Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла

10

МАЛАЯ АКАДЕМИЯ НАУК КРЫМА

«ИСКАТЕЛЬ»

Секция информатики

Интернет – червь I LOVE YOU

(LOVE LETTER FOR YOU). Принцип работы.

Меры безопасности для защиты от заражения

и предотвращения деструктивных действий.

Действительный член МАН Крыма «Искатель»

Ученик 11 класса

Форосской общеобразовательной школы I – III ступени г. Ялты

КОРАБЛЕВ Андрей

Научный руководитель – КОРАБЛЕВ А. Б.

Инженер - системотехник

ВВЕДЕНИЕ.

В настоящее время наблюдается безудержный рост числа пользователей глобальной сети Internet. Все большее количество людей получает возможность оперативно получать необходимую информацию, обмениваться письмами, общаться по интересам и т.д. используя ресурсы Internet, который стал поистине глобальной компьютерной сетью. Развитие сети несет с собой рост компьютерной грамотности и способствует распространению компьютеров не только в учреждениях и банках, но и в домах людей, не являющихся специалистами по компьютерам.

В последние годы возник новый вид пользователя – пользователь домашнего компьютера, не являющийся специалистом – компьютерщиком и в основном использующий компьютер для игр и для подключения к сети Internet. И количество таких пользователей увеличивается в геометрической прогрессии. С одной стороны, рост компьютеризации имеет положительное значение – компьютеры все больше входят в жизнь людей и облегчают ее. Однако, как и все медали, это явление имеет и оборотную сторону – уровень подготовки пользователей все более снижается, все далее уходит от профессионализма. Этому в немалой степени способствуют фирмы-изготовители программного обеспечения. В своих программных продуктах они максимально облегчают интерфейс, предельно уменьшают участие пользователя в работе программы, автоматизируя сам процесс работы. Использование языков высокого уровня, предельное упрощение и автоматизация процесса создания программ позволяет пользователям создавать программные продукты весьма неплохого качества даже при отсутствии глубоких знаний программирования и устройства компьютера.

При всех плюсах автоматизирования работы программных продуктов, выражающихся в облегчении работы с ними, существует и большой минус. Программисты, создающие программное обеспечение, вынуждены создавать операционные системы, имеющие гигантское количество так называемых «внешних ручек управления» (иначе говоря, программных «окон»), позволяющих управлять работой одних программ при помощи других или при помощи скриптов. При этом, контроль за ходом выполнения программы со стороны пользователя не обязателен и в большинстве случаев не нужен. Сложное разветвление скриптов и использование системного реестра операционной системой MS Windows 98 может послужить наглядным примером.

Создатели данной операционной системы и великого множества приложений к ней постарались предельно «облегчить жизнь» простого пользователя и предельно автоматизировали их работу. Однако при этом они максимально облегчили жизнь и еще одному виду пользователя – компьютерному вирмейкеру, создающему определенный тип программ – компьютерные вирусы.

В течении последних года – двух вирмейкеры резко поменяли цель своих «усилий» - вместо атак на операционные системы, память и системные области жесткого диска стали использоваться для проникновения в компьютер те же «внешние ручки управления» входящие в состав MS Office, MS Outlook, mIRC32 и другие приложения MS Windows. Статистика описаний новых вирусов, подключаемых к антивирусным базам программы AVP Е. Касперского, получаемая мной с сайта www.viruslist.com , говорит о том, что за период июня-июля 2000 года 80% из поступивших вирусов составили Internet-черви и Internet-троянцы, 15% - вирусы для MS Word и 5% - вирусы для почтовых программ IRC. За этот период практически не было обнаружено в «диком» виде ни одного вируса, проникающего в систему при помощи нестандартных функций операционных систем или при помощи работы напрямую с контроллерами внешних устройств. Не используется и система прерываний BIOS и операционной системы как для проникновения, так и для осуществления деструктивных действий. В основном для всего этого используются встроенные функции языка Visual Basic, Java, скриптов MS Word, Excel, Access.

НАПРАВЛЕНИЯ РАЗВИТИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ, НАМЕТИВШИЕСЯ В ПОСЛЕДНИЕ ГОДЫ.

После появления MS Office 97 с развитой системой макросов и операционной системы MS Windows 98 со встроенными функциями Visual Basic и Java как бы открылись широкие ворота для всех видов проникновения в систему. При этом резко расширились возможности и для различных (в том числе и деструктивных) действий внутри системы.

Одними из первых «ласточек» этого типа вирусов был нашумевший вирус Melissa. И если внимательно проследить сейчас за сообщениями в компьютерной прессе и на информационных сайтах Internet, то они в последнее время напоминают сообщения с поля боя! Вирус Melissa, парализовавший работу сети на долгое время, вирус Timofonica, вторгшийся в систему сотовой связи, каждый из вирусов приносит миллиардные убытки. По подсчетам экономистов убытки только в течение 2000 года превысили уже 25 миллиардов долларов! И это только за последние полгода!

Мне очень захотелось подробно рассмотреть эти вирусы, понять, почему они смогли нанести такой большой вред множеству пользователей и провайдеров сети Internet, найти способы борьбы с ними и возможности избежать заражения в дальнейшем.

И поработать я решил с одним из нашумевших и принесших наиболее ощутимые убытки (10 млрд. долларов) вирусом I LOVE YOU (LOVE LETTER FOR YOU).

АНАЛИЗ АЛГОРИТМА ИНТЕРНЕТ-ЧЕРВЯ

I LOVE YOU (LOVE LETTER FOR YOU).

Компьютерный вирус I LOVE YOU по своей сути является одним из представителей класса вирусов – Internet – червем, распространяющемся по системе электронной почты и использующий для своего функционирования встроенные функции Visual Basic из состава MS Windows 98 (при наличии установленного приложения Visual Basic и в MS Windows 95). Он интересен тем, что является первым из серии подобных вирусов. В дальнейшем куски его кода и идеи, реализованные в нем, стали широко использоваться в других вирусах и в его клонах. Исходный текст вируса получен мной из ресурсов Internet и является рабочим, поэтому использовать его необходимо со всеми предосторожностями!

Интернет – червь I LOVE YOU (в дальнейшем будем для удобства называть его «вирус») проникает в систему при получении по электронной почте письма с темой I LOVE YOU и присоединенным файлом LOVE LETTER FOR YOU.TXT.VBS., в котором содержится код вируса. При прочтении данного письма программой MS Outlook файл с телом вируса получает управление.

Здесь стоит несколько отвлечься от хода алгоритма вируса и обратить ваше внимание на использование автором вируса знания психологии человека. Вирус для рассылки собственных копий (это мы увидим далее) использует адресную книгу приложений MS Outlook и mIRC. Как обычно, в адресную книгу заносятся адреса тех, кто человеку близок – друзей, деловых партнеров, знакомых, родственников. Получив от кого-либо из этой категории людей письмо с признанием в любви, пользователь просто не сможет побороть желание открыть его. В этом – то и заключается психологическое воздействие на пользователя со стороны автора вируса – открыв письмо, пользователь запускает вирус на исполнение.

Для скрытия того, что файл с телом вируса является исполняемым файлом Visual Basic, автор использовал настройки самой системы MS Windows. Суть заключается в том, что по умолчанию в системе используется показ имени файла без расширения. В результате на экране при просмотре списка файлов вместо файла LOVE-LETTER_FOR_YOU.TXT.VBS, являющегося исполняемым файлом Visual Basic, пользователь видит LOVE-LETTER_FOR_YOU.TXT, что дает ему основание считать его текстовым файлом, не могущим содержать в себе кода вируса. Большая часть пользователей использует настройки системы MS Windows по умолчанию.

В теле вируса содержится копирайт автора – студента из Манилы [1].

После открытия письма для чтения читается файл с телом вируса [3] и запускается главная процедура работы вируса.

Вирус анализирует наличие запрета на обработку скриптов в системном реестре и если он есть, то путем изменения соответствующего ключа реестра снимает его [4].

Далее вирус определяет пути к каталогам WIN, SYSTEM и TEMP [5]. В каталог WIN копируется тело вируса под именем Win32.DLL.VBS, а в каталог SYSTEM копируется тело вируса в два файла с именами MSKernel32.vbs и LOVE-LETTER-FOR-YOU.TXT.VBS [6].

Далее в реестре Windows создается ключ, который будет запускать вирус при каждой загрузке Windows.

Анализируется расположение приемного каталога электронной почты и если он не является корневым каталогом диска С:, то он переназначается на С:[7]. Это делается для того, чтобы в дальнейшем принятый файл WIN-BUGSFIX.EXE был расположен в корневом каталоге С:.

В каталоге SYSTEM ищется файл WinFAT32.exe и при его наличии генерируется случайное число в пределах 1-4 [8]. Если файл найден, то производится прописывание одного из четырех (в зависимости от случайного числа) адресов сайта www.skyinet.net в реестре в качестве стартовой страницы для MS Internet Explorer. Устанавливается соединение и с сервера скачивается файл WIN-BUGSFIX.exe [9].

Мои собственные попытки связаться с этим сайтом и вручную скачать файл для дальнейшего изучения закончились неудачей. Все четыре адреса на сайте отсутствуют.

Если удалось скачать файл, то в реестре Windows создается ключ, который будет запускать его при каждой загрузке Windows [10] и стартовой страницей для MS Internet Explorer прописывается файл about:blank.

На этом заканчивается внедрение вируса в систему, и он переходит к активным деструктивным действиям.

Производится проверка типов дисков и поиск файлов по всем дискам. Далее проверяются расширения найденных файлов [11], и в соответствии с расширениями производятся деструктивные действия:

• если расширения .VBS или .VBE – вирус записывает вместо них свое тело, не меняя расширения;

• если расширения .JS; .JSE; .CSS; .WSH; .SCT; .HTA – вирус записывает вместо них свое тело и меняет расширения на .VBS. Оригинальные файлы удаляются.

• если расширения .JPG или .JPE – вирус записывает вместо них свое тело и меняет расширения на .VBS. Оригинальные файлы удаляются.

• если расширения файлов .MP2; .MP3 – вирус создает файлы с такими же именами, но расширениями .VBS, а оригинальным файлам присваивает атрибут «Hidden».

Алгоритм деструктивных действий очень прост и прозрачен. Автором для начинающих вирмейкеров оставлена возможность безудержно фантазировать и произвольно изменять (а также расширять по своему усмотрению) список расширений файлов, подвергающихся атаке. Поэтому после атаки оригинального вируса в течении трех дней мировая сеть была наводнена его клонами. И клоны эти были уже направлены на файлы с расширениями .COM; .EXE; .DLL;.INI и т.д.

Закончив свои деструктивные действия на компьютере пользователя, вирус предпринимает действия для дальнейшего распространения среди пользователей сети Internet.

В первую очередь он ищет в системе программу mIRC32, осуществляющую связь с чат-серверами и при ее наличии создает файл script.ini [12]. В теле скрипта пишется грозное предупреждение о том, что запрещается редактировать этот скрипт – это приведет к повреждению программы mIRC, а при поврежденной mIRC система не будет работать корректно. Таким образом автор пытается предотвратить попытки пользователя очистить скрипт от лишнего содержимого. В скрипт включается запись, которая осуществляет рассылку всем участникам чата копии вируса в виде файла LOVE-LETTER-FOR-YOU.HTM [13]. Сам файл содержится в теле вируса.

После попытки (удачной или неудачной) распространения своего тела среди участников чата, вирус предпринимает попытку распространения себя по электронной почте, используя при этом программу Microsoft Outlook Express [14].

Вначале вирус получает доступ к адресной книге приложения Outlook [15], а затем организует цикл перебора адресов для создания писем со своим телом [16].

Далее вирус создает тело письма с адресом отправителя, темой и текстом [17], присоединяет к письму файл с телом вируса [18] и отправляет его адресату. Если в Outlook нет адресной книги или она пустая – письма не создаются.

Закончив свои процедуры вирус завершает работу не оставляя при этом своей резидентной копии в памяти компьютера.

ОСОБЕННОСТИ АЛГОРИТМА ВИРУСА, ВЫВОДЫ И НЕКОТОРЫЕ РЕКОМЕНДАЦИИ ПО БОРЬБЕ С ПОДОБНЫМИ ТИПАМИ ВИРУСОВ.

Подробный анализ алгоритма вируса позволяет сделать несколько выводов.

Исследуемый вирус, его клоны и другие вирусы данного типа не являются чем-либо из ряда вон выходящим. В нем используются достаточно простой алгоритм и механизм проникновения в систему. Хотелось бы отметить и то, что процесс проникновения в систему не использует каких либо функций, позволяющих скрыть свое присутствие в системе. В чем же состоит опасность вируса? Исследуя его, я не увидел каких-либо ярко выраженных особенностей алгоритма и приемов стелсирования, однако ущерб от его деструктивных действий огромен. Это кажется парадоксом.

Внимательно исследуя алгоритм вируса и процесс его работы я пришел к выводу, что автор вируса умело использовал знания человеческой психологии, при этом предназначив вирус для той категории пользователей, которая сейчас очень многочисленна – пользователей домашних персональных компьютеров, подключенных к сети Internet. Так же на этом вирусе «попались» недостаточно профессионально подготовленные системные администраторы узлов.

Как же возможно противостоять атаке исследуемого вируса и подобных ему? Алгоритм заражения и деструктивных действий может видоизменяться, но каналов проникновения в систему не так уж и много. В связи с этим вирусописатели вынуждены использовать всевозможные приманки для пользователей. Мы уже видим, что в исследуемом вирусе использовано признание в любви в качестве приманки. Очень многие не смогли побороть искушения посмотреть, кто же так любит его. Так же возможны к использованию в качестве темы письма и такие варианты: «…Вы хотите заработать за день 10000 долларов?» или «…бесплатные звонки в СЩА» или «… мобильные телефоны за 1$ без абонентской платы».

Что бы я посоветовал пользователям, заинтересованным в защите от распространяющихся в последнее время как грибы после дождя интернет-червей?

1. Никогда не читайте полученные по электронной почте письма с предложениями чего-либо бесплатного или очень дешевого, а так же любые другие заманчивые предложения. В лучшем случае это может оказаться «спамом». Обратитесь к системному администратору Вашего узла с просьбой проверить письмо на наличие нового вируса.

2. Никогда не оставляйте настроек Windows и его приложений в режиме «по умолчанию». Данный режим предназначен неизвестно для кого и очень молоинформативен. Если Вы используете какое-либо приложение Windows, то внимательно изучите инструкции по его использованию и описание программ, тогда Вам будет легче ориентироваться – нормально ли работает приложение.

3. Используйте всегда свежее антивирусное программное обеспечение. Я посоветовал бы пользоваться антивирусом AVP лаборатории Евгения Касперского. У меня на компьютере установлена версия 1.32 и на сайте лаборатори и я ежедневно получаю дополнения по Internet.

Исходный текст вируса LOVE-LETTER-FOR-YOU ( I LOVE YOU) с комментариями.

rem barok -loveletter(vbe) Копирайты автора вируса, на основании

Характеристики

Тип файла документ

Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.

Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.

Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.

Список файлов реферата