Worms World Party.
Занимательная компьютерная вирусология

У товарищей, не имеющих привычки открывать почтовые сообщения от неизвестных отправителей, представление о вирусах осталось неизменным с тех незапамятных времен, когда программы перетаскивали друг к другу на дискетах, а телефон использовали исключительно для разговоров. Тогда цифровые организмы были маленькими, неинтересными и злобными и изо всех сил стремились дорваться хоть до какого-нибудь винчестера, чтобы его порушить и сорвать на нем злобу, накопившуюся за долгое время просиживания задней части кода на трехдюймовой дискете.

Современные вирусы - существа гораздо более высокоорганизованные и даже отчасти социальные, ибо способны к совместной деятельности. Взять, к примеру, наиболее прямого потомка ископаемых вирусов - почтового червя I-Worm.Mydoom aka Novarg. Эта животина унаследовала от предков только старый и не слишком эффективный способ активации - для того чтобы она перешла из зачаточного состояния в активное, пользователь должен ее запустить. Впрочем, унаследовала с некоторыми изменениями: споры Mydoom можно обнаружить не только в почтовом ящике, но и подцепить в файлообменной сети KaZaA, где они лежат под видом дистрибутивов ICQ, Winamp и некоторых других популярных программ (активный вирус откладывает эти псевдодистрибутивы в папку Shared Folder).

Образ жизни Mydoom отличается от образа жизни предков еще существеннее. Этот товарищ не стремится разрушить все вокруг себя, а после активации спокойненько устанавливает на зараженную машину прокси-сервер для рассылки спама и троянский клиент, обеспечивающий доступ к машине. После этого, собственно, он запускает цикл размножения, используя электронную почту и загрузочную папку KaZaA. Живет он так себе, никого не трогает и только с 1 по 12 февраля этого года нападает на юниксоидов вместе со своими друзьями-соплеменниками. Своей смертью этот уникум не помирает. И даже если пользователь, на машине которого он поселился, настолько доверчив и беспечен, что не только открывает аттачи к сомнительным письмам, но и не пользуется антивирусами, охотники на его цифровое мясо все равно до него доберутся.

Самый известный из таких охотников - конкурент, с которым Mydoom уже который месяц бьется за первое место в списке самых распространенных вирусов, - NetSky.D. По своей природе охотник на Mydoom ничуть не лучше жертвы. В чем-то этот вирус больше похож на своих предков, чем Mydoom, потому что его натуре свойственны всего два стремления - размножаться и убивать. После активации NetSky сразу же начинает наводить "порядок" на компьютере. Для начала он устраняет всех, кого считает для себя опасным, - в первую очередь нападает на "Антивирус Касперского", стирая из реестра его ключи (если пакет давно не обновлялся, то покушение может оказаться удачным), а затем ищет на компьютере своего прямого конкурента - Mydoom - и устраняет его посредством убийства файлов-носителей и принудительной установки необходимых заплаток в систему. Это делается для того, чтобы не делить с конкурентом необходимый для размножения ресурс - трафик.

После того как неугодные вирусу программы нейтрализованы, NetSky успокаивается, сканирует содержимое дисков на предмет файлов, содержащих адреса электронной почты, и начинает рассылать свои личинки, прикрепляя их к письмам собственного сочинения. При этом вирус старается лишний раз не светиться - письма он рассылает посредством встроенного SMTP-клиента, обращающегося к прокси-серверам, рассредоточенным по всему белому свету.
Кроме этой сладкой парочки, постоянно соревнующейся за лидерство по количеству зараженных машин, в Сети обитает еще одно любопытное цифровое животное, по непонятным причинам не получившее столь же широкого распространения.

Инсталлировать его на свою машину в качестве домашнего тамагочи категорически не рекомендуется, так как этот червяк имеет очень неприятную привычку воровать пользовательские данные систем E-Gold и PayPal, а также открывать порты и устанавливать программы для приема и обработки удаленных команд. После завершения сбора информации и открытия лазеек милая зверушка отчитывается перед создателем-повелителем о проделанной работе, отправляя отчет с ворованной информацией и списком открытых портов на мутные почтовые ящики, расположенные на нескольких бесплатных серверах, в названиях которых фигурируют фамилии hodorkovsky, berezovsky и kaspersky.
Разговаривать эти существа, естественно, еще не научились. Однако за них нередко говорят их создатели, вшивающие в коды червей текстовые сообщения. Ну что хорошего могут сказать черви разумным обитателям Сети? В основном их речи - сплошь угрозы и нецензурная брань. Создатели червей-лидеров, конкурирующих друг с другом, обмениваются взаимными оскорблениями и угрозами, а MiMail угрожает DoS-атаками хозяевам бесплатных хостингов, если те осмелятся закрыть сервисные ящики червя. А чего еще можно было ожидать от цифровых существ, чьей основной задачей является убийство других программ и воровство информации?

Еще более перспективными, чем почтовые вирусы, являются, так сказать, твари самодоставляющиеся, использующие уязвимости системы и не требующие никакой деятельности со стороны пользователя для своей активации (вроде того же Lovesan). Обилием прикольных функций эти черви в основном не блещут, исключение составляют только полезные вирусы, которые появились и среди существ этого класса, да еще несколько прикольных червей. Тем не менее, среди червей этого типа есть четыре интересных экземпляра - два умельца, обладающих выдающимися способностями, и два червя-прилипалы, прихлебатели вируса MyDoom.

К слову, сам Lovesan тоже не сильно хитрое животное: он не только валит службу RPC и активно размножается, но и проводит регулярные атаки на сайт windowsupdate.com, стремясь его повалить и лишить пользователей возможности установить заплатки.)
Добрый умелец, именуемый Kilonce, первый экземпляр которого был пойман около двух лет назад в Китае, отличается на редкость злобным нравом и скверными манерами - даже NetSky по сравнению с ним кажется добрым Сантой. В целях нейтрализации вероятных противников-антивирусов Kilonce принудительно завершает все процессы, содержащие сочетания букв kv и av, а затем уничтожает все найденные на дисках exe-файлы с этим сочетанием символов. Завершив геноцид, червяк создает в системе пользователя Guest с правами администратора и расшаривает все файлы и папки на компьютере для свободного доступа. В завершение червяк прописывает в autoexec.bat команду уничтожения тринадцатого декабря всех файлов, содержащихся на диске. Вот такое доброе существо.

Хорошо, что оно не получило широкого распространения - вероятно, по причине многочисленных ошибок в коде.
Второй win32-умелец тоже не ангел, но все же не такой злодей. Randon скорее червяк-хулиган. Его инсталляционный комплект состоит аж из тринадцати файлов, которые червяк втаскивает в систему через 445-й порт, если ему удается подобрать пароль к ресурсам и обеспечить себе жизненное дисковое пространство. В свободное от стандартных видовых занятий время - дальнейшего поиска брешей и установки троянских компонентов - червь развлекает себя хулиганскими проделками, а именно флудит в IRC-каналах и устраивает DoS-атаки на случайным образом выбранные серверы и простые компьютеры. Не со зла, просто хулиганская натура своего требует. Особых шансов на выживание и распространение вирус не имеет: слишком уж у Randon мудреный и неэффективный способ размножения.

Черви-прихлебатели такими уникальными возможностями не обладают. По природе своей они довольно примитивны, однако забавно уже то, что существуют мелкие вирусы, живущие за счет крупных. Простенький Doomjuice, проникнув в открытую MyDoom лазейку, просто устраивается на новом месте и под крылом "старшего брата" продолжает размножаться, периодически атакуя многострадальный сайт Microsoft.
Более серьезный прилипала, Vesser, ведет себя агрессивнее. Червяк пытается остановить процессы, инициированные антивирусами и межсетевыми экранами (его черный список насчитывает около тридцати наименований процессов), а также устанавливает собственный троянский компонент, открывающий 2766-й порт для приема команд. Также червяк может принимать команды из определенных IRC-каналов.

Забавно, что это животное наносит вред не только пользователю, но и вирусу-благодетелю: Vesser отключает процессы, инициированные Mydoom, и удаляет из реестра его ключи. Вероятно, этот неблагодарный вирус с немецким названием просто не хочет делить с пустившим его в систему MyDoom жизненно важные пользовательские ресурсы.
Класс бестелесных червей пока что не демонстрирует ничего умопомрачительного - эти животные сейчас развиваются по пути сокращения собственных размеров и усовершенствования способов размножения. Ползают себе по Сети под видом пакетов ICQ, SQL Server и им подобных, не нанося особого вреда компьютеру, за исключением пожирания трафика (желудок у червя не больше 300 байт, а влезают в него даже мегабитные каналы). Посему на этом и закончим.

Заинтересовавшимся особенностями новых вирусов товарищам рекомендую посетить сайт www.viruslist.com, основанный "Лабораторией Каперского". А автору напоследок хотелось бы добавить к сказанному немного собственных размышлений.

Возможно, спустя некоторое время, цифровые животные эволюционируют и превратятся во что-то большее. Автору даже кажется, что искусственный интеллект имеет больше шансов появиться именно в процессе такой естественной эволюции, нежели будучи смоделированным аналитиками и психологами. В общем-то, даже если этого не случится, вирусы имеют все шансы развиться и превратиться в самобытных обитателей Сети, для которых интернет будет родным домом.

А что? Наши предки тоже были изрядными оглоедами. Лупцевали дубинами кого ни попадя, а потом съедали сырыми, не ощипывая. Однако сейчас их потомки сидят себе да культурно читают / пишут статьи, размышляя над проблемами эволюции. В общем, поживем - увидим. Темпы развития технического прогресса сейчас такие, что позволяют на это надеяться. UP

Doctor Worm: CodeBlue & CodeGreen

Многие, наверное, помнят эпидемию бестелесного червя CodeRed, разразившуюся в Сети в 2001 году. CodeRed был одним из первых вирусов, которые распространяются самопроизвольно, не требуя от пользователя никакой активности, и атаковал серверы под управлением Windows 2000.

Эпидемия этого вируса пошла на спад во многом благодаря активности двух цифровых микроорганизмов, которые точно так же самопроизвольно заходили на компьютеры, проверяли их на наличие CodeRed и в случае обнаружения последнего устраняли из системы файлы-носители червя и нейтрализовали лазейки, через которые CodeRed пробирался внутрь.

Первый "лекарь", CodeBlue, был совсем не безвредным, во многом напоминал NetSky и распространялся не только через ту же брешь, что и CodeRed, но и через другую ошибку в защите IIS. Он устранял конкурента, чтобы освободить для себя ресурсы, кроме этого, он и периодически устраивал DoS-атаки на заданный авторами сервер. Фактически, это был самостоятельный вирус, убивавший конкурента ради ресурсов.
Появившийся позднее CodeGreen уже занимался совершенно бескорыстным лечением машин.

Он только устранял из системы файлы-носители CodeRed, а затем качал и устанавливал соответствующую заплатку. Соответственно, никакого вреда от него, кроме расхода трафика, не было, впрочем, трафик расходовался на богоугодное дело, так что на том цифровом свете после деинсталляции этим червям наверняка сие будет прощено.

Doctor Worm: семейство Welchia

Настоящие санитары цифрового леса появились в Сети относительно недавно - черви семейства Welchia. Первая версия, Welchia.a, была запрограммирована на устранение червя Lovesan (эпидемия этого вируса прекратилась во многом благодаря Welchia.a). Схема действий у этого червя была почти полностью идентична CodeGreen: после внедрения в систему Welchia.a принудительно завершал процессы MSBlaster, устранял файл-носитель, после чего скачивал с сайта Microsoft заплатку и устанавливал ее в систему. От CodeGreen новый "санитар интернета" отличался наличием функции самоуничтожения: Welchia проверял текущую дату и, если она была больше 01.02.2004, с чувством выполненного долга делал себе сеппуку. Таким образом, сегодня этот червь уже полностью вымер.

Вторая версия, Welchia.b, еще встречается на просторах интернета. Этот вирус охотится на не менее распространенный и опасный вирус - Mydoom. Версия "b" использует тот же алгоритм, что и "а", и запрограммирована на самоуничтожение первого июня текущего года.

Забавно, да? Практика показала, что подобные черви - санитары интернета - лучшее средство для остановки вирусных эпидемий. К сожалению, плодить их никому не выгодно, поскольку денег на таком программном продукте не заработаешь. Так что говорить об обеспечении безопасности подобными червями не приходится - чтобы обезопасить себя, разумнее установить антивирусный пакет, чем ждать прихода бесплатной службы сетевого здравоохранения в виде новой версии Welchia.

Редакция благодарит компанию "Лаборатория Касперского" за помощь в подготовке этого материала.