Rambler's Top100
 
 
  03 декабря 2008 года Компьюлента
CIO
Терралаб
Бизнес-журнал
в поле зрения | обзоры и тесты | своя игра | интерактив
Классификация гадов
Автор: Андрей Васильков
Опубликовано в журнале "Компьютерра" №29-30 от 03 сентября 2003 года

К сожалению, прогресс приносит отнюдь не только блага. Компьютер полушутя называют устройством, которое «…было создано для решения проблем, до его изобретения попросту не существовавших». Компьютеризация и осетенение принесли с собой помимо преимуществ в работе с информацией еще и огромную головную боль — саморазмножающиеся программы, получившие устрашающее название «вирусы». Сегодня из них наиболее активно развивается класс «червей». Вот о нем и поговорим.

 Эпидемии сетевых червей со времен творения Морриса (1988) до наших дней вызывают панику среди пользователей и наносят убытки на миллионы долларов. За пятнадцать лет они заметно эволюционировали, став гораздо быстрее и опаснее. С одной стороны, это обусловлено увеличением популярности средств удаленной связи, а с другой — совершенствованием собственно кода червей. Анализ последнего делает очевидными причины успешных сетевых пандемий.

Начнем разбор с первого в истории червя, автором которой является Роберт Таппан Моррис-младший. В свои 23 года он решил проверить на практике гипотезу о возможности существования саморазмножающихся программ. Идея эксперимента заключалась в создании такой программы, которая распространялась бы по IP-сети, отдавая предпочтение серверам электронной почты. Первая копия обнаружилась 2 ноября 1988 года в 18:24 на компьютере компании Rand (тихоокеанское побережье США). Затем червь попадает в Беркли, через полтора часа его находят в штате Мэриленд, еще через час — в Юте… далее — повсеместно. Следующим утром в 05:07 специалисты Беркли пытаются разослать черновые рецепты локализации червя. Однако Интернет уже перегружен трафиком, сгенерированным детищем Морриса, и многие просто не смогли получить сообщения. Официальное заявление о завершении исследования кода червя объединенными усилиями специалистов Беркли и МТИ было сделано 04.11.88 в 12:36. Его подробное описание вы можете найти по адресу world.std. com/~franl/worm.html. А нас будут интересовать следующие моменты:

1 Cамый первый в мире сетевой червь уже имел простейшую модульную структуру. Он состоял из загрузочного модуля (99 строк на языке Си) и объектного файла, объемом примерно 3200 строк на Си (включая комментарии).
2 Перед инфицированием планировалась проверка хоста на предмет уже запущенной на нем копии червя. Однако Роберт по каким-то причинам сделал так, что в одном из семи случаев допускалась одновременная работа нескольких копий.
3 Для проникновения червь использовал метод подбора паролей «атака по словарю» и уязвимости программ sendmail и finger.
4 Чтобы распространиться повсеместно, вирусу понадобилось чуть больше трех часов.
5 Безвредный по своей сути код (не выполняющий деструктивных действий) нанес немалый урон только благодаря самому факту своего существования.

Термином «червь» мы обязаны фантасту Джону Браннеру, который еще в 1975 году написал рассказ The Shockwave Rider, в котором борец с тоталитарным режимом будущего запускал в компьютерную сеть программу tapeworm.
Однако предшественники червей не обладали деструктивными свойствами. Напротив, они были полезны — например, Creeper Боба Томаса (Bob Thomas) служил для привлечения внимания авиадиспетчеров, когда контроль над самолетом передавался от одного компьютера к другому. Существенное отличие Creeper от нынешних червей в том, что он не мог реплицировать себя.
В начале 80-х разработкой червей занимались в исследовательском центре Xerox в Пало-Альто. Именно там подобные программы начали называть червями. Эти черви также выполняли полезные функции, однако уже в то время разработчики начали обсуждать опасность неправильного применения подобного ПО. Первым звоночком стал сбой в работе червя, перераспределяющего вычислительную нагрузку между компьютерами. Тогда же была написана первая «вакцина».
В течение полутора десятков лет черви интересовали, в основном, узких специалистов, однако благодаря Роберту Моррису-младшему термин «компьютерный червь» сегодня понятен любому. Сам Роберт утверждал, что вовсе не собирался писать опасную для работоспособности Сети программу и даже заложил в нее ограничения, которые дали бы ему возможность «измерить» Интернет, не причиняя никому неудобств. Причиной того, что червь Морриса вышел из-под контроля, стали ошибки в коде.

Успех червя Морриса во многом объясняется тем, что он был первым в своем роде. В узких кругах возможность подобной угрозы обсуждалась задолго до инцидента, но всерьез ее никто не принимал. Триумфальному шествию червя способствовало и то, что он забил своими копиями каналы Интернета. Таким образом, специалисты были лишены полноценной связи, а персонал, обслуживающий еще не зараженные машины, — возможности быть своевременно информированным о надвигающейся опасности. Для своего времени скорость распространения у червя была феноменальной. Частично это объясняется использованием сразу двух способов проникновения.
Теперь обратим внимание на «родственников» червя Морриса, живущих в наши дни.

За пятнадцать лет последователи Роберта породили целых шесть классов (выделяемых по способу распространения), которые в порядке уменьшения частоты встречаемости располагаются следующим образом:

Почтовые черви. Изначально для рассылки своих копий они использовали установленный на инфицированном компьютере почтовый клиент по умолчанию и адресную книгу. Для активизации присланной копии требовались действия пользователя: запуск аттачмента на выполнение либо клик на ссылку (ведущую на веб-страницу, HTML-код которой был составлен с использованием ошибок в системе безопасности браузера, позволяющих скрыто передать/запустить червя). Однако в последнее время производители ПО стали активно сопротивляться этому безобразию, интегрируя в почтовые программы антивирусы и вводя ограничения, делающие несанкционированную отправку писем затруднительной. Вирусописатели ответили внедрением в тела червей модулей, выполняющих прямое соединение с SMTP-сервером. Также черви научились использовать уязвимости непосредственно в популярных почтовых клиентах или их общих с браузером компонентах (не будем тыкать пальцем в MS Outlook). Черви такого типа запускаются автоматически, как только пользователь откроет HTML-письмо. Подкласс почтовых червей самый многочисленный. На его долю, по данным «Лаборатории Касперского», приходится более 95%.

LAN-черви. Распространяются через общие ресурсы локальных сетей. Примером может служить Worm.Win32.Datom (по классификации Евгения Касперского). Он является многокомпонентным. Кроме того, он ищет и пытается закрыть запущенные копии брандмауэра ZoneAlarm, что иллюстрирует наличие у некоторых червей функции противодействия защитному ПО.

P2P-черви. Ярким представителем когорты Peer-to-Peer-червей является Worm.P2P.Relmony. Распространяется через общедоступные каталоги пользователей этих сетей, создавая файлы с порнографическими названиями.

IRC-черви пока обладают наименьшей численностью, однако существующие экземпляры лишний раз доказывают возможность подцепить заразу где угодно. Сервис Internet Relay Chat (передача текстовых сообщений в реальном времени по Интернету) был придуман Джарко Ойкариненом (Jarkko Oikarinen) в год буйства червя Морриса (1988) и до сих пор считается наименее подверженной вирусным атакам технологией коммуникации. Но все же система команд IRC-клиентов позволяет на основе их скриптов создавать червей. Представителем для DOS-платформы является семикилобайтный малютка IRC-Worm.Kazimas. Из Windows-ориентированных наибольший интерес представляет IRC-Worm.Adrenaline.

стр. 2>>

ТАКЖЕ В РАЗДЕЛЕ
28 октября 2008 года
Важнейшее из искусств-2 
28 октября 2008 года
Руками не трогать? 
14 октября 2008 года
Препроцессинг 2  
14 октября 2008 года
Ваша карта бита! 
 
САМОЕ ПОПУЛЯРНОЕ
О Смысле Всего Сущего
Евгений Козловский так обстоятельно подошел к вопросам читателей "КТ-Онлайн", что интервью пришлось разделить на две части. Но историю происхождения "Огородов" можно узнать уже сегодня!
Нетбуки против Windows
Нетбукам нужна лёгкая операционная система. Windows Vista, определённо, такой не является. Windows XP давно морально устарела. Linux? Или всё-таки подождать выхода легковесной версии Windows 7?
Диалоги с программистами. Часть 3: iPhone и бар на пляже
Сегодня в нашем распоряжении программист, который создает код для совершенно непрограммистского устройства - iPhone. Да, здесь есть свои особенности...
Текстовые развлечения
Поработаем в жанре ASCII Art и расскажем, как научиться рисовать при помощи символов, как переводить изображение любого формата в текстовый файл и как взглянуть на интерфейс Windows сквозь призму псевдографики.
/  бумажный номер

Тема номера: Кризис в ИТ Читайте на сайте тему номера "Кризис в ИТ" и другие статьи из журнала "Компьютерра" от 04 ноября 2008 года
  Архив номеров журнала

О проекте | Реклама на сайте | Рассылки сайта | КПК–версия | RSS-трансляция

© ООО «Компьютерра–Онлайн», 1997 — 2008.
При цитировании и использовании любых материалов ссылка на портал «Компьютерра–Онлайн» обязательна (для Интернет–изданий — www.computerra.ru)
Редакция сайта: site@computerra.ru
Техподдержка сайта: websupport@computerra.ru
Редакция журнала: inform@computerra.ru
Отдел рекламы: reklama@computerra.ru
Телефон: (495) 232–22–61, (495) 232–22–63
Работает на «Битрикс: Управление сайтом»
Почта защищена сервером «СПАМОРЕЗ»
Трилан — продвижение сайта,
поисковая оптимизация сайта

Сайт работает на сервере DEPO Computers
Rambler's Top100