УК Украины УК РФ  
Защита... потому что это наше дело

Захист. Бо то є наша справа

Автора!
 

eManual.ru - вся техническая документация
Система авторегистрации в каталогах, статьи про раскрутку сайтов, web дизайн, flash, photoshop, хостинг, рассылки; форум, баннерная сеть, каталог сайтов, услуги продвижения и рекламы сайтов

Антивирусы

Вирусы в jpg

Роман ГОРБЕНКО, волонтер-исследователь
«Центра Исследования Проблем Компьютерной Преступности»
Gorbenko@crime-research.org

К сожалению, число компьютерных вирусов с каждым днем не уменьшается. Как раз наоборот, они начинают принимать все более опасные и экзотические формы. О некоторых сенсациях в этой области Вы сможете ознакомиться в этой статье.

Как все начиналось

Не так давно на сайте компании Network Associates (http://www.nai.com/) — для тех, кто не знает, это производитель очень популярной на Западе антивирусной программы McAfee Antivirus (http://www.mcafee.com/) — появилась информация о том, что сотрудниками ее антивирусной лаборатории был выявлен первый в истории вирус, заражающий графический файлы формата JPEG. Новому «вредителю» тут же присвоили кодовое имя W32/Perrun. Немедленно новость подхватили многие сетевые информационные агентства, которым свойственно коверкать исходные данные, сгущать краски и в таком вот пугающем виде выдавать ее своим читателям. Поскольку меня появление такого типа вирусов не удивило, а реакция сетевых СМИ, мягко говоря, оказалась не совсем понятной, я решил выразить свое мнение, которое, надеюсь, будет небезынтересным читателям.

Погружение…

Итак, что же представляет собой W32/Perrun? По информации специалистов антивирусной лаборатории, в которой и был впервые исследован данный вирус, Perrun является Windows-приложением, написанным на Visual Basic и имеющим размер 18 Кб. Чтобы читатель лучше уяснил его алгоритм работы, я представил его в виде блок-схемы.

Теперь некоторые комментарии к блок-схеме. Под словом «инфицирование» понимается всего лишь добавление exe-кода в конец jpg-файла. Вирус не имеет действенного механизма распространения, поэтому можно сказать, что он примитивен и с технической точки зрения почти не интересен. Его алгоритм работы мало чем отличается от алгоритмов работы уже давно существующих вирусов, все то же записывание тела в конец фа йла, только на этот раз вредитель использует не .exe, .com, .dll файлы, а .jpg файлы, ну и передача управления осуществляется по-другому, вот и все. Я с уверенностью могу сказать, что 99.9 % пользователей никогда вживую вируса с кодовым именем W32/Perrun не увидят. Поэтому в предисловии я и счел нужным отметить, что паническая реакция сетевых СМИ на появление W32/Perrun для меня не очень понятна. Беспокоит меня другое: Perrun, скорее всего, окажется лишь первой ласточкой в этой вирусной атаке, потому что развернувшаяся вокруг него шумиха лишь подтолкнет (подтолкнула) вирмейкеров (так называют людей, занимающихся изготовлением компьютерных вирусов) к «работе» в этом направлении. И их продукты будут уже не примитивно дописывать свой код в конец файла, а действовать по сложным алгоритмам, в основе которых лежит стеганография.

По имеющейся у меня информации, работы над созданием таких вот типов вирусов уже идут. Анализируя полученные сведения, я смог составить «портрет» той «заразы», которую нам, скорее всего, еще доведется увидеть. Как я уже говорил, в основе грядущих вирусов лежит метод стеганографии (steganos — секрет, тайна; graphy — запись). Данный метод применяется человечеством с незапамятных времен, системы условных знаков и надписи невидимыми чернилами, хорошо знакомые нам по фильмам о шпионах, — все это примеры стеганографии. С появлением высоких технологий появились новые формы информации и способы ее передачи, а, следовательно, возникли и новые виды стеганография.

Метод стеганографии в области компьютеров базируется на том, что информация в виде аудио-, видео- и обычных графических изображений не критична к небольшим изменениям. Графическое изображение — это матрица чисел, например, каждый пиксель цветного изображения формата RGB кодируется 3 байтами, то есть получается нечто похожее на следующее: 00000000 00000000 0000000 — эта комбинация, например, соответствует черному цвету, а 11111111 11111111 11111111 — белому. Если в каждом байте изменить самый младший бит, то цвет соответствующего пикселя трансформируется таким образом, что человеческий глаз из-за своей структуры просто не сможет обнаружить в файле разницу до и после перемен. Но если применять специальный алгоритм, работающий со всеми пикселями в изображении, то благодаря таким вот манипуляциям всего лишь с младшим битом в графическом файле реально закодировать довольно внушительные объемы информации. Для подтверждения своих слов я продемонстрирую следующий пример. Сравните две картинки: на рисунке 1 представлено 16-битное изображение размером 16 Кб, а на 2-ом оно же, но в нем специальным алгоритмом зашифрован один абзац этой статьи.

Рис. 1   Рис. 2

На эти изображения можно сколько угодно смотреть, изучать, но, тем не менее, определить наличие в нем закодированного сообщения нельзя. И лишь при наличии специального алгоритма (ключа), получится извлечь зашифрованное сообщение. Как я уже говорил, данные можно спрятать не только в графических файлах, но и в видео, аудиофайлах. Причем последние подходят для скрытия в них информации даже еще лучше, чем файлы рисунков. Так, в цифровом аудиофайле с частотой дискретизации 44 100 Гц, в режиме стерео, можно спрятать до 10 Кб на каждую секунду записи, опять же за счет изменения младших битов.

К чему это я все? Да лишь к тому, чтобы показать, что появление вирусов, основанных на методе стеганографии, вполне реально. Опять же по имеющейся у меня информации, это будет двухкомпонентный вирус. Его первая половина — это очень небольшое приложение, так как его функция состоит лишь в том, чтобы найти аудио-, видеофайл или файл изображения и определить, содержит ли он вторую часть вируса, и если да, то извлечь, сохранить на диске и запустить на выполнение. Вторая часть вируса основная, и по размеру она на порядок больше первой, в ней реализованы механизмы инфицирования аудио-, видео- и графических файлов, а также механизмы распространения, по всей видимости, при помощи электронной почты и с использованием «дыры» Iframe, которая, к сожалению, все еще остается не закрытой на очень большом количестве компьютеров. Итак, механизм работы следующий: первая, маленькая часть, распространяется по электронной почте в виде приложения, вторая, где и реализованы все основные функции, расходится отдельно в аудио-, видео- и графических файлах. Например, никто не задумывается над тем, что, скачивая последнюю композицию Garbage или беря у знакомого диск с новым фильмом Джорджа Лукаса, может подвергнуться заражению. Вполне вероятно, что в скором времени антивирусом нужно будет проверять не только запускные файлы…

Естественно, чтобы вирмейкерам «запустить» «снежный ком» эпидемии, нужно будет распространить какое-то количество зараженных файлов, что, скорее всего, будет реализовано через галереи рисунков, порносайты, mp3-архивы и так далее. Зато с каждым днем эпидемии зараженных файлов будут все больше и больше, а следовательно, увеличится и количество инфицированных компьютеров — типичная геометрическая прогрессия.

Всю имеющуюся у меня информацию я передал производителям антивирусного ПО и другим компаниям, работающим в сфере интернет-безопасности, так что, надеюсь, к моменту появления таких вирусов, будут уже разработаны действенные механизмы борьбы с новой напастью. На этом все, читайте МК, и Вы будете в курсе самых новых и сенсационных исследований в области интернет-безопасности.
Сайт создан в системе uCoz