Вредоносное программное обеспечение и защита от него

Размещено на http://www.allbest.ru/

Федеральное агентство по образованию

Санкт-Петербургский государственный университет

аэрокосмического приборостроения

Кафедра безопасности информационных систем

Учебное пособие.

Основы защиты информации

Вредоносное программное обеспечение и защита от него

к.т.н. Воронов А.В.

Санкт-Петербург 2011

Автор: к.т.н. Воронов А.В., к.т.н. Волошина Н.В.

Основы защиты информации. Вредоносное программное обеспечение и защита от него. Учебное пособие. Санкт-Петербургский государственный университет аэрокосмического приборостроения. Кафедра комплексной безопасности информационных систем. Санкт-Петербург, 55 стр.

Краткая аннотация на учебное пособие.

В учебном пособии «Вредоносное программное обеспечение и защита от него» рассматривается семейство вредоносных программ, и методы защиты от них в информационно-вычислительных системах. Пособие предназначено для изучения основ организации защиты информации от деструктивного воздействия программ типа: компьютерные вирусы, «троянский конь», и аналогичных, а так же защиты почтовых систем от спама. Рекомендуется для студентов технических и гуманитарных направлений.

Содержание

• 1. Понятия и определения
• 2. Компьютерные вирусы
• 2.1 История компьютерных вирусов
• 2.2 Классификация компьютерных вирусов
• 3. Классификация других деструктивных программ
• 3.1 Трояны.
• 3.2 Программы-шпионы (Spyware)
• 3.3 Рекламные коды (Аdware)
• 3.4 Спам
• 3.5 Фишинг
• 4. Классификация методов защиты от вредоносного ПО
• 4.1 Основные методы защиты от компьютерных вирусов
• 4.2 Дополнительные рекомендации по защите от вредоносного ПО
• 4.3 Борьба со спамом
• 5. Организация системы защиты корпоративных информационных систем от вредоносного программного обеспечения
• 5.1 Требования к системе
• 5.2 Общая структура решения
• Приложение
• 1. Понятия и определения

компьютерный вирус программный обеспечение

На сегодняшний день понятие вредоносного ПО охватывает довольно обширный спектр прикладных программ. В перечень вредоносных входит не только вирусное программное обеспечение, приводящее к разрушению информации и нарушению работы компьютерных систем, но и программы, обеспечивающие несанкционированный доступ к конфиденциальной информации и персональным данным пользователей информационных систем, в том числе и банковских электронных систем. В эту же группу входят и программные решения, затрудняющие повседневную работу пользователей и корпоративных систем, например - рекламное ПО.

При этом необходимо учесть, что с развитием информационных технологий границы между отдельными видами вредоносного ПО всё больше стираются, и одни виды вредоносного ПО в своих алгоритмах всё больше используют методы других видов данного ПО. Например, программы-шпионы для внедрения в систему используют технологию ПО «троян», которое в свою очередь, использует для распространения вирус типа «почтовый червь», который, для повышения эффективности размножения использует спам-технологии.

Размеры ущерба от воздействия данных программ от года к году растут с лавинообразной скоростью, несмотря на, казалось бы, адекватные меры защиты. К сожалению, порой даже системные администраторы (не говоря уж об обычных пользователях) не всегда точно представляют себе как функционируют подобные программы, и как они проникают в компьютеры и сети. Однако, без понимания механизма функционирования и распространения подобного ПО, невозможно организовать эффективную защиту, даже имея в своем распоряжении соответствующие средства защиты информации.

В связи с этим, в настоящее время под вредоносным ПО подразумевают любое прикладное ПО, в результате прямого действия которого в информационной системе, возникает какой либо ущерб. В данной части учебного пособия мы рассмотрим наиболее популярные виды вредоносного ПО и методы защиты от него.

Для удобства рассмотрения дальнейшего материала введем некоторые понятия и определения.

Компьютерный вирус - программа, особенность которой состоит в том, что она стремится самостоятельно размножиться, создавая свои копии (не обязательно полностью совпадающие с оригиналом) и внедряя их в различные объекты и ресурсы компьютерных систем, сетей и т.д. без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения. Активизация программы происходит в процессе взаимодействия с зараженным ресурсом.

Трояны («Троянский конь») - программы, которые содержат внутри себя некие скрытые функции реализующие какие-либо информационные угрозы, либо программный код, позволяющий инсталлировать вредоносные программы в системе.

Внешне незаметные, или выглядящие достаточно безобидно, эти программы, как правило, обеспечивают возможность удаленного доступа в зараженную систему (так называемые «back doors»), или занимаются перехватом, сбором и отправкой в адрес злоумышленника определенной информации. Либо инсталлируют специальное резидентное ПО («зомбируют систему»), обеспечивающее участие данного ПК в массовых сетевых акциях (атаках) скрытно от пользователя системы. Например, рассылка спама или проведение DoS-атак.

Программы-шпионы (Spyware) - программное обеспечение, которое позволяет собирать информацию о характере действий отдельного пользователя или группы пользователей на персональной ЭВМ, либо узлах компьютерной сети, без их уведомления. Для проникновения, инсталляции и скрытия себя в системе, spyware могут использовать вирусные технологии и технологии «троянских коней».

Рекламные коды (Аdware) - это программное обеспечение, позволяющее осуществлять скрытую загрузку рекламной информации на рабочую станцию пользователя через компьютерную сеть. Кроме того, данные программы могут производить сбор и отправку третьим лицам информации о посещаемых сайтах, и вводимых владельцем компьютера данных. Для проникновения, инсталляции и скрытия себя в системе, adware могут использовать вирусные технологии и технологии «троянских коней».

Спам - это несанкционированные массовые рассылки электронных почтовых сообщений, не имеющие конкретного адресата. При помощи спама может осуществляться массовое распространение почтовых вирусов и троянов.

Фишинг (англ. phishing, от fishing - рыбная ловля, выуживание и password - пароль) - вид электронного мошенничества, цель которого - получить идентификационные данные пользователей. Сюда относятся кражи паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации.

2. Компьютерные вирусы

Компьютерные вирусы являются феноменом второй половины двадцатого столетия. Концептуальные основы компьютерных вирусов были заложены задолго до возникновения самой вирусной угрозы. Известно, что эти идеи родились ещё во времена, когда компьютеры представляли собой примитивные, огромные и очень дорогие конструкции, обладать которыми могли только научные центры, университеты и правительственные учреждения. Первоначально идея компьютерных вирусов состояла из моделирования процесса развития живых организмов в природе. Ставилась задача написания компьютерной программы, которая могла бы самостоятельно создавать свои, или подобные себе жизнеспособные копии. Такое поведение программ - шаг на пути к созданию искусственного интеллекта. К сожалению, реализация этих идей получила совершенно неадекватное и опасное воплощение. Результаты исследований и способы реализации алгоритмов достаточно широко освещались в литературе, и как это не редко бывает - дорога в ад оказалась вымощена благими намереньями.

Когда компьютерный мир состоял из относительно небольшого количества ЭВМ, вирус не имел возможности широкого распространения, но с появлением недорогих персональных компьютеров, вирусы получили благодатную питательную среду. Лавинообразный рост глобальных сетей, возможность присоединять файлы к сообщениям электронной почты и общий рост зависимости человека от компьютерных информационных технологий - все это создает для распространения компьютерных вирусов превосходные условия [45].

2.1 История компьютерных вирусов

Хотя компьютерные вирусы являются одной из разновидностей компьютерного вандализма, получившей распространение в конце 80-х годов, исторически их возникновение связано с идеей создания самовоспроизводящихся программ - концепции, уходящей своими корнями в пятидесятые годы двадцатого века. Идея самовоспроизводящихся механизмов исследовалась еще Джоном Фон Нейманом, который в 1951 году предложил метод создания таких механизмов.

1959 г. Американский журнал «Scientific American» опубликовал статью Л.С. Пенроуза (L.S.Penrose) о самовоспроизводящихся механических структурах, в которую была включена и двумерная модель подобных структур, способных к активации, захвату и освобождению. Под влиянием этой статьи F.G.Stahl запрограммировал на машинном языке ЭВМ IBM 650 биокибернетическую модель, в которой существа двигались, питаясь ненулевыми словами. При N передвижениях без пищи существо умирало от голода, а после съедания определенного количества слов порождало новое. При размножении была предусмотрена возможность мутаций, в ходе которых существа могли приобретать способность пожирать себе подобных и терять возможность к размножению.

1962 г. сотрудник фирмы Веll Теlерhonelaboratories (США) В.А. Высотский (V.А. Vyssotsky) разработал достаточно необычную игру, названную им «Дарвин», в которой несколько ассемблерных программ, названных «организмами», загружались в память компьютера. Организмы, созданные одним игроком (т.е. принадлежащие к одному «виду»), должны были «убивать» представителей другого вида и занимать «жизненное пространство». Победителем считался тот игрок, чьи организмы захватывали всю память или набирали наибольшее количество очков.

Статья с описанием игры была опубликована только в 1972 году, причем в ее тексте использовался термин «вирус» применительно к одному из видов виртуальных организмов.

Другим ранним примером вирусоподобных программ того времени была игра «Аnimal» (Животное). суть этой игры состояла в том, что человек задумывал некоторое животное, и программа, задавая вопросы, пыталась определить, какое животное загадал человек. Программист, написавший игру, предусмотрел в ней возможность саморазвития и саморазмножения. Когда программа угадывала неправильно, она просила пользователя предложить вопрос, который позволил бы улучшить ее способности к отгадыванию данного животного. Запомнив этот вопрос, программа не только модифицировала себя, но и пыталась переписать свою обновленную (улучшенную) копию в другой каталог. Если там уже была программа Animal, то она стиралась. В противном случае создавалась новая копия.

Оказалось, что через некоторое время все каталоги Файловой системы содержали копию Animal. Более того, если пользователь переходил с машины на машину, то он переносил и свой каталог, и в результате во всех каталогах этой ЭВМ также появлялась Animal. при этом совокупность копий Animal занимала значительное Файловое пространство, что в те времена воспринималось как проблема. Для решения проблемы была создана новая, более «инфицирующая» копия Animal. которая копировала себя не один раз, а дважды, тем самым быстро вытесняя собой старую версию. По истечении заданного срока она предлагала пользователю сыграть последний раз, а затем сама стирала себя с диска.

1963 г. Руководитель компьютерной лаборатории Агентства Передовых Исследовательских Проектов (Advanced Research Projects Agency - ARPA) Джон Ликлидер (J. С. R. Licklider) предложил первую детально разработанную концепцию компьютерной сети.

1969 г. ARPA создало компьютерную сеть ARPANET. К ней подключаются компьютеры ведущих, в том числе и военных, лабораторий и исследовательских центров США.

1975 г. Вышел бестселлер Джона Бруннера (John Brunner) «TheShockwareRider». В нем Бруннер описал «червей» - программы, распространяющиеся по сети - идею, которая произвела определенное впечатление, хотя ее осуществление находилось за пределами возможностей компьютеров того времени.

1982 г. Не без влияния книги Бруннера в исследовательском центре XEROX была создана программа - червь. Идея, которой руководствовались авторы программы, состояла в том, что программа, требующая значительных вычислительных мощностей, захватывала все простаивающие, но подключенные к сети ЭВМ, с тем чтобы, например, ночью использовать максимум подключенных вычислительных мощностей, а утром, когда пользователи начинали выполнять свои вычисления, освобождать их, сохраняя промежуточные результаты вычислений. Днем программа «замирала», минимизируя занимаемые ресурсы машин, а ночью опять захватывала бы все свободные вычислительные мощности.

При проведении эксперимента по запуску червя в сеть, наблюдалось его неконтролируемое распространение и зависание части зараженных червем машин. Поскольку эксперимент проводился на локальной сети Ethernet, и часть комнат с включенными машинами следующим утром оказались закрытыми, копии червя в этих машинах заражали другие машины. К счастью, авторы предусмотрели такую возможность, и послали по сети команду самоуничтожения всем копиям червя.

1983 г. Ученый Фред Кохен (Fred Cohen) из Университета Северной Каролины официально вводит в употребление термин «компьютерный вирус».

1984 г. оказался «переломным» по отношению к данной тематике и в течение года произошло несколько событий «исторического значения» с точки зрения компьютерных вирусов.

В мае 1984 года в журнале «Scientific American» А.К.Дьюдни (A.K.Dewdney) - автором колонки «Занимательный компьютер» (Computer Recreations) была опубликована игра «Core Ware» (Война в памяти). В ней два игрока пишут по одной программе каждый, на языке низкого уровня REDCODE. Программы помещаются в большой участок памяти. Каждая команда занимает одну ячейку памяти. Управляющая программа поочередно исполняет одну команду каждой программы, подобно простой системе реального времени. Программы атакуют друг друга и в то же время пытаются избежать повреждений, перемещаясь по памяти, и восстанавливать поврежденные области Простейшая атака состоит в использовании команды MOV (записать в мять) Например:MOV#0,1000 может «убить наповал» вражескую программу, если попадет в следующую исполняемую команду (т.е. если следующая выполняемая команда «врага» расположена по адресу 1000, или «ранить», если это данные или исполняемые команды, или наконец, «попасть мимо», если ячейка 1000 противной стороной не используется.

Игра вызвала значительный читательский интерес, и два итальянских программиста Р. Черути и М. Морокути, основываясь на идеях игры, попытались создать программу, обладающую свойством саморазмножения в реальных условиях - на персональной ЭВМ популярной в то время марки Аррlе - первой массовой персональной ЭВМ получившей распространение в мире. Указанные персональные компьютеры имели дисководы на гибких дисках и итальянцам удалось нащупать основную идею Boot-вируса - перехват прерывания на чтение, и заражение каждой вставляемой в ЭВМ дискеты. Они также сообразили, что будучи реализованной, программа вызвала бы миниэпидемию в масштабах их родного города Брешиа. Более того, поняв, что указанная программа является компьютерным вирусом, они по аналогии с естественными вирусами пришли к идее о том, что компьютерный вирус может наносить вред. Для этой цели они предложили встроить счетчик в BOOT-сектор и через каждые 16 размножений (это, по сути, первое упоминание идеи счетчика в воот- секторе - идеи, которая будет открываться и переоткрываться многими разработчиками вирусов для IВМ РС) запускать переформатирование дискеты. Однако они вовремя ужаснулись возможным последствиям и отказались от реализации практически полностью специфицированной программы. Тем не менее, они имели неосторожность изложить свои идеи достаточно подробно в письме в журнал «Scientific American», а А.К. Дьюдни в обзоре писем читателей по поводу Core Ware, опубликованном в апреле 1985 г., практически полностью опубликовал их письмо, что несколько ускорило последующие события, хотя сам их ход был уже предопределен. Поскольку журнал «Scientific American» относится к наиболее читаемым научно-полярным журналам как в США, так и в остальном мире, письмо Р. Черути и М. Морокути было замечено, и попытки повторения не заставили себя долгот ждать. В частности, вирус реализованный по опубликованному описанию Р. Скрентом - младшим из Питсбурга (США), быстро распространился по дискетам его знакомых и преподавателей. Для борьбы с ним был написан антивирус, однако он оказался не в состоянии предотвратить дальнейшее распространения вируса.

В сентябре 1984 года была опубликована статья Ф. Коэна (Fred Cohen), в которой автор исследовал разновидность файлового вируса. Это фактически было первым академическим исследованием проблемы вирусов, результаты которого были опубликованы. Позднее, в 1986 г. Ф.Коэн защитил диссертацию под названием «Компьютерные вирусы». В настоящее время Ф.Коэн является одним из ведущих исследователей в этой области, опубликовавшим десятки работ по данной тематике. Отметим, что в Европе первые публикации, посвященные вирусам, появились, по некоторым данным, в том же 1986 г.

В литературе того времени постепенно начинает создаваться целое направление «околовирусного» толка котором концепция вирусов рассматривается с различных точек зрения.

1985 г. В. Гибсон (William.Gibson) опубликовал научно - фантастический роман «Neuromancer» - второй после Бруннера бестселлер, в котором фигурируют компьютерные вирусы. В этом романе впервые вводится понятие «киберпространство» (cyber-space).

1986 г. Французский «шпионский» детектив «Softwar: LaGuerreDouce» Терри Брентона (Therry Brenton) и Дениса Бенеша (Denis Beneich). Сюжет основан на продаже СССР американского суперкомпьютера для метеорологической сети. Вместо блокирования сделки американская администрация, демонстрируя напускное нежелание, санкционирует доставку суперкомпьютера в СССР. В то же время в системное программное обеспечение компьютера заносится «логическая бомба». При определенных условиях она «взрывается» и уничтожает все программное обеспечение в советской сети.

В дальнейшем, поток научно - фантастической литературы, посвященной вирусам начал нарастать и, безусловно, сыграл определенную роль в популяризации идеи и привлечении к ней внимания студенческой молодежи. Из последних романов этого направления следует отметить второй роман В. Гибсона «Mona Lisa Overdrive», вышедший В 1988 году. Этот роман, так же, можно рассматривать как катализатор реальных событий.

1987 г. Программист Ральф Бергер (Ralph Burger) написал книгу об искусстве создания вирусов и борьбы с ними -- «Компьютерные вирусы. Болезнь высоких технологий» (Computer Viruses. The Decease of High Technologies).

1985 г. Второй этап в развитии вирусов связан с появлением персональных компьютеров IВМ РС (в 1985 г. явились модели по цене менее 1000 долларов) - самого массового компьютера в истории развития вычислительной техники. В отличие от первого этапа, на котором разработки носили исследовательский характер, и авторы выполняли эксперименты, заручившись согласием пользователей, атмосфера второго этапа носит мрачный характер противостояния пользователей группе безответственных или уголовных элементов.

1987 г. - отмечены первые случаи массового заражения компьютеров. Так, Лехайский вирус, появившийся в 1987 г. в одноименном университете США, в течение нескольких дней уничтожил содержимое нескольких сот дискет как из публичной библиотеки университета, так и личных дискет студентов. 30 декабря 1987 г. был обнаружен вирус в Иерусалимском Университете (Израиль). Хотя существенного вреда этот вирус не принес, он быстро распространился по всему миру и, по-видимому, является первым вирусом, распространение которого приобрело характер пандемии.

В 1988 г. в США и странах Западной Европы эта проблема приобрела характер приоритетной. Особое внимание общественности привлек так называемый «вирус Морриса».

Вирус Морриса

2 ноября 1988 года Роберт Моррис - Младший, аспирант Факультета информатики Корнельского Университета инфицировал с помощью написанного им вируса большое количество компьютеров. Вирус изначально разрабатывался как безвредный и имел лишь целью скрытно проникнуть в вычислительные системы, связанные сетью ARPANET (ARPANET в 1989 году официально переименован в Интернет), и остаться там необнаруженным. Вирус Морриса является представителем вирусного семейства сетевых червей (Internet worm), и представляет собой 60 килобайтную программу, разработанную с расчётом на поражение операционных систем UNIX Berkeley 4.3.

При этом, интересен тот факт, что отец «отца вируса» - Роберт Моррис - Старший в это время занимал должность научного руководителя Национального Центра Компьютерной Безопасности (NCSC - National Computer Security Center) - эксперта по компьютерной безопасности. Моррис - Старший много лет проработал в лаборатории AT&T Bell, где в 60-х годах принимал участие в разработке программ Core Wars. Кстати, инцидент с программой-червем практически никак не сказался на карьере Морриса - Старшего. В начале 1989 года он был избран в специальный консультативный совет при Национальном институте стандартов и министерстве торговли. В задачу этого совета входит выработка заключений и рекомендаций по вопросам безопасности вычислительных систем правительственных органов США, а также решение вопросов, возникающих при разработке и внедрении стандартов защиты информации.

Инцидент с «вирусом Морриса» дал толчок к появлению целой отрасли компьютерной безопасности - компьютерной вирусологии.

По самым скромным оценкам инцидент с вирусом Морриса стоил свыше 8 миллионов часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается более чем в 98 миллионов долларов. Вирус поразил свыше 6200 компьютеров. В результате вирусной атаки большинство сетей вышло из строя на срок до пяти суток. Компьютеры, выполнявшие коммутационные функции, работавшие в качестве файл-серверов или выполнявшие другие функции обеспечения работы сети, также вышли из строя. Ущерб был бы гораздо больше, если бы вирус изначально создавался с разрушительными целями.

В американских репортажах с места события, опубликованных такими ведущими газетами как Chicago Tribune, New York Times и Boston Herald, широко освещалась динамика распространения вируса и разработки методов борьбы с ним, а также поднимались общие проблемы обеспечения безопасности компьютерных систем. Позднее, в аналитических статьях по этому повод поднимались нерешенные проблемы, относящиеся к вопросам безопасности компьютерных систем, и законодательные инициативы, направленные на предотвращение подобных случаев в дальнейшем. В частности, в палате представителей внесены два проекта законов, предусматривающих уголовное наказание за создание и распространение компьютерных вирусов.

Кроме того, широко обсуждался вопрос о том, как квалифицировать поступок Морриса: является ли Моррис героем-хакером, который без нанесения по-настоящему серьезного ущерба указал на слабые места в национальной компьютерной сети, или он является преступником, который должен быть сурово наказан. В то же время, он уже отчислен из Корнельского университета (с правом подачи заявления на повторное вступление через год). Таким образом, Моррис может вновь подать заявление о поступлении не ранее осени 1990 г. В этом случае вопрос о его поступлении будет решаться администрацией.

Сегодня вирус Морриса принято считать определенной точкой отсчета, с которой началось массовое шествие вирусов по миру («Современная история вирусов»).

«Современная история» компьютерных вирусов.

1989 год.

- ARPANET официально переименован в Интернет.

- Появился «троянский конь» AIDS. Вирус делал недоступной всю информацию на жестком диске и высвечивал на экране лишь одну надпись: «Пришлите чек на $189 на такой-то адрес». Автор программы был арестован в момент обналичивания денег и осужден за вымогательство.

- Создан вирус для противодействия антивирусному ПО («Темный Мститель» -- The Dark Avenger). Он заражал новые файлы, пока антивирусная программа проверяла жесткий диск компьютера.

- Клифф Столл (Cliff Stoll), сотрудник Lawrence Berkeley National Laboratory опубликовал книгу «Кукушкины яйца» (The Cuckoo's Egg), в которой предостерегал, что всемирная компьютерная сеть может служить не только целям добра, но и активно использоваться военными, преступниками и хулиганами. Столл рекомендовал заблаговременно принять меры для недопущения подобного развития событий.

1990 год (декабрь). В Гамбурге (Германия) был создан Европейский институт компьютерных антивирусных исследований (EICAR). На сегодняшний день он является одной из наиболее уважаемых международных организаций, объединяющей практически все крупные антивирусные компании.

1991 год. Написана программа, предназначенная исключительно для создания вирусов - VCSvl.0.

1993 год.

- Вирус SatanBug поражает сотни компьютеров в столице США, Вашингтоне. Страдают даже компьютеры Белого дома. ФБР арестовало автора, им оказался 12-летний подросток.

- Зафиксировано появление «бомб замедленного действия» - вирусов, которые активизируются по достижении определенной даты.

1994 год. В Великобритании, США, Норвегии арестованы несколько авторов вирусов. Они отделываются штрафами.

1995 год. Появление макровирусов, рассчитанных на поражение программной среды MS Word.

1999 год. Почтовый вирус Melissa вызвал эпидемию мирового масштаба, поразил десятки тысяч компьютеров и нанес ущерб в $80 млн. После этого инцидента в мире начался обвальный спрос на антивирусные программы. В 2002 году автор Melissa - 33-летний программист Дэвид Смит (David L. Smith) приговорен к 20 месяцам тюремного заключения.

2000 год, май. Рекорд Melissa побил почтовый вирус I Love You!, поразивший миллионы компьютеров в течение нескольких часов. Особенность вируса заключалась в том, что прикрепленный к письму файл с телом вируса активизировался автоматически при открытии пользователем письма для прочтения. Расследование показало, что вирус создал филиппинский студент, который не был осужден из-за отсутствия соответствующих законов в законодательстве Филиппин. В том же году подписано первое международное соглашение о противодействии компьютерным вирусам.

2001 год. Интернет поразил почтовый вирус Anna Kournikova. 20-летний голландец Ян Де Вит (Jan De Wit) был приговорен к 150 часам исправительных работ за создание этого вируса. Суд пришел к выводу, что он не может точно определить размер ущерба, который нанесла «Анна Курникова» экономике Нидерландов. У Де Вита также была конфискована коллекция из 7,5 тыс. вирусов. Де Вит заявил суду, что не имел представления, что написанная им программа окажется вирусом и нанесет кому-либо ущерб.

2002 год. 13 узловых DNS-серверов Интернета, обеспечивающих функционирование Всемирной Сети, подверглись DoS-атаке, организованной при помощи сетевого вируса. Аналитики предупреждают, что хорошо подготовленная и проведенная компьютерная атака может на недели уничтожить Интернет.

2003 год (июль). Рекорды быстроты распространения побил «червь» Slammer, заразивший 75. тыс. компьютеров за 10 минут. В результате активизации вируса-червя Slammer скорость работы сети значительно замедлилась, а некоторые регионы, например, Южная Корея, оказались практически отрезанными от Интернета.

Вирусная атака началась в 0:30 по времени Восточного побережья США или в 8:30 по московскому времени. Где находился источник заражения, до сих пор точно не известно. Некоторые специалисты по компьютерной безопасности предполагают, что вирус распространялся с территории США, другие же считают, что его родина находится где-то в Азии. За считанные минуты червь, использующий уязвимость в СУБД Microsoft SQL Server 2000, наводнил Интернет. Несмотря на малый размер вируса (376 байт), он смог создать в каналах передачи данных настоящие пробки, поскольку после заражения компьютера он начинает рассылать свой код по случайным IP-адресам в бесконечном цикле. Если по какому-либо из адресов обнаруживался уязвимый компьютер, он заражался и тоже начинал рассылать копии вируса.

Все это привело к крупномасштабному росту трафика. На пике активности червя на один сервер могли приходить сотни запросов в минуту. Не выдержав возросшей нагрузки, некоторые серверы переставали нормально работать. В это время только в США терялось до 20% IP-пакетов, что в десять раз превышает нормальный уровень. По имеющимся данным, от атаки пострадали и пять из тринадцати корневых DNS-серверов.

Об ошибке программного кода в MS SQL Server 2000 стало известно еще летом 2002 г., а исправление к ней содержится в выпущенном Microsoft пакете обновлений Service Pack 3. Тем не менее за установку патчей администраторы взялись лишь после атаки Slammer. Однако удалось это немногим: сайт Microsoft, откуда только и можно было взять Service Pack, оказался перегружен.

27 января 2004 года. Начало крупномасштабной эпидемии почтового червя Novarg, также известного как Mydoom. Всеми антивирусными компаниями данному червю присвоен максимальный уровень опасности. Количество зараженных писем в интернете исчисляется несколькими миллионами экземпляров. Червь распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер 22 528 байт, упакован UPX. Размер распакованного файла около 40KB. Червь активизируется, только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Червь содержит в себе "бэкдор"-функцию, открывающую ТСР порты с 3127 по 3198, что делает возможным удаленное управление зараженной системой, отыскивает почтовые адреса в адресной книге, Outlook, и рассылает себя на эти адреса с помощью собственного SMTP клиента, а также запрограммирован на проведение DoS-атак на сайты www.sco.com и www.microsoft.com.

Ущерб от эпидемии вируса MyDoom (он же Novarq) стал самым большим в истории интернет-эпидемий: он составил 2,6 млрд долларов. Такие оценки содержатся в отчете английских экспертов из компании Mi2g.

3 Мая 2004 года. В Интернет обнаружен новый червь Sasser. Червю был присвоен наивысший рейтинг опасности. По оценкам аналитиков, обычный компьютер, подключенный к Интернет и не обеспеченный средствами защиты, подвергается заражению червем в течении 10 минут.

Sasser распространяется путем использования ошибки переполнения буфера в процессе lsass.exe на системах Windows 2000, XP и 2003 Server. После заражения системы червь начинает использовать ее для атак на другие компьютеры через TCP порт 445.

Червь активизируется без вмешательства пользователя и способен поражать любой компьютер, подключенный к сети, вне зависимости от того, используется он в данный момент или нет. Признаком заражения служат различные сообщения о системных ошибках и самопроизвольная перезагрузка системы.

Дальнейшая история развития компьютерных вирусов тесно переплетается с историей развития вредоносного программного обеспечения в целом. В ней практически отсутствуют какие-либо уникальные творческие находки, зато всё более прослеживается желание лёгкой наживы злоумышленников, использующих данное ПО.

2.2 Классификация компьютерных вирусов

Вирусы можно классифицировать по характерным признакам и распределить их по группам в зависимости от среды обитания, способа заражения и особенностей алгоритма [24]:

Размещено на http://www.allbest.ru/

Рис. 1 Классификация компьютерных вирусов

По активности в системе.

Резидентный вирус - при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к заражаемым объектам и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.

Нерезидентные вирусы - не заражают память компьютера и являются активными только при обращении к зараженному объекту. При запуске программы вирус активизируется, выполняет требуемые действия, и затем передает управление собственно зараженной программе.

Логическая бомба - вирусоподобная программа, которая активизируется при наступлении определенных условий. Логическая бомба может сработать по достижении определенной даты или какого-либо специфического события в системе (например, деинсталляции определенной программы). Такая бомба может быть встроена не только в вирусы, но и в трояны.

По среде обитания

Сетевые вирусы - распространяются по компьютерной сети, используя возможности универсальных сетевых протоколов и интерфейсов различных операционных систем. Для заражения используют, как правило, ошибки в кодах программного обеспечения, работающего с компьютерной сетью. Могут «жить» только в оперативной памяти ПЭВМ и каналах передачи информации. В настоящее время являются самым популярным типом вирусного ПО.

Boot-вирусы - заражают загрузочные сектора дисков (Boot-сектор) или сектор, содержащий основной системный загрузчик жесткого диска (Master Boot Record). При опросе носителя информации, boot-сектор всегда опрашивается первым. Если диск является системным, то boot-сектор содержит программу - начальный загрузчик ОС. Если диск системным не является, то boot-сектор, как правило, содержит программу, выводящую на экран надпись, что этот диск не системный. Boot-вирус перехватывает обращение системы к программе, находящейся в boot-секторе.

Заражение дискет производится единственным известным способом: вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами:

- вирус записывается вместо кода MBR,

- вирус записывается вместо кода boot-сектора загрузочного диска (обычно диска С:),

- вирус заменяет адрес активного boot-сектора в Disk Partition Table, расположенного в MBR винчестера на свой, а управление boot-сектору передает уже самостоятельно.

При инфицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска (например, в первый свободный). Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных), которые могут помечаться как сбойные.

Существует несколько вариантов размещения на диске первоначального загрузочного сектора и продолжения вируса:

- в сектора свободных кластеров логического диска;

- в неиспользуемые или редко используемые системные сектора;

- в сектора, расположенные за пределами диска. вирусу для этого приходится форматировать на диске дополнительный трек (метод нестандартного форматирования), если, разумеется, это допускается установленным оборудованием.

В последнее время активизировалась еще одна группа загрузочных вирусов, использующая особенность функционирования ОС Windows при обращении ее к логическим и съемным дискам.

Вирус копирует себя в корень съемных дисков и в системные директории операционной системы, создавая там файлы с именем «autorun.*», обеспечивающие автозапуск копии вируса в различных ситуациях. Активизация вируса происходит, в частности, при подключении съемного диска к системе, либо при обращении к логическим дискам компьютера через сервис «Мой Компьютер», и т.п. Пример вирусов: «Virus.Win32.Tupac» и «Troyan.CopySelf».

Файловые вирусы - для заражения используют файлы, специфика содержимого и формата которых позволяют вирусу активизироваться при открытии зараженного файла. Теоретически файловые вирусы могут внедряться во все исполняемые файлы всех популярных операционных систем (ОС). Практически - же, на сегодняшний день известны вирусы, поражающие все типы выполняемых объектов MS WINDWS, в том числе, командные файлы (ВАТ), загружаемые драйверы, исполняемые двоичные файлы, загружаемые библиотеки, файлы документов. Существуют вирусы, поражающие исполняемые файлы операционной системы смартфонов Symbian. Возможно, для других ОС: MacOS, Linux и т.д. так же существуют малоизвестные файловые вирусы.

С точки зрения наиболее популярных способов заражения файлов вирусы подразделяются следующим образом (см. Рис. 2.2.):

Размещено на http://www.allbest.ru/

Рис. 2 Классификация файловых вирусов по способу заражения

Overwriting-вирусы.

Данный метод заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как ОС и приложения довольно быстро перестают работать. В настоящее время может использоваться только начинающими вирусописателями.

Parasitic-вирусы.

К паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными. Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов (prepending), в конец файлов (appending) и в середину файлов (inserting). В свою очередь, внедрение вирусов в середину файлов происходит различными методами - путем переноса части файла в его конец или внедрения в заведомо неиспользуемые данные файла (cavity-вирусы).

Размещено на http://www.allbest.ru/

Рис. 3 Внедрение вируса начало файла первым способом

Размещено на http://www.allbest.ru/

Рис. 4 Внедрение вируса в начало файла вторым способом

Внедрение вируса в начало файла. Известны два способа внедрения паразитического файлового вируса в начало файла.

Первый способ (см. Рис. 2.3.) заключается в том, что вирус переписывает начало заражаемого файла в его конец, а сам копируется на освободившееся место.

Второй способ (см. Рис. 2.4.) - при заражении файла вирус создает в оперативной памяти свою копию, дописывает к ней заражаемый файл и сохраняет полученную конструкцию на диск.

При этом вирусы, чтобы сохранить работоспособность программы, либо лечат зараженный файл, повторно запускают его, ждут окончания его работы и снова записываются в его начало (иногда используется временный файл, в который записывается обезвреженный файл), либо восстанавливают код программы в памяти компьютера и настраивают необходимые адреса в ее теле (т. е. дублируют работу ОС).

Внедрение вируса в конец файла. Наиболее распространенным способом внедрения вируса в файл является дописывание вируса в его конец (см. Рис. 2.5.). При этом вирус изменяет начало файла таким образом, что первыми выполняемыми командами программы, содержащейся в файле, являются команды вируса. Изменяется точка запуска программы в заголовке исполняемого файла.

Размещено на http://www.allbest.ru/

Рис. 5 Внедрение вируса в конец файла

Внедрение вируса в середину файла. Существует несколько возможностей внедрения вируса в середину файла.

Первый метод - наиболее простой из них, когда вирус переносит часть файла в его конец или раздвигает файл и записывает свой код в освободившееся пространство. Этот способ во многом аналогичен методам, перечисленным выше. Отдельные вирусы при этом сжимают переносимый блок файла так, что длина файла при заражении не изменяется.

Второй метод - (cavity) при котором вирус записывается в заведомо неиспользуемые области файла. Вирус может быть скопирован в незадействованные области таблицы настройки адресов ЕХЕ-файла или заголовок EXE-файла, в область стека файла или в область текстовых сообщений популярных компиляторов. Некоторые вирусы заражают только те файлы, которые содержат блоки, заполненные каким-либо постоянным байтом, при этом вирус записывает свой код вместо такого блока. Кроме того, копирование вируса в середину файла может произойти в результате ошибки вируса, в этом случае файл может быть необратимо испорчен.

Companion-вирусы.

К категории компаньон-вирусов относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т. е. вирус.

Первая группа - компаньон-вирусы, использующие особенность операционной системы Windows по приоритету запуска исполняемых файлов с расширениями .ВАТ и .ЕХЕ. Если в одном каталоге присутствуют два файла с одним и тем же именем, но различными расширениями имени - .ВАТ и .ЕХЕ, то система по умолчанию запускает .ВАТ-файл, и лишь при отсутствии его запускается .ЕХЕ-файл. Компаньон-вирусы могут использовать данное свойство системы, они создают для ЕХЕ-файлов файлы-спутники, имеющие то же самое имя, но с расширением .ВАТ, например, для файла CMD.EXE создается файл CMD.ВАТ. Так как .ВАТ-файл является текстовым командным файлом, то не составляет сложности прописать в нем команды на запуск как вируса, так и «зараженного» файла программы. При запуске «зараженной» программы из командной строки с набором только имени стартового файла программы, Windows первым обнаружит и выполнит ВАТ-файл, т. е. запустит вирус параллельно с запуском программы.

Вирусы в пакетных файлах.

Почти в любых ОС имеется такое средство автоматизации выполнения процедур, как пакетные файлы. Пакетные файлы содержат программы на специальном командном языке, который зависит от ОС. С помощью этого языка можно запускать произвольные программы, выдавать команды ОС, создавать файлы и каталоги и т.п. Пакетные вирусы получили свое название благодаря тому, что для своего распространения и выполнения вредоносных действий они используют возможности пакетных файлов.

Для ОС Windows существуют вирусы, способные заражать пакетные файлы .BAT. Они записывают свой двоичный код в тело пакетного файла после оператора комментария REM. При запуске такой пакетный файл копирует вирусный код в обычный исполняемый файл. Затем данный исполняемый файл запускается. Центральный процессор выполняет код вируса, записанный после оператора комментария REM.

Вторую группу составляют вирусы, которые при заражении переименовывают файл, давая ему какое-либо другое имя, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого файла. Например, файл XCOPY.EXE переименовывается в XCOPY.EXD, либо XCOPY1.EXE, а вирус записывается под именем XCOPY.EXE. При запуске управление получает код вируса, который затем запускает оригинальный XCOPY, хранящийся под именем XCOPY.EXD (XCOPY1.EXE). Интересно то, что данный метод может быть работоспособен в различных ОС.

В третью группу входят так называемые Path-companion-вирусы, которые используют особенность системной переменной PATH. Они либо записывают свой код под именем заражаемого файла, но на один уровень выше PATH (система, таким образом, первым обнаружит и запустит файл-вирус), либо переносят файл-жертву выше на один подкаталог и т. д. (например: C:/WINDOWS;C:/WinDOWS/SYSTEM32)

Возможно существование компаньон-вирусов, использующих иные оригинальные идеи или особенности других ОС.

Link-вирусы.

Link-вирусы, как и компаньон-вирусы, не изменяют физического содержимого файлов, однако при запуске зараженного файла заставляют ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.

При заражении системы они записывают свое тело в последний кластер логического диска. При заражении файла вирусы корректируют лишь номер первого кластера файла, расположенный в соответствующем секторе каталога. Новый начальный кластер файла будет указывать на кластер, содержащий тело вируса. Таким образом, при заражении файлов их длина и содержимое кластеров с этими файлами не изменяются, а на все зараженные файлы на одном логическом диске будет приходиться только одна копия вируса.

До заражения данные каталога хранят адрес первого кластера файла (см. рис. 2.6.). После заражения данные каталога указывают на вирус, т. е. при запуске файла управление получают не файлы, а вирус (см. рис. 2.7.).

Размещено на http://www.allbest.ru/

Рис. 6 Каталог до заражения

Размещено на http://www.allbest.ru/

Рис. 7 Каталог после заражения

Редкие виды файловых вирусов.

Объектные вирусы и вирусы в исходных текстах. Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ, достаточно экзотичны и практически не распространены. Вирусы, заражающие OBJ- и LIВ-файлы, записывают в них свой код в формате объектного модуля или библиотеки.

Заражение исходных текстов программ является логическим продолжением предыдущего метода размножения. При этом вирус добавляет к исходным текстам свой исходный код (в этом случае он должен содержать его) или свой шестнадцатеричный дамп (что технически легче). Зараженный файл способен на дальнейшее распространение вируса только после компиляции и компоновки.

Стегано-вирусы. Для хранения своего тела используют стеганографические методы скрытия информации внутри графических и медиа-файлов. Для активизации вируса используется исполняемый файл-загрузчик, извлекающий тело вируса из файла-контейнера, и запускающий его в системе.

По особенностям алгоритма заражения.

Стандартные EXE - вирусы (паразитические).

Достаточно многочисленная группа вирусов - это стандартные EXE - вирусы. Для проникновения в компьютер они пользуются стандартными средствами операционной системы и средствами BIOS. Попадая в оперативную память, проникая в различные выполняемые файлы и загрузочные сектора дисков, вирусы обживают новую среду обитания: где и размножаются. Создаются новые копии вируса и внедряются в новые объекты. Обычно алгоритмы этих вирусов достаточно просты, и вирусы легко обнаружить по некорректной работе компьютерной системы, уменьшению количества доступных системных ресурсов (например, дисковой и оперативной памяти) либо по изменению длины выполняемых файлов.

«Стелс» - вирусы.

Более «серьезными» объектами изучения являются так называемые «стелс» (Stealth - уловка, англ.) - вирусы. Представители этого типа используют различные средства для маскировки своего присутствия в системе. Обычно это достигается путём перехвата или обхода ряда системных функций, осуществляющих файловые операции (чтение, запись, открытие, удаление и т.д.). «Стелс» - технологии делают невозможным обнаружение вируса без специального инструментария. Вирус маскирует и приращение длины поражённого объекта (файла), и своё тело в нём, «подставляя» вместо себя «здоровую» часть файла. Он может поместить свое тело в область диска, помеченную как неиспользуемая или поврежденная.

Хотя большинство качественных антивирусных средств в состоянии обнаружить и блокировать действие активной резидентной части известного «стелс» - вируса, они оказываются практически беззащитными перед новыми вирусами.

Полиморфные вирусы.

Еще один тип маскирующихся вирусов - полиморфные (polymorphic) вирусы. Эти вирусы так же используют специальные механизмы, которые затрудняют их обнаружение антивирусными средствами. Обычно такие вирусы содержат модуль шифрования и дешифровки собственного тела. По этой причине зачастую нельзя установить инфицированный файл по характерной для данного вируса строке (сигнатуре), так как в файле он находится и измененном состоянии.

Создаваемые генератором вируса параметры шифрования (ключи шифрования) обычно изменяются во времени, как правило, для каждого инфицированного файла он свой. Соответственно, дочерние копии так же отличаются параметрами шифрования. Вследствие этого поиск полиморфных вирусов является достаточно сложной задачей. И если в системе обнаружены материнские копии вирусов, то нет гарантии, что все дочерние копии будут обнаружены так-же.

Сетевые черви (Internet worms).

Наиболее распространенный тип вирусов на сегодняшний день. Сетевым червем называют вид компьютерных вирусов, имеющий способность к самораспространению в локальной или глобальной компьютерной сети. Для этого червь должен обладать следующими возможностями:

- нахождение новых удаленных целей для атаки - узлов сети с наличием уязвимостей системы, доступных через сеть;

- организация канала связи с удаленным узлом с использованием обнаруженной уязвимости;

- передача своего кода на удаленную машину;

- запуск (получение управления) на ней;

- проверка на зараженность данной машины для ее повторного не заражения.

Определенные модификации сетевых червей могут жить исключительно в оперативной памяти компьютера, не используя носители информации (н-р Slammer, 2003 г.). Это стало возможно с тех пор, как основная масса узлов компьютерных сетей перешла на круглосуточный режим работы.

Для внедрения в систему сетевые черви, как правило, используют уязвимости в сетевых сервисах и сетевом программном обеспечении, возникшие в результате ошибок программирования или неправильных настроек безопасности. В некоторых случаях для распространения вирусов могут использоваться WEB-технологии, например - скрипты, FTP сервисы, элементы ActiveX и Java апплеты.

Например: на атакуемые компьютеры рассылаются сообщения, содержащие ссылку на специально подготовленный WEB-сайт. Используя технологию социального инжиниринга, злоумышленник заставляет пользователя пойти по указанной ссылке. При загрузке сайта, с помощью специального скрипта, червь загружается в систему, и запускается в ней.

Почтовые вирусы.

Особая разновидность сетевых вирусов. Для своего распространения почтовые вирусы используют возможности протоколов электронной почты. Они осуществляют пересылку своего тела по электронной почте в виде присоединенного файла. Когда пользователь открывает такой файл, вирус активируется, и выполняет заложенные в него функции. Из-за различных ошибок, присутствующих в клиентских почтовых программах (особенно Microsoft Outlook), файл вложения может запуститься автоматически, при открытии самого письма, например - вирус «I Love You». Для рассылки, вирус может использовать список адресов, хранящийся в адресной книге почтового клиента.

В целях маскировки распространители вирусов не редко пользуются тем фактом, что по умолчанию Проводник Microsoft Windows не отображает расширения зарегистрированных файлов. В результате, присоединенный к письму файл с именем, например, FreeCreditCard.txt.exe, будет показан пользователю как FreeCreditCard.txt. И если пользователь не проконтролирует внешние атрибуты файла, и попытается открыть его, то вредоносная программа будет запущена. Еще один широко используемый ход: включение в имя файла между именем и истинным разрешением 70 - 100 или более пробелов. Имя файла приобретает вид:

«Readme.txt .exe»,

причем, Проводник Проводник Microsoft Windows, из-за недоработки разработчиков показывает только «Readme.txt». В результате чего пользователь без всяких подозрений может попытаться открыть файл, и тем самым запустить вредоносную программу.

...