Автор работы: Пользователь скрыл имя, 23 Февраля 2011 в 23:15, доклад
Идея компьютерных вирусов, как это ни странно, зародилась задолго до появления самих персональных компьютеров. В 1959 г. L.S. Penrose опубликовал в журнале “Scientific American” статью, посвященную самовоспроизводящимся механическим структурам, в которой была описана простейшая двумерная модель подобных структур, способных к активации, размножению, мутациям, захвату. Вскоре F.G. Stahl практически реализовал эту модель с помощью машинного кода на IBM 650.
Вирус распространяется как присоединенный файл (аттачмент) к электронным почтовым сообщениям под именем “Love-Letter-For-You” и поражает пользователей популярной почтовой программы Microsoft Outlook. I Love You “отправляет себя” всем адресатам из адресной книги жертвы.
Письмо с вирусом выглядит следующим образом:
— Тема письма: ILOVEYOU
— Сообщение в письме: kindly check the attached LOVELETTER coming from me.
— Имя прикрепленного файла: LOVE-LETTER-FOR-YOU.TXT.vbs
Согласно Хиппонену, наибольшей опасности подвержены издательства и средства массовой информации, включая радиостанции, журналы, рекламные агентства и, в частности, те из них, кто владеет большими архивами графических и музыкальных файлов: “Большие издательства, в которые сегодня проник вирус, полностью потеряли свои фотоархивы. Это связано с тем, что I Love You удаляет определенные типы файлов. И апгрейд антивирусной базы данных позволяет удалить вирус, но не может остановить уже начавшийся процесс его разрушительного действия. Если у вас нет резервной копии файлов вне зараженной машины, считайте, что вы все потеряли”.
Есть данные, что почтовые сообщения с “I Love You” были получены в Пентагоне, Федеральном резервном Банке, Министерстве обороны США; ФБР начало расследование причин и источников распространения вируса.
Как “I Love You”действует?
При первом запуске вируса он копирует себя в следующие директории:
— WINDOWS\SYSTEM\MSKERNEL32.VBS
— WINDOWS\WIN32DLL.VBS
— WINDOWS\SYSTEM\LOVE-LETTER-
А также он добавляет
следующие регистрационные
— HKEY_LOCAL_MACHINE\Software
\Microsoft\Windows
\CurrentVersion\Run
\MSKernel32=WINDOWS\SYSTEM
\MSKernel32.vbs
— HKEY_LOCAL_MACHINE\Software
\Microsoft\Windows\
\RunServices\Win32DLL=WINDOWS
\Win32DLL.vbs
“I Love You” сканирует все диски, доступ к которым можно осуществить с данной машины, в поисках файлов *.JPG и *.JPEG. Найдя их, вирус копирует себя в файлы и добавляет расширение .VBS (т.е. файл 123.JPG становится 123.JPG.VBS). Кроме того, вирус записывает себя во все файлы *.VBS, *.VBE, *.JS, *.JSE, *.CSS, *.WSH, *.SCT, *.HTA и изменяет их расширения на .VBS. При нахождении файлов *.MP3 и *.MP2 I Love You заменяет код, добавляет свое расширение и делает файл невидимым.
После небольшой паузы вирус, используя Microsoft Outlook, отправляет себя всем респондентам из адресной книги программы, а также пытается загрузить и установить программу (трояна) для кражи паролей WIN-BUGSFIX.EXE. Эта программа должна, по замыслу, найти все скешированнные пароли и отправить их по адресу mailme@super.net.ph. Для этого вирус заменяет домашнюю страницу браузера Microsoft Internet Explorer на адрес веб-сайта, автоматически загружающего на машину троянца. Если это происходит, в Реестре появляется следующий ключ:
— HKEY_LOCAL_MACHINE
\Software\Microsoft\Windows
\CurrentVersion\Run\WIN-
Данный ключ
автоматически запустит программу
для кражи паролей при
§HKEY_LOCAL_MACHINE
\Software\Microsoft\Windows
\CurrentVersion\Run
\WinFAT32=WinFAT32.EXE.
Что делать, если это произошло?
Если ваша система уже заражена вирусом, то единственное, что вы можете предпринять, это удалить источник заражения.
1) Нажмите START|RUN.
2) Впишите в командную строку REGEDIT и нажмите ENTER.
3) В левой части окна нажмите “+” напротив строки: HKEY_LOCAL_MACHINE, Software, Microsoft, Windows, CurrentVersion, Run.
4) В правой части окна найдите ключ, содержащий записи: \Windows\System\ MSKernel32.vbs” и “\WIN-BUGSFIX.exe” и удалите его.
5) Необходимо также найти и удалить ключ с записью “:\Windows\System\ Win32DLL.vbs”.
6) Выйдите из Реестра.
7) Нажмите START|SHUTDOWN. Выберите режим “Restart in MS-DOS mode” и нажмите OK.
8) После перезапуска
компьютера откроется
9) Добавьте в строку запись “DEL WIN-BUGSFIX.exe”.
10) Нажмите CTRL+ALT+DEL и пусть Windows перезагрузится.
11) Необходимо также найти и удалить файл VBS_LOVELETTER, что обезопасит систему от реинфицирования.
12) Для исправления
записей в Рееестре и удаления испорченных
вирусом файлов HTML и TXT, воспользуйтесь
инструментом swet.exe (http://www.antivirus.com/
13) Есть также
и пара-тройка
Противодействие найдено
Антивирусные компании практически мгновенно приступили к созданию “противоядия”. Однако сразу возникла проблема: вирус начал “мутировать”. Модифицировать его код очень легко, поскольку червь написан на скрипт-языке Visual Basic Script, то есть распространяется в исходных текстах. И изменить его код, добавить или убрать функции может любой, кто мало-мальски разбирается в этом языке.
Другая проблема, возникающая при детектировании скрипт-вирусов и червей, заключается в том, что стандартные антивирусные средства во многих случаях способны отловить опасного гостя только после того, как он уже проник в систему и поразил ее.
Схема работы большинства известных скрипт-вирусов и червей достаточно проста: при их запуске они создают на диске свои временные копии. В этот момент их и “ловят” резидентные антивирусные мониторы. Однако возможны ситуации, когда эти вирусы не создают на диске никаких файлов (они используют исключительно память компьютера). Таким образом, мониторы просто не в состоянии обнаружить факт проникновения вируса на компьютер.
“Лаборатория Касперского” предлагает своим пользователям уникальную технологию защиты как от всех известных вариантов нового Интернет-червя “LoveLetter”, так и от всех его последующих мутаций. Данная защита основана на новой технологии проверки всех скрипт-программ, которые запускаются приложениями Windows (такими, как Microsoft Explorer, Microsoft Internet Explorer, Microsoft Outlook и т.д.). Защита встраивается как фильтр между приложением, для которого предназначен скрипт (например, Outlook и/или Internet Explorer), и скрипт-машиной, которая непосредственно выполняет скрипт-программу (например, Microsoft Windows Script Host — обработчик VisualBasic-скриптов).
Таким образом, в момент передачи скрипта на обработку и выполнение его код перехватывается и проверяется на наличие как известных, так и неизвестных скрипт-вирусов и червей. На известные вирусы скрипт проверяется при помощи резидентного перехватчика AVP Monitor, а новые неизвестные вирусы блокируются специально разработанным эвристическим анализатором.
“Подобная двухуровневая антивирусная система защиты, встроенная непосредственно в самое ядро обработчика скрипт-программ, является гарантированным средством против многочисленных Интернет-червей нового поколения”, — резюмирует Евгений Касперский. — “Мы настоятельно рекомендуем пользователям установить нашу новую разработку и обновить свои антивирусные программы. Если бы я сегодня выбирал антивирусную защиту для своего компьютера — я бы так и сделал”.
Существующие вариации вируса.
Согласно данным компании TrendMicro, есть пять вариаций вируса:
— LOVELETTER Тема письма — ILOVEYOU, тело — kindly check the attached LOVELETTER coming from me, аттачмент — LOVE-LETTER-FOR-YOU.TXT.vbs. Распространяется по электронной почте и сетям mIRC. В последнем случае вирус отправляет файл LOVE-LETTER-FOR-YOU.HTM всем пользователям того же канала, что и “зараженный” пользователь.
— Susitikim Тема письма — Susitikim shi vakara kavos puodukuiј В начале кода содержит комментарий —”rem Modified Lameris Tamoshius / Lithuania (Tovi systems)”.
— VeryFunny Аттачмент — Very Funny.vbs, тема — fwd: Joke, тело — без текста, создает файл Very Funny.HTM.
— No Manila Header Аналогичен LOVELETTER, но в коде отсутствуют два комментария — “rem barok — loveletter(vbe) <i hate go to school>” “rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines”
— Mothersday Тема письма — Mothers Day Order Confirmation, тело — “ We have proceeded to charge your credit card for the amount of $326.92 for the mothers day diamond special. We have attached a detailed invoice to this email. Please print out the attachment and keep it in a safe place.Thanks Again and Have a Happy Mothers Day! mothersday@subdimension.com”,
аттачмент — mothersday.vbs. Перенаправляет браузер на сайты http://www.hackers.com, http://www.l0pht.com, http://www.2600.com, http://www.hackers.com. mIRC-компонент пытается отправить документ mothersday.HTM.
— Brainstorm Аттачмент — ESKernel32.vbs, ES32DLL.vbs, Important.TXT.vbs, тема — Important ! Read carefully!!!, тело — Check the attached IMPORTANT coming from me! использует документ Important.HTM.
“Лирическое отступление”
На некоторых железнодорожных переездах еще с советских времен остались старенькие, потрепанные временем плакаты “минута или жизнь?”. Помните? Так вот, пришло время по всей стране развесить другие плакаты: “современные антивирусы или жизнь вашего компьютера”. Время, когда можно было раз в неделю запускать “на всякий случай” старенький антивирус и жить более или менее спокойно, давно прошло. Сегодня только современные средства антивирусной защиты способны уберечь ваш компьютер, ваши деньги и бизнес.
От атаки компьютерных вирусов не застрахован никто. Поэтому никогда не открывайте сомнительные файлы, полученные от неизвестных источников, или прикрепленные файлы к электронному письму, полученному от незнакомого или даже знакомого человека, предварительно не проверив их на наличие вирусов.
Используйте только новые антивирусные программы и обновляйте вирусные базы не реже, чем раз в 2 недели. Тогда вы сможете защититься от вирусных атак.