Архив статей

Все статьи из текущего раздела

Инфицирование JPG- и TXT-файлов? правда, вымысел, рекламный ход?

Летом прошлого года специалисты сразу нескольких антивирусных лабораторий сообщили о выявлении ими вируса нового типа. Казалось бы, ничего необычного ? каждый день мы узнаем о появлении нескольких новых или модифицированных старых вирусов. Но в данном случае, воображение поразил способ вирусного поражения компьютеров, реализованный в обнаруженном вирусе. Во-первых, поражаться могут только компьютеры, работающие под управлением ОС Windows; само по себе, это, конечно, не удивительно. Во-вторых, вирус может содержаться буквально во всем ? исключая воздух.
А если серьезно, то "во всем" означает "в любом" формате хранения информации: графической, текстовой, да и какой угодно другой. На данный момент установлены модификации вируса, воздействующие на файлы, имеющие расширение .JPG и .TXT.

Процесс "выявления" обнаруженного вируса протекал не совсем обычным образом. И, вероятно, вместо слова "выявили" здесь уместнее употребить слово "зафиксировали". В частности, в исследовательскую лабораторию McAfee этот вирус был просто прислан неизвестным автором. Причем посылка пришла без четкого обратного адреса и какой-либо иной пояснительно-сопроводительной информации. Так что изначальная цель автора этого самого вируса так и останется неизвестной. Хотя все это очень напоминает некий своеобразный дар: дескать, смотрите и готовьтесь, потому что можно и так. Благо еще, что простейшая модификация этого вируса пока не делает ничего, кроме того, что находит JPG- или TXT-файлы и дописывает себя в их конец ? но на то она и простейшая модификация.
Итак. Данный вирус рассчитан исключительно на работу в ОС Windows. Отсюда и его название Perrun (ака W32/Perrun-A, PE_PERRUN.A, Win32.Perrun, W32/Perrun, W32/Perrun.A). В ОС Windows предусмотрена возможность закреплять за каждым уникальным файловым расширением набор команд, которые будут выполняться над файлами, имеющими это расширение. В Windows имеется понятие "обработчик по умолчанию", под которым обычно скрывается программа, по умолчанию открывающая документы того или иного конкретно прописанного типа. Соотнесение типов файлов и применяемых к этим файлам действий производится в главном информационном банке Windows ? ее реестре.
На данное время, в Windows все графические файлы формата JPEG по умолчанию открываются с использованием динамической библиотеки: "С:\WINDOWS\SYSTEM\SHIMGVW.DLL" ("Shell Image View Control"). Вызов этой библиотеке, в частности, осуществляется и Internet Explorer"ом. Двойной щелчок на выбранном JPG-файле ? и в открывшемся окне интернет-браузера отображается содержимое выбранного графического файла. А теперь представьте, что помимо графической информации в открываемом JPG-файле содержится тело вируса.

А обработчик или та программа, что по умолчанию открывает JPG-файлы (библиотека, вызываемая Internet Explorer), подменена на другую программу, заранее внедренную неким злоумышленником. Принцип действия этой другой, инородной, программы ? назовем ее программой-декодировщиком ? таков: после двойного щелчка по любому JPG-файлу, неважно, инфицированному или нет, эта программа открывает указанный JPG-файл и производит извлечение содержащегося в нем вируса, если он там есть. Далее, декодировщик сохраняет извлеченный вирус в той же директории, в виде исполняемого файла x.exe, и запускает этот x.exe на выполнение. После того как запуск x.exe выполнен, программа-декодировщик может совершить и какое-либо добропорядочное действие, к примеру, передать управление обратно, истинному обработчику по умолчанию.
В процессе выполнения x.exe пока происходят достаточно безобидные вещи. В частности, происходит инфицирование "себе подобных" JPG-файлов. Хотя последующие модификации вируса вполне могут быть реализованы и в более изощренном, агрессивном и опасном виде.

Откуда все берется
Внедряемый вирусом декодировщик появляется в системе не вдруг и не сразу. Другими словами: для того чтобы вирус, заключенный в заранее инфицированном JPG-файле, сработал, т.е. чтобы произошло выполнение последовательности команд его составляющих, компьютер уже должен быть инфицирован соответствующей программой-декодировщиком. Собственно говоря, само инфицирование системы производится в момент запуска исполняемого exe-файла, в котором распространяется вирус Perrun. Откуда может взяться такой исполняемый exe-файл? Думаю, можно не объяснять... Способов получить подозрительный exe-файл существует предостаточно: от почтового письма с прикрепленным файлом, до загруженной из Интернета программы сомнительного авторства и содержания. Так что, каким образом exe-файл вируса попадет на компьютер, вопрос отдельный. Мы же будем исходить из того факта, что "посылка" в виде исполняемого файла, zip- или rar-архива, прибыла на компьютер и была на этом компьютере распакована и запущена.

После такого запуска вирусом будут сразу сделаны две основные вещи. Первое: извлечена и помещена в системную директорию программа-декодировщик. И второе: в реестр Windows будут внесены изменения, смысл которых будет сводиться к уже упомянутой подмене "обработчика по умолчанию". После такой подмены для открытия данного типа файлов операционной системой вместо стандартной Windows-библиотеки будет использоваться внедренная программа-декодировщик.

Итак, теперь, после того как декодировщик вируса сумел попасть на компьютер жертвы и прописаться в реестре ОС как "открывальщик" JPG-файлов "по умолчанию", все файлы формата JPEG будут проходить "через руки", т.е. открываться, с помощью этого внедренного извне декодировщика. Теперь внедренный декодировщик будет не только "отображать" графические JPG-файлы, но и попутно, в случае содержания в этих JPG-файлах специальных вирусных вкраплений, будет эти вирусные вкрапления извлекать и выполнять.

Нарисованная картина, учитывая распространенность и популярность графического формата JPEG, особенно в Интернете, выглядит, прямо скажем, мрачновато. Нетрудно себе представить ситуацию, когда, просматривая обнаруженный на каком-либо сайте или полученный по почте графический файл, мы вдруг обнаружим, что наш компьютер выходит из-под нашего контроля и начинает выполнять никому не понятные и никому не подконтрольные действия: от судорожной рассылки целой массы электронных писем до форматирования всех дисков системы. Но самое неприятное заключается в том, что форматы JPEG и TXT лишь "пробные" камни. Поскольку, теоретически, любой Windows-совместимый формат может быть использован столь злонамеренным образом.

Напоследок хотелось бы отметить: не стоит воспринимать данную статью в качестве банальной страшилки ? запугивающей и стращающей бедного пользователя всеми мыслимыми и немыслимыми бедами. Ни один JPG-файл или TXT-файл не сможет причинить компьютеру вреда даже в том случае, если в этом файле и содержится тело вируса, до тех пор пока компьютер не будет инфицирован соответствующим вирусо-декодировщиком. Так что пускай лучше данная статья станет еще одним поводом к тому, чтобы задуматься над тем, что, как и зачем мы делаем на компьютере вообще и в Интернете в частности. А также призывом к дополнительной бдительности и осмотрительности. Ведь известно: предотвращать всегда легче, чем исправлять. Компьютерный злоумышленник изобретателен. Превратить привычную в своей безопасности вещь в источник потенциальной угрозы, оказывается, не так уж и сложно. Помните об этом и почаще обновляйте свои антивирусные базы.

Все заинтересовавшиеся дополнительными подробностями по теме смогут обнаружить более детальные описания вируса Perrun по этим адресам:
http://vil.mcafee.com/dispVirus.asp?virus_k=99522
http://securityresponse.symantec.com/avcenter/venc/data/w32.perrun.html
http://www.viruslist.com/eng/viruslist.html?id=50874
http://www.f-secure.com/v-descs/perrun.shtml