.202411.64 Mб1Специальный выпуск 34_Optimized.pdf
#
20.04.202412.09 Mб1Специальный выпуск 35_Optimized.pdf
#
20.04.202414.14 Mб1Специальный выпуск 36_Optimized.pdf
#
20.04.202413.53 Mб1Специальный выпуск 37_Optimized.pdf
#
20.04.202412.58 Mб1Специальный выпуск 38_Optimized.pdf
#
20.04.202413.28 Mб1Специальный выпуск 39_Optimized.pdf
#
20.04.202418.16 Mб1Специальный выпуск 40_Optimized.pdf