Главная
Архив новостей
Безопасность в Unix
Безопасность в Windows
Сборник FAQ'ов
Телефония, фрикинг
Кредитные карты
Криптография
Истории о хакерах
Программы, утилиты
_el@sp.sz.ru

RB2 Network

Фанерные кони и сетевые кролики



Андрей Шиляев

    А мы-то думали, что эти ахейцы дарят нам игрушку...
                Из дневника случайно выжившего жителя Трои

Страшное, о котором так долго говорили в небезызвестной рекламе банка "Империал", свершилось. Я не о кризисе, хотя, конечно, меня тоже подмывает... Я о новом типе сетевого компьютерного вируса, заставившего схватиться за головы нетменов всего мира, а разработчиков антивирусных пакетов плотно засесть за писание дополнений и обновлений, способных вычислить и обезвредить заразу на подлете.

HTML.Internal

HTML.Internal - такое вот скучное и казенное название. Увидел свет в первую неделю ноября прошлого уже года, что символически совпало с восьмидесятидвухлетием Октябрьской революции и десятилетием со дня рождения печально известного Интернет-червя Морриса, парализовавшего работу нескольких глобальных сетей в США. Характер общительный , легко идет на контакт, что , впрочем, является общей чертой почти всех вирусов. Особая примета: на сегодняшний день - единственный вирус, заражающий HTML-файлы.

Что означает, объяснять, я думаю, долго придется. Каждый пользователь Интернета однажды понимает, что кроме скучной электронной почты существует еще и огромное, насыщенное массой интересной и полезной информации, пространство World Wide Web. И запускает броузер. И бредет по сайтам. И сотнями открывает HTML-файлы. И тут...

Когда броузер открывает зараженную страницу, вирус начинает поиск HTML-файлов на локальном диске вашего компьютера и заражает их, используя VBScript - скрипты, написанные на языке Visual Basic. Происходит это так: при открытии зараженной страницы вирус берет управление на себя с помощью инструкции, содержащейся в заголовке инфицированного файла и объявляющей вирусный скрипт автоматически выполняемым. Затем стартует основная процедура вируса - с вероятностью один к шести ( тут все зависит от системного датчика случайных чисел) вызывается процедура заражения и начинается поиск всех файлов с расширениями *.html и *.htm в текущей и всех родительских директориях. При обнаружении файлов этого типа HTML.Internal записывает себя в начало каждого из них, просто сдвигая содержимое вниз, то есть при просмотре инфицированный файл от идентичного здорового. ( используется свойство броузеров игнорировать неизвестные команды ). После успешного завершения процедуры вирус выводит в статус-бар сообщение "HTML.Prepand/Internal", а после начального тэга < HTML> в той же строке добавляет комментарий вида < !-- Internal -->

Что можно предпринять, что бы не заразиться? Естественно, использовать слабые стороны противника. А конкретно: HTML.internal заражает файлы, используя VScript, так что не надо давать ему возможности эти скрипты запускать. Для Windows 98 это делается таким образом: запустить Windows Explorer, войти в меню View - Folder Options - File Types, найти в списке строку VBScript Script File, нажать кнопку Edit и поставить галочку напротив строки Confirm open after download. Для начала этого достаточно. Но расслабляться все равно не стоит, поскольку HTML.Internal только первая пташка, он прост и непредприимчив. Что последует за ним - пока можно только гадать.

Бешенный кролик.

Еще одна напасть конца прошлого года - бешенный кролик, родившийся неделей раньше, чем HTML.Internal. Вирус называется WinScript.Rabbit, написан на командном языке Windows и заражает скрипты Windows. Подобно HTML-коллеге способен распространятся через Интернет, поскольку современные броузеры исполняют инфицированные скрипты, находящиеся на удаленном сервере, предварительно загружая их на локальный диск. После запуска вирус начинает поиск других скриптов на этом диске и записывает себя на их место.

WinScript.Rabbit - первый обнаруженный вирус, способный поражать скрипты Windows. Его простота - чуть более десяти команд - наводит на мысли о том, что сам вирус является всего лишь опытным образцом, авторство которого принадлежит одному из членов известной хакерской группы CodeBreakers. Обнаружить присутствие вируса на своей машине труда не составит: после активизации WinScript.Rabbit заражает все файлы содержащиеся в кэше броузера, копируя их на Desktop, который немедленно оказывается переполненным иконками этих инфицированных скриптов. Название вируса произошло именно от этого его свойства - размножаться с кроличьей скоростью...

Основная опасность этого вируса заключена в его мощном механизме распространения, основанном на особенностях современных глобальных компьютерных сетей. Достаточно вспомнить об ущербе, причиненном уже упоминавшимся вирусом Морриса, а также троицей других "Интернет-червей" конца восьмидесятых годов - Wank Worm, HI.COM и Cristmass Tree, которые, используя недокументированные функции сетей, не просто переделывали свои копии с сервера на сервер, но и запускали их исполнение.

WinScript.Rabbit способен работать под любой версией Win32 - при условии, что установлен Microsoft Scripting Host. Если учесть, что для Windows 98 и Windows NT 5.0 поддержка скриптов - функция стандартная, а на большую часть "девяносто пятых" Scriping Host поставлен как апдейт, то угроза быстрого распространения вируса весьма серьезна. Лаборатория Касперского рекомендует всем пользователям Microsoft Internet Explorer установить защиту от запуска VBScript Script File так как это делается для вируса HTML.Internal. Пользователи броузера Netscape Navigator/Communicator легче - Netscape VBScript не видит в упор и открывает их как текстовые файлы, а это значит, что с его помощью WinScript.Rabbit распространяться не сможет.

Троянский конь.

Притча во языцех номер три - троянский конь по имени Win32.BO - Back Orifice. Разработан членом широко известной хакерской группы "Культ мертвой коровы", который отрекомендовался общественности как Sir Dystic. Хакер объяснил, что этой своей разработкой он старался привлечь внимание сетевого общества к несовершенству механизмов защиты в операционных системах, созданных Microsoft, и пообещал к концу года выпустить версию Back Orifice для Windows NT. Вот что говорится об этом троянце в вирусной энциклопедии Евгения Касперского:

Троянский конь BO (Back Orifice) по своей сути является достаточно мощной утилитой удаленного администрирования компьютеров в сети, позволяющей пользователю контролировать компьютеры при помощи обычной консоли или графической оболочки

Троянец распространяется как пакет из нескольких программ и документации. Все программы написаны на C++ и компилированы Microsoft Visual C++. Все программы имеют формат Portable Executable и могут выполняться только в среде Win32.

Основной программой в пакете является BOSERVE.EXE (затем этот файл может быть обнаружен под различными именами) - это основная "серверная" компонента троянца, которая ждет вызовов от удаленных "клиентов".

Вторым файлом является BOCONFIG.EXE, конфигурирующая "сервер" и позволяющая "прикрепить" BOSERVE.EXE к каким-либо другим файлам (как это делают вирусы). При запуске таких приложений вирус "выкусывает" их из зараженного файла и запускает на выполнение без каких-либо побочных эффектов.

В пакете также присутствуют две "клиентские" утилиты (консоль и графический интерфейс), они позволяют "клиенту" управлять удаленным "сервером". Еще две программы являются утилитами компрессии/декомпрессии файлов - они используются для копирования файлов с/на удаленный "сервер".

При запуске троянец инициализирует сокеты Windows, создает файл WINDLL.DLL и системном каталоге Windows, определяет адреса нескольких Windows API, ищет свою копию в памяти и выгружает ее из памяти, если таковая обнаружена (т.е. обновляет свою версию). Затем троянец копирует себя в системный каталог Windows и регистрирует его в реестре как авто-запускаемый процесс:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Затем троянец перехватывает один из сокетов Windows (по умолчанию - сокет 31337) и остается в памяти Windows как скрытое приложение (т.е. без активного окна и ссылки в списке приложений). Основная процедура перехвата сообщений затем ждет команд от удаленного клиента. Пакеты команд передаются в зашифрованном виде. В зависимости от команды троянец выполняет следующие действия:


- высылает имена компьютера, пользователя и информацию 
  о системе: тип  процессора, размер памяти, версия 
  системы, установленные устройства и т.п.
- разрешить удаленный доступ к дискам (share)
- искать файл на дисках
- послать/принять файл, также как уничтожить, скопировать, 
  переименовать, выполнить любой файл
- создать/уничтожить каталог
- упаковать/распаковать файл
- отключает текущего пользователя от сети
- завешивает компьютер
- высылает список активных процессов
- выгружает указанный процесс
- подключается к сетевым ресурсам
- gets and sends cashed passwords (p/words that were 
  used during current seance), then looks for ScreenSaver 
  password (decrypts and sends them)
- выводит MessageBox
- читает/модифицирует системный реестр
- открывает/перенаправляет другие сокеты TCP/IP
- поддерживает протокол HTTP и эмулирует Web-сервер (т.е. 
  троянцем можно управлять при помощи броузера)
- проигрывает звуковые файлы
- перехватывает, запоминает и затем высылает строки, 
  вводимые с клавиатуры в момент подсоединения компьютера
  к сети и т.д.

Троянец также позволяет расширить список своих функций при помощи подключаемых ресурсов (plug-in). Они могут быть переданы на "сервер" и инсталлированы там как часть троянца и в дальнейшем могут выполнять практически любые действия на пораженном компьютере.

Как утверждают специалисты, Back Orifice может причинить огромный вред, если им воспользуются так называемые обиженные сотрудники. Он вполне может стать средством для перехвата секретов фирмы и/или средством изменения, а то и полного уничтожения важной корпоративной информации. Вместе с тем те же самые специалисты считают, что Back Orifice - золотое дно, и если Sir Dystic решится изменить свою программу так чтобы она применялась и в мирных целях, то заработает он на этом не просто хорошо, а очень хорошо.

В принципе, от вируса до в программе одно - она не предупреждает о своей инсталляции и последующих стартах. Back Orifice начинает работать только при условии, что пользователь сам запустит инсталляцию этой программы у себя на компьютере. Впрочем, это не помешало бурному процессу распространения троянца, превратившемуся в прошлом году в настоящую эпидемию.

Существует масса способов тайного распространения Back Orifice. Например, вам присылают ее неизвестные доброжелатели под видом какой-либо чрезвычайно полезной программы или утилиты. Так произошло с FastICQ - десятки тысяч пользователей Mirablis ICQ получили письма о том, что некоторые партнеры этой фирмы разработали мощный ускоритель базовой программы, который предлагалось бесплатно скачать с www.fasticq.org. Расчет был верен: кому из нас не приходилось скрипеть зубами от раздражения, по две-три минуты ожидая пока "Аська" отправит сообщение? На самом же деле при запуске данной программки в систему инсталлировался троянец. Кстати, многие так и не сообразили, что произошло, даже не обнаружив обещанного ускорения. Плюнули и забыли. И наверняка на компьютерах неисчислимой массы пользователей Интернета Back Orifice спокойно существует до сих пор.

Также Back Orifice способен распространяться под видом элемента управления ActiveX - фрагмента кода, встроенного в web-страницу. Код запускается на исполнение автоматически, как только пользователь Microsoft Internet Explorer направляется на указанный этим элементом Web-сайт. В этих же целях используется способность программы Microsoft Outlook 98 отправлять и принимать web-страницы как почтовые сообщения: пользователю достаточно открыть почтовое сообщение такого рода в Outlook 98, и опасный элемент ActiveX, встроенный в эту web-страницу, автоматически начинает свою работу.

Заключение. Оно будет коротким. Будьте внимательны и НИКОГДА не запускайте на своем компьютере незнакомых программ, даже если вы получаете их от хорошо знакомых людей. Фанерного коня всегда имеет смысл тщательно проверить на наличие его в брюхе злого волосатого мужика с отточенным мечом в лапе.

HARD'n'SOFT январь 1999


<== Back to main page