Реферат: Компьютерные вирусы

содержание

Введение. 2

Глава 1. История вирусов и их создание. 5

1.1. История вредоносных программ… 5

1.2. Создание вирусов и его причины… 6

Мелкое воровство. 8

Криминальный бизнес. 8

Нежелательное программное обеспечение. 10

Глава 2. Классификация вирусов. 11

2.1. Классические вирусы… 11

2.2. Загрузочные вирусы… 16

2.3. Троянские программы… 18

2.4. Сетевые черви. 24

Заключение. 29

Список литературы… 31

/>Введение

Квредоносному программному обеспечению относятся сетевые черви, классическиефайловые вирусы, троянские программы, хакерские утилиты и прочие программы,наносящие заведомый вред компьютеру, на котором они запускаются на выполнение,или другим компьютерам в сети.

Сетевыечерви. К данной категории относятся программы, распространяющие свои копии полокальным и/или глобальным сетям с целью:

проникновенияна удаленные компьютеры;

запускасвоей копии на удаленном компьютере;

дальнейшегораспространения на другие компьютеры в сети.

Для своегораспространения сетевые черви используют разнообразные компьютерные и мобильныесети: электронную почту, системы обмена мгновенными сообщениями, файлообменные(P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами(телефонами, карманными компьютерами) и т.д.

Большинствоизвестных червей распространяется в виде файлов: вложение в электронное письмо,ссылка на зараженный файл на каком-либо веб — или FTP-ресурсе в ICQ — иIRC-сообщениях, файл в каталоге обмена P2P и т.д.

Некоторыечерви (так называемые «бесфайловые» или «пакетные» черви) распространяются ввиде сетевых пакетов, проникают непосредственно в память компьютера иактивизируют свой код.

Дляпроникновения на удаленные компьютеры и запуска своей копии черви используютразличные методы: социальный инжиниринг (например, текст электронного письма,призывающий открыть вложенный файл), недочеты в конфигурации сети (например,копирование на диск, открытый на полный доступ), ошибки в службах безопасностиоперационных систем и приложений.

Некоторыечерви обладают также свойствами других разновидностей вредоносного программногообеспечения. Например, некоторые черви содержат троянские функции или способнызаражать выполняемые файлы на локальном диске, т.е. имеют свойство троянскойпрограммы и/или компьютерного вируса.

Классическиекомпьютерные вирусы. К данной категории относятся программы, распространяющиесвои копии по ресурсам локального компьютера с целью:

последующегозапуска своего кода при каких-либо действиях пользователя;

дальнейшеговнедрения в другие ресурсы компьютера.

В отличие отчервей, вирусы не используют сетевых сервисов для проникновения на другиекомпьютеры. Копия вируса попадает на удалённые компьютеры только в том случае,если зараженный объект по каким-либо не зависящим от функционала вирусапричинам оказывается активизированным на другом компьютере, например:

призаражении доступных дисков вирус проник в файлы, расположенные на сетевомресурсе;

вирусскопировал себя на съёмный носитель или заразил файлы на нем;

пользовательотослал электронное письмо с зараженным вложением.

Некоторыевирусы содержат в себе свойства других разновидностей вредоносного программногообеспечения, например бэкдор-процедуру или троянскую компоненту уничтоженияинформации на диске.

Троянскиепрограммы. В данную категорию входят программы, осуществляющие различныенесанкционированные пользователем действия: сбор информации и ее передачузлоумышленнику, ее разрушение или злонамеренную модификацию, нарушениеработоспособности компьютера, использование ресурсов компьютера в неблаговидныхцелях.

Отдельныекатегории троянских программ наносят ущерб удаленным компьютерам и сетям, ненарушая работоспособность зараженного компьютера (например, троянскиепрограммы, разработанные для массированных DoS-атак на удалённые ресурсы сети).

Хакерскиеутилиты и прочие вредоносные программы. К данной категории относятся:

утилитыавтоматизации создания вирусов, червей и троянских программ (конструкторы);

программныебиблиотеки, разработанные для создания вредоносного ПО;

хакерскиеутилиты скрытия кода зараженных файлов от антивирусной проверки (шифровальщикифайлов);

«злые шутки»,затрудняющие работу с компьютером;

программы,сообщающие пользователю заведомо ложную информацию о своих действиях в системе;

прочиепрограммы, тем или иным способом намеренно наносящие прямой или косвенный ущербданному или удалённым компьютерам.

/>Глава 1. Историявирусов и их создание

1.1. История вредоносных программ

Мнений поповоду рождения первого компьютерного вируса очень много. Нам доподлинноизвестно только одно: на машине Чарльза Бэббиджа, считающегося изобретателемпервого компьютера, вирусов не было, а на Univax 1108 и IBM 360/370 в середине1970-х годов они уже были.

Несмотря наэто, сама идея компьютерных вирусов появилась значительно раньше. Отправнойточкой можно считать труды Джона фон Неймана по изучению самовоспроизводящихсяматематических автоматов. Эти труды стали известны в 1940-х годах. А в 1951 г. знаменитыйученый предложил метод, который демонстрировал возможность создания такихавтоматов. Позднее, в 1959 г., журнал «Scientific American»опубликовал статью Л.С. Пенроуза, которая также была посвященасамовоспроизводящимся механическим структурам. В отличие от ранее известныхработ, здесь была описана простейшая двумерная модель подобных структур,способных к активации, размножению, мутациям, захвату. Позднее, по следам этойстатьи другой ученый — Ф.Ж. Шталь — реализовал модель на практике с помощьюмашинного кода на IBM 650.

Необходимоотметить, что с самого начала эти исследования были направлены отнюдь не насоздание теоретической основы для будущего развития компьютерных вирусов. Наоборот,ученые стремились усовершенствовать мир, сделать его более приспособленным дляжизни человека. Ведь именно эти труды легли в основу многих более поздних работпо робототехнике и искусственному интеллекту. И в том, что последующиепоколения злоупотребили плодами технического прогресса, нет вины этихзамечательных ученых.

В 1962 г. инженерыиз американской компании Bell Telephone Laboratories — В.А. Высотский, Г.Д. Макилройи Роберт Моррис — создали игру «Дарвин». Игра предполагалаприсутствие в памяти вычислительной машины так называемого супервизора,определявшего правила и порядок борьбы между собой программ-соперников,создававшихся игроками. Программы имели функции исследования пространства,размножения и уничтожения. Смысл игры заключался в удалении всех копийпрограммы противника и захвате поля битвы.

На этомтеоретические исследования ученых и безобидные упражнения инженеров ушли втень, и совсем скоро мир узнал, что теория саморазмножающихся структур снеменьшим успехом может быть применена и в несколько иных целях.

1.2. Создание вирусов и его причины

Основнаямасса вирусов и троянских программ в прошлом создавалась студентами ишкольниками, которые только что изучили язык программирования, хотелипопробовать свои силы, но не смогли найти для них более достойного применения. Отрадентот факт, что значительная часть подобных вирусов их авторами нераспространялась, и вирусы через некоторое время умирали сами вместе с дисками,на которых хранились. Такие вирусы писались и пишутся по сей день только длясамоутверждения их авторов.

Вторуюгруппу создателей вирусов также составляют молодые люди (чаще — студенты),которые еще не полностью овладели искусством программирования. Единственнаяпричина, толкающая их на написание вирусов, это комплекс неполноценности,который компенсируется компьютерным хулиганством. Из-под пера подобных «умельцев»часто выходят вирусы крайне примитивные и с большим числом ошибок(«студенческие» вирусы). Жизнь подобных вирусописателей стала заметно проще сразвитием интернета и появлением многочисленных веб-сайтов, ориентированных наобучение написанию компьютерных вирусов. На подобных веб-ресурсах можно найтиподробные рекомендации по методам проникновения в систему, приемам скрытия отантивирусных программ, способам дальнейшего распространения вируса. Часто здесьже можно найти готовые исходные тексты, в которые надо всего лишь внестиминимальные «авторские» изменения и откомпилировать рекомендуемым способом.

«Хулиганские»вирусы в последние годы становятся все менее и менее актуальными (несмотря на то,что на смену повзрослевшим тинейджерам-хулиганам каждый раз приходит новоепоколение тинейджеров) — за исключением тех случаев, когда такие вредоносныепрограммы вызвали глобальные сетевые и почтовые эпидемии. На текущий моментдоля подобных вирусов и троянских программ занимает не более 10% «материала»,заносимого в антивирусные базы данных. Оставшиеся 90% гораздо более опасны, чемпросто вирусы.

Став старшеи опытнее, многие из подобных вирусописателей попадают в третью, наиболееопасную группу, которая создает и запускает в мир «профессиональные» вирусы. Этитщательно продуманные и отлаженные программы создаются профессиональными, частоочень талантливыми программистами. Такие вирусы нередко используют достаточнооригинальные алгоритмы проникновения в системные области данных, ошибки всистемах безопасности операционных сред, социальный инжиниринг и прочиехитрости.

Отдельностоит четвертая группа авторов вирусов — «исследователи», довольносообразительные программисты, которые занимаются изобретением принципиальноновых методов заражения, скрытия, противодействия антивирусам и т.д. Они жепридумывают способы внедрения в новые операционные системы. Эти программистыпишут вирусы не ради собственно вирусов, а скорее ради исследования потенциалов«компьютерной фауны». Часто авторы подобных вирусов не распространяют своитворения, однако активно пропагандируют свои идеи через многочисленныеинтернет-ресурсы, посвященные созданию вирусов. При этом опасность, исходящаяот таких «исследовательских» вирусов, тоже весьма велика — попав в руки«профессионалов» из предыдущей группы, эти идеи очень быстро появляются в новыхвирусах.

Мелкое воровство

С появлениеми популяризацией платных интернет-сервисов (почта, WWW, хостинг) компьютерныйандеграунд начинает проявлять повышенный интерес к получению доступа в сеть зачужой счет, т.е. посредством кражи чьего-либо логина и пароля (или несколькихлогинов/паролей с различных пораженных компьютеров) путем применения специальноразработанных троянских программ.

В начале1997 года зафиксированы первые случаи создания и распространения троянскихпрограмм, ворующих пароли доступа к системе AOL. В 1998 году, сраспространением интернет-услуг в Европе и России, аналогичные троянскиепрограммы появляются и для других интернет-сервисов. До сих пор троянцы, ворующиепароли к dial-up, пароли к AOL, коды доступа к другим сервисам, составляютзаметную часть ежедневных «поступлений» в лаборатории антивирусных компанийвсего мира.

Троянскиепрограммы данного типа, как и вирусы, обычно создаются молодыми людьми, у которыхнет средств для оплаты интернет-услуг. Характерен тот факт, что по мереудешевления интернет-сервисов уменьшается и удельное количество таких троянскихпрограмм.

«Мелкимиворишками» также создаются троянские программы других типов: ворующие регистрационныеданные и ключевые файлы различных программных продуктов (часто — сетевых игр),использующие ресурсы зараженных компьютеров в интересах своего «хозяина» и т.п.

Криминальный бизнес

Наиболееопасную категорию вирусописателей составляют хакеры-одиночки или группыхакеров, которые осознанно или неосознанно создают вредоносные программы сединственной целью: получить чужие деньги (рекламируя что-либо или просто воруяих), ресурсы зараженного компьютера (опять-таки, ради денег — для обслуживанияспам-бизнеса или организации DoS-атак с целью дальнейшего шантажа).

Обслуживаниерекламного и спам-бизнеса — один из основных видов деятельности таких хакеров. Длярассылки спама ими создаются специализированные троянские proxy-сервера,которые затем внедряются в десятки тысяч компьютеров. Затем такая сеть«зомби-машин» поступает на черный интернет-рынок, где приобретается спамерами. Длявнедрения в операционную систему и дальнейшего обновления принудительнойрекламы создаются утилиты, использующие откровенно хакерские методы: незаметнуюинсталляцию в систему, разнообразные маскировки (чтобы затруднить удалениерекламного софта), противодействие антивирусным программам.

Вторым видомдеятельности подобных вирусописателей является создание, распространение иобслуживание троянских программ-шпионов, направленных на воровство денежныхсредств с персональных (а если повезет — то и с корпоративных)«электронныхкошельков» или с обслуживаемых через интернет банковских счетов. Троянскиепрограммы данного типа собирают информацию о кодах доступа к счетам ипересылают ее своему «хозяину».

Третьимвидом криминальной деятельности этой группы является интернет-рэкет, т.е. организациямассированной DoS-атаки на один или несколько интернет-ресурсов с последующимтребованием денежного вознаграждения за прекращение атаки. Обычно под ударпопадают интернет-магазины, букмекерские конторы — т.е. компании, бизнескоторых напрямую зависит от работоспособности веб-сайта компании.

Вирусы,созданные этой категорией «писателей», становятся причиной многочисленныхвирусных эпидемий, инициированных для массового распространения и установкиописанных выше троянских компонент.

Нежелательное программное обеспечение

Системынавязывания электронной рекламы, различные «звонилки» на платные телефонныеномера, утилиты, периодически предлагающие пользователю посетить те или иныеплатные веб-ресурсы, прочие типы нежелательного программного обеспечения — онитакже требуют технической поддержки со стороны программистов-хакеров. Даннаяподдержка требуется для реализации механизмов скрытного внедрения в систему,периодического обновления своих компонент и противодействия антивируснымпрограммам.

Очевидно,что для решения данных задач в большинстве случаев также используется трудхакеров, поскольку перечисленные задачи практически совпадают с функционаломтроянских программ различных типов.

/>Глава 2. Классификациявирусов

2.1. Классические вирусы

Типыкомпьютерных вирусов различаются между собой по следующим основным признакам:

средаобитания;

способзаражения.

Под «средойобитания» понимаются системные области компьютера, операционные системы или приложения,в компоненты (файлы) которых внедряется код вируса. Под «способом заражения»понимаются различные методы внедрения вирусного кода в заражаемые объекты.

Средаобитания

По средеобитания вирусы можно разделить на:

файловые;

загрузочные;

макро;

скриптовые.

Файловыевирусы при своем размножении тем или иным способом используют файловую системукакой-либо (или каких-либо) ОС. Они:

различнымиспособами внедряются в исполняемые файлы (наиболее распространенный тип вирусов);

создаютфайлы-двойники (компаньон-вирусы);

создают своикопии в различных каталогах;

используютособенности организации файловой системы (link-вирусы).

Загрузочныевирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо всектор, содержащий системный загрузчик винчестера (Master Boot Record), либоменяют указатель на активный boot-сектор. Данный тип вирусов был достаточнораспространён в 1990-х, но практически исчез с переходом на 32-битныеоперационные системы и отказом от использования дискет как основного способаобмена информацией. Теоретически возможно появление загрузочных вирусов,заражающих CD-диски и USB-флешек, но на текущий момент такие вирусы необнаружены.

Многиетабличные и графические редакторы, системы проектирования, текстовые процессорыимеют свои макро-языки для автоматизации выполнения повторяющихся действий. Этимакро-языки часто имеют сложную структуру и развитый набор команд. Макро-вирусыявляются программами на макро-языках, встроенных в такие системы обработкиданных. Для своего размножения вирусы этого класса используют возможностимакро-языков и при их помощи переносят себя из одного зараженного файла(документа или таблицы) в другие.

Способзаражения

/>Файловые вирусы

По способузаражения файлов вирусы делятся на:

перезаписывающие(overwriting);

паразитические(parasitic);

вирусы-компаньоны(companion);

вирусы-ссылки(link);

вирусы,заражающие объектные модули (OBJ);

вирусы,заражающие библиотеки компиляторов (LIB);

вирусы,заражающие исходные тексты программ.

Overwriting

Данный методзаражения является наиболее простым: вирус записывает свой код вместо кодазаражаемого файла, уничтожая его содержимое. Естественно, что при этом файлперестает работать и не восстанавливается. Такие вирусы очень быстрообнаруживают себя, так как операционная система и приложения довольно быстроперестают работать.

Parasitic

Кпаразитическим относятся все файловые вирусы, которые при распространении своихкопий обязательно изменяют содержимое файлов, оставляя сами файлы при этом полностьюили частично работоспособными.

Основнымитипами таких вирусов являются вирусы, записывающиеся в начало файлов(prepending), в конец файлов (appending) и в середину файлов (inserting). Всвою очередь, внедрение вирусов в середину файлов происходит различнымиметодами — путем переноса части файла в его конец или копирования своего кода взаведомо неиспользуемые данные файла (cavity-вирусы).

Внедрениевируса в начало файла.

Известны дваспособа внедрения паразитического файлового вируса в начало файла. Первыйспособ заключается в том, что вирус переписывает начало заражаемого файла в егоконец, а сам копируется в освободившееся место. При заражении файла вторымспособом вирус дописывает заражаемый файл к своему телу.

Такимобразом, при запуске зараженного файла первым управление получает код вируса. Приэтом вирусы, чтобы сохранить работоспособность программы, либо лечат зараженныйфайл, повторно запускают его, ждут окончания его работы и снова записываются вего начало (иногда для этого используется временный файл, в которыйзаписывается обезвреженный файл), либо восстанавливают код программы в памятикомпьютера и настраивают необходимые адреса в ее теле (т.е. дублируют работу ОС).

Внедрениевируса в конец файла.

Наиболеераспространенным способом внедрения вируса в файл является дописывание вируса вего конец. При этом вирус изменяет начало файла таким образом, что первымивыполняемыми командами программы, содержащейся в файле, являются команды вируса.

Для тогочтобы получить управление при старте файла, вирус корректирует стартовый адреспрограммы (адрес точки входа). Для этого вирус производит необходимые измененияв заголовке файла.

Внедрениевируса в середину файла.

Существуетнесколько методов внедрения вируса в середину файла. В наиболее простом из нихвирус переносит часть файла в его конец или «раздвигает» файл и записывает свойкод в освободившееся пространство. Этот способ во многом аналогичен методам,перечисленным выше. Некоторые вирусы при этом компрессируют переносимый блокфайла так, что длина файла при заражении не изменяется.

Вторымявляется метод «cavity», при котором вирус записывается в заведомонеиспользуемые области файла. Вирус может быть скопирован в незадействованныеобласти заголовок EXE-файла, в «дыры» между секциями EXE-файлов или в областьтекстовых сообщений популярных компиляторов. Существуют вирусы, заражающиетолько те файлы, которые содержат блоки, заполненные каким-либо постояннымбайтом, при этом вирус записывает свой код вместо такого блока.

Кроме того,копирование вируса в середину файла может произойти в результате ошибки вируса,в этом случае файл может быть необратимо испорчен.

Вирусы безточки входа.

Отдельноследует отметить довольно незначительную группу вирусов, не имеющих «точкивхода» (EPO-вирусы — Entry Point Obscuring viruses). К ним относятся вирусы, неизменяющие адрес точки старта в заголовке EXE-файлов. Такие вирусы записываюткоманду перехода на свой код в какое-либо место в середину файла и получаютуправление не непосредственно при запуске зараженного файла, а при вызовепроцедуры, содержащей код передачи управления на тело вируса. Причемвыполняться эта процедура может крайне редко (например, при выводе сообщения окакой-либо специфической ошибке). В результате вирус может долгие годы «спать»внутри файла и выскочить на свободу только при некоторых ограниченных условиях.

Перед тем,как записать в середину файла команду перехода на свой код, вирусу необходимовыбрать «правильный» адрес в файле — иначе зараженный файл может оказатьсяиспорченным. Известны несколько способов, с помощью которых вирусы определяюттакие адреса внутри файлов, например, поиск в файле последовательностистандартного кода заголовков процедур языков программирования (C/Pascal),дизассемблирование кода файла или замена адресов импортируемых функций.

Companion.

К категории«companion» относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работыэтих вирусов состоит в том, что для заражаемого файла создается файл-двойник,причем при запуске зараженного файла управление получает именно этот двойник, т.е.вирус.

К вирусамданного типа относятся те из них, которые при заражении переименовывают файл вкакое-либо другое имя, запоминают его (для последующего запуска файла-хозяина) изаписывают свой код на диск под именем заражаемого файла. Например, файлNOTEPAD. EXE переименовывается в NOTEPAD. EXD, а вирус записывается под именемNOTEPAD. EXE. При запуске управление получает код вируса, который затемзапускает оригинальный NOTEPAD.

Возможносуществование и других типов вирусов-компаньонов, использующих иныеоригинальные идеи или особенности других операционных систем. Например,PATH-компаньоны, которые размещают свои копии в основном катагоге Windows,используя тот факт, что этот каталог является первым в списке PATH, и файлы длязапуска Windows в первую очередь будет искать именно в нем. Данными способомсамозапуска пользуются также многие компьютерные черви и троянские программы.

Прочиеспособы заражения.

Существуютвирусы, которые никоим образом не связывают свое присутствие с каким-либовыполняемым файлом. При размножении они всего лишь копируют свой код вкакие-либо каталоги дисков в надежде, что эти новые копии будут когда-либозапущены пользователем. Иногда эти вирусы дают своим копиям «специальные»имена, чтобы подтолкнуть пользователя на запуск своей копии — например, INSTALL.EXE или WINSTART. BAT.

Некоторыевирусы записывают свои копии в архивы (ARJ, ZIP, RAR). Другие записываюткоманду запуска зараженного файла в BAT-файлы.

Link-вирусытакже не изменяют физического содержимого файлов, однако при запускезараженного файла «заставляют» ОС выполнить свой код. Этой цели они достигаютмодификацией необходимых полей файловой системы.

2.2. Загрузочные вирусы

Известные натекущий момент загрузочные вирусы заражают загрузочный (boot) сектор гибкогодиска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действиязагрузочных вирусов основан на алгоритмах запуска операционной системы привключении или перезагрузке компьютера — после необходимых тестов установленногооборудования (памяти, дисков и т.д.) программа системной загрузки считываетпервый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости отпараметров, установленных в BIOS Setup) и передает на него управление.

Призаражении дисков загрузочные вирусы «подставляют» свой код вместо какой-либопрограммы, получающей управление при загрузке системы. Принцип заражения, такимобразом, одинаков во всех описанных выше способах: вирус «заставляет» системупри ее перезапуске считать в память и отдать управление не оригинальному кодузагрузчика, но коду вируса.

Заражениедискет производится единственным известным способом — вирус записывает свой кодвместо оригинального кода boot-сектора дискеты. Винчестер заражается тремявозможными способами — вирус записывается либо вместо кода MBR, либо вместокода boot-сектора загрузочного диска (обычно диска C:), либо модифицирует адресактивного boot-сектора в таблице разделов диска (Disk Partition Table), расположеннойв MBR винчестера.

Приинфицировании диска вирус в большинстве случаев переносит оригинальныйboot-сектор (или MBR) в какой-либо другой сектор диска (например, в первыйсвободный). Если длина вируса больше длины сектора, то в заражаемый секторпомещается первая часть вируса, остальные части размещаются в других секторах(например, в первых свободных).

Макро-вирусы.

Наибольшеераспространение получили макро-вирусы для Microsoft Office (Word, Excel иPowerPoint), хранящих информацию в формате OLE2 (Object Linking and Embedding).Вирусы в прочих приложениях достаточно редки.

Физическоерасположение вируса внутри файла MS Office зависит от его формата, который вслучае продуктов Microsoft чрезвычайно сложен — каждый файл-документ Word,Office97 или таблица Excel представляют собой последовательность блоков данных(каждый из которых также имеет свой формат), объединенных между собой припомощи большого количества служебных данных.

При работе сдокументами и таблицами MS Office выполняет различные действия: открываетдокумент, сохраняет, печатает, закрывает и т.д. При этом MS Word, например,ищет и выполняет соответствующие «встроенные макросы» — при сохранении файла покоманде File/Save вызывается макрос FileSave, при сохранении по командеFile/SaveAs — FileSaveAs, при печати документов — FilePrint и т.д., если,конечно, таковые макросы определены.

Существуеттакже несколько «автомакросов», автоматически вызываемых при различных условиях.Например, при открытии документа MS Word проверяет его на наличие макросаAutoOpen. Если такой макрос присутствует, то Word выполняет его. При закрытиидокумента Word выполняет макрос AutoClose, при запуске Word вызывается макросAutoExec, при завершении работы — AutoExit, при создании нового документа — AutoNew.Автоматически (т.е. без участия пользователя) выполняются такжемакросы/функции, ассоциированные с какой-либо клавишей либо моментом времениили датой, т.е. MS Word/Excel вызывают макрос/функцию при нажатии на какую-либоконкретную клавишу (или комбинацию клавиш) либо при достижении какого-либомомента времени.

Макро-вирусы,поражающие файлы MS Office, как правило, пользуются одним из перечисленных вышеприемов — в вирусе либо присутствует авто-макрос (авто-функция), либопереопределен один из стандартных системных макросов (ассоциированный скаким-либо пунктом меню), либо макрос вируса вызывается автоматически принажатии на какую-либо клавишу или комбинацию клавиш. Получив управлениемакро-вирус переносит свой код в другие файлы, обычно в файлы, которые редактируютсяв данный момент. Реже макро вирусы самостоятельно ищут другие файлы на диске.

Скрипт-вирусы.

Следуетотметить также скрипт-вирусы, являющиеся подгруппой файловых вирусов. Данныевирусы, написаны на различных скрипт-языках (VBS, JS, BAT, PHP и т.д.). Онилибо заражают другие скрипт-программы (командные и служебные файлы MS Windowsили Linux), либо являются частями многокомпонентных вирусов. Также, данныевирусы могут заражать файлы других форматов (например, HTML), если в нихвозможно выполнение скриптов.

2.3. Троянские программы

Троянскиепрограммы различаются между собой по тем действиям, которые они производят назараженном компьютере.

/>Backdoor — троянские утилиты удаленного администрирования

Троянскиепрограммы этого класса являются утилитами удаленного администрированиякомпьютеров в сети. По своей функциональности они во многом напоминаютразличные системы администрирования, разрабатываемые и распространяемыефирмами-производителями программных продуктов.

Единственнаяособенность этих программ заставляет классифицировать их как вредные троянскиепрограммы: отсутствие предупреждения об инсталляции и запуске. При запуске«троянец» устанавливает себя в системе и затем следит за ней, при этомпользователю не выдается никаких сообщений о действиях троянца в системе. Болеетого, ссылка на «троянца» может отсутствовать в списке активных приложений. Врезультате «пользователь» этой троянской программы может и не знать о ее присутствиив системе, в то время как его компьютер открыт для удаленного управления.

Утилитыскрытого управления позволяют делать с компьютером все, что в них заложил автор:принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения,стирать информацию, перезагружать компьютер и т.д. В результате эти троянцымогут быть использованы для обнаружения и передачи конфиденциальной информации,для запуска вирусов, уничтожения данных и т.п. — пораженные компьютерыоказываются открытыми для злоумышленных действий хакеров.

Такимобразом, троянские программы данного типа являются одним из самых опасных видоввредоносного программного обеспечения, поскольку в них заложена возможностьсамых разнообразных злоумышленных действий, присущих другим видам троянскихпрограмм.

Отдельноследует отметить группу бэкдоров, способных распространяться по сети ивнедряться в другие компьютеры, как это делают компьютерные черви. Отличаеттакие «троянцы» от червей тот факт, что они распространяются по сети несамопроизвольно (как черви), а только по специальной команде «хозяина»,управляющего данной копией троянской программы.

/>Trojan-PSW — воровство паролей.

Данноесемейство объединяет троянские программы, «ворующие» различную информацию сзараженного компьютера, обычно — системные пароли (PSW — Password-Stealing-Ware).При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различнуюконфиденциальную информацию (обычно номера телефонов и пароли доступа кинтернету) и отсылают ее по указанному в коде «троянца» электронному адресу илиадресам.

СуществуютPSW-троянцы, которые сообщают и другую информацию о зараженном компьютере,например, информацию о системе (размер памяти и дискового пространства, версияоперационной системы), тип используемого почтового клиента, IP-адрес и т.п. Некоторыетроянцы данного типа «воруют» регистрационную информацию к различномупрограммному обеспечению, коды доступа к сетевым играм и прочее.

Trojan-AOL — семейство троянских программ, «ворующих» коды доступа к сети AOL (AmericaOnline). Выделены в особую группу по причине своей многочисленности.

/>Trojan-Clicker — интернет-кликеры.

Семействотроянских программ, основная функция которых — организация несанкционированныхобращений к интернет-ресурсам (обычно к веб-страницам). Достигается это либопосылкой соответствующих команд браузеру, либо заменой системных файлов, вкоторых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts вMS Windows).

Узлоумышленника могут быть следующие цели для подобных действий:

увеличениепосещаемости каких-либо сайтов с целью увеличения показов рекламы;

организацияDoS-атаки (Denial of Service) на какой-либо сервер;

привлечениепотенциальных жертв для заражения вирусами или троянскими программами.

/>Trojan-Downloader — доставка прочих вредоносных программ.

Троянскиепрограммы этого класса предназначены для загрузки и установки накомпьютер-жертву новых версий вредоносных программ, установки «троянцев» илирекламных систем. Загруженные из интернета программы затем либо запускаются навыполнение, либо регистрируются «троянцем» на автозагрузку в соответствии свозможностями операционной системы. Данные действия при этом происходят безведома пользователя.

Информацияоб именах и расположении загружаемых программ содержится в коде и данныхтроянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно свеб-страницы).

/>Trojan-Dropper — инсталляторы прочих вредоносных программ.

Троянскиепрограммы этого класса написаны в целях скрытной инсталляции других программ ипрактически всегда используются для «подсовывания» на компьютер-жертву вирусовили других троянских программ.

Данныетроянцы обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке вархиве или неверной версии операционной системы) сбрасывают на диск вкакой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows)другие файлы и запускают их на выполнение.

Обычноструктура таких программ следующая:

Основной код Файл 1 Файл 2 ...

«Основнойкод» выделяет из своего файла остальные компоненты (файл 1, файл 2,. .),записывает их на диск и открывает их (запускает на выполнение).

Обычно один(или более) компонентов являются троянскими программами, и как минимум одинкомпонент является «обманкой»: программой-шуткой, игрой, картинкой или чем-топодобным. «Обманка» должна отвлечь внимание пользователя и/илипродемонстрировать то, что запускаемый файл действительно делает что-то«полезное», в то время как троянская компонента инсталлируется в систему.

В результатеиспользования программ данного класса хакеры достигают двух целей:

скрытнаяинсталляция троянских программ и/или вирусов;

защита отантивирусных программ, поскольку не все из них в состоянии проверить всекомпоненты внутри файлов этого типа.

/>Trojan-Proxy — троянские прокси-сервера.

Семействотроянских программ, скрытно осуществляющих анонимный доступ к различныминтернет-ресурсам. Обычно используются для рассылки спама.

/>Trojan-Spy — шпионские программы.

Данныетроянцы осуществляют электронный шпионаж за пользователем зараженногокомпьютера: вводимая с клавиатуры информация, снимки экрана, список активныхприложений и действия пользователя с ними сохраняются в какой-либо файл надиске и периодически отправляются злоумышленнику.

Троянскиепрограммы этого типа часто используются для кражи информации пользователейразличных систем онлайновых платежей и банковских систем.

/>Trojan — прочие троянские программы.

К даннымтроянцам относятся те из них, которые осуществляют прочие действия, попадающиепод определение троянских программ, т.е. разрушение или злонамереннаямодификация данных, нарушение работоспособности компьютера и прочее.

В даннойкатегории также присутствуют «многоцелевые» троянские программы, например, теиз них, которые одновременно шпионят за пользователем и предоставляютproxy-сервис удаленному злоумышленнику.

Rootkit — сокрытиеприсутствия в операционной системе.

Понятиеrootkit пришло к нам из UNIX. Первоначально это понятие использовалось дляобозначения набора инструментов, применяемых для получения прав root.

Так какинструменты типа rootkit на сегодняшний день «прижились» и на других ОС (в томчисле, на Windows), то следует признать подобное определение rootkit моральноустаревшим и не отвечающим реальному положению дел.

Такимобразом, rootkit — программный код или техника, направленная на сокрытиеприсутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.).

Дляповедения Rootkit в классификации «Лаборатории Касперского» действуют правилапоглощения: Rootkit — самое младшее поведение среди вредоносных программ. Тоесть, если Rootkit-программа имеет троянскую составляющую, то она детектируетсякак Trojan.

ArcBomb — «бомбы»в архивах.

Представляютсобой архивы, специально оформленные таким образом, чтобы вызывать нештатноеповедение архиваторов при попытке разархивировать данные — зависание илисущественное замедление работы компьютера или заполнение диска большимколичеством «пустых» данных. Особенно опасны «архивные бомбы» для файловых ипочтовых серверов, если на сервере используется какая-либо системаавтоматической обработки входящей информации — «архивная бомба» может простоостановить работу сервера.

Встречаютсятри типа подобных «бомб»: некорректный заголовок архива, повторяющиеся данные иодинаковые файлы в архиве.

Некорректныйзаголовок архива или испорченные данные в архиве могут привести к сбою в работеконкретного архиватора или алгоритма разархивирования при разборе содержимогоархива.

Значительныхразмеров файл, содержащий повторяющиеся данные, позволяет заархивировать такойфайл в архив небольшого размера (например, 5ГБ данных упаковываются в 200КБ RARили в 480КБ ZIP-архив).

Огромноеколичество одинаковых файлов в архиве также практически не сказывается наразмере архива при использовании специальных методов (например, существуютприемы упаковки 10100 одинаковых файлов в 30КБ RAR или 230КБ ZIP-архив).

Trojan-Notifier- оповещение об успешной атаке.

Троянцыданного типа предназначены для сообщения своему «хозяину» о зараженномкомпьютере. При этом на адрес «хозяина» отправляется информация о компьютере,например, IP-адрес компьютера, номер открытого порта, адрес электронной почты ит.п. Отсылка осуществляется различными способами: электронным письмом,специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением.

Данныетроянские программы используются в многокомпонентных троянских наборах дляизвещения своего «хозяина» об успешной инсталляции троянских компонент ватакуемую систему.

2.4. Сетевые черви

Основнымпризнаком, по которому типы червей различаются между собой, является способраспространения червя — каким способом он передает свою копию на удаленныекомпьютеры. Другими признаками различия КЧ между собой являются способы запускакопии червя на заражаемом компьютере, методы внедрения в систему, а такжеполиморфизм, «стелс» и прочие характеристики, присущие и другим типамвредоносного программного обеспечения (вирусам и троянским программам).

/>Email-Worm — почтовые черви

К даннойкатегории червей относятся те из них, которые для своего распространенияиспользуют электронную почту. При этом червь отсылает либо свою копию в видевложения в электронное письмо, либо ссылку на свой файл, расположенный накаком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный навзломанном или хакерском веб-сайте).

В первомслучае код червя активизируется при открытии (запуске) зараженного вложения, вовтором — при открытии ссылки на зараженный файл. В обоих случаях эффектодинаков — активизируется код червя.

Для отправкизараженных сообщений почтовые черви используют различные способы. Наиболеераспространены:

прямоеподключение к SMTP-серверу, используя встроенную в код червя почтовуюбиблиотеку;

использованиесервисов MS Outlook;

использованиефункций Windows MAPI.

Различныеметоды используются почтовыми червями для поиска почтовых адресов, на которыебудут рассылаться зараженные письма. Почтовые черви:

рассылаютсебя по всем адресам, обнаруженным в адресной книге MS Outlook;

считываетадреса из адресной базы WAB;

сканируют«подходящие» файлы на диске и выделяет в них строки, являющиеся адресамиэлектронной почты;

отсылаютсебя по всем адресам, обнаруженным в письмах в почтовом ящике (при этомнекоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

Многие червииспользуют сразу несколько из перечисленных методов. Встречаются также и другиеспособы поиска адресов электронной почты.

/>IM-Worm- черви, использующие интернет-пейджеры

Известныекомпьютерные черви данного типа используют единственный способ распространения- рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащихURL на файл, расположенный на каком-либо веб-сервере. Данный прием практическиполностью повторяет аналогичный способ рассылки, использующийся почтовымичервями.

/>IRC-Worm- черви в IRC-каналах.

У данноготипа червей, как и у почтовых червей, существуют два способа распространениячервя по IRC-каналам, повторяющие способы, описанные выше. Первый заключается вотсылке URL-ссылки на копию червя. Второй способ — отсылка зараженного файлакакому-либо пользователю сети. При этом атакуемый пользователь долженподтвердить прием файла, затем сохранить его на диск и открыть (запустить навыполнение).

/>Net-Worm- прочие сетевые черви.

Существуютпрочие способы заражения удаленных компьютеров, например:

копированиечервя на сетевые ресурсы;

проникновениечервя на компьютер через уязвимости в операционных системах и приложениях;

проникновениев сетевые ресурсы публичного использования;

паразитированиена других вредоносных программах.

Первыйспособ заключается в том, что червь ищет удаленные компьютеры и копирует себя вкаталоги, открытые на чтение и запись (если такие обнаружены). При этом червиданного типа или перебирают доступные сетевые каталоги, используя функцииоперационной системы, и/или случайным образом ищут компьютеры в глобальнойсети, подключаются к ним и пытаются открыть их диски на полный доступ.

Дляпроникновения вторым способом черви ищут в сети компьютеры, на которыхиспользуется программное обеспечение, содержащее критические уязвимости. Длязаражения уязвимых компьютеров червь посылает специально оформленный сетевойпакет или запрос (эксплойт уязвимости), в результате чего код (или часть кода) червяпроникает на компьютер-жертву. Если сетевой пакет содержит только часть кодачервя, он затем скачивает основной файл и запускает его на исполнение.

Отдельнуюкатегорию составляют черви, использующие для своего распространения веб — иFTP-сервера. Заражение происходит в два этапа. Сначала червь проникает вкомпьютер-сервер и необходимым образом модифицирует служебные файлы сервера(например, статические веб-страницы). Затем червь «ждет» посетителей, которыезапрашивают информацию с зараженного сервера (например, открывают зараженнуювеб-страницу), и таким образом проникает на другие компьютеры в сети.

Существуютсетевые черви, паразитирующие на других червях и/или троянских программахудаленного администрирования (бэкдорах). Данные черви используют тот факт, чтомногие бэкдоры позволяют по определенной команде скачивать указанный файл изапускать его на локальном диске. То же возможно с некоторыми червями,содержащими бэкдор-процедуры. Для заражения удаленных компьютеров данные червиищут другие компьютеры в сети и посылают на них команду скачивания и запускасвоей копии. Если атакуемый компьютер оказывается уже зараженным «подходящей»троянской программой, червь проникает в него и активизирует свою копию.

Следуетотметить, что многие компьютерные черви используют более одного способараспространения своих копий по сетям, использующие два и более методов атакиудаленных компьютеров.

/>P2P-Worm- черви для файлообменных сетей.

Механизмработы большинства подобных червей достаточно прост — для внедрения в P2P-сетьчервю достаточно скопировать себя в каталог обмена файлами, который обычнорасположен на локальной машине. Всю остальную работу по распространению вирусаP2P-сеть берет на себя — при поиске файлов в сети она сообщит удаленнымпользователям о данном файле и предоставит весь необходимый сервис дляскачивания файла с зараженного компьютера.

Существуютболее сложные P2P-черви, которые имитируют сетевой протокол конкретнойфайлообменной системы и на поисковые запросы отвечают положительно — при этомчервь предлагает для скачивания свою копию.

/>Заключение

Чтобыэффективно бороться с вирусами, необходимо иметь представление о «привычках»вирусов и ориентироваться в методах противодействия вирусам. Вирусом называетсяспециально созданная программа, способная самостоятельно распространяться вкомпьютерной среде. Если вирус попал в компьютер вместе с одной из программ илис файлом документа, то через некоторое время другие программы или файлы на этомкомпьютере будут заражены. Если компьютер подключен к локальной или глобальнойсети, то вирус может распространиться и дальше, на другие компьютеры. Авторывирусных программ создают их из разных побуждений, однако результаты работывирусов оказываются, как правило, схожими: инфекции портят программы идокументы, находящиеся на компьютере, что часто приводит к их утрате. Некоторыевирусы способны уничтожать вообще всю информацию на дисках компьютеров,стоимость которой может в десятки и сотни раз превышать стоимость самогокомпьютера.

Внешниепроявления деятельности вирусов весьма разнообразны. Одни вирусы относительнобезопасны для данных и действуют только на нервы пользователю. Они могут,например, вызывать осыпание символов на экране, выводить на экран посторонниенадписи, воспроизводить посторонние звуки через динамик компьютера. Другие — немногоизменяют данные на диске компьютера. Этот случай наиболее опасен. Еслипользователь вовремя не обнаружит вирус, и тот незаметно изменит файлыдокументов или баз данных, ошибка проявится позже в виде неправильных расчетовили искаженного баланса. Встречается вирус, выполняющий компрессию заражаемых файлов.Он сжимает файлы без разрешения пользователя.

Защитаинформации зависит от того, в какой стадии она находится: создание, хранение,передача по локальным сетям, передача по глобальной сети Интернет и т.д.,поэтому это очень сложный и объемный вопрос, требующий отдельного изучения.

Существуетнесколько основных методов поиска вирусов, которые применяются антивируснымипрограммами: сканирование; эвристический анализ; обнаружение изменений; резидентныемониторы. Антивирусы могут реализовывать все перечисленные выше методики, либотолько некоторые из них.

Даже, еслиугрозы вирусов как будто бы нет, необходимо заранее провести мероприятияантивирусной защиты, в том числе организационного характера.

Для успешнойборьбы с вирусами можно воспользоваться различными программными продуктамиотечественного производства, некоторые из которых признаются лучшими в мире.

/>Список литературы

1. Зверев В.С. Информатика: Учебное пособие для студентов вузов. Астрахань,2003

2. Коварт. Windows NT Server 4. Учебныйкурс. Из-во Питер. 1999.448 стр.

3. Компьютерные вирусы, виды и классификация // www. informatika. ru

4. Косарев В. Компьютерные системы и сети. Учебное пособие. Из-во Фин. истат. 1999.464 стр.

5. Крейнак Д. Интернет. Энциклопедия (2 изд). Из-во Питер. 2000.528 стр.

6. Люцарев В. Безопасность компьютерных сетей на основе Windows NT (+CD). Из-ворус. ред. 1998.304 стр.

7. Майнази М. Введение в Windows NT Server 4. Из-воЛОРИ. 1999.550 стр.

8. Машурцев В. Работа пользов. и сист. адм. с рабочей станцией Windows NT. Из-воРис. 1999.216 стр.

9. Медведовский И. Атака на Internet. Из-во ДМК. 1999.334 стр.

10. Муртазин Э. Учебник. Internet. Из-во ДМК. 1999.416стр.

11. Соколов А. Методы информационной защиты объектов и компьютерых сетей. Из-воПолигон. 2000.272 стр.