Вредоносные программы

Существует класс программ, которые изначально были написаны с целью уничтожения данных на чужом компьютере, похищения чу­жой информации, несанкционированного использования чужих ре­сурсов и т. п., или же приобрели такие свойства вследствие каких- либо причин. Такие программы несут вредоносную нагрузку и соот­ветственно называются вредоносными [39].

Вредоносная программа [4] - программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы.

Вредоносная программа (malware - сокращение от Malicious Software (вредоносное программное обеспечение)) - это программа, наносящая какой-либо вред компьютеру, на котором она запускается, или другим компьютерам в сети.

Поскольку мало пользователей в здравом уме добровольно поставят себе на компьютер заведомо вредоносную программу, их авторы вы­нуждены использовать различные обманные методы или специальные технологии для несанкционированного проникновения в систему. Сле­довательно, классифицировать вредоносные программы удобно по спо­собу проникновения, размножения и типу вредоносной нагрузки.

Все вредоносные программы в соответствии со способами распро­странения и вредоносной нагрузкой можно разделить на четыре основ­ных типа - компьютерные вирусы, черви, трояны и другие программы.

Так исторически сложилось, что термином «компьютерный вирус» часто называют любую вредоносную программу. Это обусловлено в первую очередь тем, что первые широко известные вредоносные про­граммы были именно вирусами и в течение следующих десятилетий число вирусов значительно превышало количество всех остальных вредоносных программ вместе взятых. Однако в последнее время на­метились тенденции к появлению новых, невирусных технологий, ко­торые используют вредоносные программы. При этом доля истинных вирусов в общем числе инцидентов с вредоносными программами за Последние годы значительно сократилась. На сегодняшний день вре­доносные программы - это уже большей частью именно не вирусы, хотя такие термины как «заражение вирусом», «вирусный инцидент» применяются по отношению ко всем вредоносным программам повсе­местно. Поэтому далее в этом курсе, если не оговорено иначе, под термином «вирус» будет также пониматься и вредоносная программа.

Вирусы. Основная черта компьютерного вируса - это способность к саморазмножению.

Компьютерный вирус - это программа, способная создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компью­тера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.

Жизненный цикл любого компьютерного вируса условно можно разделить на пять стадий:

1. Проникновение на чужой компьютер.

2. Активация.

3. Поиск объектов для заражения.

4. Подготовка копий.

5. Внедрение копий.

Путями проникновения вируса могут служить как мобильные но­сители, так и сетевые соединения - фактически все каналы, по кото­рым можно скопировать файл. Однако в отличие от червей вирусы не используют сетевые ресурсы - заражение вирусом возможно только в случае, если пользователь сам каким-либо образом его активировал. Например, скопировал или получил по почте зараженный файл и сам его запустил или просто открыл.

После проникновения следует активация вируса. Это может про­исходить несколькими путями, и в соответствии с выбранным мето­дом вирусы делятся на следующие виды:

загрузочные вирусы заражают загрузочные сектора жестких дис­ков и мобильных носителей;

файловые вирусы - заражают файлы. Отдельно по типу среды обитания в этой группе также выделяют:

классические файловые вирусы -различными способами вне­дряются в исполняемые файлы (внедряют свой вредоносный код или полностью их перезаписывают), создают файлы-двойники, свои копии в различных каталогах жесткого диска или использу­ют особенности организации файловой системы;

макровирусы - написаны на внутреннем языке, так называе­мых макросах какого-либо приложения. Подавляющее большин­ство макровирусов используют макросы текстового редактора microsoft word;

скрипт-вирусы - написаны в виде скриптов для определенной командной оболочки, например, bat-файлы для DOS или VBS и JS- скрипты для Windows Scripting Host (WSH).

Дополнительным отличием вирусов от других вредоносных про­грамм служит их жесткая привязанность к операционной системе или программной оболочке, для которой каждый конкретный вирус был написан. Это означает, что вирус для Microsoft Windows не будет ра­ботать и заражать файлы на компьютере с другой установленной опе­рационной системой, например Unix. Точно так же макровирус для Microsoft Word 2003 скорее всего не будет работать в приложении Microsoft Excel 97.

При подготовке своих вирусных копий для маскировки от антиви­русов могут применять такие технологии как:

шифрование - в этом случае вирус состоит из двух частей: сам вирус и шифратор;

метаморфизм - при применении этого метода вирусные копии создаются путем замены некоторых команд на аналогичные, переста­новки местами частей кода, вставки между ними дополнительно, обычно ничего не делающих команд.

Соответственно в зависимости от используемых методов вирусы можно делить на шифрованные, метаморфные и полиморфные, ис­пользующие комбинацию двух типов маскировки.

Основные цели любого компьютерного вируса - распространение на другие ресурсы компьютера и выполнение специальных действий при определенных событиях или действиях пользователя (например, 26 числа каждого четного месяца или при перезагрузке компьютера). Спе­циальные действия нередко оказываются вредоносными.

Черви. В отличие от вирусов черви - это вполне самостоятельные программы. Главной их особенностью также является способность к саморазмножению, однако при этом они способны к самостоятельно­му распространению с использованием сетевых каналов. Для подчер­кивания этого свойства иногда используют термин «сетевой червь».

Червь (сетевой червь) - это вредоносная программа, распростра­няющаяся по сетевым каналам и способная к самостоятельному пре­одолению систем защиты компьютерных сетей, а также к созданию и Дальнейшему распространению своих копий, не обязательно совпа­дающих с оригиналом.

Жизненный цикл червей состоит из следующих стадий:

1. Проникновение в систему.

2. Активация.

3. Поиск объектов для заражения.

4. Подготовка копий.

5. Распространение копий.

В зависимости от способа проникновения в систему черви де­лятся на типы:

сетевые черви - используют для распространения в локальные сети и Интернет;

почтовые черви - распространяются с помощью почтовых программ;

IM-черви - используют системы мгновенного обмена сообщениями;

IRC-черви - распространяются по каналам IRC;

Р2Р-черви- при помощи пиринговых файлообменных сетей.

После проникновения в компьютер червь должен активироваться, иными словами, запуститься. По методу активации все черви можно разделить на две большие группы - на тех, которые требуют активного участия пользователя, и тех, кто его не требует. На практике это озна­чает, что бывают черви, которым необходимо, чтобы владелец компь­ютера обратил на них внимание и запустил зараженный файл, но встречаются и такие, которые делают это сами (например, используя ошибки в настройке или бреши в системе безопасности операционной системы). Отличительная особенность червей из первой группы - ис­пользование обманных методов, проявляющихся, например, когда по­лучатель инфицированного файла вводится в заблуждение текстом письма и добровольно открывает вложение с почтовым червем, тем самым активируя его. В последнее время наметилась тенденция к со­вмещению этих двух технологий: такие черви наиболее опасны и час­то вызывают глобальные эпидемии.

Сетевые черви могут кооперироваться с вирусами - такая пара способна самостоятельно распространяться по сети (благодаря чер­вю) и в то же время заражать ресурсы компьютера (функции вируса).

Трояны. Трояны или программы класса троянский конь, в отличие от вирусов и червей, не обязаны уметь размножаться. Это програм­мы, написанные только с одной целью - нанести ущерб целевому компьютеру путем выполнения несанкционированных пользователем действий: кражи, порчи или удаления конфиденциальных данных, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях.

Некоторые трояны способны к самостоятельному преодолению систем защиты компьютерной системы, с целью проникновения в нее. Однако в большинстве случаев они проникают на компьютеры вместе с вирусом либо червем, т.е. такие трояны можно рассматри­вать как дополнительную вредоносную нагрузку, но не как самостоя­тельную программу. Нередко пользователи сами загружают троян­ские программы из Интернет.

Следовательно, жизненный цикл троянов состоит всего из трех стадий:

1. Проникновение в систему.

2. Активация.

3. Выполнение вредоносных действий.

Как уже говорилось выше, проникать в систему трояны могут двумя путями: самостоятельно и в кооперации с вирусом или сетевым червем. В первом случае обычно используется маскировка, когда троян выдает себя за полезное приложение, которое пользователь са­мостоятельно копирует себе на диск (например, загружает из Интер­нет) и запускает. При этом программа действительно может быть по­лезна, однако наряду с основными функциями она может выполнять действия, свойственные трояну.

После проникновения в компьютер трояну необходима активация, и здесь он похож на червя: либо требует активных действий от поль­зователя, или же из-за уязвимости в программном обеспечении само-

стоятельно заражает систему.

Поскольку главная цель написания троянов - производство не­санкционированных действий, они классифицируются по типу вре­доносной нагрузки:

клавиатурные шпионы - постоянно находясь в оперативной па­мяти, записывают все данные, поступающие от клавиатуры, с целью

последующей их передачи своему автору;

похитители паролей - предназначены для кражи паролей путем поиска на зараженном компьютере специальных файлов, которые их содержат;

утилиты скрытого удаленного управления - это трояны, которые обеспечивают несанкционированный удаленный контроль над инфи­цированным компьютером. Перечень действий, которые позволяют выполнять тот или иной троян, определяется его функционально­стью, заложенной автором. Обычно это возможность скрыто загру­жать, отсылать, запускать или уничтожать файлы. Такие трояны мо­гут быть использованы как для получения конфиденциальной ин­формации, так и для запуска вирусов, уничтожения данных;

анонимные ятф-сервера и прокси-сервера - такие трояны на зара­женном компьютере организовывают несанкционированную отправку электронной почты, что часто используется для рассылки спама;

утилиты дозвона - в скрытом от пользователя режиме иниции­руют подключение к платным сервисам интернет;

модификаторы настроек браузера - меняют стартовую страницу в браузере, страницу поиска или еще какие-либо настройки, открывают дополнительные окна, имитируют нажатия на рекламные баннеры и т.д.;

логические бомбы характеризуются способностью при срабатыва­нии заложенных в них условий (в конкретный день, время суток, оп­ределенное действие пользователя или команды извне) выполнять ка­кое-либо действие, например, удаление файлов.

Отдельно отметим, что существуют программы из класса троянов, которые наносят вред другим, удаленным компьютерам и сетям, не нарушая при этом работоспособности инфицированного компьютера. Яркие представители этой группы - организаторы DDoS-атак.