График зависимости числа вирусов в e-mail от времени

Важным является и то, что сетевые черви мутируют: сегодня вы вряд ли найдете “чистого” сетевого червя. Современный “червяк” содержит в себе элементы скрипт-, исполняемых и полиморфных вирусов, а также кое-что от троянских коней. Хорошим примером служит I-Worm.Magistr. Его автору всего в 30 килобайтах ассемблерного кода удалось реализовать очень сложный резидентный полиморфный вирус, процедуру распространения по локальной сети и электронной почте и, в дополнение, деструктивную функцию CIH. Как результат: вирус-червь, заражающий приложения Windows (исполняющиеся EXE-файлы) и распространяющий свои копии в зараженных письмах электронной почты. Червь также способен распространяться и по локальной сети, заражая файлы на сетевых дисках, открытых на полный доступ. Через месяц после заражения компьютера он стирает всю информацию на диске, данные в CMOS-памяти и содержимое Flash-памяти.

Рассказ о сетевых червях был бы неполным без упоминания I-Worm.Hybris. Это один из первых многокомпонентных вирусов, имеющих функцию самообновления. Представьте себе вредный код, состоящий из основной программы и дополнительных plug-in подпрограмм, которые могут подключаться к Hybris’у в любой момент по желанию автора данного червя. Например, подпрограмма заражения ZIP и RAR архивов, внедрения на компьютеры, зараженные "троянцем" SubSeven, шифрования и т. д. Помимо этого, в Hybris есть очень хитрая система перекачивания этих plug-in'ов с анонимного Web-сайта. Обычно такие сайты легко закрыть. Но автор изобрел другой способ – вирус соединяется с электронной конференцией alt.comp.virus и ищет там новые версии подпрограмм. А чтобы под видом plug-in вирусу не предложили антивирус, каждый модуль имеет цифровую подпись (128-битный ключ RSA), что обеспечивает 100% аутентификацию! Это действительно уникальный способ – ведь конференцию закрыть невозможно!

Бреши в системе безопасности и бестелесные черви.

В 2001 году был обнаружен новый тип вредоносных кодов, способных активно распространяться и работать на зараженных компьютерах без использования файлов. В процессе работы такие вирусы существуют исключительно в системной памяти, а при передаче на другие компьютеры - в виде специальных пакетов данных.

Такой подход поставил сложные задачи перед разработчиками антивирусных пакетов. Традиционные технологии (антивирусный сканер и монитор) проявили неспособность эффективно противостоять новой угрозе, поскольку их алгоритм борьбы с вредоносными программами основан именно на перехвате файловых операций. Решением проблемы стал специальный антивирусный фильтр, который в фоновом режиме проверяет все поступающие на компьютер пакеты данных и удаляет “бестелесных” червей. Глобальная эпидемия сетевого червя CodeRed, начавшаяся 20 июля 2001 года (по некоторым оценкам зараженными оказались более 300 тыс. компьютеров), подтвердила действенность технологии "бестелесности". Но еще “больнее” оказалась недавняя эпидемия Helkern’а (25 января 2003 года).

В августе 2001 года Николас Уивер (Nicholas Weaver) из университета Беркли (США) опубликовал исследование о технологии создания червя “Warhol” (также известен как “Флэш-червь”), который в течение 15 минут способен распространиться по всему миру. Именно поэтому червь был назван в честь Энди Уорхола (Andy Warhol), автора фразы “в будущем у каждого появится возможность испытать 15 минут славы”. Примерно такая же идея и была реализована в Helkern’е.

Интернет-червь Helkern (также известен под именем Slammer) заражает серверы под управлением системы баз данных Microsoft SQL Server 2000. Небольшой размер червя (всего лишь 376 байт), уникальная технология заражения и сверх высокая скорость распространения позволили червю получить титул “главной угрозы нормальному функционированию Интернет за последние несколько лет”. Microsoft SQL Server 2000 это многофункциональная система управления базами данных, которая широко используется в том числе и на Web-серверах. Для домашних пользователей, которые самостоятельно не устанавливали Microsoft SQL Server Helkern не представляет опасности.

Червь незаметно проникает на компьютеры через брешь класса "переполнение буфера" (Buffer Overrun) в системе безопасности Microsoft SQL Server. Для этого на целевой компьютер посылается нестандартный запрос, при обработке которого система автоматически выполняет и содержащийся в запросе вредоносный код червя. Далее Helkern начинает процедуру дальнейшего распространения по сети Интернет. Этот процесс отличается исключительно высокой скоростью рассылки копий червя: Helkern запускает бесконечный цикл распространения, и, таким образом, многократно повышает сетевой трафик. Сегодня MS SQL Server является одной из самых популярных баз данных, которая используется на сотнях тысяч компьютеров по всему миру. События показывают, что на большинстве из них до сих пор не установлены обновления системы защиты. Мы опять сталкиваемся с халатностью, но на этот раз не домашних пользователей, а искушенных системных администраторов. Уж кому, как не им, знать о важности своевременной установки заплаток. Думаю, случай с Helkern’ом послужил им хорошим уроком.