Жанр: Учеба
Компьютерная вирусология ч. 1
...ли RCE-2100 (также распространялся с USCAN) и RCE1600
(распространялся с Aidstest). По видимому, вирус имеет
восточноевропейское (болгарское?) происхождение.
Неформальные названия: Помимо приведенных выше отсутстуют.
Методы обнаружения и средства защиты. Детектируется Scan (версии
66+), Для удаления бутовой части можно использовать команду SYS.
8.2. Бутовые вирусы восточного происхождения
8.2.1. Вирус Microbes
Конкретные сведения о вирусе практически отсутствуют. Заражает
как дискеты так и винчестер. При заражении PC/XT возможно
зависание системы.
Исторические сведения. Вирус был обнаружен в Бомбее (Индия в
июне 1990г.). Возможно, что этот вирус является историческим
предшественником Joshy и написан тем же автором.
Методы обнаружения и средства защиты. Детектируется Scan (версии
66+), Для удаления можно использовать команду SYS.
8.2.2. Вирус AirCop
Заражает только 360К пятидюймовые дискеты. Уменьшает обьем
системной памяти на 1К. Перехватывает прерывание 13. Имеет
вырожденный хвост, состоящий только из оригинального бутсектора.
На зараженной дискете хвост расположен по адресу 1/39/9, т.е. в
последнем секторе дискеты. Зараженный бутсектор не содержит
стандартных текстовых сообщений, однако в самом конце имееется
строка "Non-system..." На большинстве клонов вирус выдает через
случайный интервал времени сообщение
"Red State, Germ Offensive.
AIRCOP." однако на некоторых вместо выдачи сообщения выдается
сообщение о переполнении стека и система зависает.
Исторические сведения. Вирус обнаружен в июле 1990 г. в
Вашингтоне (США) и имеет тайванское происхождение.
Методы обнаружения и средства защиты. Детектируется Scan (версии
66+), Для удаления можно использовать команду SYS.
8.2.3. Вирус Korea
Заражает только 360К пятидюймовые дискеты. Имеет вырожденный
хвост, состоящий только из оригинального бутсектора и записываемый
в 11 сектор дискеты (последний сектор FAT). При этом возможно
поврежедние части FAT. Других проявлений не имеет.
Исторические сведения. Вирус обнаружен в марте 1990 г. в Сеуле
(Южная Корея) и, по-видимому, разработан там же.
Методы обнаружения и средства защиты. Детектируется Scan (версии
66+), Для удаления можно использовать команду SYS.
8.2.4. Вирус Ohio
Заражает только 360К пятидюймовые дискеты. По видимому данный
вирус можно рассматривать как раннюю версию вируса Den Zuk.
Дискета, зараженная вирусом Ohio иммунизирована к заражению
вирусом Brain. В теле вируса имеются строки:
"V I R U S
b y
The Hackers
Y C 1 E R P
D E N Z U K 0
Bandung 40254
Indonesia
(C) 1988, The Hackers Team...."
Исторические сведения. Вирус обнаружен в июне 1988 г. в
Индонезии и, по-видимому, разработан там же.
Методы обнаружения и средства защиты. Детектируется Scan
(версии 66+). Для удаления можно использовать команду SYS.
8.3. Ископаемые бутовые вирусы
8.3.1. Вирус Alameda (Аламеда)
Вирус Alameda, подобно вирусу M-05 (Stoned), имеет вырожденный
хвост, который размещается на последнем треке дискеты по адресу
39/8/0. При этом этот кластер не отмечается как сбойный, оставаясь
доступным для распределения. Поэтому в случае перезаписи
содержимого этого кластера перезагрузка системы становится
невозможной. После загрузки вирус уменьшает доступную память на 1
К.
Отличительной особенностью данного вируса является то, что он
перехватывает прерывание от клавиатуры, что позволяет этому вирусу
"выживать" теплую перезагрузку (с помощью Ctrl-Alt-Del). Более
того данный вирус размножается не путем заражения всех дискет к
которым идет обращение, а только дискет, которые расположены в
дисководе в момент нажатия CTL-ALT-DEL. Заражаются только
пятидюймовые дискеты 360К.
Оригинальная версия вируса не содержала кода, ориентированного
на нанесение какого-либо ущерба, однако как любой вирус вызывала
ряд побочных эффектов. В частности, на некоторые машинах
зараженных этим вирусом нельзя запустить отдельные программы или
драйверы. В настоящее время известны штаммы, разрушающие бутсектор
дискет (штамм Alameda-C). Кроме того оригинальная версия
работоспособна только на PC XT, поскольку содержит команды,
отсутствующие в микропроцессоре 80286 и 80386. Более поздние
версии размножаются и на PC AT.
Исторические замечания. Один из первых бутовых вирусов. Впервые
обнаружен в США в 1988 году в Merritt College, Oakland,
California. По мнению сотрудников университета вирус написан
студентом из колледжа Peralta community college, входящим в данный
округ. В СССР не отмечался. Приводимые данные базируются на списке
П.Хоффман и статьях Макафи и Гринберга [200-201,131].
Неформальные названия. Merritt, Peking, Seoul, Yale.
Методы обнаружения и средства защиты. Данный вирус
диагностируется полидетектором SCAN.
8.3.2. Вирус Chaos (Хаос)
Неформальное название данного вируса связано с тем, что в теле
вируса имеются текстовые строки "Welcome to the New Dungeon",
"Chaos" и "Letz be cool guys". Формально данный вирус является
бутовым вирусом, заражающим как дискеты, так и винчестер. при
заражении перезаписывает оригинальный бутсектор не копируя его в
новое место.
Стадия проявления заключается в пометке всех свободных кластеров
как сбойные. Условия наступления стадии проявления неизвестны.
Исторические замечания. Обнаружен в декабре 1989 г. в Англии.
Джеймсом Беррри (James Berry). В СССР не отмечался. Приводимые
данные базируются на списке П.Хоффман.
Неформальные названия. Merritt, Peking, Seoul, Yale
Методы обнаружения и средства защиты. Данный вирус
диагностируется полидетектором SCAN.
8.4. Мифические бутовые вирусы
8.4.1. Вирус Bxxx (Boot Killer - бут-киллер)
Данный вирус при каждой активизации переводит часть имеющихся
свободных кластеров в потерянные и тем самым уменьшает размер
доступного дискового пространства. Это пространство, естественно,
становится недоступным, если не использовать утилиту CHKDSK с
последующим удалением всех файлов с расширением CHK.
Вторым эффектом является форматизация первого трека диска.
Исторические замечания. Данный вирус был описан в статье [ ],
опубликованной в 1988 г. опубликованной в 1988 г.
9. НЕКОТОРЫЕ СЕТЕВЫЕ ВИРУСЫ
Сетевые вирусы более точно называть не вирусами, а
репликаторами, поскольку они не заражают выполняемые программы, а
просто распространяются по сети от одной ЭВМ к другой. Буквальный
перевод соответствующего англоязычного термина Worm - червяк
представляется менее удачным, чем предлагаемый термин репликатор.
В свою очередь репликатор, подобно кассетной боеголовке, может
переносить с собой троянских коней и обычные вирусы. К счастью,
два наиболее известных случая создания таких вирусов не связаны с
потерей или разрушением данных.
9.1. Вирус Christmas Tree (Рождественская елка)
Рассматриваемый вирус появился в конце декабря 1987 г. в
западноевропейской сети EARN (European Academic Research Network)
и связанной с ней американской сети BitNet. Его название связано с
тем, что он рисовал на экране дисплея новогоднюю елку и затем
рассылал себя по всем адресам, найденным на зараженной машине.
Программа распространялась по сети с помощью электронной почты.
Вирус был написан на языке управления заданиями REXX операционной
системы VM/CMS. Фактически это единственный известный вирус,
написанный на языке управления заданиями, и этот факт
свидетельствует о мощности и гибкости REXX - несомненно лучшего из
множества языков управления заданиями для машин системы 360/370.
Автором программы был студент университета Clausthal-Zellerfeld
(ФРГ), который утверждал, что просто хотел поздравить своих
приятелей и не представлял, что университетская сеть подсоединена
к EARN. Поскольку программа распространялась в виде исходного
текста, автор предпринял определенные меры по маскировке,
продемонстрировав неплохое понимание человеческой психологии. В
частности, в начале программы стояли "соблазнительные"
комментарии:
/**********************/ /****************************/
/* LET THIS EXEC */ /* ЗАПУСТИТЕ ЭТОТ */
/* */ /* */
/* RUN */ /* EXEC-ФАЙЛ */
/* */ /* */
/* AND */ /* И */
/* */ /* */
/* ENJOY */ /* РАЗВЛЕКИТЕСЬ */
/* */ /* */
/* YOURSELF */ /* */
/**********************/ /****************************/
За ними следовал фрагмент, состоящий из стилизованного рисунка
новогодней елки и поздравления "Счастливого Рождества и наилучшие
пожелания на следующий год", который, естественно, также не
вызывал особых подозрений:
'VMFCLEAR'
SAY ' * '
SAY ' * '
SAY ' *** '
SAY ' ***** '
SAY ' ******* '
SAY ' ********* '
SAY ' ************* A'
SAY ' ******* '
SAY ' *********** VERY'
SAY ' *************** '
SAY ' ******************* HAPPY'
SAY ' *********** '
SAY ' *************** CHRISTMAS'
SAY ' ******************* '
SAY ' *********************** AND'
SAY ' *************** '
SAY ' ******************* BEST WISHES'
SAY ' *********************** '
SAY ' *************************** FOR THE NEXT'
SAY ' ****** '
SAY ' ****** YEAR'
SAY ' ****** '
Для тех, кто еще сомневался, запускать ли программу или
посмотреть текст до конца, далее следовал еще один комментарий,
содержавший "ненавязчивый" совет о том, что "просмотр этого файла
совсем не интересен, просто наберите команду CHRISTMAS и
посмотрите, что получится":
/* browsing this file is no fun at all
just type CHRISTMAS from cms */
И только после этого шел непосредственно текст репликатора,
лишенный, естественно, каких-то коммментариев.
Из ЕАRN вирус, в процессе рассылки по обнаруженным им адресам,
попал в американскую сеть Bitnet. В свою очередь, сеть Bitnet
имеет связь с внутренней сетью компании IBM - Vnet. В этой сети
репликатор размножался особенно успешно, поскольку сеть состоит в
основном из машин и программного обеспечения фирмы IBM. Большие
списки рассылки у многих пользователей этой сети привели к ее
перегрузке и она была выключена. В течение двух дней, пока сеть
была выключена, вся электронная почта фирмы "отлеживалась". Фирмой
IBM были выполнены модификации сети, затрудняющие повторение
подобных инцидентов.
9.2. Вирус Морриса
Название данного вируса связано с тем, что его автором является
Роберт Моррис младший (Robert Morris), аспирант факультета
информатики Корнельского Университета (США). 2.10.88 он запустил
вирус в американскую национальную сеть Internet, ивинфицировав
большое количество компьютеров, подключенных к сети. Internet
объединяет машины университетских центров, частных фирм и
правительственных агенств, включая Национальное управление по
аэронавтике и исследованию космического пространства, а также
некоторые военные НИИ и лаборатории. Поскольку при
программировании автор допустил ошибку, вызвавшую превышение
скорости размножения и распространения по сравнению с задуманной,
вирус был достаточно быстро (в течении нескольких частов)
обнаружен. Тем не менее он успел заражить в общей сложности
порядка 6000 компьютеров из порядка 60000, подключенных к сети.
Вирус Морриса заражал только компьютеры типа SUN 3 и VAX,
которые использовали варианты ОС UNIX версии 4 BSD. В процессе
работы вирус оставлял необычные файлы в каталоге /usr/tmp на
некоторых машинах и странные сообщения в log-файлах некоторых
утилит, в частности, управляющей почтой утилиты SendMail. Для
своего распространения вирус использовал некоторые дефекты
стандартного программного обеспечения, установленного на многих
эксплуатирующих UNIX системах. Он также использовал механизм,
предназначенный для облегчения использования ресурсов удаленным
компьютерам для проведения вычислений, позволяющий запускать
задачу на удаленной машине. Вирус состоял из двух частей: главной
программы и программы, обеспечивающей его распространение. Главная
программа после запуска на очередной машине собирала информацию
относительно других машин в сети, с которыми данная ЭВМ имеет
связь. Она выполняла эту работу с помощью анализа конфигурационных
файлов и путем прогона системной утилиты, которая дает информацию
о текущем состоянии соединений в сети. Затем она использует
определенные недостатки программного обеспечения для пересылки
себя на другие машины.
Пересылка выполнялась специальной частью вируса, называемой
модулем распространения. Этот модуль представляет собой исходный
текст программы, состоящей из 99 строк на языке С, которые должны
быть откомпилированы и выполнены на удаленной машине. Для этого
исходный текст должен быть сначала передан очередной жертве
(используя способ, кратко описываемый ниже), а затем
откомпилирован и выполнен с тремя аргументами: сетевой адрес
инфицирующей машины (т.е. ЭВМ, с которой происходит заражение),
количество сетевых портов, которые нужно соединить с этой машиной
для передачи основных файлов вируса и "магическое число", которое
использовалось как однократная проверка паспорта. Если
инфицирующая машина не получала в ответ от посланного ею модуля
распространения этого "магического" числа, она немедленно
отсоединялась от этой машины. Это, по-видимому, было сделано в
расчете на предотвращение попыток получения файлов вируса путем
имитации действий модуля распространения. В самом модуле
распространения были предприняты определенные усилия по
маскировке. Для этой цели он обнулял свою командную строку и
немедленно создавал собственную копию. Если в процессе пересылки
файлов с инфицирующей машины происходил сбой, то модуль
распространения сначала удалял все пересланные файлы, а лишь затем
возвращал управление.
Как уже указывалось, после запуска на очередной жертве модуль
распространения обеспечивал пересылку всех файлов вируса для машин
этого типа (SUN или VAX). Каждый файл представлял собой версию
вируса для определенной архитектуры ЭВМ. Кроме того, модуль
распространения обеспечивал получение еще одной своей копии для
рассылки по очередным сетевым адресам. Хотя в модуле
распространения предусматривалась пересылка до 20 файлов, только
три на самом деле пересылались данной версией вируса. Это породило
гипотезы о том, что Моррис планировал разработку более совершенной
версии и что эта версия могла пересылать другие командные файлы,
паспорта пользователей или, возможно, вирусы для конкретного типа
ЭВМ. После пересылки загрузочных модулей модуль распространения
обеспечивал их сборку с местной версией системной библиотеки.
Затем эти программы вызывались одна за другой и их действие
заключалось в попытке раскрыть пароли пользователей, работающих на
данной машине. Если это удавалось, то вирус рассылал модуль
распространения по всем адресам, найденным в списке
соответствующего "взломанного" абонента. Если ни один из методов
дешифровки паролей не срабатывал, то машина, породившая модуль
распространения, обеспечивала удаление с диска всех улик (т.е,
файлов, созданных в процессе работы вируса).
Общий объем вируса достигал 68К. На момент написания данного
материала это, по-видимому, самый большой из известных
компьютерных вирусов.
Исторические замечания. Вирус был разработан Роберт Моррис
младшим, аспирантом Корнельского университета, впоследствии
осужденным за это американским судом (некоторые сведения об этом
процессе приведены в гл.10). Роберт Моррис является сыном
ведущего ученого (chief scientist) американского национального
центра безопасности компьютеров (U.S. National Computer Security
Center) є отделения Национального управления безопасности
(National Security Agency). Последнее специализируется на
глобальной телекоммуникационной разведке. Моррис-старший,
длительное время проработавший в Bell Laboraries, является одним
из разрабочиков игры Darvin є одному из первых экспериментов в
области саморазмножающихся программ. В дальнейшем, он участвовал в
разработке UNIX, в частности, системы парольной защиты.
Вирус был запущен в сеть приблизительно между 12 и 13 часами
2.10.88. Из-за ошибки, вызвавшей превышение скорости размножения и
распространения по сравнению с задуманной, в течение нескольких
часов (к концу дня) вирус заразил порядка 6000 компьютеров (данная
оценка основана на экстраполяции и не претендует на особенную
точность). Всего к сети Internet подключены более 60 000
компьютеров. Пораженные компьютеры были расположены на
значительной территории (Массачусетский технологический институт,
Калифорнийский университет в Беркли, университет в Пэдью,
Стенфордский университет и др.).
Наиболее заметным эффектом при распространении вируса, помимо
некоторых необычных сообщений операционной системы, была все же
непрерывно возраставшая загрузка пораженных вирусом машин. По
истечении некоторого времени отдельные компьютеры оказались
настолько загруженными распространением копий вируса, что не были
способны выполнять никакой полезной работы; некоторые компьютеры
исчерпали память для своппинга или таблицу текущих процессов и их
приходилось перегружать. Это существенно затруднило обмен
сообщениями и координацию работы по уничтожению вируса, поскольку,
судя по репортажам, большинство американских программистов
привыкло пользоваться электронной почтой. Задержки привели к
потере очень ценных сообщений, посланных пользователем, который,
по-видимому, знал детали работы вируса или они были сообщены ему
Моррисом, испугавшимся последствий своего "эксперимента". Тем не
менее, сеть оставалась работоспособной и между программистами шел
интенсивный обмен сообщениями.
Утром 3 ноября персонал Калифорнийского университета в Беркли и
Массачусетского технологического института (МТИ) получили копии
вируса и начали его анализ. Общим опасением было, что к моменту,
когда будет изготовлено противоядие, системные файлы будут
изменены или разрушена некоторая информация. К пяти часам вечера 3
ноября группа исследователей в Университете в Беркли разработала
серию мер для прекращения его дальнейшего распространения.
Соответствующее сообщение было передано по сети, однако его
распространение было задержано нагрузкой, созданной
распространением вируса и отключением некоторых частей сети "на
карантин". К 9 часам вечера другой простой и эффективный метод
борьбы с распространением вируса был найден в Университете Пэдью и
быстро распространен всем заинтересованным пользователям. К концу
суток с вирусом было покончено.
Дизассемблирование и реконструкция текста вируса представляла
собой достаточно сложную задачу, поскольку Моррисом были
предприняты специальные по ее затруднению, в частности, шифровка
текстовых строк. Основная часть работы была выполнена Марком
Эйчиным (Маrk Eichin), специалистом по дизассемблированию ROM,
который одновременно являлся и координатором работы других
программистов. Основная работа по реконструкции вируса была
завершена в субботу. Тогда же исследователями, после жарких
дискуссий, было принято решение не распространять восстановленный
исходный текст вируса и, в то же время, свободно распространять
информацию об алгоритмах, используемых данным вирусом. Это,
конечно, несет опасность, что они могут быть использованы для
написания новых вирусов, однако уровень знаний, требуемых для этой
цели, неизмеримо выше, чем умение перекомпилировать программу с
двумя или тремя измененными строчками.
На следующее утро, в пятницу 4 ноября в МТИ состоялась прессконференция,
на которой выступили ведущие участики "охоты на
вирус". Во вторник, 8 ноября, в Балтиморе состоялась конференция
по вирусу Морриса, на которой подробно обсуждалась хронология
событий, предпринятые действия и детальный анализ функционирования
вируса. Кроме того, были обсуждены вопросы, касающиеся уроков
инцидента и подготовки к отражению новых атак.
Ниже приводятся представляющие исторический интерес сообщения,
которыми обменивались исследователи в ходе борьбы с вирусом. Эти
сообщения наглядно демонстрируют огромную ценность национальной
сети как инструмента оперативного обмена информацией между
исследователями.
From: Stoll@DOCKMASTER.ARPA
Subject: Virus on the Arpanet - Milnet
Date: Thu, 3 Nov 88 06:46 EST
Re Arpanet "Sendmail" Virus attack November 3, 1988
Hi Gang!
It's now 3:45 AM on Wednesday 3 November 1988. I'm tired, so
don't believe everything that follows...
Apparently, there is a massive attack on Unix systems going on
right now.
I have spoken to systems managers at several computers, on both
the east & west coast, and I suspect this may be a system wide
problem.
Symptom: hundreds or thousands of jobs start running on a Unix
system bringing response to zero.
Systems attacked: Unix systems, 4.3BSD unix & variants (eg: SUNs)
any sendmail compiled with debug has this problem. See below.
This virus is spreading very quickly over the Milnet. Within the
past 4 hours, I have evidence that it has hit "10 sites across the
country, both Arpanet and Milnet sites. I suspect that well over
50 sites have been hit. Most of these are "major" sites and
gateways.
Method:
Apparently, someone has written a program that uses a hole in SMTP
Sendmail utility. This utility can send a message into another
program.
Step 1: from a distant Milnet host, a message is sent to Sendmail
to fire up SED, (SED is an editor). This is possible in certain
versions of sendmail (see below).
2: A 99 line C program is sent to SED through Sendmail.
3: The distant computer sends a command to compile this C
program.
4: Several object files are copied into the Unix computer. There
are 3 files: one targeted to Sun one targeted to SUN-3 one
targeted to vax (ultrix probably, not vms)
5: The C program accepts as address other Milnet sites
6: Apparently, program scans for other Milnet/arpanet addresses
and repeats this process.
The bug in Sendmail:
When the Unix 4.3 BSD version of Sendmail is compiled with the
Debug option, there's a hole in it.
Most Unix systems (BSD 4.3 and Suns) apparently do not have this
bug. It exists only where the system manager recompiled Sendmail
and enabled debugging.
This is bad news.
Cliff Stoll dockmaster.arpa
------------------------------------------------------------------
-------
From: Gene Spafford "spaf@purdue.edu"
Subject: More on the virus
Date: Thu, 03 Nov 88 09:52:18 EST
All of our Vaxen and some of our Suns here were infected with the
virus. The virus forks repeated copies of itself as it tries to
spread itself, and the load averages on the infected machines
skyrocketed. In fact, it got to the point that some of the
machines ran out of swap space and kernel table entries,
preventing login to even see what was going on!
The virus seems to consist of two parts. I managed to grab the
source code for one part, but not the main component (the virus
cleans up after itself so as not to leave evidence). The way that
it works is as follows:
1) Virus running on an infected machine opens a TCP connection to
a victim machine's sendmail, invokes debug mode, and gets a shell.
2) The shell creates a file in /tmp named $$,l1.c (where the $$
gets replaced by the current process id) and copies code for a
"listener" or "helper" program. This is just a few dozen lines
long and fairly generic code. The shell compiles this helper
using the "cc" command local to the system.
3) The helper is invoked with arguments pointing back at the
infecting virus (giving hostid/socket/passwords as arguments).
4) The helper then connects to the "server" and copies a number of
files (presumably to /tmp). After the files are copied, it exec's
a shell with standard input coming from the infecting
...Закладка в соц.сетях
