Антивирусное мыло

По защите персональных компьютеров от штурмов злоумышленников на сегодняшний день сказано так много, что эта тема уже набила оскомину. Однако на практике катастрофическое количество подобных советов рассчитано на подготовленного пользователя, а несведущий в этом деле новичок, напротив, в таковой премудрости путается, всякий раз делая что-то не так и давая тем самым злоумышленнику все козыри в руки.

Сперва разберемся с сутью проблемы. Если раньше вирусами пугали всех и каждого, упоминая об их разрушительной силе, то сейчас ситуация во многом изменилась. Писать вирусы-деструкторы моментального действия уже не модно, ведь само по себе разрушение информации на чужих носителях не приносит ощутимой пользы его создателю. Намного полезнее вирусы-шпионы, которые тайком тащат важные сведения из компьютера-жертвы. Но и владельцы компов то же не лыком шиты, сейчас редко найдешь простачка, который бы без оглядки открывал вложенный в письмо архивный файл, сопровождаемый комментарием вида «Просмотрите этот ценнейший документ». Многие уже знают, что ничего там не удастся найти, кроме вируса.

Пока пользователи могли незамедлительно удалять нежданные письма с вложениями, шансы похитителей все больше клонились к нулю. Ведь один раз узнав о методах обхода инфицированных вложений, большинство из нас вскоре на глаз научилось отличать постороннюю «приманку» от нормальных писем со стороны знакомых адресатов. И до сих пор среди пользователей бытует мнение, что всякий спам просто надо сразу же удалять, и проблем как ни бывало. Поэтому вполне понятно удивление владельца компьютера в случае обнаружения атаки. Пользователь заверяет, что сразу же удалял всякую «липу» и никаких неизвестных файлов нигде не открывал. Все верно, но это в свете старых технологий злоумышленников. А сейчас же беда приняла новое обличие, и подобное удаление писем как раз и приветствуется похитителями. Причем они готовы изобретательно составить текст темы письма таким образом, чтобы у вас возникло желание удалить его.

Итак, как засылается вирус по-новому? По правде говоря, эта технология далеко не нова, в последнее время она лишь стала чаще использоваться. Идея заключается вот в чем. Допустим, мы хотим отправить знакомому письмо, вложив в него некий архивный файл. Для примера мы вложим даже два файла: один исполняемый — MyExecutable.exe, и один архивный — MyArchive.rar. Вводим текст письма, присоединяем файлы и отправляем.

На другом конце знакомый, получив наше письмо, и как лицо, продвинутое на ниве персональной безопасности, решает просмотреть его с помощью — выбираем письмо, щелкаем правой кнопкой мыши, а затем Свойства/ Подробно/ Исходное сообщение. Во-первых, письмо помечено символом скрепки, что обозначает наличие каких-то вложений в письме. Во-вторых, режим Исходное сообщение позволяет увидеть специальную техническую информацию о письме. И что же там видит знакомый?

From: ...
To: ...
Subject: ...
Date: ...
MIME-Version: ...
Content-Type: multipart/mixed;
...
Content-Type: text/plain;
...
Content-Type: text/html;
...
Content-Type: application/x-msdownload;
name="MyExecutable.exe"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
...
Content-Type: application/octet-stream;
name="MyArchive.rar"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;

Сначала он обращает внимание на то, что одно-единственное письмо на самом деле состоит из нескольких частей ( multipart/mixed). Далее перечисляются все части с указанием типа их содержимого. Текст письма дублируется и как обычный текст ( text/plain), и как текст в формате HTML ( text/html). Потом перечисляются вложения. Для исполняемого файла тип содержимого задан через application/x-msdownload, а тип содержимого архивного файла — через application/octet-stream. Причем оба вложения являются действительно вложениями ( Content-Disposition: attachment) и закодированы посредством base64 (запомните вот это название).

Так вот, если бы мы пересылали с письмом вирус, то знакомому достаточно было бы просто удалить письмо, не открывая вложенные файлы. Вирус ведь находится во вложенном файле, следовательно, он не может начать свою работу, пока не будет один раз открыт (или выполнен) вложенный файл.

Однако попробуем теперь написать такое письмо, которое как бы и не содержит видимых вложений, и все равно они там есть. Делаем так: вводим текст письма, далее из меню выбираем Формат/Фон/Звук (это если используем MS Outlook) и звуковой файл, например MySound.wav. Отправляем письмо и смотрим результат. Кстати, для экспериментов можно отправлять письмо не друзьям, а самому себе, со своего почтового ящика на свой же ящик. И вот мы замечаем, что пришедшее письмо совершенно не помечено символом скрепки, а в Исходное сообщение... типы содержимого частей письма заданы по-другому.

From: ...
To: ...
Subject: ...
Date: ...
MIME-Version: ...
Content-Type: multipart/related;
type="multipart/alternative";
...
Content-Type: audio/wav;
name="MySound.wav"
Content-Transfer-Encoding: base64

Кроме того, еще мы замечаем, что в момент выбора письма сразу же воспроизводится прикрепленный звук, не спрашивая нашего разрешения. При детальном анализе содержимого послания можно уяснить, что звук воспроизводится без разрешения только потому, что он объявлен в HTML-части письма как фоновый звук страницы (тэг BGSOUND). В принципе, в свойствах почтового клиента можно настроить запреты на воспроизведение звука, анимации и прочего, но тогда ввиду прямой связи (IE — Outlook) многих настроек приходится идти на компромисс между урезанным по возможностям серфингом в Интернете и повышенной безопасностью почтового клиента. А если принять во внимание, что злоумышленник не горит желанием отправлять нам звуки или картинки, — он скорее хочет осчастливить нас инфицированным исполняемым модулем, — тогда и настройки почтового клиента вас не защитят. Почему? А потому что можно вложить опасный файл так, что письмо, во-первых, не будет помечено символом скрепки (как в случае с вложенным звуком), а во-вторых, тип содержимого ( Content-Type) для опасного файла будет выставлен столь «безобидным» образом, что к нему настройки почтового клиента окажутся слепы. Как пример: вот как скрывает себя в теле письма один из гуляющих в настоящее время вирусов-шпионов.

Content-Type: audio/x-wav;
name="message.scr"
Content-Transfer-Encoding: base64

И вот еще для примера совсем НЕ ПОЛНЫЙ список тех типов содержимого (Content-Type), которые могут встречаться в письмах:

application/octet-stream
application/msword
application/x-msdownload
application/x-rar-compressed
application/x-zip-compressed
audio/wav
audio/x-wav
multipart/alternative
multipart/mixed
multipart/related
text/plain
text/html
video/x-ms-wmv

Как видно, возможностей обхода настроек почтового клиента предостаточно. Тем более что обходить, как правило, ничего не нужно, потому как у большинства пользователей все настройки выставлены стандартно, а они никогда не станут их изменять по той причине, что не всегда понимают смысл подобных перемен.

Но вернемся к предыдущему примеру с вирусом. Мы видим, что тип содержимого обозначен как audio/x-wav, а вместо имени звукового файла указано имя исполняемого модуля message.scr, откомпилированного под видом хранителя экрана (хранители экрана — это исполняемые модули с расширением SCR). Так вот, поверьте, что сие простое скрывание вложенного в письмо файла не является далеко хитроумным, а кладезь хакерских идей — это же бездонная бочка, подпитываемая неустанной энергией зловредного характера. Вот почему советы технического плана — изменить что-то, настроить так-то — через короткое время оказываются бесполезными.

Стоит только щелкнуть на подобном письме, как оно будет загружено в окно просмотра и, если можно так выразиться, сразу же «выполнено» (помните, как «выполнялся» прикрепленный к письму звук?), а ваш компьютер обзаведется засланным вирусом. Причем проверено: что The Bat, что MS Outlook — все они на ура пропускают на ваш компьютер подобные вирусы. Посему выбор того или иного почтового клиента на самом деле ни от чего вас не страхует. Вот где кроется беда: теперь нельзя нормально удалять письма, ибо щелчок на письме чреват непредсказуемыми последствиями. Ведь как обычно пользователь удаляет письма? Щелчок на письме правой кнопкой мыши и Удалить. Можно удалять письма сериями (списками), выбрав верхнее и с помощью клавиши SHIFT нижнее (благодаря чему помечается целая серия сообщений), а затем через правую кнопку мыши — Удалить. Тогда все помеченные письма будут удалены. Но как быть, если верхнее или нижнее письмо инфицировано? Ведь наиважнейшая задача — ни в коем случае не щелкать неизвестные сообщения, чтобы не дать им «выполниться». Хорошая получается вилка: нельзя щелкать по письму, а удалить нельзя без щелчка.

Лишний раз уточню: это по старой технологии расчет был на наивность пользователя, дескать, он соизволит «выполнить» вложенный файл, а по новой — «выполнение» уже НЕВИДИМОГО вложенного файла происходит мгновенно, как только вы щелкнули на письме. Причем даже удаленное письмо (находящееся в папке удаленных сообщений) в полной мере сохраняет свое губительное действие, ибо щелчок на нем в папке удаленных сообщений приводит к его немедленному «выполнению».

И вот предлагаемая методика заключается в следующем. Раз нельзя щелкать по письмам, то нужно сделать так, чтобы сверху и снизу списка всегда находились гарантированно надежные сообщения. То есть чтобы мы без боязни щелкали на верхнем письме и с нажатой клавишей SHIFT на нижнем (можно и так: щелкаем или на верхнем, или на нижнем сообщении и нажимаем Ctrl + A). В результате выбираем список писем, не дав ни одному враждебному посланию «выполниться», иначе говоря, почтовый клиент загрузил в окно просмотра только одно из двух наших гарантированно надежных писем.

Далее в окне списка входящих сообщений (то же желательно сделать и в окне списка удаленных сообщений) щелкните наверху столбца даты получения писем, чтобы все письма сортировались в порядке их получения. Далее установите системную дату на год эдак 1980, 1 января (это можно сделать двойным щелчком в правом нижнем углу экрана на пиктограмме часов). Теперь в почтовом клиенте создайте и отправьте новое письмо с темой ! (восклицательный знак). Текст письма вводить не обязательно, а посылать его можно от себя на свой же ящик, хотя для первого письма желательно ввести такой адрес получателя: !@! (восклицательный знак, собачка, восклицательный знак). Затем установите системную дату на 31 декабря 2099 года. И создайте еще одно новое письмо с темой яяяя... (много-много маленьких букв я), а адресом получателя желательно указать zzzzzz...@zzzzzzz... (множество маленьких букв z). После этих действий восстановите настоящую системную дату.

Немного объяснений. Такие странные данные к письмам мы вводим для того, чтобы перестраховаться от разных вариантов сортировки писем в окнах входящих и удаленных сообщений. Наименьшая и наибольшая даты — если установлена сортировка по дате получения, ! и яяяя... — если сортировка по теме писем, !@! и zzzzzz...@zzzzzzz... — если сортировка по получателю. К сожалению, от сортировки по другим полям перестраховаться не сможем. Остается лишь уповать, что рядовой пользователь никогда не прибегает к сортировкам такого рода, а применяет только сортировки по полям: Тема, Получено, Отправлено или Кому.

Итак, в папке исходящих сообщений уже находятся два письма, которые, во-первых, гарантированно надежные, то есть не содержат вирусов, во-вторых, они страхуют нас от разных вариантов сортировки списка писем в окнах почтового клиента. Вот эти два письма мы помечаем, захватываем мышкой и перетаскиваем в папку черновиков. Мало того, если не удобно пользоваться папкой черновиков, мы можем с легкостью перетащить письма вообще на рабочий стол. Теперь все готово к работе.

Смотрите, как это работает. Предположим, сейчас начнется сеанс получения почты с сервера, в течение которого вперемешку с полезными на ваш компьютер будет доставлено множество зараженных писем. Естественно, удалить их безопасно нельзя, ибо придется щелкнуть хотя бы по одному из инфицированных сообщений. Но у нас же в папке черновиков существуют два созданных нами письма, которые при добавлении к новой почте как нельзя кстати займут места верхнего и нижнего писем. Выбирая эти безопасные письма, мы безболезненно удалим все зараженные послания.

Проще говоря, перед сеансом прокачки почты помечаем два письма из папки черновиков (или если они находятся на рабочем столе) и, обязательно держа нажатой клавишу CTRL, перетаскиваем их в папку входящих сообщений (с рабочего стола можно тащить даже без CTRL). В итоге обнаруживаем, сколько бы сообщений ни приходило в течение сеанса, они всегда будут размещаться между нашими двумя письмами. В общем, это нам и было нужно. Теперь, внимательно прокручивая список полученных сообщений, щелкаем только на тех (главное — не промахнуться), которым доверяем и которые хотим прочитать. Затем все барахло удаляем через выбор верхнего или нижнего письма (это наши безопасные письма) с последующим нажатием Ctrl + A и Удалить. Вот и весь процесс. Также мы можем избавиться от писем и из папки удаленных сообщений.

Пожалуй, осталось еще вспомнить о названии base64. В момент щелчка на зараженном письме с невидимым вложенным файлом типа message.scr происходит следующее. Так как файл закодирован посредством base64, значит, прежде всего его нужно декодировать. В папке C:\Windows создается временный файл base64.tmp, а уже из него в папке C:\Windows\Temp создается файл message.scr, который отдается на выполнение. В случае упомянутого выше вируса-шпиона этот файл становится задачей под именем Message [X] (где X — некоторое число), которая и занимается неприятными для вас действиями. Чтобы снять эту задачу, нужно нажать комбинацию Ctrl + Alt + Del, выбрать из списка задач задачу с таким именем и нажать Завершить задачу. Однако нужно понимать, что таким образом на ваш компьютер могут попасть вирусы и более скрытного характера, от которых простым Ctrl + Alt + Del не избавишься. Это уже зависит от запрограммированных в нем действий. Некоторые вирусы могут как отправлять от вашего имени (и за ваш же счет) кучу спамовых писем кому угодно, так и просто переправлять кому угодно разную ценную информацию из недр вашего же компьютера.

И напоследок тест на испуг. А ну-ка загляните в свою папку C:\WINDOWS и поищите там файл base64.tmp, а заодно посмотрите, нет ли в папке C:\WINDOWS\Temp чего-нибудь с расширением SCR. Очень интересно, что некоторые вирусы не только не утруждают себя удалением своей же копии из папки C:\WINDOWS\Temp, но и забывают удалить файл base64.tmp, чтобы скрыть следы своего присутствия. В общем, поищите их у себя. И пусть вам повезет, и вы не найдете на своем компьютере подобной заразы.

Дмитрий САХАНЬ

Оригинал статьи на http://www.mycomp.com.ua