Механизмы распространения вирусных программ

Файловый механизм распространения. В этом случае почтовое сообщение содержит присоединенный файл, зараженный файловым вирусом. Поражение компьютера происходит при запуске этого файла, который жертва должна выполнить собственноручно. Ее убеждают сделать это методами социальной инженерии. В тексте сообщения автор послания доходчиво объясняет, как важно запустить присоединенный файл, и убедительно рекомендует распространить его среди друзей и знакомых.

Сценарный механизм распространения. Сегодня знающий человек вряд ли запустит неизвестную программу, но почтовых вирусов от этого меньше не стало. Начиная с весны 2000 года активно распространяются сценарные почтовые вирусы, для запуска которых не надо извлекать и запускать исполнимый файл — достаточно просто щелкнуть на значке почтового вложения.

Этот тип вируса оказался невероятно живучим — количество его клонов и разновидностей исчисляется многими сотнями. Технология создания вирусов этого типа исключительно проста, а для самых тупых имеются специальные программы-генераторы. Творцу такого вируса остается только придумать громкое имя. Механизм работы сценарных почтовых вирусов основан на использовании сервера сценариев Windows Scripting Host (WSH) и языка программирования VBScript (не путать с Visual Basic и Visual Basic for Applications) или Script (не путать с JavaScript) [7, c. 112].

С 1998 г. на каждом компьютере с операционной системой Windows 98/Me по умолчанию работает так называемый сервер сценариев, который позволяет исполнять последовательности команд, записанных в текстовых файлах с расширением имени .VBS, .JS и некоторых других.

В сценарных языках VBScript uJScript нет прямых команд для изменения данных на жестком диске, но, к сожалению, это не значит, что они безопасны. С их помощью можно создать в памяти компьютера экземпляры объектов, для которых у сервера WSH имеются заготовки. Эти объекты уже могут создавать файлы и папки, записывать в них все что угодно, удалять то, что не нравится, контролировать компьютер и локальную сеть, к которой он принадлежит. Злоумышленник пишет текстовый файл, содержащий команды языка VBScript для создания в памяти компьютера вредоносного объекта и управления им. Далее этот файл сохраняется с расширением .VBS и прикладывается к сообщению электронной почты в виде почтового вложения. Чтобы невнимательный пользователь не обратил внимания на расширение имени, название файла записывается по-хитрому, например I love you.TXT.vbs или, например, Anna Kournikova.JPG.vbs. Когда в имени файла присутствует несколько точек, расширением имени считаются символы, расположенные правее последней точки. Не все почтовые клиенты отображают расширение имени, да и пользователи не всегда внимательны. Многие из них приняли вложенный файл I love you. TXTvbs за обычный текст, а файл Anna Kournikova.JPG.vbs за фотографию известной спортсменки, после чего дали команду открыть вложение и тем самым запустили сервер WHS на исполнение враждебного кода.

Со сценарными вирусами борются примерно так же, как с файловыми. Аккуратность и осмотрительность при работе с сообщениями электронной почты, содержащими вложенные файлы, остается важным фактором безопасности. Не следует доверять даже родным и близким — почтовый вирус чаще всего присылает сообщение от имени знакомого, из чьей адресной книги он смог позаимствовать адрес.

Верно решить судьбу поступившего файла в сложных ситуациях помогут антивирусные программы. Можно также полностью отключить сервер сценариев WSH, удалив или переименовав файл C: Windowswscript.exe.

Распространение вирусов с использованием HTML. В языке HTML, используемом для описания WeA-страниц, по самому замыслу нет и не может быть команд, способных повредить читателю. Однако сочетание различных средств, по отдельности безобидных, способно привести к весьма неприятным эффектам [7, c. 114].

Язык HTML (точнее, особенности его реализации в продуктах компании Microsoft) дал возможность активизировать вирусы, присоединенные к почтовому сообщению, уже при его просмотре, то есть без прямого обращения к вложению. Принцип такой активизации основан на том, что современные сообщения электронной почты могут содержать текст, оформленный средствами HTML, — форматированный текст со вставными объектами (например, музыкой и графикой). При работе в почтовых программах Microsoft Outlook, Outlook Express и других формат сообщения выбирается его автором. В частности, в почтовом клиенте Outlook Express формат исходящих сообщений выбирается на вкладке Отправка сообщений диалогового окна Параметры (Сервис > Параметры). Там же можно и настроить некоторые параметры программы, связанные с пересылкой кода HTML.

При приеме сообщений возможность управления форматом отсутствует. Например, в программах Outlook и Outlook Express нет настройки, которая позволила бы удалить из сообщения коды HTML или вообще отказаться от приема сообщений в таком формате. Если входящее сообщение имеет формат HTML, почтовая программа привлекает для его отображения средства Internet Explorer. В этом и состоит уязвимость.

Используя дефекты программы Internet Explorer, почтовое сообщение может активизировать файл вложения при просмотре сообщения или инициировать запуск вирусного кода при перезагрузке компьютера. В любом случае вирус активизируется без привлечения пользователя.

Бороться с подобными вирусами можно по-разному.

• 1. Не пользоваться коммуникационными программами компании Microsoft, чтобы исключить специфические уязвимости Outlook Express и Internet Explorer. Это предупредит проникновение на компьютер многих модных вирусов, но такой прием ни в коем случае нельзя считать панацеей — другие программы также небезгрешны и уязвимы.
• 2. Пользоваться проверенными антивирусными средствами. Они не всегда защитят от вирусов, автоматически запускающихся при просмотре электронных писем, но по крайней мере предупредят об уязвимостях в системе безопасности операционной системы, броузера или почтового клиента и порекомендуют приемы их устранения.
• 3. Не спешить просматривать полученные сообщения. Сначала просмотрите поступившие заголовки. Если среди сообщений есть подозрительные (из незнакомых источников или со странными темами), не открывайте их, а вместо этого щелкните на заголовке сообщения правой кнопкой мыши и в контекстном меню выберите пункт Удалить.