зміст
Введення. 2Глава 1. Історія вірусів і їх створення. 5
1.1. Історія шкідливих програм .. 5
1.2. Створення вірусів і його причини .. 6
Дрібне злодійство. 8
Кримінальний бізнес. 8
Небажане програмне забезпечення. 10
Глава 2. Класифікація вірусів. 11
2.1. Класичні віруси .. 11
2.2. Завантажувальні віруси .. 16
2.3. Троянські програми .. 18
2.4. Мережеві черв'яки. 24
Висновок. 29
Список літератури .. 31
Введення
До шкідливому програмному забезпеченню відносяться мережеві черв'яки, класичні файлові віруси, троянські програми, хакерські утиліти та інші програми, що завдають явний шкоду комп'ютеру, на якому вони запускаються на виконання, або іншим комп'ютерам в мережі.Мережеві черв'яки. До даної категорії відносяться програми, що поширюють свої копії по локальних і / або глобальних мереж з метою:
проникнення на віддалені комп'ютери;
запуску своєї копії на віддаленому комп'ютері;
подальшого розповсюдження на інші комп'ютери в мережі.
Для свого поширення мережеві черв'яки використовують різноманітні комп'ютерні й мобільні мережі: електронну пошту, системи обміну миттєвими повідомленнями, файлообмінні (P2P) і IRC-мережі, LAN, мережі обміну даними між мобільними пристроями (телефонами, кишеньковими комп'ютерами) і т.д.
Більшість відомих черв'яків поширюється у вигляді файлів: вкладення в електронний лист, посилання на заражений файл на якому-небудь веб - або FTP-ресурсі в ICQ - і IRC-повідомленнях, файл у каталозі обміну P2P і т.д.
Деякі черв'яки (так звані «бесфайловие» або «пакетні» черв'яки) поширюються у вигляді мережевих пакетів, проникають безпосередньо в пам'ять комп'ютера й активізують свій код.
Для проникнення на віддалені комп'ютери і запуску своєї копії черв'яки використовують різні методи: соціальний інжиніринг (наприклад, текст електронного листа, що закликає відкрити вкладений файл), недоліки в конфігурації мережі (наприклад, копіювання на диск, відкритий на повний доступ), помилки в службах безпеки операційних систем і додатків.
Деякі черв'яки володіють також властивостями інших різновидів шкідливого програмного забезпечення. Наприклад, деякі черв'яки містять троянські функції або здатні заражати виконувані файли на локальному диску, тобто мають властивість троянської програми і / або комп'ютерного вірусу.
Класичні комп'ютерні віруси. До даної категорії відносяться програми, що поширюють свої копії по ресурсах локального комп'ютера з метою:
наступного запуску свого коду при яких-небудь діях користувача;
подальшого впровадження в інші ресурси комп'ютера.
На відміну від черв'яків, віруси не використовують мережевих сервісів для проникнення на інші комп'ютери. Копія вірусу потрапляє на віддалені комп'ютери тільки в тому випадку, якщо заражений об'єкт з яких-небудь не залежних від функціоналу вірусу причин виявляється активізованим на іншому комп'ютері, наприклад:
при зараженні доступних дисків вірус проник у файли, розташовані на мережевому ресурсі;
вірус скопіював себе на знімний носій або заразив файли на ньому;
користувач відіслав електронний лист із зараженим вкладенням.
Деякі віруси містять у собі властивості інших різновидів шкідливого програмного забезпечення, наприклад бекдор-процедуру або троянську компоненту знищення інформації на диску.
Троянські програми. У цю категорію входять програми, що здійснюють різні несанкціоновані користувачем дії: збір інформації та її передачу зловмисникові, її руйнування або зловмисну модифікацію, порушення працездатності комп'ютера, використання ресурсів комп'ютера в непристойних цілях.
Окремі категорії троянських програм завдають шкоди віддаленим комп'ютерам і мережам, не порушуючи працездатність зараженого комп'ютера (наприклад, троянські програми, розроблені для масованих DoS-атак на віддалені ресурси мережі).
Хакерські утиліти та інші шкідливі програми. До цієї категорії належать:
утиліти автоматизації створення вірусів, черв'яків і троянських програм (конструктори);
програмні бібліотеки, розроблені для створення шкідливого ПЗ;
хакерські утиліти приховування коду заражених файлів від антивірусної перевірки (шифрувальники файлів);
«Злі жарти», що ускладнюють роботу з комп'ютером;
програми, що повідомляють користувачеві свідомо помилкову інформацію про свої дії в системі;
інші програми, тим чи іншим способом навмисно завдають прямий або непрямий збиток даного або віддалених комп'ютерів.
Глава 1. Історія вірусів та їх створення
1.1. Історія шкідливих програм
Думок з приводу народження першого комп'ютерного вірусу дуже багато. Нам достеменно відомо лише одне: на машині Чарльза Беббіджа, що вважається винахідником першого комп'ютера, вірусів не було, а на Univax 1108 і IBM 360/370 в середині 1970-х років вони вже були.Незважаючи на це, сама ідея комп'ютерних вірусів з'явилася значно раніше. Відправною точкою можна вважати праці Джона фон Неймана по вивченню самовідтворюються математичних автоматів. Ці праці сталі відомі в 1940-х роках. А в 1951 р. знаменитий учений запропонував метод, який демонстрував можливість створення таких автоматів. Пізніше, в 1959 р., журнал "Scientific American" опублікував статтю Л.С. Пенроуза, яка також була присвячена самовідтворювалися механічним структурам. На відміну від раніше відомих робіт, тут була описана проста двовимірна модель подібних структур, здібних до активації, розмноження, мутацій, захоплення. Пізніше, слідами цієї статті інший учений - Ф.Ж. Шталь - реалізував модель на практиці за допомогою машинного коду на IBM 650.
Необхідно відзначити, що з самого початку ці дослідження були направлені зовсім не на створення теоретичної основи для майбутнього розвитку комп'ютерних вірусів. Навпаки, учені прагнули удосконалити світ, зробити його більш пристосованим для життя людини. Адже саме ці праці лягли в основу багатьох пізніших робіт по робототехніці і штучному інтелекту. І в тому, що подальші покоління зловжили плодами технічного прогресу, немає провини цих чудових учених.
У 1962 р. інженери з американської компанії Bell Telephone Laboratories - В.А. Висоцький, Г.Д. Макілрой і Роберт Морріс - створили гру "Дарвін". Гра припускала присутність в пам'яті обчислювальної машини так званого супервізора, що визначав правила і порядок боротьби між собою програм-суперників, що створювалися гравцями. Програми мали функції дослідження простору, розмноження і знищення. Сенс гри полягав у видаленні всіх копій програми супротивника і захопленні поля битви.
На цьому теоретичні дослідження учених і нешкідливі вправи інженерів пішли в тінь, і зовсім скоро світ дізнався, що теорія саморозмножуються структур з неменшим успіхом може бути застосована і в дещо інших цілях.
1.2. Створення вірусів і його причини
Основна маса вірусів і троянських програм у минулому створювалася студентами та школярами, які тільки що вивчили мову програмування, хотіли спробувати свої сили, але не змогли знайти для них більш гідного застосування. Тішить той факт, що значна частина подібних вірусів їх авторами не поширювалася, і віруси через деякий час вмирали самі разом з дисками, на яких зберігалися. Такі віруси писалися і пишуться по цей день тільки для самоствердження їх авторів.Другу групу творців вірусів також складають молоді люди (частіше - студенти), які ще не повністю оволоділи мистецтвом програмування. Єдина причина, що штовхає їх на написання вірусів, це комплекс меншовартості, який компенсується комп'ютерним хуліганством. З-під пера подібних «умільців» часто виходять віруси вкрай примітивні і з великою кількістю помилок («студентські» віруси). Життя подібних вірусописьменників стала помітно простіше з розвитком інтернету і появою численних веб-сайтів, орієнтованих на навчання написання комп'ютерних вірусів. На подібних веб-ресурсах можна знайти докладні рекомендації з методів проникнення в систему, прийомам приховання від антивірусних програм, способам подальшого розповсюдження вірусу. Часто тут же можна знайти готові вихідні тексти, в які треба всього лише внести мінімальні «авторські» зміни і відкомпілювати рекомендованим способом.
«Хуліганські» віруси в останні роки стають все менш і менш актуальними (незважаючи на те, що на зміну подорослішим тінейджерам-хуліганам кожен раз приходить нове покоління тінейджерів) - за винятком тих випадків, коли такі шкідливі програми викликали глобальні мережеві та поштові епідемії. На поточний момент частка подібних вірусів і троянських програм займає не більше 10% «матеріалу», заносимого в антивірусні бази даних. Решта 90% набагато більш небезпечні, ніж просто віруси.
Ставши старше і досвідченіше, багато хто з подібних вірусописьменників потрапляють у третю, найбільш небезпечну групу, яка створює і запускає в світ «професійні» віруси. Ці ретельно продумані і налагоджені програми створюються професійними, часто дуже талановитими програмістами. Такі віруси нерідко використовують досить оригінальні алгоритми проникнення в системні області даних, помилки в системах безпеки операційних середовищ, соціальний інжиніринг та інші хитрощі.
Окремо стоїть четверта група авторів вірусів - «дослідники», досить кмітливі програмісти, які займаються винаходом принципово нових методів зараження, приховування, протидії антивірусам і т.д. Вони ж придумують способи впровадження в нові операційні системи. Ці програмісти пишуть віруси не заради власне вірусів, а швидше ради дослідження потенціалів «комп'ютерної фауни». Часто автори подібних вірусів не поширюють свої творіння, проте активно пропагують свої ідеї через численні інтернет-ресурси, присвячені створенню вірусів. При цьому небезпека, що виходить від таких «дослідницьких» вірусів, теж вельми велика - потрапивши до рук «професіоналів» з попередньої групи, ці ідеї дуже швидко з'являються в нові віруси.
Дрібне злодійство
З появою і популяризацією платних інтернет-сервісів (пошта, WWW, хостинг) комп'ютерний андеграунд починає виявляти підвищену цікавість до отримання доступу в мережу за чужий рахунок, тобто за допомогою крадіжки чийогось логіна і пароля (або декількох логінів / паролів з різних уражених комп'ютерів) шляхом застосування спеціально розроблених троянських програм.На початку 1997 року зафіксовано перші випадки створення і розповсюдження троянських програм, що крадуть паролі доступу до системи AOL. У 1998 році, з поширенням інтернет-послуг в Європі та Росії, аналогічні троянські програми з'являються і для інших інтернет-сервісів. До цих пір троянці, які крадуть паролі до dial-up, паролі до AOL, коди доступу до інших сервісів, складають помітну частину щоденних «надходжень» у лабораторії антивірусних компаній всього світу.
Троянські програми даного типу, як і віруси, зазвичай створюються молодими людьми, у яких немає коштів для оплати інтернет-послуг. Характерний той факт, що в міру здешевлення інтернет-сервісів зменшується і питома кількість таких троянських програм.
«Дрібними злодюжками» також створюються троянські програми інших типів: крадуть реєстраційні дані і ключові файли різних програмних продуктів (часто - мережевих ігор), що використовують ресурси заражених комп'ютерів в інтересах свого «господаря» і т.п.
Кримінальний бізнес
Найбільш небезпечну категорію вірусописьменників становлять хакери-одинаки або групи хакерів, які свідомо чи несвідомо створюють шкідливі програми з єдиною метою: отримати чужі гроші (рекламуючи що-небудь або просто крадучи їх), ресурси зараженого комп'ютера (знову-таки, заради грошей - для обслуговування спам-бізнесу або організації DoS-атак з метою подальшого шантажу).Обслуговування рекламного та спам-бізнесу - один з основних видів діяльності таких хакерів. Для розсилки спаму ними створюються спеціалізовані троянські proxy-сервера, які потім впроваджуються в десятки тисяч комп'ютерів. Потім така мережа «зомбі-машин» надходить на чорний інтернет-ринок, де отримується спамерами. Для впровадження в операційну систему і подальшого оновлення примусової реклами створюються утиліти, що використовують відверто хакерські методи: непомітну інсталяцію у систему, різноманітні маскування (щоб утруднити видалення рекламного софта), протидія антивірусним програмам.
Другим видом діяльності подібних вірусописьменників є створення, розповсюдження та обслуговування троянських програм-шпигунів, спрямованих на крадіжку грошових коштів з персональних (а якщо пощастить - то й з корпоративних) "електронних гаманців» або з обслуговуваних через інтернет банківських рахунків. Троянські програми даного типу збирають інформацію про коди доступу до рахунків і пересилають її своєму «господареві».
Третім видом кримінальної діяльності цієї групи є інтернет-рекет, тобто організація масованої DoS-атаки на один або кілька інтернет-ресурсів з подальшим вимогою грошової винагороди за припинення атаки. Зазвичай під удар потрапляють інтернет-магазини, букмекерські контори - тобто компанії, бізнес яких прямо залежить від працездатності веб-сайту компанії.
Віруси, створені цією категорією «письменників», стають причиною численних вірусних епідемій, ініційованих для масового розповсюдження і установки описаних вище троянських компонент.
Небажане програмне забезпечення
Системи нав'язування електронної реклами, різні «дзвонилки» на платні номери, утиліти, періодично пропонують користувачеві відвідати ті чи інші платні веб-ресурси, інші типи небажаного програмного забезпечення - вони також вимагають технічної підтримки з боку програмістів-хакерів. Дана підтримка потрібна для реалізації механізмів скритного впровадження в систему, періодичного оновлення своїх компонент та протидії антивірусних програм.Очевидно, що для вирішення цих завдань в більшості випадків також використовується праця хакерів, оскільки перераховані завдання практично збігаються з функціоналом троянських програм різних типів.
Глава 2. Класифікація вірусів
2.1. Класичні віруси
Типи комп'ютерних вірусів розрізняються між собою за такими основними ознаками:середовище існування;
спосіб зараження.
Під «середовищем проживання» розуміються системні області комп'ютера, операційні системи або програми, в компоненти (файли) яких впроваджується код вірусу. Під «способом зараження» розуміються різні методи впровадження вірусного коду в заражає об'єкти.
Навколишнє середовище
По середовищі перебування віруси можна розділити на:
файлові;
завантажувальні;
макро;
скриптові.
Файлові віруси при своєму розмноженні тим або іншим способом використовують файлову систему який-небудь (або яких-небудь) ОС. Вони:
різними способами впроваджуються у виконувані файли (найбільш поширений тип вірусів);
створюють файли-двійники (компаньйони-віруси);
створюють свої копії в різних каталогах;
використовують особливості організації файлової системи (link-віруси).
Завантажувальні віруси записують себе або в завантажувальний сектор диска (boot-сектор), або в сектор, що містить системний завантажувач вінчестера (Master Boot Record), або змінюють покажчик на активний boot-сектор. Даний тип вірусів був достатньо поширений в 1990-х, але практично зник з переходом на 32-бітні операційні системи і відмовою від використання дискет як основного способу обміну інформацією. Теоретично можлива поява завантажувальних вірусів, що заражають CD-диски і USB-флешок, але на даний момент такі віруси не виявлені.
Багато табличні та графічні редактори, системи проектування, текстові процесори мають свої макро-мови для автоматизації виконання повторюваних дій. Ці макро-мови часто мають складну структуру і розвинений набір команд. Макро-віруси є програмами на макро-мовах, вмонтованих у такі системи обробки даних. Для свого розмноження віруси цього класу використовують можливості макро-мов і за їхньої допомоги переносять себе з одного зараженого файлу (документа або таблиці) в інші.
Спосіб зараження
Файлові віруси
За способом зараження файлів віруси діляться на:
перезаписуючий (overwriting);
паразитичні (parasitic);
віруси-компаньйони (companion);
віруси-посилання (link);
віруси, що заражають об'єктні модулі (OBJ);
віруси, що заражають бібліотеки компіляторів (LIB);
віруси, що заражають вихідні тексти програм.
Overwriting
Даний метод зараження є найбільш простим: вірус записує свій код замість коду заражає файли, знищуючи його вміст. Природно, що при цьому файл перестає працювати і не відновлюється. Такі віруси дуже швидко виявляють себе, тому що операційна система і додатки досить швидко перестають працювати.
Parasitic
До паразитичним відносяться всі файлові віруси, які при поширенні своїх копій обов'язково змінюють вміст файлів, залишаючи самі файли при цьому повністю або частково працездатними.
Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов (divpending), в конец файлов (appending) и в середину файлов (inserting). В свою очередь, внедрение вирусов в середину файлов происходит различными методами - путем переноса части файла в его конец или копирования своего кода в заведомо неиспользуемые данные файла (cavity-вирусы).
Внедрение вируса в начало файла.
Известны два способа внедрения паразитического файлового вируса в начало файла. Первый способ заключается в том, что вирус переписывает начало заражаемого файла в его конец, а сам копируется в освободившееся место. При заражении файла вторым способом вирус дописывает заражаемый файл к своему телу.
Таким образом, при запуске зараженного файла первым управление получает код вируса. При этом вирусы, чтобы сохранить работоспособность программы, либо лечат зараженный файл, повторно запускают его, ждут окончания его работы и снова записываются в его начало (иногда для этого используется временный файл, в который записывается обезвреженный файл), либо восстанавливают код программы в памяти компьютера и настраивают необходимые адреса в ее теле (т.е. дублируют работу ОС).
Внедрение вируса в конец файла.
Наиболее распространенным способом внедрения вируса в файл является дописывание вируса в его конец. При этом вирус изменяет начало файла таким образом, что первыми выполняемыми командами программы, содержащейся в файле, являются команды вируса.
Для того чтобы получить управление при старте файла, вирус корректирует стартовый адрес программы (адрес точки входа). Для этого вирус производит необходимые изменения в заголовке файла.
Внедрение вируса в середину файла.
Существует несколько методов внедрения вируса в середину файла. В наиболее простом из них вирус переносит часть файла в его конец или «раздвигает» файл и записывает свой код в освободившееся пространство. Этот способ во многом аналогичен методам, перечисленным выше. Некоторые вирусы при этом компрессируют переносимый блок файла так, что длина файла при заражении не изменяется.
Вторым является метод «cavity», при котором вирус записывается в заведомо неиспользуемые области файла. Вирус может быть скопирован в незадействованные области заголовок EXE-файла, в «дыры» между секциями EXE-файлов или в область текстовых сообщений популярных компиляторов. Существуют вирусы, заражающие только те файлы, которые содержат блоки, заполненные каким-либо постоянным байтом, при этом вирус записывает свой код вместо такого блока.
Кроме того, копирование вируса в середину файла может произойти в результате ошибки вируса, в этом случае файл может быть необратимо испорчен.
Вирусы без точки входа.
Отдельно следует отметить довольно незначительную группу вирусов, не имеющих «точки входа» (EPO-вирусы - Entry Point Obscuring viruses). К ним относятся вирусы, не изменяющие адрес точки старта в заголовке EXE-файлов. Такие вирусы записывают команду перехода на свой код в какое-либо место в середину файла и получают управление не непосредственно при запуске зараженного файла, а при вызове процедуры, содержащей код передачи управления на тело вируса. Причем выполняться эта процедура может крайне редко (например, при выводе сообщения о какой-либо специфической ошибке). В результате вирус может долгие годы «спать» внутри файла и выскочить на свободу только при некоторых ограниченных условиях.
Перед тем, как записать в середину файла команду перехода на свой код, вирусу необходимо выбрать «правильный» адрес в файле - иначе зараженный файл может оказаться испорченным. Известны несколько способов, с помощью которых вирусы определяют такие адреса внутри файлов, например, поиск в файле последовательности стандартного кода заголовков процедур языков программирования (C/Pascal), дизассемблирование кода файла или замена адресов импортируемых функций.
Companion.
К категории «companion» относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т.е. вирус.
К вирусам данного типа относятся те из них, которые при заражении переименовывают файл в какое-либо другое имя, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого файла. Например, файл NOTEPAD. EXE переименовывается в NOTEPAD. EXD, а вирус записывается под именем NOTEPAD. EXE. При запуске управление получает код вируса, который затем запускает оригинальный NOTEPAD.
Возможно существование и других типов вирусов-компаньонов, использующих иные оригинальные идеи или особенности других операционных систем. Например, PATH-компаньоны, которые размещают свои копии в основном катагоге Windows, используя тот факт, что этот каталог является первым в списке PATH, и файлы для запуска Windows в первую очередь будет искать именно в нем. Данными способом самозапуска пользуются также многие компьютерные черви и троянские программы.
Прочие способы заражения.
Существуют вирусы, которые никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям «специальные» имена, чтобы подтолкнуть пользователя на запуск своей копии - например, INSTALL. EXE или WINSTART. BAT.
Некоторые вирусы записывают свои копии в архивы (ARJ, ZIP, RAR). Другие записывают команду запуска зараженного файла в BAT-файлы.
Link-вирусы также не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.
При заражении дисков загрузочные вирусы «подставляют» свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус «заставляет» систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, но коду вируса.
Заражение дискет производится единственным известным способом - вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами - вирус записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска C:), либо модифицирует адрес активного boot-сектора в таблице разделов диска (Disk Partition Table), расположенной в MBR винчестера.
При инфицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска (например, в первый свободный). Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных).
Макро-вирусы.
Наибольшее распространение получили макро-вирусы для Microsoft Office (Word, Excel и PowerPoint), хранящих информацию в формате OLE2 (Object Linking and Embedding). Вирусы в прочих приложениях достаточно редки.
Физическое расположение вируса внутри файла MS Office зависит от его формата, который в случае продуктов Microsoft чрезвычайно сложен - каждый файл-документ Word, Office97 или таблица Excel представляют собой последовательность блоков данных (каждый из которых также имеет свой формат), объединенных между собой при помощи большого количества служебных данных.
При работе с документами и таблицами MS Office выполняет различные действия: открывает документ, сохраняет, печатает, закрывает и т.д. При этом MS Word, например, ищет и выполняет соответствующие «встроенные макросы» - при сохранении файла по команде File/Save вызывается макрос FileSave, при сохранении по команде File/SaveAs - FileSaveAs, при печати документов - FilePrint и т.д., если, конечно, таковые макросы определены.
Существует также несколько «автомакросов», автоматически вызываемых при различных условиях. Например, при открытии документа MS Word проверяет его на наличие макроса AutoOpen. Если такой макрос присутствует, то Word выполняет его. При закрытии документа Word выполняет макрос AutoClose, при запуске Word вызывается макрос AutoExec, при завершении работы - AutoExit, при создании нового документа - AutoNew. Автоматически (т.е. без участия пользователя) выполняются также макросы/функции, ассоциированные с какой-либо клавишей либо моментом времени или датой, т.е. MS Word/Excel вызывают макрос/функцию при нажатии на какую-либо конкретную клавишу (или комбинацию клавиш) либо при достижении какого-либо момента времени.
Макро-вирусы, поражающие файлы MS Office, как правило, пользуются одним из перечисленных выше приемов - в вирусе либо присутствует авто-макрос (авто-функция), либо переопределен один из стандартных системных макросов (ассоциированный с каким-либо пунктом меню), либо макрос вируса вызывается автоматически при нажатии на какую-либо клавишу или комбинацию клавиш. Получив управление макро-вирус переносит свой код в другие файлы, обычно в файлы, которые редактируются в данный момент. Реже макро вирусы самостоятельно ищут другие файлы на диске.
Скрипт-вирусы.
Следует отметить также скрипт-вирусы, являющиеся подгруппой файловых вирусов. Данные вирусы, написаны на различных скрипт-языках (VBS, JS, BAT, PHP и т.д.). Они либо заражают другие скрипт-программы (командные и служебные файлы MS Windows или Linux), либо являются частями многокомпонентных вирусов. Также, данные вирусы могут заражать файлы других форматов (например, HTML), если в них возможно выполнение скриптов.
Backdoor - троянские утилиты удаленного администрирования
Троянские программы этого класса являются утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.
Единственная особенность этих программ заставляет классифицировать их как вредные троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске «троянец» устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянца в системе. Более того, ссылка на «троянца» может отсутствовать в списке активных приложений. В результате «пользователь» этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.
Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т.п. - пораженные компьютеры оказываются открытыми для злоумышленных действий хакеров.
Таким образом, троянские программы данного типа являются одним из самых опасных видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий, присущих другим видам троянских программ.
Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают компьютерные черви. Отличает такие «троянцы» от червей тот факт, что они распространяются по сети не самопроизвольно (как черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.
Trojan-PSW - воровство паролей.
Данное семейство объединяет троянские программы, «ворующие» различную информацию с зараженного компьютера, обычно - системные пароли (PSW - Password-Stealing-Ware). При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к интернету) и отсылают ее по указанному в коде «троянца» электронному адресу или адресам.
Существуют PSW-троянцы, которые сообщают и другую информацию о зараженном компьютере, например, информацию о системе (размер памяти и дискового пространства, версия операционной системы), тип используемого почтового клиента, IP-адрес и т.п. Некоторые троянцы данного типа «воруют» регистрационную информацию к различному программному обеспечению, коды доступа к сетевым играм и прочее.
Trojan-AOL - семейство троянских программ, «ворующих» коды доступа к сети AOL (America Online). Выделены в особую группу по причине своей многочисленности.
Trojan-Clicker - интернет-кликеры.
Семейство троянских программ, основная функция которых - организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows).
У злоумышленника могут быть следующие цели для подобных действий:
увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы;
организация DoS-атаки (Denial of Service) на какой-либо сервер;
привлечение потенциальных жертв для заражения вирусами или троянскими программами.
Trojan-Downloader - доставка прочих вредоносных программ.
Троянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно с веб-страницы).
Trojan-Dropper - инсталляторы прочих вредоносных программ.
Троянские программы этого класса написаны в целях скрытной инсталляции других программ и практически всегда используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ.
Данные троянцы обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.
Обычно структура таких программ следующая:
«Основной код» выделяет из своего файла остальные компоненты (файл 1, файл 2,. .), записывает их на диск и открывает их (запускает на выполнение).
Обычно один (или более) компонентов являются троянскими программами, и как минимум один компонент является «обманкой»: программой-шуткой, игрой, картинкой или чем-то подобным. «Обманка» должна отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то «полезное», в то время как троянская компонента инсталлируется в систему.
В результате использования программ данного класса хакеры достигают двух целей:
скрытная инсталляция троянских программ и/или вирусов;
защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.
Trojan-Proxy - троянские прокси-сервера.
Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.
Trojan-Spy - шпионские программы.
Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.
Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.
Trojan - прочие троянские программы.
К данным троянцам относятся те из них, которые осуществляют прочие действия, попадающие под определение троянских программ, т.е. разрушение или злонамеренная модификация данных, нарушение работоспособности компьютера и прочее.
В данной категории также присутствуют «многоцелевые» троянские программы, например, те из них, которые одновременно шпионят за пользователем и предоставляют proxy-сервис удаленному злоумышленнику.
Rootkit - сокрытие присутствия в операционной системе.
Понятие rootkit пришло к нам из UNIX. Первоначально это понятие использовалось для обозначения набора инструментов, применяемых для получения прав root.
Так как инструменты типа rootkit на сегодняшний день «прижились» и на других ОС (в том числе, на Windows), то следует признать подобное определение rootkit морально устаревшим и не отвечающим реальному положению дел.
Таким образом, rootkit - программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.).
Для поведения Rootkit в классификации «Лаборатории Касперского» действуют правила поглощения: Rootkit - самое младшее поведение среди вредоносных программ. То есть, если Rootkit-программа имеет троянскую составляющую, то она детектируется как Trojan.
ArcBomb - «бомбы» в архивах.
Представляют собой архивы, специально оформленные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные - зависание или существенное замедление работы компьютера или заполнение диска большим количеством «пустых» данных. Особенно опасны «архивные бомбы» для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации - «архивная бомба» может просто остановить работу сервера.
Встречаются три типа подобных «бомб»: некорректный заголовок архива, повторяющиеся данные и одинаковые файлы в архиве.
Некорректный заголовок архива или испорченные данные в архиве могут привести к сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива.
Значительных размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой файл в архив небольшого размера (например, 5ГБ данных упаковываются в 200КБ RAR или в 480КБ ZIP-архив).
Огромное количество одинаковых файлов в архиве также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10100 одинаковых файлов в 30КБ RAR или 230КБ ZIP-архив).
Trojan-Notifier - оповещение об успешной атаке.
Троянцы данного типа предназначены для сообщения своему «хозяину» о зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т.п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением.
Данные троянские программы используются в многокомпонентных троянских наборах для извещения своего «хозяина» об успешной инсталляции троянских компонент в атакуемую систему.
Email-Worm - почтовые черви
К данной категории червей относятся те из них, которые для своего распространения используют электронную почту. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором - при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков - активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
использование сервисов MS Outlook;
использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
считывает адреса из адресной базы WAB;
сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
IM-Worm - черви, использующие интернет-пейджеры
Известные компьютерные черви данного типа используют единственный способ распространения - рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенный на каком-либо веб-сервере. Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.
IRC-Worm - черви в IRC-каналах.
У данного типа червей, как и у почтовых червей, существуют два способа распространения червя по IRC-каналам, повторяющие способы, описанные выше. Первый заключается в отсылке URL-ссылки на копию червя. Второй способ - отсылка зараженного файла какому-либо пользователю сети. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).
Net-Worm - прочие сетевые черви.
Существуют прочие способы заражения удаленных компьютеров, например:
копирование червя на сетевые ресурсы;
проникновение червя на компьютер через уязвимости в операционных системах и приложениях;
проникновение в сетевые ресурсы публичного использования;
паразитирование на других вредоносных программах.
Первый способ заключается в том, что червь ищет удаленные компьютеры и копирует себя в каталоги, открытые на чтение и запись (если такие обнаружены). При этом черви данного типа или перебирают доступные сетевые каталоги, используя функции операционной системы, и/или случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.
Для проникновения вторым способом черви ищут в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально оформленный сетевой пакет или запрос (эксплойт уязвимости), в результате чего код (или часть кода) червя проникает на компьютер-жертву. Если сетевой пакет содержит только часть кода червя, он затем скачивает основной файл и запускает его на исполнение.
Отдельную категорию составляют черви, использующие для своего распространения веб - и FTP-сервера. Заражение происходит в два этапа. Сначала червь проникает в компьютер-сервер и необходимым образом модифицирует служебные файлы сервера (например, статические веб-страницы). Затем червь «ждет» посетителей, которые запрашивают информацию с зараженного сервера (например, открывают зараженную веб-страницу), и таким образом проникает на другие компьютеры в сети.
Существуют сетевые черви, паразитирующие на других червях и/или троянских программах удаленного администрирования (бэкдорах). Данные черви используют тот факт, что многие бэкдоры позволяют по определенной команде скачивать указанный файл и запускать его на локальном диске. То же возможно с некоторыми червями, содержащими бэкдор-процедуры. Для заражения удаленных компьютеров данные черви ищут другие компьютеры в сети и посылают на них команду скачивания и запуска своей копии. Если атакуемый компьютер оказывается уже зараженным «подходящей» троянской программой, червь проникает в него и активизирует свою копию.
Следует отметить, что многие компьютерные черви используют более одного способа распространения своих копий по сетям, использующие два и более методов атаки удаленных компьютеров.
P2P-Worm - черви для файлообменных сетей.
Механизм работы большинства подобных червей достаточно прост - для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя - при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера.
Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно - при этом червь предлагает для скачивания свою копию.
Зовнішні прояви діяльності вірусів вельми різноманітні. Одні віруси відносно безпечні для даних і діють тільки на нерви користувачеві. Вони можуть, наприклад, викликати осипання символів на екрані, виводити на екран сторонні написи, відтворювати сторонні звуки через динамік комп'ютера. Інші - трохи змінюють дані на диску комп'ютера. Цей випадок найбільш небезпечний. Якщо користувач вчасно не виявить вірус, і той непомітно змінить файли документів або баз даних, помилка проявиться пізніше у вигляді неправильних розрахунків або спотвореного балансу. Зустрічається вірус, який виконує компресію заражають файлів. Він стискає файли без дозволу користувача.
Захист інформації залежить від того, в якій стадії вона знаходиться: створення, зберігання, передача по локальних мережах, передача по глобальній мережі Інтернет і т.д., тому це дуже складний і об'ємний питання, що вимагає окремого вивчення.
Існує кілька основних методів пошуку вірусів, які застосовуються антивірусними програмами: сканування; евристичний аналіз; виявлення змін; резидентні монітори. Антивіруси можуть реалізовувати всі перераховані вище методики, або тільки деякі з них.
Навіть, якщо загрози вірусів начебто немає, необхідно заздалегідь провести заходи антивірусного захисту, в тому числі організаційного характеру.
Для успішної боротьби з вірусами можна скористатися різними програмними продуктами вітчизняного виробництва, деякі з яких визнаються кращими в світі.
2. Коварт. Windows NT Server 4. Навчальний курс. Вид-во Пітер. 1999.448 стор
3. Комп'ютерні віруси, види і класифікація / / www. informatika. ru
4. Косарєв В. Комп'ютерні системи та мережі. Навчальний посібник. Вид-во Фін. і стат. 1999.464 стор
5. Крейнак Д. Інтернет. Енциклопедія (2 вид). Вид-во Пітер. 2000.528 стор
6. Люцарев В. Безпека комп'ютерних мереж на основі Windows NT (+ CD). Из-во рус. ред. 1998.304 стор
7. Майназі М. Введення в Windows NT Server 4. Вид-во ЛОРІ. 1999.550 стор
8. Машурцев В. Робота пользов. і сист. адм. з робочою станцією Windows NT. Вид-во Рис. 1999.216 стор
9. Медведовський І. Атака на Internet. Вид-во ДМК. 1999.334 стор
10. Муртазін Е. Підручник. Internet. Вид-во ДМК. 1999.416 стор
11. Соколов А. Методи інформаційного захисту об'єктів і комп'ютерних мереж. Вид-во Полігон. 2000.272 стор
12. Тайлі Е. Безпека персонального комп'ютера. Вид-во ПОПУРРИ. 1997.480 стор
13. Фігурне А.Е. IBM-РС для користувача. М., 1998
14. Штребе М. Безпека мереж NT 4 (2 томи + CD-ROM). З-во СВІТ. 1999.734 стор
віруси, що заражають об'єктні модулі (OBJ);
віруси, що заражають бібліотеки компіляторів (LIB);
віруси, що заражають вихідні тексти програм.
Overwriting
Даний метод зараження є найбільш простим: вірус записує свій код замість коду заражає файли, знищуючи його вміст. Природно, що при цьому файл перестає працювати і не відновлюється. Такі віруси дуже швидко виявляють себе, тому що операційна система і додатки досить швидко перестають працювати.
Parasitic
До паразитичним відносяться всі файлові віруси, які при поширенні своїх копій обов'язково змінюють вміст файлів, залишаючи самі файли при цьому повністю або частково працездатними.
Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов (divpending), в конец файлов (appending) и в середину файлов (inserting). В свою очередь, внедрение вирусов в середину файлов происходит различными методами - путем переноса части файла в его конец или копирования своего кода в заведомо неиспользуемые данные файла (cavity-вирусы).
Внедрение вируса в начало файла.
Известны два способа внедрения паразитического файлового вируса в начало файла. Первый способ заключается в том, что вирус переписывает начало заражаемого файла в его конец, а сам копируется в освободившееся место. При заражении файла вторым способом вирус дописывает заражаемый файл к своему телу.
Таким образом, при запуске зараженного файла первым управление получает код вируса. При этом вирусы, чтобы сохранить работоспособность программы, либо лечат зараженный файл, повторно запускают его, ждут окончания его работы и снова записываются в его начало (иногда для этого используется временный файл, в который записывается обезвреженный файл), либо восстанавливают код программы в памяти компьютера и настраивают необходимые адреса в ее теле (т.е. дублируют работу ОС).
Внедрение вируса в конец файла.
Наиболее распространенным способом внедрения вируса в файл является дописывание вируса в его конец. При этом вирус изменяет начало файла таким образом, что первыми выполняемыми командами программы, содержащейся в файле, являются команды вируса.
Для того чтобы получить управление при старте файла, вирус корректирует стартовый адрес программы (адрес точки входа). Для этого вирус производит необходимые изменения в заголовке файла.
Внедрение вируса в середину файла.
Существует несколько методов внедрения вируса в середину файла. В наиболее простом из них вирус переносит часть файла в его конец или «раздвигает» файл и записывает свой код в освободившееся пространство. Этот способ во многом аналогичен методам, перечисленным выше. Некоторые вирусы при этом компрессируют переносимый блок файла так, что длина файла при заражении не изменяется.
Вторым является метод «cavity», при котором вирус записывается в заведомо неиспользуемые области файла. Вирус может быть скопирован в незадействованные области заголовок EXE-файла, в «дыры» между секциями EXE-файлов или в область текстовых сообщений популярных компиляторов. Существуют вирусы, заражающие только те файлы, которые содержат блоки, заполненные каким-либо постоянным байтом, при этом вирус записывает свой код вместо такого блока.
Кроме того, копирование вируса в середину файла может произойти в результате ошибки вируса, в этом случае файл может быть необратимо испорчен.
Вирусы без точки входа.
Отдельно следует отметить довольно незначительную группу вирусов, не имеющих «точки входа» (EPO-вирусы - Entry Point Obscuring viruses). К ним относятся вирусы, не изменяющие адрес точки старта в заголовке EXE-файлов. Такие вирусы записывают команду перехода на свой код в какое-либо место в середину файла и получают управление не непосредственно при запуске зараженного файла, а при вызове процедуры, содержащей код передачи управления на тело вируса. Причем выполняться эта процедура может крайне редко (например, при выводе сообщения о какой-либо специфической ошибке). В результате вирус может долгие годы «спать» внутри файла и выскочить на свободу только при некоторых ограниченных условиях.
Перед тем, как записать в середину файла команду перехода на свой код, вирусу необходимо выбрать «правильный» адрес в файле - иначе зараженный файл может оказаться испорченным. Известны несколько способов, с помощью которых вирусы определяют такие адреса внутри файлов, например, поиск в файле последовательности стандартного кода заголовков процедур языков программирования (C/Pascal), дизассемблирование кода файла или замена адресов импортируемых функций.
Companion.
К категории «companion» относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т.е. вирус.
К вирусам данного типа относятся те из них, которые при заражении переименовывают файл в какое-либо другое имя, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого файла. Например, файл NOTEPAD. EXE переименовывается в NOTEPAD. EXD, а вирус записывается под именем NOTEPAD. EXE. При запуске управление получает код вируса, который затем запускает оригинальный NOTEPAD.
Возможно существование и других типов вирусов-компаньонов, использующих иные оригинальные идеи или особенности других операционных систем. Например, PATH-компаньоны, которые размещают свои копии в основном катагоге Windows, используя тот факт, что этот каталог является первым в списке PATH, и файлы для запуска Windows в первую очередь будет искать именно в нем. Данными способом самозапуска пользуются также многие компьютерные черви и троянские программы.
Прочие способы заражения.
Существуют вирусы, которые никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям «специальные» имена, чтобы подтолкнуть пользователя на запуск своей копии - например, INSTALL. EXE или WINSTART. BAT.
Некоторые вирусы записывают свои копии в архивы (ARJ, ZIP, RAR). Другие записывают команду запуска зараженного файла в BAT-файлы.
Link-вирусы также не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.
2.2. Завантажувальні віруси
Известные на текущий момент загрузочные вирусы заражают загрузочный (boot) сектор гибкого диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера - после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает на него управление.При заражении дисков загрузочные вирусы «подставляют» свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус «заставляет» систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, но коду вируса.
Заражение дискет производится единственным известным способом - вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами - вирус записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска C:), либо модифицирует адрес активного boot-сектора в таблице разделов диска (Disk Partition Table), расположенной в MBR винчестера.
При инфицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска (например, в первый свободный). Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных).
Макро-вирусы.
Наибольшее распространение получили макро-вирусы для Microsoft Office (Word, Excel и PowerPoint), хранящих информацию в формате OLE2 (Object Linking and Embedding). Вирусы в прочих приложениях достаточно редки.
Физическое расположение вируса внутри файла MS Office зависит от его формата, который в случае продуктов Microsoft чрезвычайно сложен - каждый файл-документ Word, Office97 или таблица Excel представляют собой последовательность блоков данных (каждый из которых также имеет свой формат), объединенных между собой при помощи большого количества служебных данных.
При работе с документами и таблицами MS Office выполняет различные действия: открывает документ, сохраняет, печатает, закрывает и т.д. При этом MS Word, например, ищет и выполняет соответствующие «встроенные макросы» - при сохранении файла по команде File/Save вызывается макрос FileSave, при сохранении по команде File/SaveAs - FileSaveAs, при печати документов - FilePrint и т.д., если, конечно, таковые макросы определены.
Существует также несколько «автомакросов», автоматически вызываемых при различных условиях. Например, при открытии документа MS Word проверяет его на наличие макроса AutoOpen. Если такой макрос присутствует, то Word выполняет его. При закрытии документа Word выполняет макрос AutoClose, при запуске Word вызывается макрос AutoExec, при завершении работы - AutoExit, при создании нового документа - AutoNew. Автоматически (т.е. без участия пользователя) выполняются также макросы/функции, ассоциированные с какой-либо клавишей либо моментом времени или датой, т.е. MS Word/Excel вызывают макрос/функцию при нажатии на какую-либо конкретную клавишу (или комбинацию клавиш) либо при достижении какого-либо момента времени.
Макро-вирусы, поражающие файлы MS Office, как правило, пользуются одним из перечисленных выше приемов - в вирусе либо присутствует авто-макрос (авто-функция), либо переопределен один из стандартных системных макросов (ассоциированный с каким-либо пунктом меню), либо макрос вируса вызывается автоматически при нажатии на какую-либо клавишу или комбинацию клавиш. Получив управление макро-вирус переносит свой код в другие файлы, обычно в файлы, которые редактируются в данный момент. Реже макро вирусы самостоятельно ищут другие файлы на диске.
Скрипт-вирусы.
Следует отметить также скрипт-вирусы, являющиеся подгруппой файловых вирусов. Данные вирусы, написаны на различных скрипт-языках (VBS, JS, BAT, PHP и т.д.). Они либо заражают другие скрипт-программы (командные и служебные файлы MS Windows или Linux), либо являются частями многокомпонентных вирусов. Также, данные вирусы могут заражать файлы других форматов (например, HTML), если в них возможно выполнение скриптов.
2.3. Троянские программы
Троянские программы различаются между собой по тем действиям, которые они производят на зараженном компьютере.Backdoor - троянские утилиты удаленного администрирования
Троянские программы этого класса являются утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.
Единственная особенность этих программ заставляет классифицировать их как вредные троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске «троянец» устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянца в системе. Более того, ссылка на «троянца» может отсутствовать в списке активных приложений. В результате «пользователь» этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.
Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т.п. - пораженные компьютеры оказываются открытыми для злоумышленных действий хакеров.
Таким образом, троянские программы данного типа являются одним из самых опасных видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий, присущих другим видам троянских программ.
Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают компьютерные черви. Отличает такие «троянцы» от червей тот факт, что они распространяются по сети не самопроизвольно (как черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.
Trojan-PSW - воровство паролей.
Данное семейство объединяет троянские программы, «ворующие» различную информацию с зараженного компьютера, обычно - системные пароли (PSW - Password-Stealing-Ware). При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к интернету) и отсылают ее по указанному в коде «троянца» электронному адресу или адресам.
Существуют PSW-троянцы, которые сообщают и другую информацию о зараженном компьютере, например, информацию о системе (размер памяти и дискового пространства, версия операционной системы), тип используемого почтового клиента, IP-адрес и т.п. Некоторые троянцы данного типа «воруют» регистрационную информацию к различному программному обеспечению, коды доступа к сетевым играм и прочее.
Trojan-AOL - семейство троянских программ, «ворующих» коды доступа к сети AOL (America Online). Выделены в особую группу по причине своей многочисленности.
Trojan-Clicker - интернет-кликеры.
Семейство троянских программ, основная функция которых - организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows).
У злоумышленника могут быть следующие цели для подобных действий:
увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы;
организация DoS-атаки (Denial of Service) на какой-либо сервер;
привлечение потенциальных жертв для заражения вирусами или троянскими программами.
Trojan-Downloader - доставка прочих вредоносных программ.
Троянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно с веб-страницы).
Trojan-Dropper - инсталляторы прочих вредоносных программ.
Троянские программы этого класса написаны в целях скрытной инсталляции других программ и практически всегда используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ.
Данные троянцы обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.
Обычно структура таких программ следующая:
| Основной код |
| Файл 1 |
| Файл 2 |
| ... |
Обычно один (или более) компонентов являются троянскими программами, и как минимум один компонент является «обманкой»: программой-шуткой, игрой, картинкой или чем-то подобным. «Обманка» должна отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то «полезное», в то время как троянская компонента инсталлируется в систему.
В результате использования программ данного класса хакеры достигают двух целей:
скрытная инсталляция троянских программ и/или вирусов;
защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.
Trojan-Proxy - троянские прокси-сервера.
Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.
Trojan-Spy - шпионские программы.
Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.
Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.
Trojan - прочие троянские программы.
К данным троянцам относятся те из них, которые осуществляют прочие действия, попадающие под определение троянских программ, т.е. разрушение или злонамеренная модификация данных, нарушение работоспособности компьютера и прочее.
В данной категории также присутствуют «многоцелевые» троянские программы, например, те из них, которые одновременно шпионят за пользователем и предоставляют proxy-сервис удаленному злоумышленнику.
Rootkit - сокрытие присутствия в операционной системе.
Понятие rootkit пришло к нам из UNIX. Первоначально это понятие использовалось для обозначения набора инструментов, применяемых для получения прав root.
Так как инструменты типа rootkit на сегодняшний день «прижились» и на других ОС (в том числе, на Windows), то следует признать подобное определение rootkit морально устаревшим и не отвечающим реальному положению дел.
Таким образом, rootkit - программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.).
Для поведения Rootkit в классификации «Лаборатории Касперского» действуют правила поглощения: Rootkit - самое младшее поведение среди вредоносных программ. То есть, если Rootkit-программа имеет троянскую составляющую, то она детектируется как Trojan.
ArcBomb - «бомбы» в архивах.
Представляют собой архивы, специально оформленные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные - зависание или существенное замедление работы компьютера или заполнение диска большим количеством «пустых» данных. Особенно опасны «архивные бомбы» для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации - «архивная бомба» может просто остановить работу сервера.
Встречаются три типа подобных «бомб»: некорректный заголовок архива, повторяющиеся данные и одинаковые файлы в архиве.
Некорректный заголовок архива или испорченные данные в архиве могут привести к сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива.
Значительных размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой файл в архив небольшого размера (например, 5ГБ данных упаковываются в 200КБ RAR или в 480КБ ZIP-архив).
Огромное количество одинаковых файлов в архиве также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10100 одинаковых файлов в 30КБ RAR или 230КБ ZIP-архив).
Trojan-Notifier - оповещение об успешной атаке.
Троянцы данного типа предназначены для сообщения своему «хозяину» о зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т.п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением.
Данные троянские программы используются в многокомпонентных троянских наборах для извещения своего «хозяина» об успешной инсталляции троянских компонент в атакуемую систему.
2.4. Сетевые черви
Основным признаком, по которому типы червей различаются между собой, является способ распространения червя - каким способом он передает свою копию на удаленные компьютеры. Другими признаками различия КЧ между собой являются способы запуска копии червя на заражаемом компьютере, методы внедрения в систему, а также полиморфизм, «стелс» и прочие характеристики, присущие и другим типам вредоносного программного обеспечения (вирусам и троянским программам).Email-Worm - почтовые черви
К данной категории червей относятся те из них, которые для своего распространения используют электронную почту. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором - при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков - активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
использование сервисов MS Outlook;
использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
считывает адреса из адресной базы WAB;
сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
IM-Worm - черви, использующие интернет-пейджеры
Известные компьютерные черви данного типа используют единственный способ распространения - рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенный на каком-либо веб-сервере. Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.
IRC-Worm - черви в IRC-каналах.
У данного типа червей, как и у почтовых червей, существуют два способа распространения червя по IRC-каналам, повторяющие способы, описанные выше. Первый заключается в отсылке URL-ссылки на копию червя. Второй способ - отсылка зараженного файла какому-либо пользователю сети. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).
Net-Worm - прочие сетевые черви.
Существуют прочие способы заражения удаленных компьютеров, например:
копирование червя на сетевые ресурсы;
проникновение червя на компьютер через уязвимости в операционных системах и приложениях;
проникновение в сетевые ресурсы публичного использования;
паразитирование на других вредоносных программах.
Первый способ заключается в том, что червь ищет удаленные компьютеры и копирует себя в каталоги, открытые на чтение и запись (если такие обнаружены). При этом черви данного типа или перебирают доступные сетевые каталоги, используя функции операционной системы, и/или случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.
Для проникновения вторым способом черви ищут в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально оформленный сетевой пакет или запрос (эксплойт уязвимости), в результате чего код (или часть кода) червя проникает на компьютер-жертву. Если сетевой пакет содержит только часть кода червя, он затем скачивает основной файл и запускает его на исполнение.
Отдельную категорию составляют черви, использующие для своего распространения веб - и FTP-сервера. Заражение происходит в два этапа. Сначала червь проникает в компьютер-сервер и необходимым образом модифицирует служебные файлы сервера (например, статические веб-страницы). Затем червь «ждет» посетителей, которые запрашивают информацию с зараженного сервера (например, открывают зараженную веб-страницу), и таким образом проникает на другие компьютеры в сети.
Существуют сетевые черви, паразитирующие на других червях и/или троянских программах удаленного администрирования (бэкдорах). Данные черви используют тот факт, что многие бэкдоры позволяют по определенной команде скачивать указанный файл и запускать его на локальном диске. То же возможно с некоторыми червями, содержащими бэкдор-процедуры. Для заражения удаленных компьютеров данные черви ищут другие компьютеры в сети и посылают на них команду скачивания и запуска своей копии. Если атакуемый компьютер оказывается уже зараженным «подходящей» троянской программой, червь проникает в него и активизирует свою копию.
Следует отметить, что многие компьютерные черви используют более одного способа распространения своих копий по сетям, использующие два и более методов атаки удаленных компьютеров.
P2P-Worm - черви для файлообменных сетей.
Механизм работы большинства подобных червей достаточно прост - для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя - при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера.
Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно - при этом червь предлагает для скачивания свою копию.
Висновок
Чтобы эффективно бороться с вирусами, необходимо иметь представление о «привычках» вирусов и ориентироваться в методах противодействия вирусам. Вірусом називається спеціально створена програма, здатна самостійно поширюватися в комп'ютерному середовищі. Якщо вірус потрапив в комп'ютер разом з однією з програм або з файлом документа, то через деякий час інші програми або файли на цьому комп'ютері будуть заражені. Якщо комп'ютер підключений до локальної або глобальної мережі, то вірус може поширитися і далі, на інші комп'ютери. Автори вірусних програм створюють їх з різних спонукань, проте результати роботи вірусів виявляються, як правило, схожими: інфекції псують програми і документи, що знаходяться на комп'ютері, що часто призводить до їх втрати. Деякі віруси здатні знищувати взагалі всю інформацію на дисках комп'ютерів, вартість якої може в десятки і сотні разів перевищувати вартість самого комп'ютера.Зовнішні прояви діяльності вірусів вельми різноманітні. Одні віруси відносно безпечні для даних і діють тільки на нерви користувачеві. Вони можуть, наприклад, викликати осипання символів на екрані, виводити на екран сторонні написи, відтворювати сторонні звуки через динамік комп'ютера. Інші - трохи змінюють дані на диску комп'ютера. Цей випадок найбільш небезпечний. Якщо користувач вчасно не виявить вірус, і той непомітно змінить файли документів або баз даних, помилка проявиться пізніше у вигляді неправильних розрахунків або спотвореного балансу. Зустрічається вірус, який виконує компресію заражають файлів. Він стискає файли без дозволу користувача.
Захист інформації залежить від того, в якій стадії вона знаходиться: створення, зберігання, передача по локальних мережах, передача по глобальній мережі Інтернет і т.д., тому це дуже складний і об'ємний питання, що вимагає окремого вивчення.
Існує кілька основних методів пошуку вірусів, які застосовуються антивірусними програмами: сканування; евристичний аналіз; виявлення змін; резидентні монітори. Антивіруси можуть реалізовувати всі перераховані вище методики, або тільки деякі з них.
Навіть, якщо загрози вірусів начебто немає, необхідно заздалегідь провести заходи антивірусного захисту, в тому числі організаційного характеру.
Для успішної боротьби з вірусами можна скористатися різними програмними продуктами вітчизняного виробництва, деякі з яких визнаються кращими в світі.
Список літератури
1. Звєрєв В.С. Інформатика: Навчальний посібник для студентів вузів. Астрахань, 20032. Коварт. Windows NT Server 4. Навчальний курс. Вид-во Пітер. 1999.448 стор
3. Комп'ютерні віруси, види і класифікація / / www. informatika. ru
4. Косарєв В. Комп'ютерні системи та мережі. Навчальний посібник. Вид-во Фін. і стат. 1999.464 стор
5. Крейнак Д. Інтернет. Енциклопедія (2 вид). Вид-во Пітер. 2000.528 стор
6. Люцарев В. Безпека комп'ютерних мереж на основі Windows NT (+ CD). Из-во рус. ред. 1998.304 стор
7. Майназі М. Введення в Windows NT Server 4. Вид-во ЛОРІ. 1999.550 стор
8. Машурцев В. Робота пользов. і сист. адм. з робочою станцією Windows NT. Вид-во Рис. 1999.216 стор
9. Медведовський І. Атака на Internet. Вид-во ДМК. 1999.334 стор
10. Муртазін Е. Підручник. Internet. Вид-во ДМК. 1999.416 стор
11. Соколов А. Методи інформаційного захисту об'єктів і комп'ютерних мереж. Вид-во Полігон. 2000.272 стор
12. Тайлі Е. Безпека персонального комп'ютера. Вид-во ПОПУРРИ. 1997.480 стор
13. Фігурне А.Е. IBM-РС для користувача. М., 1998
14. Штребе М. Безпека мереж NT 4 (2 томи + CD-ROM). З-во СВІТ. 1999.734 стор