Как добровольно скачать вирус, или неявное заражение компьютера

Раньше, когда компьютеры были большими, файлы с программами и данными переносили на дискетах, потом на дисках. Основной путь заражения файла программы вирусом был в "дописывании" кода вируса в тело программы. При запуске исполнялся код вируса, потом управление передавалось самой программе. В основном код вируса выполнял команды саморазмножения, выискивал другие программы на компьютере и внедрялся в них. В редких случаях вирус выполнял разрушительные действия, удалял файлы, пытался сделать диск нечитаемым.

С широким распространением интернета вирусы расширили как способы нанесения вреда, так и способы размножения. Перенос файлов на дисках, дискетах и флешках утрачивает актуальность, проще скачать из сети или переслать по электронной почте. Вредтиь вирусы также стали по-новому: основная задача теперь не сколько размножиться, сколько украсть полезную информацию с компьютера (пароли, файлы данных), и передать вирусописателю.

Например, у меня с интернет-кошелька некто украл все деньги с помощью вируса, который нашел на компьютере брата файл-журнал нажатия клавиш и отослал злодею. Вытащить из журнала обращение к кошельку и восстановить пароль - дело нескольких минут. А всё потому, что антивирус у брата оказался просроченным на месяц, этого хватило.

Даже если предположить, что пользователь не лазит по сайтам сомнительного содержания, остаются варианты подсунуть вирус ничего не подозревающему и даже осторожному человеку. В первом случае вирусная атака проводится на нормальные сайты законопослушных людей. Например, летом 2006 года кто-то украл список пользователей и паролей у хост-провайдера valuehost. Владельцам сайтов из этого списка на сайты внедрили вредоносный код, который активизировался при посещении этих сайтов. Посетители недоумевали, откуда вирусы после посещения нормальных сайтов.

Основной способ дать человеку добровольно подсадить себе вирус на компьютер - прислать ему по почте якобы интересующий его файл или ссылку на известный и считающийся нормальным сайт. Причем имя отправителя в заголовке письма может быть знакомым вам, и даже содержаться в вашем контактном листе. Поэтому прежде чем скачивать, а тем более открывать неожиданный файл, лучше связаться с человеком по телефону и попросить подтвердить отправку. иначе в худшем случае вас ждет переустановка системы.

Мне сегодня пришло вот такое письмо (почту смотрю с помощью Outlook Express):

От: POSTCARD.RU    Кому: 7500017@mail.ru
Тема: [postcard.ru] вам пришла открытка!

Вам пришла виртуальная открытка.
Для ее получения зайдите на сайт www.postcard.ru/card.php?1290093864
и нажмите на ссылку 'получить открытку'

Служба рассылки открыток POSTCARD.RU
------------------------------------------------


You recieved an postcard.
To get it follow to web-site www.postcard.ru/card.php?0160613312
switch to english and click on 'get my postcard'

Postcard service POSTCARD.RU

Казалось бы, приятная неожиданность, кто-то прислал открытку. Обычно в сомнительных случаях, я смотрю от кого пришло письмо. В данном случае, если кликнуть правой кнопкой мыши по заголовку и выбрать свойства письма, выйдет следующее:

И тут всё красиво: адрес отправителя высвечивается как www.postcard.ru. Но обратим внимание на ссылку, указанную в письме. По идее она должна привести нас к открытке. При наведении курсора на текст ссылки в статусной строке внизу мы с удивлением увидим, что ведет она вот куда:
http://sblwork.com/card.php?s=1&fr=EwingTerry&n=7500017@mail.ru

Ясно, что на сайте sblwork.com явно нет открыток от postcard.ru. Что же там можно было подцепить? Даже не будем туда заходить. Уже интереса ради посмотрим посмотрим на реальное тело письма (вторая закладка в свойствах). Интересные моменты касательно реального источника выделю красным:


Return-path: <>
Received: from [82.144.208.144] (port=2010 helo=brupharm.kiev.ua)
by mx13.mail.ru with esmtp
id 1IkKTP-00019I-00
for 7500017@mail.ru; Tue, 23 Oct 2007 18:11:12 +0400
Received-SPF: none (mx13.mail.ru: 82.144.208.144 is neither permitted nor denied by domain of brupharm.kiev.ua) client-ip=82.144.208.144; envelope-from=postmaster@brupharm.kiev.ua; helo=brupharm.kiev.ua;
X-SpamTest-Categories: Formal Messages > Postcards; Internal-LGS > EL; Internal-LGS > RL
X-SpamTest-Envelope-From: www@hillary.hit.ru
X-SpamTest-Formal: yes
X-SpamTest-Group-ID: 00000000
X-SpamTest-Info: Profiles 1020 [May 03 2007]
X-SpamTest-Info: helo_type=3
X-SpamTest-Method: none
X-SpamTest-Rate: 0
X-SpamTest-Status: Not detected
X-SpamTest-Status-Extended: formal
X-SpamTest-Version: SMTP-Filter Version 3.0.0 [0255], KAS30/Release
Received: from hillary.hit.ru (localhost [127.0.0.1])
by hillary.hit.ru (8.13.4/8.13.4) with ESMTP id EQY79uusiwhpgdgdx35625
for <7500017@mail.ru>; Tue, 23 Oct 2007 17:16:54 +0200 (MSD)
(envelope-from www@hillary.hit.ru)
Received: (from www@localhost)
by hillary.hit.ru (8.13.4/8.13.4/Submit) id CN763vtmqtjtctq23;
Tue, 23 Oct 2007 17:16:54 +0200 (MSD)
(envelope-from www)
Date: Tue, 23 Oct 2007 17:16:54 +0200 (MSD)
Message-Id: <20070508151.BX388jriyhhm6082@hillary.hit.ru>
Reply-To: 7500017@mail.ru
Errors-To: 7500017@mail.ru
From: "POSTCARD.RU"
To: 7500017@mail.ru
Subject: =?Windows-1251?Q?=5Bpostcard=2Eru=5D_=E2=E0=EC_=EF=F0=E8=F8=EB=E0_=EE=F2?=
=?Windows-1251?Q?=EA=F0=FB=F2=EA=E0!?=
Precedence: special-delivery
Content-Type: text/html; charset=Windows-1251
Content-Transfer-Encoding: 8bit
X-Spam: Not detected

<html><!-- малый хороший щетка для волос железнодорожная станция --><!-- самодовольный -->
<body>
Вам пришла виртуальная открытка.<!-- Йемен церемонный -->
<Br>Для ее получения зайдите на сайт <a href="http://www.postcard.ru/card.php?9653971713">
<table><tr><td>
<a href="http://sblwork.com/card.php?s=1&fr=EwingTerry&n=7500017@mail.ru">www.postcard.ru/card.php?1290093864
</td></tr></table></a>
и нажмите на ссылку 'получить открытку'
<!-- обязанности --><Br>
<!-- брак броневик ускорить --><br>
Служба рассылки открыток POSTCARD.RU<!-- убой ходячий зачислить крошечный --><Br>
------------------------------------------------<!-- мясо газопровод дайте подумать --><Br>
<!-- самоотверженность рынок круговой --><br>
<!-- нечего разговаривать --><p>
You recieved an postcard.<!-- будильник церковь объединение --><bR>
To get it follow to web-site <a href="http://www.postcard.ru/card.php?5624101286">
<table><tr><td>
<a href="http://xtom.ic.cz/card.php?s=1&fr=EwingTerry&n=7500017@mail.ru">www.postcard.ru/card.php?0160613312
</td></tr></table></a>
switch to english and click on 'get my postcard'<!-- марш обычный архитектура --><BR>
<!-- обряд усадить потворствовать --><Br>
Postcard service POSTCARD.RU<!-- у него глаз косит визг жанр манера --><bR>
<BR>
<BR>
__________ Информация NOD32 2606 (20071022) __________<BR>
<BR>
Это сообщение проверено Антивирусной системой NOD32.<BR>
<A HREF="http://www.eset.com">http://www.eset.com</A><BR>

</body><!-- крикет ясно выраженный -->
</html>

Здесь много интересных моментов: видно, что "ноги растут" из украинского почтового сервера, в теле письма расставлено множество невидимых комментариев, сконструированных генератором случайных словосочетаний. Это позволяет письму обойти спам-фильтры. Реальная ссылка, на которую мы должны были попасть, если бы кликнули "получить открытку", находится и вовсе на бесплатном сайте-однодневке в Чехии - xtom.ic.cz.

Естественно, все входящие письма не будешь проверять таким образом, да и большинство из них фильтруется вирусными и спам-фильтрами еще не дойдя до нас. Но те дошедшие единицы, которые к нам попадают, иногда заслуживают повышенного внимания. Это сбережет немало нервов и времени.

Сергей Гусев, 24.10.07.