Содержание

 

Введение

 

      В настоящее время компьютер и Internet являются не роскошью, а необходимостью. Компьютер  начинает заменять бумажные средства хранения информации, а глобальную сеть Internet начинают посещать чаще, чем библиотеку. Как для книги огонь, так и для компьютера Internet является угрозой в руках не опытного пользователя. Этой угрозой являются компьютерные вирусы.

      На сегодняшний день все больше вирусных атак на компьютеры осуществляются по средствам Internet, а не с помощью внешних носителей. По статистике, взятой с сайта www.viruslist.com , за  период  июня-июля 2000 года 80% из поступивших вирусов составили Internet-черви и   Internet-троянцы,  15% - вирусы для MS Word и 5% - вирусы для почтовых программ  IRC.

      Был взят интернет червь  Email-Worm.VBS.LoveLetter. Интерес к данном вирусу возник из-за того, что он является первым из серии интернет червей. Этот интернет червь вызвал массовые поражения компьютеров и сетей в начале мая 2000 и имеет множество модификаций.

      На сегодняшний день для обнаружения вирусов используется 3 метода: сигнатурный поиск, эвристический поиск, метод мониторинга. Так как вирусы имеют свои уникальные признаки, но не показывают свой код целиком, то для их обнаружения, на мой взгляд, лучше использовать методы эвристического поиска. Одним из таких метод может являться  методы нечеткой логики. Преимуществом нечеткой логики является переход на совершенно иной уровень мышления, благодаря которому творческий процесс моделирования происходит на наивысшем уровне абстракции, при котором необходим лишь минимальный набор закономерностей.

      Одними из методов нечеткой логики являются методы нечеткого вывода. Характерными чертами алгоритмов решения задач методами нечеткой логики является наличие некоторого набора утверждений (правил), каждое правило состоит  из совокупностей событий (условий) и результатов (выводов). После постановки задачи в терминах правил, состоящих из условий и выводов, производится их обработка по специальным алгоритмам.

      Был выбран метод нечеткого вывода Цукамото.

Цель

1. Анализ  семейства вирусов Email-Worm.VBS.LoveLetter.
2. Реализация эвристического анализатора семейства вирусов Email-Worm.VBS.LoveLetter

Задача

1. Проанализировав семейство вирусов  Email-Worm.VBS.LoveLetter выделить классы эвристик
2. Реализовать эвристический анализатор методом нечеткого логического вывода Цукамота в программной среде Microsoft Visual C++ 6.0.

 

1 Семейство вирусов  Email-worm.VBS.LoveLetter

1.1 Общее описание

      Компьютерный вирус Email-worm.VBS.LoveLetter  является  одним из представителей класса вирусов – интернет черви.  Распространяется  по системе электронной  почты  и  использует  для  своего   функционирования встроенные функции Visual Basic  из  состава MS  Windows  98  (при наличии установленного приложения Visual Basic  и в  MS  Windows  95).  Он является первым из серии подобных вирусов. Love Letter проникает в систему при получении по электронной  почте  письма с темой I LOVE YOU и присоединенным файлом LOVE-LETTER-FOR-YOU.TXT.VBS., в котором содержится код вируса. При прочтении данного  письма  программой  MS Outlook файл с телом вируса получает управление.

      Для скрытия того, что файл с телом вируса является исполняемым  файлом Visual Basic, используются настройки системы  MS  Windows.  Суть заключается в том, что по  умолчанию  в  системе  используется  показ  имени файла без расширения. В результате на экране  при  просмотре  списка  файлов вместо файла  LOVE-LETTER_FOR_YOU.TXT.VBS,  являющегося  исполняемым  файлом Visual Basic,  пользователь  видит LOVE-LETTER_FOR_YOU.TXT,  что дает  ему основание считать его текстовым файлом, не могущим  содержать  в  себе  кода вируса.  Большая   часть  пользователей  использует  настройки  системы   MS Windows по умолчанию.

      После открытия письма для чтения читается файл с телом  вируса и запускается главная процедура работы вируса. Вирус анализирует наличие запрета на обработку  скриптов  в  системном реестре и если он есть, то путем изменения  соответствующего  ключа  реестра снимает его.

      Далее вирус определяет пути к каталогам WIN,  SYSTEM  и  TEMP.  В каталог WIN копируется тело вируса под именем  Win32.DLL.VBS,  а  в  каталог SYSTEM копируется тело вируса в два файла с именами MSKernel32.vbs  и LOVE-LETTER-FOR-YOU.TXT.VBS.

      Далее в реестре Windows  создается ключ, который будет запускать  вирус при каждой загрузке Windows. Анализируется расположение  приемного  каталога  электронной  почты  и если он не является корневым каталогом диска С:, то  он  переназначается  на  С:. Это  делается  для  того,  чтобы  в  дальнейшем  принятый  файл WIN-BUGSFIX.EXE был расположен в корневом каталоге С:.В  каталоге  SYSTEM  ищется  файл  WinFAT32.exe  и при его наличии генерируется случайное число в  пределах  1-4.  Если  файл  найден,  то производится прописывание одного из четырех, в  зависимости  от  случайного числа, адресов  сайта  www.skyinet.net в реестре в качестве   стартовой страницы для MS Internet Explorer. Устанавливается соединение и   с  сервера скачивается файл 

WIN-BUGSFIX.exe.

      Если удалось скачать  файл, то  в  реестре  Windows  создается ключ, который будет запускать его при каждой загрузке  Windows и стартовой страницей для MS Internet Explorer прописывается файл about:blank.

      На этом заканчивается внедрение вируса в систему,  и  он  переходит  к активным деструктивным действиям. Производится проверка типов дисков и  поиск  файлов  по  всем  дискам. Далее проверяются расширения найденных  файлов  и  в  соответствии  с расширениями производятся деструктивные действия:

- если  расширения .VBS или .VBE – вирус  записывает вместо них свое  тело, не меняя расширения;

- если  расширения .JS; .JSE; .CSS; .WSH; .SCT; .HTA –  вирус  записывает вместо них свое тело и меняет расширения на .VBS.  Оригинальные  файлы удаляются.

- если  расширения .JPG или .JPE – вирус  записывает вместо них свое  тело и меняет расширения на .VBS. Оригинальные файлы удаляются.

- если  расширения файлов .MP2; .MP3 – вирус  создает файлы  с  такими  же именами, но  расширениями  .VBS,  а  оригинальным  файлам  присваивает атрибут «Hidden».

      Закончив свои деструктивные действия на компьютере пользователя, вирус предпринимает   действия   для    дальнейшего    распространения    среди

пользователей сети Internet.

      В первую очередь он ищет в системе  программу  mIRC32,  осуществляющую  связь с чат - серверами и при ее наличии создает файл  script.in.

      В   теле скрипта  пишется  грозное  предупреждение  о  том,  что  запрещается    редактировать этот скрипт – это приведет к повреждению программы mIRC,  а    при поврежденной mIRC система не будет работать корректно. В скрипт  включается  запись,  которая  осуществляет    рассылку всем участникам чата копии вируса в виде   файла LOVE-LETTER-FOR-YOU.HTM. Сам файл содержится в теле вируса. После попытки (удачной  или  неудачной)  распространения  своего  тела среди участников чата, вирус предпринимает попытку  распространения  себя по электронной почте, используя  при  этом  программу  Microsoft  Outlook Express.

      Вначале вирус получает доступ к адресной книге приложения Outlook, а затем организует цикл перебора адресов для создания писем со своим  телом.

      Далее вирус создает тело письма с адресом отправителя, темой и текстом, присоединяет к письму файл с телом вируса и  отправляет  его    адресату. Если в Outlook нет адресной книги или она пустая  –  письма  не    создаются.

      Закончив свои процедуры вирус завершает работу не  оставляя  при  этом своей резидентной копии в памяти компьютера.

1.2 Описание модификаций вируса

1.2.1 LoveLetter.A

 При  запуске червь сначала копирует себя в системный каталог Windows как:

MSKernel32.vbs

LOVE-LETTER-FOR-YOU.TXT.vbs

и в  каталог Windows:

Win32DLL.vbs

Далее он добавляет запись в реестр, чтобы  запускаться при каждом рестарте системы. В реестр добавляются:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MSKernel32=MSKERNEL32.VBS

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL=Win32DLL.VBS

Для того, чтобы установить на компьютере троянскую  программу, червь модифицирует URL-ссылку стартовой страницы Internet Explorer. Новая  ссылка указывает на троянский файл, расположенный на одном из четырех Web-сайтов в Интернете. Имя троянского файла - WIN-BUGSFIX.EXE. Таким образом при очередном старте Internet Explorer скачивает троянца из Интернета. Троянская программа проверяет наличие WinFAT32 в ключе реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run.  
Если WinFAT32 не найден, троянская программа создает его, копирует себя в \Windows\System\ каталог как WINFAT32. EXE и затем запускается оттуда. Таким образом, изменения в системном реестре, делает троянскую программу активной при каждом запуске Windows.Затем троянская программа устанавливает в стартовую страницу Internet Explorer как 'about:blank'.

     Далее находит и удаляет ключи:

Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds

Software\Microsoft\Windows\CurrentVersion\Policies\Network\DisablePwdCaching

Немедленно  после запуска и когда счетчик  таймера достигает некоторого значения, троянская программа загружает  библиотеку MPR.DLL, вызывает функцию WNETENUMCASHEDPASSWORDS, и посылает украденные RAS пароли и все кэшированные пароли Windows по адресу 'mailme@super.net.ph', который, вероятно, принадлежит автору троянской программы. Для отправки письма троянская программа использует smtp-сервис 'smtp.super.net.ph'.

Внутри  троянской программы имеется строчка с копирайтом автора: 

barok ...i hate go to school suck -

by:spyder @Copyright (c) 2000 GRAMMERSoft Group >Manila,Phils.

 
После этого червь создает HTML файл, " LOVE-LETTER-FOR-YOU.HTM ", в каталоге System. Этот файл содержит червя, и это будет послан, используя mIRC каждый раз, когда пользователь присоединяется к IRC каналу.

Далее червь будет использовать Outlook для  массовой рассылки непосредственно  к каждому аккаунту из адресной книги  книжке. Посылаемое сообщение будет иметь вид: 

Subject: ILOVEYOU

Body: kindly check the attached LOVELETTER coming from me.

Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs 

В начале кода, вирус содержит следующий текст: 

barok -loveletter(vbe) &lti hate go to school>

by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philippines

1.2.2 LoveLetter.B

 
      Внедрение в систему  аналогично внедрению в версии  LoveLetter.A. Особенностью данной модификации является способ размножения.

      Этот вариант вируса использует другой вид сообщения при распространении: 

Subject: Susitikim shi vakara kavos puodukui...

Body: kindly check the attached LOVELETTER coming from me.

Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs 

В поле SUBJECT надпись по Литовски, которая  в переводе звучит как " Давайте  встретимся этим вечером для чашечки кофе ... "

Содержит  следующий комментарий в теле: 

Modified Lameris Tamoshius / Lithuania (Tovi systems)

1.2.3 LoveLetter.C

 

      Внедрение в систему аналогично  внедрению в версии  LoveLetter.A. Особенностью данной модификации является способ размножения.

      Этот вариант вируса размножается с сообщением: 

Subject: fwd: Joke

Attachment: Very Funny.vbs

1.2.4 LoveLetter.E

 

      Внедрение в систему аналогично  внедрению в версии  LoveLetter.A. Особенностью данной модификации является способ размножения.

     Этот вариант вируса распространяется в сообщении: