До середины 20 века термин «вирус» (в переводе с латыни – яд, ядовитое начало) использовался лишь в медицине, обозначая инфекционный агент, вызывающий заболевание. С появлением, развитием и усложнением компьютерной техники, систем хранения, обработки и передачи информации, а также соответствующего программного обеспечения возник новый класс программ, известный теперь как компьютерные вирусы. Разумеется, терминология (среда обитания, репликация 1 и др.) и многие подходы (например, профилактика) в рассматриваемой предметной области заимствованы из медицины.
Интересно, что в конце XIX века немецкий микробиолог, один из основоположников современной эпидемиологии Роберт Кох (1843–1910) сформулировал критерии (триада Коха) идентификации возбудителя (вируса) инфекционного заболевания, актуальные и в современной компьютерной вирусологии.
Вот эти критерии [2]:
1. Неоднократное получение чистой культуры возбудителя, взятого из организма больного.
2. Возникновение точно такого же или сходного заболевания (как по характеру течения, так и по вызываемым им патологическим изменениям) при инфицировании здорового организма культурой предполагаемого возбудителя.
Вести.net: «Лаборатория Касперского» создает невосприимчивую к вирусам ОС (21.06.2023)
3. Появление в организме после заражения данным возбудителем всегда одних и тех же специфических защитных веществ.
Сложно судить насчет третьего критерия (вероятно, современное программное обеспечение еще не поднялось на ту ступень развития, при котором будет способно реализовывать модель отторжения вредоносных воздействий, то есть обладать некоторой иммунной системой, зачатки которой, впрочем, уже существуют), но первый и второй критерии в мире современной компьютерной вирусологии – абсолютны.
У истоков. Научная фантастика? Компьютерная вирусология!
Вероятно, одной из первых публикаций в области компьютерных вирусов была статья «Self-reproducing machines» [4]. В ней автор, исследуя проблемы «самовоспроизводящихся механических структур», предложил модель двумерной системы, способной к «активации, захвату и освобождению».
Здесь следует заметить, что несмотря на растиражированное мнение Е. В. Касперского [1] о том, что «нет ни одного пророчества, посвященного компьютерным вирусам. тема вируса в произведениях писателей появилась уже после того, как первый вирус поразил первый компьютер», именно статья Пенроуза явилась катализатором создания Шталем (F. G. Stahl) биокибернетической модели на машинном языке IBM 650 [5], явившейся предвестником современных компьютерных вирусов.
Хотя писатели-фантасты, конечно же, «запоздали». Так, известный роман Бруннера «The Shockware Rider» [6], описывающий идею создания вредоносной программы-«червя», распространяющейся по компьютерной сети, появился лишь в 1975 году. В то время как Боб Томас (B. Thomas) создал реального «червя» – The Creeper для одной из первых компьютерных сетей – ARPAnet уже в 1970 году.
Однако взаимное влияние научной фантастики и компьютерной вирусологии прослеживается с достаточной очевидностью. Так, упомянутый роман Джона Бруннера, несомненно, оказал существенное воздействие на реализацию идеи сетевого вируса. Интересно, что в интервью одной из американских газет мать аспиранта факультета информатики Корнельского университета Роберта Морриса, автора нашумевшего вируса Морриса, поразившего в 1988 году, по некоторым данным, до 6000 компьютеров [7], упомянула о том, что наиболее зачитанной книгой в комнате сына был роман «The Shockware Rider».
Как попасть в Лабораторию Касперского?
Не менее значимыми и во многом предопределившими дальнейшее развитие событий были научно-фантастические романы «The Adolescence of P-1» (1974) Райана (T. J. Ryan) и «Neuromancer» Гибсона. Кстати, в последнем из них впервые введено понятие «киберпространство» (cyberspace) как моделируемой компьютерной информационно-коммуникационной сети, управляемой посредством «согласованных галлюцинаций» [8].
Удивительно, но сегодняшние, вполне осязаемые полеты «военной научной мысли» в области информационных войн, информационного оружия и критических инфраструктур во многом были описаны еще в 1985 году в почти забытом сегодня детективе французов Терри Брентона и Дениса Бениша «Software: la guerre douce» [9]. В нем же, по-видимому, впервые высказана идея «логических бомб» – программных закладок, срабатывающих при определенном стечении обстоятельств или по команде извне (нечто подобное применили американцы во время операции «Буря в пустыне», когда программное обеспечение противоракетной обороны противника было выведено из строя еще до начала военных действий).
Адаптация к условиям среды обитания
Итак, компьютерные вирусы существуют. Первые из них, появившиеся в результате научных экспериментов по созданию «искусственной жизни» в начале шестидесятых годов прошлого века, были еще слабо подготовлены к выживанию в реальной компьютерной среде обитания. Да и самой среды, по сути, еще не существовало. Это был период «пробы пера». Компьютер был редкостью, вирус – экзотикой.
Ситуация начала меняться к концу 70-х годов. К этому времени уже имелся некоторый опыт в создании возбудителей компьютерных заболеваний, вышли в свет первые статьи и научно-фантастические романы, поразившие воображение будущих вирусописателей и явившиеся, таким образом, катализаторами процесса. Но главное, весной 1977 года появился первый персональный компьютер Apple II.
Одновременно происходило бурное развитие сетей передачи информации на базе телефонных каналов, появились первые «базы данных» – BBS (от англ. Bulletin Board System). Одним словом, были реализованы все объективные предпосылки для создания среды обитания компьютерных вирусов. «Искусственная жизнь» стала реальностью.
Одним из первых компьютерных вредителей, получивших на машинах Apple II широкое распространение, стал бутовый 2 вирус Elk Cloner, сообщавший о своем присутствии в системе в стихотворной форме:
ELK CLONER:
THE PROGRAMM WITH
A PERSONALITY
IT WILL GET ON ALL YOUR DISKS
IT WILL INFILTRATE YOUR CHIPS
YES, IT’S CLONER
IT WILL STICK TO YOU LIKE GLUE
IT WILL MODIFY RAM, TOO
SEND IN THE CLONER!
Нельзя не упомянуть об имевшей большое влияние на развитие компьютерной вирусологии статье Фреда Коэна «Computer viruses: theory and experiments» [10], представляющей собой академическое исследование проблем в области вирусных технологий и, в частности, описание одной из разновидностей файлового 3 вируса.
Следующим этапом в развитии вирусов явились события 1985 – 86 годов: появление самых массовых, IBM-совместимых персональных компьютеров; быстрый рост их производительности с одновременным снижением стоимости (и, как следствие, широким распространением). Среда обитания вирусов менялась, менялись и сами вирусы – они приспосабливались!
Эти годы были отмечены пандемией 4 одного из первых IBM PC – вирусов Brain (известного также как «пакистанский вирус»), заражавшего загрузочные секторы дискет при обращении к ним. Написанный в 1986 году выпускниками Пенджабского университета (Пакистан) братьями Амджатом и Базитом Алви, возмущенными несанкционированным использованием программного обеспечения и выразившими таким образом свой протест, Brain (являвшийся к тому же первым известным стелс-вирусом 5 ), по оценке McAfee [11], только в США заразил более 18 тысяч компьютеров.
И это было только начало. Конец 80-х годов был отмечен волнообразными вирусными эпидемиями. На смену вирусу Brain пришли Vienna и Lehigh, Datacrime и Vacsina. Свирепствовали сетевые вирусы, такие как Christmas Tree и HI.COM.
Но происходило не просто увеличение количества компьютерных вирусов, они совершенствовались, обходя защитные механизмы появившихся к тому времени антивирусных программ, приспосабливаясь к изменяющейся среде обитания (см. рисунок) [1, 18]. Так, сетевой червь «Internet Worm» (более известный как «вирус Морриса») не только использовал при репликации ошибки ОС UNIX (для VAX и SUN Microsystems), но и осуществлял подбор пользовательских паролей [7, 12].
Девяностые годы ознаменовались появлением полиморфных вирусов 6 (первым из которых был, вероятно, Chameleon), что послужило толчком (Нет худа без добра!) к развитию нового поколения антивирусного программного обеспечения. Теперь уже для идентификации вирусов недостаточно стало осуществлять поиск их сигнатур. Антивирусные программы вынуждены были перейти к использованию специальных методов, «к которым можно отнести эмуляцию выполнения кода вируса, математические алгоритмы восстановления участков кода и данных в вирусе и т. д.» [1].
Но война на этом не закончилась. В очередной раз изменились «условия проведения боевых операций». Вирусы продолжали мутировать по пути приспособления ко все более агрессивной по отношению к ним среде обитания, приобретая новые свойства, используя новые способы репликации.
1995 год ознаменовался сразу двумя выдающимися событиями, значение первого из которых не до конца оценено и поныне. В начале года был обнаружен двуполый вирус RMNS (не трудно представить себе возможные реализации заложенной в нем идеи, например, запуск «программы оплодотворения» при наступлении определенных внешних условий), а в августе – первый вирус под Microsoft Word, макровирус 7 Concept.
Дальнейшие события в области компьютерной вирусологии все больше напоминали сводки с полей сражений. Не успевала схлынуть одна волна вирусных атак, а пользователи компьютеров «зализать раны» посредством свежих антивирусных релизов, как появлялись новые монстры с более совершенными механизмами нападения и репликации. В последнее время вирусописатели используют любые мало-мальски удобные поводы для внедрения своего детища, примером чему может служить вирус нидерландца Яна де Вита «Anna Kournikova» (взрывное распространение которого объясняется сочетанием вирусной технологии с элементами психологии и социальной инженерии).
И даже такое трагическое событие, как террористическая атака на небоскребы Международного торгового центра в США 11 сентября 2001 года, нашло свое отражение в мире компьютерной вирусологии. Появился вирус War Vote, который распространяется по электронной почте в виде письма с темой «Peace between America and Islam!» и приложенным файлом WTC.EXE.
При запуске этого файла вирус пытается отправить себя по адресам, найденным в адресной книге Outlook Express и стереть все файлы на жестком диске кроме HTML-страниц. Их он заменяет текстом, который переводится как «Америка. Несколько дней покажут тебе, что мы можем сделать. Пришла наша очередь. ZaCker тебя очень жалко».
Интересно отметить, что в настоящее время ничего не известно о графических вирусах. Более того, в академическом труде Джеймса Мюррея и Уильяма ван Райпера «Энциклопедия форматов графических файлов» [13] прямо указано, что «графические файлы не могут быть заражены вирусом, так как не являются выполнимыми (не имеют такого кода). Статические графические файлы (не содержащие кода) вообще защищены от инфекции». И далее – «подводя черту сказанному, следует отметить, что графические файлы – очень неподходящие кандидаты для заражения компьютерным вирусом», он «не может использовать графический файл. для воспроизводства». Другие авторы говорят примерно то же.
Однако, по мнению автора настоящей статьи, представляется вполне возможным существование технологии репликации вирусов, основанной на заражении графических файлов, причем такой, при которой обнаружение сигнатуры вируса станет принципиально невыполнимой задачей (при соблюдении определенных граничных условий). Основой такой технологии может стать компьютерная стеганография, позволяющая скрывать в цифровом контенте графического изображения (видео или даже звука) зашифрованное тело вируса.
Но есть и более простой путь, который может быть реализован на основе использования стандартных механизмов, присущих типовым файлам графических форматов.
Известно, что ряд графических файлов включают команды, которые предназначены для выполнения конкретными прикладными программами, с помощью которых отображается текст (например, выводится меню), воспроизводится звук или читаются данные из других файлов. В качестве примера можно привести графический файл формата GIF 89a (от англ. Graphic Interchange Format) [14]. Вероятно, появление вирусов, основанных на использовании свойств подобных файлов, – это только вопрос времени.
Перспективы
Поскольку вирусы не являются самодостаточными, «живыми» организмами (в том смысле, что для репликации им необходимы «внеш ние» программы), относительно независимую эволюционную историю они приобретают благодаря адаптации к изменяющимся условиям существования. Это предопределяет появление как очередных разновидностей уже имеющихся вредителей, так и вирусов, несущих в себе принципиально новые идеи.
Имеется достаточно обширный опыт борьбы с ними: от разработки противоядия (соответствующих антивирусных программ), до проведения правовой профилактики. К примеру, рассматриваемый правительством Австралии новый закон о компьютерной безопасности CiberCrime Bill 2001 предполагает наложение на граждан запрета не только использовать, но и осуществлять хранение как хакерских программ (к которым отнесены, в частности, программы, используемые системными администраторами для тестирования надежности систем), так и редакторов для написания вирусов [15].
Очевидно, в ближайшее время следует ожидать возникновения вирусов, использующих для размножения нетрадиционные (с сегодняшней точки зрения) типы файлов. Будет продолжаться рост и общего числа вирусов, и неминуемых потерь, вызванных их «жизнедеятельностью».
Так, по данным MessageLabs [16], на сегодняшний день каждое трехсотое сообщение электронной почты заражено компьютерным вирусом (в октябре 2000 года заражено было лишь каждое семисотое). По прогнозам компании, при сохранении существующей тенденции уже к 2008 году заражено будет каждое десятое сообщение, а к 2013-му – каждое второе, что приведет к невозможности использования сети Internet как безопасного средства обмена электронной корреспонденцией.
По мнению представителя MessageLabs Марка Саннера: «Недавняя эпидемия вируса Nimda подтолкнула некоторых комментаторов к заявлению, что вирусная угроза является слишком надуманной. Не верьте таким словам – это серьезная проблема, которая не исчезнет сама по себе. Рост количества почтовых вирусов, а также распространение гибридных вирусов, атакующих на нескольких направлениях одновременно, означает, что если Internet и не погибнет, то однозначно перестанет быть средством безопасной коммуникации для бизнеса и домашних пользователей» [16].
Перспективы, прямо скажем, не радужные. Однако очевидные успехи антивирусных компаний (и не в последнюю очередь «Лаборатории Касперского» [17]), с завидной оперативностью устраняющих «с поля боя» очередных «вирусных волонтеров», вселяют вполне оправданный оптимизм.
Литература:
1. Касперский Е. В. Компьютерные вирусы: что это такое и как с ними бороться. М.: СК Пресс, 1998.
2. Реферат: Являются ли вирусы живыми организмами. М.: Кирилл и Мефодий, 2000.
3. Советский энциклопедический словарь. М.: Советская энциклопедия, 1979.
4. Penrose L. S. Self-reproducing machines //Scientific American, 1959. V. 200. № 6. Pp. 105–114.
5. Dewdney A. K. A Core War bestiary of viruses, worms and other threats to computer memories //Scientific American, 1985. V. 252. № 3. Pp. 14–19.
6. Brunner J. The Shockware Rider. N.Y.: Harper S, 1989. V. 8. № 1. Pp. 3–13.
8. Gibson W. Neuromancer. N.Y.: Ace Science Fiction, 1984.
9. Brenton T., Beneich D. Software: la guerre douce. Paris, 1985.
10. Cohen F. Computer viruses: theory and experiments // Proc. 2nd IFIP Int. Conference on Computer Security, 1984. Pp.
143–158.
11. McAfee J. The virus cure //Datamation, 1989. V. 35. № 4. Pp. 29–40.
12. Моисеев И. КомпьютерПресс, 1991. № 8, 9.
13. Мюррей Д., ван Райпер У. Энциклопедия форматов графических файлов / Пер. с англ. К.: Издательская группа BHV, 1997.
14. Сайт компании Compuserve: http://www.compuserve.com.
15. van Dijb S. Cybercrime bill «draconian and dangerous» // ComputerWorld (Australia). Iuly 2001.
16. Новостной раздел сайта «Большая вирусная энциклопедия»: http://www.viruslist.com.
17. Сайт компании «Лаборатория Касперского»: http://www.kav.ru.
18. Володин А. Компьютерные инфекции // Банковские технологии. 2001. № 1.
_______________________________
1 Репликация (от лат. replicatio) – то же, что ауторепродукция, аутосинтез. В медицине этим термином обозначают [3] копирование генетической информации, заключенной в молекулах ДНК, и передачу ее от поколения к поколению.
2 Бутовый (от англ. boot – загрузка) – загрузочный вирус. Принцип действия бутовых вирусов основан на перехвате прерывания по чтению и заражению boot-сектора дискет или MBR (от англ. Master Boot Record) жестких дисков.
3 Файловыми принято называть вирусы, которые при репликации используют файловую систему той или иной операционной системы (ОС). Файловые вирусы делятся на: overwriting-, parasitic-, companion-, link-вирусы; файловые «черви»; а также достаточно редкие вирусы, «заражающие библиотеки компиляторов (LIB-вирусы), объектные модули (OBJ-вирусы) и исходные тексты программ» [1].
4 Пандемия (от греч. pandemia – весь народ) – эпидемия вирусного заболевания, охватывающая значительную часть населения страны, группу стран, континента [3].
5 Стелс-вирусы (от англ. stealth – украдкой, ) – вирусы, предпринимающие определенные действия для сокрытия следов своего присутствия в системе.
6 Полиморфные вирусы (от греч. polys – многий, многочисленный и morphe – форма ) – то есть «имеющие много форм». Это тип вирусов, которые по определенным законам видоизменяют свой код с тем, чтобы антивирусные программы не могли обнаружить их по сигнатуре (присущей коду вируса битовой последовательности).
7 Макровирусы (от греч. makros – большой, длинный и лат. virus – яд) – тип компьютерных вирусов, представляющих собой программы на макроязыках (например, Visual Basic для Microsoft Exсel), встроенные в системы обработки данных (например, в текстовый редактор Microsoft Word или электронные таблицы Microsoft Exсel).
«Защита информации. Кофидент», № 6, 2001, с. 62-65.
Источник: www.cprspb.ru
Классификация вредоносных программ. Вирусология
Вредоносная программа — компьютерная программа или переносной код, предназначенный для реализации угроз информации, хранящейся в компьютерной системе, либо для скрытого нецелевого использования ресурсов системы, либо иного воздействия, препятствующего нормальному функционированию компьютерной системы.
К вредоносному программному обеспечению относятся сетевые черви, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.
ВВЕДЕНИЕ
3
1. Вирусология
4
2. Классификация вредоносных программ
6
2.1. Сетевые черви
6
2.2. Классические вирусы
9
2.3. Троянские программы
12
2.4. Прочие вредоносные программы
15
Заключение
18
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ
19
Файлы: 1 файл
3) Вирусы-компаньоны (Companion). Данный способ подразумевает создание файла-двойника, при этом код файла-жертвы не изменяется. Обычно вирус изменяет расширение файла (например, с .exe на .com), потом создает свою копию с именем, идентичным имени файла-жертвы, и дает ему расширение, тоже идентичное. Ничего не подозревающий пользователь запускает любимую программу и не подозревает, что это вирус. Вирус, в свою очередь, заражает еще несколько файлов и запускает программу, затребованную пользователем.
Существуют и еще способы заражения, но они настолько редко встречаются, что мы остановимся только на их перечислении: вирусы, заражающие объектные модули (OBJ); вирусы, заражающие библиотеки компиляторов (LIB); вирусы, заражающие исходные тексты программ. Известные на текущий момент загрузочные вирусы заражают загрузочный сектор гибкого диска и boot-сектор или Master Boot Record (MBR) винчестера.
Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера — после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает на него управление. При заражении дисков загрузочные вирусы «подставляют» свой код вместо какой-либо программы, получающей управление при загрузке системы.
Принцип заражения, таким образом, одинаков во всех вышеописанных способах: вирус «заставляет» систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, а коду вируса. Заражение дискет производится единственным известным способом — вирус записывает свой код вместо оригинального кода boot-сектора дискеты.
Винчестер заражается тремя возможными способами: вирус записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска C:), либо модифицирует адрес активного boot-сектора в таблице разделов диска (Disk Partition Table), расположенной в MBR винчестера. При инфицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска (например, в первый свободный).
Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных). Макровирусы в основном заражают документы MS Office. При этом вирус добавляет свой код в область макросов документа. Расположение кода вируса в документах разных приложений вышеописанного пакета разное.
Скрипт-вирусы — это вирусы, написанные на скрипт-языках (VBS, JS, BAT, PHP и т.д.). Заражают они файлы довольно большого диапазона расширений: от .exe до .html.
2.3. Троянские программы
Троянская программа — это вредоносный код, совершающий не санкционированные пользователем действия (например, кража информации, уничтожение или модификация информации, использование ресурсов машины в злонамеренных целях и т.д.). Троянские программы являются наиболее распространенными в киберсреде, так как существует множество конструкторов, позволяющих даже неопытному пользователю создавать собственные программы данного типа.
1) Троянские утилиты удаленного администрирования (Backdoor).
Троянские программы этого класса являются утилитами удаленного администрирования (управления) компьютеров. В общем, они очень похожи на «легальные» утилиты того же направления. Единственное, что определяет их как вредоносные программы, — это их действия без ведома пользователя. Данная программа при установке иили загрузке не выдает никаких уведомлений.
Таким образом, обладатель конкретной копии данного ПО может без ведома пользователя осуществлять операции разного рода (от выключения компьютера до манипуляций с файлами). Таким образом, троянские программы данного класса являются одними из наиболее опасных. Некоторые backdoor’ы, также могут распространяться по сети, как сетевые черви, но не самостоятельно, а после соответствующей команды владельца копии.
2) Похитители паролей (Trojan-PSW). Эти занимаются тем, что воруют пароли. Проникнув на компьютер и инсталлировавшись, троянец сразу приступает к поиску файлов, содержащих соответствующую информацию. Кража паролей — не основная спецификация программ этого класса — они также могут красть информацию о системе, файлы, номера счетов, коды активации другого ПО и т.д.
3) Интернет-кликеры (Trojan-clicker). Данное семейство троянских программ занимается организацией несанкционированных обращений к интернет- ресурсам путем отправления команд интернет-браузерам или подмены системных адресов ресурсов. Злоумышленники используют данные программы для следующих целей: увеличение посещаемости каких-либо сайтов (с целью увеличения количества показов рекламы); организация атаки на сервис; привлечение потенциальных жертв для заражения вредоносным программным обеспечением.
4) Загрузчики (Trojan-Downloader). Эти трояны занимаются несанкционированной загрузкой программного обеспечения (вредоносного) на компьютер ничего не подозревающего пользователя. После загрузки программа либо инсталлируется, либо записывается трояном в автозагрузку (это в зависимости от возможностей операционной системы).
5) Установщики (Trojan-Dropper). Эти устанавливают на компьютер-жертву программы — как правило вредоносные. Анатомия троянцев этого класса следующая: основной код, файлы. Основной код собственно и является троянцем. Файлы — это программа/ы, которая/ые он должен установить.
Троянец записывает ее/их в каталог (обычно временных файлов) и устанавливает. Установка происходит либо незаметно для пользователя, либо с выбросом сообщения об ошибке.
6) Троянские прокси-серверы (Trojan-Proxy). Семейство троянских программ, скрытно осуществляющих доступ к различным интернет-ресурсам — обычно с целью рассылки спама.
7) Шпионские программы (Trojan-Spy). Данные трояны осуществляют шпионаж за пользователем: записывание информации, набранной с клавиатуры, снимки экрана и т.д. В данной категории также присутствуют «многоцелевые» троянские программы — например, те из них, которые одновременно шпионят за пользователем и предоставляют proxy-сервис удаленному злоумышленнику.
8) Сокрытие присутствия в операционной системе (Rootkit). Понятие rootkit пришло к нам из UNIX. Первоначально это понятие использовалось для обозначения набора инструментов, применяемых для получения прав root.
Так как инструменты типа rootkit на сегодняшний день «прижились» и на других ОС (в том числе на Windows), следует признать подобное определение rootkit морально устаревшим и не отвечающим реальному положению дел. Таким образом, Rootkit — программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.). Для поведения Rootkit в классификации «Лаборатории Касперского» действуют правила поглощения: Rootkit — самое младшее поведение среди вредоносных программ. То есть, если Rootkit-программа имеет троянскую составляющую, то она детектируется как Trojan.
Условно все руткит-технологии можно разделить на две категории:
- Руткиты работающие в режиме пользователя (user-mode)
- Руткиты работающие в режиме ядра (kernel-mode)
Первая категория основана на перехвате функций библиотек пользовательского режима, вторая — на установке в систему драйвера, осуществляющего перехват функций уровня ядра.
9) Архивные бомбы (ArcBomb). Вот это интересная штука. дело в том, что такого рода архив при попытке архиватора его обработать вызывает «нестандартные» действия последнего. Компьютер может просто зависнуть или его работа существенно замедлится. Также жесткий диск может заполниться бальшим колличесвом «пустой» информации.
Встречаются три типа подобных «бомб»: некорректный заголовок архива, повторяющиеся данные и одинаковые файлы в архиве. Некорректный заголовок архива или испорченные данные в архиве могут привести к сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива. Значительных размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой файл в архив небольшого размера (например, 5 Гб данных упаковываются в 200 Кб RAR- или в 480 Кб ZIP-архив). Огромное количество одинаковых файлов в архиве также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10100 одинаковых файлов в 30 Кб RAR- или 230 Кб ZIP-архив).
10) Оповещение об атаке, увенчавшейся успехом (Trojan-Notifier). Троянцы данного типа предназначены для сообщения своему «хозяину» о зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере — например, его IP-адрес, номер открытого порта, адрес электронной почты и т.п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением. Данные троянские программы используются в многокомпонентных троянских наборах для оповещения «хозяина» об успешной инсталляции троянских компонент в атакуемую систему.
2.4. Прочие вредоносные программы
К прочим вредоносным относятся разнообразные программы, не представляющие угрозы непосредственно компьютеру, на котором исполняются, а разработанные для создания других вирусов или троянских программ, организации DoS-атак на удаленные серверы, взлома других компьютеров и т.п. . Сетевые атаки (Dos, DDoS). Эти «утилиты» используются нарушителями для организации атак на отказ в обслуживании. При выполнении атаки в адрес жертвы отправляется большое количество пакетов, в результате оборудование не справляется, и наступает так называемый «висюк». Программы данного класса бывают двух видов: первый — атака производится с компьютера злоумышленника по его приказу; второй — осуществляется распределительная атака путем заражения компьютеров (такой компьютер называется компьютером-зомби), пользователь работает в сети и при этом не подозревает, что его компьютер — учасник распределительной атаки, направленной на отказ в обслуживании.
1) Взломщики удаленных компьютеров (Exploit, Hacktool). Эти программы используются хакерами для удаленного взлома компьютеров с целью дальнейшего управления ими. При этом эксплойты направлены непосредственно на работу с уязвимостями.
2) «Замусоривание» сети (Flood). Забивание интернет-каналов бесполезной информацией.
3) Конструкторы (Constructor). Софт, использующийся, как правило, малограмотными людьми, т.к. позволяют наиболее просто создавать троянские программы и т.д. Люди знающие обычно пишут свои;)).
4) Фатальные сетевые атаки (Nuker). Утилиты, отправляющие специально оформленные запросы на атакуемые компьютеры в сети, в результате чего атакуемая система прекращает работу. Используют уязвимости в программном обеспечении и операционных системах, в результате чего сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении.
5) Введение пользователя в заблуждение (Bad-Joke, Hoax). Это, в общем-то, и вредоносной программой назвать нельзя. Это программка, которая заставляет пользователя испытать страх, эквивалентный тому, который он ощущает при виде надписи типа: «Warning! System has bin delete», ну, или что-то в этом роде.
6) Шифровальщики вредоносного ПО (FileCryptor, PolyCryptor). Это хакерские утилиты, которые занимаются тем, что скрывают другое вредоносное ПО от антивирусных программ.
7) «Полиморфы» (PolyEngine). Этих вирусами можно назвать тоже с натяжкой, ведь, в принципе, в их коде не заложены действия на размножение, порчу информации и т.д. Но все же.
Вот так и выглядит современная классификация вредоносного программного обеспечения. Достаточно далеко от «стандартного» понимания того, что такое компьютерный вирус. Но теперь, видя в тревожном сообщении антивируса название обнаруженного кода, вы сможете осмысленно его прочитать и понять, что же этот конкретный код мог сделать с вашей системой или информацией. И еще: не думайте, что вредоносная программа — обязательно ужасно опасная вещь, ведь среди них встречаются и вполне безобидные;).
Если вы до сих пор ни разу не сталкивались с компьютерными вирусами, то обязательно с ними встретитесь. Было время, когда антивирусные ПО только появлялись, а вирусы уже «орудовали по полной», принося каждый день убытки на миллионы долларов. Сегодня, конечно, вирусы тоже могут сделать нашу жизнь невыносимой, но в большинстве случаев даже обычный среднестатистический пользователь может очистить свой ПК от вредоносного ПО. А вот несколько лет назад приходилось полностью форматировать жесткий диск и начинать все с нуля. Но даже это не всегда приводило к желаемому результату.
Помните: для защиты вашего компьютера, на нем необходима установленная и обновленная антивирусная программа. Не попадайтесь на уловки мошенников, игнорируйте спам, будьте внимательны при установке на ваш ПК нелицензионных программ.
Источник: www.yaneuch.ru
Ежегодный обзор вирусов от «Лаборатории Касперского»
«Лаборатория Касперского» анонсировала появление ежегодного обзора о тенденциях развития вредоносного программного обеспечения в 2004 году.
«Лаборатория Касперского» анонсировала появление ежегодного обзора о тенденциях развития вредоносного программного обеспечения в 2004 году. В полной версии, которая будет опубликована в вирусной энциклопедии «Лаборатории Касперского» в декабре, ведущие эксперты компании отмечают не только быстрое развитие вредоносного программного обеспечения и методов его разработки, но и заметно увеличившееся число арестов вирусописателей.
В обзоре также указано, что большинство вредоносных программ, продолживших свой путь в этом году, оказались усовершенствованным и дополненным вариантом вредоносного кода, появившегося ранее — но с добавлением новых интересных тенденций. Множество вредоносных программ представляют собой «связку», содержащую несколько различных вариантов вредоносного кода.
Все больше и больше таких связок содержат в себе троянскую программу того или иного вида. Так как в троянцев обычно не встроена функция размножения и заражения других компьютеров, они часто воспринимаются как угроза менее опасная, чем вирусы или черви. Другая ставшая очевидной за прошедший год тенденция — использование вредоносного программного обеспечения в корыстных целях и увеличивающееся присутствие международных криминальных группировок. Применение троянских программ для кражи персональной информации, организации DDoS-атак или распространения нежелательных писем (спама) только усугубило эту и без того непростую проблему. В обзоре «Лаборатории Касперского» также упомянуты и другие новые тенденции, характерные для 2004 года. Это соперничество между авторами вредоносных программ (так называемая «война вирусописателей»), угроза эпидемии вирусов для мобильных устройств (появление первых концептуальных вирусов и троянских программ для смартфонов и КПК) и массовые рассылки писем с зараженными вложениями, защищенными паролем. // webplanet.ru
Социальные сети ШПИОНЯТ за вами? Присоединяйтесь к нашему ТГ каналу и узнайте, как обезопасить свой профиль.
Источник: www.securitylab.ru