Компьютерные вирусы

Размещено на http://www.allbest.ru/

Содержание

1. Вирусы и борьба с ними

1.1 Общие сведения

1.2 Основные понятия

1.3 Способы заражения вирусом

1.4 Схема работы вируса

1.5 Признаки проявления вируса

1.6 Классификация вирусов

1.7 Способы защиты от вирусов

2. Что за зверь -- «троянский конь»

3. Новаторские подходы хакеров -- «руткиты» rootkits

1. Вирусы и борьба с ними

компьютерный вирус троян руткит

1.1 Общие сведения

В работах фон Неймана, Винера и других авторов были даны определения и проведены исследования по вопросу саморазмножающихся или самовоспроизводящихся искусственных конструкций - конечных автоматов. Самовоспроизводящиеся программы появились намного позднее и за ними закрепился термин компьютерный вирус. Этот термин впервые употребил сотрудник Лехайского университета (США)Ф.Коэн в 1984 году на 7-й конференции по безопасности информации (проходило в США).

Оказалось, что саморазмножающиеся программы стали создавать с определенной целью - препятствовать нормальной работе компьютера, разрушение файловой структуры дисков и этим наносить ущерб хранимой в компьютере информации.

Основную массу вирусов пишут люди, которые недавно изучили язык ассемблера и хотят попробовать свои силы в программировании на ассемблере, но не смогли найти для себя более достойного применения своих знаний. Такие программы-вирусы чаще всего оказываются примитивными и с очень большим числом ошибок.

Очень опасными считаются программы-вирусы, созданные профессиональными программистами, которые чаще всего являются талантливыми программистами. В такие программы-вирусы закладываются оригинальные алгоритмы, недокументированные и мало кому известные способы проникновения в системные области дисков. Так появляются очень опасные «профессиональные» вирусы, программа тщательно продумывается и отлаживается. Часто профессиональные вирусы выполняются по технологии «стелс» или «призрак» (неведимка).

Как видно причиной появления программ-вирусов скрывается в психологии человеческой личности и ее теневых сторонах (зависть, месть, тщеславие, невозможность применить свои способности). Кроме того причиной продолжающегося появления вирусов является отсутствие аппаратных средств защиты самой ОС и противодействия со стороны ОС компьютера.

1.2 Основные понятия

Можно привести определение вируса с точки зрения его воздействия на программы компьютера. Компьютерный вирус - это специальная созданная программа (т.е. некоторая совокупность исполняемого кода), которая способна самопроизвольно присоединяться к другим программам, создавать свои копии (необязательно совпадающее с оригиналом) и внедрять их в файлы ( в начало, в середину, в конец или в разные части файла), системные области диска, в вычислительные сети и т.д. Основное назначение программ-вирусов - это нарушение работы программ, порча файлов и каталогов и создания всевозможных помех в работе компьютера.

Надо выяснить такие понятия, как зараженный диск и зараженная программа. Зараженный диск - это диск, в загрузочном секторе которого находится программа-вирус. Загрузочный сектор занимает всего один сектор (512 байт), но там есть свободные места и вот туда может «прописаться» программа-вирус.

Зараженная программа - это такая программа, которая содержит внедренную в нее программу-вирус.

Внедрение вируса может быть различным - в начало программы, в ее середину, в конец программы или частями в разных местах программы. Размер файла будет увеличен на величину самого внедренного вируса. Если следить за размерами файла, то можно определить файл, в котором есть вирус.

Лечение файла, диска - это удаление вируса. Для этих целей разработаны специальные антивирусные программы.

Сигнатура вируса - это специальный код, который получается из кода самого вируса и позволяет классифицировать сам вирус, т.е. его принадлежность к определенным классам вирусов.

1.3 Способы заражения вирусом

Во всех странах мира принимаются законы о борьбе с компьютерными преступлениями, разрабатываются программные средства зашиты от вирусов, но количество новых вирусов постоянно растет. Для эффективной борьбы с вирусами пользователь компьютера должен знать природу вирусов, способы заражения вирусами файлов и самого компьютера и самое главное - знать способы защиты от них.

Только сьемные диски (гибкие и лазерные) являются основными путями проникновения вирусов в компьютер и затем и в коммуникационные сети. Заразить дискету очень просто - вставили в дисковод зараженного компьютера и просто прочитали ее оглавление. Затем дискету использовали на другом компьютере или даже перезагрузили компьютер со вставленной дискетой.

Если в компьютере запускается зараженный вирусом файл, то становится возможным заражение других файлов. Наиболее часто заражаются вирусом исполняемые файлы с типами ЕХЕ, СОМ, SYS и загрузочный сектор. Крайне редко заражаются вирусом текстовые и графические файлы.

1.4 Схема работы вируса

На настоящий момент известно, что в мире разработано несколько десятков тысяч вирусов и каждый из них работает по своей схеме. Поэтому можно говорить об обобщенной схеме работы среднего вируса. Таким образом, в обобщенном виде средний вирус проходит в своем развитии три этапа:

Заражение;

Размножение;

Атака.

Есть вирусы, которые обходятся без размножения - это вирусы типа бомба. Некоторые обходятся без атаки и такие вирусы получили название троянский конь. Есть и такие вирусы, которые имеют еще этап маскировки, получившие название полиморфных или стелс-вирусов.

Заражение. Это этап внедрения кода вируса в компьютер и потом на файлы через внешний носитель. Наиболее часто внедрение вируса происходит при запуске уже зараженной программы (инфицированной программы). Обычно схема заражения такова: в первую очередь код вируса записывается в память компьютера, а затем оттуда копируется на внешние запоминающиеся устройства (жесткий , гибкий диски).

Размножение. Это серия последовательных заражений файлов. При запуске такого инфицированного файла код вируса перемещается в ОЗУ и становится резидентной на время работы компьютера. Теперь из ОЗУ происходит внедрение в запускаемые файлы. В первую очередь поражаются файлы (в особенности command.com) самой ОС. Чем больше запускаются файлов, тем больше происходит заражение. Так размножаются файловые вирусы.

Кроме файловых вирусов имеются вирусы, средой обитания которых являются загрузочный сектор. Это загрузочные вирусы и от них можно освобождаться только форматированием. После запуска ОС код вируса перемещается со служебного сектора. В ОЗУ, а уже потом оттуда копируется в загрузочные сектора других носителей (вставленных дисков).

Атака. Это последняя фаза развития вируса и проявляется в том, что производит более или менее разрушительные действия и этим проявляет себя. Если бы вирус после внедрения в компьютер начинал атаку, то их бы по одиночке вывели бы против вирусными средствами. Поэтому большинству вирусов нужна пассивная фаза размножения. Вирус должен сделать некоторое количество своих копий и только потом происходит механизм запуска вируса на выполнение разрушительных действий.

Механизм вирусной атаки может запускаться по счетчику, когда будет создано определенное количество копий по системным часам на определенную дату, по командам из удаленного центра управления ПК в компьютерной сети, при запуске определенных файлов или открытия определенных документов.

1.5 Признаки проявления вируса

Для борьбы с вирусами надо прежде всего его обнаружить. Для этого надо знать основные признаки, по которым можно судить о наличии вируса в компьютере. В качестве признаков могут служить следующие проявления:

прекращение работы или неправильная работа ранее успешно функционирующая программа или несколько программ;

медленная работа компьютера;

невозможность загрузки ОС;

исчезновение файлов и каталогов или искажение их содержимого;

изменение даты и времени модификации файлов;

изменение и значительное увеличение количества файлов на диске;

существенное уменьшение размера свободной оперативной памяти;

вывод на экран непредусмотренных сообщений или изображений;

подача непредусмотренных звуковых сигналов;

частые зависания и сбои в работе компьютера.

Компьютерные вирусы различных типов в основном предназначены для поражения определенных объектов файловой системы. Этим и можно объяснять такое обилие основных признаков проявления вируса, так как только файловая система обеспечивает доступ к файлам и его параметрам.

1.6 Классификация вирусов

Все известные вирусы классифицируются по следующим признакам (рис 1):

среде обитания;

способу заражения среды обитания;

по воздействию;

по особенностям алгоритма.

Среда обитания. Можно выделить четыре среды обитания (Рис 1,а) - это сетевые, файловые, загрузочные, файлово-загрузочные.

Сетевые вирусы располагаются только в ОЗУ компьютеров и не копируют себя на носители данных. На автономных компьютерах сетевые вирусы существовать могут только при включенном питании, так как при выключении питания сетевой вирус погибает. В крупных сетях компьютеры не выключаются очень продолжительное время и если какой, то компьютер выключился, то вирус пережидает на других компьютерах сети. Считается, что такие вирусы для индивидуальных пользователей не страшна.

Размещено на http://www.allbest.ru/

Файловые вирусы. Этот тип вирусов внедряются главным образом в исполняемые файлы, имеющие расширения СОМ или ЕХЕ. Заражение происходит в тот момент, когда файл находится в ОЗУ, т.е. в момент исполнения. Также вирус может внедряться в SYS-файлы (это файлы ОС и драйверы). Вирус может располагать себя как в начало, середину или в конец файла. В настоящее время в связи с работой в появились новые типы файлов, как BIN, Dll, DRV, VXD ( динамическая библиотека, драйверы) и некоторых других. Такие файлы также подвержены заражению.

Загрузочные вирусы. Это такие вирусы, которые располагаются в свободных местах загрузочного сектора системной дискеты или жесткого диска (Boot Record). Кроме того такой вирус может также располагаться в области Vaster Boot Record - MBR) жесткого диска, если он был разделен на разделы. При запуске ПК такой вирус поступает в ОЗУ и потом будет переходить в системные области гибких дисков, если их вставлять в дисковод для записи данных. При выполнении ремонтно-восстановительных работ следует использовать не завирусованные системные диски, т.е. надо иметь для таких целей проверенные дискеты. Считается, что очень часто вирусы попадают в ПК после ремонтно-восстановительных работ. Сам вирус размещается в ВР или MBR не полностью, центральная часть (ядро), а остальную часть - в свободное место на диске (как правило в последних секторах).

Файлово-загрузочные вирусы. Это вирусы, которые могут поражать как файлы, так и системные области диска BR и MBR.

Макровирусы. Это новый вид вирусов, которые внедряются в файлы документов, подготовленные в тестовом редакторе Word, в котором есть возможность составления макрокоманд. В общем случае такие вирусы могут поражать документы, подготовленные в других пользовательских средах, в которых есть свой язык макрокоманд. Для защиты от таких вирусов надо отключать, например в Word, возможность выполнения макрокоманд при просмотре «чужих» документов, подготовленных самостоятельно, макрокоманды можно подключать снова.

Способ заражения среды обитания. По способу заражения вирусы делятся на резидентные и нерезидентные (рис 1,б). Резидентный вирус при инфицировании компьютера оставляют в ОЗУ свое ядро, резидентную часть. Которая потом перехватывает обращение ОС к объектам заражения (файлы, системные сектора дисков и т.д.) и внедряется в них. Такое ядро находится постоянно в памяти и является активным вплоть до включения или перезагрузки компьютера.

Нерезидентные вирусы не записываются в память компьютера и являются активными лишь ограниченное время.

Бывают вирусы, которые в ОЗУ оставляют резидентную часть, но она не распространяет вирус. Такие вирусы относят к нерезидентным.

Воздействия вируса. По степени воздействия (Рис 1,г) вирусы могут быть неопасными, опасными и очень опасными.

Неопасные или безвредные вирусы себя проявляют в каких-либо графических или звуковых эффектах. Механизм таких вирусов, как видно, не предполагает опасных действий. Практически такие вирусы занимаются только размножением. Вероятнее всего создатели таких вирусов хотят самоутвердиться и попробовать свои силы в программировании на ассемблере. Такие вирусы не выполняют разрушительных действий, но они перегружают ресурсы компьютера и этим способны понижать производительность компьютера.

Опасные вирусы - это такие вирусы, которые способны привести к различным нарушениям в работе компьютера.

Промежуточное положение занимают так называемые малопасные вирусы. Они в момент своей активизации не производят разрушительных действий, но могут беспокоить пользователей неожиданными сообщениями, экранными и звуковыми эффектами. Их вредность почти такая же, как и у вредных вирусов. Малоопасные вирусы имеют одно положительное качество -предупреждают пользователя ПК о том, что не все в порядке в его системе безопасности и этим спасают его от еще больших неприятностей.

Очень опасные вирусы или разрушительные вирусы. Это такие вирусы, которые могут привести к потере программ, уничтожению данных, стиранию информации в системных областях. Такие вирусы не могут обрабатывать жесткий диск часами и чтобы никто ничего не заметил. Поэтому они обычно уничтожают только служебные области. Такая операция занимает доли секунды и может полностью исчезнуть доступ к программам т данным (это разрушение FAT). Восстановление такого жесткого диска потребует специальных знаний и специальных средств.

Современные вирусы - разрушители могут иметь доступ до CMOS-памяти и до флеш-памяти (перезаписываемая микросхема). Восстановление их - это простая замена ПЗУ. Защита от такого вируса - это установка на материнской плате перемычки, чтобы вирус не смог включать режим перепрограммирования микросхемы.

Особенности алгоритма. По особенностям алгоритма функционирования вирусы трудно классифицировать из-за большого их разнообразия. Все таки такая попытка сделана и она представлена на Рис 1,г. Большинство антивирусных программ выявляют вирусы по известным образцам их программного кода - сигнатурам. Это определенная последовательность групп кодов, характерные для известных вирусов. Если в файле имеется такая характерная последовательность байтов (сигнатура) и она зарегистрирована в базе данных как характерная для вируса, то антивирусная программа выдает сообщение о наличии вируса и может предлагать ее уничтожение.

По алгоритму функционирования простейшими вирусами являются паразитические, которые при распространении своих копий обязательно изменяют содержимое файлов и секторов диска. Такие вирусы достаточно легко обнаруживаются и уничтожаются.

Вирусы-репликаторы или вирусы черви (Worm). Они, как правило, распространяются по компьютерной сети и не изменяют файлы и сектора на дисках. Такие вирусы из сети записываются в ОЗУ компьютера, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии.

Некоторые авторы используют такие алгоритмы, которые позволяют вирусу быть невидимой антивирусной программе, а также такие алгоритмы, которые формируют вирусы-мутанты, которые изменяют свой код.

Вирусы-невидимки или стелс-вирусы (Stealth). Это такие вирусы, которые имеют весьма совершенные программы и их нельзя увидеть средствами антивирусной защиты. Такие вирусы перехватывают прерывания при просмотре файлов средства операционной системы (например, по F3 операционной оболочки MSDOS). В этом случае вирус удаляет свое тело из файла и пользователь не увидит код вируса. При закрытии файла вирус записывает себя снова в файл.

Для обнаружения таких вирусов-невидимок антивирусные программы должны иметь свои собственные средства просмотра, независимое от операционной системы.

Наиболее трудно обнаружить вирусы-мутанты или вирусы-призраки (полимофные вирусы). Такие вирусы не имеют постоянных кодов. Это нужно для того, чтобы обмануть антивирусные защитные средства. Вирус распространяется в закодированном виде. Используется алгоритм случайного кодирования и декодирования и он находится в самом же вирусе. Из-за этого копии вирусов всякий раз выглядят по разному, так как получаются разные сигнатуры, т.е. в последовательности байтов в вирусе нет ничего общего. Выявлять такие вирусы простым сравнением сигнатур с данными из базы антивирусной программы практически невозможно. Против таких вирусов антивирусные программы используют специальные алгоритмы эвристического анализа.

1.7 Способы защиты от вирусов

Можно ли вообще защититься от компьютерных вирусов?. Можно, если полностью ограничить себя в пользовании программами, не устанавливать никакие новые программы. Полной защиты от компьютерных вирусов нет, так как могут быть вирусы до сих пор не проявляли себя. Пока вирус безвреден, он где-то может существовать. Но если он начнет размножаться и начнет наносить ущерб, то его нужно вычислить и обезвредить. Так что первый день его активности станет и последним.

Так что вывод таков: полностью защититься при очень большом изобилии вирусов нельзя, но минимизировать угрозы от вирусов можно, чтоб вред от них стал меньше.

Обычно с понятием вирус связывается потеря информации на компьютере. Очень часто информация теряется не от вирусов, а от собственного головотяпства и от нестабильной работы операционной системы.

Можно предложить некоторые меры по защите от компьютерных вирусов, следуя которым можно свести к минимуму потери информации.

1).Подготовка к последствиям.

Считается, что потери информации происходят только по старости жесткого диска, но и по собственной небрежности. Подготовка к последствиям могут быть следующие:

это выполнение резервного копирования всего того, что представляет ценность и не хранить их на работающем жестком диске. Лучше записывать на лазерные диски;

надо обязательно хранить дистрибутивы программ, устанавливаемые на компьютер. Надо быть готовым к их переустановке в любую минуту и рассматривать это не как обычное периодическое обслуживание компьютера;

следует особо позаботиться о сохранении паролей и адресов, хранящихся на компьютере - переписать в записную книжку;

обязательное условие - создание системной загрузочной дискеты, заранее проверив ее работоспособность и хранить в надежном месте;

рекомендуется иметь пакет служебных программ (типа NU 2000) и создать с их помощью аварийный комплект дискет для реанимации компьютера.

2) Меры защиты от вирусов

Начальной мерой защиты от фокусов операционной системы надо исключить некорректность в установке и удалении программ.

Затем для борьбы с компьютерными вирусами надо устанавливать на компьютер специальные антивирусные программы как зарубежные так и отечественные антивирусные программы. Вообще-то отечественные антивирусные программы намного эффективнее западных.

Современные антивирусные программы при запуске контролируют собственную неприкосновенность. Если замечается постороннее вмешательство в программный код, то дальнейшая работа блокируется и выдается предубеждение о нарушении целостности антивирусной программы и необходимости ее повторной переустановки.

Некоторые вирусы атакуют компьютер при наступлении определенной даты (например, Чернобыль 26 апреля). В таких случаях после включения питания надо войти в настройку BIOS и изменить системную дату на несколько дней назад. Теперь можно смело загружаться, так как для компьютера сегодняшний день наступит не сегодня.

1.8 Характеристика антивирусных программ

Сам термин «вирус» пришел из медицины и поэтому при описании антивирусных программ широко используются такие медицинские термины, как «лечение», «доктор», «вакцина», иммунизатор», «карантин», «прививка» и другие термины. Такое использование медицинских терминов наиболее понятно и однозначно определяют происходящие действия.

Имеются такие виды антивирусных программ:

программы - детекторы;

программы - доктора или фаги;

программы - ревизоры;

программы - фильтры;

программы - вакцины или иммунизаторы.

Программы - детекторы. Это такие программы, которые осуществляют поиск сигнатуры вируса в ОЗУ и в файлах. При обнаружении сигнатур выдается соответствующее сообщение. Такие программы могут обнаруживать только те вирусы, сигнатуры которых уже известна разработчикам программ-детекторов

Программы - доктора (или фаги). Такие программы не только находят зараженные вирусом файлы, но и «лечат» их, т.е. удаляют из файла тело программы вируса, возвращая файл в исходное состояние. В начале своей работы фаги ищут вирусы в ОЗУ, уничтожают их, и только затем переходят к «лечению» самих файлов. Среди фагов выделяют еще полифаги, т. е. Программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известными полифагами являются программы DoctorWeb,Norton Antivirus и другие. Программы-доктора должны постоянно обновлять свои базы данных сигнатурами новых вирусов для успешной борьбы с вирусами

Программы-ревизоры. Такие программы запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда ПК не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние м исходным. Обнаруженные изменения выводятся на экран монитора. Сравнение производится сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации и другие параметры. Программы-ревизоры имеют развитые алгоритмы, обнаруживающие стелс-вирусы и могут отличать изменения версий проверяемой программы от изменений, внесенных вирусом. К числу таких программ-ревизоров относится широко распространенная в России программа Adinf фирмы «Диалог-Наука».

Программы - фильтры. Их еще называют программа-сторож. Это небольшие резидентные программы и предназначены для обнаружения подозрительных действий при работе компьютера, характерными действиями являются:

попытка коррекции файлов с расширениями СОМ и ЕХЕ;

изменение атрибутов файлов;

прямая запись на диск по абсолютному адресу;

запись в загрузочные сектора диска;

загрузка резидентной программы.

В таких случаях программа формирует сообщение для пользователя и предлагает запретить или разрешить соответствующие действия.

Программы-фильтры способны обнаруживать вирус на самой ранней стадии его существования до размножения. Эти программы не умеют «лечить» файлы и диски. Для уничтожения вирусов требуется применить другие программы, требуется применить другие программы, например, фаги.

Недостаток таких программ-фильтров в их «назойливости» (постоянно выдают предупреждения о любой попытке копирования исполняемого файла), а также возможные конфликты с другими программами.

Программы-вакцины. Это резидентные программы и предотвращают заражение файлов. Следует применять при отсутствии фагов. Вакцинация возможна только от известных вирусов. Вакцина модифицирует файл или диск так, что вирус воспринимает их как зараженными и вирус не будет внедряться. Модификация файла, диска не отражается на их работе. В настоящее время программы-вакцины имеют ограниченное применение.

2. Что за зверь -- «троянский конь»

Практически ни один разговор о компьютерных вирусах не обходится без термина «троянская программа», или «троянец». Чем это приложение отличается от вируса, каково его назначение и чем он опасен? К этой категории относятся программы, выполняющие различные несанкционированные действия без ведома пользователя. По характеру действия «троянец» очень напоминает вирус: он может красть персональную информацию (прежде всего файлы паролей с расширениями PWL, SAM, почтовые базы), перехватывать данные, введенные с клавиатуры, реже -- уничтожать важную информацию или нарушать нормальную работоспособность компьютера. Кроме того, часто «троянская» программа может применяться для использования ресурсов компьютера, на котором она запущена, в неблаговидных или преступных целях: рассылки вирусов, проведения DDOS-атак (Distributed Denial of Service -- распределенные атаки, направленные на нарушение работы сетевых сервисов).

Все это могут делать и вирусы. Отличие заключается в том, что часто внешне «троянец» выглядит как вполне нормальная программа, выполняющая некоторые полезные функции. Однако, кроме этого, у нее есть и «вторая жизнь», о которой пользователь не догадывается, так как часть функций приложения скрыта. «Троянская» программа также отличается от вируса неспособностью к самораспространению: она не может самостоятельно копироваться на другие компьютеры, ничего не уничтожает и не изменяет на компьютере пользователя (кроме функций, которые нужны для запуска программы). «Троян» может прокрасться к ничего не подозревающему пользователю под видом ускорителя Интернета, очистителя дискового пространства, видеокодека, плагина к проигрывателю Winamp или исполняемого файла, имеющего двойное расширение (Хотя, в отличие от вируса, «троянец» не способен к саморазмножению, от этого он не становится менее опасным).

В последнем случае может просто прийти письмо с просьбой посмотреть фотографию и с прикрепленным файлом вроде superfoto. bmp. ехе (как вариант, после BMP может быть большое количество пробелов, чтобы пользователь ничего не заподозрил). В итоге получатель сам устанавливает вредоносную программу. Отсюда, кстати, и произошло название таких приложений: вспомните, как ахейцы захватили Трою. Город был хорошо укреплен, ахейцы долго не могли его взять и в конце концов просто обманули защитников. Для жителей Трои конь был символом мира, и ахейцы якобы для примирения построили деревянную статую коня, внутрь которой посадили своих лучших воинов. Ничего не подозревающие троянцы затащили подарок в город, а ночью ахейцы вылезли из статуи, обезвредили стражу и открыли ворота, впустив основные силы.

Размножению «троянской» программы во многом способствует сам пользователь, копируя его друзьям и коллегам. Кстати, возможны варианты, когда программа попадает на компьютер пользователя как «червь», а далее работает как «троян», обеспечивая своему создателю возможность дистанционного управления зараженным компьютером. Чаще всего такие программы все-таки относят к «червям».

Запустившись, «троянец» располагается в памяти компьютера и отслеживает запрограммированные действия: крадет пароли для доступа в Интернет, обращается к сайтам, накручивая чьи-то счетчики (за что пользователь платит лишним трафиком), звонит на платные, часто очень дорогие, телефонные номера или следит за действиями и привычками хозяина компьютера, читает его электронную почту.

Современные «троянцы», как правило, уже не тащат все подряд. Они целенаправленно занимаются сбором конкретной информации. Например, «банковские» шпионы занимаются сбором номеров кредитных карточек и других банковских данных. В связи с ростом популярности интернет-игр появился интерес к краже игровых предметов или персонажей, цена которых порой доходит до нескольких тысяч долларов. Поэтому кража учетных записей является для мошенников не менее привлекательным делом, чем кража банковских атрибутов.

Отдельно следует упомянуть так называемые Trojan-Downloader и Trojan-Dropper, которые используются для установки на компьютеры «троянских», рекламных (adware) или порнографических (pornware) программ. Кроме того, «троянцы» часто используются для создания «троянских» прокси-серверов или даже целых «зомби-сетей» для рассылки спама или вирусов.

Как определить, что в вашей системе поселилась «троянская» программа? Во-первых, согласитесь, странно, когда только что установленный новый плагин к Winamp не обнаруживается в списке. Во-вторых, при инсталляции «трояна» может быть выведено сообщение, причем как об успешном окончании установки (вроде Internet Exsplorer already patched), так и, наоборот, говорящее о том, что утилита не установлена, потому что системная библиотека является несовместимой с версией программы либо архив поврежден. Возможно, будут также выведены некоторые рекомендации по устранению ошибки. После долгих мучений пользователь вряд ли получит ожидаемый результат, скорее всего, оставит все попытки и будет пребывать в полной уверенности в том, что это полезная программа, которая просто не запустилась по непонятным причинам. «Троянец» тем временем пропишется в автозапуске. Например, в Windows необходимо быть внимательным к следующим веткам реестра:

HKEY_L0CALJ4ACHINE\S0FTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY^LOCAL_MACHINE\SOFTWARE\MicrosoftWindows\CurrentVersion\ RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Runservices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunservicesOnce

Возможно помещение ярлыка «трояна» в папку Автозагрузка (это встречается очень редко, так как присутствие вредоносной программы в этой папке очень легко обнаружить) или запись в файлы autoexec.bat, win. ini, system, ini. Часто разработчики принимают меры, чтобы «трояна» не было видно в окне Диспетчер задач, выводимом нажатием сочетания клавиш Ctrl+Alt+Delete. Наиболее сложные троянские» программы умеют самостоятельно обновляться через Интернет, прятаться от антивирусов, а также расшифровывать файлы паролей. Управлять «троянцем» можно несколькими способами: от прямого подключения к компьютеру до проверки определенного сетевого ресурса, на который хозяин посылает e-mail, XQ и IRC-команды.

Часто «троянец» состоит из двух частей: клиентской, установленной у хозяина, и. серверной, работающей на машине «жертвы». Такие программы также называют backdoor -- «потайной ход». Запустив программу-клиент, злоумышленник проверяет, находится ли сервер в Сети: если отклик получен, то удаленным компьютером можно управлять как своим.

История «троянских» программ началась примерно в середине 1980-х. Первые программы назывались «вандалами», потому что, попав в систему, они каким-то образом вредили ей. Затем, когда Интернет получил более широкое распространение, появилась мысль не разрушать, а красть информацию. Наибольшую известность среди «троянских» программ получила BackOrifice, появившаяся в июле 1998 года. Группа хакеров, называвшая себя «Культ мертвой коровы» (Cult of the Dead Cow), создала «троянца» для Windows 95/98. BackOrifice позволял любому человеку, располагающему номером порта и паролем для входа, совершать на машине «жертвы» практически любые действия: выполнять команды операционной системы, просматривать файлы, скачивать и закачивать файлы, манипулировать регистром (registry), получать список активных процессов, завершать произвольный процесс или незаметно порождать новый путем запуска сервиса, получать полную копию клавиатурного ввода и многое другое. Кроме того, существовал графический клиент, с помощью которого можно было видеть экран жертвы.

Учитывая неумение «троянских» программ распространяться самостоятельно, самым простым и эффективным правилом, позволяющим избежать заражения «троянским конем», является загрузка файлов только из надежных источников. Таким образом, несмотря на то что, в отличие от вирусных эпидемий, о «троянских» эпидемиях пока еще никто не слышал, да и вряд ли услышит, учитывая их неспособность к самостоятельному размножению, «троянские» программы не менее (а возможно, даже и более) опасны, чем вирусы. Ведь часто такие программы создаются для «персонального» использования, и поэтому сегодняшние антивирусы не знают и не могут знать обо всех существующих «троянцах». А значит, пользователь может долгое время работать на «зараженной» машине, не подозревая об этом. Чтобы найти «троянское» приложение, требуются специальные утилиты, а также наблюдение за сетевой активностью своего компьютера с помощью штатных средств операционной системы и установленного брандмауэра.

3. Новаторские подходы хакеров -- «руткиты» rootkits

Если «троянцы», о которых говорилось выше, можно обнаружить с помощью системных утилит, то представителей этого класса можно вычислить, только используя специальные утилиты.

«Руткиты» представляют собой современный, несколько более продвинутый вариант «троянских коней». Следует отметить, что некоторые антивирусные компании не разделяют «руткиты» и «троянцы», относя их к одной категории зловредных программ. Однако «троян» прячется на компьютере, обычно маскируясь под известную программу (например, Spymaster.A выдавал себя за приложение MSN Messenger), а вот «руткиты» используют для маскировки более продвинутые методы, забираясь в систему достаточно глубоко.

Термин «руткит» пришел из мира Unix. Изначально этим словом обозначался набор инструментов, позволяющий злоумышленнику возвращаться во взломанную систему таким образом, чтобы системный администратор не мог его видеть, а система -- регистрировать. Обычно к таким инструментам относят программу-«сниф-фер», с помощью которой прослушивается сеть для возможного перехвата ценной информации (например, пароля), модифицированный набор основных системных программ, а также сценарии для очистки файлов журналов. Для дистанционного управления запускается нелегальный сервис удаленного доступа, открывающий сетевой порт, который «не замечают» модифицированные системные утилиты. При этом для сохранения максимальной приближенности к оригинальному файлу такие утилиты имитируют дату его создания и размер. Все программы подобной направленности были объединены в набор программ под названием Root Kits. Отсюда, собственно, и произошло слово «руткит».

Долгое время «руткиты» были привилегией Unix-систем, но, как известно, хорошие идеи обычно просто так не пропадают, и в конце XX века стали массово появляться «руткиты», предназначенные для Microsoft Windows. Интересно, что о «руткитах» заговорили, только когда на их использовании в своих продуктах была поймана фирма Sony. Сегодня эксперты предсказывают бум этой технологии, и в ближайшие два-три года ожидается массовый рост количества «руткитов» -- вплоть до 700 % в год. Самое печальное, что их будут использовать не только злоумышленники, «руткиты» станут массово применяться и в коммерческих продуктах, в первую очередь для защиты от пиратства. Например, недавно было объявлено, что компания Microsoft создала «руткит», обнаружить который невозможно. Вполне вероятно, мы встретимся с этим изобретением в новых версиях Windows.

Но обычному пользователю от этого не легче. Кроме того, технология «руткитов» потенциально может быть использована для создания нового поколения программ-шпионов и «червей», и обнаружить такое приложение после его проникновения на компьютер практически невозможно. Однако и это, видимо, еще не самое плохое... Так, в январе 2006 года Джон Хесман, сотрудник компании Next-Generation Security Software, заявил о том, что набор функций по управлению электропитанием компьютера (так называемый ACPI -- Advanced Configuration and Power Interface) позволяет создавать программы, реализующие «руткиты», которые могут храниться во flash-памяти BIOS. Прототип такого приложения уже создан, и использование flash BIOS, без сомнения, еще больше затруднит его обнаружение.

Практически все современные версии «руткитов» могут прятать от пользователя файлы, папки и параметры реестра, скрывать работающие программы, системные службы, драйверы и сетевые соединения. В основе функционирования всех «руткитов» лежит модификация данных и кода программы в памяти операционной системы.

В зависимости от того, с какой областью памяти работают «руткиты», их можно разделить на следующие виды:

*.системы, работающие на уровне ядра (Kernel Level, или KLT);

*.системы, функционирующие на пользовательском уровне (User Level).

Первый известный «руткит» для системы Windows, NT Rootkit, был написан :- 1999 году экспертом в области безопасности Грегом Хоглундом (Greg Hoglund) ; в виде драйвера уровня ядра. Он скрывал все файлы и процессы, в имени которых встречалось сочетание _root, перехватывал информацию, набираемую на клавиатуре, а также использовал и другие способы маскировки.

Самым известным на сегодняшний день «руткитом» является Hacker Defender. Эта программа работает в режиме пользователя и маскируется исключительно за счет перехвата некоторых API. Hacker Defender может обрабатывать сетевой трафик до того, как он будет передан приложению. То есть любое приложение, работающее в сети, может быть использовано для взаимодействия с взломщиком. Кроме того, «руткит» умеет скрывать файлы и процессы, записи в реестре и открытые порты, а также может неправильно показывать количество свободного места на днске. Он прописывается в автозагрузку, оставляя для себя «черный вход», и «прослушивает» все открытые и разрешенные брандмауэром порты на предмет 256-битного ключа, который и укажет, какой порт использовать для управления. Hacker Defender перехватывает функции запуска новых процессов, что позволяет ему заражать все программы, запускаемые пользователем. Кроме того, он полиморфен: для шифрования исполняемых файлов «руткита» обычно используется утилита Morphine (Все современные версии «руткитов» могут прятать от пользователя файлы, папки и параметры реестра, скрывать программы, системные службы, драйверы и сетевые соединения. Одним из наиболее опасных «руткитов» является FU, выполненный частично как приложение, а частично как драйвер. Он не занимается перехватами, а манипулирует объектами ядра системы, поэтому найти такого вредителя очень сложно).

Если вы обнаружили «руткит», это еще не значит, что вы сможете просто избавиться от него. Для защиты от уничтожения пользователем или антивирусом в «руткитах» применяется несколько технологий, которые, кстати, уже начинают встречаться и в зловредных программах других типов. Например, запускаются два процесса, контролирующих друг друга. Если один из них прекращает работу, второй немедленно восстанавливает его. Применяется также похожий метод, использующий потоки: удаленный файл, параметр реестра или уничтоженный процесс через некоторое время восстанавливается.

Кроме того, популярен метод блокировки доступа к файлу. При этом файл открывается в режиме монопольного доступа или блокируется с помощью специальной функции; удалить такой файл стандартными способами невозможно. Если попытаться воспользоваться отложенным удалением (во время следующей загрузки), например с помощью программы вроде MoveOnBoot, то, скорее всего, либо запись об этой операции будет через некоторое время удалена, либо файл будет переименован.

Любопытный способ защиты использует «червь» Feebs. Для борьбы с антивирусами, антируткитами и другими утилитами, пытающимися уничтожить его, он выставляет приманку -- замаскированный процесс, невидимый на вкладке Процессы в окне Диспетчера задач. Любое приложение, которое попытается обратиться к этому процессу, тут же уничтожается. Программа может устанавливаться как дополнительный модуль к браузеру Internet Explorer, изменяющий его функциональность. Стандартные средства контроля автозапуска типа msconfig не видят все эти параметры, а применение дополнительных утилит для изучения системы требует от пользователя определенной квалификации. Поэтому единственный действительно надежный способ уничтожить такую программу -- отформатировать жесткий диск и заново установить операционную систему.

С сожалением отмечу, что существующие сегодня специализированные программы, предназначенные для обнаружения «руткитов», и традиционные антивирусы не дают 100%-й гарантии безопасности. Обладая исходным кодом этих программ, можно создать любые модификации «руткитов» или включить часть кода в любую шпионскую программу. Однако основное «умение» «руткитов» -- прочно закрепиться в системе, а не только проникнуть в нее, поэтому основным правилом для вас должны стать максимальная защита и осторожность.

Размещено на Allbest.ru

...