Коваленко Михайло Сергійович "Комп'ютерні віруси та боротьба з ними" (реферат) p>
1
____________________________________________________________________________ p>
__________________________________ 31.03.02 p>
Додаток 1 p>
[1] Time, сімейство p>
Резидентні безпечні віруси. Перехоплюють INT 1Ch, 21h ізаписуються в кінець запускаються. EXE-файлів. Приблизно раз на годинупищать кілька разів спікером комп'ютера. p>
[2] Havoc (Stealth_Boot), сімейство p>
Завантажувальні стелс-віруси. При завантаженні з ураженого флоппізаписуються в MBR вінчестера. Потім перехоплюють INT 13h і вражаютьфлоппі-диски при читанні з них. Зараження дискет відбувається за алгоритмом
"Brain". P>
Залежно від системного таймера "Havoc.a, b, Innocent"перуть сектора дисків. "Havoc.Amse" нешкідливий, ніяк не виявляється.
"Havoc.Alfredo" розшифровує текст і виводить його на принтер:
LIMA - PERU
(c) Laboratorio Luz de Luna
ANGEL X TE SALUDA p>
[3] Brain, сімейство
Складається з двох практично збігаються нешкідливих вірусів: "Brain-Ashar" і
"Brain-Singapore". Вони заражають завантажувальні сектори дискет при зверненні доним (INT 13h, AH = 02h). Продовження вірусу і початковий завантажувальнийсектор розміщуються в секторах, які належать вільним кластерівдиска. При пошуку цих кластерів вірусам доводиться аналізувати таблицюрозміщення файлів (FAT). У FAT ці кластери позначаються як збійні (такзвані "псевдосбойние" кластери). У зараженого диска встановлюєтьсянова мітка "(C) Brain". Віруси використовують "стелс"-механізм: при спробіперегляду завантажувального сектора зараженого диску вони "підставляють" щирийсектор. p>
[4] Vienna, сімейство
Нерезидентні віруси. При запуску шукають. COM-файли і записується в їхкінець. Шукають файли поточному каталозі і залежно від версії вірусу вкореневому каталозі, або в каталогах, зазначених системної змінної PATH.
Зараження відбувається при запуску інфікованої програми, при цьомузаражається не більше одного файлу. Багато вірусів сімейства при спробізараження перевіряють у файлу значення секунд (або місяця в залежності відверсії вірусу) останньої модифікації файлу. Якщо воно дорівнює 1Fh (62 секунди,відповідно 0Dh - 13-й місяць), то файл не заражається. Деякіпредставники сімейства залежно від таймера можуть "вбивати" файли,записуючи в їх початок 5 байтів або команди переходу на перезавантаження JMP
F000: FFF0, або JMP C800: 0005, JMP C800: 0000 або JMP C800: 0006 взалежно від версії вірусу. p>
[5] Cascade
Дуже небезпечний. Іноді виводить повідомлення:
IL SISTEMA До FOTTUTO!!
S.E.K. VIRUS Made in ITALY RM
5iD G. Ferraris 90/91 (c)і стирає сектора дисків. Також знищує файл CHKLIST.CPS. P>
[6] Ping-Pong
Чи не небезпечний. Перехоплює INT 8, 13h. Має байт, який містить номер версіївірусу. Якщо виявляє диск, заражений своєю попередньою версією, то
"оновлює" її. Викликає відеоефекту що танцював кульки (знак 07h ASCII),який переміщується по екрану, відбиваючись від знаків і меж екрану. p>
[7] VirDem, сімейство (см.пріложеніе 2, рис.1)
Небезпечні нерезидентні віруси, записуються в початок. COM-файлів поточногодиска. p>
"Virdem.833" рухає по екрану зображення жука.
"VirDem.1542" заповнює екран кольоровий абстрактної картинкою.
"VirDem.1336.a" знімає і не відновлює атрибути файлу. P>
[8] GoodTimes - міф про комп'ютерний вірус
На початку грудня 1994 по мережах Internet і FIDO пройшло повідомлення про нібитоіснуючому вірус, який заражає комп'ютер за допомогою електронноїпошти - при отриманні і читанні листів. Повідомлення виглядало наступнимтак: p>
Here is some important information. Beware of a file called GoodTimes.
Happy Chanukah everyone, and be careful out there. There is a virus on
America Online being sent by E-Mail. If you get anything called "Good
Times ", DON'T read it or download it. It is a virus that will erase yourhard drive. Forward this to all your friend. It may help them a lot. P>
Це повідомлення викликало справжню паніку серед користувачів Internet. Булозафіксовано навіть кілька повідомлень про дійсно зараженихкомп'ютерах - проте всі такі повідомлення були "секонд-хенд", але ніхто внасправді так ніколи і не зустрівся з цим монстром (з тієїпричини, що такого вірусу ніколи і не було). p>
Навесні 1995 історія з "GoodTimes" продовжилася ще одним повідомленням на туж тему - про вірус, що поширює себе по всіх E-mail адресами, якіприсутні в ящиках Inbox і SentMail. Як і в першому випадку, ніякоготакого вірусу виявлено так і не було. p>
Тоді ж у черговому номері журналу вірусописьменників "VLAD" з'явилисявихідні тексти вірусу, названого його автором "Good Times" (розробникиантивірусів назвали цей вірус "GT-Spoof"). Це був звичайний DOS-вірус, немав ніякого відношення до мереж і Internet. p>
[9] Vacsina, Yankee, сімейство
Сімейство вірусів "VACSINA" (не "VACCINA"!) І "Yankee" нараховує більше 40файлових резидентних безпечних вірусів. Характерною особливістю вірусівданого сімейства є те, що вони відновлюють файли, зараженіпопередніми версіями вірусів родини, і потім інфікують їх знову.
Заражають COM-і EXE-файли при їх виконанні (віруси версій до 26h) абозавантаженні в пам'ять (віруси версій 26h і вище). Стандартно заражають COM -файли. Крім того, віруси "Vacsina" збільшують довжину заражає файли допараграфа. Починаючи з версії 2Ah до файлу після зараження дописуютьсядодаткові 4 байти.
Віруси молодших версій (до 23h) інфікують EXE-файли спеціальним чином:файли переводяться в формат COM-файлів. Для цього до файлу дописуєтьсяневеликий фрагмент вірусу (132 байти), настроює адреси по таблиціадрес при завантаженні файлу в пам'ять для виконання, і змінюються перші трибайти файлу (JMP на фрагмент). Дописати до файлу 132 байти НЕпоширюють вірусу. Їхня дія полягає тільки в налагодженні адреспрограми при її запуску. Оброблений таким чином файл буде виконуватисяопераційною системою і заражатися багатьма вірусами як COM-файл. Призапуску EXE-програми, що міститься в подібному фото, управління передаєтьсяна фрагмент налаштування адрес, який аналізує таблицю адрес взаголовку файлу і відповідним чином коректує завантаженупрограму. Потім управління передається на стартовий адресу, вказану взаголовку файлу. Віруси перехоплюють вектор переривання 21h, а деякіпредставники сімейства "Yankee" - INT 1, 3, 9, 1Ch.
Віруси викликають звукові ефекти: при зараженні файлу вірусом "VACSINA"лунає звуковий сигнал (BELL), віруси "Yankee" залежно віддеяких умов (при одночасному натисканні клавіш Alt-Ctrl-Del або в
17.00) виконують мелодію "Yankee Doodle Dandy". При деяких умовахвірус "Vacsina.06" розшифровує і видає на екран рядок "Az sum vastalelja. "
Yankee.2189
Сімейство "Yankee". Зашифровано, періодично 'крутить' символи '/','', '-
','|'.< Br>Yankee.Estonia.1716
Сімейство "Yankee". Резидентний небезпечний вірус. Щопонеділка о 14 годинірозшифровує і виводить в центр екрана текст: "Independent Estoniapresents ", потім грає" Собачий вальс "і перезавантажує комп'ютер. p>
[10] Aids (см.пріложеніе 2, рис.2)
Резидентний дуже небезпечний вірус. Перехоплює INT 3, 21h і записується вкінець EXE-файлів при їх закриття. У кожен 16-й закриває COM-файлзаписує частину свого коду (файл не відновлюється, тому що вірус незберігає старий вміст файлу). При запуску такого файлу не екранвеликими літерами видається слово "AIDS". p>
[11] Peterburg
Бехобідний резидентний вірус. Перехоплює INT 21h і записується в початок
. COM-файлів при їх запуску. Ніяк не виявляється. P>
[12] Voronezh, сімейство p>
Voronezh.370, 600 p>
Резидентні віруси, нешкідливі. Частина вірусу "Voronezh.600" (50 байт)зашифрована (XOR DDh). Перехоплюють INT 21h і записуються в початок. COM -файлів при завантаженні їх у пам'ять для виконання, "Voronezh.370" не заражає
COMMAND.COM. При впровадженні в файл переписують його початок в кінець файлу, асвою копію поміщають на звільнене місце на початку. При цьомулистуємося частину файлу шифрується (XOR BBh). p>
Ніяк не виявляються і не мають деструктивних функцій. "Voronezh.600"містить зашифрований (XOR 1Ah) текст "Oleynikoz S., 1990". Мабуть, пробапера початківця програміста, тому що неозброєним оком помітнодостатньо слабке знання можливостей мови асемблера. p>
Voronezh.650 p>
Резидентний безпечних вірус. Перехоплює INT 21h і вражає виконувані
COM-файли за алгоритмом вірусу "Voronezh.600". При запуску файлів
(приблизно 1 раз на 60 запусків) повідомляє: p>
Video mode 80x25 not supported p>
Voronezh.1600 p>
Резидентний небезпечний вірус. Перехоплює INT 21h і вражає файли при їхвиконання або відкритті. COM-файли заражаються за схемою вірусу
"Voronezh.600". EXE-файли інфікуються за складним алгоритмом: у нихзмінюється п'ять байт точки входу в програму на код команди CALL FAR
Loc_Virus, при цьому зміна адреси точки входу в заголовку файлу непотрібно. Вірус коригує таблицю настройки адрес (ТНА): додається внеї один елемент, що відповідає команді CALL FAR Loc_Virus; необхіднимчином змінює один елемент ТНА, який вказує на змінені 5 байт (якщотакий елемент існує). Потім вірус дописує до файлу свою копію. P>
Вірус містить помилки: аналізуються не більше 640 елементів ТНА, неаналізується випадок, коли модифікується елемент ТНА вказує на п'ятомубайт від точки входу (тобто слово, що настроюється при завантаженні файлу,лежить на кордоні змінних 5 байт). При запуску такого файлу можливозависання комп'ютера. p>
[13] LoveChild, сімейство
Дуже небезпечні резидентні віруси. Перехоплюють INT 21h і записується вкінець COM-файлів. p>
LoveChild.488 p>
При створенні своєї резидентного копії копіює себе в таблицю векторівпереривань за адресою 0000:01 E0. Потім заражає. COM-файли при їх завантаженні впам'ять, при пошуку і творення. Змінює перші 4 байти файлу на командупереходу на тіло вірусу (STI; JMP Loc_Virus). p>
Має деструктивні функції: залежно від лічильника часу можезнищувати файли або створювати замість файлу підкаталог з таким же ім'ям.
Вірус періодично змінює EXE-файли таким чином, що їх запусквикличе стирання секторів вінчестера (стирається частина інформації,розташованої на секторах, які відповідають 0-3 головок запису/читання). p>
LoveChild.2710 p>
Резидентний дуже небезпечний стелс-вірус. Перехоплює INT 13h, 21h ізаписується в кінець COM-файлів. Працює тільки в DOS 3.30, тому що робить
"врізку" в тексті операційної системи. Якщо на машині стоїть інша версія
DOS, виводить фразу: p>
Тобі мама не казала в дитинстві, що краще DOS 3.30 версії немає? P>
після чого псує MBR. З півночі до 4 години ранку під час запуску зараженихпрограм роздруковує екран. 22 февраля, 32 квітня (?!), 23 июня, 24Серпня, 6 жовтня і 5 листопада займається мерзенність: пише "Привіт від
ГКЧП ", потім очищає екран і виводить довге послання, після чого переінформацію на вінчестері. Ось частина цього повідомлення: p>
Вірусісти всіх країн, єднайтеся. Об'єднання MMM пропонує зарублі, за цінами нижче ринкових вітчизняні віруси, сумісні з IBM
PC/AT PC/XT з будь-якою периферією. Постачання зі складу в Москві.
Гарантійне і послегарнтійное обслуговування. У МММ не було проблем.
LoveChild v4 in reward for software stealing. LoveChild virus family.
(c) Flu Systems intnl. Росія-Україна. Віруси LoveChild будутьз'являтися до тих пір, поки в СРСР (чи як його там) не буде прийнятийз-н про авторські права. А поки-чарівниця в зуби і до Лозинському p>
[14] Win95.HPS, aka Hanta (см.пріложеніе 2, рис.3)
Заражає PE-файли (Portable Executable). При запуску інсталює себе вядро Windows95/98, перехоплює системні події і записується в кінець
PE EXE-файлів, до яких йде звернення. Довжина вірусу - 5124 байт. P>
При зараженні файлів шифрує себе поліморфік-кодом і записує результат востанню секцію файла, заздалегідь збільшивши її розмір, і потім змінюєадреса точки входу в заголовку файлу. Розмір поліморфік-циклу варіюється відзараження до зараження, тому довжина файлів може бути збільшена нарізні значення. p>
Вірус виявляється відео-ефектом: якщо інсталяція вірусу в пам'ять Windowsсталася в суботу, то вірус потім перевертає справа-налівозображення в неупакованих BMP-файлах. Повторного перевертання НЕвідбувається - вірус позначає такі BMP-файли записавши в них мітку DEADBABEh. p>
[15] Win95.CIH
Резидентний вірус, працює тільки під Windows95 і заражає PE-файли
(Portable Executable). Має досить невелику довжину - близько 1Кб.
Виявлено "в живому вигляді" в Тайвані в червні 1998 - був розісланий авторомвірусу до місцевих Інтернет-конференції. За подальшу тиждень вірусніепідемії були зареєстровані в Австрії, Австралії, Ізраїлі та
Велікобретаніі, потім вірус був виявлений і в деяких інших країнах,включаючи Росію. p>
При запуску зараженого файлу вірус інсталює свій код в пам'ять Windows,перехоплює звернення до файлів і при відкритті PE EXE-файлів записує вних свою копію. Містить помилки і в деяких випадках завішують системупри запуску заражених файлів. Залежно від поточної дати стирає Flash
BIOS і вміст дисків. P>
Запис у Flash BIOS можлива тільки на відповідних типах материнськихплат і при роздільній встановлення відповідного перемикача. Цейперемикач зазвичай встановлений в положення "тільки читання", проте цесправедливо не для всіх виробників комп'ютерів. На жаль Flash BIOSна деяких сучасних материнських платах не може бути захищенаперемикачем: одні з них дозволяють запис в Flash при будь-якому положенніперемикача, на інших захист записи в Flash може бути скасованапрограмно. p>
Під час тестування вірусу в лабораторії пам'ять Flash BIOS залишиласянеушкодженою - з незрозумілих причин вірус завісив систему без будь -небудь побічних ефектів. Проте з інших джерел відомо, що вірус припевних умов справді псує вміст Flash BIOS. p>
Після успішного стирання Flash-пам'яті вірус переходить до іншоїдеструктивної процедурою: стирає інформацію на всіх встановленихвінчестерах. При цьому вірус використовує прямий доступ до даних на диску ітим самим обходить вбудовану в BIOS стандартну антивірусний захист відзаписи в завантажувальні сектори. p>
Відомо три версії вірусу. Вони досить схожі один на одного івідрізняються лише незначними деталями коду в різних підпрограма.
Версії вірусу мають різні довжини, рядки тексту та дату спрацьовуванняпроцедури стирання дисків та Flash BIOS: p>
Довжина Текст Дата спрацьовування Знайдений "у живійвигляді " p>
1003 CCIH 1.2 TTIT 26 квітня
Так
1010 CCIH 1.3 TTIT 26 квітня
Ні
1019 CCIH 1.4 TATUNG 26 кожного місяця Так - у багатьох країнах [1] p>
[16] Macro.Word97.Melissa
Заражає файли документів і шаблонів MS Word і розсилає свої копії вповідомленнях електронної пошти за допомогою MS Outlook. Вірус поширюєтьсянадзвичайно швидко: процедура розсилки заражених листів відсилає великукількість вірусних копій за адресами зі списків адресної книги MS
Outlook. Вірус також змінює системний реєстр, вимикає антивіруснузахист MS Word.
Для розсилки своїх копій через електронну пошту вірус використовуєможливість Visual Basic активізувати інші програми MS Windows івикористовувати їх процедури. Вірус викликає MS Outlook, зчитує з базиадрес Outlook адреси електронної пошти і посилає за цими адресамиповідомлення. Це повідомлення містить: p>
Тема: "Important Message From [UserName]" (UserName береться з бази адрес) p>
Тіло листа: "Here is that document you asked for ... don 't show anyone else ;-)"< br>До повідомлення також приєднаний документ (природно заражений), причомувірус приєднує той документ, який в даний момент редагується
(активний документ). Як побічний ефект такого розповсюдженняпередаються файли користувача, які можуть містити конфіденційнідані.
Кількість розсилаємих листів залежить від конфігурації адресної книги Outlook
(бази адрес e-mail) на конкретному комп'ютері. Вірус відкриває коженсписок в адресній книзі і отилает заражене повідомлення за 50 перших адресамиз кожного списку. Якщо в списку менше 50 адрес, вірус відсилаєповідомлення на всі з них. Але ви створюється одна зараженелист, поле адресата якого містить перших 50 адрес зі списку.
Вірус використовує електронну пошту для свого розповсюдження тільки одинраз - для цього перевіряється спеціальна "мітка" в системному реєстрі: p>
HKEY_CURRENT_USERSoftwareMicrosoftOffice "Melissa?" p>
= "... by Kwyjibo"
Якщо цей ключ не знайдено, то вірус надсилає повідомлення електронної пошти здоданими зараженими документами і створює цей ключ в реєстрі.
Вірус здатний поширюватися не тільки у версії Word97, але і в Word2000.
Ця особливість вірусу пов'язана з можливістю Word2000 перетворювати файлистарого формату в новий при їх відкритті. При цьому в новий форматконвертуються всі необхідні секції файлу, включаючи макро-програми
(включаючи код вірусу). Як результат, вірус отримує можливістьпоширюватися в середовищі Word 2000.
При запуску вірусу в Word 2000 він виробляє додаткові дії:вимикає (встановлює в мінімум) установки безпеки (антивіруснузахист).
Код вірусу зберігається в одному макро модулі "Melissa" і складається з однієї авто -процедури: в заражених документах це "Document_Open", в NORMAL.DOT
(область глобальних макросів) - "Document_Close". Вірус заражає NORMAL.DOTпри відкритті зараженого документа і записується в інші документи при їхзакриття. При зараженнівірус копіює свій код порядково з зараженогооб'єкта в файл-жертву. У разі зараження області глобальних макросів вірусперейменовує свою процедуру в "Document_Close", коли ж відбуваєтьсязараження документів, то вірусна процедура перейменовується в
"Document_Open". У результа вірус заражає Word при відкритті зараженогодокумента, а при закритті інших документів вони, в свою чергу,виявляються зараженими.
Вірус також містить процедуру-ефект, що спрацьовує в разі якщодень дорівнює хвилин на момент активації вірусного коду. Ця процедуравставляє наступний текст в редагований документ:
Twenty-two points, plus triple-word-score, plus fifty points for using allmy letters. Game's over. I'm outta here.
Цей текст, так само, як і прізвище автора вірусу ( "Kwyjibo"), узятий зтелевізійного мульт-серіалу "Сімпсони" ( "Simpsons").
Вірус також містить коментарі у своєму коді: p>
WORD/Melissa written by Kwyjibo p>
Works in both Word 2000 and Word 97 p>
Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide! P>
Word -> Email | Word 97 Word 2000 ... it's a new age! p>
[17] Explorer, сімейство
Безпечні резидентні зашифровані віруси. Перехоплюють INT 21h ізаписуються в кінець запускаються EXE-файлів. Також шукають і вражають *. SYS -файли. Знищують файли CHKLIST.MS і CHKLIST.CPS. У залежності від своїхвнутрішніх лічильників перехоплюють INT 15h, 1Ch і виявляються якимосьвідео-ефектом. p>
[18] I-Worm.LoveLetter
Цей інтернет черв'як викликав масові ураження комп'ютерів і мереж на початкутравня 2000. Хробак поширюється в електронних листах та при активізаціїрозсилає себе з заражених комп'ютерів. При своєму поширенні черв'яквикористовує поштову систему Microsoft Outlook і розсилає себе по всіхадресами, які зберігаються в адресній книзі Outlook. В результаті враженийкомп'ютер розсилає стільки заражених листів, скільки адрес зберігається вадресній книзі.
Хробак написаний на скрипт-мовою Visual Basic Script (VBS). Запускається тількив операційних системах з встановленим Windows Scripting Host (WSH) (в
Windows 98, Windows 2000 він встановлений за замовчуванням). При розмноженні черв'яквикористовує функції Outlook, які доступні тільки в Outlook98/2000.
При активізації черв'як розсилає свої копії по електронній пошті,інсталює себе в систему, виконує деструктивні дії, викачує з
Інтернет і встановлює в систему троянський файл. Хробак також здатнийпоширюватися за допомогою IRC-канали.
Знищення файлів
Хробак шукає всі файли на всіх доступних дисках. Для файлів з різнимирозширеннями черв'як виконує різні дії:
VBS, VBE: записує замість них свою копію.
JS, JSE, CSS, WSH, SCT, HTA: перейменовує їх з розширенням. VBS ізаписує в них свою копію.
JPG, JPEG: додається до імен файлів розширення. VBS і записує в нихсвою копію (наприклад, PIC1.JPG.VBS). Оригінальний файл черв'як видаляє.
MP2, MP3: створює новий файл з ім'ям MP-файлу та розширенням. VBS ізаписує в нього свою копію. У початкових MP-файлів встановлюєатрибут "прихований". p>
[19] I-Worm.Sircam (см.пріложеніе 2, рис 4)
Небезпечний мережний хробак, що поширюється по мережі Інтернет і ресурсівлокальних обчислювальних мереж. Файл-носій хробака являє собою
Windows-додаток, розміром близько 130 Кб, написаний мовоюпрограмування Delphi. У процесі поширення черв'як може прикріплюватидо своїх файлів додаткові файли DOC, XLS, ZIP і інших форматів (див.нижче), так що розмір вкладеного файлу може перевищувати 130 Кб.
Після запуску (наприклад, подвійним клацанням на зараженому вкладеному файлі),хробак впроваджується у систему, розсилає заражені повідомлення (що містятьвкладені файли з копією черв'яка), заражає комп'ютери, підключені додоступною ЛВС (якщо в мережі існують диски, доступні для запису), атакож, залежно від системної дати, виконує вбудовану деструктивнупроцедуру.
Деструктивні процедури.
Залежно від поточної системної дати і часу, черв'як з вірогідністю 5%видаляє всі файли і піддиректорії на диску, де встановлена Windows.
При кожному завантаженні операційної системи з імовірністю 2% хробак створюєфайл SirCam.Sys в кореневій директорії поточного диска і записує в ньогонаступний текст: p>
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX] p>
[SirCam Version 1.0 Copyright L 2001 2rP Made in/Hecho en - Cuitzeo, p>
Michoacan Mexico]
З кожним разом черв'як додає цей файл, тим самим поступово поглинаючивільне місце на диску. Ці та багато інших текстові рядки в тілі хробакамістяться в зашифрованими вигляді. p>
[20] IIS-Worm.CodeRed (AKA "Code Red", "Bady") (см.пріложеніе 2,рис.5)
Перший представник даного сімейства мережевих черв'яків, "Code Red" (такожвідомий під ім'ям "Bady"), за даними ZDNet, він уразив близько 12 000серверів по всьому світу і провів великомасштабну DDoS атаку на Web сервер
Білого дому (www.whitehouse.gov), викликавши порушення його нормальної роботи.
"Bady" тільки заражає комп'ютери під управлінням Windows 2000 (безвстановлених сервісних пакетів), зі встановленим Microsoft Internet
Information Server (IIS) і включеної службою індексування (Indexing
Service). Разом з тим, саме це програмне забезпечення найчастішевикористовується на комерційних Web, FTP і поштових серверах, що і визначилошироке поширення хробака. Масштаби епідемії могли б бути ще більшезначними, якби хробак вражав і інші версії Windows, наприклад
Windows NT і Windows XP. Однак автор хробака навмисне "націлив" його тількина системи Windows 2000.
Для проникнення на віддалені комп'ютери черв'як використовує виявлену вчервні 2001 р. пролом в системі безпеки IIS, яка дозволяєзловмисникам запускати на вилучених серверах сторонній програмнийкод. Для цього "Bady" посилає на випадково обраний віддалений серверспеціальний запит дає комп'ютера команду запустити основну програмухробака, яка у свою чергу спробує в такий же спосіб проникнути наінші сервери. Одночасно в пам'яті комп'ютера може існувати відразусотні активних процесів хробака, що істотно сповільнює роботу сервера. p>
Важливою особливістю "Bady" є те, що в процесі роботи він невикористовує ніяких тимчасових або постійних файлів. Даний черв'як унікальний:він існує або в системній пам'яті заражених комп'ютерів, або у вигляді
TCP/IP-пакету при пересилці на віддалені машини. Подібна "безтілесність"представляє серйозну проблему для захисту серверів, оскільки вимагаєвстановлення спеціальних антивірусних модулів на міжмережеві екрани.
Крім значного уповільнення роботи заражених комп'ютерів, "Bady" маєінші побічні дії. По-перше, черв'як перехоплює зверненнявідвідувачів до Web сайту, який управляється зараженим IIS-сервером, ізамість оригінального вмісту передає їм наступну сторінку: p>
Після показу фальсифікованої стартової сторінки зламаного Web сайту впротягом 10 годин, черв'як автоматично повертає все на свої місця івідвідувачі бачать оригінальну версію сайту. Важливо відзначити, що данийефект виявляється тільки на системах, де за замовчуванням використовується мова
"US English".
По-друге: між 20 і 27 числами кожного місяця включно черв'якздійснює DDoS (Distributed Denial of Service) атаку на сайт Білого дому
США (www.whitehouse.gov). Для цього копії хробака на всіх зараженихкомп'ютерах посилають численні запити на з'єднання, що викликаєзависання сервера, що обслуговує даний Web-сайт.
Для нейтралізації, а також в якості профілактичної заходів длязапобігання проникнення хробака на сервер, ми рекомендуємо користувачамнегайно встановити "латку" для виправлення "дірки" в системібезпеки IIS. p>
[21] I-Worm.MyLife (см.пріложеніе 2, рис: 6,7.)
Вірус-черв'як. Розповсюджується через Інтернет у вигляді файлів, прикріплених дозаражених листів.
Хробак є додатком Windows (PE EXE-файл), має розмір близько 30 K
(упакований UPX, розмір розпакованого файлу - близько 55 K), написаний на Visual
Basic.
Деструктивна процедура
Черв'як перевіряє поточний час, і якщо поточне значення хвилини більше 45,хробак запускає деструктивну процедуру: він видаляє файли з рашіреніямі
. SYS і. COM в кореневій директорії диска C:, файли з розширеннями. COM,
. SYS,. INI,. EXE в каталозі Windows, а також файли з розширеннями. SYS,
. VXD,. EXE,. DLL в системному каталозі Windows. P>
[22] I-Worm.Cervivec! (См.пріложеніе 2, рис.8)
Інтернет-черв'як Cervivec поширюється через Інтернет в вигляді файлів,прикріплених до заражених листів. Хробак є додатком Windows (PE
EXE-файл), має розмір близько 230K (упакований UPX, розмір розпакованогофайлу - близько 670K), написаний на Delphi. p>
Хробак активізується тільки якщо користувач сам запускає зараженіфайл (при подвійному натисканні на вкладенні). Потім хробак інсталює себе всистему і запускає процедури свого поширення. Щоб приховати своєїактивності хробак запускає відео-ефект: різнокольорові "черв'яки", поїдаютьекран. [2] p>
Додаток 2 p>
Графічні вірусні ефекти p>
Рис.1 Рис.2 p>
Рис.3 Рис.4 p>
Рис.5
Рис.6 Рис.7 p>
Рис.6 p>
Рис.8 p>
----------------- ------< br>[1] «Вірусна енциклопедія AVP». Електронний варіант 1999
[2] http://www.viruslist.com/ p>
p>