Путей распространения вирусов существует множество. Вирус может попасть на компьютер пользователя вместе с дискетой, пиратским компакт-диском или с сообщением электронной почты. Чтобы не стать жертвой этой напасти, каждому пользователю следует хорошо знать принципы защиты от компьютерных вирусов. Ведь нет никакой надежды на то, что с приходом нового тысячелетия вирусы исчезнут. Так же как и нет надежды справиться с ними окончательно в какие-то обозримые сроки, так как таланту авторов антивирусных программ противостоит фантазия компьютерных графоманов.
Файлы: 1 файл
В качестве ответной меры разработчики вирусов научились создавать такие вирусы, которые умеют «прятаться» от антивирусных программ. С этой целью вирусы перехватывают вызовы некоторых функций ОС.
Благодаря такому перехвату антивирус, читая зараженный файл или загрузочную запись, фактически получает незараженные данные. Тем самым антивирус вводится в заблуждение.
Вот определение стелс-вируса, работающего по описанной выше схеме:
КАК УДАЛИТЬ ВСЕ ВИРУСЫ С КОМПЬЮТЕРА? 100% РАБОЧИЙ МЕТОД!
Стелс-вирус — это вирус, оставляющий в памяти компьютера модули, перехватывающие обращение программ к дискам.
Когда программа читает зараженный файл или загрузочную запись, стелс-вирус подменяет данные, чтобы ввести в заблуждение антивирусные программы
Следует отметить, что были разработаны и ответные меры. Используя специальные методики и программное обеспечение, можно организовать защиту и от стелс-вирусов.
Первые антивирусные программы искали вирусы, сравнивая содержимое файлов и секторов диска с характерными фрагментами вирусов (с сигнатурами вирусов). Именно эти фрагменты хранились в вирусных базах данных антивирусных программ.
Чтобы исключить обнаружение свих изделий, разработчики компьютерных вирусов стали применять шифрование вирусного кода. Так появились шифрующиеся вирусы:
Шифрующийся вирус — это вирус, который при заражении новых файлов и системных областей диска шифрует собственный код, пользуясь для этого случайными паролями (ключами).
Когда вирус получает управление, он расшифровывает свой собственный код и передает ему управление.
Современные антивирусы умеют расшифровывать код вируса, поэтому шифрующиеся вирусы могут быть эффективно обнаружены и уничтожены.
В середине 90-х годов впервые появились компьютерные вирусы, атакующие не программные файлы, а файлы документов пакета программ Microsoft Office.
В отличие от ранее известных вирусов, вирусы, заражающие файлы документов, состоят не из команд центрального процессора компьютера, а из макрокоманд языка WordBasic.
Эти вирусы получили название макрокомандных вирусов:
Макрокомандный вирус прикрепляется к файлам офисных документов и распространяется вместе с ними.
Макрокомандные вирусы написаны с использованием интерпретируемого языка программирования, встроенного в офисные приложения для автоматизации обработки офисных документов
Первый главный секрет первого вируса WinWord.Concept и практически всех остальных известных нам сегодня вирусов для текстового процессора Microsoft Word, заключается в том, что он использовал возможность сохранения файла документа в формате файла стилей.
КАК УДАЛИТЬ ВСЕ ВИРУСЫ НА КОМПЬЮТЕРЕ??? #shorts
Файл, зараженный макрокомандным вирусом, можно открыть как обычный файл документа. Его можно редактировать и сохранить изменения на диске. Единственное, что нельзя с ним сделать, так это сохранить файл в другом формате, например в формате документа или в формате RTF.
Если выбрать из меню File строку Save As, то в открывшемся диалоговом окне Save As список Save File as Type, будет показан серым цветом и не доступен для выбора. Такой «дефект» трудно заметить, потому что операция сохранения файла в другом формате выполняется достаточно редко.
Рис. 1-7. Диалоговаое окно Save As
Макрокомандный вирус размножается, изменяя код стандартных макрокоманд, предназначенных, например, для открытия и сохранения файла. Вместе с выполнением полезных функций измененные макрокоманды будут сохранять тело вируса в других документах Microsoft Office.
Макрокомандные вирусы получили широкое хождение после возникновения и широкого распространения пакета программ Microsoft Office.
Хотя первые макрокомандные вирусы поражали только документы Microsoft Word, вскоре появились макрокомандные вирусы и для других приложений Microsoft Office.
Фактически макрокомандные вирусы можно создать для документов, создаваемых любыми приложениями, если помимо данных внутри документов хранятся макрокоманды, а язык макрокоманд допускает не только чтение, но и запись файлов.
Современные антивирусы обнаруживают макрокомандные вирусы, сканируя содержимое документов.
Вместе с ростом популярности Интернета повсеместно распространилась электронная почта, представляющая собой один из наиболее важных сервисов этой всемирной сети.
По каналам электронной почты передается огромное количество деловой и личной почты, а от работоспособности этого сервиса зависит успешность деятельности огромного количества компаний.
Популярностью электронной почты воспользовались разработчики вирусов, создав новый тип вирусов — почтовые вирусы:
Почтовый вирус использует для своего распространения каналы электронной почты.
Заражение почтовым вирусом происходит в результате действий пользователей, просматривающих почту, а также из-за ошибок в почтовых программах и операционных системах
Известно, что вместе с электронным сообщением можно предать любые файлы (рис. 1-8). Такие файлы называются присоединенными или файлами вложений (attachment file).
Рис. 1-8. Файл вложения внутри сообщения электронной почты
Файлы вложений таят в себе угрозу для компьютера — через них на компьютер может проникнуть вирус, червь, троянская или другая вредоносная программа.
Кроме того, сообщение электронной почты может передаваться в виде документа HTML, которые обычно служат основой для создания Web-сайтов Интернета.
Привлекательность такого формата для сообщений электронной почты заключается в том, что он допускает произвольное форматирование текста сообщения, а также добавление в сообщение ссылок на ресурсы Интернета, изображений и активных компонентов, таких как аплеты Java и элементы управления ActiveX.
Если сообщение электронной почты передается в формате HTML, то оно представляет потенциальную угрозу для получателя. Сообщение может содержать ссылку на вредоносный компонент, размещенный где-либо в Интернете, а также вредоносный программный код, активизирующийся при просмотре сообщения.
Попав на компьютер пользователя, почтовый вирус может разослать свой код по адресам, извлеченным из книги электронных адресов почтовой программы, установленной на компьютере. Это позволяет почтовому вирусу быстро распространяться по Интернету.
Обычные антивирусные программы, рассчитанные на проверку файлов и дисков, не всегда способны обнаружить вирусы в сообщениях электронной почты. Это происходит потому, что такие сообщения хранятся в базах данных почтовых программ, имеющих различный формат.
Современные антивирусы умеют не только сканировать базы данных сообщений распространенных почтовых программ, но и нейтрализуют почтовые вирусы непосредственно на почтовых серверах, а также на рабочих станциях (персональных компьютерах) до того, как сообщения попадут в почтовую программу.
С этой целью почтовые программы сканируют «на лету» потоки данных протоколов SMTP, POP3 и IMAP, предназначенных для передачи сообщений электронной почты.
В настоящее время почтовые вирусы представляют собой наибольшую опасность, так как они встречаются намного чаще вирусов других типов.
Источник: www.yaneuch.ru
Методы хакеров
Вредоносный код продолжает оставаться большой проблемой безопасности для большинства организаций, а также для домашних пользователей. Термин » вредоносный код » подразумевает три различных типа программ:
- компьютерные вирусы;
- программы » троянский конь «;
- черви.
В следующих разделах мы подробно рассмотрим каждый тип.
Компьютерные вирусы являются паразитами по отношению к другим компьютерным программам. Они сделаны так, что не могут жить самостоятельно. При выполнении программы, в которую внедрен вирус , исполняется код вируса, реализующий собственные функции. Эти функции обычно включают заражение других программ и распространение на другие диски.
Некоторые вирусы являются вредоносными — они удаляют файлы или выводят из строя систему. Другие вирусы не наносят никакого вреда, кроме распространения самих себя по компьютерным системам.
Вирусы начали появляться в то время, когда компьютеры использовали дисковую операционную систему — DOS . (Не путайте с атакой DoS !) Эти вирусы распространялись через файлы, доступные на электронных досках объявлений, или через дискеты. Позднее были созданы вирусы, которые прикреплялись к файлам текстовых редакторов и исполнялись как часть языка макросов в программах обработки текста.
Примерами компьютерных вирусов являются вирус Микеланджело (Michelangelo) (уже устаревший) и макровирус Мелисса (Melissa). Более подробное описание различных вирусов находится на сайтах http://www.symantec.com/ и http://www.mcafee.com/.
Все типы вредоносного кода относят к категории компьютерных вирусов . Запомните описания вирусов и попробуйте понять, как работает код, чтобы правильно его классифицировать. Принципы работы этих программ напрямую связаны с выбором наиболее эффективных механизмов защиты.
«Троянские кони»
Древние греки спрятали в подношении воинов, готовящих нападение. Так и » троянский конь » скрывает свою вредоносную сущность под видом полезной и интересной программы. » Троянский конь » является законченной и независимой программой, которая разработана для выполнения вредоносных действий. Она обычно маскируется под новую программу или электронную почту.
Большинство программ типа » троянский конь » содержат механизмы самораспространения на другие компьютеры-жертвы. Возьмем для примера программу ILOVEYOU. Она попадает на компьютер через сообщение электронной почты с вложением, содержащим программу на Visual Basic . Это вложение выглядит, как обычный текстовый файл . Но если пользователь откроет этот файл , то выполнится код на Visual Basic . Он отправит сам себя по почте всем пользователям, адреса которых найдет в адресной книге жертвы.
Ущерб от «троянских коней» подобен ущербу от компьютерных вирусов . Программа , подобная ILOVEYOU, может вызвать DoS-атаку вследствие истощения ресурсов компьютера. Во многих организациях программа ILOVEYOU полностью остановила работу служб электронной почты.
Судя по названию, червь — это программа , которая «переползает» от системы к системе без всякой помощи со стороны жертвы. Червь сам себя распространяет и воспроизводит. Все, что требуется от его создателя, — запустить червя.
Первым известным примером является знаменитый интернет -червь, созданный Робертом Моррисом в 1989 г. Червь Морриса был запрограммирован на использование множества уязвимых мест, в том числе слабых паролей. С их помощью он отыскивал в интернете системы, в которые проникал и выполнялся. Попав в систему, червь начинал разыскивать другие жертвы. По прошествии некоторого времени он вывел из строя весь интернет (правда, интернет тогда был значительно меньше, и многие сайты отключились от сети сами, чтобы защититься от червя).
В последнее время широкую известность приобрел червь CodeRed . Он использовал уязвимые места в информационных службах интернета ( IIS ) от Microsoft для распространения через всемирную сеть . Поскольку он использовал для атаки легальные веб-соединения, защитить от него компьютеры не смогли даже межсетевые экраны. Попав в систему, CodeRed выбирал произвольный адрес для следующей атаки.
В первоначальной версии червя CodeRed имелась проблема выбора адреса для следующей атаки. В поздних версиях червя она была решена, за счет чего червь стал распространяться быстрее. До сих пор еще встречаются инфицированные червем CodeRed системы, сканирующие интернет в поисках систем, которые можно вывести из строя.
Пример червя Slapper
В сентябре 2002 г. в интернете появился червь Slapper, который продемонстрировал потенциальную опасность червей. Этот червь действовал не сразу, подготавливая «плацдарм» для будущей атаки. Следует отметить, однако, что даже в момент своего наивысшего подъема червь Slapper не затронул такого количества систем, как червь CodeRed .
Червь Slapper использовал уязвимое место в модуле OpenSSL веб-сервера Apache (OpenSSL позволяет работать с протоколом защищенной передачи гипертекстов HTTPS ). Попав в систему, червь выбирал IP- адрес для атаки из списка сетей класса А, запрограммированных в коде червя. Затем Slapper исследовал IP- адрес целевой системы и проверял, выполняется ли на ней веб- сервер . В случае положительного ответа он выяснял, не является ли этот веб- сервер сервером Apache, работающим на платформе Intel (поскольку он имеет свои специфические «бреши»). В конце концов червь определял наличие в целевой системе уязвимого места для атаки.
Сама атака выполнялась посредством использования HTTPS и порта 443. Это затрудняло обнаружение нападения, так как трафик шифровался. Единственное, что выдавало деятельность червя: при поиске уязвимого места он использовал стандартный протокол HTTP и порт 80 и легко обнаруживал себя.
Эксплойт, выполнявшийся на целевой системе, позволял червю получить доступ к командам оболочки shell , с помощью которых он копировал и компилировал самого себя, а затем выполнял получившуюся программу. Далее он отыскивал новые жертвы и запускал процесс снова и снова. После инфицирования одной системы червь продолжал с нее поиск других уязвимых систем.
Самой опасной функцией червя Slapper (и ключевым компонентом будущих червей) была его способность к распространению по сети. Вместо иерархической модели связи (см. рис. 3.6) он использовал модель равноправных узлов. Каждая взломанная система взаимодействует через UDP с тремя системами: одна система инфицирует ее, а две системы инфицирует она.
С помощью этого механизма полученная команда перенаправляется ко всем доступным узлам. Первоначальный червь планировался для координации DoS -атак. Тот, кто намеревался использовать это, должен был тщательно «прятать» эти механизмы подключения и работы в сети.
В последнее время появилась еще одна разновидность вредоносных программ — объединение двух типов программ в одну. Можно встретить программы, действующие одновременно и как черви, и как » троянские кони «.
Прекрасным примером является червь Nimda, который использовал уязвимые места веб-сервера для перемещения с одной системы на другую, подобно червю. Однако Nimda распространялся и через вложения электронной почты, сделанные весьма привлекательными для пользователя, чтобы соблазнить его открыть файл . После открытия вложения червь распространялся далее через электронную почту. Он использовал системы жертв для атаки веб-серверов.
Вопросы для самопроверки
- Назовите три типа вредоносных программ.
- Почему трудно выполнить снифинг в коммутируемых сетях?
Источник: intuit.ru
Что такое компьютерный вирус?
Юные хакеры порой спрашивают у меня что такое компьютерный вирус?, вот решил ответить на этот вопрос. Компьютерным вирусом является программа, которая распространяет вредоносный код путем самокопирования.
Некоторые вирусы, заражая компьютер, могут никак себя не проявить, сидеть тихонько в отдаленном закутке жесткого диска и помалкивать, другие молчать не будут и сразу после заражения переходят к активным действиям, например могут повредить драйвер какого нибудь устройства, а также начинают загружать процессор бесполезными задачами, вследствие чего компьютер нещадно «тормозит» и «виснет» по чем зря. Свое специфическое имя (по аналогии с биологическим вирусом) компьютерный вирус получил благодаря механизму размножения.
Он может распространяться через съемные носители данных (CD и DVD диски, USB-накопители). Также можно встретить такой термин, имеющий отношение к вирусне, как malware( malicious software — «злонамеренное программное обеспечение»). Следует отметить, что разновидность вредоносов adware ( англ. ad, advertisement software — «рекламное программное обеспечение») и spyware (англ. spy, spy software — «шпионское программное обеспечение») на самом деле не являются вирусами, так как они не имеют такой же репродуктивной способности.
Многие вирусы прикрепляются к исполняемым файлам, что позволяет вирусу загружаться всякий раз, как пользователь запускает зараженный файл. Попадая в память компьютера, вирус активируется, после чего начинает распространять свой вредоносный код в другие программы и файлы, хранящиеся на компьютере. Компьютерные программы могут по-прежнему продолжать нормально работать и в тоже время распространять код вируса на другие компьютеры, посредством сети или через флешки и прочие внешние накопители. Особенной коварностью отличаются вирусы, использующие полиморфный код, которые, чтобы избежать обнаружения антивирусом, меняют свой код каждый раз, как заражают новый компьютер. Большинство вирусов также используют уязвимости кода программ, написанных с ошибками.
И напоследок. Каждый день появляются сотни новых вирусов и дабы не постигла вас сия напасть, обновляйте антивирус каждый день и не запускайте подозрительные файлы, полученные от таинственных незнакомцев.
Ну и для профилактики прогоните компьютер комплектом программ, про которые можно прочитать в моей статье.
Источник: i-fix-it.ru