|
|||
реклама у нас | |||
*** |
Инфицирование JPG- и TXT-файлов - правда, вымысел, рекламный ход?Автор: Роман Матвиенко Летом прошлого года специалисты сразу нескольких антивирусных
лабораторий сообщили о выявлении ими вируса нового типа. Казалось бы, ничего
необычного ? каждый день мы узнаем о появлении нескольких новых или
модифицированных старых вирусов. Но в данном случае, воображение поразил способ
вирусного поражения компьютеров, реализованный в обнаруженном вирусе.
Во-первых, поражаться могут только компьютеры, работающие под управлением ОС
Windows; само по себе, это, конечно, не удивительно. Во-вторых, вирус может
содержаться буквально во всем ? исключая воздух.
Процесс "выявления" обнаруженного вируса протекал не совсем обычным образом. И, вероятно, вместо слова "выявили" здесь уместнее употребить слово "зафиксировали". В частности, в исследовательскую лабораторию McAfee этот вирус был просто прислан неизвестным автором. Причем посылка пришла без четкого обратного адреса и какой-либо иной пояснительно-сопроводительной информации. Так что изначальная цель автора этого самого вируса так и останется неизвестной. Хотя все это очень напоминает некий своеобразный дар: дескать, смотрите и готовьтесь, потому что можно и так. Благо еще, что простейшая модификация этого вируса пока не делает ничего, кроме того, что находит JPG- или TXT-файлы и дописывает себя в их конец ? но на то она и простейшая модификация. Итак. Данный вирус рассчитан исключительно на работу в ОС Windows. Отсюда и его название Perrun (ака W32/Perrun-A, PE_PERRUN.A, Win32.Perrun, W32/Perrun, W32/Perrun.A). В ОС Windows предусмотрена возможность закреплять за каждым уникальным файловым расширением набор команд, которые будут выполняться над файлами, имеющими это расширение. В Windows имеется понятие "обработчик по умолчанию", под которым обычно скрывается программа, по умолчанию открывающая документы того или иного конкретно прописанного типа. Соотнесение типов файлов и применяемых к этим файлам действий производится в главном информационном банке Windows ? ее реестре. На данное время, в Windows все графические файлы формата JPEG по умолчанию открываются с использованием динамической библиотеки: "С:\WINDOWS\SYSTEM\SHIMGVW.DLL" ("Shell Image View Control"). Вызов этой библиотеке, в частности, осуществляется и Internet Explorer"ом. Двойной щелчок на выбранном JPG-файле ? и в открывшемся окне интернет-браузера отображается содержимое выбранного графического файла. А теперь представьте, что помимо графической информации в открываемом JPG-файле содержится тело вируса. А обработчик или та программа, что по умолчанию открывает JPG-файлы (библиотека, вызываемая Internet Explorer), подменена на другую программу, заранее внедренную неким злоумышленником. Принцип действия этой другой, инородной, программы ? назовем ее программой-декодировщиком ? таков: после двойного щелчка по любому JPG-файлу, неважно, инфицированному или нет, эта программа открывает указанный JPG-файл и производит извлечение содержащегося в нем вируса, если он там есть. Далее, декодировщик сохраняет извлеченный вирус в той же директории, в виде исполняемого файла x.exe, и запускает этот x.exe на выполнение. После того как запуск x.exe выполнен, программа-декодировщик может совершить и какое-либо добропорядочное действие, к примеру, передать управление обратно, истинному обработчику по умолчанию. В процессе выполнения x.exe пока происходят достаточно безобидные вещи. В частности, происходит инфицирование "себе подобных" JPG-файлов. Хотя последующие модификации вируса вполне могут быть реализованы и в более изощренном, агрессивном и опасном виде. Откуда все беретсяВнедряемый вирусом декодировщик появляется в системе не вдруг и не сразу. Другими словами: для того чтобы вирус, заключенный в заранее инфицированном JPG-файле, сработал, т.е. чтобы произошло выполнение последовательности команд его составляющих, компьютер уже должен быть инфицирован соответствующей программой-декодировщиком. Собственно говоря, само инфицирование системы производится в момент запуска исполняемого exe-файла, в котором распространяется вирус Perrun. Откуда может взяться такой исполняемый exe-файл? Думаю, можно не объяснять... Способов получить подозрительный exe-файл существует предостаточно: от почтового письма с прикрепленным файлом, до загруженной из Интернета программы сомнительного авторства и содержания. Так что, каким образом exe-файл вируса попадет на компьютер, вопрос отдельный. Мы же будем исходить из того факта, что "посылка" в виде исполняемого файла, zip- или rar-архива, прибыла на компьютер и была на этом компьютере распакована и запущена. После такого запуска вирусом будут сразу сделаны две основные вещи. Первое: извлечена и помещена в системную директорию программа-декодировщик. И второе: в реестр Windows будут внесены изменения, смысл которых будет сводиться к уже упомянутой подмене "обработчика по умолчанию". После такой подмены для открытия данного типа файлов операционной системой вместо стандартной Windows-библиотеки будет использоваться внедренная программа-декодировщик. Итак, теперь, после того как декодировщик вируса сумел попасть на компьютер жертвы и прописаться в реестре ОС как "открывальщик" JPG-файлов "по умолчанию", все файлы формата JPEG будут проходить "через руки", т.е. открываться, с помощью этого внедренного извне декодировщика. Теперь внедренный декодировщик будет не только "отображать" графические JPG-файлы, но и попутно, в случае содержания в этих JPG-файлах специальных вирусных вкраплений, будет эти вирусные вкрапления извлекать и выполнять. Нарисованная картина, учитывая распространенность и популярность графического формата JPEG, особенно в Интернете, выглядит, прямо скажем, мрачновато. Нетрудно себе представить ситуацию, когда, просматривая обнаруженный на каком-либо сайте или полученный по почте графический файл, мы вдруг обнаружим, что наш компьютер выходит из-под нашего контроля и начинает выполнять никому не понятные и никому не подконтрольные действия: от судорожной рассылки целой массы электронных писем до форматирования всех дисков системы. Но самое неприятное заключается в том, что форматы JPEG и TXT лишь "пробные" камни. Поскольку, теоретически, любой Windows-совместимый формат может быть использован столь злонамеренным образом. Напоследок хотелось бы отметить: не стоит воспринимать данную статью в качестве банальной страшилки ? запугивающей и стращающей бедного пользователя всеми мыслимыми и немыслимыми бедами. Ни один JPG-файл или TXT-файл не сможет причинить компьютеру вреда даже в том случае, если в этом файле и содержится тело вируса, до тех пор пока компьютер не будет инфицирован соответствующим вирусо-декодировщиком. Так что пускай лучше данная статья станет еще одним поводом к тому, чтобы задуматься над тем, что, как и зачем мы делаем на компьютере вообще и в Интернете в частности. А также призывом к дополнительной бдительности и осмотрительности. Ведь известно: предотвращать всегда легче, чем исправлять. Компьютерный злоумышленник изобретателен. Превратить привычную в своей безопасности вещь в источник потенциальной угрозы, оказывается, не так уж и сложно. Помните об этом и почаще обновляйте свои антивирусные базы. Все заинтересовавшиеся дополнительными подробностями по теме смогут обнаружить более детальные описания вируса Perrun по этим адресам:
Источник: http://www.comprice.ru/ |
|
Copyright © Internet
Zone, info@izcity.com Условия использования материалов смотрите здесь. |