Черви, которые возвращаются

Опубликовано в журнале "Компьютер Price" http://www.comprice.ru/

(По материалам статьи об инциденте GameSpy с вирусом Nimda)

Угроза со стороны опасных "гибридных" вирусов, таких как Nimda и Klez, по-прежнему остается актуальной, ставя новые проблемы перед компаниями, работающими в области информационной безопасности, и системными администраторами.

Любители игр, скачавшие в июне программу с популярного игрового сайта GameSpy.com, получили впридачу к ней неприятный довесок. Оказалось, что дистрибутив GameSpy Arcade 1.09 в течение некоторого времени был заражен вирусом Nimda, и более 3000 пользователей успели скачать эту версию. Двумя неделями раньше компания Microsoft, крупнейший в мире производитель программного обеспечения, была вынуждена признать, что она также невольно допустила распространение интернет-червя Nimda вместе со своим ПО (это была корейская версия среды разработки Visual Studio.Net). Хотя GameSpy и Microsoft быстро заверили общественность в том, что, по их сведениям, никто из конечных пользователей не был заражен, эти события все равно были освещены в СМИ как катастрофа. Некоторые наблюдатели удивлялись тому, что причиной заражения стал относительно старый вирус, которой обнаруживается любым антивирусным пакетом. Высказывалось также мнение о том, что Nimda по-прежнему часто встречается "в диком виде". В конце концов, первая вспышка этого вируса произошла девятью месяцами раньше, в сентябре 2001 года. Nimda заразил тысячи веб-серверов, персональных компьютеров и корпоративных сетей (приблизительный ущерб от действий вируса составил около 500 млн. долларов). Если бы его жизненный цикл был таким же, как и у других интернет-червей, он исчез бы в течение короткого промежутка времени, но Nimda и его разновидности до сих пор остаются реальной угрозой.

Несколько лет назад, когда вирусы стали мигрировать с настольных систем в Интернет, их эпидемии стали более сильными, но, в то же время, и более короткими. Вместо того чтобы расползаться по миру в течение недель или месяцев, почтовые вирусы, подобные Love Letter и Naked Wife, могли вызвать эпидемию в течение месяца или двух. Эпидемии шли на спад почти так же быстро, как и начинались, поскольку широкое информирование пользователей о вирусах помогало им принять необходимые меры предосторожности, а производители антивирусов тем временем распространяли файлы сигнатур, предназначенные для распознавания новых вирусов. Однако в течение последнего года сформировался новый вид вредоносных программ, которые, казалось бы, обратили эту тенденцию вспять. В 2001 году появился ряд вирусов, остающихся достаточно опасными до сих пор (некоторые из них породили новые, которые уже могли достаточно широко распространиться). Кроме уже упомянутого Nimda и его разновидностей, в последние месяцы в вирусных "хит-парадах" успели побывать: Klez, SirCam, FunLove, Magistr и BadTrans. В одну из недель июля список наиболее активных вирусов мира, который поддерживает Trend Micro, включал: SirCam, BadTrans, две версии Nimda, два варианта Klez, а также "соучастника" Klez - файловый вирус Elkern, запускаемый червем Klez.H в зараженные компьютеры. Почему же все эти программы так живучи? Что между ними общего?

Во-первых, все они являются представителями семейства "гибридных вирусов", также называемых "комплексными" (blended threats) и "смешанными" (mixed-attack). Они плохо поддаются классификации по старой системе. Иногда их называют вирусами, иногда - троянскими программами или червями. Фактически, они объединяют в себе черты всех этих разновидностей вредоносных программ. Например, Nimda может размножаться и заражать файлы подобно вирусу, но ведет себя как червь или троянская программа, распространяясь через зараженные почтовые вложения, потоки передаваемых через Интернет данных и совместно используемые диски. Гибридные вирусы часто используют определенные дефекты в системах безопасности популярных программ (таких как сервер Microsoft IIS). Они также могут действовать подобно хакерским инструментам, открывая "черные ходы" для вторжения в систему. Некоторые из них превращают зараженные компьютеры в "зомби", используя их для организации атак типа "отказ в обслуживании" (DoS) или других видов атак на определенные веб-сайты. Использование различных способов распространения означает, что обычные меры предосторожности, используемые для защиты от вредоносных программ (такие как запрет на открытие подозрительных вложенных файлов), не всегда помогают избежать заражения этими вирусами.

Некоторые эксперты полагают, что и Klez, и Nimda были созданы в Азии, но личности их авторов по-прежнему неизвестны. Вряд ли они относятся к числу неопытных "хакеров-недорослей" (script kiddies). Существует также мнение, что почерк авторов этих вирусов выдает в них хакеров-преступников ("крэкеров" или "взломщиков"). Специалисты в области безопасности отмечают появившуюся в последнее время тенденцию сближения взломщиков и вирусописателей. "Взломщики используют вирусы, чтобы забрасывать свои программы в корпоративные сети, - рассказывает Марк Бланшар, технический директор французского представительства Trend Micro. - В течение последнего года мы стали свидетелями слияния саморазмножающихся червей, вирусов-невидимок и макро-вирусов. Сейчас нам приходится иметь дело, например, с троянскими программами, использующими вирусные технологии, и активными почтовыми червями, содержащими макросы Microsoft Office. Похоже, что в ближайшее время эта тенденция получит свое развитие".

Nimda и Code Red в 2001 году привлекли повышенное внимание прессы благодаря тому, что первыми начали атаковать веб-серверы и вызвали всплеск интернет-трафика. Однако для большинства людей гораздо более актуальной проблемой является возможность заражения червями SirCam или Klez, которые постоянно "живут" в кругах домашних пользователей, редко обновляющих антивирусную защиту своих компьютеров. Инциденты, произошедшие с GameSpy.com и Microsoft, говорят о том, что эти интернет-черви способны быстро проникать в корпоративные сети, как только в их защите образуется хоть малейшая щель.

Несколько антивирусных компаний, включая Sophos и MessageLabs, назвали Klez.H самым широко распространившимся вирусом всех времен. Своим быстрым распространением Klez обязан огромному набору трюков, имеющихся в его арсенале. У этого вируса так много функций, что специалисты в области безопасности называют его "швейцарским армейским ножом мира вирусов". Оригинальный Klez использует ошибку в Internet Explorer, заставляя его запускать зараженное почтовое вложение. При рассылке писем вирус случайным образом выбирает одну из 30 возможных тем - от "An IE 6.0 Patch", до "How Are You", затрудняя пользователям свою визуальную идентификацию. Он использует уязвимость почтового клиента Outlook, из-за которой даже простой просмотр письма вызывает запуск вируса. Klez также подделывает обратные адреса электронной почты, посылая сообщения от имени людей, найденных в адресной книге зараженного компьютера. В результате, тысячи невинных пользователей получали обвинения в рассылке вируса, а настоящий источник инфекции зачастую так и оставался неизвестным. Кроме этого, интернет-червь Klez путешествует в сопровождении вируса Elkern, который запускается при заражении каждого нового компьютера и начинает путешествовать самостоятельно, заражая файлы, распространяясь через совместно используемые папки и файлообменные сети.

Какие меры следует принять пользователям и специалистам в области безопасности?

Как частные пользователи, так и администраторы сетей могут принять дополнительные меры предосторожности, дабы избежать заражения гибридными вирусами. Списки рекомендуемых мер безопасности можно найти на многих веб-сайтах, включая принадлежащие крупным производителям антивирусов. Кроме того, Microsoft и другие производители ПО выпустили пакеты обновления систем безопасности и "заплатки" для своих продуктов, помогающие избавиться от многих ошибок и брешей в защите, используемых вирусами. Скачав и установив пакет обновления системы безопасности вашей ОС или другого приложения, вы можете значительно снизить риск заражения. Хороший, регулярно обновляемый антивирус является основным средством защиты как для большинства домашних пользователей, так и для корпоративных сетей. Однако способность последних интернет-червей к молниеносному размножению и их техническая изощренность ставят под сомнение всю традиционную модель антивирусной защиты. То, как производители антивирусов сумеют справиться с этой проблемой, определит развитие антивирусной защиты на ближайшие годы.

Основным способом обнаружения вирусов по-прежнему остается проверка сигнатур - уникальных участков кода, по которым можно идентифицировать тот или иной вирус. Очевидно, что при таком подходе антивирус должен заранее "знать" сигнатуру вируса, чтобы иметь возможность распознать его. Это означает, что при появлении нового вируса производитель должен выделить его сигнатуру и распространить ее среди своих пользователей. При таком подходе между обнаружением вируса и появлением вакцины от него неизбежно проходит некоторое время. Повышение оперативности работы производителей антивирусов и автоматизация процесса обновления могут лишь в той или иной мере сократить эту задержку, но не уничтожить ее совсем.

Для обнаружения неизвестных вирусов в антивирусные программы обычно встраивают "активные" методики распознавания вредоносных программ. Одним из примеров таких методик может служить эвристическое сканирование, предусматривающее проверку структуры и поведения подозрительных программ с целью выявления в них определенных закономерностей. Однако эффективность всех этих методов не очень высока. Попытки повысить эффективность активных методик неизбежно приводят к повышению вероятности "ложных тревог", при которых вирусами объявляются вполне безобидные файлы. Последствия такой ложной тревоги для системного администратора могут быть столь же разрушительны, как и реальная вирусная атака.

Другой подход к снятию ограничений, накладываемых методом проверки сигнатур, заключается в использовании различных средств фильтрации содержимого, блокирующих подозрительные файлы на основании их имени, расширения, темы почтового сообщения и т.д. Этот грубый, но эффективный метод обычно используется на уровне почтовых и интернет-шлюзов и бывает особенно полезен в начале эпидемии, когда отличительные признаки нового вируса уже известны, но его сигнатура еще не выделена. Некоторые ведущие производители антивирусов уже встраивают технологии фильтрации содержимого в свои продукты или предлагают отдельные решения, реализующие эти функции.

Самые дальновидные антивирусные компании сегодня проповедуют новый, более целостный подход к проблеме вирусов. Они полагают, что поскольку новые вирусы, подобные Nimda, атакуют разные компоненты сетей, локальные решения, защищающие отдельные устройства или отдельные уровни сетевой архитектуры, должны уступить место комплексным интегрированным системам защиты, охватывающим всю сеть. Эти системы должны использовать различные методы защиты и задействовать различные инструменты для реализации разнообразных стратегий защиты корпоративной инфраструктуры. Помимо акцента на комплексную защиту сетей, данный подход также предполагает решение всех проблем, возникающих в процессе развития эпидемии: от предотвращения первоначальной атаки и заражения, до сдерживания последующего распространения вируса, сведения к минимуму его воздействия на различные системы и ущерба, причиняемого им различным данным и приложениям. Комплексное решение должно уметь бороться с вирусом на каждом этапе его жизненного цикла, а также противостоять возможному негативному влиянию эпидемии на работоспособность сети. Задачей-максимум является перехват всех вирусов на уровне шлюза, но этого практически невозможно добиться в реальной жизни, поскольку вирусописатели продолжают разрабатывать новые методы нападения, а также находить и использовать все новые бреши в системах безопасности. Идеальное решение не должно ограничиваться лишь обнаружением вируса и профилактикой заражения, но должно также обеспечивать сдерживание эпидемии, уничтожение вредоносного кода и восстановление работоспособности системы. Предоставление администраторам возможности бороться с эпидемиями и снижение трудозатрат на восстановление системы могут значительно уменьшить наносимый вирусами материальный ущерб. Более того, тщательное уничтожение вредоносных программ поможет предотвратить повторное заражение, которое может иметь неприятные последствия, подобные случаям с распространением вируса компаниями GameSpy и Microsoft.

Различные производители антивирусов и других решений в области защиты данных по-разному позиционируют свои продукты. Большие компании могут исповедовать принцип "все в одном", предлагая решения для защиты данных, включающие брандмауэры и средства обнаружения вторжений и делая акцент на более тесной интеграции инструментов. Другие отдают предпочтение подходу, при котором покупатель сам выбирает лучшие или наиболее полно удовлетворяющие его потребности продукты в каждой категории. В одном из решений защита от вирусов даже отдается на откуп провайдеру управляемых услуг (managed service provider), хотя рынок таких услуг еще не слишком развит.

Trend Micro входит в число сторонников комплексного подхода. Предложенная компанией "Стратегия защиты предприятий" (Enterprise Protection Strategy - EPS) предполагает тесную интеграцию продуктов и учитывает новые реалии в области безопасности сетей. В основе данной инициативы лежит тщательно продуманная схема централизованного управления, связывающая в единое целое защитные средства на периметре сети и всех ее уровнях, а также использующая разнообразные программные инструменты и приложения для создания надежной всеобъемлющей системы, способной оперативно и эффективно обнаруживать, блокировать, изолировать и уничтожать вирусы. Цель создания этой системы - помочь компаниям сократить постоянно увеличивающиеся материальные затраты на борьбу со вспышками вирусов и свести к минимуму влияние вирусов на работоспособность сети.

"Поскольку создатели вирусов постоянно изобретают новые способы нападения и находят новые "уязвимости" в системах защиты, ни одно решение не может гарантировать полной защиты от вредоносных программ, - отмечает Ральф Лю, вице-президент Trend Micro по операциям в Азиатско-Тихоокеанском регионе. - Наша стратегия защиты предприятий - это гибкий комплекс продуктов и услуг, гарантирующих предотвращение большинства эпидемий, быструю локализацию и полное уничтожение вирусов, которым все же удается проникнуть в систему, а также оказание помощи пользователям по полной очистке системы и восстановлению ее работоспособности".