МАЛАЯ АКАДЕМИЯ НАУК КРЫМА
«ИСКАТЕЛЬ»
Секция информатики
Интернет – червь I LOVE YOU
(LOVE LETTER FOR YOU). Принцип работы.
Меры безопасности для защиты от заражения
и предотвращения деструктивных действий.
Форосской общеобразовательной школы I – III ступени г. Ялты
Научный руководитель – КОРАБЛЕВ А. Б.
ВВЕДЕНИЕ.
В настоящее время наблюдается безудержный рост числа пользователей глобальной сети Internet. Все большее количество людей получает возможность оперативно получать необходимую информацию, обмениваться письмами, общаться по интересам и т.д. используя ресурсы Internet, который стал поистине глобальной компьютерной сетью. Развитие сети несет с собой рост компьютерной грамотности и способствует распространению компьютеров не только в учреждениях и банках, но и в домах людей, не являющихся специалистами по компьютерам.
В последние годы возник новый вид пользователя – пользователь домашнего компьютера, не являющийся специалистом – компьютерщиком и в основном использующий компьютер для игр и для подключения к сети Internet. И количество таких пользователей увеличивается в геометрической прогрессии. С одной стороны, рост компьютеризации имеет положительное значение – компьютеры все больше входят в жизнь людей и облегчают ее. Однако, как и все медали, это явление имеет и оборотную сторону – уровень подготовки пользователей все более снижается, все далее уходит от профессионализма. Этому в немалой степени способствуют фирмы-изготовители программного обеспечения. В своих программных продуктах они максимально облегчают интерфейс, предельно уменьшают участие пользователя в работе программы, автоматизируя сам процесс работы. Использование языков высокого уровня, предельное упрощение и автоматизация процесса создания программ позволяет пользователям создавать программные продукты весьма неплохого качества даже при отсутствии глубоких знаний программирования и устройства компьютера.
При всех плюсах автоматизирования работы программных продуктов, выражающихся в облегчении работы с ними, существует и большой минус. Программисты, создающие программное обеспечение, вынуждены создавать операционные системы, имеющие гигантское количество так называемых «внешних ручек управления» (иначе говоря, программных «окон»), позволяющих управлять работой одних программ при помощи других или при помощи скриптов. При этом, контроль за ходом выполнения программы со стороны пользователя не обязателен и в большинстве случаев не нужен. Сложное разветвление скриптов и использование системного реестра операционной системой MS Windows 98 может послужить наглядным примером.
Создатели данной операционной системы и великого множества приложений к ней постарались предельно «облегчить жизнь» простого пользователя и предельно автоматизировали их работу. Однако при этом они максимально облегчили жизнь и еще одному виду пользователя – компьютерному вирмейкеру, создающему определенный тип программ – компьютерные вирусы.
В течении последних года – двух вирмейкеры резко поменяли цель своих «усилий» - вместо атак на операционные системы, память и системные области жесткого диска стали использоваться для проникновения в компьютер те же «внешние ручки управления» входящие в состав MS Office, MS Outlook, mIRC32 и другие приложения MS Windows. Статистика описаний новых вирусов, подключаемых к антивирусным базам программы AVP Е. Касперского, получаемая мной с сайта www.viruslist.com , говорит о том, что за период июня-июля 2000 года 80% из поступивших вирусов составили Internet-черви и Internet-троянцы, 15% - вирусы для MS Word и 5% - вирусы для почтовых программ IRC. За этот период практически не было обнаружено в «диком» виде ни одного вируса, проникающего в систему при помощи нестандартных функций операционных систем или при помощи работы напрямую с контроллерами внешних устройств. Не используется и система прерываний BIOS и операционной системы как для проникновения, так и для осуществления деструктивных действий. В основном для всего этого используются встроенные функции языка Visual Basic, Java, скриптов MS Word, Excel, Access.
После появления MS Office 97 с развитой системой макросов и операционной системы MS Windows 98 со встроенными функциями Visual Basic и Java как бы открылись широкие ворота для всех видов проникновения в систему. При этом резко расширились возможности и для различных (в том числе и деструктивных) действий внутри системы.
Одними из первых «ласточек» этого типа вирусов был нашумевший вирус Melissa. И если внимательно проследить сейчас за сообщениями в компьютерной прессе и на информационных сайтах Internet, то они в последнее время напоминают сообщения с поля боя! Вирус Melissa, парализовавший работу сети на долгое время, вирус Timofonica, вторгшийся в систему сотовой связи, каждый из вирусов приносит миллиардные убытки. По подсчетам экономистов убытки только в течение 2000 года превысили уже 25 миллиардов долларов! И это только за последние полгода!
Мне очень захотелось подробно рассмотреть эти вирусы, понять, почему они смогли нанести такой большой вред множеству пользователей и провайдеров сети Internet, найти способы борьбы с ними и возможности избежать заражения в дальнейшем.
И поработать я решил с одним из нашумевших и принесших наиболее ощутимые убытки (10 млрд. долларов) вирусом I LOVE YOU (LOVE LETTER FOR YOU).
АНАЛИЗ АЛГОРИТМА ИНТЕРНЕТ-ЧЕРВЯ
I LOVE YOU (LOVE LETTER FOR YOU).
Компьютерный вирус I LOVE YOU по своей сути является одним из представителей класса вирусов – Internet – червем, распространяющемся по системе электронной почты и использующий для своего функционирования встроенные функции Visual Basic из состава MS Windows 98 (при наличии установленного приложения Visual Basic и в MS Windows 95). Он интересен тем, что является первым из серии подобных вирусов. В дальнейшем куски его кода и идеи, реализованные в нем, стали широко использоваться в других вирусах и в его клонах. Исходный текст вируса получен мной из ресурсов Internet и является рабочим, поэтому использовать его необходимо со всеми предосторожностями!
Интернет – червь I LOVE YOU (в дальнейшем будем для удобства называть его «вирус») проникает в систему при получении по электронной почте письма с темой I LOVE YOU и присоединенным файлом LOVE LETTER FOR YOU.TXT.VBS., в котором содержится код вируса. При прочтении данного письма программой MS Outlook файл с телом вируса получает управление.
Здесь стоит несколько отвлечься от хода алгоритма вируса и обратить ваше внимание на использование автором вируса знания психологии человека. Вирус для рассылки собственных копий (это мы увидим далее) использует адресную книгу приложений MS Outlook и mIRC. Как обычно, в адресную книгу заносятся адреса тех, кто человеку близок – друзей, деловых партнеров, знакомых, родственников. Получив от кого-либо из этой категории людей письмо с признанием в любви, пользователь просто не сможет побороть желание открыть его. В этом – то и заключается психологическое воздействие на пользователя со стороны автора вируса – открыв письмо, пользователь запускает вирус на исполнение.
Для скрытия того, что файл с телом вируса является исполняемым файлом Visual Basic, автор использовал настройки самой системы MS Windows. Суть заключается в том, что по умолчанию в системе используется показ имени файла без расширения. В результате на экране при просмотре списка файлов вместо файла LOVE-LETTER_FOR_YOU.TXT.VBS, являющегося исполняемым файлом Visual Basic, пользователь видит LOVE-LETTER_FOR_YOU.TXT, что дает ему основание считать его текстовым файлом, не могущим содержать в себе кода вируса. Большая часть пользователей использует настройки системы MS Windows по умолчанию.
В теле вируса содержится копирайт автора – студента из Манилы [1].
После открытия письма для чтения читается файл с телом вируса [3] и запускается главная процедура работы вируса.
Вирус анализирует наличие запрета на обработку скриптов в системном реестре и если он есть, то путем изменения соответствующего ключа реестра снимает его [4].
Далее вирус определяет пути к каталогам WIN, SYSTEM и TEMP [5]. В каталог WIN копируется тело вируса под именем Win32.DLL.VBS, а в каталог SYSTEM копируется тело вируса в два файла с именами MSKernel32.vbs и LOVE-LETTER-FOR-YOU.TXT.VBS [6].
Далее в реестре Windows создается ключ, который будет запускать вирус при каждой загрузке Windows.
Анализируется расположение приемного каталога электронной почты и если он не является корневым каталогом диска С:, то он переназначается на С:[7]. Это делается для того, чтобы в дальнейшем принятый файл WIN-BUGSFIX.EXE был расположен в корневом каталоге С:.
В каталоге SYSTEM ищется файл WinFAT32.exe и при его наличии генерируется случайное число в пределах 1-4 [8]. Если файл найден, то производится прописывание одного из четырех (в зависимости от случайного числа) адресов сайта www.skyinet.net в реестре в качестве стартовой страницы для MS Internet Explorer. Устанавливается соединение и с сервера скачивается файл WIN-BUGSFIX.exe [9].
Мои собственные попытки связаться с этим сайтом и вручную скачать файл для дальнейшего изучения закончились неудачей. Все четыре адреса на сайте отсутствуют.
Если удалось скачать файл, то в реестре Windows создается ключ, который будет запускать его при каждой загрузке Windows [10] и стартовой страницей для MS Internet Explorer прописывается файл about:blank.
На этом заканчивается внедрение вируса в систему, и он переходит к активным деструктивным действиям.
Производится проверка типов дисков и поиск файлов по всем дискам. Далее проверяются расширения найденных файлов [11], и в соответствии с расширениями производятся деструктивные действия: