Антивирусы (made in Germany)
 

Вирусы: покой нам только снится

 
Многие из нас ещё помнят страшную эпидемию OneHalf и Mydoom, едва отшумела канонада последнего сражения с монстрами Sasser и Blaster, как на их смену спешат свеженькие модификации Kido.
 
В нашем современном мире кибернетики общество делится на тех, кто страдает от компьютерных вирусов и тех, кто эти вирусы пишет. Разумеется, редакция нашего журнала всегда была и будет на стороне первых. Поэтому мне пришлось засесть за работу над данной статьёй.
Только в 2008 году 47 млрд. рублей не досчиталась российская экономика благодаря спам-сообщениям. Интересно, ведётся ли аналогичная статистика у нас в Украине?
По данным РОМИР, лишь 2% отечественных пользователей не прибегают к услугам антивирусов и файерволов при работе в сети. Согласитесь, это радует. Но всё же мне хочется побороться за оставшиеся 2 процента ;)
 

Правила безопасности

 
Для начала хотелось бы напомнить первостепенные правила предосторожности и методы обнаружения и борьбы с с вирусами, сетевыми шпионами, троянами, червями, и прочей кибернетической нечистью, которые может подцепить пользователь, путешествуя по Интернету. Дальнейшее описание проверено на моей практике при работе под Windows XP и подобные вещи сможет сделать любой, даже мало-мальски опытный пользователь.
Итак краткий свод правил, соблюдая которые вы сможете избежать встречи с вирусом. Сразу, как только вы установили «чистую» операционную систему, прежде, чем ломиться в Интернет, сделайте следующее:
  1. Установите антивирус: NOD, Касперский, Dr.Web, Norton или другой, но только какой-то один.
  2. Установите брандмауэр (сетевой экран, фаервол) Касперский Anti-Hacker, Agnitum, разумеется, тоже только один, но при этом не забудьте включить и встроенный в ОС брандмауэр.
  3. Поскольку разработчики из Microsoft, навыпускав уже 5-ю, 6-ю, 7-ю и даже 8-ю версии браузера, видимо, по-прежнему действуют по принципу: если не получается одновременно быстрый, удобный, безглючный и защищённый браузер, то пускай хотя бы их будет много. То для путешествия по закоулкам Интернета хотел бы я порекомендовать вам НИКОГДА не пользоваться браузером IE (InternetExplorer), даже 8-й версии.
  4. Не могу этого сделать, поскольку, используя другие браузеры (не надстройки IE), такие как FireFox, Google Chrome или Opera всё равно что-то да будет неудобно. Всё же по возможности старайтесь использовать именно их, или хотя бы первые два, и тогда многих бед можно будет избежать. Поскольку CD с дистрибутивом Windows, с которого вы обычно ставите ОС на свой компьютер, может быть разной «свежести» (я уже молчу о разных тюнингованных WinXP, которые доступны в сети), то нельзя забывать об обновлении системы. Но удобнее и эффективнее это делать при помощи программы Windows Vulnerability Scanner. По рекомендации данной программы достаточно скачать критические патчи для системы.
  5. Если вы пользователь социальной сети, такой, как «Одноклассники» или «В контакте», то будьте бдительны и не спешите кликать на «прикольные» ссылки, присылаемые от приятелей и друзей, поскольку это один из самых простых способов заманить вас на веб-страничку, способную заразить ваш компьютер вирусом или трояном, способным похитить ваш пароль на вход в социальную сеть и даже Аську (ICQ, QIP, Miranda), или того хуже – электронную почту. Разумеется, не следует кликать на ссылки, присылаемые по Аське или электронной почте, не изучив реального адреса ссылки, который обычно отображается в строке статуса браузера при наведении курсора мыши на текст ссылки.
  6. Веб-интерфейс практически каждого форума, социальной сети или почтового сервиса позволяет запомнить пароль. Согласен – это удобно, но как всякое благо, оно может обернуться во зло. Поэтому лучше хранить пароль в некотором текстовом файле, и при входе на сайт просто копировать его в форму входа. Это обезопасит вас от всевозможных сканеров cookie и кейлоггеров, ведущих охоту на ваши личные данные.
  7. Сегодня нет такой программы или игры, которую нельзя было бы найти и скачать в Интернете. Но следует быть осторожным, поскольку такое ПО может содержать, как минимум, назойливые рекламные модули, не говоря уже о вирусах. Особенно это касается генераторов серийного кода и crack-утилит.

Подозрительные проявления

 
Если раньше вирусы могли себя активно проявлять, подменяя адрес домашней странички или перезагружая систему, тем самым обнаруживая свою деятельность, а значит, нарушая первую заповедь невидимки – быть невидимым, то сейчас многие серьёзные вирусы стремятся ничем себя не проявить. В моде нынче ботнеты.
Ботнет (англ. botnet) – это компьютерная сеть, состоящая из некоторого количества хостов (ведущими), с запущенными ботами (ведомыми) – автономным программным обеспечением. Чаще всего бот в составе ботнета является скрытно устанавливаемым на компьютере жертвы и позволяющим злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера программным обеспечением. Обычно используются для нелегальной или неодобряемой деятельности – рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании (DDoS).Цель этих атак – довести атакуемую систему до отказа, т.е., создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён.
Поэтому, если ничего подозрительного в работе вашей ОС вы не наблюдаете, то это ещё ни о чём не говорит. Следует вооружить свою ОС антивирусом, чтобы выявлять вредоносное ПО оперативно.
Иногда система уже «слетела», или, как говорят, «упала», то полезной может оказаться утилита AVZ, способная работать в составе любого CD с реаниматором (размером 4.5 Мб, http://z-oleg.com/secur/avz/download.php). Утилита позволяет выявлять в автозапуске, в службах, в модулях браузера IE (BHO), в обработчиках префиксов сетевых протоколов и при сканировании дисков несертифицированное ПО, а также способно выявлять свыше 200 тыс. вирусов, в том числе и руткиты. Конечно, AVZ не может служить полноценной заменой профессиональному антивирусному пакету, но как инструменту по выявлению неисправностей в системе ей сложно найти альтернативу. К тому же не многие антивирусы способны портабельно работать в составе реаниматоров.
Именно поэтому в этот раз я не стал приводить утомительные для чтения списки ключей реестра, где может спрятаться «зараза», поскольку утилита AVZ способна в удобной и наглядной форме показать всё это и так, да к тому же даёт возможность выключать нежелательные компоненты из текущего выполнения и автозагрузки.
Программа была разработана Олегом Зайцевым. В настоящее время, хотя утилита уже принадлежит Лаборатории Касперского, Олег Зайцев остаётся её единственным разработчиком.
После покупки AVZ Лабораторией Касперского используемые в ней наработки и технологии вошли в новый продукт – Kaspersky InternetSecurity 2009. Думаю, о чём-то это да говорит.
 

Руты и киты

 
Следует немного рассказать о китах, на которых держатся многие современные вредоносные программы.
Rootkit (руткит, от англ. root kit, т.е. «набор root'а») – программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.
Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, сниферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.
По уровню привилегий руткиты классифицируются: уровня пользователя (user-mode) и уровня ядра (kernel-mode). По принципу действия: изменяющие алгоритмы выполнения системных функций (Modify execution path) и изменяющие системные структуры данных (Direct kernel object manupulation).
Из-за Windows File Protection переписывание системных файлов в Windows затруднено (хотя и его можно обойти!), поэтому основные способы внедрения в систему – модификация памяти: перехват системных функций Windows API (API hooking) на уровне пользователя; то же на уровне ядра (перехват Native API); изменение системных структур данных; модификация MBR (master boot record – главная загрузочная запись) и загрузка до ядра операционной системы – буткиты (известный представитель BackDoor.MaosBoot).
Данный вид вредоносных кодов очень давно известен в мире Windows и с начала 90-х годов прошлого столетия носит название стелс-вируса (Stealth). Кроме того, руткиту нужно как-то поставить себя на автозапуск. «К счастью», в Windows для этого существует множество способов помимо «стандартных».
Кроме непосредственно себя руткит, как правило, может маскировать присутствие в системе любых описанных в его конфигурации каталогов и файлов на диске, ключей в реестре. По этой причине естественным образом появились «навесные» руткитные библиотеки. Многие rootkit устанавливают в систему свои драйверы и службы (они, естественно, также являются «невидимыми»).
Руткиты могут «подкидывать» не только злоумышленники. Был прецедент, когда корпорация Sony встраивала подобие руткита в свои лицензионные аудиодиски. Руткитами по сути является большинство программных средств защиты от копирования (и средств обхода этих защит – например, эмуляторы CD и DVD приводов). От «нелегальных» они отличаются только тем, что ставятся с ведома пользователя.
Антируткиты – это утилиты или резидентные модули, обнаруживающие в системе присутствие руткитов и (в разной мере) удаляющие их. Существует множество конкурирующих средств для этого – как платных, так и бесплатных, но все они используют сходные принципы действия. Так против MEP-руткитов применяется поиск расхождений. Одна и та же информация получается несколькими способами с использованием API и «напрямую» и ищутся расхождения. В частности, обычно сканируются таблицы импорта, таблица Native API, файловая система.
 

Бесплатные антируткиты

 
Avast! Antivirus – не специализированное средство, но антируткит – один из компонентов.
Hypersight Rootkit Detector – Единственный антируткит, который определяет руткиты, работающие в режиме hypervisor (http://northsecuritylabs.com/ru/).
GMER – один из самых лучших анти-руткитов. Обнаруживает в AD-Streams (www.gmer.net).
Grisoft AVG Antirootkit – один из самых лучших анти-руткитов. Как отдельный продукт больше не поддерживается, ссылка перенапраяляется на AVG Internet Security 8.0 (free.grisoft.com/doc/39798/lng/us/tpl/v5)
RootKit Unhooker – один из самых лучших анти-руткитов, но с частыми зависаниями (http://antirootkit.com).
AVZ – не специализированное средство, но антируткит – один из компонентов (http://z-oleg.com/secur/avz/download.php).
Catchme (www.gmer.net/catchme.php)
Helios (http://helios.miel-labs.com/2006/07/download-helios.html)
IceSword (http://majorgeeks.com/Icesword_d5199.html)
OSAM – не специализированное средство, но антируткит – один из компонентов (www.online-solutions.ru/ru/osam_autorun_manager.php).
RKDetector (www.rootkitdetector.com)
RootKit Hook Analyzer (www.resplendence.com/hookanalyzer/)
Microsoft Rootkit Revealer (http://technet.microsoft.com/ru-ru/sysinternals/bb897445.aspx)
 

Коммерческие антируткиты

 
Avira Antivir Rootkit (http://antivir.kiev.ua)
BitDefender Antirootkit (http://news.bitdefender.com)
F-Secure BackLite (www.f-secure.co.uk/blacklight/blacklight.html)
McAfee Rootkit Detective (http://vil.nai.com/vil/stinger/rkstinger.aspx)
Panda AntiRootkit (http://research.pandasoftware.com)
Sophos Anti-Rootkit (www.sophos.com)
Trend Micro RootkitBuster (www.trendmicro.com)
 
 
 
«Горькие» новинки
 

Создан первый вирус для банкоматов

 
Вот нянчились-нянчились с вирусописаками, а они теперь и до банкоматов добрались.
Американская компания Diebold, ведущий поставщик банковских терминалов, выпустила патч для устранения уязвимости, обнаруженной в линейке ATM-устройств Opteva. Некоторое время назад производителю стало известно, что изобретательные кибер-преступники нашли новый способ кражи персональной информации клиентов, ключевым моментом которого является установка на терминал вредоносного программного обеспечения.
 

За окном шёл дождь и вирус Conficker

 
Всё ещё не стихает эпидемия вируса, который в разных антивирусных лабораториях называют то Kido, то Conficker. По оценкам специалистов количество компьютеров, которые поразил вирус, уже добралось до 10 млн. по всему миру.
Вирус можно опознать по симптомам:
1. При наличии зараженных компьютеров в локальной сети повышается объем сетевого трафика, поскольку с этих компьютеров начинается сетевая атака.
2. Антивирусные приложения с активным сетевым экраном сообщают об атаке Intrusion.Win.NETAPI.buffer-overflow.exploit.Например, антивирус NOD компании ESET классифицирует этот вирус как win32/conficker.ae, в тоже время в Лаборатории Касперского (ЛК) его называют Net-Worm.Win32.Kido, уважаемый Dr. Web – как Win32.HLLW.Shadow.based, в MS OneCare согласны со специалистами из ESET – Worm:Win32/Conficker.A, а в Symantec, как всегда, оригинальничают – W32.Downadup.
А вот, что говорит Григорий Васильев, технический директор ESET:
«Данный червь использует критическую уязвимость MS08-67 операционных систем Windows, подсистемы удаленного вызова процедур Remote Call Procedure (RPC), предоставляющую злоумышленнику возможность атаковать удаленные компьютеры без подтверждения прав доступа к системе. Conficker пытается скачать дополнительно рекламное ПО или вредоносные программы, обычно это варианты FakeAlert, Wigon.
Интересная особенность червя заключается в том, что он имеет механизм проверки языков, установленных в системе и не заражает компьютеры, в которых используется украинская раскладка. Обычно подобные трюки используются для того, чтобы избежать юридического преследования в определенных странах. К тому же, червь отключает брандмауэр Windows и запускает http-сервер на случайном порту».
Чтобы избежать заражения данным вирусом бюллетень Microsoft рекомендует установить критические заплатки: KB957097, KB958644, KB958687.
Чтобы впредь просто и быстро ставить эти патчики, достаточно создать в текстовом редакторе (например, стандартный Блокнот) файл с текстом:
 
WindowsXP-KB957097-x86-RUS.exe /passive /norestart
WindowsXP-KB958644-x86-RUS.exe /passive /norestart
WindowsXP-KB958687-x86-RUS.exe /passive /norestart
 
и сохранить его под именем, например, WinXP_x32_RUS_patch.bat в папку с патчами и запускать при необходимости. После этого компьютер надо будет перезагрузить.
 
Специалисты ЛК рекомендуют следующие методы борьбы: www.kaspersky.ru/support/wks6mp3/error?qid=208636215. Там же можно скачать и утилиту KidoKiller.
Вирусологи из BitDefender предлагают утилиту Remove Tool Downadup (версия для одного ПК имеет размер 2.4 Мб, www.bdtools.net), осуществляющую поиск и удаление вируса. Доступна версия для администраторов, позволяющая бороться с вирусом и в целой подсети.
 

Уязвимость Clickjacking

 
В среде специалистов по веб-безопасности не утихают разговоры по поводу публикации деталей новой атаки, позволяющей незаметно для пользователя «украсть» его клики. Первоначально предполагалось, что Robert Hansen, известный под ником «RSnake» и Jeremiah Grossman опубликуют доклад о найденной ими новой уязвимости, получившей название Clickjacking, на конференции OWASP в Нью-Йорке.
Однако их выступление было отменено по просьбе компании Adobe, которая была крайне заинтересована в этой атаке, так как основной ее продукт, а именно Adobe Flash, был уязвим перед Clickjacking. Свою просьбу Adobe мотивировал желанием устранить уязвимость еще перед тем, как ее только начнут применять, тем самым обезопасив пользователей Flash.
Разглашение подробностей произошло лишь недавно, после того, как на обозрение широкому кругу лиц был выставлен первый отчёт от третьих лиц, которые самостоятельно провели собственное исследование, опираясь на ту небольшую информацию, которая все-таки просочилась в публичные блоги и сайты.
Честно говоря, все ожидали большего и вся шумиха, которая была поднята по поводу Clickjacking, не сопоставима со значимостью угрозы самой атаки. Тем не менее, определенная степень опасности все же существует и исключать возможность проведения Clickjaсking разработчикам не стоит.
Итак. Clickjacking позволяет перехватывать клики мыши пользователя с целью нажатия на другие элементы, которые могут быть включены в контекст оригинального сайта, но без визуального отображения, что ведет к совершению пользователем непреднамеренных действий.
Реализация атаки состоит в следующем: некий сайт A имеет в себе IFRAME, адресом которого является сайт B, к которому пользователь имеет доступ на основе авторизационных данных Cookie. Злонамеренный сайт A перекрывает страницу с сайта B таким образом, чтобы оставить видимым конкретный элемент, например, кнопку «Удалить аккаунт», «Добавить друга» и т.д.
Сайт A может иметь такой интерфейс, который позволял бы рассматривать элемент с сайта B, как часть сайта A, побуждая пользователя нажать на него. Тем самым пользователь подвергается опасности совершения абсолютно не предполагаемых им действий, которые выгодны злоумышленнику.
Добиться такого «перекрывания» интерфейса другого сайта можно с помощью метода CSS Overlay. Конечно, все это выглядит, мягко говоря, не совсем практично, но возможности Clickjacking не ограничивается лишь подобным примером атаки.
Например, Clickjacking ставит под сомнение эффективность метода защиты против CSRF (Cross-Site Request Forgery – подделка HTTP-запросов перекрёстного сайта) с помощью токенов. Кроме того, возможна (точнее была возможна в связи с выходом патча) атака, при которой пользователь, нажимая на определенные области экрана, в дружелюбной игре, может поменять настройки Flash таким образом, что его компьютер превратился бы в настоящую станцию слежения с помощью веб-камеры или микрофона (разумеется, если таковые устройства подключены к компьютеру).
Именно этот способ был раскрыт независимо от Гроссмана и Хансена, в следствие чего последний был вынужден снять завесу тайны с Clickjacking в своем блоге лишь недавно. Потенциальная уязвимость в Adobe Flash так и не стала реальностью, поскольку разработчики успели выпустить патч.
Эта уязвимость существует уже много лет и о ней, между прочим, время от времени говорили разные эксперты, но их не услышали, и настоящее признание получила только сейчас, благодаря деятельности (или пиара) уважаемых RSnake и Grossman.
Меры по защите от Clickjacking могут быть предприняты как разработчиками веб-приложений, так и самими пользователями. Плагин для FireFox NoScript (http://noscript.net/) уже имеет защиту от Clickjacking, так что его пользователи могут быть уверены, что все их клики будут уходить только в одном направлении. Использовать NoScript addone рекомендуют многие специалисты по сетевой безопасности.
Веб-разработчики также могут включить защиту в свои сайты, воспользовавшись достаточно простым способом, который носит название framebusting. Суть его заключается в том, что веб-приложение определяет не находиться ли оно во фрейме другого сайта, и если так, то просто выбирается из фрейма, и становится top-ом. Код приема:
 
var frameBusted = (top != self);
if (frameBusted) top.location.href = 'index.htm';
 
В заключение хочу отметить, что, несмотря на всю противоречивость атаки, она может быть использована для превращения кликов в деньги путем непреднамеренного нажатия пользователем на рекламе.
Надо отметить, что подобные методы борьбы с Clickjacking применяются в коде таких известных поисковиков, как Яндекс и Рамблер. Но опять же, всё зависит от браузера пользователя.
 
Ну вот, теперь вам будет чем заняться на досуге, а мне пора.
 
 
 
 

 
 
Назад

 
 
Украина онлайн Рейтинг@Mail.ru Рейтинг Сайтов YandeG Український рейтинг TOP.TOPUA.NET

Первый Каталог - Софт, фильмы, музыка тИЦ и PR сайта