2014-02-09
3374
Внедрение вредоносных программ в компьютерную
Защита от вредоносного программного обеспечения
Троянские программы-инсталляторы прочих вредоносных программ
Троянские программы-загрузчики вредоносных программ (Trojan-
Downloader) – троянские программы, предназначенные для несанкционированной загрузки и установки на заражаемый компьютер
вредоносных программ, которые затем скрытно запускаются либо регистрируются трояном на автозагрузку. Помимо вредоносных программ
возможна загрузка рекламных (adware) или иных программ.
(Trojan-Dropper) - троянские программы, предназначенные для скрытной
инсталляции в системе и запуска на выполнение других вредоносных программ. В отличие от троянов-загрузчиков (downloader), решающих
аналогичную задачу, трояны-инсталляторы (dropper) могут содержать в себе
известную вредоносную программу, или загружать новую версию. При этом
трояны-инсталляторы (dropper), помимо скрытной инсталляции троянских
программ или вирусов, обеспечивают их защиту от антивирусных программ,
|
|
|
например, путем модификации кода вируса, его шифрования или упаковки
редко используемым архиватором. В программах-«дропперах», помимо троянских компонентов, содержится компонент, отвлекающий внимание
пользователя и демонстрирующий «полезность» программы. Таким компонентом, во время работы которого троянская компонента инсталлируется в систему, может быть программа-шутка, игра, картинка и
т.п. Размер троянских программ-инсталляторов, как правило, превышает
размер троянов-загрузчиков.
Троянские прокси-серверы (Trojan-Proxy) – троянские программы,
скрытно осуществляющие анонимный доступ к различным интернет- ресурсам и в большинстве случаев используемые для рассылки спама.
Троянские программы-информаторы об успешной атаке (Trojan- Notifier) – троянские программы, извещающие злоумышленника об успешной установке троянских компонент в атакуемую систему и передающие информацию о компьютере (например, IP-адрес компьютера,
номер открытого порта, адрес электронной почты и т. п.). Передача информации осуществляется отсылкой электронного письма, ICQ-сообщения
или путем обращением к веб-странице злоумышленника.
Способы и пути проникновения вредоносных программ в компьютерные системы весьма разнообразны, но в подавляющембольшинстве случаев распространение вредоносных программ происходитчерез Интернет, причем чаще всего через электронные почтовые сообщения.
Способы внедрения вредоносного программного обеспечения в
атакуемую компьютерную систему могут быть представлены тремя
основными группами:
1) уязвимости (дыры) в программном обеспечении (операционные системы, интернет-браузеры, текстовые редакторы, почтовыепрограммы и т. д.), позволяющие злоумышленникам внедрять иактивировать вредоносные программы (такими ошибками могутбыть переполнение буфера, некорректная обработка аутентификационной информации (логин - пароль), некорректная обработка файлов и файловых ассоциаций, когда, например,
|
|
|
становится возможным автоматический запуск вложения из
зараженного электронного письма, и т. д.);
2) документированные возможности программ, позволяющие выполнить запуск вредоносного кода, используя встроенные функции;
3) ошибочные действия пользователей, устанавливающих и (или)
запускающих вредоносный код, или ошибки системных
администраторов, делающие возможными успешные хакерские
атаки.
Пути распространения вредоносных программ:
1) электронные почтовые сообщения;
2) зараженные веб-сайты;
3) хакерские атаки из Интернета;
4) файловые серверы;
5) локальные сети;
6) пиратское программное обеспечение;
7) многопользовательские компьютеры.
Распространение вредоносных программ по электронной почте осуществляется путем рассылки электронных почтовых сообщений,
содержащих вложение, которое представляет собой (или включает в себя)
вредоносную программу или ссылку на хакерский сайт. В первом случае
заражение происходит при открытии (запуске) зараженного вложения, во
втором – вредоносная программа загружается с веб-сайта при его посещении.
Чаще всего рассылка таких электронных писем осуществляется с использованием спамерских технологий, поэтому с особой осторожностью
следует относится к электронным письмам, полученным от неизвестного
отправителя. Это не означает, что можно доверять сообщениям, адрес и имя
отправителя которых известны − при распространении почтовых червей электронное письмо может быть получено от хорошо знакомого адресата,
если червь попал в его компьютер и осуществил саморассылку по найденным
в адресной книге почтовым ящикам.
Для того чтобы инициировать открытие или запуск вложения к электронному письму или посещение сайта злоумышленники активно используют методы социальной инженерии. Эти методы призваны заинтересовать пользователя компьютера, возбудить его любопытство, притупить бдительность. Так, например, это может быть предложение посмотреть фотографию (прием, использованный, в частности, автором червя «Anna Kournikova»), приглашение на интересный сайт, предложение
защититься от нового вируса путем установки программы-заплатки, письмо
от имени администратора почтовой службы с просьбой сообщить пароль в
связи перерегистрацией пользователей и т.д.
Исполняемые файлы вредоносных программ могут быть замаскированы под файлы документов, графические файлы или файлыдругих типов. Например, полное имя файла может быть «Image.jpg многопробелов. exe». Наличие большого числа пробелов приведет к тому, чторасширение.exe может быть не замечено пользователем и он безбоязненно«щелкнет» по имени графического (jpg), как ему кажется, файла. Следует иметь в виду, что графические файлы не являются безопасными – имеются троянские программы, использующие уязвимости в интернет-браузерах, которые позволяют загрузить вредоносную программу в компьютер пользователя, если он «щелкнул» по содержащей эту программу картинке – файлу с расширение.jpg или.bmp. Достаточно распространенным является маскировка вредоносных программ под какие-либо полезные программы, в частности, антивирусные. Такие программы часто размещаются на веб-сайтах, откуда и скачиваются недостаточно осторожными пользователями.
