Hard & Soft, №11/1999

Вирусы в Интернете: насколько это опасно

Лозинский Дмитрий Николаевич

Родился 27 июня 1939 г. в Москве. В 1961 г. окончил мехмат МГУ. С 1965 г. работал в ГВЦ Госплана СССР, после ряда реорганизаций оказался в Министерстве экономики России. В ГВЦ первое время занимался экономическим моделированием. С 1966 г. понемногу изучал программирование, а с 1967 г. пришлось полностью перейти на этот вид деятельности. Занимался задачами обработки данных.
Осенью 1988 г. обнаружил в Госплане вирус Vienna. Написал программу, назвав ее Aidstest. С тех пор пришлось ее совершенствовать, добавляя обработку новых вирусов. В 1990 г. в связи с невозможностью распространения программы в одиночку заключил договор с Научным центром СП «Диалог» при ВЦ АН СССР, который теперь называется ЗАО «ДиалогНаука».
Среди своих главных достижений выделяет то, что ему удалось одним из первых осуществить прорыв в психологии потребителей - убедить достаточно многих людей, что программы можно покупать, даже если они и не защищены от копирования.

Любимый способ проведения досуга - в одиночку бродить по лесу.

Несколько лет назад основной темой мифов компьютерной вирусологии были «разрушители» и «убийцы» — страшные вирусы, «выводящие из строя аппаратуру компьютера» и «убивающие оператора посредством эффекта 25-го кадра». Они «вводили в резонанс головки жестких дисков», «сжигали мониторы», «доводили пользователей до самоубийства» и вообще пакостили, как могли. Слухи о существовании таких вирусов не имели под собой никаких реальных оснований, что, впрочем, не ослабляло энтузиазма их распространителей. (Заметим, что лишь много позднее появился вирус, который, при определенных условиях, действительно может повредить материнскую плату компьютера. — Д.Л.). В последние годы, знаменующиеся поистине революционным шествием по России «большого Интернета», «вирусосказатели» получили аудиторию, с легкостью принимающую на веру новые «страшилки». Но и вирусописатели, к сожалению, не замедлили воспользоваться новыми возможностями.

На протяжении нескольких лет самыми заметными фактами, связанными с темой «Вирусы и Интернет», были «червь» Морриса и «утка» GoodTimes. (Последняя мутировала бесчисленное число раз, что, впрочем, никак не отразилось на способности доверчивых пользователей ее кушать. — Д.Л.)

Вирус Морриса, хотя и является едва ли не самым знаменитым компьютерным вирусом (по разным оценкам, написанное в разных странах и в разное время об этом вирусе на порядок превосходит написанное о всех остальных вирусах, вместе взятых), в настоящий момент никому не угрожает. Это был «экспериментальный» (по утверждению автора, которому, впрочем, не удалось убедить присяжных в американском суде) вирус для UNIX-систем (конкретно - BSD), который умел только размножаться, чем и был опасен (от бесконтрольного размножения вируса сеть в короткое время оказалась перегружена и вышла из строя). Можно считать, что вирус этот был направлен против самой сети, до документов и программ пользователей ему не было дела.

Заметим, что «червь» Морриса, который появился в ноябре 1988 г., был не первым «экспериментальным» вирусом. Годом раньше (в декабре 1987 г.) в сеть одного из немецких университетов был запущен вирус Christmas Tree, написанный на языке управления заданиями REXX (этот язык использовался в операционной системе VM/CMS для компьютеров IBM 360/370). За короткое время из университетской сети вирус проник в сеть EARN (European Academic Research Network), из нее - в Bitnet и, наконец, - во внутреннюю сеть компании IBM Vnet. Здесь вирус локализовали и уничтожили, а «дыры» в программном обеспечении, наличие которых сделало возможным его распространение, закрыли. На устранение последствий этой вирусной атаки ушло более двух дней.

«Утка» GoodTimes, которая впервые появилась в 1994 г., значительно более «опасна», чем исторические сетевые вирусы. Количество поверивших в «страшные» письма, часто рассылаемые от имени той или иной известной компьютерной фирмы (иногда и от имени антивирусных фирм), превосходит все разумные границы. Суть «предупреждения», которое содержится в этих письмах, такова: имеется вирус, который способен заразить ваш компьютер при чтении обычного (текстового) электронного письма. Т. е. такое письмо не только читать нельзя, но и получить опасно. Бойся сам и испугай другого! О том, что все это ерунда, много раз твердили миру различные авторитетные специалисты, профессионалы в области компьютерной вирусологии и защиты компьютерных сетей. Только кто же им поверит!

Забавное замечание

Пока автор писал этот текст, в его почтовый ящик пришло письмо следующего содержания (орфография оригинала полностью сохранена):

«Эта информация пришла вчера утром от Микрософта. Пожалуйста, передайте ее каждому, кто имеет доступ в Интернет.

Вы можете получить с нечто виду безобидное. Дальше: Будвайзер, названный «BUDDYLYST.ZIP». Если получите, то НИ В КОЕМ СЛУЧАЕ ЕГО НЕ ОТКРЫВАЙТЕ, а сразу удалите. Если его откроете, то потеряете все, что есть в вашем компьютере. Жесткий диск будет полностью уничтожен, а лицо, которое вам послало сообщение, получит доступ к вашему имени и паролю в интернете. Насколько известно, вирус появился вчера утром (наверное, уже позавчера). Это новый вирус и очень опасный. Пожалуйста, скопируйте это сообщение и пошлите его всем, кто есть в вашем списке е-мейлов. Необходимо сделать все, чтобы этот вирус остановить. AOL подтвердил, что это вирус очень опасен, и пока не существует никакой антивирусной программы против него. Пожалуйста, примите меры предосторожности и передайте эту информацию своим знакомым и т. д.».

Мне часто приходят письма подобного содержания. Одно из предыдущих помимо предупреждения о «новом вирусе, от которого нет и не может быть противоядия», содержало просьбу послать 5 дол. по определенному адресу и ждать, пока тысячи лохов пришлют деньги мне.

В этой короткой заметке мы дадим обзор реальных опасностей, которые могут подстерегать обычных пользователей Интернета. Мы совсем не затронем вопросы защиты серверов и корпоративных сетей — это тема более серьезного и развернутого обсуждения. Предположим, что наш читатель работает в операционных системах Windows 95/98 и использует Интернет так, как сегодня предлагают большинство провайдеров: связь с сервером провайдера по протоколу РРР, работа с электронной почтой по протоколам POP и SMTP. (Проще говоря, если вы работаете с Интернетом дома, дозваниваетесь до провайдера посредством модема, для просмотра Web-страниц используете Internet Explorer или Netscape Navigator, а для работы с электронной почтой, например, Outlook Express, то это ваш случай. - Д.Л.)

Опасность № 1 (реальная) - вложенные файлы

Рассмотрим типичную ситуацию: вы получили электронное письмо, во вложении к которому находится документ Microsoft Word. Например, с безобидным названием LETTER. DOC. Конечно, вы захотите поскорее ознакомиться с содержимым файла, благо при использовании большинства современных почтовых программ для этого достаточно щелкнуть мышкой на имени файла. И ЭТО - ОШИБКА! Если в файле содержится макрокомандный вирус (а вирусы этого типа, заражающие документы Microsoft Word, Microsoft Excel и ряда других популярных систем документооборота, получили в последнее время огромное распространение), он немедленно заразит вашу систему. (В последних версиях систем, которые могут подвергнуться вирусной атаке, имеется проверка на наличие макрокоманд в открываемых файлах. Но это слабое утешение. Во-первых, данную проверку можно отключить. Во-вторых, файл может содержать вполне «мирные» макрокоманды: не отключать же их «на всякий случай». — Д.Л.) Так что же делать с вложенным документом? Потратить несколько лишних секунд: сохранить его на диске, проверить антивирусной программой последней версии и только потом, если вирусов в файле не обнаружено, открывать. Есть и еще более простое решение — использовать антивирусную программу, осуществляющую автоматическую проверку приходящей электронной почты.

Конкретный пример

Широкую известность получил макрокомандный вирус WM.ShareFun. Его особенность заключается в том, что он пытается использовать для распространения электронную почту (и в ряде случаев ему это удается). Механизм функционирования этого вируса следующий: при открытии зараженного документа с некоторой вероятностью вызывается макрокоманда, которая сохраняет текущий документ под именем C:\DOC1.DOC, сканирует Microsoft Mail (если данная система не установлена, то вирус перезагружает Windows), выбирает из адресной книги три случайных адреса и посылает по этим адресам зараженный документ C:\DOC1.DOC (как вложенный файл, разумеется). Данные письма содержат заголовок: You have GOT to read this!

Опасность № 2 (реальная) - троянские программы

Имеется значительное количество троянских программ, которые воруют пароли пользователей и прочую системную информацию и пересылают их злоумышленникам. Некоторые из них по существу представляют собой полнофункциональные утилиты для удаленного администрирования компьютера. Проще говоря, посредством такой программы злоумышленник может получить доступ к вашему компьютеру и выполнять на нем различные операции (практически любые) без вашего ведома и участия.

Характерным представителем троянцев описанного типа является программа Back Orifice (ВО). «Back Orifice является системой удаленного администрирования, позволяющей пользователю контролировать компьютеры при помощи обычной консоли или графической оболочки. В локальной сети или через Интернет ВО предоставляет больше возможностей на удаленном Windows-компьютере, чем имеет сам пользователь этого компьютера» — это текст из «рекламного» объявления на одной из хакерских Web-страниц. Разумеется, возможность удаленного администрирования вашего компьютера представляет серьезную опасность, но не такую большую, как кажется на первый взгляд. Обычные пользователи проводят в Сети не так много времени (качество телефонных линий этому, надо сказать, способствует), да и что такого «интересного», с точки зрения хакера, можно сделать на вашем компьютере? Оказывается, можно, только администрировать ничего не надо. Существенный интерес для хакера представляют пароли. Заполучив пароль, хакер может запросто «просадить» все ваши денежки и/или заниматься своими темными делишками под вашим именем.

Опасность № 3 (знать о которой не бесполезно) - HTML-вирусы

Вирусы данного типа встречаются редко, так что информация о них представляет скорее «академический» интерес, нежели практический. Суть такова: на самом языке HTML, который используется для разметки гипертекстовых документов, никакие вирусы, конечно, написать нельзя. Но для создания динамических страниц, организации взаимодействия с пользователем и прочих действий используются программные вставки (скрипты) в HTML-документы. Известные HTML-вирусы используют скрипты, написанные на языке Visual Basic. С их помощью они находят НТМ- и HTML-файлы на локальной машине и записываются в них. Иногда такие вирусы как-нибудь проявляют себя (например, выводят MessageBox). Малому распространению вирусов данного типа (равно как и малому их числу) способствует то, что при стандартных настройках броузера выполнение «опасных» скриптов (а к таковым относятся и те, в которых происходит обращение к файлам локального компьютера) запрещено. Обычные же, «безопасные», скрипты не могут производить описанные манипуляции.

Некоторые вирусы дописывают к HTML-файлам код, инициирующий загрузку файла с удаленного компьютера. Этот файл обычно выдается за какое-нибудь полезное, иногда достаточно известное, программное обеспечение (например, новую версию архиватора). Далеко не всякий пользователь задумается над тем, с чего это вдруг ему предлагается загрузить программу, которую он не просил. К навязчивости рекламы мы все уже привыкли. А только что полученную программу, конечно, надо сразу испробовать! Все ли перед этим проверят полученный из сети файл антивирусной программой?

Опасность № 4 (гипотетическая) - Java-вирусы

В настоящее время известны два вируса, написанные на языке Java. Опасности они практически не представляют. Кратко поясним, в чем суть. Исполняемые модули программ, написанных на Java (CLASS-файлы), бывают двух типов: приложения и аплеты. Приложения выполняются под управлением интерпретатора и являются почти обычными программами (почти, ибо имеются все же некоторые ограничения, например, в области работы с памятью). Аплеты, в отличие от приложений, могут выполняться под управлением броузеров, но на них накладываются значительно более серьезные ограничения для обеспечения безопасности: аплеты, в частности, не имеют почти никакого доступа к файловой системе локального компьютера (кстати, в отличие от случая со скриптами отключить данное ограничение в броузере невозможно). Таким образом, Java-вирусы могут быть оформлены только как приложения и для подавляющего большинства пользователей опасности не представляют.

Отметим, что возможность заражения файлов на сервере HTML- и Java-вирусами практически исключена (администратор такого сервера для этого должен совершить вопиющие ошибки). Так что распространять такие вирусы могут лишь серверы с определенной репутацией.

Опасность № 5 (специфическая) - IRC-вирусы

IRC (Internet Relay Chat) — специальный протокол, обеспечивающий общение пользователей Сети в реальном времени. Организуется такое общение при помощи специальных IRC-серверов, подключение к которым производится посредством специальных программ - IRC-клиентов. Широко известны и используются два IRC-клиента mIRC и PIRCH. IRC-вирусы существенно используют два факта: во-первых, протокол IRC помимо простого общения позволяет пользователям обмениваться файлами, при этом инициировать пересылку файла может отправитель (например, в ответ на появление в сообщении какого-нибудь слова); во-вторых (и это явная «дыра» некоторых версий IRC-клиентов, которая в настоящее время ликвидирована), присланные файлы располагаются в корневом каталоге клиента. Последняя особенность позволяет вирусу замещать системные файлы клиента (конкретно — SCRIPT.INI) таким образом, что при следующем старте клиента он оказывается зараженным и сам начинает рассылать «подарочки».

Первые IRC-вирусы mIRC.Acoragil и mIRC.Simpsalapim были обнаружены осенью 1997 г. Названия эти вирусы получили по используемым ими кодовым словам, при вводе слов Acoragil и Simpsalapim соответственно вирусы отключают пользователей от канала. Кроме того, вирус mIRC.Acoragil ворует системные файлы DOS, Windows и Unix.

Опасность № 6 (которая никому не грозит) - FTP-вирус Homer

Для полноты картины упомянем вирус, автор которого предполагал использовать для его распространения FTP-протокол (File Transfer Protocol). Ни одного случая заражения этим вирусом по FTP зафиксировано не было, но сам факт существования такого вируса стал широко известным. На самом деле Homer является довольно обычным файловым вирусом, который при соединении пользователя с FTP-сервером пытается переслать свою копию в каталог Incoming (предназначенный для файлов, присланных пользователями). Поскольку в протоколе FTP отсутствует возможность запуска файлов на удаленном компьютере, этим «распространение» вируса ограничивается. Для активизации его необходимо запустить «руками».

В этой статье мы очень кратко рассмотрели возможные угрозы, которые может представлять сегодня использование Интернета. Легко видеть, что из всего вышесказанного следует: минимум внимания к современным антивирусным средствам обеспечит вам вполне достаточный уровень безопасности. Но лучше, конечно, уделять не минимум внимания, а немного побольше.