Сетевые черви и защита от них

С прошлого урока мы с вами знаем, что Интернет-черви или сетевые черви – это вредоносные программы, которые распространяют свои копии по локальным и/или глобальным сетям. Черви делятся на почтовых и веб-червей.

На этом уроке мы более подробно рассмотрим, что такое веб-черви и почтовые черви, а также узнаем, какие существуют способы защиты от них.

Первые эксперименты по внедрению компьютерных червей были проведены в 1978 году в исследовательском центре Xerox в Пало-Альто John Shoch и Jon Hupp.

Сам же термин «червь» возник под влиянием научно-фантастических романов «Когда Харли исполнился год» David Gerrold, в котором были описаны червеподобные программы, и «На ударной волне» John Brunner, где вводится сам термин.

«Червь Мориса» – это один из наиболее известных компьютерных червей, который был написан в 1988 году Робертом Моррисом-младшим.

В то время Роберт Моррис был студентом Корнельского Университета. Само же распространение этого червя началось 2 ноября, после чего червь быстро заразил примерно 6200 компьютеров. На то время это составляло примерно около 10 % всех компьютеров, которые были подключены в то время к Интернету.

Дискета с исходным кодом червя Морриса, хранящаяся в музее науки в Бостоне.

Как мы знаем, черви распространяются различными способами. В основном механизмы распространения червей делятся на 2 группы:

1. Использование уязвимостей и ошибок администрирования в программном обеспечении, установленном на компьютере. Например, тот же червь Мориса подбирал пароль к словарю. Черви, которые используют этот способ распространения, работают автономно, автоматически выбирая и атакуя компьютеры.

2. Использование средств так называемой социальной инженерии, т. е. провоцируется запуск вредоносной программы самим пользователем. Такой метод чаще всего используется при рассылке спама, в социальных сетях и так далее.

Но в наше время также встречаются черви, которые комбинируют в себе различные способы распространения, стратегии выбора жертв, а также коды компьютерных программ, которые ищут уязвимые места в программном обеспечении в различных ОС.

Скорость же распространения таких вирусов зависит от многих факторов:

·        топология сети;

·        алгоритм поиска уязвимых компьютеров;

·        средняя скорость создания новых копий.

Так, например, сетевые черви, которые распространяются по сети, обладают очень большой скоростью.

При активизации червя может произойти уничтожение программ и данных, а также похищение персональных данных пользователя. То есть, кроме вредоносных действий, сетевые черви могут выполнять шпионскую функцию троянских программ.

А сейчас рассмотрим такой вид червей, как веб-черви.

Веб-черви – это вредоносные программы, которые распространяются при помощи веб-серверов.

Заражение компьютера пользователя этим типом червей происходит в несколько этапов. Давайте разберёмся на примере. На уроке информатики вам дали задание написать реферат на тему «Что такое информация?». В наше время всё чаще молодые люди используют Интернет для поиска информации.

Этим и пользуются разработчики вирусных программ. Для начала веб-червь проникает на сервер, на котором находится сайт, и изменяет его веб-страницы.

Затем он ждёт, пока вы зададите необходимый запрос в поисковике и перейдёте на заражённую веб-страницу. После чего он спокойно проникает в ваш компьютер.

Причём если ваш компьютер подключён к сети, например, в школьном классе, то червь начинает распространяться автоматически и на другие компьютеры сети.

При этом скорость распространения по локальной сети будет намного выше, чем через Интернет, т. к. вирусу уже нет необходимости ожидать, пока вы зайдёте на заражённую веб-страницу.

К разновидностям веб-червей относятся скрипты-вирусы. Скрипты-вирусы – это активные элементы (программы) на языках JavaScript или VBScript, которые могут содержаться в файлах веб-страниц. Такие файлы передаются по Всемирной паутине с серверов Интернета в браузер локального компьютера, после чего и происходит непосредственно само заражение.

Скрипты-вирусы – это многообразный тип вирусов, который способен причинять различный вред, начиная от безобидных шуток, например, удаление ярлыков, так и заканчивая очень нехорошими последствиями, например, удаление или шифрование очень важных данных.

Так, например, в 1998 году появился скрипт-вирус VBScript. Rabbit, который заражал скрипты веб-страниц.

Давайте рассмотрим пример одного из видов скриптов. Заходя на различные сайты, вы часто видите всплывающие окна – рекламу.

А обращали ли вы внимание, что эта реклама в основном соответствует запросам, которые вы чаще всего задаёте в Интернете? Т. е. такая разновидность скриптов следит за вашими действиями в Интернете, а затем в качестве рекламы возникают различные предложения на сайтах Интернета.

Для защиты своего компьютера от таких вирусов можно в настройках браузера запретить получение активных элементов на локальном компьютере.

Но для большей эффективности рекомендуется использовать веб-антивирусные программы. Такие программы включают в себя межсетевой экран и модуль проверки на языках JavaScript и VBScript.

Межсетевой экран (брандмауэр) – это программный или программно-аппаратный элемент компьютерной сети, который осуществляет контроль и фильтрацию данных проходящего через него сетевого трафика в соответствии с заданными правилами.

Т. е. брандмауэр проверяет все данные, поступающие из Интернета или по локальной сети, а затем либо отклоняет её, либо пропускает в компьютер.

Например, в операционной системе Windows есть свой встроенный брандмауэр.

Первые же устройства, которые выполняли функцию фильтрации трафика, появились в конце 1980-х годов. В те времена Интернет ещё только входил в жизнь людей и не использовался в глобальных масштабах. Такие устройства назывались маршрутизаторами. Они проверяли трафик на основании данных, содержащихся в заголовках сетевого уровня. С развитием сетевых технологий эти устройства получили возможность выполнять фильтрацию трафика, используя данные протоколов более высокого уровня. То есть маршрутизаторы – это первая программно-аппаратная реализация межсетевого экрана.

Сами же программные межсетевые экраны появились существенно позже и были гораздо моложе, чем антивирусные программы. К примеру, сюда можно отнести проект Netfilter, который был основан в 1998 году. Он встраивался в ядро Linux с версии 2.4. Такие программы появились так поздно, потому что с основной защитой справлялись антивирусные программы. Но в конце 1990-х годов вирусы стали активно использовать отсутствие межсетевого экрана и это привело к появлению брандмауэров.

Например, вы зашли на веб-страницу, в это время межсетевой экран проверяет наличие на этой странице известных вредоносных кодов, данные о которых хранятся в специальной базе данных, или же незнакомых, но подозрительных скриптов, проверка которых происходит при помощи эвристического алгоритма. В базах данных брандмауэра содержатся данные о всех известных вредоносных программах и способах защиты от них. Эвристический алгоритм позволяет обнаружить новые вирусы, которые ещё не описаны в базах данных.

Если же вы зашли на страницу, на которой находится вирус, то доступ к ней блокируется и, соответственно, выводится сообщение о том, что на этой странице присутствует вирус. Если же с выбранной страницей всё хорошо и на ней нет никаких вирусов, то вы спокойно можете читать информацию, находящуюся на ней.

Наверное, многие из вас используют программы для общения в реальном времени, то есть для передачи мгновенных сообщений или же онлайн-игры. В таком случае межсетевой экран запрашивает пользователя о блокировании или разрешении подключения. Вам достаточно один раз выбрать нужное действие, установив галочку напротив него, и нажать «Разрешить доступ», чтобы брандмауэр больше не выдавал запрос по поводу поступления информации для этой программы. При разрешении подключения межсетевой экран создаёт исключение для этого приложения.

Иногда некоторые пользователи отключают защиту брандмауэра, чтобы он не мешал своими запросами выполнению действий с той или иной сетевой программой.

При этом пользователи полагаются на то, что если в Интернете и есть вирус, то его без проблем обнаружит антивирусная программа. Но всё-таки не зря же разработчики, помимо антивирусных программ, создали и межсетевые экраны. Если не хотите, чтобы на ваш компьютер проник вирус, который может повредить данные на нём, не стоит отключать брандмауэр.

Для проверки скриптов в браузере существует своя последовательность действий. Давайте рассмотрим её.

При запуске веб-страницы каждый скрипт, который на ней находится, перехватывается модулем проверки скриптов, после чего происходит тщательный анализ на присутствие вредоносного кода.

В случае, если в скрипте присутствует вредоносный код, то модуль проверки скриптов блокирует его, а пользователь получает соответствующее сообщение.

Если же в скрипте не обнаружено вредоносного кода, то он выполняется.

Ещё один вид сетевых червей, который мы рассмотрим на этом уроке, – почтовые черви.

Как видно из названия, почтовые черви – это вредоносные программы, которые распространяются через электронную почту.

Такие вирусные программы могут распространяться двумя способами. Рассмотрим их.

Если вы получили письмо от незнакомого человека, а в нём есть прикреплённый файл, то ни в коем случае нельзя скачивать его. Иначе произойдёт активация вредоносной программы.

И снова, если вам на почту пришло письмо от незнакомого человека, а в нём есть ссылка на какой-либо файл, то опять же нельзя переходить по этой ссылке. Если же вы всё-таки перешли по этой ссылке, то снова произойдёт активация вируса.

Если на ваш компьютер всё-таки попал почтовый вирус, то он начинает рассылать себя по всем контактам вашей адресной книги.

Для того, чтобы такой вирус не попал к вам на компьютер, не следует открывать вложенные в почтовые сообщения файлы, полученные от неизвестного отправителя.

Обратимся немного к истории. Так, например, 2000 год можно назвать годом любовных вирусов. Вирус LoveLetter, который был обнаружен 5 мая, мгновенно разлетелся по всему миру, поразив десятки миллионов компьютеров практически во всём мире.

У этого вируса была очень высокая скорость распространения. Сам вирус работал следующим образом: при попадании на компьютер, он начинал мгновенную рассылку своих копий в адресной книге почтовой программы Microsoft Outlook. Вирус LoveLetter делал это от имени владельца заражённого компьютера. Сам же владелец естественно об этом и не догадывался. В письмах был прикреплён файл с расширением «.TXT.VBC». При виде расширения пользователи, получившие этот файл, были в растерянности и не понимали ничего, так как думали, что это текстовый файл, а текстовый файл, как считалось, не может содержать вирусов. Это так, но под ложным расширением «.TXT» может скрываться всё что угодно. В данном случае – программа, написанная на VBScript. Также следует подчеркнуть гениальность автора: простой ход с точки зрения психологии. Мало кто сможет удержаться, чтобы не прочитать любовное письмо от своего знакомого. Именно на это и был сделан акцент при создании такого вируса.

В 2007 году компанией Fortinet были проведены исследования, которые показали, что число червей, массово распространяющихся по электронной почте, уменьшилось. Специалисты же объяснили это тем, что мошенники стали более разборчивыми в отношении жертв и вместо того, чтобы рассылать червей всем подряд, они стараются поразить более узкий круг пользователей, например, сотрудников какой-либо крупной компании. Но это не говорит о том, что черви исчезли или исчезнут в ближайшее время. Примером является появление всё в том же 2007 году червя Storm.

Но по мнению специалистов, рассылки новых червей являются эффективными только в течение первого часа, до тех пор, пока антивирусные программы не обновят свои базы данных.

Но всё-таки не стоит терять бдительности, поэтому для того, чтобы сетевые черви не попали на ваш компьютер, следует своевременно скачивать и устанавливать обновления системы безопасности операционной системы и программ.

На этом наш урок подошёл к концу. Сегодня мы с вами подробно познакомились с веб-червями и принципами их работы. Также узнали, как работает межсетевой экран (брандмауэр). Изучили принцип работы и профилактики почтовых червей.