Реферат: Интернет – червь I LOVE YOU (LOVE LETTER FOR YOU). Принцип работы. Меры безопасности для защиты от заражения и предотвращения деструктивных действий

МАЛАЯ АКАДЕМИЯ НАУК КРЫМА

«ИСКАТЕЛЬ»

Секция информатики

Интернет – червь ILOVEYOU

(LOVE LETTER FORYOU). Принцип работы.

Меры безопасности для защиты от заражения

и предотвращения деструктивных действий.

Действительный член МАН Крыма«Искатель»Ученик 11 класса

Форосскойобщеобразовательной школы I– IIIступени г. Ялты

КОРАБЛЕВ Андрей

Научный руководитель – КОРАБЛЕВ А. Б.

Инженер — системотехник

ВВЕДЕНИЕ.

В настоящее времянаблюдается безудержный рост числа пользователей глобальной сети Internet. Все большееколичество людей получает возможность оперативно получать необходимуюинформацию, обмениваться письмами, общаться по интересам и т.д. используяресурсы Internet,который стал поистине глобальной компьютерной сетью. Развитие сети несет ссобой рост компьютерной грамотности и способствует распространению компьютеровне только в учреждениях и банках, но и в домах людей, не являющихсяспециалистами по компьютерам.

В последние годы возник новый видпользователя – пользователь домашнего компьютера, не являющийся специалистом –компьютерщиком и в основном использующийкомпьютер для игр и для подключения к сети Internet. И количество такихпользователей увеличивается в геометрической прогрессии. С одной стороны, росткомпьютеризации имеет положительное значение – компьютеры все больше входят вжизнь людей и облегчают ее. Однако, как и все медали, это явление имеет иоборотную сторону – уровень подготовки пользователей все более снижается, вседалее уходит от профессионализма. Этому в немалой степени способствуютфирмы-изготовители программного обеспечения. В своих программных продуктах онимаксимально облегчают интерфейс, предельно уменьшают участие пользователя вработе программы, автоматизируя сам процесс работы. Использование языковвысокого уровня, предельное упрощение и автоматизация процесса созданияпрограмм позволяет пользователям создавать программные продукты весьманеплохого качества даже при отсутствии глубоких знаний программирования иустройства компьютера.

При всех плюсах автоматизированияработы программных продуктов, выражающихся в облегчении работы с ними,существует и большой минус. Программисты, создающие программное обеспечение,вынуждены создавать операционные системы, имеющие гигантское количество такназываемых «внешних ручек управления» (иначе говоря, программных «окон»),позволяющих управлять работой одних программ при помощи других или при помощискриптов. При этом, контроль за ходом выполнения программы со стороныпользователя не обязателен и в большинстве случаев не нужен. Сложное разветвление скриптов ииспользование системного реестра операционной системой MSWindows98 может послужитьнаглядным примером.

Создатели данной операционной системыи великого множества приложений к ней постарались предельно «облегчить жизнь»простого пользователя и предельно автоматизировали их работу. Однако при этомони максимально облегчили жизнь и еще одному виду пользователя – компьютерномувирмейкеру, создающему определенный тип программ – компьютерные вирусы.

В течении последних года – двухвирмейкеры резко поменяли цель своих «усилий» — вместо атак на операционныесистемы, память и системные области жесткого диска стали использоваться дляпроникновения в компьютер те же «внешние ручки управления» входящие в состав MSOffice,MSOutlook,mIRC32и другие приложения MSWindows.Статистика описаний новых вирусов, подключаемых к антивирусным базам программы AVPЕ. Касперского,получаемая мной с сайта www.viruslist.com, говорит о том, что за период июня-июля 2000 года 80% из поступивших вирусовсоставили Internet-червии Internet-троянцы, 15% — вирусы для MSWordи 5% — вирусы дляпочтовых программ IRC.За этот период практически не было обнаружено в «диком» виде ни одного вируса,проникающего в систему при помощи нестандартных функций операционных систем илипри помощи работы напрямую с контроллерами внешних устройств. Не используется и система прерываний BIOSи операционной системыкак для проникновения, так и для осуществления деструктивных действий. Восновном для всего этого используются встроенные функции языка VisualBasic,Java,скриптов MSWord,Excel,Access.

НАПРАВЛЕНИЯ РАЗВИТИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ, НАМЕТИВШИЕСЯ В ПОСЛЕДНИЕ ГОДЫ.

После появления MSOffice97 с развитой системой макросов иоперационной системы MSWindows98 со встроенными функциями VisualBasicи Javaкак бы открылись широкие ворота для всехвидов проникновения в систему. При этом резко расширились возможности и дляразличных (в том числе и деструктивных) действий внутри системы.

Одними из первых «ласточек» этого типавирусов был нашумевший вирус Melissa.И если внимательно проследить сейчас за сообщениями в компьютерной прессе и наинформационных сайтах Internet,то они в последнее время напоминают сообщения с поля боя! Вирус Melissa, парализовавший работусети на долгое время, вирус Timofonica,вторгшийся в систему сотовой связи, каждый из вирусов приносит миллиардныеубытки. По подсчетам экономистов убытки только в течение 2000 года превысили уже25 миллиардов долларов! И это только за последние полгода!

Мне очень захотелось подробнорассмотреть эти вирусы, понять, почему они смогли нанести такой большой вредмножеству пользователей и провайдеров сети Internet, найти способы борьбыс ними и возможности избежать заражения в дальнейшем.

И поработать я решил с одним изнашумевших и принесших наиболее ощутимые убытки (10 млрд. долларов) вирусом ILOVEYOU(LOVELETTERFORYOU).

АНАЛИЗАЛГОРИТМАИНТЕРНЕТ-ЧЕРВЯ

I LOVE YOU (LOVE LETTER FOR YOU).

Компьютерныйвирус ILOVEYOUпо своей сути является одним из представителей класса вирусов – Internet– червем,распространяющемся по системе электронной почты и использующий для своегофункционирования встроенные функции VisualBasicиз состава MSWindows98 (при наличииустановленного приложения VisualBasicи в MSWindows95). Он интересен тем, что является первым из серии подобных вирусов. Вдальнейшем куски его кода и идеи, реализованные в нем, стали широкоиспользоваться в других вирусах и в его клонах. Исходныйтекст вируса получен мной из ресурсов Internetи являетсярабочим, поэтому использовать его необходимо со всеми предосторожностями!

Интернет – червь ILOVEYOU(в дальнейшем будем для удобства называть его «вирус») проникает в систему при получениипо электронной почте письма с темой ILOVEYOUи присоединенным файлом LOVELETTERFORYOU.TXT.VBS., в котором содержитсякод вируса. При прочтении данного письма программой MSOutlookфайл с телом вирусаполучает управление.

Здесь стоит несколько отвлечься отхода алгоритма вируса и обратить ваше внимание на использование автором вирусазнания психологии человека. Вирус для рассылки собственных копий (это мы увидимдалее) использует адресную книгу приложений MSOutlookи mIRC. Как обычно, в адреснуюкнигу заносятся адреса тех, кто человеку близок – друзей, деловых партнеров,знакомых, родственников. Получив от кого-либо из этой категории людей письмо спризнанием в любви, пользователь просто не сможет побороть желание открыть его.В этом – то и заключаетсяпсихологическое воздействие на пользователя со стороны автора вируса – открывписьмо, пользователь запускает вирус на исполнение.

Для скрытия того, что файл с теломвируса является исполняемым файлом VisualBasic, автор использовал настройки самой системы MSWindows.Суть заключается в том, что по умолчанию в системе используется показ именифайла без расширения. В результате на экране при просмотре списка файловвместо файла LOVE-LETTER_FOR_YOU.TXT.VBS, являющегосяисполняемым файлом VisualBasic,пользователь видит LOVE-LETTER_FOR_YOU.TXT, что дает емуоснование считать его текстовым файлом, не могущим содержать в себе кодавируса. Большая часть пользователейиспользует настройки системы MSWindowsпо умолчанию.

В теле вируса содержится копирайтавтора – студента из Манилы [1].

После открытия письма для чтениячитается файл с телом вируса [3]и запускается главная процедура работы вируса.

Вирус анализирует наличие запрета наобработку скриптов в системном реестре и если он есть, то путем изменениясоответствующего ключа реестра снимает его [4].

Далее вирус определяет пути ккаталогам WIN,SYSTEMи TEMP[5]. В каталог WINкопируется тело вирусапод именем Win32.DLL.VBS, а в каталог SYSTEMкопируется тело вируса в два файла сименами MSKernel32.vbsи LOVE-LETTER-FOR-YOU.TXT.VBS[6].

Далее в реестре Windowsсоздается ключ,который будет запускать вирус при каждой загрузке Windows.

Анализируется расположение приемногокаталога электронной почты и если он не является корневым каталогом диска С:,то он переназначается на С:[7]. Это делается для того,чтобы в дальнейшем принятый файл WIN-BUGSFIX.EXEбыл расположен вкорневом каталоге С:.

Вкаталоге SYSTEMищется файл WinFAT32.exeи при его наличиигенерируется случайное число в пределах 1-4 [8].Если файл найден, то производится прописывание одного из четырех (в зависимостиот случайного числа) адресов сайта www.skyinet.netв реестре в качестве стартовой страницы для MSInternetExplorer.Устанавливается соединение и с сервераскачивается файл WIN-BUGSFIX.exe[9].

Мои собственные попытки связаться сэтим сайтом и вручную скачать файл длядальнейшего изучения закончились неудачей. Все четыре адреса на сайте отсутствуют.

Если удалось скачать файл, то в реестреWindowsсоздается ключ, который будет запускать его при каждой загрузке Windows[10]и стартовой страницей для MSInternetExplorerпрописывается файл about:blank.

На этом заканчивается внедрение вирусав систему, и он переходит к активным деструктивным действиям.

Производится проверка типов дисков ипоиск файлов по всем дискам. Далее проверяются расширения найденных файлов [11],и в соответствии с расширениями производятся деструктивные действия:

-

если расширения .VBSили .VBE– вирус записывает вместо них свое тело,не меняя расширения;

-

если расширения .JS; .JSE; .CSS; .WSH; .SCT; .HTA– вирус записывает вместо них свое тело именяет расширения на .VBS.Оригинальные файлы удаляются.

-

если расширения .JPGили .JPE– вирус записывает вместо них свое тело именяет расширения на .VBS.Оригинальные файлы удаляются.

-

если расширения файлов .MP2; .MP3 – вирус создает файлыс такими же именами, но расширениями .VBS, а оригинальным файлам присваивает атрибут «Hidden».

Алгоритм деструктивных действий очень прост и прозрачен. Авторомдля начинающих вирмейкеров оставлена возможность безудержно фантазировать ипроизвольно изменять (а также расширять по своему усмотрению) список расширенийфайлов, подвергающихся атаке. Поэтому после атаки оригинального вируса в течениитрех дней мировая сеть была наводнена его клонами. И клоны эти были уженаправлены на файлы с расширениями .COM; .EXE;.DLL;.INIи т.д.

Закончив свои деструктивные действия накомпьютере пользователя, вирус предпринимает действия для дальнейшего распространениясреди пользователей сети Internet.

В первую очередь он ищетв системе программу mIRC32,осуществляющую связь с чат-серверами и при ее наличии создает файл script.ini[12]. В теле скрипта пишется грозноепредупреждение о том, что запрещается редактировать этот скрипт – это приведетк повреждению программы mIRC,а при поврежденной mIRCсистема не будет работать корректно. Таким образом автор пытается предотвратитьпопытки пользователя очистить скрипт от лишнего содержимого. В скриптвключается запись, которая осуществляет рассылку всем участникам чата копиивируса в виде файла LOVE-LETTER-FOR-YOU.HTM [13].Сам файл содержится в теле вируса.

После попытки (удачнойили неудачной) распространения своего тела среди участников чата, вируспредпринимает попытку распространения себя по электронной почте, используя приэтом программу MicrosoftOutlookExpress[14].

Вначале вирус получает доступ к адресной книге приложения Outlook[15], а затем организует цикл перебора адресовдля создания писем со своим телом [16].

Далее вирус создает телописьма с адресом отправителя, темой и текстом [17], присоединяетк письму файл с телом вируса [18]и отправляет его адресату. Если в Outlookнет адресной книги или она пустая – письма несоздаются.

Закончив свои процедурывирус завершает работу не оставляя при этом своей резидентной копии в памяти компьютера.

ОСОБЕННОСТИ АЛГОРИТМА ВИРУСА, ВЫВОДЫ ИНЕКОТОРЫЕ РЕКОМЕНДАЦИИ ПО БОРЬБЕ С ПОДОБНЫМИ ТИПАМИ ВИРУСОВ.

Подробный анализ алгоритма вирусапозволяет сделать несколько выводов.Исследуемый вирус, его клоны и другие вирусы данного типа не являютсячем-либо из ряда вон выходящим. В нем используются достаточно простой алгоритми механизм проникновения в систему.Хотелось бы отметить и то, что процесс проникновения в систему не используеткаких либо функций, позволяющих скрыть свое присутствие в системе. В чем жесостоит опасность вируса? Исследуя его, я не увидел каких-либо ярко выраженныхособенностей алгоритма и приемов стелсирования, однако ущерб от его деструктивныхдействий огромен. Это кажется парадоксом.

Внимательно исследуяалгоритм вируса и процесс его работы я пришел к выводу, что автор вируса умелоиспользовал знания человеческой психологии, при этом предназначив вирус для тойкатегории пользователей, которая сейчас очень многочисленна – пользователейдомашних персональных компьютеров, подключенных к сети Internet. Так же на этом вирусе«попались» недостаточно профессионально подготовленные системные администраторыузлов.

Как же возможно противостоять атакеисследуемого вируса и подобных ему? Алгоритм заражения и деструктивных действийможет видоизменяться, но каналов проникновения в систему не так уж и много. Всвязи с этим вирусописатели вынуждены использовать всевозможные приманки дляпользователей. Мы уже видим, что в исследуемом вирусе использовано признание влюбви в качестве приманки. Очень многие не смогли побороть искушенияпосмотреть, кто же так любит его. Так же возможны к использованию в качестветемы письма и такие варианты: «…Вы хотите заработать за день 10000 долларов?»или «…бесплатные звонки в СЩА» или «… мобильные телефоны за 1$ без абонентскойплаты».

Что бы я посоветовалпользователям, заинтересованным в защите от распространяющихся в последнеевремя как грибы после дождя интернет-червей?

1.

Никогда не читайте полученные по электроннойпочте письма с предложениями чего-либо бесплатного или очень дешевого, а так желюбые другие заманчивые предложения. В лучшем случае это может оказаться«спамом». Обратитесь к системному администратору Вашего узла с просьбойпроверить письмо на наличие нового вируса.

2.

Никогда не оставляйте настроек Windowsи его приложений врежиме «по умолчанию». Данный режим предназначен неизвестно для кого и оченьмолоинформативен. Если Вы используете какое-либо приложение Windows, то внимательно изучитеинструкции по его использованию и описание программ, тогда Вам будет легчеориентироваться – нормально ли работает приложение.

3.

Используйте всегда свежее антивирусноепрограммное обеспечение. Я посоветовал бы пользоваться антивирусом AVPлаборатории ЕвгенияКасперского. У меня на компьютере установлена версия 1.32 и на сайте лаборатории я ежедневно получаю дополнения по Internet.

Исходный

текст вирусаLOVE-LETTER-FOR-YOU ( I LOVE YOU) с комментариями.

rem barok -loveletter(vbe)

Копирайты автора вируса, на основании

rem by:spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines

которых сделан вывод о филиппинском про-

On Error Resume Next

исхождении вируса [1]

dimfso,dirsystem,dirwin,dirtemp,eq,ctr,file,vbscopy,dow

eq=""

<img src="/cache/referats/7280/image002.gif" v:shapes="_x0000_s1027">ctr=0

Set fso =CreateObject(«Scripting.FileSystemObject»)

Подготавливается окружение для работы вируса. [2]

<img src="/cache/referats/7280/image003.gif" v:shapes="_x0000_s1028">set file =fso.OpenTextFile(WScript.ScriptFullname,1)

<img src="/cache/referats/7280/image004.gif" v:shapes="_x0000_s1029">vbscopy

=file.ReadAll Читается основной файл вируса [3]

main

() Запускается главнаяпроцедура

sub main()

On Error Resume Next

dim wscr,rr

<img src="/cache/referats/7280/image005.gif" v:shapes="_x0000_s1035">setwscr=CreateObject(«WScript.Shell»)

Если установлен запрет на

rr=wscr.RegRead(«HKEY_CURRENT_USERSoftwareMicrosoftWindowsScripting HostSettingsTimeout»)

обработку скриптов, то

if

(rr>=1)then изменением ключа в [4]

wscr.RegWrite«HKEY_CURRENT_USERSoftwareMicrosoftWindows ScriptingHostSettingsTimeout»,0,«REG_DWORD»

реестре она разрешается.

end if

<img src="/cache/referats/7280/image006.gif" v:shapes="_x0000_s1030">Set dirwin =fso.GetSpecialFolder(0)

Определяются пути к: каталогу WIN; [5]

Set dirsystem = fso.GetSpecialFolder(1)

каталогу SYSTEM;

Set dirtemp = fso.GetSpecialFolder(2)

каталогу TEMP;

Set c = fso.GetFile(WScript.ScriptFullName) ;

Определяется имя активного файла

c.Copy(dirsystem&«MSKernel32.vbs») ;

В каталог SYSTEM копируется копия вируса [6]

c.Copy(dirwin&«Win32DLL.vbs») ;

В каталог WIN копируется копия вируса

c.Copy(dirsystem&«LOVE-LETTER-FOR-YOU.TXT.vbs») ;

В каталог SYSTEMкопируется вторая копия вируса

regruns

() ; Запускается процедура работы с реестром Windows

html

() ; Запускается процедура работы с HTML файлами

spreadtoemail

() ; Запускается процедура работы с электронной почтой

listadriv

() ; Запускается процедура деструктивных действий

end

sub

====================Процедураработы с реестром

WINDOWS================

sub regruns()

On Error Resume Next

Dim num,downread

<img src="/cache/referats/7280/image007.gif" v:shapes="_x0000_s1031">regcreate«HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunMSKernel32»,dirsystem&«MSKernel32.vbs»

regcreate«HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesWin32DLL»,dirwin&«Win32DLL.vbs»

<span Times New Roman",«serif»; mso-fareast-font-family:«MS Mincho»;colo

еще рефераты

Еще работы по программному обеспечению

Реферат по программному обеспечению

Операционные системы (шпаргалка)

29 Августа 2013

Реферат по программному обеспечению

Полный обзор Windows 98

29 Августа 2013

Реферат по программному обеспечению

Программирование на языке Турбо Паскаль

29 Августа 2013

Реферат по программному обеспечению

Руководство по программированию на HTML

29 Августа 2013