Какой вирус вычисляет адреса доступных компьютеров в сети и распространяет по ней свои копии
Компьютерным вирусом называется программа, которая обладает способностью создавать свои копии, и внедрять их в различные объекты и ресурсы компьютерных систем, сетей и т.д. без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения.
Заражение программы, как правило, выполняется таким образом, чтобы вирус получил управление раньше самой программы. Для этого он либо встраивается в начало программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на компьютерный вирус, текст которого заканчивается аналогичной командой безусловного перехода на команду вирусоносителя, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие-либо другие действия, после чего отдает управление вирусоносителю.
Первичное заражение происходит в процессе наступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как носители информации (оптические диски, флэш-память и т.п.), так и каналы вычислительных сетей. Вирусы, использующие для размножения сетевые средства, сетевые протоколы, управляющие команды компьютерных сетей и электронной почты, принято называть сетевыми.
Цикл жизни вируса обычно включает следующие периоды: внедрение, инкубационный, репликации (саморазмножения) и проявления. В течение инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например необратимую коррекцию информации в компьютере или на внешних носителях.
Физическая структура компьютерного вируса достаточно проста. Он состоит из головы и, возможно, хвоста. Под головой вируса понимается его компонента, получающая управление первой. Хвост – это часть вируса, расположенная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, называют несегментированными , тогда как вирусы, содержащие голову и хвост, — сегментированными .
Наиболее существенные признаки компьютерных вирусов позволяют провести следующую их классификацию.
Существует несколько подходов к классификации компьютерных вирусов по их характерным особенностям:
— по среде обитания вируса;
— по способу заражения;
— по деструктивным возможностям;
— по особенностям алгоритма работ.
По среде обитания вирусы подразделяются на:
Файловые вирусы — вирусы поражающие исполняемые файлы, написанные в различных форматах. Соответственно в зависимости от формата, в котором написана программа это будут EXE или COM вирусы.
Загрузочные вирусы — вирусы поражающие загрузочные сектора (Boot сектора) дисков или сектор содержащий системный загрузчик(Master Boot Record) винчестера.
Сетевые вирусы — вирусы, распространяющиеся в различных компьютерных сетях и системах.
Макро вирусы — вирусы поражающие файлы Microsoft Office
Flash вирусы — вирусы поражающие микросхемы FLASH памяти BIOS.
По способу заражения вирусы делятся на:
Резидентные вирусы — вирусы, которые при инфицировании компьютера оставляют свою резидентную часть в памяти. Они могут перехватывать прерывания операционной системы, а также обращения к инфицированным файлам со стороны программ и операционной системы. Эти вирусы могут оставаться активными вплоть до выключения или перезагрузки компьютера.
Нерезидентные вирусы — вирусы, не оставляющие своих резидентных частей в оперативной памяти компьютера. Некоторые вирусы оставляют в памяти некоторые свои фрагменты не способные к дальнейшему размножению такие вирусы считаются не резидентными.
По деструктивным возможностям вирусы подразделяются на:
Безвредные вирусы — это вирусы ни как не влияющие на работу компьютера за исключение, быть может, уменьшения свободного места на диске и объема оперативной памяти.
Неопасные вирусы — вирусы, которые проявляют себя в выводе различных графических, звуковых эффектов и прочих безвредных действий.
Опасные вирусы — это вирусы, которые могут привести к различным сбоям в работе компьютеров, а также их систем и сетей.
Очень опасные вирусы — это вирусы, приводящие к потере, уничтожению информации, потере работоспособности программ и системы в целом.
По особенностям алгоритма работы вирусы можно подразделить на:
Вирусы спутники(companion) — эти вирусы поражают EXE-файлы путем создания COM-файла двойника, и поэтому при запуске программы запустится, сначала COM-файл с вирусом, после выполнения своей работы вирус запустит EXE-файл. При таком способе заражения «инфицированная» программа не изменяется.
Вирусы «черви» (Worms) — вирусы, которые распространяются в компьютерных сетях. Они проникают в память компьютера из компьютерной сети, вычисляют адреса других компьютеров и пересылают на эти адреса свои копии. Иногда они оставляют временные файлы на компьютере но некоторые могут и не затрагивать ресурсы компьютера за исключением оперативной памяти и разумеется процессора.
«Паразитические» — все вирусы, которые модифицируют содержимое файлов или секторов на диске. К этой категории относятся все вирусы не являются вирусами-спутниками и вирусами червями.
«Стелс-вирусы» (вирусы-невидимки, stealth) — представляющие собой весьма совершенные программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков подставляют вместо себя незараженные участки информации. Кроме этого, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные мониторы.
«Полиморфные» (самошифрующиеся или вирусы-призраки, polymorphic) — вирусы, достаточно трудно обнаруживаемые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфного вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
«Макро-вирусы» — вирусы этого семейства используют возможности макроязыков, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время наиболее распространены макро-вирусы, заражающие текстовые документы редактора Microsoft Word.
По режиму функционирования:
— резидентные вирусы (вирусы, которые после активизации постоянно находятся в оперативной памяти компьютера и контролируют доступ к его ресурсам);
— транзитные вирусы (вирусы, которые выполняются только в момент запуска зараженной программы).
По объекту внедрения:
— файловые вирусы (вирусы, заражающие файлы с программами);
— загрузочные вирусы (вирусы, заражающие программы, хранящиеся в системных областях дисков).
В свою очередь, файловые вирусы подразделяются на вирусы, заражающие:
— командные файлы и файлы конфигурации;
— составляемые на макроязыках программирования, или файлы, содержащие макросы (макровирусы — разновидность компьютерных вирусов разработанных на макроязыках, встроенных в такие прикладные пакеты ПО, как Microsoft Office );
— файлы с драйверами устройств;
— файлы с библиотеками исходных, объектных, загрузочных и оверлейных модулей, библиотеками динамической компоновки и т.п.
Загрузочные вирусы подразделяются на вирусы, заражающие:
— системный загрузчик, расположенный в загрузочном секторе и логических дисков;
— внесистемный загрузчик, расположенный в загрузочном секторе жестких дисков.
По степени и способу маскировки:
— вирусы, не использующие средств маскировки;
— stealth-вирусы (вирусы, пытающиеся быть невидимыми на основе контроля доступа к зараженным элементам данных);
— вирусы-мутанты (MtE-вирусы, содержащие в себе алгоритмы шифрования, обеспечивающие различие разных копий вируса).
В свою очередь, MtE-вирусы делятся:
— на обычные вирусы-мутанты, в разных копиях которых различаются только зашифрованные тела, а дешифрованные тела вирусов совпадают;
— полиморфные вирусы, в разных копиях которых различаются не только зашифрованные тела, но и их дешифрованные тела.
Наиболее распространенные типы вирусов характеризуются следующими основными особенностями.
Файловый транзитный вирус целиком размещается в исполняемом файле, в связи, с чем он активизируется только в случае активизации вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе. При этом выбор очередного файла для заражения осуществляется вирусом посредством поиска по каталогу.
Файловый резидентный вирус отличается от нерезидентного логической структурой и общим алгоритмом функционирования. Резидентный вирус состоит из так называемого инсталлятора и программ обработки прерываний. Инсталлятор получает управление при активизации вирусоносителя и инфицирует оперативную память путем размещения в ней управляющей части вируса и замены адресов в элементах вектора прерываний на адреса своих программ, обрабатывающих эти прерывания. На так называемой фазе слежения, следующей за описанной фазой инсталляции, при возникновении какого-либо прерывания управление получает соответствующая подпрограмма вируса. В связи с существенно более универсальной по сравнению с нерезидентными вирусами общей схемой функционирования резидентные вирусы могут реализовывать самые разные способы инфицирования.
Stealth-вирусы пользуются слабой защищенностью некоторых операционных систем и заменяют некоторые их компоненты (драйверы дисков, прерывания) таким образом, что вирус становится невидимым (прозрачным) для других программ.
Полиморфные вирусы содержат алгоритм порождения дешифрованных тел вирусов, непохожих друг на друга. При этом в алгоритмах дешифрования могут встречаться обращения практически ко всем командам процессора Intel и даже использоваться некоторые специфические особенности его реального режима функционирования.
Макровирусы распространяются под управлением прикладных программ, что делает их независимыми от операционной системы. Подавляющее число макровирусов функционирует под управлением текстового процессора Microsoft Word. В то же время известны макровирусы, работающие под управлением таких приложений, как Microsoft Excel, Lotus Ami Pro, Lotus 1-2-3, Lotus Notes, в операционных системах фирм Microsoft и Apple.
«Лазейки» , подобные описанной выше обусловленные особенностями реализации тех или иных функций в программном обеспечении, являются объективной предпосылкой для создания и внедрения репликаторов злоумышленниками.
Эффекты, вызываемые вирусами в процессе реализации ими целевых функций, принято делить на следующие группы:
Приведенная выше классификация не может считаться полной, так как прогресс не стоит на месте, появляются всё новые и новые интеллектуальные устройства и соответственно вирусы, работающие на них, например уже появились вирусы поражающие мобильные телефоны.
Заражение программы, как правило, выполняется таким образом, чтобы вирус получил управление раньше самой программы. Для этого он либо встраивается в начало программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на компьютерный вирус, текст которого заканчивается аналогичной командой безусловного перехода на команду вирусоносителя, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие-либо другие действия, после чего отдает управление вирусоносителю.
Первичное заражение происходит в процессе наступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как носители информации (оптические диски, флэш-память и т.п.), так и каналы вычислительных сетей. Вирусы, использующие для размножения сетевые средства, сетевые протоколы, управляющие команды компьютерных сетей и электронной почты, принято называть сетевыми.
Цикл жизни вируса обычно включает следующие периоды: внедрение, инкубационный, репликации (саморазмножения) и проявления. В течение инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например необратимую коррекцию информации в компьютере или на внешних носителях.
Физическая структура компьютерного вируса достаточно проста. Он состоит из головы и, возможно, хвоста. Под головой вируса понимается его компонента, получающая управление первой. Хвост – это часть вируса, расположенная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, называют несегментированными, тогда как вирусы, содержащие голову и хвост, - сегментированными.
Наиболее существенные признаки компьютерных вирусов позволяют провести следующую их классификацию.
Существует несколько подходов к классификации компьютерных вирусов по их характерным особенностям:
- по среде обитания вируса;
- по способу заражения;
- по деструктивным возможностям;
- по особенностям алгоритма работ.
По среде обитания вирусы подразделяются на:
Файловые вирусы - вирусы поражающие исполняемые файлы, написанные в различных форматах. Соответственно в зависимости от формата, в котором написана программа это будут EXE или COM вирусы.
Загрузочные вирусы - вирусы поражающие загрузочные сектора (Boot сектора) дисков или сектор содержащий системный загрузчик(Master Boot Record) винчестера.
Сетевые вирусы - вирусы, распространяющиеся в различных компьютерных сетях и системах.
Макро вирусы - вирусы поражающие файлы Microsoft Office
Flash вирусы - вирусы поражающие микросхемы FLASH памяти BIOS.
По способу заражения вирусы делятся на:
Резидентные вирусы - вирусы, которые при инфицировании компьютера оставляют свою резидентную часть в памяти. Они могут перехватывать прерывания операционной системы, а также обращения к инфицированным файлам со стороны программ и операционной системы. Эти вирусы могут оставаться активными вплоть до выключения или перезагрузки компьютера.
Нерезидентные вирусы - вирусы, не оставляющие своих резидентных частей в оперативной памяти компьютера. Некоторые вирусы оставляют в памяти некоторые свои фрагменты не способные к дальнейшему размножению такие вирусы считаются не резидентными.
По деструктивным возможностям вирусы подразделяются на:
Безвредные вирусы - это вирусы ни как не влияющие на работу компьютера за исключение, быть может, уменьшения свободного места на диске и объема оперативной памяти.
Неопасные вирусы - вирусы, которые проявляют себя в выводе различных графических, звуковых эффектов и прочих безвредных действий.
Опасные вирусы - это вирусы, которые могут привести к различным сбоям в работе компьютеров, а также их систем и сетей.
Очень опасные вирусы - это вирусы, приводящие к потере, уничтожению информации, потере работоспособности программ и системы в целом.
По особенностям алгоритма работы вирусы можно подразделить на:
Вирусы спутники(companion) - эти вирусы поражают EXE-файлы путем создания COM-файла двойника, и поэтому при запуске программы запустится, сначала COM-файл с вирусом, после выполнения своей работы вирус запустит EXE-файл. При таком способе заражения "инфицированная" программа не изменяется.
Вирусы "черви" (Worms) - вирусы, которые распространяются в компьютерных сетях. Они проникают в память компьютера из компьютерной сети, вычисляют адреса других компьютеров и пересылают на эти адреса свои копии. Иногда они оставляют временные файлы на компьютере но некоторые могут и не затрагивать ресурсы компьютера за исключением оперативной памяти и разумеется процессора.
"Паразитические" - все вирусы, которые модифицируют содержимое файлов или секторов на диске. К этой категории относятся все вирусы не являются вирусами-спутниками и вирусами червями.
"Стелс-вирусы" (вирусы-невидимки, stealth) - представляющие собой весьма совершенные программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков подставляют вместо себя незараженные участки информации. Кроме этого, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие "обманывать" резидентные антивирусные мониторы.
"Полиморфные" (самошифрующиеся или вирусы-призраки, polymorphic) - вирусы, достаточно трудно обнаруживаемые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфного вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
"Макро-вирусы" - вирусы этого семейства используют возможности макроязыков, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время наиболее распространены макро-вирусы, заражающие текстовые документы редактора Microsoft Word.
По режиму функционирования:
- резидентные вирусы (вирусы, которые после активизации постоянно находятся в оперативной памяти компьютера и контролируют доступ к его ресурсам);
- транзитные вирусы (вирусы, которые выполняются только в момент запуска зараженной программы).
По объекту внедрения:
- файловые вирусы (вирусы, заражающие файлы с программами);
- загрузочные вирусы (вирусы, заражающие программы, хранящиеся в системных областях дисков).
В свою очередь, файловые вирусы подразделяются на вирусы, заражающие:
- командные файлы и файлы конфигурации;
- составляемые на макроязыках программирования, или файлы, содержащие макросы (макровирусы - разновидность компьютерных вирусов разработанных на макроязыках, встроенных в такие прикладные пакеты ПО, как Microsoft Office );
- файлы с драйверами устройств;
- файлы с библиотеками исходных, объектных, загрузочных и оверлейных модулей, библиотеками динамической компоновки и т.п.
Загрузочные вирусы подразделяются на вирусы, заражающие:
- системный загрузчик, расположенный в загрузочном секторе и логических дисков;
- внесистемный загрузчик, расположенный в загрузочном секторе жестких дисков.
По степени и способу маскировки:
- вирусы, не использующие средств маскировки;
- stealth-вирусы (вирусы, пытающиеся быть невидимыми на основе контроля доступа к зараженным элементам данных);
- вирусы-мутанты (MtE-вирусы, содержащие в себе алгоритмы шифрования, обеспечивающие различие разных копий вируса).
В свою очередь, MtE-вирусы делятся:
- на обычные вирусы-мутанты, в разных копиях которых различаются только зашифрованные тела, а дешифрованные тела вирусов совпадают;
- полиморфные вирусы, в разных копиях которых различаются не только зашифрованные тела, но и их дешифрованные тела.
Наиболее распространенные типы вирусов характеризуются следующими основными особенностями.
Файловый транзитный вирус целиком размещается в исполняемом файле, в связи, с чем он активизируется только в случае активизации вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе. При этом выбор очередного файла для заражения осуществляется вирусом посредством поиска по каталогу.
Файловый резидентный вирус отличается от нерезидентного логической структурой и общим алгоритмом функционирования. Резидентный вирус состоит из так называемого инсталлятора и программ обработки прерываний. Инсталлятор получает управление при активизации вирусоносителя и инфицирует оперативную память путем размещения в ней управляющей части вируса и замены адресов в элементах вектора прерываний на адреса своих программ, обрабатывающих эти прерывания. На так называемой фазе слежения, следующей за описанной фазой инсталляции, при возникновении какого-либо прерывания управление получает соответствующая подпрограмма вируса. В связи с существенно более универсальной по сравнению с нерезидентными вирусами общей схемой функционирования резидентные вирусы могут реализовывать самые разные способы инфицирования.
Stealth-вирусы пользуются слабой защищенностью некоторых операционных систем и заменяют некоторые их компоненты (драйверы дисков, прерывания) таким образом, что вирус становится невидимым (прозрачным) для других программ.
Полиморфные вирусы содержат алгоритм порождения дешифрованных тел вирусов, непохожих друг на друга. При этом в алгоритмах дешифрования могут встречаться обращения практически ко всем командам процессора Intel и даже использоваться некоторые специфические особенности его реального режима функционирования.
Макровирусы распространяются под управлением прикладных программ, что делает их независимыми от операционной системы. Подавляющее число макровирусов функционирует под управлением текстового процессора Microsoft Word. В то же время известны макровирусы, работающие под управлением таких приложений, как Microsoft Excel, Lotus Ami Pro, Lotus 1-2-3, Lotus Notes, в операционных системах фирм Microsoft и Apple.
«Лазейки», подобные описанной выше обусловленные особенностями реализации тех или иных функций в программном обеспечении, являются объективной предпосылкой для создания и внедрения репликаторов злоумышленниками.
Эффекты, вызываемые вирусами в процессе реализации ими целевых функций, принято делить на следующие группы:
Приведенная выше классификация не может считаться полной, так как прогресс не стоит на месте, появляются всё новые и новые интеллектуальные устройства и соответственно вирусы, работающие на них, например уже появились вирусы поражающие мобильные телефоны.
К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. "Полноценные" сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, "подтолкнуть" пользователя к запуску зараженного файла.
Бытует ошибочное мнение, что сетевым является любой вирус, распространяющийся в компьютерной сети. Но в таком случае практически все вирусы были бы сетевыми, даже наиболее примитивные из них: ведь самый обычный нерезидентный вирус при заражении файлов не разбирается - сетевой (удаленный) это диск или локальный. В результате такой вирус способен заражать файлы в пределах сети, но отнести его к сетевым вирусам никак нельзя.
Наибольшую известность приобрели сетевые вирусы конца 1980-х, их также называют сетевыми червями (worms). К ним относятся вирус Морриса, вирусы "Cristmas Tree" и "Wank Worm". Для своего распространения они использовали ошибки и недокументированные функции глобальных сетей того времени - вирусы передавали свои копии с сервера на сервер и запускали их на выполнение. В случае с вирусов Морриса эпидемия захватила аж несколько глобальных сетей в США.
Сетевые вирусы прошлого распространялись в компьютерной сети и, как правило, так же как и компаньон-вирусы, не изменяли файлы или сектора на дисках. Они проникали в память компьютера из компьютерной сети, вычисляли сетевые адреса других компьютеров и рассылали по этим адресам свои копии. Эти вирусы иногда также создавали рабочие файлы на дисках системы, но могли вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти) .
После нескольких эпидемий сетевых вирусов ошибки в сетевых протоколах и программном обеспечении были исправлены, а "задние двери" закрыты. В результате за песледние десять лет не было зафиксировано ни одного случая заражения сетевым вирусом, как, впрочем, не появилось и ни одного нового сетевого вируса.
Вновь проблема сетевых вирусов возникла лишь в начале 1997-го года с появлением вирусов "Macro.Word.ShareFun" и "Win.Homer". Первый из них использует возможности электронной почты Microsoft Mail - он создает новое письмо, содержащее зараженный файл-документ ("ShareFun" является макро-вирусом) , затем выбирает из списка адресов MS-Mail три случайных адреса и рассылает по ним зараженное письмо. Поскольку многие пользователи устанавливают параметры MS-Mail таким образом, что при получении письма автоматически запускается MS Word, то вирус "автоматически" внедряется в компьютер адресата зараженного письма.
Это вредосносные программы направленные на удаление или повреждение системных файлов в ПК. Сетевые вирусы при попадании в ПК прикрепляются к нескольким файлам (не обязательно системным) для затруднений в их обнаружении. Так же вирусы скрываются под названиями тех же системных файлов компьютера
Интернет — одно из величайших изобретений ХХ века. К началу 2003 года более 600 млн. человек имели доступ к Всемирной сети. К сожалению, каналы Интернета используются для распространения не только полезных программ и данных, но и бесполезной, отвлекающей рекламной информации и, что наиболее прискорбно, множества опасных вирусов. О том, как изменяются пути распространения вирусов по мере развития сетевых технологий, какие вирусы и вредоносные программы наиболее распространены сегодня и какие антивирусные программы доступны домашним пользователям, рассказывается в настоящей статье.
Самые распространенные вредоносные программы 2002 года
табл. 1 приведена десятка наиболее распространенных в 2002 году вирусов. Несомненным лидером по количеству вызванных инцидентов является Интернет-червь Klez — более 60% случаев. На втором месте тоже червь — I-Worm.Lentin, который являлся причиной заражения в каждом пятом случае.
На рис. 7 показана динамика жизнедеятельности наиболее распространенных вирусов в 2002 году. Кривая вируса I-Worm.Klez сначала стремительно растет. В пик эпидемии кривая приближается к 100%! Далее видны результаты борьбы с вирусом — примерно за полгода количество заражений снижается до 15%.
Утилиты несанкционированного удаленного управления
Утилиты несанкционированного удаленного управления по существу представляют собой полнофункциональные утилиты для удаленного администрирования компьютера, которые открывают злоумышленнику доступ к вашему компьютеру, позволяя ему выполнять на нем различные операции.
Типичным примером такой программы является троянский конь BO (Back Orifice), полное название которого Backdoor.BO.
В зависимости от команды троянец может выполнять следующие действия:
- высылать имена компьютера и пользователя, а также информацию о системе: тип процессора, размер памяти;
- разрешать удаленный доступ к дискам;
- искать файлы на дисках;
- посылать/принимать файлы, а также уничтожать, копировать их и т.п.;
- создавать/уничтожать каталоги;
- упаковывать/распаковывать файлы;
- отключать текущего пользователя от сети;
- подключаться к сетевым ресурсам;
- получать и отправлять кэшированные пароли (которые задействовались пользователем в течение текущего сеанса);
- читать/модифицировать системный реестр;
- открывать/перенаправлять другие сокеты TCP/IP;
- перехватывать, запоминать и затем высылать строки, вводимые с клавиатуры в момент подсоединения компьютера к сети;
- многие другие действия.
Основные определения и классификация вредоносных программ
режде чем приступить к рассказу о последних тенденциях распространения тех или иных типов вредоносных программ, следует напомнить читателю, какие существуют основные типы деструктивных программ. Большинство специалистов делит вредоносные программы на три большие группы: компьютерные вирусы, сетевые черви и троянские программы. Компьютерные вирусы обладают способностью размножаться и внедряют свои копии в другие файлы; сетевые черви размножаются по различным сетевым ресурсам (почта, Web-сайты и пр.), но не внедряют копии в другие файлы; троянские программы не размножаются и не рассылаются сами, но выполняют на компьютерах различные вредоносные действия. Наглядная классификация вредоносных программ и примеры наиболее ярких представителей каждого семейства представлены на рис. 1.
Троянские программы — похитители секретной информации
Данные программы воруют системные пароли, откуда и название: PSW — Password-Stealing-Ware. При запуске PSW-троянцы ищут конфиденциальную информацию, например пароли доступа к Интернету, и отсылают ее по указанному адресу.
Обычно PSW-троянцы являются Windows-программами, которые при работе используют стандартные функции Windows. Некоторые Windows-PSW-троянцы также копируют себя в каталог Windows, регистрируются в системном реестре и запускаются при каждой перезагрузке Windows, что позволяет им отсылать конфиденциальную информацию в течение длительного времени. Имеется значительное количество троянских программ, которые воруют пароли пользователей и прочую системную информацию и пересылают ее злоумышленникам. Если мы говорим о домашнем компьютере, подключенном к Сети, то наибольший интерес для хакера представляют пароли доступа в Интернет. Заполучив пароль, хакер может воспользоваться вашим кошельком.
Вирусы
Компьютерные вирусы — это программы, способные распространяться самостоятельно, дописывая свой код к файлам или в служебные области диска. Вирусы могут быть менее опасными (вызывать нежелательные видеоэффекты) и более опасными (изменять или уничтожать информацию владельца), но в любом случае, даже если вирус не содержит деструктивных функций, он так или иначе влияет на работу системы — занимает место и может мешать работе других программ.
Как видно на рис. 1, вирусы подразделяются на несколько групп.
Файловые вирусы — при размножении используют файловую систему какой-либо ОС. В свою очередь, по способу заражения файловые вирусы делятся на целый ряд подгрупп:
- оverwriting-вирусы записывают свой код вместо кода заражаемого файла, уничтожая его содержимое;
- рarasitic-вирусы изменяют содержимое файлов, оставляя при этом сами файлы полностью или частично работоспособными;
- сompanion-вирусы не изменяют заражаемых файлов, а создают для заражаемого файла файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, то есть вирус;
- файловые черви (worms) являются разновидностью компаньон-вирусов, однако не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в расчете на то, что эти новые копии будут когда-либо запущены пользователем;
- link-вирусы, как и компаньон-вирусы, не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» ОС выполнить свой код за счет модификации необходимых полей файловой системы;
- OBJ, LIB и вирусы в исходных текстах представляют собой группу вирусов, которые заражают библиотеки компиляторов, объектные модули и исходные тексты программ. Вирусы, заражающие OBJ- и LIB-файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл не является выполняемым и не способен на дальнейшее распространение вируса в текущем состоянии. Носителем же «живого» вируса становится COM- или EXE-файл, получаемый в процессе линковки зараженного OBJ/LIB-файла с другими объектными модулями и библиотеками. Загрузочные вирусы называются так потому, что заражают загрузочный (boot) сектор — записывают себя в загрузочный сектор диска (boot-сектор) либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record). Загрузочные вирусы замещают код программы, получающей управление при загрузке системы. Таким образом, при перезагрузке управление передается вирусу.
Макровирусы являются программами на макроязыках, встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Они заражают документы и электронные таблицы ряда офисных редакторов. Для размножения эти вирусы используют возможности макроязыков и с их помощью переносят себя из одного зараженного файла в другие. Наибольшее распространение получили макровирусы для Microsoft Word, Excel и Office 97. Вирусы этого типа получают управление при открытии зараженного файла и инфицируют файлы, к которым впоследствии идет обращение из соответствующего офисного приложения — Word, Excel и пр.
Скрипт-вирусы — это вирусы, написанные на скрипт-языках, таких как Visual Basic Script, Java Script и др. Они, в свою очередь, делятся на вирусы для DOS, Windows и для других систем.
Эволюция сетей — эволюция вирусов
С середины 90-х годов ситуация начала меняться. Программы приобрели такие размеры, что уже не умещались на дискетах и распространялись преимущественно на CD, что было безопаснее. Однако параллельно с этим начало расти количество компьютеров, объединенных в сети, и все чаще заражение одной станции приводило к выводу из строя всей сети. С появлением сетей бороться с вирусами стало сложнее. Сети продолжали расти и развиваться, и наконец появился Интернет. Прошло определенное время, и в Сети «завелись» черви — программы, которые «грамотно» использовали Интернет для своего распространения.
Первая программа такого типа появилась в начале 1999 года (в названии вируса как раз присутствовала цифра 99). С тех пор было создано около сотни вирусов такого типа. Одним из наиболее известных представителей данного семейства является вирус «I love you» (известный также под названием LoveLetter), который вызвал массовые поражения компьютеров и сетей в начале мая 2000 года. Вирус распространялся в электронных письмах, используя почтовую систему Microsoft Outlook, и при активизации рассылал себя с зараженных компьютеров по всем адресам, которые хранились в адресной книге Outlook.
Недавно британская компания MessageLabs опубликовала исследование, в котором анализируется динамика распространения почтовых червей. В частности, там отмечается, что если рост числа зараженных почтовых посланий будет происходить теми же темпами, что в последние три года, то в 2004 году зараженным будет каждый сотый e-mail, к 2008 году вирус будет содержаться в каждом десятом электронном послании, а в 2015-м вирусы будут «сидеть» в 75% электронной корреспонденции.
Электронная почта (один из самых востребованных сервисов Интернета) может стать совершенно бесполезной как средство коммуникации из-за вирусной эпидемии и спама.
Из рис. 3 видно, что в 2002 году почти 90% всех заражений было вызвано сетевыми червями.
Как видно из рис. 4, среди сетевых червей преобладают почтовые черви, использующие e-mail в качестве основного транспорта для доставки на целевые компьютеры. Другие типы червей составляют незначительную долю:
- LAN-черви, распространяющиеся по ресурсам локальных сетей, — 2,5%;
- P2P-черви, перемещающиеся по сетям Peer-to-Peer; — 1,7%;
- IRC-черви, посылаемые по каналам IRC (Internet Relay Chat), — 0,2%.
Из замеченных в 2002 году компьютерных вирусов больше всего себя проявили макровирусы (56,1%) и Windows-вирусы (40,9%) рис. 5.
Среди троянских программ лидируют утилиты несанкционированного администрирования (54%), позволяющие незаметно управлять зараженным компьютером на расстоянии. PSW-троянцы составляют 17,9%. Остальные 28,1% приходятся на другие типы троянцев, которые засылаются на компьютеры-жертвы для выполнения специфических задач (рис. 6).
Троянские программы
Троянские программы, троянские кони, или просто троянцы, — это программы, которые совершают деструктивные действия, но при этом не размножаются и не рассылаются сами. Своим названием эти программы обязаны троянскому коню из «Илиады» Гомера. Подобно троянскому коню программа-троянец выдает себя за что-либо вполне безобидное, «подделываясь» под другие программы (игры, новые версии популярных утилит и пр.).
Троянские программы подразделяют на несколько видов (см. рис. 1):
- утилиты несанкционированного удаленного управления, внедряясь в ваш компьютер, предоставляют хозяину троянца доступ к этому компьютеру и возможность управления им;
- эмуляторы DDoS-атак (Distributed Denial of Service) вызывают «атаки» на Web-серверы, при которых на Web-сервер из разных мест поступает большое количество пакетов, что приводит к отказу системы;
- похитители секретной информации воруют информацию;
- дроппер (от англ. drop — бросать) — программа, задача которой «сбросить» в систему вирус или другие вредоносные программы.
Рассмотрим некоторые виды троянских программ подробнее.
Сетевые черви
Червей (worms) часто называют вирусами, хотя, строго говоря, они таковыми не являются, это программы, которые не изменяют файлы на дисках, а распространяются в компьютерной сети, проникают в память компьютера, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Программы этого типа могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). Сетевые черви подразделяются на следующие типы: Интернет-черви (распространяются по Интернету), LAN-черви (распространяются по локальной сети), IRC-черви Internet Relay Chat (распространяются через чаты).
Эмуляторы DDoS-атак
DoS-атака (Denial-of-Service) — тип атаки, организованной хакерами, при которой на сервер приходит множество запросов на предоставление услуги. Сервер расходует ресурсы на обслуживание «лишних» запросов и при превышении определенного трафика перестает справляться с обслуживанием запросов законных пользователей. В результате подобной атаки может возникнуть ситуация, когда пользователь не может зайти на тот или иной сайт.
Сущность DoS-атаки заключается в том, чтобы вызвать перегрузку системы за счет передачи искусственно созданного трафика и помешать обратиться за сервисом легальным пользователям.
DDoS-атаки (Distributed Denial of Service) происходят в разных местах, но преследуют одну цель: устанавливается большое количество серверов DoS на различных компьютерах, которые по команде центрального клиента высылают огромный трафик по одному и тому же адресу. Центральный клиент управляет распределенной армией серверов DoS отсюда и термин Distributed DoS, или DDoS. C помощью DDoS-атаки можно «забить» сервер любой мощности — нужно только подобрать необходимое количество участвующих в атаке компьютеров.
Хотя выше мы уже рассказали о том, как работают троянские программы, еще раз подчеркнем: вы можете даже не знать, что получили троянца и ваш компьютер участвует в DDoS-атаке.
Атака идет с множества адресов ничего не подозревающих пользователей троянцев, среди которых нет адреса злоумышленника. Защита от DDoS-атак строится на анализе источников избыточного, по сравнению с обычным, трафика и на запрете его передачи.
Борьба с вирусами
тратегия антивирусной борьбы различна для корпоративных и частных систем. Очевидно, что обеспечение безопасности организации — гораздо более сложная задача, зависящая от множества факторов, вплоть до того, что создателем вируса может быть даже сотрудник компании. Обычно в рамках вирусной безопасности организации предпринимают также административные меры — определяют доступ к Интернет-ресурсам, регламентируют установку софта на компьютеры сотрудников и пр. Обычно в организации за установку программного обеспечения отвечают конкретные люди — сетевые администраторы, которые несут персональную ответственность за появление вирусов. Жесткие административные меры касаются также использования сотрудниками Интернета. Существуют режимные организации, в которых доступ в Интернет осуществляется с компьютеров, не связанных с сетью организации, а копирование информации из Интернета на электронные носители для сотрудников запрещено.
В рамках данной статьи невозможно рассмотреть все средства для обеспечения вирусной безопасности организации, поэтому ограничимся перечислением средств борьбы с вирусами для домашних пользователей.
В домашних условиях электронная почта является одной из основных причин появления вирусов на вашем компьютере, поэтому прежде всего поговорим о том, как обезопасить себя при работе с почтой. Следует напомнить, что вирусы пересылаются в виде выполняемых вложений и, чтобы занести вирус в систему, эти вложения должны быть запущены. Если вы получаете письмо от незнакомого вам адресата с сомнительными предложениями типа «заработать миллион, потратив пять минут», разумнее всего его просто удалить. В принципе, письмо, которое пришло даже от известного вам человека, может содержать вредоносную программу. Чтобы обезопасить себя, в обязательном порядке сканируйте все вложения перед тем, как их открыть.
Помните, «нельзя украсть то, чего нет» на вашем компьютере — это касается секретной информации. Держите ее на отдельном носителе, к которому нет доступа из Сети. Делайте резервные копии — зараженный компьютер может выйти из строя в самый неподходящий момент.
Тривиальный совет: используйте антивирусные программы, которые проверяют всю входящую почту в поисках зараженных файлов и позволяют предотвратить попадание вирусов, троянцев и червей в вашу систему. Пользуйтесь свежими версиями антивируса. Большинство современных антивирусов имеют функцию Live Update feature, которая обновляет антивирусные базы, как только вы выходите в Интернет.
Вторая возможность обезопасить не только свою электронную почту, но и весь компьютер в целом — использовать личный брандмауэр, который контролирует все потоки информации, поступающие на ваш компьютер.
В заключение хочется отметить, что вредоносные программы оказывают двойственное влияние на Интернет.
С одной стороны, они делают использование Интернета небезопасным и приносят конкретные убытки пользователям. С другой стороны, они делают Интернет безопаснее, поскольку выявляют несовершенство программного обеспечения.
Вредоносные программы используют для своего распространения лазейки в программном обеспечении Сети, однако, когда вирус обнаруживается, ПО модифицируется и Интернет становится безопаснее.
В середине прошлого столетия появились специальные устройства - компьютеры, ориентированные на хранение и преобразование информации и произошла компьютерная революция.
Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.
Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них [5].
Компьютерный вирус - это специально написанная небольшая по размерам программа, имеющая специфический алгоритм, направленный на тиражирование копии программы, или её модификацию и выполнению действий развлекательного, пугающего или разрушительного характера.
Программа, внутри которой находится вирус, называется зараженной. С началом работы такой программы вирус получает доступ ко всей операционной системе. Вирус находит и заражает другие программы, а также выполняет какие-либо вредоносные действия. Например, портит файлы или таблицу размещения файлов на диске, занимает оперативную память и т.д. После того, как вирус выполнит свои действия, он передает управление той программе, в которой он находится, и она работает как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной. Поэтому далеко не сразу пользователь узнаёт о присутствии вируса в машине [1].
К числу наиболее характерных признаков заражения компьютера вирусами относятся следующие:
В настоящее время известно более 50000 программных вирусов, которые классифицируют по следующим признакам:
Любой вирус, независимо от принадлежности к определенным классам, должен иметь три функциональных блока: блок заражения (распространения), блок маскировки и блок выполнения деструктивных действий. Разделение на функциональные блоки означает, что к определенному блоку относятся команды программы вируса, выполняющие одну из трех функций, независимо от места нахождения команд в теле вируса.
После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки. Например, осуществляется расшифровка тела вируса. Затем вирус осуществляет функцию внедрения в незараженную среду обитания. Если вирусом должны выполняться деструктивные воздействия, то они выполняются либо безусловно, либо при выполнении определенных условий.
Завершает работу вируса всегда блок маскировки. При этом выполняются, например, следующие действия: шифрование вируса (если функция шифрования реализована), восстановление старой даты изменения файла, восстановление атрибутов файла, корректировка таблиц ОС и др.
Последней командой вируса выполняется команда перехода на выполнение зараженных файлов или на выполнение программ ОС.
Для удобства работы с известными вирусами используются каталоги вирусов. В каталог помещаются следующие сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в ОП для резидентных вирусов, вызываемые эффекты, наличие (отсутствие) деструктивной функции и ошибки. Наличие каталогов позволяет при описании вирусов указывать только особые свойства, опуская стандартные свойства и действия [4].
Знание классификации компьютерных вирусов позволяет оценить степень угрозы, метод борьбы и уровень необходимой защиты ПО от вредоносных воздействий.
Читайте также: