Бреши в системе безопасности и бестелесные черви.

В 2001 году был обнаружен новый тип вредоносных кодов, способных активно распространяться и работать на зараженных компьютерах без использования файлов. В процессе работы такие вирусы существуют исключительно в системной памяти, а при передаче на другие компьютеры - в виде специальных пакетов данных.

Такой подход поставил сложные задачи перед разработчиками антивирусных пакетов. Традиционные технологии (антивирусный сканер и монитор) проявили неспособность эффективно противостоять новой угрозе, поскольку их алгоритм борьбы с вредоносными программами основан именно на перехвате файловых операций. Решением проблемы стал специальный антивирусный фильтр, который в фоновом режиме проверяет все поступающие на компьютер пакеты данных и удаляет “бестелесных” червей. Глобальная эпидемия сетевого червя CodeRed, начавшаяся 20 июля 2001 года (по некоторым оценкам зараженными оказались более 300 тыс. компьютеров), подтвердила действенность технологии "бестелесности". Но еще “больнее” оказалась недавняя эпидемия Helkern’а (25 января 2003 года).

В августе 2001 года Николас Уивер (Nicholas Weaver) из университета Беркли (США) опубликовал исследование о технологии создания червя “Warhol” (также известен как “Флэш-червь”), который в течение 15 минут способен распространиться по всему миру. Именно поэтому червь был назван в честь Энди Уорхола (Andy Warhol), автора фразы “в будущем у каждого появится возможность испытать 15 минут славы”. Примерно такая же идея и была реализована в Helkern’е.

Интернет-червь Helkern (также известен под именем Slammer) заражает серверы под управлением системы баз данных Microsoft SQL Server 2000. Небольшой размер червя (всего лишь 376 байт), уникальная технология заражения и сверх высокая скорость распространения позволили червю получить титул “главной угрозы нормальному функционированию Интернет за последние несколько лет”. Microsoft SQL Server 2000 это многофункциональная система управления базами данных, которая широко используется в том числе и на Web-серверах. Для домашних пользователей, которые самостоятельно не устанавливали Microsoft SQL Server Helkern не представляет опасности.

Червь незаметно проникает на компьютеры через брешь класса "переполнение буфера" (Buffer Overrun) в системе безопасности Microsoft SQL Server. Для этого на целевой компьютер посылается нестандартный запрос, при обработке которого система автоматически выполняет и содержащийся в запросе вредоносный код червя. Далее Helkern начинает процедуру дальнейшего распространения по сети Интернет. Этот процесс отличается исключительно высокой скоростью рассылки копий червя: Helkern запускает бесконечный цикл распространения, и, таким образом, многократно повышает сетевой трафик. Сегодня MS SQL Server является одной из самых популярных баз данных, которая используется на сотнях тысяч компьютеров по всему миру. События показывают, что на большинстве из них до сих пор не установлены обновления системы защиты. Мы опять сталкиваемся с халатностью, но на этот раз не домашних пользователей, а искушенных системных администраторов. Уж кому, как не им, знать о важности своевременной установки заплаток. Думаю, случай с Helkern’ом послужил им хорошим уроком.

Ущерб мировой экономики от вирусов. В млрд. долларов

Помимо создания большого объема избыточного сетевого трафика Helkern не имеет других побочных действий, в том числе деструктивных. Однако одного этого оказалось достаточно, чтобы блокировать 25% всего Интернета! Только представьте: каждый четвертый запрашиваемый сайт был попросту недоступен.

Теперь поговорим о “дырах” в системах безопасности ПО. Многое указывает на то, что именно в этом направлении потечет дальнейшая эволюция компьютерных вирусов. Использование брешей в сетевых сервисах позволяет вирусам заражать ОС и распространяться с огромной скоростью и без вмешательства человека. Макро- и исполняемые вирусы требовали, чтобы “хозяин” запустил их. Klez сводил роль пользователя в заражении ПК к минимуму: нужно было лишь подвести мышку. В размножении бестелесных червей человек вообще не участвует!

Если вспомнить известную истину “программ без ошибок не бывает”, то становится вообще скучно. Стоит кому-то покорпеть несколько месяцев, отыскав неизведанные дыры в самых популярных продуктах, и выпустить в свет несколько бестелесных червей, как Интернет вообще “ляжет” на несколько дней. Убытки будут колоссальными.

Итог.

Макровирусы отжили свое. Исполняемые вирусы встречаются довольно редко. Жертвами этих двух видов тварей становятся лишь самые ленивые пользователи. Будущее за червями. И не просто сетевыми червями, а вирусами, размножающимися с минимальным участием (а порой и нулевым) человека.

Но не все так плохо. Ведущие эксперты антивирусных компаний проводят много времени за изучением статистики. В результате дальнейшие пути развития вирусной индустрии не являются для них откровением. Хочу привести несколько примеров.

Евгений Касперский, руководитель антивирусных исследований компании Лаборатория Касперского, предсказал возможность глобальной эпидемии скрипт-вирусов (подобных LoveLetter), еще в ноябре 1998 года, когда был обнаружен вирус Rabbit. Тогда многие поспешили обвинить компанию в раздувании вирусной истерии, однако весна 2000 года расставила все на свои места. Сейчас известно более 80 разновидностей LoveLetter. В целях защиты своих пользователей не только от существующих, но и от будущих версий вируса, Лаборатория Касперского разработала технологию Script Checker. Благодаря механизму эвристического анализа скриптов, Script Checker защитил пользователей от всех вариантов LoveLetter, не требуя никаких дополнительных обновлений антивирусной базы. Согласитесь, приятный момент в истории развития вирусов.

Следующим плюсом идет Office Guard. Еще один модуль, входящий в состав Антивируса Касперского, обеспечивающий защиту на этот раз от макровирусов. Эта технология не позволит ни одному макровирусу причинить какой-либо вред вашим данным и заразить другие файлы. Таким образом, уже от двух видов вирусов существует 100% защита.

Будучи даже самым подозрительным пользователем вы окажетесь бессильным против червя, атакующего вас в фоновом режиме, без вашего участия. Поэтому я рекомендую вам устанавливать все обновления используемого сетевого ПО своевременно и обновлять антивирусные базы один раз в сутки. Только с помощью очень жесткой гигиены можно обезопасить свой компьютер. А остальное предоставьте антивирусным экспертам – они не подведут.