1. Классификация компьютерных вирусов и вредоносных программ.
2. Жизненный цикл компьютерных вирусов.
3. Основные каналы распространения вирусов и других вредоносных программ
Наиболее изощрённые угрозы для КС представляют программы исследующие и использующие уязвимые места из КС. Общие названия таких угроз – зловредные программы. Эти программы предназначены для причинения вреда или использования ресурса компьютера, выбранного в качестве мишени.
В общем виде угрозы такого вида можно разделить на 2 категории:
· Использующие программы-носители- люки, вирусы, логические бомбы, троянские кони;
· Независимые программы-зомби, черви.
К первой категории относятся фрагменты программ, которые не могут существовать независимо от программы-носителя, в роли которой могут выступать: приложения, утилиты или какая-то системная программа.
Ко второй категории относятся независимые программы, которые могу планироваться и запускаться ОС.
Люки – это скрытые точки входа в программу, которые позволяют каждому кто о ней знает, получать доступ к программам(-е) в обход обычных процедур доступа, предназначенных для обеспечения безопасности.
|
|
Люк – это код, распознающий некоторую особую последовательность входных данных или включающийся при запуске с определённым id пользователя.
Обычно люки используются программистами для отладки и тестирования программ, например, для упрощения процедуры аутентификации или настройки. А так же чтобы иметь в своём распоряжении (программиста) надёжный метод, позволяющий активизировать программу в случае возможных сбоев в процедуре регистрации.
Если люк используется недобросовестным программистом, для получения НСД, то он становится угрозой.
Меры безопасности в отношении использования люков должны приниматься в основном на этапе разработки и обновления программ.
Предшественниками вирусов и червей являются логические бомбы.
Логическая бомба – это код, помещённый в какую-то легальную программу и устроенный так, что при определённых условиях он «взрывается».
Включившись, «логическая бомба» может изменить или удалить некоторые данные, а так же стать причиной остановки объекта вычислительной техники.
Троянские кони – это полезные или кажущиеся таковыми программы, в которых спрятан код, способный в случае срабатывания, выполнить некоторую нежелательную или вредную функцию.
Смысл троянской программы заключается в том, чтобы заинтересовать легального пользователя в запуске этой программы, чтобы осуществить НСДействия на компьютере или информационных ресурсах легального пользователя.
|
|
Примером трудно обнаруживаемого троянского коня является компилятор, изменённый таким образом, чтобы при компиляции он вставлял в определённые программы (напр. регистрации в системе) дополнительный код. С помощью этого кода, в программе регистрации можно создать люк, позволяющий автору/нарушителю входить в систему с помощью специального пароля.
Вирусы – это программы, которые могут «заражать» другие программы, изменять их. К числу изменений относятся копирование программы-вируса в программу, которая затем может заразить другие программы. Содержат в своём коде некую последовательность выполнения программы, для точного копирования себя. Попав в компьютер, типичный вирус временно берёт на себя управление ОС.
Таким образом, пользователи обменивающиеся программами передают вирусы от одного компьютера к другому или по сети.
Черви – сетевые программы, которые используют сетевые соединения, чтобы переходить из одной системы в другую. Однажды активизировавшись в системе, сетевой червь может вести себя как вирус, порождать троянских коней или выполнять любые другие разрушительные действия.
Для самовоспроизведения, сетевой червь использует некое транспортное средство: которое может быть заключено в передаче электронной почты, возможности удалённого доступа программ (запускают свою копию на другой системе), имеют возможность удалённой регистрации.
Зомби – программа, которая скрытно соединяется с другим подключённым в интернет компьютером, а так же использует этот компьютер для запуска атак, что усложняет отслеживание пути к создателю программ-зомби.
Зомби используются при атаках с отказом в обслуживании, которые обычно направлены против выбранных в качестве мишеней web-узлов или сайтов.
Зомби распространяются на сотни и тысячи компьютеров, принадлежащих ничего не подозревающим третьим лицам, а затем используются для поражения (выдачи запроса) в сторону выбранного в качестве мишени web-узла или сайта при помощи огромного увеличения сетевого трафика.
Классификация вирусов по среде обитания:
1. файловые вирусы;
2. загрузочные вирусы- внедряются в загрузочный сектор данных или в сектор содержащий системный загрузчик винчестера;
3. макро вирусы- внедряется в систему используя при работе так называемые макросы;
4. сочетание указанных вирусов- пример, файлово- загрузочные.
Классификация вирусов по способам заражения:
1. резидентные - при инфицировании компьютера оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращение ОС к объектам КС, заражая их и внедряясь в них, находятся в оперативной памяти КС и являются активными вплоть до выключения или перезагрузки компьютера;
2. нерезидентные вирусы - не заражают память компьютера и являются активными лишь ограниченное время.
Существует также Классификация вирусов по деструктивным возможностям:
1. безвредные (не влияющие на работу компьютера – их отрицательное действие проявляется в уменьшении свободной памяти на диске, в результате своего распространения);
2. не опасные - их влияние ограничивается уменьшением свободной памяти на диске, графическими, звуковыми или другими эффектами;
3. опасные - те вирусы, которые заражая компьютер могут привести к серьезным сбоям в его работе;
4. очень опасные - те вирусы, которые уничтожают данные и могут привести к потере программ, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.
Троянские кони, делятся на:
1. mail senders- тип Троянских коней работающих на основе отправки информации хозяину, с помощью такого типа вирусов пользователи настраивающие их могут получать по почте, акаунты, различные виды паролей;
|
|
2. back door- такой Троянский конь ждет соединения со стороны клиента после чего он дает полный доступ к зараженному компьютеру. Делятся на:
· локальный- предоставляет привилегии локально;
· удаленный- может предоставить интерпретатор команд ОС обеспечивающий интерфейс для взаимодействия пользователя с функциями системы удаленно;
существует 2 вида предоставления shell доступа:
· BindS hell- самый распространенный работает по архитектуре клиент-сервер, то ест бэкдор ожидается соединение;
· Back Connect- применяется для обода брандмауэров, бэкдор сам пытается соединиться с компьютером хакера;
3. key logger- тип Троянских коней, которые копируют всю информацию вводимую из клавиатуры и записывающие ее в файл, далее этот файл отправляется по почте или просматривается через FTP;
Можно разделить на 5 типов:
1. программы шпионы разрабатываемые под эгидой правительственных организаций;
2. программы шпионы встроенные разработчиками ОС, они включаются в состав ядра ОС;
3. программы шпионы, созданные в ограниченном количестве, в одной или нескольких копиях для решения конкретной задачи связанной с похищением критической информации с компьютера пользователя – программы, применяемые хакерами профессионалами;
4. коммерческие - особенно корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы;
5. программы шпионы - представляющие собой модули, входящие в состав программ вирусов, до внесение сигнатурных данных в вирусную базу данные модули являются неизвестными.
Существует так же 2 типа троянских программ:
1. Trojan Dropper для скрытой инстоляции;
2. Trojan Downloader работает полностью скрыто и запускает программы-вирусы, почтовый вирус ведет рассылку писем.
Root Kit - набор утилит, которые злоумышленник устанавливает на взломанном им компьютере после получения первоначального доступа, этот набор включает в себя разнообразные утилиты для заметания следов вторжения в систему, набор злоумышленника их сниферов, сканеров и троянских программ, замещающие основные утилиты ОС Unix.
|
|
Сниферы (нюхачи)- вирусные программы позволяющие просматривать содержимое сетевых пакетов, перехватывать трафик в сети и анализировать его.
Сетевые атаки (DOS, DDOS):
Dos- программы реализуют атаку с одного компьютера, Ddoc- с разных компьютеров, без ведома пользователей.
Взломщики удаленных компьютеров (Exploit, HackTool)
Exploit - используют уязвимости в ОС или приложениях, утилиты для проникновения в удаленные компьютеры с целью дальнейшего управления ими для внедрения во взломанную систему других вредоносных программ.
Nuker - фатальные сетевые атаки - отправляют специально оформленные запросы на атакуемые компьютеры в сети, в результате чего атакуемая системы прекращает работу.
Прочие вредоносные программы.
PolyEngen (полиморфные генераторы) - его главная функция шифрование тела вируса и генерация соответствующего регулировщика.
Симптомы заражения ИС:
· прекращение работы или сильное замедление Интернета;
· усиление шума, исходящие от компьютера из-за работы жестких дисков;
· изменение домашней страницы в используемом браузере;
· автоматическое открытие окон с незнакомыми страницами;
· изменение обоев на рабочем столе;
· появление новых неизвестных процессов в окне «Процессы диспетчера задач»;
· появление звука от работы дисковода при отсутствии в нем диска;
· появление в реестре автозапуска новых приложений;
· запрет на изменение настроек компьютера в учетной записи пользователя;
· невозможность запустить исполняемый файл- выдается сообщение об ошибке;
· всплывание окон системных сообщений с непрерывным текстом, в том числе содержащих неизвестные Web-адреса и названия;
· мониторы Интернета показывают фальшивую закачку видео программ, игр и т.д. которые вы не закачивали и не посещали;
· открывание и закрывание консоли CD-ROM;
· проигрывание звуков или демонстрация изображений;
· перезапуск компьютера.
Способы (методы) защиты от вредоносных программ:
Чтобы снизить риск потерь от вредоносных программ рекомендуется:
· использовать современные ОС, имеющие серьезный уровень защиты от вредоносных программ;
· своевременно устанавливать патчи, если существует режим автоматического обновления, включить его;
· постоянно работать на персональном компьютере исключительно под правами пользователя, а не администратора, что не позволит большинству вредоносных программ инсталлироваться на персональном компьютере;
· использовать специальное программное обеспечение, которое для противодействия вредоносным программам использует (применяет) эвристические анализаторы, то есть не требующие наличия сигнатурной базы вирусов;
· использовать антивирусы известных производителей, обеспечивающих автоматическое обновление сигнатурной базы вирусов;
· использовать для ОВТ персональный «Firewall», который позволяет контролировать выход в глобальную сеть «Интернет» с персонального компьютера на основании политик безопасности, которые устанавливает сам пользователь;
· ограничить физический доступ к ОВТ (персон. компьютеру) посторонних лиц;
· использование внешних носителей информации только от проверенных источников; не открывать файлы, полученные от ненадежных источников;
· отключить автозапуск со сменных носителей, что не позволит запускаться кодам, которые находятся на нем без ведома пользователя.
Для защиты ОВТ существуют подсистемы защиты информации от вредоносных программ:
1. 1-ая подсистема защиты устанавливается на стыке ОВТ с глобальными сетями (она включает средства защиты от вредоносных программ Интернет, устанавливаемых шлюзах или на межсетевых экранах, публичные серверы размещаемые в деметаризованной зоне) эти средства защиты осуществляют фильтрацию основных видов трафика;
Межсетевой экран- комплекс программных, аппаратных средств, осуществляющий контроль, фильтрацию проходящих через него сетевых пакетов на различных уровнях модели ОСИ в соответствии с заданными правилами.
2. средства защиты, устанавливаемые на внутренних корпоративных серверах и серверах рабочих групп;
3. средства защиты от вредоносных программ, устанавливаемые на рабочих станциях пользователей, включая удаленных и мобильных пользователей.