Вирус - программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам.
Вредоносная программа - компьютерная программа или переносной код, предназначенный для реализации угроз информации, хранящейся в КС, либо для скрытого нецелевого использования ресурсов КС, либо иного воздействия, препятствующего нормальному функционированию КС. К вредоносным программам относятся компьютерные вирусы, трояны, сетевые черви и др.
2. Жизненный цикл вируса.
Поскольку отличительной особенностью вирусов в традиционном смысле является способность к размножению в рамках одного компьютера, деление вирусов на типы происходит в соответствии со способами размножения.
Сам процесс размножения может быть условно разделен на несколько стадий:
– Проникновение на компьютер
– Активация вируса
– Поиск объектов для заражения
– Подготовка вирусных копий
– Внедрение вирусных копий
Особенности реализации каждой стадии порождают атрибуты, набор которых фактически и определяет класс вируса.
3. Макровирусы. Скрипт-вирусы. Приведите примеры.
Макровирусы - вирусы, написанные на языке макрокоманд и исполняемые в среде какого-либо приложения. В подавляющем большинстве случаев речь идет о макросах в документах Microsoft Office.
Примеры. Одними из наиболее разрушительных макровирусов являются представители семейства Macro.Word97.Thus. Эти вирусы содержат три процедуры Document_Open, Document_Close и Document_New, которыми подменяет стандартные макросы, выполняющиеся при открытии, закрытии и создании документа, тем самым обеспечивая заражение других документов. 13 декабря срабатывает деструктивная функция вируса - он удаляет все файлы на диске C:, включая каталоги и подкаталоги. Модификация Macro.Word97.Thus.aa кроме указанных действий при открытии каждого зараженного документа выбирает на локальном диске случайный файл и шифрует первые 32 байта этого файла, постепенно приводя систему в неработоспособное состояние.
Скрипт-вирусы - вирусы, исполняемые в среде определенной командной оболочки: раньше - bat-файлы в командной оболочке DOS, сейчас чаще VBS и JS - скрипты в командной оболочке Windows Scripting Host (WSH).
Примеры. Virus.VBS.Sling написан на языке VBScript (Visual Basic Script). При запуске он ищет файлы с расширениями.VBS или.VBE и заражает их. При наступлении 16-го июня или июля вирус при запуске удаляет все файлы с расширениями.VBS и.VBE, включая самого себя.
Virus.WinHLP.Pluma.a - вирус, заражающий файлы помощи Windows. При открытии зараженного файла помощи выполняется вирусный скрипт, который используя нетривиальный метод (по сути, уязвимость в обработке скриптов) запускает на выполнение уже как обычный файл Windows определенную строку кода, содержащеюся в скрипте. Запущенный код производит поиск файлов справки на диске и внедряет в их область System скрипт автозапуска.
Почти каждый владелец компьютера, если и не знаком еще с вирусами, то обязательно наслышан о них различных баек и историй. Большинство из которых, конечно, преувеличены другими начинающими пользователями.
Так что же такой вирус?
Вирус - это саморазмножающаяся программа. Многие вирусы вообще ничего разрушительного не делают с вашим ПК, часть вирусов, например, делает небольшую пакость: выводит на экран какую-нибудь картинку, запускает ненужные сервисы, открывает интернет-странички для взрослых и пр.. Но есть и те, которые могут вывести ваш компьютер из строя, отформатировав диск, или испортив Bios материнской платы.
Для начала, наверное, стоит разобраться с самыми популярными мифами о вирусах, гуляющими по сети.
1. Антивирус - защита от всех вирусов
К сожалению, это не так. Даже имея навороченный антивирус с последней базой - вы не застрахованы от вирусной атаки. Тем не менее, от известных вирусов вы будете боле-менее защищены, угрозу будут представлять только новые, неизвестные антивирусной базе.
2. Вирусы распространяются с любыми файлами
Это не так. Например, с музыкой, видео, картинками - вирусы не распространяются. Но часто бывает так, что вирус маскируется под эти файлы, заставляя неопытного пользователя ошибиться и запустить зловредную программу.
3. Если вы заразились вирусом - ПК под серьезной угрозой
Это тоже не так. Большинство вирусов вообще ничего не делают. Им достаточно того, что они просто заражают программы. Но в любом случае, обратить на это внимание стоит: по крайней мере, проверить весь компьютер антивирусом с последней базой. Если заразились одним - то почему не могли вторым?!
4. Не пользоваться почтой - гарантия безопасности
Боюсь, это не поможет. Бывает такое, что по почте вам приходят письма с незнакомых адресов. Лучше всего просто не открывать их, сразу удаляя и очищая корзину. Обычно вирус идет в письме в качестве вложения, запустив которое, ваш ПК будет заражен. Защитится достаточно легко: не открывать письма от незнакомцев… Так же не лишним будет настроить антиспам-фильтры.
5. Если вы скопировали зараженный файл - вы заразились
Вообще, пока вы не запустите исполняемый файл, вирус, как и обычный файл, просто будет лежать у вас на диске и ничего плохого вам не сделает.
Виды компьютерных вирусов
Самые первые вирусы (история)
История эта началась примерно в 60-70 годах в некоторых лабораториях США. На ЭВМ, помимо обычных программ, были еще и те, которые работали сами по себе, никем не управляемые. И все бы ничего, если бы они сильно не нагружали ЭВМ и не расходовали ресурсы попусту.
Через какой-то десяток лет, к 80-м годам, таких программ было уже несколько сотен. В 1984 году появился и сам термин «компьютерный вирус».
Такие вирусы, обычно никак свое присутствие от пользователя не скрывали. Чаще всего мешали ему работать, показывая какие-нибудь сообщения.
В 1985 году появился первый опасный (и главное быстро распространяемый) компьютерный вирус Brain. Хотя, написан он был из благих намерений - наказать пиратов, незаконно копирующих программы. Вирус срабатывал только на нелегальных копиях софта.
Наследники вируса Brain просуществовали еще около десятка лет и потом их поголовье стало резко снижаться. Действовали они не хитро: просто записывали свое тело в файл программы, тем самым он увеличивался в размерах. Антивирусы быстро научились определять размер и находить зараженные файлы.
Программные вирусы
Вслед за вирусами, прикреплявшимися в тело программы, стали появляться новые виды - в виде отдельной программы. Но, основная сложность в том, как заставить пользователя запустить такую зловредную программу? Оказывается, очень просто! Достаточно назвать ее какой-нибудь ломалкой для программы и выложить в сеть. Многие просто скачают, и несмотря на все предупреждения антивируса (если такой имеется) - все равно запустят…
В 1998-1999 г. мир содрогнулся от опаснейшего вируса - Win95.CIH. Он выводил из строя Bios материнской платы. Тысячи компьютеров по всему миру были выведены из строя.
Вирус, распространяемый через вложения к письмам.
В 2003 г. вирус SoBig смог заразить сотни тысяч компьютеров, благодаря тому, что сам прикреплялся к письмам, отправляемые пользователем.
Основная борьба с такими вирусами: регулярное обновление ОС Windows, установка антивируса. Так же отказаться от запуска любых программ, полученных из сомнительных источников.
Макровирусы
Многие пользователи, наверное, и не подозревают, что кроме исполняемых файлов exe или com, вполне реальную угрозу могут нести и обычные файлы из Microsoft Word или Excel. Как такое возможно? Просто в эти редакторы в свое время был встроен язык программирования VBA, для того, чтобы можно было дописывать макросы в качестве дополнения к документам. Тем самым, если заменить их на свой макрос - вполне может получиться вирус…
Сегодня, почти все версии офисных программ, перед запуском документа из незнакомого источника, обязательно вас переспросят, а точно ли хотите запустить макросы из этого документа, и если нажать на кнопку «нет» - то ничего не произойдет, если даже документ был с вирусом. Парадокс заключается в том, что большинство пользователей сами нажимают на кнопку «да»…
Одним из самых известных макровирусов, можно считать Mellis’y, пик которой пришелся на 1999г. Вирус заражал документы и через почту Outlook отправлял вашим друзьям письмо с зараженной начинкой. Таким образом, за небольшой срок им оказалось заражены десятки тысяч компьютеров по всему миру!
Скриптовые вирусы
Макровирусы, как определенный вид, входят в группу скриптовых вирусов. Суть здесь в том, что не только Microsoft Office использует в своих продуктах скрипты, но и другие программные пакеты их содержат. Например, Media Player, Internet Explorer.
Большая часть таких вирусов распространяется посредством вложения в письма, через электронную почту. Часто вложения маскируются под какую-нибудь новомодную картинку или музыкальную композицию. В любом случае, не запускайте и лучше даже не открывайте вложения с незнакомых адресов.
Часто пользователей вводит в заблуждение расширение файлов… Ведь, давно известно, что картинки безопасны, тогда почему нельзя открыть на почте картинку, которую прислали… По умолчанию проводник не показывает расширения файлов. И если вы видите название картинки, вроде «interesnoe.jpg» - это не означает, что у файла именно такое расширение.
Для того, чтобы видеть расширения, включите следующую опцию.
Покажем на примере Windows 7. Если зайти в любую папку и нажать «упорядочить/параметры папок и поиска» можно попасть в меню «вид». Там то и есть наша заветная галочка.
Убираем галочку на опции «скрывать расширения для зарегистрированных типов файлов», а так же еще включите функцию «показа скрытых файлов и папок».
Теперь, если взглянуть на присланную вам картинку, вполне может оказаться, что «interesnoe.jpg» вдруг стала «interesnoe.jpg.vbs». Вот, собственно и весь фокус. Многие начинающие пользователи не раз попадались на эту ловушку, да и будут попадаться еще…
Основная защита от скриптовых вирусов заключается в своевременном обновлении ОС и антивируса. Так же отказ от просмотра подозрительных писем, тем более, которые содержат непонятные файлы… Кстати, не лишним будет регулярно делать резервное сохранение важных данных. Тогда вы на 99,99% будете защищены от любых угроз.
Троянские программы
Этот вид хоть и был отнесен к вирусам, но непосредственно им не является. Их проникновение на ваш ПК во многом схожа с вирусами, только задачи у них разные. Если у вируса задача заразить как можно больше компьютеров и выполнить действие по удалению, открытию окон и пр. - то у троянской программы, как правило, одна цель - скопировать ваши пароли от различных сервисов, узнать какую-нибудь информацию. Часто бывает так, что троянской программой могут управлять через сеть, и по приказу хозяина она вмиг может перезагрузить ваш ПК, или, что еще хуже, удалить какие-нибудь файлы.
Так же стоит отметить и еще одну особенность. Если вирусы частенько заражают другие исполняемые файлы, троянцы этим не занимаются, это самодостаточная отдельная программа, которая работает сама по себе. Часто она маскируется под какой-нибудь системный процесс, чтобы начинающему пользователю было трудно ее выловить.
Чтобы не стать жертвой троянов, во-первых, не качайте никаких файлов, вроде взлом интернета, взлом каких то программ и т.д. Во-вторых, помимо антивируса, понадобиться еще специальная программа, например: The Cleaner, Trojan Remover, AntiViral Toolkit Pro и др. В-третьих, не лишним будет установка фаервола (программа, контролирующая доступ в интернет других приложений), с ручной настройкой, где все подозрительные и неизвестные процессы будут блокироваться вами. Если троянская программа не получит выхода в сеть - пол дела уже сделано, по крайней мере, ваши пароли никуда не уплывут…
Подводя итог, хочется сказать, что все принятые меры и рекомендации будут бесполезны, если пользователь сам из любопытства будет запускать файлы, отключать антивирусные программы и пр. Парадокс в том и состоит, что заражение вирусами происходит в 90% случаев по вине самого владельца ПК. Ну а чтобы не стать жертвой тех 10% - достаточно иногда производить . Тогда можно быть уверенным практически на все 100, что все будет ОК!
На самом деле макровирусы являются не самостоятельным «видом», а всего лишь одной из разновидностей большого семейства вредоносных программ - скрипт-вирусов. Их обособление связано разве что с тем фактором, что именно макровирусы положили начало всему этому семейству, к тому же вирусы, «заточенные» под программы Microsoft Office, получили наибольшее распространение из всего клана. Следует отметить также что скрипт-вирусы являются подгруппой файловых вирусов. Данные вирусы, написаны на различных скрипт-языках (VBS, JS, BAT, PHP и т.д.).
Общая черта скрипт-вирусов - это привязка к одному из «встроенных» языков программирования. Каждый вирус привязан к конкретной «дырке» в защите одной из программ Windows и представляет собой не самостоятельную программу, а набор инструкций, которые заставляют в общем-то безобидный «движок» программы совершать не свойственные ему разрушительные действия.
Как и в случае с документами Word, само по себе использование микропрограмм (скриптов, Java-апплетов и т.д.) не является криминалом, - большинство из них вполне мирно трудится, делая страничку более привлекательной или более удобной. Чат, гостевая книга, система голосования, счётчик - всем этим удобствам наши странички обязаны микропрограммам-«скриптам». Что же касается Java-апплетов, то их присутствие на страничке тоже обоснованно - они позволяют, например, вывести на экран удобное и функциональное меню, которое разворачивается под курсором мышки…
Удобства удобствами, но не стоит забывать, все эти апплеты и скрипты - самые настоящие, полноценные программы. Причём многие из них запускаются и работают не где-то там, на неведомом сервере, а непосредственно на вашем компьютере! И, встроив в них вирус, создатели страницы смогут получить доступ к содержимому вашего жесткого диска. Последствия уже известны - от простой кражи пароля до форматирования жесткого диска.
Разумеется, со «скриптами-убийцами» вам придётся сталкиваться во сто крат реже, чем с обычными вирусами. Кстати, на обычные антивирусы в этом случае надежды мало, однако открытая вместе со страничкой зловредная программа должна будет преодолеть защиту самого браузера, создатели которого прекрасно осведомлены о подобных штучках.
Настройка уровня безопасности Internet Explorer.
Вернёмся на минутку к настройкам Internet Explorer, - а именно в меню Сервис/ Свойства обозревателя/ Безопасность. Internet Explorer предлагает нам несколько уровней безопасности. Помимо стандартного уровня защиты (зона Интернет) мы можем усилить (зона Ограничить) или ослабить свою бдительность (зона Надёжные узлы). Нажав кнопку Другой, мы можем вручную отрегулировать защиту браузера.Впрочем, большая часть скрипт-вирусов распространяется через электронную почту (такие вирусы чаще называют «Интернет-червями»). Пожалуй, ярчайшими представителями этого семейства являются вирусы LoveLetter и Anna Kournikova, атаки которых пришлись на сезон 2001-2002 г. Оба этих вируса использовали один и тот же приём, основанный не только на слабой защите операционной системы, но и на наивности пользователей.
Мы помним, что переносчиками вирусов в большинстве случаев являются сообщения электронной почты, содержащие вложенные файлы. Помним и то, что вирус может проникнуть в компьютер либо через программы (исполняемые файлы с расширением *.exe, *.com.), либо через документы Microsoft Office. Помним и то, что со стороны картинок или звуковых файлов нам никакая неприятность грозить вроде бы не может. А потому, раскопав нежданно-негаданно в почтовом ящике письмо с прикреплённой к нему (судя по имени файла и расширению) картинкой, тут же радостно её запускаем… И обнаруживаем, под картинкой скрывался вредоносный вирусный «скрипт». Хорошо ещё, что обнаруживаем сразу, а не после того, как вирус успел полностью уничтожить все ваши данные.
Хитрость создателей вируса проста - файл, который показался нам картинкой, имел двойное расширение! Например, AnnaKournikova.jpg.vbs
Вот именно второе расширение и является истинным типом файла, в то время как первое является просто частью его имени. А поскольку расширение vbs Windows хорошо знакомо, она, не долго думая, прячет его от глаз пользователей, оставляя на экране лишь имя AnnaKournikova.jpg
И Windows поступает так со всеми зарегистрированными типами файлов: разрешение отбрасывается а о типе файла должен свидетельствовать значок. На который, увы, мы редко обращаем внимание.
Хороша ловушка, но различить её легче лёгкого: фокус с «двойным расширением» не проходит, если мы заранее активируем режим отображения типов файлов. Сделать это можно с помощью меню Свойства папки на Панели управления Windows: щёлкните по этому значку, затем откройте закладку Вид и снимите галочку со строчки Скрывать расширения для зарегистрированных типов файлов.
Запомните: в качестве «вложения» в письмо допустимы лишь несколько типов файлов. Относительно безопасны файлы txt, jpg, gif, tif, bmp, mp3, wma.
А вот список безусловно опасных типов файлов:
- § asx com inf msi
- § bas cpl ins pif
- § bat crt js reg
- § cmd exe msc vbs
Собственно говоря, список потенциальных «вирусоносителей» включает ещё не один десяток типов файлов. Но эти встречаются чаще других.
Перед тем как приступить к написанию данной статьи, я встретился с одним из основателей отечественной антивирусной индустрии Евгением Касперским, который сообщил мне некоторые цифры о состоянии российского и мирового антивирусного рынка. Также я побеседовал с представителем знаменитой антивирусной компании «ДиалогНаука», менеджером по работе с крупными клиентами, Максимом Скидой. Из разговора я узнал любопытный факт - оказывается, антивирусная индустрия вот-вот отметит свое первое десятилетие.
Конечно, антивирусы появились более десяти лет назад. Однако первое время они распространялись как бесплатное противоядие. Не было должной поддержки сервиса, поскольку проекты были некоммерческими. Как индустрия служба создания и предоставления антивирусных программ оформилась примерно в 1992 году, не раньше, а значит вскоре отметит свое десятилетие. Десять лет для рождения и развития целой индустрии, с оборотом в сотни миллионов долларов, срок очень небольшой. За это время возник совсем новый рынок, сформировался определенный перечень продуктов, появилось такое количество новых терминов, что их хватило бы на целую энциклопедию. Следует отметить, что неискушенному пользователю порой даже трудно отличить научный термин от коммерческого названия. Конечно, для того чтобы пользоваться антивирусными программами, не обязательно знать все подробности строения и поведения вирусов, однако иметь общие представления о том, какие основные группы вирусов сформировались на сегодняшний день, какие принципы заложены в алгоритмы вредоносных программ и как поделены мировой и российский антивирусный рынок, будет полезно достаточно широкому кругу читателей, которому и адресована данная статья.
Десять лет развития антивирусного рынка в России
Как уже было отмечено, антивирусный рынок живет в преддверии своего десятилетия. Именно в 1992 году было создано АОЗТ «ДиалогНаука», положившее начало активному продвижению на отечественный рынок знаменитой программы Лозинского Aidstest; начиная с этого времени Aidstest стала распространяться на коммерческой основе. Примерно в то же время Евгений Касперский организовывает небольшой коммерческий отдел в рамках КАМИ, в котором поначалу работали три человека. Также в 1992 году американский рынок быстро завоевывает программа McAfee VirusScan. В России рынок развивался тогда достаточно медленно, и по крайней мере к 1994 году (рис. 1) картина выглядела примерно следующим образом: доминирующее положение занимала компания «ДиалогНаука» (около 80%), Антивирусу Касперского принадлежало менее 5% рынка, всем остальным - еще 15% рынка. В 1995 году Евгений Касперский перенес свой антивирус на 32-битные интеловские платформы Windows, Novell NetWare и OS/2, в результате продукт начал активно продвигаться на рынок.
Разновидностью программ двойного назначения являются поведенческие блокираторы, которые анализируют поведение других программ и при обнаружении подозрительных действий блокируют их.
От классического антивируса с антивирусным ядром, «узнающим» и лечащим от вирусов, которые анализировались в лаборатории и к которым был прописан алгоритм лечения, поведенческие блокираторы отличаются тем, что лечить от вирусов не умеют, поскольку ничего о них не знают. Это свойство блокираторов полезно тем, что они могут работать с любыми вирусами, в том числе и с неизвестными. Это сегодня особенно актуально, поскольку распространители вирусов и антивирусов используют одни и те же каналы передачи данных, то есть Интернет. При этом вирус всегда имеет некоторую фору (время задержки), поскольку антивирусной компании всегда нужно время на то, чтобы получить сам вирус, проанализировать его и написать соответствующие лечебные модули. Программы из группы двойного назначения как раз и позволяют блокировать распространение вируса до того момента, пока компания не напишет лечебный модуль.
Алгоритм «контрольной суммы»
Алгоритм контрольной суммы предполагает, что действия вируса изменяют контрольную сумму. Однако синхронные изменения в двух разных сегментах могут привести к тому, что контрольная сумма останется неизменной при изменении файла. Основная задача построения алгоритма состоит в том, чтобы изменения в файле гарантированно приводили к изменению контрольной суммы.
Методы определения полиморфик-вирусов
На рис. 6 показана работа программы, инфицированной вирусом (а), и программы, инфицированной зашифрованным вирусом (б). В первом случае схема работы вируса выглядит следующим образом: идет выполнение программы, в какой-то момент начинает выполняться код вируса и затем опять идет выполнение программы. В случае с зашифрованной программой все сложнее.
Идет выполнение программы, потом включается дешифратор, который расшифровывает вирус, затем отрабатывает вирус и опять идет исполнение кода основной программы. Код вируса в каждом случае зашифрован по-разному. Если в случае нешифрованного вируса эталонное сравнение позволяет «узнать» вирус по некоторой постоянной сигнатуре, то в зашифрованном виде сигнатура не видна. При этом искать дешифратор практически невозможно, поскольку он очень маленький и детектировать такой компактный элемент бесполезно, потому что резко увеличивается количество ложных срабатываний.
Лавинообразное распространение вирусов стало большой проблемой для большинства компаний и государственных учреждений. В настоящее время известно более 45 000 компьютерных вирусов, и каждый месяц появляется более 300 новых разновидностей .
Компьютерный вирус – это специально написанная программа, которая может "приписывать" себя к другим программам, т.е. "заражать их", с целью выполнения различных нежелательных действий на компьютере и в сети. Когда зараженная вирусом программа начинает свою работу, то сначала, как правило, управление получает вирус. Вирус может действовать самостоятельно, выполняя определенные вредоносные действия (изменяет файлы или таблицу размещения файлов на диске, засоряет оперативную память, изменяет адресацию обращений к внешним устройствам и т.д.), или заражать другие программы. Зараженные программы могут быть перенесены на другой компьютер с помощью дискет или локальной сети.
Формы организации вирусных атак весьма разнообразны, но в целом выделяют следующие их категории:
■ удаленное проникновение в компьютер – программы, которые получают неавторизованный доступ к другому компьютеру через Интернет (или локальную сеть);
■ локальное проникновение в компьютер – программы, которые получают неавторизованный доступ к компьютеру, на котором они впоследствии работают;
■ удаленное блокирование компьютера – программы, которые через Интернет (или сеть) блокируют работу всего удаленного компьютера или отдельной программы на нем;
■ локальное блокирование компьютера – программы, которые блокируют работу компьютера, на котором они работают;
■ сетевые сканеры – программы, которые осуществляют сбор информации о сети, чтобы определить, какие из компьютеров и программ, работающих на них, потенциально уязвимы к атакам;
■ сканеры уязвимых мест программ – программы, которые проверяют большие группы компьютеров в Интернет в поисках компьютеров, уязвимых к тому или иному конкретному виду атаки;
■ "вскрыватели" паролей – программы, которые обнаруживают легко угадываемые пароли в зашифрованных файлах паролей;
■ сетевые анализаторы (sniffers) – программы, которые слушают сетевой трафик. Часто в них имеются возможности автоматического выделения имен пользователей, паролей и номеров кредитных карт из трафика;
■ модификация передаваемых данных или подмена информации;
■ подмена доверенного объекта распределенной вычислительной сети (работа от его имени) или ее ложный объект;
■ "социальная инженерия" – НСД к информации иначе, чем взлом программного обеспечения. Цель – ввести в заблуждение сотрудников (сетевых или системных администраторов, пользователей, менеджеров) для получения паролей к системе или иной информации, которая поможет нарушить безопасность системы.
К вредоносному программному обеспечению относятся сетевые черви, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.
Сетевые черви
Основным признаком, по которому типы червей различаются между собой, является способ распространения червя – как он передает свою копию на удаленные компьютеры. Другими признаками различия компьютерных червей между собой являются способы запуска копии червя на заражаемом компьютере, методы внедрения в систему, а также полиморфизм, "стеле" и прочие характеристики, присущие и другим типам вредоносного программного обеспечения (вирусам и троянским программам). Пример – Email-Worm, т.е. почтовые черви. К данной категории червей относятся те из них, которые для своего распространения используют электронную почту. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором – при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков – активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
■ прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
■ использование сервисов MS Outlook;
■ использование функций Windows MAPI.
Для поиска почтовых адресов, на которые будут рассылаться зараженные письма, почтовыми червями используются различные методы. Почтовые черви:
■ рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
■ считывают адреса из адресной базы WAB;
■ сканируют "подходящие" файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
■ отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви "отвечают" на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также иные способы поиска адресов электронной почты.
Существуют и другие виды червей: IM-Worm – черви, использующие интернет-пейджеры, IRC-Worm – черви в IRC-каналах, Net-Worm – прочие сетевые черви.
Классические компьютерные вирусы
К данной категории относятся программы, распространяющие свои копии по ресурсам локального компьютера с целью последующего запуска своего кода при каких-либо действиях пользователя или дальнейшего внедрения в другие ресурсы компьютера.
В отличие от червей, вирусы не используют сетевых сервисов для проникновения на другие компьютеры. Копия вируса попадает на удаленные компьютеры только в том случае, если зараженный объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:
■ при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
■ вирус скопировал себя на съемный носитель или заразил файлы на нем;
■ пользователь отослал электронное письмо с зараженным вложением.
Некоторые вирусы содержат в себе свойства других разновидностей вредоносного программного обеспечения, например бэкдор-процедуру, или троянскую компоненту, уничтожения информации на диске.
Многие табличные и графические редакторы, системы проектирования, текстовые процессоры имеют свои макроязыки для автоматизации выполнения повторяющихся действий. Эти макроязыки часто имеют сложную структуру и развитый набор команд. Макровирусы являются программами на макроязыках, встроенных в такие системы обработки данных. Для своего размножения вирусы этого класса используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие.
Скрипт-вирусы
Скрипт-вирусы являются подгруппой файловых вирусов. Данные вирусы написаны на различных скрипт-языках (VBS, JS, ВАТ, РНР и т.д.). Они либо заражают другие скрипт-программы (командные и служебные файлы MS Windows или Linux), либо являются частями многокомпонентных вирусов. Данные вирусы также могут заражать файлы других форматов (например, HTML), если в них возможно выполнение скриптов.
Троянские программы
В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях. Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для массированных DoS-атак на удаленные ресурсы сети).
Троянские программы многообразны и различаются между собой по тем действиям, которые они производят на зараженном компьютере:
■ Backdoor – троянские утилиты удаленного администрирования;
■ Trojan-PSW – воровство паролей;
■ Trojan-AOL – семейство троянских программ, "ворующих" коды доступа к сети AOL (America Online). Выделены в особую группу по причине своей многочисленности;
■ Trojan-Clicker – интернет-кликеры. Семейство троянских программ, основная функция которых состоит в организации несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны "стандартные" адреса интернет-ресурсов (например, файл hosts в MS Windows);
■ Trojan-Downloader – доставка прочих вредоносных программ;
■ Trojan-Dropper – инсталляторы прочих вредоносных программ. Троянские программы этого класса написаны в целях скрытной инсталляции других программ и практически всегда используются для "подсовывания" на компьютер-жертву вирусов или других троянских программ;
■ Trojan-Proxy – троянские прокси-серверы. Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама;
■ Trojan-Spy – шпионские программы. Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику. Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем;
■ Trojan – прочие троянские программы. В данной категории также присутствуют "многоцелевые" троянские программы, например те из них, которые одновременно шпионят за пользователем и предоставляют proxy-сервис удаленному злоумышленнику;
■ Trojan ArcBomb – "бомбы" в архивах. Представляют собой архивы, специально оформленные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные – зависание или существенное замедление работы компьютера или заполнение диска большим количеством "пустых" данных. Особенно опасны "архивные бомбы" для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации – "архивная бомба" может просто остановить работу сервера;
■ Trojan-Notifier – оповещение об успешной атаке. Троянцы данного типа предназначены для сообщения своему "хозяину" о зараженном компьютере. При этом на адрес "хозяина" отправляется информация о компьютере, например IP-адрес компьютера, номер открытого порта, адрес электронной почты и т.п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице "хозяина", ICQ-сообщением. Данные троянские программы используются в многокомпонентных троянских наборах для извещения своего "хозяина" об успешной инсталляции троянских компонент в атакуемую систему.
Хакерские утилиты и прочие вредоносные программы
■ утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы);
■ программные библиотеки, разработанные для создания вредоносного программного обеспечения;
■ хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов);
■ "злые шутки", затрудняющие работу с компьютером;
■ программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе;
■ прочие программы, тем или иным способом намеренно наносящие прямой или косвенный ущерб данному или удаленным компьютерам.
К прочим вредоносным относятся разнообразные программы, которые не представляют угрозы непосредственно компьютеру, на котором исполняются, а разработаны для создания других вирусов или троянских программ, организации DoS-атак на удаленные серверы, взлома других компьютеров и т.п.
К таким программам можно отнести:
■ DoS, DdoS – сетевые атаки;
■ Exploit, HackTool – взломщики удаленных компьютеров. Хакерские утилиты данного класса предназначены для проникновения в удаленные компьютеры с целью дальнейшего управления ими (используя методы троянских программ типа backdoor) или для внедрения во взломанную систему других вредоносных программ;
■ Flooder – "замусоривание" сети. Данные хакерские утилиты используются для "забивания мусором" (бесполезными сообщениями) каналов Интернета – IRC-каналов, компьютерных пейджинговых сетей, электронной почты и т.д.;
■ Constructor – конструкторы вирусов и троянских программ. Это утилиты, предназначенные для изготовления новых компьютерных вирусов и "троянцев". Известны конструкторы вирусов для DOS, Windows и макровирусов. Они позволяют генерировать исходные тексты вирусов, объектные модули и (или) непосредственно зараженные файлы;
■ Nuker – фатальные сетевые атаки. Утилиты, отправляющие специально оформленные запросы на атакуемые компьютеры в сети, в результате чего атакуемая система прекращает работу. Используют уязвимости в программном обеспечении и ОС, в результате чего сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении;
■ Bad-Joke, Hoax – "злые шутки", введение пользователя в заблуждение. К ним относятся программы, которые не причиняют компьютеру какого-либо прямого вреда, однако выводят сообщения о том, что такой вред уже причинен, либо будет причинен при каких-либо условиях, либо предупреждают пользователя о несуществующей опасности. К "злым шуткам" относятся, например, программы, которые "пугают" пользователя сообщениями о форматировании диска (хотя никакого форматирования на самом деле не происходит), детектируют вирусы в незараженных файлах, выводят странные вирусоподобные сообщения и т.д. – в зависимости от чувства юмора автора такой программы;
■ FileCryptor, PolyCryptor – скрытие от антивирусных программ. Хакерские утилиты, использующиеся для шифрования других вредоносных программ с целью скрытия их содержимого от антивирусной проверки;
■ PolyEngine – полиморфные генераторы. Они не являются вирусами в прямом смысле этого слова, поскольку в их алгоритм не закладываются функции размножения, т.е. открытия, закрытия и записи в файлы, чтения и записи секторов и т.д. Главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика;
■ VirTool – утилиты, предназначенные для облегчения написания компьютерных вирусов и их изучения в хакерских целях.
От чего надо защищаться в первую очередь? Во-первых, это вирусы (Virus, Worm) и всевозможные виды практически бесполезной информации (обычно рекламы), принудительно рассылаемой абонентам электронной почты (Spam). По различным данным в 2008 г. вирусным атакам было подвержено от 80 до 85% компаний во всем мире. И эта цифра продолжает расти.
Во-вторых, программы типа "троянский конь" (Trojan Horse) могут быть незаметно для владельца установлены на его компьютер и также незаметно функционировать на нем. Простые варианты "троянского коня" выполняют всего лишь одну функцию, например кражу паролей. Однако есть и более "продвинутые" экземпляры, которые реализуют широкий спектр функций для удаленного управления компьютером, включая просмотр содержимого каталогов, перехват всех вводимых с клавиатуры команд, кражу или искажение данных и информации, изменение файлов и содержания полей баз данных.
Другим распространенным типом атак являются действия, направленные на выведение из строя того или иного узла сети. Эти атаки получили название "отказ в обслуживании" (Denial of Service – DoS). На сегодняшний день известно более сотни различных вариантов этих действий. Ранее отмечалось, что выведение из строя узла сети на несколько часов может привести к очень серьезным последствиям. Например, выведение из строя сервера платежной системы банка приведет к невозможности осуществления платежей и, как следствие, к большим прямым и косвенным финансовым и рейтинговым потерям.
Атаки и угрозы такого типа являются наиболее частыми, однако существуют и другие угрозы, которые могут привести к серьезным последствиям. Например, система обнаружения атак RealSecure обнаруживает более 600 различных событий, влияющих на безопасность и относящихся к внешним атакам.
Американская организация US-CERT , занимающаяся проблемами в области компьютерной безопасности, предложила использовать стандартные названия для интернет-червей и других вредоносных программ. Члены US-CERT назвали свою программу "Общая классификация вредоносных программ" (СМЕ). Цель программы – не вводить пользователей в заблуждение, используя разные названия для одних и тех же вирусов. Например, червь W32.
Zotob.E по классификации "Symantec" в классификации "McAfee" называется W32/IRCbot.worm! MS05-039, a "Trend Micro" называет эту программу WORM_RBOT.CBQ.
Сейчас многие вирусы получают свои названия на основании описания или информации, включенной в код программы их создателями. В новой системе вирусы будут использовать номера СМЕ. Первый вирус получит название СМЕ-1.
Подобная система классификации уже существует для описания уязвимостей в программном обеспечении. Общий идентификатор уязвимостей включает в себя порядковый номер и год, в котором уязвимость была выявлена. В идентификатор вирусов не включают дату, потому что пользователи часто неправильно воспринимают эту информацию. Они считают, что уязвимость с ранней датой менее опасна, чем уязвимость, выявленная позже.
Инициаторы предложения о СМЕ допускают использование и старых вирусных имен, но надеются, что их система улучшит обмен информацией между антивирусными разработчиками и антивирусным сообществом в целом. Проект уже поддержали "Computer Associates", "McAfee", "Microsoft", "Symantec" и "F-Secure".
Как надо защищаться? Общие методики защиты от вирусов обязательно являются составной частью политики информационной безопасности предприятия. В соответствующих разделах политики описываются принципы антивирусной защиты, применяемые стандарты и нормативные документы, определяющие порядок действий пользователя при работе в локальной и внешних сетях, его полномочия, применяемые антивирусные средства. Наборы обязательных правил могут быть достаточно разнообразны. Однако для пользователей можно сформулировать в общем виде следующие правила:
■ проверять на вирусы все дискеты, CD-RW, ZIP-диски, побывавшие на другом компьютере, все приобретенные CD;
■ использовать антивирусные программы известных проверенных фирм, регулярно (в идеале – ежедневно) обновлять их базы;
■ не выгружать резидентную часть (монитор) антивирусной программы из оперативной памяти компьютера;
■ использовать только программы и данные, полученные из надежных источников – чаще всего вирусами бывают заражены пиратские копии программ;
■ никогда не открывать файлы, прикрепленные к электронным письмам, пришедшим от неизвестных отправителей, и не заходить на сайты, рекламируемые через спам-рассылки (по данным лаборатории Касперского, в настоящее время около 90% вирусов распространяются именно таким образом).
Аналогично можно сформулировать несколько общих требований к хорошей антивирусной программе. Такая программа должна:
■ обеспечивать эффективную защиту в режиме реального времени – резидентная часть (монитор) программы должна постоянно находиться в оперативной памяти компьютера и производить проверку всех файловых операций (при создании, редактировании, копировании файлов, запуске их на исполнение), сообщений электронной почты, данных и программ, получаемых из Интернета;
■ позволять проверять все содержимое локальных дисков "по требованию", запуская проверку вручную или автоматически по расписанию или при включении компьютера;
■ защищать компьютер даже от неизвестных вирусов – программа должна включать в себя технологии поиска неизвестных вирусов, основанные на принципах эвристического анализа;
■ уметь проверять и лечить архивированные файлы;
■ давать возможность регулярно (желательно ежедневно) обновлять антивирусные базы (через Интернет, с дискет или CD).
В настоящее время в России используются главным образом два проверенных качественных антивирусных пакета: Dr.WEB и "Антивирус Касперского". Каждый из этих продуктов имеет свою линейку, ориентированную на разные сферы применения, –для использования на локальных компьютерах, для малого и среднего бизнеса, крупных корпоративных клиентов, для защиты локальных сетей, почтовых, файловых серверов, серверов приложений. Оба продукта, безусловно, отвечают всем перечисленным требованиям.
- Энциклопедия вирусов. [Электронный ресурс] Режим доступа: wvvw. viruslist.com/ru/viruses/encyclopedia.
- Режим доступа: vww.vnunet.com/vnunet/news/2143314/ security-industry-gathers.
