Ім'я файлу: комп віруси_основа.docx
Розширення: docx
Розмір: 103кб.
Дата: 10.11.2021
скачати
Пов'язані файли:
комп віруси.docx


ЗМІСТ


Вступ 3

1. Комп'ютерні віруси 4

1.1 Файлові віруси 5

1.2 Завантажувальні віруси 8

1.3 Макровіруси 11

1.4 Скриптові віруси 13

1.5 Мережні хробаки 15

1.6 «Троянські коні» 16

1.6.1 Класифікація «троянських коней» 16

1.6.2 Шпигунські троянські програми 17

1.6.3 Троянські інсталятори 18

Висновки 20

Використана література 21



Вступ


Як відомо, в англомовній літературі для позначення продукції, пов'язаної з інформатикою, широко використовуються терміни "Hard Ware" (жорсткий продукт, технічні засоби, комп'ютери) та "Soft Ware" (м'який продукт, програми, програмне забезпечення). З масовим поширенням персональних комп'ютерів (ПК) з'явився новий термін "Bad Ware" (поганий продукт). До останнього відносять в першу чергу комп'ютерні віруси, троянських коней та черв'яків.

Далі основну увагу присвятимо комп'ютерним вірусам. Ми розглянемо, що таке комп'ютерні віруси, як вони себе проявляють і якої шкоди можуть заподіяти, наведемо декілька їх класичних і сучасних прикладів і, нарешті, обговоримо засоби боротьби з ними. Для поглибленого вивчення цих питань можна використати монографію відомого київського вірусолога М.Безрукова "Компьютерные вирусы".

Відносно двох останніх видів "поганого продукту" зауважимо таке.

Комп'ютерні троянські коні, як і їх міфічні попередники, маскують свої дії під виглядом благопристойної, безневинної продукції, завдаючи болісні, руйнівні удари по вашій інформації. В той же час функцій розмноження, зараження інших програм, на відміну від вірусів, троянські коні не мають. Їм часто присвоюються точні (або дуже схожі) імена широко відомих комп'ютерних програм. Свого часу троянські коні набули такого поширення, що солідні комп'ютерні журнали щомісяця друкували їх довгі списки.

Комп'ютерні черв'яки являють собою програми, які призначені для проникнення через інформаційні мережі до даних, що зберігаються в інших фірмах, установах тощо. Зрозуміло, що робиться це з корисливих міркувань.

Відзначимо також, що створення та розповсюдження вірусів, троянських коней та черв'яків, незважаючи на мотиви цього, є, безумовно, шкідливими для суспільства діями, що завдають значних матеріальних збитків. Ось чому у деяких країнах ці дії розглядаються як карний злочин і переслідуються законом.

1. Комп'ютерні віруси


Свого часу серед руйнівних програмних засобів саме комп'ютерні віруси набули найбільшого розповсюдження, тому вірусами називають будь-яке шкідливе про­грамне забезпечення, несанкціоновано впроваджене в систему. Так само і від антивірусних засобів часто очікують захисту не лише від вірусів, а й від руйнівних програмних засобів інших видів; інколи такі сподівання виправдовуються, а інко­ли — ні. Насправді, часто мова йде не про вірус, а про «троянського коня», хроба­ка чи навіть експлойт, який хтось впровадив у систему.

Є різні підходи до визначення комп'ютерних вірусів. Ми зазначимо дві го­ловні властивості, характерні саме для вірусів. Перша — це їх здатність самостій­но відтворюватися, тобто розмножуватися. У програмний код вірусу закладено функції копіювання самого себе. Друга — це спосіб, у який вірус потрапляє до системи і примушує користувача запустити його. Вірус використовує як носій ін­ший програмний код, який він модифікує таким чином, щоб впровадити в нього свою копію (подібно звичайним вірусам, які нездатні існувати самостійно трива­лий час — їм потрібні клітини іншого живого організму). У результаті замість необхідного користувачу програмного коду виконується код вірусу.

Фактично, користувач непомітно для себе запускає на виконання програмний код вірусу. Отже, вірус діє в системі з повноваженнями того процесу, в програм­ний код якого його впроваджено, і з повноваженнями того користувача, що цей процес запустив. Якщо система є багатокористувацькою і підтримує розмежуван­ня доступу, то наслідки дії вірусу будуть різними залежно від того, хто саме його запустив. Більш руйнівних наслідків слід очікувати, якщо вірус було запущено адміністратором. Це, до речі, є аргументом на користь того, що навіть на ком­п'ютері, де працює лише один користувач, не слід виконувати повсякденні дії, ко­ристуючись обліковим записом адміністратора. На жаль, у деяких ОС, орієнто­ваних на персональне використання (наприклад, Windows ХР Home Edition), без прав адміністратора працювати іноді дуже складно, що можна вважати помилкою розробників у реалізації політики безпеки системи.

Комп'ютерні віруси розрізняють за такими ознаками.

♦ За середовищем існування (системні області комп'ютера, ОС, прикладні про­грами, до певних компонентів яких впроваджують код вірусу):

  • файлові віруси;

  • завантажувальні віруси;

  • макровіруси;

  • скриптові віруси.

♦ За способом зараження (різні методи впровадження вірусного коду в об'єкти, які він заражає; залежно від середовища існування віруси використовують різні способи зараження, тому універсальної класифікації за цією ознакою немає).

Віруси також класифікують (або надають їм додаткових ознак) за тими тех­нологіями, які вони використовують для ускладнення їх виявлення і ліквідацій

1.1 Файлові віруси


Файлові віруси для свого розповсюдження використовують файлову систему. Найчастіше віруси цього типу як носій застосовують виконувані файли. За спо­собом зараження їх поділяють на віруси, що перезаписують(Overwriting), іпара­зитичні віруси (Parasitic). Оскільки перші замінюють собою оригінальний файл, знищуючи його, то в результаті їхньої діяльності прикладні програми й операційна система дуже швидко перестають функціонувати. Другі модифікують оригінале ний файл, зберігаючи його функціональність. Файлові віруси цього типу най­поширеніші, тому їх згодом буде розглянуто детальніше. Є також компаньйон-віруси,які створюють файли-двійники, а також link-віруси,що використовують особливості організації файлової системи.

Крім виконуваних файлів віруси заражають об'єктні модулі (OBJ), бібліотеки компіляторів (LIB), інсталяційні пакети і вихідні тексти програм. Є віруси, які записують свої копії в архіви (ARJ, ZIP, RAR), а є такі, що для розповсюдження копіюють свій код у певні каталоги на дисках, сподіваючись на те, що користувач колись запустить їх (для цього файлам дають спеціальні імена, на кшталт іп-stall.exe чи winstart.bat), що є типовим прийомом «троянських коней».

Варто окремо згадати один із прийомів, який використовують деякі віруси-компаньйони. Вони розміщують свої копії з іменами, тотожними іменам файлів, що часто використовують, у каталозі, який є першим у списку змінної оточення PATH. Якщо користувач спробує запустити програму, викликавши її з командного рядка, то буде запущено ту програму, яку операційна система знайде першою у списку PATH. Наприклад, у системі Windows із файлів, що мають однакові іме­на, першим (це залежить від настроювань конкретної системи) буде знайдено файл в основному каталозі (зазвичай C:\Windows). Слід зазначити, що таким способом самозапуску користуються також численні мережні хробаки і «троянські коні». Ось чому в разі використання командного рядка краще задавати повний шлях до бажаної програми, а під час настроювання посилань, ярликів на робочо­му столі, створення командних файлів це є обов'язковою умовою.

Тепер детальніше розглянемо, як діють паразитичні віруси. їхньою типовою оз­накою є те, що вони обов'язково змінюють уміст файлів, залишаючи останні пов­ністю або частково роботоздатними.

Свого часу їх поділяли на ехе-та сот-віруси,відповідно до двох форматів ви­конуваних файлів, що були в MS-DOS. Тепер такий розподіл неактуальний. За­раз характерною ознакою паразитичних вірусів є те, під керуванням якої опера­ційної системи вони можуть функціонувати.

Переважна більшість сучасних вірусів функціонують на найпоширенішій плат­формі — Microsoft Windows. Деякі можуть розповсюджуватися лише на окремих версіях цієї системи, інші — на різних версіях Windows. Але це не є ознакою «беззахисності» цієї ОС перед вірусами. Щойно будь-яка «альтернативна* ОС (наприклад, Linux) набувала помітного поширення, для неї теж з'являлися свої віруси, причому в наш час кількість вірусних інцидентів приблизно пропорційна складовій ринку, яку займає та чи інша ОС. Крім поширеності ОС, на створення вірусів впливає наявність документації та інструментів розроблення системних програм, а на розповсюдження вірусів і наслідки від їх атак — ще й кваліфікація користувачі» відповідної ОС.

Сучасні ОС підтримують кілька альтернативних форматів виконуваних фай­лів. Ці доволі складні формати надають широкі можливості для вірусів, які впроваджують свій код без порушення функціональності програми. Є віруси, що записують себе на початку файлів (Prepending), у їх кінець (Appending) і в сере­дину (Inserting). Впровадження вірусів у середину файлів також відбувається у різні способи — перенесенням частини файлу в його кінець або копіюванням сво­го коду в ті частини файлу, що не використовуються (Cavity-віруси). Основні способи зараження файлів вірусами показано на рис. 6.1. Докладніше про це мож­на прочитати у Вірусній енциклопедії «Лабораторії Касперського».



Рис. 6.1. Основні способи зараження файлу вірусом: a — нормальне виконання незараженого файлу; б — програмний код вірусу розташовано на початку файлу, сам файл дописано в кінець вірусу (операційна система передає керування безпосередньо вірусу, а той після виконання своїх функцій передає керування файлу); в — програмний код вірусу дописано в кінець файлу (вірус коригує точку входження програми в заголовку оригінального файлу, щоб першим отримати керування); г — програмний код вірусу розташовано всередині оригінального файлу (вірус коригує точку входження програми, щоб першим отримати керування, або (на рисунку не показано) розміщує перехід на свій код будь-де у програмі, щоб отримати керування в певний момент)

Після того як вірус отримує керування, він виконує певні дії та передає керу­вання програмі-носію. На цьому етапі вірус звичайно не здійснює руйнівних дій, а лише вживає заходів для свого розповсюдження (наприклад, «заражає» інші файли, тобто вбудовує в них свій код) і для отримання керування в подальшому (для чого впроваджує програмну закладку, за старою термінологією MS-DOS -резидентну частину). Часто вірус діє так швидко, що на тлі звичайної процедури запуску програми жоден користувач не зможе його помітити, навіть якщо кон­тролюватиме час запуску із секундоміром.

1.2 Завантажувальні віруси


Завантажувальні, або бутові (англ. boot — початкове завантаження, специфічний комп'ютерний термін, скорочення від Bootstrap Loader — програма початкового завантаження), віруси активуються у момент завантаження системи. Для цього їм потрібно розташувати частину свого коду в службових структурах носія, з яко­го відбувається завантаження — жорсткого диска або дискети. Зараження дискети здійснюється записуванням коду вірусу замість оригінального коду boot-сектора дискети. Зараження жорсткого диска відбувається в один із трьох способів: вірус записує себе замість коду MBR (Master Boot Record — головний завантажуваль­ний запис, таблиця у першому секторі завантажувального диска) чи замість коду boot-сектора завантажувального диска (у Windows — це, як правило, диск С) або модифікує адресу активного boot-сектора в таблиці розділів диска (Disk Partition Table), що знаходиться в MBR.

Завантаження з дискети вже відійшло у минуле, позаяк сучасні операційні системи вимагають більші об'єми носіїв для розміщення свого коду. Саме через те, що дискета як носій для завантаження ОС втратила свою актуальність, бутові віруси в наш час менш поширені.

На жорсткому диску бутові віруси можуть вельми спокійно існувати і завда­вати величезної шкоди інформаційним ресурсам. Вони також можуть дуже ефек­тивно протидіяти антивірусним засобам, оскільки саме віруси стартують перши­ми, ще до запуску операційної системи, і тому вони здатні залишити за собою керування критичними для їх існування ресурсами комп'ютера, зокрема, файло­вою системою. З іншого боку, для цього потрібно фактично утворити для ОС віртуальну машину, що для сучасних систем хоча і є можливим (адже існують спеціальні програмні засоби, на кшталт vmware), але потребує великого обсягу програмного коду, що не дуже прийнято для вірусу.

Розглянемо детальніше послідовність запуску персонального комп'ютера, по­будованого на платформі Intel. Безпосередньо після ввімкнення живлення або натискання кнопки Reset, що ініціює перезавантаження, процесор починає роботу в реальному режимі, тобто у режимі, сумісному з процесором 8086 (див. розділ 10). У цьому режимі процесор не підтримує функцій захисту: будь-який процес, що в поточний момент виконує процесор, може здійснювати доступ до будь-якого місця в адресному просторі та до будь-яких портів введення-виведення. Саме у цьому режимі виконується початкове тестування компонентів комп'ю­тера. Після успішного завершення тестування починається завантаження операційної системи, для чого процесор звертається до початкового (нульового) сек­тора на диску, визначеного у BIOS (вважатимемо, що це жорсткий диск). З цієї доріжки процесор зчитує і запускає програму-завантажувач, яка знаходить на диску програму ініціалізації операційної системи. Якщо завантаження відбува­ється із жорсткого диска, то спочатку стартує системний завантажувач, розташо­ваний у MBR-області диска. Тут знаходиться і таблиця розділів диска, яка міс­тить інформацію про логічні диски, їхній формат, а також покажчик на активний розділ, з якого відбувається завантаження. У цьому розділі є завантажувальний сектор, де розташовано завантажувач операційної системи або інше програмне за­безпечення: це може бути, наприклад, менеджер завантажень, який підтримує за­вантаження альтернативних ОС або різних конфігурацій однієї системи, зокрема завантаження з різних логічних дисків. Далі програма-завантажувач передає ке­рування програмі ініціалізації ОС. Дії останньої залежать від того, чи передбачає ця система роботу в захищеному режимі процесора. Якщо ні (наприклад, MS-DOS), то відбувається процес завантаження системи, у ході якого формуються середовище і структури даних для роботи в реальному режимі. Якщо ж необхідно переключитися у захищений режим (підтримується переважною більшістю су­часних ОС), то спочатку слід сформувати структури даних, без яких працювати у цьому режимі неможливо: таблиці дескрипторів сегментів, таблицю переривань, дескриптори і контексти процесів (щонайменше одного, який виконуватиметься безпосередньо після переходу в захищений режим).

До переходу в захищений режим і до старту ОС виконуються численні опе­рації, які суттєво впливають на середовище системи під час її подальшої роботи (формування системного середовища, таблиці переривань тощо). Тут є величез­ний простір для діяльності вірусу. Єдине, що потрібно вірусу, — щоб його було запущено програмою-завантажувачем до або під час ініціалізації ОС.

Великим і складним вірусам, розміщеним у завантажувальних секторах дис­ків (яким, наприклад, був OneHalf), для розповсюдження потрібен був інший носій, позаяк жорсткі диски переносять нечасто, а на дискетах не вистачало місця і для операційної системи, і для вірусу. Тому їх розповсюджували як звичайні файлові віруси, що після запуску намагалися заразити MBR. Поєд­нання характеристик бутових і файлових вірусів було типовим. Зараження 6у-товим вірусом особливо небезпечне. За деякими повідомленнями, той самий OneHalf, впроваджений у MBR, досить вільно існував у захищеному середо­вищі Windows NT Workstation 4.0.

У сучасних операційних системах модифікація MBR ретельно контролюєть­ся, її так само контролюють апаратні засоби деяких системних плат, тому такі віруси мають небагато шансів на успіх. Однак це твердження справедливе лише за умови правильного адміністрування і дотримання політики безпеки.

Сучасні знімні носії (наприклад, flash-накопичувачі, оптичні диски), що мають достатній об'єм, інколи використовують для завантаження операційної системи. Flash-накопичувачі для цього використовують рідко. Проте за всіма ознаками во­ни могли б стати підґрунтям для відродження бутових вірусів, якби завантажен­ня з них було більш поширеною процедурою. Частіше завантаження здійснюють із дисків CD-ROM (або DVD-ROM), CD-R і CD-RW. Але запис на диски CD-R і CD-RW відбувається не так непомітно і швидко, як на жорсткий диск, тому оп­тичні диски не стали носіями для вірусів. Хоча, безумовно, «підхопити» вірус із піратського диска можна. Також відомі прецеденти, коли віруси містилися на дисках із презентаційними матеріалами, демоверсіями програмного забезпечен­ня, комп'ютерними виданнями.

1.3 Макровіруси


Макровіруси — це віруси, які використовують прихований у файлах документів програмний код (так звані макроси). Ідея макросів виникла, коли програмістам під час роботи з документами доводилося багаторазово виконувати одні й ті самі рутинні операції редагування або певні, завжди однакові, послідовності дій. При­родно було для виконання таких дій визначити процедуру, яка 6 виконувала певну послідовність операцій автоматично. Роль елементарних операцій у макросі вико­нують окремі команди з множини передбачених у програмі оброблення докумен­та команд, або спеціально розроблені макрокоманди. Свої макромови мають гра­фічні редактори, системи автоматизованого проектування, текстові та табличні процесори.

Макровіруси також написано макромовами. Передумови для макровірусів ви­никли, коли з'явилися вдосконалені системи, нові можливості яких використову­ють макроси: по-перше, можливість зберігання макросів у файлі документа, а по-друге, суттєве розширення доступних для макрокоманд функцій.

Наприклад, у 1995 році вийшла чергова версія Microsoft Office, де в текстово­му процесорі Microsoft Word як мову макросів було використано досить розви­нену мову Word Basic, а в табличному процесорі Excel — повноцінну об'єктно-орієнтовану мову програмування Visual Basic for Applications. Архітектура про­грам, з яких складається Microsoft Office, передбачає для кожної команди, яку можна викликати через меню або за допомогою кнопок на панелях інструментів, виконання вбудованих макросів. Наприклад, Microsoft Word для збереження фай­лу за командою File ► Save виконує макрос FileSave, для збереження файлу за командою File ► SaveAs — макрос File Save As, для друкування документа — мак­рос FilePrint.

Макроси мають доступ не лише до документа, в якому вони містяться, а й до інших об'єктів, зокрема до файлової системи. Зберігатися вони можуть не лише в документах, а й у шаблонах документів, зокрема у шаблонах Normal, які вико­ристовуються за умовчанням у всіх документах програм пакета Microsoft Office. І найголовніше — передбачено автоматичне виконання визначених макросів під час відкривання документа чи застосування шаблону, причому шаблон Normal активізується автоматично під час старту відповідної програми (Word, Excel та інших програм пакета Microsoft Office).

Усе це створило основу для розроблення та розповсюдження вірусів. І в по­дальшому серед макровірусів найбільшого поширення набули саме віруси для Microsoft Office, хоча існували макровіруси для інших офісних застосувань, а та­кож для графічних редакторів.

Наприклад, вірус, відомий під назвою Gala та написаний мовою Corel SCRIPT, було виявлено у травні 1999 року. Це перший вірус, здатний заражати файли програм CorelDRAW!, Corel PHOTO-PAINT і Corel VENTURA.

Макровіруси вражають файли Microsoft Office в один із таких способів: засто­совують автомакрос, перевизначають стандартні системні макроси (наприклад, FileSave) або автоматично запускаються після виконання певної умови (натис­кання клавіші або кількох клавіш, настання визначеного моменту часу). Отри­мавши керування, макровірус впроваджує свій код в інші файли, частіше у від­криті для редагування, рідше — самостійно шукає файли на диску. Дуже часто вірус заражає шаблон Normal, що гарантовано дає вірусу можливість отримувати керування під час кожного запуску програми.

Файли документів розповсюджують на знімних носіях і пересилають елек­тронною поштою, а переважна більшість користувачів офісних програм, як і ко­лись, недостатньо кваліфіковані та надто обережні для того, щоб стримувати ві­русну епідемію, пік якої припав на 1997-1999 роки. У результаті корпорації Майкрософт під тиском мережних вандалів змушена була переглянути свої прин­ципи використання макросів у документах, впровадивши захист від автоматич­ного запуску макросів під час відкривання документа.

1.4 Скриптові віруси


Програмний код можна впроваджувати і в документи інших видів, наприклад в HTML-сторінки, що завантажуються з мережі чи локально та відображаються на екрані за допомогою браузера. Наразі автоматично виконується програмний код сценаріїв, які ще називають скриптами (англ. script — сценарій) та інших елементів (ActiveX, Java). Програмний код сценаріїв може існувати й окремо, у спеціальних файлах. Деякі дуже розвинені мови сценаріїв можна вважати пов­ноцінними мовами програмування. Наприклад, в операційних системах UNIX і Linux сценарії використовують як системні команди на рівних правах з бінар­ними виконуваними файлами. Далеко не всі користувачі знають, що вони запус­кають — скомпільовану програму чи сценарій. Сценарії можуть також мати вста­новлений атрибут SUID.

Скриптові віруси розглядають як підгрупу файлових вірусів. Такі віруси пи­шуть різними мовами сценаріїв (VBS, JS, ВАТ, РНР тощо). Вони можуть заража­ти інші програми-сценарії (командні та службові файли Windows або UNIX), бути компонентами багатокомпонентних вірусів, заражати файли інших форматів (на­приклад, згаданий вище HTML), якщо вони підтрушують виконання сценаріїв.

Наприкінці 1998 року «Лабораторія Касперського» випустила детальний огляд потенційно небезпечних вірусів, що заражають сценарії Visual Basic (VBS-файли), які активно застосовують під час розроблення веб-сторінок. Тоді цей огляд сприйняли як безпідставне роздмухування вірусної істерії серед користу­вачів. Але вже у травні 2000 року спалахнула глобальна епідемія скриптового вірусу LoveLetter, і в наступні роки саме віруси цього типу посіли перше місце у списку найпоширеніших і найнебезпечніших вірусів.

Іноді як окрему групу подають так звані поштові віруси, що розповсюджуються електронною поштою. Справді, у наш час переважну більшість небезпечних руйнівних програмних засобів надсилають саме через мережу, зокрема електрон­ною поштою. Однак майже всі ці програми не мають ознак специфічних пошто­вих вірусів. Переважно це звичайні віруси, якими заражені файли, що пересилають електронною поштою у вигляді вкладень, а частіше — типові «троянські коні», В окремих випадках, і тут слід зауважити, що такі випадки є найнебезпечнішими, це мережні хробаки.

1.5 Мережні хробаки


Основною ознакою мережного хробака є його здатність самостійно, без втручан­ня користувача, розповсюджуватись у комп'ютерній мережі, забезпечуючи що­найменше дві функції; передавання свого програмного коду на інший комп'ютер і запуск свого програмного коду на віддаленому комп'ютері. Здебільшого мережні хробаки, як і комп'ютерні віруси, здатні розмножуватись, і тому їх часто розгля­дають як різновид вірусів. Однак на відміну від класичних комп'ютерних вірусів більшість хробаків не використовують як носій код іншої програми, оскільки не мають на меті примусити користувача у такий спосіб запустити їх.

Класичний мережний хробак використовує вразливості програмного забезпе­чення, яке реалізує ті чи інші мережні протоколи. Таке програмне забезпечення діє автоматично відповідно до вимог протоколу, а часом, через помилки розроб­ників або завдяки їхньому специфічному погляду на деякі вимоги специфікацій протоколів, Щ і всупереч вимогам стандартних протоколів. Слід зазначити, що в переважній більшості ситуацій такі програми не покладаються на користувача, а часто інтерфейс взаємодії з користувачем локальної системи взагалі відсутній. Особливості програмного забезпечення, що обслуговує мережну взаємодію, буде докладно розглянуто в розділі 15, оскільки воно суттєво впливає і на можливості компрометації системи через мережу, і на методи її захисту.

Іноді до хробаків відносять і ті програми, що не здатні самостійно запуститися на виконання на віддаленій системі, й відтак використовують принцип «троянсь­кого коня». Є безліч різновидів програм, які використовують різні, часто дуже непрості технології розповсюдження в мережі та доставляння себе на комп'ю­тери — потенційні жертви. Хоча такі програми є хробаками лише наполовину (тобто лише в частині доставляння, а не запуску), стисло буде розглянуто й їх, переважно в контексті технологій розповсюдження.


1.6 «Троянські коні»


Програми, які дістали назву «троянські коні» (іноді їх називають «троянськими програмами» і «троянами» або «троянцями»), — це програми, що мають привабли­вий зовнішній вигляд, але виконують шкідливі, дуже часто — руйнівні функції. У деяких «троянських коней» ці функції добре приховані, тож користувач може і не підозрювати, що його комп'ютер уже скомпрометований. Класичний «троянський кінь» не має функцій доставляння програми на комп'ютер-жертву, позаяк єдине його завдання — звернути на себе увагу користувача і змусити його запустити програму. Програми, які насправді є «троянськими кіньми», але додатково використовують певні технології розповсюдження, вибирання цілей і доставляння на комп'ютер-ціль, називають мережними хробаками (можливо, не зовсім обґрунтовано)

1.6.1 Класифікація «троянських коней»


«Троянських коней» звичайно класифікують за тими діями, які вони здійснюють на зараженому комп'ютері (така класифікація значною мірою повторює класи­фікацію програмних закладок, розглянуту нами раніше). У цьому підрозділі на­ведено категорії «троянців», які використовують фахівці з «Лабораторії Каспер­ського»;

  • шпигунські програми (Trojan-Spy);

  • крадіжка паролів (Trojan-PSW);

  • крадіжка кодів доступу до мережі AOL (America Online); ці «троянці» склада­ють окрему групу через свою численність (Trojan-AOL);

  • сповіщення про успішну атаку (Trojan-Notifier);

  • троянські утиліти віддаленого адміністрування (Backdoor);

  • інтернет-клікери (Trojan-Clicker);

  • доставляння шкідливих програм (Trojan-Downloader);

  • інсталяція шкідливих програм (Trojan-Dropper);

  • троянські проксі-сервери (Trojan-Proxy);

  • «бомби» в архівах (ArcBomb);

  • інші троянські програми (Trojan).

Деяких пояснень потребує остання категорія. До неї належать ті «троянці», що здійснюють руйнування або зловмисну модифікацію даних, порушують роботу комп'ютера тощо. Такі дії можуть бути здійснені шляхом впровадження «логічної бомби» (тобто програмної закладки) або безпосередньо під час запуску «троянсь­кого коня». До цієї категорії також належать багатофункціональні «троянські ко­ні», які, наприклад, надають зловмиснику доступ до зараженого комп'ютера або проксі-сервера і водночас стежать за діями локального користувача.

У цьому підрозділі ми не наводимо функції, які вже було описано під час роз­гляду програмних закладок (для їх реалізації «троянський кінь» впроваджує звичайну програмну закладку, так само діють віруси і хробаки). Зупинимося на деяких специфічних категоріях «троянських коней», які звичайно виконуються лише один раз — одразу після запуску.

1.6.2 Шпигунські троянські програми


Численні «троянці» відразу після запуску «викрадають» із комп'ютера цінну ін­формацію і надсилають її зловмиснику за заданою в їхньому коді електронною адресою. Оскільки найчастіше такі програми «крадуть» паролі доступу до Інтер­нету (нерідко з відповідними номерами телефонів), за ними закріпилася назва Password-Stealing-Ware (PSW).

Деякі «троянці» передають також іншу інформацію про заражений комп'ю­тер, наприклад, про систему, тип поштового клієнта, IP-адресу, а іноді й реє­страційну інформацію до різного програмного забезпечення, коди доступу до мережних ігор тощо.

До окремої великої групи належать «троянці», які «крадуть» коди доступу до мережі AOL.

Також є категорія «троянців», які діють як складова багатокомпонентних на­борів шкідливого програмного забезпечення. Завдання цих програм — сповістити розробника про зараження комп'ютера (інсталяцію програмної закладки). На ад­ресу розробника надсилається, наприклад, IP-адреса комп'ютера, номер відкритого порту, адреса електронної пошти тощо. Повідомлення надсилають електронною поштою, через спеціальне звернення до веб-сторінки розробника та за допомо­гою ICQ.

1.6.3 Троянські інсталятори


Інсталятори поділяють на дві категорії — Downloader і Dropper. Перші здійснюють завантаження програм із мережі, а другі — містять програми для інсталяції у собі.

Програми класу Downloader часто використовують програмну закладку для здійснення періодичного оновлення версій шкідливих програм. Інколи такі про­грами здійснюють одноразове завантаження з мережі інших «троянців» або рек­ламних систем. Завантажені з Інтернету програми запускаються на виконання або реєструються на автозапуск відповідно до можливостей операційної системи. Усі ці дії відбуваються без відома користувача. Інформація про імена та розмі­щення програм, що завантажуються, закладена в код «троянця» або завантажу­ється ним із «керуючого» ресурсу Інтернету (як правило, з веб-сторінки).

Троянські програми класу Dropper створено для приховування інсталяції ін­ших програм (ясно, що шкідливих). Вони, як правило, мають таку структуру:

Основний код

Файл 1

Файл 2

За допомогою основного коду інші компоненти файлу (файл 1, файл 2,...) запи­суються на диск (у корінь диска С, у тимчасовий каталог, каталоги Windows) і за­пускаються на виконання. Це відбувається без жодних повідомлень або з хибними повідомленнями про помилку в архіві. При цьому щонайменше один із компо­нентів є «троянським конем», і щонайменше один компонент є «обманкою» (про-грамою-жартом, грою, картинкою тощо). «Обманка» відволікає користувача та імі­тує корисні дії програми, поки троянський компонент інсталюється в системі.

Програми цього класу дають змогу, по-перше, здійснити приховану інсталя­цію «троянських коней» або вірусів, а по-друге, обійти деякі антивірусні програ­ми за допомогою архівування і шифрування файлів-компонентів, що не дасть виявити в них відомі сигнатури. Часто ці програми створюють лише задля того, щоб уже відомий «троянець» потрапив до комп'ютера та інсталювався на ньому і щоб їх не виявили ще на підступах до комп'ютера-жертви (на сервері провайдера, на маршрутизаторі або брандмауері тощо).

Висновки


Комп’ютерний вірус – спеціально написана невелика за розміром програма (тобто деяка сукупність виконуваного коду, призначена для заподіяння руйнівних дій ). Вона може «приписувати» себе до інших програм («заражати» їх ), створювати свої копії і вбудовувати їх у файли, системну ділянку комп’ютера тощо, а також виконувати різноманітні небажані дії.

Комп’ютерні віруси класифікуються на :

  1. Мережні які поширюються комп’ютерними мережами.

  2. Файлові які вбудовуються у виконувані файли (найбільш поширений тип вірусів), або створюють файли – двійники (компаньйон – віруси ), або використовують особливості організації файлової системи (link віруси )

  3. Завантажувальні які записують себе або в завантажувальний сектор диска (bootсектор), або сектор, який містить системний завантажник вінчестера (Master Boot Record), або змінюють покажчик на активний bootсектор

  4. Файлово – завантажувальні які завантажують як файли, так і завантажувальні сектори дисків

  5. Резидентний вірус який у разі інфікування комп’ютер залишає в оперативній пам’яті свою резидентну частину, що потім перехоплює обертання ОС до об’єктів зараження і вбудовується в них. Цей вид віруса міститься в пам’яті і є активним аж до вимикання комп’ютера або перезавантаження ОС

  6. Нерезидентний вірус який зберігає свою активність обмежений час

  7. Безпечні віруси яких вплив обмежується зменшенням вільної пам’яті на диску та графічними, звуковими й іншими ефектами

  8. Небезпечні які можуть призвести до серйозних збоїв у роботі комп’ютера

  9. Дуже небезпечні в яких в алгоритм роботи явно закладено дії, що можуть спричинити втрату програм, знищити дані тощо

  10. Найпростіші віруси (паразитичні) які змінюють уміст файлів і секторів диска ; їх можна достатньо легко виявити і знищити

  11. Віруси – реплікатори так звані хробаки, що поширюються комп’ютерними мережами

  12. Віруси невидимки – стелсвіруси які перехоплюють обертання ОС до уражених файлів і секторів дисків та підставляють замість свого тіла незаражені ділянки диска

  13. Віруси мутанти які містять алгоритм шифрування – розшифрування

  14. Квазивірусні, або «троянські програми» які неспроможні до само розповсюдження, проте дуже небезпечні, оскільки, маскуючись під корисну програму, руйнують завантажувальний сектор і файлову систему дисків



Використана література


1. Безруков Н.Н. Компьютерная вирусология: Справ. руководство. К.: УРЕ, 1991. 416 с.

2. Касперский Е.В. Компьютерные вирусы в MS DOS. М.: 1992.

3. Хижняк П.Л. Пишем вирус... и антивирус. М.: ИНТО, 1991. 90 с.
скачати

© Усі права захищені
написати до нас