Ім'я файлу: комп віруси_основа.docx Розширення: docx Розмір: 103кб. Дата: 10.11.2021 скачати Пов'язані файли: комп віруси.docx ЗМІСТВступ 3 1. Комп'ютерні віруси 4 1.1 Файлові віруси 5 1.2 Завантажувальні віруси 8 1.3 Макровіруси 11 1.4 Скриптові віруси 13 1.5 Мережні хробаки 15 1.6 «Троянські коні» 16 1.6.1 Класифікація «троянських коней» 16 1.6.2 Шпигунські троянські програми 17 1.6.3 Троянські інсталятори 18 Висновки 20 Використана література 21 ВступЯк відомо, в англомовній літературі для позначення продукції, пов'язаної з інформатикою, широко використовуються терміни "Hard Ware" (жорсткий продукт, технічні засоби, комп'ютери) та "Soft Ware" (м'який продукт, програми, програмне забезпечення). З масовим поширенням персональних комп'ютерів (ПК) з'явився новий термін "Bad Ware" (поганий продукт). До останнього відносять в першу чергу комп'ютерні віруси, троянських коней та черв'яків. Далі основну увагу присвятимо комп'ютерним вірусам. Ми розглянемо, що таке комп'ютерні віруси, як вони себе проявляють і якої шкоди можуть заподіяти, наведемо декілька їх класичних і сучасних прикладів і, нарешті, обговоримо засоби боротьби з ними. Для поглибленого вивчення цих питань можна використати монографію відомого київського вірусолога М.Безрукова "Компьютерные вирусы". Відносно двох останніх видів "поганого продукту" зауважимо таке. Комп'ютерні троянські коні, як і їх міфічні попередники, маскують свої дії під виглядом благопристойної, безневинної продукції, завдаючи болісні, руйнівні удари по вашій інформації. В той же час функцій розмноження, зараження інших програм, на відміну від вірусів, троянські коні не мають. Їм часто присвоюються точні (або дуже схожі) імена широко відомих комп'ютерних програм. Свого часу троянські коні набули такого поширення, що солідні комп'ютерні журнали щомісяця друкували їх довгі списки. Комп'ютерні черв'яки являють собою програми, які призначені для проникнення через інформаційні мережі до даних, що зберігаються в інших фірмах, установах тощо. Зрозуміло, що робиться це з корисливих міркувань. Відзначимо також, що створення та розповсюдження вірусів, троянських коней та черв'яків, незважаючи на мотиви цього, є, безумовно, шкідливими для суспільства діями, що завдають значних матеріальних збитків. Ось чому у деяких країнах ці дії розглядаються як карний злочин і переслідуються законом. 1. Комп'ютерні вірусиСвого часу серед руйнівних програмних засобів саме комп'ютерні віруси набули найбільшого розповсюдження, тому вірусами називають будь-яке шкідливе програмне забезпечення, несанкціоновано впроваджене в систему. Так само і від антивірусних засобів часто очікують захисту не лише від вірусів, а й від руйнівних програмних засобів інших видів; інколи такі сподівання виправдовуються, а інколи — ні. Насправді, часто мова йде не про вірус, а про «троянського коня», хробака чи навіть експлойт, який хтось впровадив у систему. Є різні підходи до визначення комп'ютерних вірусів. Ми зазначимо дві головні властивості, характерні саме для вірусів. Перша — це їх здатність самостійно відтворюватися, тобто розмножуватися. У програмний код вірусу закладено функції копіювання самого себе. Друга — це спосіб, у який вірус потрапляє до системи і примушує користувача запустити його. Вірус використовує як носій інший програмний код, який він модифікує таким чином, щоб впровадити в нього свою копію (подібно звичайним вірусам, які нездатні існувати самостійно тривалий час — їм потрібні клітини іншого живого організму). У результаті замість необхідного користувачу програмного коду виконується код вірусу. Фактично, користувач непомітно для себе запускає на виконання програмний код вірусу. Отже, вірус діє в системі з повноваженнями того процесу, в програмний код якого його впроваджено, і з повноваженнями того користувача, що цей процес запустив. Якщо система є багатокористувацькою і підтримує розмежування доступу, то наслідки дії вірусу будуть різними залежно від того, хто саме його запустив. Більш руйнівних наслідків слід очікувати, якщо вірус було запущено адміністратором. Це, до речі, є аргументом на користь того, що навіть на комп'ютері, де працює лише один користувач, не слід виконувати повсякденні дії, користуючись обліковим записом адміністратора. На жаль, у деяких ОС, орієнтованих на персональне використання (наприклад, Windows ХР Home Edition), без прав адміністратора працювати іноді дуже складно, що можна вважати помилкою розробників у реалізації політики безпеки системи. Комп'ютерні віруси розрізняють за такими ознаками. ♦ За середовищем існування (системні області комп'ютера, ОС, прикладні програми, до певних компонентів яких впроваджують код вірусу): файлові віруси; завантажувальні віруси; макровіруси; скриптові віруси. ♦ За способом зараження (різні методи впровадження вірусного коду в об'єкти, які він заражає; залежно від середовища існування віруси використовують різні способи зараження, тому універсальної класифікації за цією ознакою немає). Віруси також класифікують (або надають їм додаткових ознак) за тими технологіями, які вони використовують для ускладнення їх виявлення і ліквідацій 1.1 Файлові вірусиФайлові віруси для свого розповсюдження використовують файлову систему. Найчастіше віруси цього типу як носій застосовують виконувані файли. За способом зараження їх поділяють на віруси, що перезаписують(Overwriting), іпаразитичні віруси (Parasitic). Оскільки перші замінюють собою оригінальний файл, знищуючи його, то в результаті їхньої діяльності прикладні програми й операційна система дуже швидко перестають функціонувати. Другі модифікують оригінале ний файл, зберігаючи його функціональність. Файлові віруси цього типу найпоширеніші, тому їх згодом буде розглянуто детальніше. Є також компаньйон-віруси,які створюють файли-двійники, а також link-віруси,що використовують особливості організації файлової системи. Крім виконуваних файлів віруси заражають об'єктні модулі (OBJ), бібліотеки компіляторів (LIB), інсталяційні пакети і вихідні тексти програм. Є віруси, які записують свої копії в архіви (ARJ, ZIP, RAR), а є такі, що для розповсюдження копіюють свій код у певні каталоги на дисках, сподіваючись на те, що користувач колись запустить їх (для цього файлам дають спеціальні імена, на кшталт іп-stall.exe чи winstart.bat), що є типовим прийомом «троянських коней». Варто окремо згадати один із прийомів, який використовують деякі віруси-компаньйони. Вони розміщують свої копії з іменами, тотожними іменам файлів, що часто використовують, у каталозі, який є першим у списку змінної оточення PATH. Якщо користувач спробує запустити програму, викликавши її з командного рядка, то буде запущено ту програму, яку операційна система знайде першою у списку PATH. Наприклад, у системі Windows із файлів, що мають однакові імена, першим (це залежить від настроювань конкретної системи) буде знайдено файл в основному каталозі (зазвичай C:\Windows). Слід зазначити, що таким способом самозапуску користуються також численні мережні хробаки і «троянські коні». Ось чому в разі використання командного рядка краще задавати повний шлях до бажаної програми, а під час настроювання посилань, ярликів на робочому столі, створення командних файлів це є обов'язковою умовою. Тепер детальніше розглянемо, як діють паразитичні віруси. їхньою типовою ознакою є те, що вони обов'язково змінюють уміст файлів, залишаючи останні повністю або частково роботоздатними. Свого часу їх поділяли на ехе-та сот-віруси,відповідно до двох форматів виконуваних файлів, що були в MS-DOS. Тепер такий розподіл неактуальний. Зараз характерною ознакою паразитичних вірусів є те, під керуванням якої операційної системи вони можуть функціонувати. Переважна більшість сучасних вірусів функціонують на найпоширенішій платформі — Microsoft Windows. Деякі можуть розповсюджуватися лише на окремих версіях цієї системи, інші — на різних версіях Windows. Але це не є ознакою «беззахисності» цієї ОС перед вірусами. Щойно будь-яка «альтернативна* ОС (наприклад, Linux) набувала помітного поширення, для неї теж з'являлися свої віруси, причому в наш час кількість вірусних інцидентів приблизно пропорційна складовій ринку, яку займає та чи інша ОС. Крім поширеності ОС, на створення вірусів впливає наявність документації та інструментів розроблення системних програм, а на розповсюдження вірусів і наслідки від їх атак — ще й кваліфікація користувачі» відповідної ОС. Сучасні ОС підтримують кілька альтернативних форматів виконуваних файлів. Ці доволі складні формати надають широкі можливості для вірусів, які впроваджують свій код без порушення функціональності програми. Є віруси, що записують себе на початку файлів (Prepending), у їх кінець (Appending) і в середину (Inserting). Впровадження вірусів у середину файлів також відбувається у різні способи — перенесенням частини файлу в його кінець або копіюванням свого коду в ті частини файлу, що не використовуються (Cavity-віруси). Основні способи зараження файлів вірусами показано на рис. 6.1. Докладніше про це можна прочитати у Вірусній енциклопедії «Лабораторії Касперського». Рис. 6.1. Основні способи зараження файлу вірусом: a — нормальне виконання незараженого файлу; б — програмний код вірусу розташовано на початку файлу, сам файл дописано в кінець вірусу (операційна система передає керування безпосередньо вірусу, а той після виконання своїх функцій передає керування файлу); в — програмний код вірусу дописано в кінець файлу (вірус коригує точку входження програми в заголовку оригінального файлу, щоб першим отримати керування); г — програмний код вірусу розташовано всередині оригінального файлу (вірус коригує точку входження програми, щоб першим отримати керування, або (на рисунку не показано) розміщує перехід на свій код будь-де у програмі, щоб отримати керування в певний момент) Після того як вірус отримує керування, він виконує певні дії та передає керування програмі-носію. На цьому етапі вірус звичайно не здійснює руйнівних дій, а лише вживає заходів для свого розповсюдження (наприклад, «заражає» інші файли, тобто вбудовує в них свій код) і для отримання керування в подальшому (для чого впроваджує програмну закладку, за старою термінологією MS-DOS -резидентну частину). Часто вірус діє так швидко, що на тлі звичайної процедури запуску програми жоден користувач не зможе його помітити, навіть якщо контролюватиме час запуску із секундоміром. 1.2 Завантажувальні вірусиЗавантажувальні, або бутові (англ. boot — початкове завантаження, специфічний комп'ютерний термін, скорочення від Bootstrap Loader — програма початкового завантаження), віруси активуються у момент завантаження системи. Для цього їм потрібно розташувати частину свого коду в службових структурах носія, з якого відбувається завантаження — жорсткого диска або дискети. Зараження дискети здійснюється записуванням коду вірусу замість оригінального коду boot-сектора дискети. Зараження жорсткого диска відбувається в один із трьох способів: вірус записує себе замість коду MBR (Master Boot Record — головний завантажувальний запис, таблиця у першому секторі завантажувального диска) чи замість коду boot-сектора завантажувального диска (у Windows — це, як правило, диск С) або модифікує адресу активного boot-сектора в таблиці розділів диска (Disk Partition Table), що знаходиться в MBR. Завантаження з дискети вже відійшло у минуле, позаяк сучасні операційні системи вимагають більші об'єми носіїв для розміщення свого коду. Саме через те, що дискета як носій для завантаження ОС втратила свою актуальність, бутові віруси в наш час менш поширені. На жорсткому диску бутові віруси можуть вельми спокійно існувати і завдавати величезної шкоди інформаційним ресурсам. Вони також можуть дуже ефективно протидіяти антивірусним засобам, оскільки саме віруси стартують першими, ще до запуску операційної системи, і тому вони здатні залишити за собою керування критичними для їх існування ресурсами комп'ютера, зокрема, файловою системою. З іншого боку, для цього потрібно фактично утворити для ОС віртуальну машину, що для сучасних систем хоча і є можливим (адже існують спеціальні програмні засоби, на кшталт vmware), але потребує великого обсягу програмного коду, що не дуже прийнято для вірусу. Розглянемо детальніше послідовність запуску персонального комп'ютера, побудованого на платформі Intel. Безпосередньо після ввімкнення живлення або натискання кнопки Reset, що ініціює перезавантаження, процесор починає роботу в реальному режимі, тобто у режимі, сумісному з процесором 8086 (див. розділ 10). У цьому режимі процесор не підтримує функцій захисту: будь-який процес, що в поточний момент виконує процесор, може здійснювати доступ до будь-якого місця в адресному просторі та до будь-яких портів введення-виведення. Саме у цьому режимі виконується початкове тестування компонентів комп'ютера. Після успішного завершення тестування починається завантаження операційної системи, для чого процесор звертається до початкового (нульового) сектора на диску, визначеного у BIOS (вважатимемо, що це жорсткий диск). З цієї доріжки процесор зчитує і запускає програму-завантажувач, яка знаходить на диску програму ініціалізації операційної системи. Якщо завантаження відбувається із жорсткого диска, то спочатку стартує системний завантажувач, розташований у MBR-області диска. Тут знаходиться і таблиця розділів диска, яка містить інформацію про логічні диски, їхній формат, а також покажчик на активний розділ, з якого відбувається завантаження. У цьому розділі є завантажувальний сектор, де розташовано завантажувач операційної системи або інше програмне забезпечення: це може бути, наприклад, менеджер завантажень, який підтримує завантаження альтернативних ОС або різних конфігурацій однієї системи, зокрема завантаження з різних логічних дисків. Далі програма-завантажувач передає керування програмі ініціалізації ОС. Дії останньої залежать від того, чи передбачає ця система роботу в захищеному режимі процесора. Якщо ні (наприклад, MS-DOS), то відбувається процес завантаження системи, у ході якого формуються середовище і структури даних для роботи в реальному режимі. Якщо ж необхідно переключитися у захищений режим (підтримується переважною більшістю сучасних ОС), то спочатку слід сформувати структури даних, без яких працювати у цьому режимі неможливо: таблиці дескрипторів сегментів, таблицю переривань, дескриптори і контексти процесів (щонайменше одного, який виконуватиметься безпосередньо після переходу в захищений режим). До переходу в захищений режим і до старту ОС виконуються численні операції, які суттєво впливають на середовище системи під час її подальшої роботи (формування системного середовища, таблиці переривань тощо). Тут є величезний простір для діяльності вірусу. Єдине, що потрібно вірусу, — щоб його було запущено програмою-завантажувачем до або під час ініціалізації ОС. Великим і складним вірусам, розміщеним у завантажувальних секторах дисків (яким, наприклад, був OneHalf), для розповсюдження потрібен був інший носій, позаяк жорсткі диски переносять нечасто, а на дискетах не вистачало місця і для операційної системи, і для вірусу. Тому їх розповсюджували як звичайні файлові віруси, що після запуску намагалися заразити MBR. Поєднання характеристик бутових і файлових вірусів було типовим. Зараження 6у-товим вірусом особливо небезпечне. За деякими повідомленнями, той самий OneHalf, впроваджений у MBR, досить вільно існував у захищеному середовищі Windows NT Workstation 4.0. У сучасних операційних системах модифікація MBR ретельно контролюється, її так само контролюють апаратні засоби деяких системних плат, тому такі віруси мають небагато шансів на успіх. Однак це твердження справедливе лише за умови правильного адміністрування і дотримання політики безпеки. Сучасні знімні носії (наприклад, flash-накопичувачі, оптичні диски), що мають достатній об'єм, інколи використовують для завантаження операційної системи. Flash-накопичувачі для цього використовують рідко. Проте за всіма ознаками вони могли б стати підґрунтям для відродження бутових вірусів, якби завантаження з них було більш поширеною процедурою. Частіше завантаження здійснюють із дисків CD-ROM (або DVD-ROM), CD-R і CD-RW. Але запис на диски CD-R і CD-RW відбувається не так непомітно і швидко, як на жорсткий диск, тому оптичні диски не стали носіями для вірусів. Хоча, безумовно, «підхопити» вірус із піратського диска можна. Також відомі прецеденти, коли віруси містилися на дисках із презентаційними матеріалами, демоверсіями програмного забезпечення, комп'ютерними виданнями. 1.3 МакровірусиМакровіруси — це віруси, які використовують прихований у файлах документів програмний код (так звані макроси). Ідея макросів виникла, коли програмістам під час роботи з документами доводилося багаторазово виконувати одні й ті самі рутинні операції редагування або певні, завжди однакові, послідовності дій. Природно було для виконання таких дій визначити процедуру, яка 6 виконувала певну послідовність операцій автоматично. Роль елементарних операцій у макросі виконують окремі команди з множини передбачених у програмі оброблення документа команд, або спеціально розроблені макрокоманди. Свої макромови мають графічні редактори, системи автоматизованого проектування, текстові та табличні процесори. Макровіруси також написано макромовами. Передумови для макровірусів виникли, коли з'явилися вдосконалені системи, нові можливості яких використовують макроси: по-перше, можливість зберігання макросів у файлі документа, а по-друге, суттєве розширення доступних для макрокоманд функцій. Наприклад, у 1995 році вийшла чергова версія Microsoft Office, де в текстовому процесорі Microsoft Word як мову макросів було використано досить розвинену мову Word Basic, а в табличному процесорі Excel — повноцінну об'єктно-орієнтовану мову програмування Visual Basic for Applications. Архітектура програм, з яких складається Microsoft Office, передбачає для кожної команди, яку можна викликати через меню або за допомогою кнопок на панелях інструментів, виконання вбудованих макросів. Наприклад, Microsoft Word для збереження файлу за командою File ► Save виконує макрос FileSave, для збереження файлу за командою File ► SaveAs — макрос File Save As, для друкування документа — макрос FilePrint. Макроси мають доступ не лише до документа, в якому вони містяться, а й до інших об'єктів, зокрема до файлової системи. Зберігатися вони можуть не лише в документах, а й у шаблонах документів, зокрема у шаблонах Normal, які використовуються за умовчанням у всіх документах програм пакета Microsoft Office. І найголовніше — передбачено автоматичне виконання визначених макросів під час відкривання документа чи застосування шаблону, причому шаблон Normal активізується автоматично під час старту відповідної програми (Word, Excel та інших програм пакета Microsoft Office). Усе це створило основу для розроблення та розповсюдження вірусів. І в подальшому серед макровірусів найбільшого поширення набули саме віруси для Microsoft Office, хоча існували макровіруси для інших офісних застосувань, а також для графічних редакторів. Наприклад, вірус, відомий під назвою Gala та написаний мовою Corel SCRIPT, було виявлено у травні 1999 року. Це перший вірус, здатний заражати файли програм CorelDRAW!, Corel PHOTO-PAINT і Corel VENTURA. Макровіруси вражають файли Microsoft Office в один із таких способів: застосовують автомакрос, перевизначають стандартні системні макроси (наприклад, FileSave) або автоматично запускаються після виконання певної умови (натискання клавіші або кількох клавіш, настання визначеного моменту часу). Отримавши керування, макровірус впроваджує свій код в інші файли, частіше у відкриті для редагування, рідше — самостійно шукає файли на диску. Дуже часто вірус заражає шаблон Normal, що гарантовано дає вірусу можливість отримувати керування під час кожного запуску програми. Файли документів розповсюджують на знімних носіях і пересилають електронною поштою, а переважна більшість користувачів офісних програм, як і колись, недостатньо кваліфіковані та надто обережні для того, щоб стримувати вірусну епідемію, пік якої припав на 1997-1999 роки. У результаті корпорації Майкрософт під тиском мережних вандалів змушена була переглянути свої принципи використання макросів у документах, впровадивши захист від автоматичного запуску макросів під час відкривання документа. 1.4 Скриптові вірусиПрограмний код можна впроваджувати і в документи інших видів, наприклад в HTML-сторінки, що завантажуються з мережі чи локально та відображаються на екрані за допомогою браузера. Наразі автоматично виконується програмний код сценаріїв, які ще називають скриптами (англ. script — сценарій) та інших елементів (ActiveX, Java). Програмний код сценаріїв може існувати й окремо, у спеціальних файлах. Деякі дуже розвинені мови сценаріїв можна вважати повноцінними мовами програмування. Наприклад, в операційних системах UNIX і Linux сценарії використовують як системні команди на рівних правах з бінарними виконуваними файлами. Далеко не всі користувачі знають, що вони запускають — скомпільовану програму чи сценарій. Сценарії можуть також мати встановлений атрибут SUID. Скриптові віруси розглядають як підгрупу файлових вірусів. Такі віруси пишуть різними мовами сценаріїв (VBS, JS, ВАТ, РНР тощо). Вони можуть заражати інші програми-сценарії (командні та службові файли Windows або UNIX), бути компонентами багатокомпонентних вірусів, заражати файли інших форматів (наприклад, згаданий вище HTML), якщо вони підтрушують виконання сценаріїв. Наприкінці 1998 року «Лабораторія Касперського» випустила детальний огляд потенційно небезпечних вірусів, що заражають сценарії Visual Basic (VBS-файли), які активно застосовують під час розроблення веб-сторінок. Тоді цей огляд сприйняли як безпідставне роздмухування вірусної істерії серед користувачів. Але вже у травні 2000 року спалахнула глобальна епідемія скриптового вірусу LoveLetter, і в наступні роки саме віруси цього типу посіли перше місце у списку найпоширеніших і найнебезпечніших вірусів. Іноді як окрему групу подають так звані поштові віруси, що розповсюджуються електронною поштою. Справді, у наш час переважну більшість небезпечних руйнівних програмних засобів надсилають саме через мережу, зокрема електронною поштою. Однак майже всі ці програми не мають ознак специфічних поштових вірусів. Переважно це звичайні віруси, якими заражені файли, що пересилають електронною поштою у вигляді вкладень, а частіше — типові «троянські коні», В окремих випадках, і тут слід зауважити, що такі випадки є найнебезпечнішими, це мережні хробаки. 1.5 Мережні хробакиОсновною ознакою мережного хробака є його здатність самостійно, без втручання користувача, розповсюджуватись у комп'ютерній мережі, забезпечуючи щонайменше дві функції; передавання свого програмного коду на інший комп'ютер і запуск свого програмного коду на віддаленому комп'ютері. Здебільшого мережні хробаки, як і комп'ютерні віруси, здатні розмножуватись, і тому їх часто розглядають як різновид вірусів. Однак на відміну від класичних комп'ютерних вірусів більшість хробаків не використовують як носій код іншої програми, оскільки не мають на меті примусити користувача у такий спосіб запустити їх. Класичний мережний хробак використовує вразливості програмного забезпечення, яке реалізує ті чи інші мережні протоколи. Таке програмне забезпечення діє автоматично відповідно до вимог протоколу, а часом, через помилки розробників або завдяки їхньому специфічному погляду на деякі вимоги специфікацій протоколів, Щ і всупереч вимогам стандартних протоколів. Слід зазначити, що в переважній більшості ситуацій такі програми не покладаються на користувача, а часто інтерфейс взаємодії з користувачем локальної системи взагалі відсутній. Особливості програмного забезпечення, що обслуговує мережну взаємодію, буде докладно розглянуто в розділі 15, оскільки воно суттєво впливає і на можливості компрометації системи через мережу, і на методи її захисту. Іноді до хробаків відносять і ті програми, що не здатні самостійно запуститися на виконання на віддаленій системі, й відтак використовують принцип «троянського коня». Є безліч різновидів програм, які використовують різні, часто дуже непрості технології розповсюдження в мережі та доставляння себе на комп'ютери — потенційні жертви. Хоча такі програми є хробаками лише наполовину (тобто лише в частині доставляння, а не запуску), стисло буде розглянуто й їх, переважно в контексті технологій розповсюдження. 1.6 «Троянські коні»Програми, які дістали назву «троянські коні» (іноді їх називають «троянськими програмами» і «троянами» або «троянцями»), — це програми, що мають привабливий зовнішній вигляд, але виконують шкідливі, дуже часто — руйнівні функції. У деяких «троянських коней» ці функції добре приховані, тож користувач може і не підозрювати, що його комп'ютер уже скомпрометований. Класичний «троянський кінь» не має функцій доставляння програми на комп'ютер-жертву, позаяк єдине його завдання — звернути на себе увагу користувача і змусити його запустити програму. Програми, які насправді є «троянськими кіньми», але додатково використовують певні технології розповсюдження, вибирання цілей і доставляння на комп'ютер-ціль, називають мережними хробаками (можливо, не зовсім обґрунтовано) 1.6.1 Класифікація «троянських коней»«Троянських коней» звичайно класифікують за тими діями, які вони здійснюють на зараженому комп'ютері (така класифікація значною мірою повторює класифікацію програмних закладок, розглянуту нами раніше). У цьому підрозділі наведено категорії «троянців», які використовують фахівці з «Лабораторії Касперського»; шпигунські програми (Trojan-Spy); крадіжка паролів (Trojan-PSW); крадіжка кодів доступу до мережі AOL (America Online); ці «троянці» складають окрему групу через свою численність (Trojan-AOL); сповіщення про успішну атаку (Trojan-Notifier); троянські утиліти віддаленого адміністрування (Backdoor); інтернет-клікери (Trojan-Clicker); доставляння шкідливих програм (Trojan-Downloader); інсталяція шкідливих програм (Trojan-Dropper); троянські проксі-сервери (Trojan-Proxy); «бомби» в архівах (ArcBomb); інші троянські програми (Trojan). Деяких пояснень потребує остання категорія. До неї належать ті «троянці», що здійснюють руйнування або зловмисну модифікацію даних, порушують роботу комп'ютера тощо. Такі дії можуть бути здійснені шляхом впровадження «логічної бомби» (тобто програмної закладки) або безпосередньо під час запуску «троянського коня». До цієї категорії також належать багатофункціональні «троянські коні», які, наприклад, надають зловмиснику доступ до зараженого комп'ютера або проксі-сервера і водночас стежать за діями локального користувача. У цьому підрозділі ми не наводимо функції, які вже було описано під час розгляду програмних закладок (для їх реалізації «троянський кінь» впроваджує звичайну програмну закладку, так само діють віруси і хробаки). Зупинимося на деяких специфічних категоріях «троянських коней», які звичайно виконуються лише один раз — одразу після запуску. 1.6.2 Шпигунські троянські програмиЧисленні «троянці» відразу після запуску «викрадають» із комп'ютера цінну інформацію і надсилають її зловмиснику за заданою в їхньому коді електронною адресою. Оскільки найчастіше такі програми «крадуть» паролі доступу до Інтернету (нерідко з відповідними номерами телефонів), за ними закріпилася назва Password-Stealing-Ware (PSW). Деякі «троянці» передають також іншу інформацію про заражений комп'ютер, наприклад, про систему, тип поштового клієнта, IP-адресу, а іноді й реєстраційну інформацію до різного програмного забезпечення, коди доступу до мережних ігор тощо. До окремої великої групи належать «троянці», які «крадуть» коди доступу до мережі AOL. Також є категорія «троянців», які діють як складова багатокомпонентних наборів шкідливого програмного забезпечення. Завдання цих програм — сповістити розробника про зараження комп'ютера (інсталяцію програмної закладки). На адресу розробника надсилається, наприклад, IP-адреса комп'ютера, номер відкритого порту, адреса електронної пошти тощо. Повідомлення надсилають електронною поштою, через спеціальне звернення до веб-сторінки розробника та за допомогою ICQ. 1.6.3 Троянські інсталяториІнсталятори поділяють на дві категорії — Downloader і Dropper. Перші здійснюють завантаження програм із мережі, а другі — містять програми для інсталяції у собі. Програми класу Downloader часто використовують програмну закладку для здійснення періодичного оновлення версій шкідливих програм. Інколи такі програми здійснюють одноразове завантаження з мережі інших «троянців» або рекламних систем. Завантажені з Інтернету програми запускаються на виконання або реєструються на автозапуск відповідно до можливостей операційної системи. Усі ці дії відбуваються без відома користувача. Інформація про імена та розміщення програм, що завантажуються, закладена в код «троянця» або завантажується ним із «керуючого» ресурсу Інтернету (як правило, з веб-сторінки). Троянські програми класу Dropper створено для приховування інсталяції інших програм (ясно, що шкідливих). Вони, як правило, мають таку структуру: Основний код Файл 1 Файл 2 За допомогою основного коду інші компоненти файлу (файл 1, файл 2,...) записуються на диск (у корінь диска С, у тимчасовий каталог, каталоги Windows) і запускаються на виконання. Це відбувається без жодних повідомлень або з хибними повідомленнями про помилку в архіві. При цьому щонайменше один із компонентів є «троянським конем», і щонайменше один компонент є «обманкою» (про-грамою-жартом, грою, картинкою тощо). «Обманка» відволікає користувача та імітує корисні дії програми, поки троянський компонент інсталюється в системі. Програми цього класу дають змогу, по-перше, здійснити приховану інсталяцію «троянських коней» або вірусів, а по-друге, обійти деякі антивірусні програми за допомогою архівування і шифрування файлів-компонентів, що не дасть виявити в них відомі сигнатури. Часто ці програми створюють лише задля того, щоб уже відомий «троянець» потрапив до комп'ютера та інсталювався на ньому і щоб їх не виявили ще на підступах до комп'ютера-жертви (на сервері провайдера, на маршрутизаторі або брандмауері тощо). ВисновкиКомп’ютерний вірус – спеціально написана невелика за розміром програма (тобто деяка сукупність виконуваного коду, призначена для заподіяння руйнівних дій ). Вона може «приписувати» себе до інших програм («заражати» їх ), створювати свої копії і вбудовувати їх у файли, системну ділянку комп’ютера тощо, а також виконувати різноманітні небажані дії. Комп’ютерні віруси класифікуються на : Мережні які поширюються комп’ютерними мережами. Файлові які вбудовуються у виконувані файли (найбільш поширений тип вірусів), або створюють файли – двійники (компаньйон – віруси ), або використовують особливості організації файлової системи (link віруси ) Завантажувальні які записують себе або в завантажувальний сектор диска (bootсектор), або сектор, який містить системний завантажник вінчестера (Master Boot Record), або змінюють покажчик на активний bootсектор Файлово – завантажувальні які завантажують як файли, так і завантажувальні сектори дисків Резидентний вірус який у разі інфікування комп’ютер залишає в оперативній пам’яті свою резидентну частину, що потім перехоплює обертання ОС до об’єктів зараження і вбудовується в них. Цей вид віруса міститься в пам’яті і є активним аж до вимикання комп’ютера або перезавантаження ОС Нерезидентний вірус який зберігає свою активність обмежений час Безпечні віруси яких вплив обмежується зменшенням вільної пам’яті на диску та графічними, звуковими й іншими ефектами Небезпечні які можуть призвести до серйозних збоїв у роботі комп’ютера Дуже небезпечні в яких в алгоритм роботи явно закладено дії, що можуть спричинити втрату програм, знищити дані тощо Найпростіші віруси (паразитичні) які змінюють уміст файлів і секторів диска ; їх можна достатньо легко виявити і знищити Віруси – реплікатори так звані хробаки, що поширюються комп’ютерними мережами Віруси невидимки – стелсвіруси які перехоплюють обертання ОС до уражених файлів і секторів дисків та підставляють замість свого тіла незаражені ділянки диска Віруси мутанти які містять алгоритм шифрування – розшифрування Квазивірусні, або «троянські програми» які неспроможні до само розповсюдження, проте дуже небезпечні, оскільки, маскуючись під корисну програму, руйнують завантажувальний сектор і файлову систему дисків Використана література1. Безруков Н.Н. Компьютерная вирусология: Справ. руководство. К.: УРЕ, 1991. 416 с. 2. Касперский Е.В. Компьютерные вирусы в MS DOS. М.: 1992. 3. Хижняк П.Л. Пишем вирус... и антивирус. М.: ИНТО, 1991. 90 с. |