ЭКСПОНАТ

№ 001422
3
22379

Маскировка вирусов: узнай врага

(Залогиньтесь, чтобы почистить страницу.)

Прошли те страшные времена, когда подцепить вирус можно было, просто открыв присланное по электронное почте письмо (если оно было в формате html - самозапускался вредоносный код). В прошлом осталась и возможность заражения во время обычного посещения чата (в ряде версий чатов хакеры и вирусописатели получали доступ к компьютеру простого пользователя). Но теперь подавляющее большинство случаев заражения вирусами происходит с помощью самого владельца компьютера. Ведь вирус - как вампир: сначала его нужно пригласить, сам он войти к вам практически не может. Но никто ж не пустит вампира вирус по доброй воле! И потому вампир вирус, чтобы втереться в доверие, притворяется кем-то другим. Кем же?

Распространение

Существует не одна тысяча вредоносных для компьютера программ. Какие-то из них похожи, как близнецы-братья, другие в течение некоторого времени остаются уникальными, пока в свою очередь не подвергаются модификациям и клонируются – и все с одной целью: оставить тот или иной зловещий для бедного пользователя след. Но интересней другое: если противостоять новому вирусу с не известным прежде путем заражения, действительно, непросто – то способы защиты от известных вирусов довольно банальны. Но наш бедный пользователь с завидным постоянством наступает на одни и те же грабли.

В наши дни основной канал распространения вирусов — электронная почта. Пользователю приходит письмо, содержащее вложение. Стоит его открыть – вредоносная программа начинает свою работу. Также весьма распространены и ссылки на якобы фото, музыку либо программы, в действительности являющиеся вирусами. Эти ссылки можно получить, опять-таки, по почте, а также по ICQ, в чатах – да где угодно.

При этом если у пользователя стоит не самая свежая версия антивирусной программы (про «не стоит никакая вовсе» и не говорим!) – то она может не опознать новую модификацию даже известного прежде вируса. А так как вирусы пишутся ежесекундно – то полной гарантии защиты, в принципе, нет. Но ведь и голова пользователю зачем-то дана! Зачем открывать все приложенные файлы? Но пользователь снова и снова попадается на старые удочки.
А вредоносные программы, в свою очередь, горазды маскироваться. Чем только они ни притворялись!

Фото: digitalcraft.orgТак, в 2000 году буйствовал известный червь «I love you» (в русских описаниях названный «Любовный вирус»). Он распространялся через электронную почту тех, кто использовал Microsoft Outlook. После открытия файла, приложенного к письму, вирус уничтожал или изменял некоторые файлы на зараженной машине. Кроме того, червь сразу же, в момент запуска, рассылал себя по всем адресам адресной книги пользователя.

Получалось довольно хитро: даже если пользователь бывал настороже и не открывал писем от незнакомцев – письмо от собственной подружки (чей компьютер уже был заражен) со словами «Я тебя люблю» он не мог пропустить. А после этого все его адресаты получали того же червя, и так далее, и тому подобное. Объемы заражения росли как снежный ком.

Конечно, врага нашли и распознали; пользователей предупредили; но одна отдельно взятая антивирусами победа в глобальном смысле ничего не дала. «Любовный вирус» мутировал и стал притворяться другими соблазнительными темами. Так, множество людей попалось на его очередной вариант, замаскировавшийся под резюме для найма на работу. Те, кто не так серьезен, купились на подборку анекдотов, информацию о подарке или счет за авиабилеты (подробности в аттаче). Но это было все тем же вирусом «I love you» с все тем же принципом защиты: не открывать непонятные вложения в письме!

Хотя и это – не панацея. Вот, например, вирус, маскирующийся под ссылку для загрузки одной из версий Internet Explorer. Письмо при этом будто бы приходит с адреса admin@microsoft.com с темой Internet Explorer 7 Downloads. Еще больше пользователя смущает само письмо – оно оформлено в стиле сайта Microsoft. Для заражения достаточно просто кликнуть по ссылке.

Фото: afterzed.comПо такой же схеме работают приглашения посмотреть «фото с запретной вечеринки» или «открыть поздравительную открытку». При этом URL, ссылка на который «пришита» к письму, на самом деле таковым не является. Это программа-вирус, название которой имитирует интернет-адрес. Если на него кликнуть, то она активизируется и начнет вести себя, как нормальный червь. Первый вирус этой серии получил название «Myparty». Как пояснили специалисты из лаборатории Касперского, «это действительно новая техника манипуляции сознанием пользователя. В остальном - это классический интернет-червь, ничем не отличающийся от сотен себе подобных созданий». Так что делаем выводы: ни вложения в письмах не открываем, ни по невнятным ссылкам не щелкаем.

Есть ставший уже классическим анекдот про вирусы. «Вы только что получили Талибан-вирус. Так как мы в Афганистане не так технологически продвинуты, это – РУЧНОЙ вирус. Пожалуйста, самостоятельно удалите все файлы на вашем жестком диске, и отправьте этот вирус по почте каждому кого Вы знаете. Большое спасибо за помощь». Коллективный сетевой разум распространил этот анекдот, приписав множеству национальностей: «Я – бедный албанский вирус...», «Мы в Белоруссии не так продвинуты...» и т.п. Но шутка именно в том, что пользователю предлагается самому нанести ущерб своему компьютеру.

Маскировка

Голая Анна Курникова - это злоПод каждый вирус существует своя целевая аудитория, а вирусописатели, в свою очередь, всегда в курсе самых свежих новостей. Так, не успели отгреметь теракты в летнем Лондоне 2005 года – как появился вирус, якобы содержащий уникальную видеозапись одного из мест происшествия. Этот вирус рассылался по почте, используя подставные адреса отправителей, с заголовком «TERROR HITS LONDON» (Террор сотряс Лондон). В тексте письма содержится призыв открыть приложенный файл «London terror moovie.avi».

«Avi» кажется пользователю чем-то безопасным: ролик и ролик. Это вам не подозрительный zip или вообще не пойми что! Но и при его открытии происходит заражение компьютера. Совершенно аналогичен вирус, заманивающий получателей сообщением о «самоубийстве Майкла Джексона» или с сообщением о «поимке Усамы бин Ладена». По любой горячей теме был свой «горячий» вирус, способный маскироваться под файлы множества форматов.

Одна из вредоносных программ мастерски притворялась новостной рассылкой сайта CNN.com. Вирус, получивший название Crowt-A, в рассылаемых письмах размещал свежую информацию, автоматически полученную с сайта CNN. При этом в заголовок письма выносится одна из новостных строк, такое же имя имеет приложенный к письму файл с непосредственно вирусом. Таким образом, пользователь поневоле думает, что письмо исходит от самой компании CNN.

Да что там CNN – маскировались вирусы и под Федеральное бюро расследований США. В зараженных посланиях от имени ФБР сообщалось, что получатели посещали запрещенные сайты, и это стало известно компетентным органам. «Застуканному» пользователю предлагалось открыть прилагаемый к письму файл и ответить на несколько вопросов... Дальнейшее понятно: вирус начинал свою работу.

Фото: acclaimimages.comКонечно же, российского пользователя, по большей части не владеющего английским языком в совершенстве, а также мало волнующегося о преследовании со стороны ФБР, на такие уловки не возьмешь. Но хотя большинство подобных писем в наш адрес действительно остаются невостребованными – некоторая часть пользователей умудряется заражаться и от них. Зато наши вирусописатели берут эти идеи на заметку и сочиняют уже русские тексты писем.

Например, ряд барнаульских пользователей Интернета получили электронные письма, направленные от имени системного администратора своего провайдера. В письмах сообщалось о проблемах, «возникших с поддержкой вашего адреса электронной почты» и предлагалось прочитать подробности во вложенном архивном zip-файле. В действительности «письма от провайдера» представляли собой вирусную рассылку, но запуганный пользователь вполне мог открыть вложение: а вдруг там что-то важное? С провайдером лучше не шутить...

Фото: hambonz.comХитом сезона когда-то стало открытие, что вирус маскируется под... антивирус. Черви распространялись в электронных сообщениях, якобы предупреждающих об атаке вредоносного ПО с такими заголовками как «Атака червей!» или «Атака шпионских программ!». Для того чтобы сообщения выглядели более правдоподобно, в поле «отправитель» указывались источники, которым пользователь обычно доверяет, например, Поддержка клиентов (Customer Support).

Более того, существует вирус-червь, который маскируется под утилиту для очистки от вирусов и даже производит кое-какие антивирусные действия. Этот вирус называется All3gro. Он приходит по электронной почте в письме с заголовком «New antivirus tool» («Новое антивирусное средство») и присоединенным файлом «Antivirus.exe», в котором и содержится вирус. Если открыть этот файл, то вирус разошлет себя по адресам из адресной книги пользователя. В зависимости от дня недели All3gro может произвести и кое-какие антивирусные действия, например, очистить компьютер от вируса Sircam или удалить вирус Pretty Park, но себя он с компьютера не удаляет.

Ну и, конечно, нельзя не упомянуть о классике жанра: приманках-клубничках. Банально и очевидно — но покупаются и покупаются. Ибо слова вроде «Голая Анна Курникова» или «Горячие фотографии Бритни Спирс» способны начисто отключить мозг у значительной части компьютерных пользователей. Трясущиеся в предвкушении, они открывают сообщение и находят несколько эротических фотографий звезды. Однако простым щелчком мыши на фотографии они фактически сами загружают вредоносный код в свой компьютер.

Оказавшись в компьютере, вирус может тормозить скорость его работы или полностью выводить его из строя; может засорять эфир спамом; может воровать и отсылать своему создателю информацию — особенно ценными бывают данные о кредитных и банковских картах, ведь с их помощью вирусописатель сделает от вашего имени покупки и наделает долгов. Дело выгодное, и потому новые вредоносные программы пишутся и маскируются, чтобы прожить дольше и собрать больший улов.

Есть вирусы, маскирующиеся под видеоклипы; есть трояны, мимикрирующие под модуль голосовой связи Skype; есть попытка закоса под iTunes — онлайновый музыкальный магазин Apple... А чего нет? Еще нет универсального средства борьбы с вирусами, поскольку до тех пор, пока пользователь готов повестись на «голую Анну Курникову», пока он не может обуздать любопытство «А что там в приложении или по ссылке?» — найдется тот, кто спрячет за этим очередной хитрый, новый и вредоносный код. А поскольку вредные ссылки могут быть помещены хакерами даже на самых благопристойных сайтах — остается убить себя об стену или не экономить на свежем антивирусном ПО.

Тэги:I love you, Анна Курникова, Бритни Спирс, вирусы, заражение, компьютер, трояны, черви, электронная почта
Опубликовал:академик Инесса Карантин 19 марта 2008

Рейтинг экспоната:

ОБСУЖДЕНИЕ ЭКСПОНАТА


профессор D.e.X 26 января 2011 14:06
Мдаа... Спасибо, автору плюс! Я, конечно, об этом знал, но чтобы до такой степени...))

0


профессор илья тереханов 18 мая 2011 08:48
Я тоже обо всем этом знал, но спасибо. Статья хорошая

0


профессор Спок 15 июня 2011 05:48
хорошая статья.

0

Только зарегистрированные и авторизованные пользователи могут оставлять комментариии.

Rambler's Top100