Так, умение поднять
осенний лист не может
считаться большой силой;
способность видеть луну и
солнце не может считаться
острым зрением;
способность слышать звук
грома не может считаться
тонким слухом.
Сунь Цзы "Искусство войны"
Пришло время нам рассмотреть один из самых сложных видов вирусного оружия.
Это динамическое удалённое вирусное оружие. К данному виду вирусного оружия
относятся различные сетевые черви. Что же такое Интернет-червь? Это программа,
которая распространяется при помощи сети Интернет, используя или не используя
уязвимости в программном обеспечении. Последним из разновидностей программ
данного рода является почтовый червь Sobig.F, который распространяется при
помощи электронной почты.
Чтобы понять как работают почтовые черви мы разработаем свой почтовый червь.
Существует две самые распространённые методики размножения почтовых червей:
1) Используя программу MS Outlook
2) Используя независимый SMTP движок
При первом методе реализации почтового червя письмо отправляется при помощи
IMAPI, т.е. за вас письмо отправляет Outlook. Но если Outlook новой версии, то
перед отправкой письма он об этом обязательно сообщит пользователю. Данный акт
и выдаст почтовый червь с головой.
Поэтому в последнее время всё чаще используют SMTP движки. В чём же заключается
механизм работы SMTP движка? А заключается он в том, что движок вычисляет
используемый SMTP сервер, затем присоединяется к нему и отправляет письмо.
Для того, чтобы это реализовать необходимо работать с сокетами.
Рассмотрим что делает червь на примере Telnet сесии:
;------------------------------------------------------------------------------;
HELO SMTP.SERVER.COM (+CRLF) [ ждём ответа сервера
]
MAIL FROM: bill_gates@microsoft.com (+CRLF) [ ждём ответа сервера ]
RCPT TO: gertva@mail.com (+CRLF) [ ждём ответа сервера
]
DATA (+CRLF) [ ждём ответа сервера ]
FROM: BILL GATES <bill_gates@microsoft.com>
TO: Gertva <gertva@mail.com>
SUBJECT: New Update
Здесь идёт текст письма с вложением
. (+CRLF)
;------------------------------------------------------------------------------;
Естественно, чтобы это всё сделать из программы необходимо узнать адрес SMTP
сервера, и адреса кому отправляются письма. Адреса получателей обычно берутся
из *.html файлов, а вот адрес SMTP сервера берётся из реестра.
Так же необходим алгоритм перекодировки файла в кодировку base 64, для создания
вложений и, как уже было сказано выше, навыки работы с сокетами.
После того, как мы подготовились мы уже можем написать простейшего почтового
червяка...
Исходники третьей части: fraer.asm
После того, как мы реализовали почтового червя, нам необходимо так же знать, что
делать, чтобы избежать инфицирования Интернет-червём.
Я рекомендую следующие шаги:
1) Не запускать никакие вложения в письма если не знаком источник письма
2) Все вложения проверять антивирусом (а вдруг поможет?)
3) Самому анализировать письма
4) Ориентироваться по содержанию письма (у всех червей оно по смыслу сходно).
5) Настроить Firewall
6) Постоянно обновлять антивирусные базы
7) Проверять Task Manager на подозрительные процессы
8) Проверять ключи реестра отвечающие за автозагрузку
Но как и в
предыдущих статьях от вирусного оружия может спасти только одно -
голова на плечах, причём соображающая.
