Что можно отнести к вредоносным программам? Это сетевые черви, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, которые наносят заведомый вред компьютеру, если они запускаются на определенном компьютере или в сети.

Рассмотрим "сетевых червей".

Сетевые черви - это программы, которые распространяют свои копии по локальным и глобальным сетям, преследуя цель проникновения на удаленные компьютеры, запуска своей копии на удаленном компьютере и дальнейшего распространения на другие компьютеры в сети.Для распространения "черви" используют те или иные компьютерные и мобильные сети.Это может быть электронная почта или системы обмена мгновенными сообщениями, файлообменные (P2P), IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефоны, карманные компьютеры) и прочее.

Одним из наиболее важных аспектов этого нового сценария является то, что криминализация была разработана для бесшумного компрометации систем. Хуже того, тот факт, что эти настроенные атаки делают невероятно трудным для обычных антивирусных решений, обнаружить их.

Более того, очень часто эти атаки не сообщаются из-за чувства беззащитности или во избежание негативной рекламы. Криминализация может быть определена как программы и социальная инженерия, призванные обманным путем получать финансовую выгоду от пострадавшего пользователя или третьих лиц.

Черви используют определенные методы для проникновения на удаленные компьютеры.Такие методы как социальный инжиниринг (это может быть текст электронного письма, призывающий открыть вложенный файл) или недочеты в конфигурации сети (копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и приложений.

Для более общей перспективы, давайте более подробно рассмотрим концепции этого определения. Большинство криминалистов состоит из вредоносных программ, специально разработанных для. Возьмите управление компьютером и выполните удаленные команды. . Это идеальная комбинация: тщательно подобранная социальная инженерия убеждает пользователей передавать свои данные или устанавливать вредоносную программу, которая захватывает информацию и отправляет ее мошенникам.

Во всех случаях целью криминализации является получение финансовых доходов. Однако они не единственные затронутые. Например, в случае ботов взломанный компьютер используется просто как инструмент для запуска незаконных операций с третьими лицами: отправка спама, атак с отказами в обслуживании, распространение вредоносного ПО и т.д.

Существуют так называемые "бесфайловые" или "пакетные черви".Они распрастраняются в виде сетевых пакетов, активизируют свой код, проникая, непосредственно, в память компьютера.

Встречаются черви, имеющие свойства других разновидностей вредоносного программного обепечения, так можно привести в пример червей, содержащих троянские функции или способныхзаражать выполняемые файлы на локальном диске (свойства троянской программы и компьютерного вируса).

Существует несколько категорий вредоносных программ, которые по своим характеристикам считаются криминалистическими, в том числе. Публикация: сообщения, которые пытаются заставить пользователей открывать пароли для доступа к онлайн-сервисам: банки, веб-почту и т.д. эти сообщения могут быть отправлены по рассылке или отправляется по определенным целевым показателям. Шпионское ПО: собирает и передает информацию о пользователях «Движения в Интернете». Спам: массовая рассылка рекламы. Дилер: перенаправляет коммутируемые соединения на номера премиум-класса. Один из лучших способов защитить себя от криминалистики, а также других потенциальных угроз - установить решение безопасности со следующими функциями.

Классические компьютерные вирусы

Классические компьютерные вирусы - это программы, которые распростроняют свои копии по ресурсам локального компьютера с целью последующего запуска своего кода в то время, когда пользователь предпримет какие-либо действия, затем он будет осуществлять внедрение в другие ресурсы компьютера.Вирусы не используют сетевых сервисов для проникновения на другие компьютеры, это отличает их от червей.Случай, при котором копия вируса может попасть на удаленные компьютеры, может быть, если зараженный носитель по независящим от функционала вируса причинам, активизируется на другом компьютере так, что зарожаются доступные диски - вирус проникает в файлы, расположенные на сетевом ресурсе; или вирус копирует себя на съемный носитель, или заражает файлы на нем.Также вирус может попасть через зараженное приложение в электронном письме, которое отправил пользователь.

Уязвимости и исправления безопасности

Загрузите и примените исправления безопасности для уязвимостей в установленных приложениях. Эти патчи доступны на веб-сайте каждого разработчика.

Информация как оборонительная стратегия

Как и во многих других областях, информация является одной из первых линий обороны. Будьте в курсе новостей, связанных с криминалистикой и ее методами, посетив надежные веб-сайты безопасности.

Здравый смысл для борьбы с социальной инженерией

Как вы можете использовать здравый смысл, чтобы защитить себя от криминалистики? Действительно ли электронная почта действительно поступает из вашего банка только потому, что адрес отправителя говорит об этом? Возможно, письмо действительно поступает из вашего банка только потому, что оно включает в себя логотипы банков? Логотипы легко получить в Интернете или скопировать с помощью графической программы. Адрес отправителя может быть обманут. . Очевидно, нет, по крайней мере, не без какой-либо независимой проверки.

Можно выделить вирусы, содержащие в себе свойства других разновидностей вредоносного программного обеспечения, такие как бэкдор-процедуру или троянскую компоненту уничтожения информации на диске.

Троянские программы

Что касается троянских программ, то к ним относятся программы, предназначенные выполнять несанкционированные действия, приносящие выгоду пользователю или отвечающее кокому-либо его злонамеренному замыслу.Это может быть сбор информации с целью передачи ее пользователем злоумышленникам,разрушение информации или ее модификация, неполадки в работе компьютера, использование ресурсов компьютера в целях нанесения какого-либо ущерба.

Классификация по деструктивным возможностям

Итак, почему вы слепо доверяете сообщениям, полученным по электронной почте? Сканируйте все электронные письма, полученные с вашим антивирусом, даже если вы считаете, что знаете отправителя. Не загружайте программы с сомнительных интернет-сайтов и убедитесь, что все загружаемые вами программы сертифицированы общественной организацией, редакционной группой или антивирусной компанией. Обратите особое внимание к любым признакам необычного поведения на вашем компьютере. Чтобы сделать это, они обычно включают ссылку, которая при доступе выводит пользователя на поддельный веб-сайт.

Существуют разновидности троянских программ, которые наносят свой удар по удаленным компьютерам и сетям, но не нарушают при этом работоспособность пораженного компьютера.В качестве примера можно привести троянские программы, разработанные для массированных DoS-атак на удаленные ресурсы сети.

Хакерские утилиты и другие вредоносные программы

Данная категория включает в себя: утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы); "недобрые шутки", затрудняющие работу компьютера; программные библиотеки, разработанные для создания вредоносного программного обеспечения; хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов); программы дизинформирующие пользователей о том, какие действия они совершают в системе; а также другие программы, способные намеренно наносить прямой или косвенный ущерб как имеющемуся, так и удаленным компьютерам.

Делая это, пользователи считают, что они взаимодействуют с надежным веб-сайтом, введите запрошенную информацию, которая, наконец, попадает в руки мошенника. Наиболее распространенным вектором атаки является поддельное электронное сообщение, которое притворяется прибывшим из определенной компании, чьи клиенты являются объектом мошенничества. Это сообщение будет содержать ссылки на одну или несколько мошеннических веб-страниц, которые полностью или частично имитируют внешний вид и функциональность компании, которая, как ожидается, будет иметь коммерческие отношения с получателем.

Аннотация: В лекции рассмотрены виды программно-математического воздействия: троянские кони, вирусы, сетевые черви. Особенности их функционирования, проникновения, основные свойства и классификация. В конце лекции приведен анализ трех наиболее популярных средств защиты информации: антивирусных программ, межсетевых экранов и систем обнаружения вторжений.

Как распознать фишинговое письмо

Средства распространения этих писем также имеют несколько общих характеристик. Он включает ссылку на веб-сайт, на котором им предлагается ввести персональные данные. Основным ущербом от фишинга является. Использование ресурсов корпоративных сетей: пропускная способность, наводнение почты и т.д. Недостаток производительности. . Пользователям, получившим сообщение с этими характеристиками, может быть сложно сообщить разницу между фишинговым письмом и законным, особенно для тех клиентов, которые являются клиентами финансового объекта, из которого должно поступать сообщение электронной почты.

Вредоносные программы и их классификация

Программно-математическое воздействие - это воздействие на защищаемую информацию с помощью вредоносных программ .

Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы . Иными словами вредоносной программой называют некоторый самостоятельный набор инструкций, который способен выполнять следующее:

Тем не менее, мошенникам очень легко обмануть исходный адрес электронной почты, который отображается в любом почтовом клиенте. Сообщение содержит логотипы или изображения, которые были собраны с законного веб-сайта, на который ссылается поддельное письмо. Хотя ссылка включена чтобы указать на исходный веб-сайт компании, он фактически направляет браузер на мошенническую веб-страницу, в которую должны вводиться пользовательские данные, пароли и т.д. эти сообщения часто содержат грамматические ошибки или орфографические ошибки или специальные символы, ни один из них не является обычным в сообщении, отправленном из компании, которое они притворяются представителем. Каждый пользователь электронной почты является потенциальной жертвой такого рода атак.

  1. скрывать свое присутствие в компьютере;
  2. обладать способностью к самоуничтожению, маскировкой под легальные программы и копирования себя в другие области оперативной или внешней памяти;
  3. модифицировать (разрушать, искажать) код других программ;
  4. самостоятельно выполнять деструктивные функции – копирование, модификацию, уничтожение, блокирование и т.п.
  5. искажать, блокировать или подменять выводимую во внешний канал связи или на внешний носитель информацию.

Основными путями проникновения вредоносных программ в АС, в частности, на компьютер, являются сетевое взаимодействие и съемные носители информации (флешки, диски и т.п.). При этом внедрение в систему может носить случайный характер.

Классические компьютерные вирусы

Любой адрес электронной почты, используемый в форумах, группах новостей или веб-сайте, скорее всего, получит фишинговую попытку из-за пауков, которые сканируют Интернет, ища действительные адреса электронной почты. Причина, по которой эта угроза вредоносных программ существует, поэтому понятна: довольно дешево начать фишинг-атаку, а полученные выгоды являются высокими даже при минимальном уровне успеха.

Эти решения разнообразны и адаптируются к потребностям каждого клиента, от домашних пользователей до крупнейших корпораций, обеспечивая интегральную защиту и централизованное управление для каждого сетевого уровня: рабочие станции, почтовые и веб-серверы и корпоративные брандмауэры. Однако, как и во многих других областях компьютерной безопасности, лучшая защита от фишинговых атак должна быть хорошо информирована.

Основными видами вредоносных программ являются:

  • программные закладки;
  • программные вирусы;
  • сетевые черви ;
  • другие вредоносные программы, предназначенные для осуществления НСД.

К программным закладкам относятся программы и фрагменты программного кода, предназначенные для формирования недекларированных возможностей легального программного обеспечения.

Компьютерный вирус «червь»

Если вы считаете, что сообщение электронной почты, которое вы получили, может быть законным, то с самого начала это должно считаться крайне маловероятным, прежде всего, связаться с компанией по телефону или по вашим обычным средствам. Даже после этого проверьте следующий список, прежде чем вводить какие-либо данные, которые могут быть использованы для мошеннических целей сторонними организациями, с тем чтобы значительно уменьшить шансы стать жертвой фишингового мошенничества.

Не автоматически отвечать на любые сообщения электронной почты, которые запрашивают вашу личную или финансовую информацию. Если вы не уверены в том, нужна ли этой компании такая информация, которую она запрашивает, заберите телефонную книгу и позвоните по телефону, чтобы проверить источник информации. Даже веб-адреса, которые выглядят правильно в сообщении электронной почты, могут быть путем к мошенническому веб-сайту. Возьмите свою безопасность. Ежемесячные отчеты особенно полезны для обнаружения нерегулярных переводов и транзакций, обе операции, которые вы не делали, но отражены в заявлении и операциях, сделанных онлайн, но не отраженных в заявлении.

  • Всегда проверяйте источник информации.
  • Введите веб-адрес в своем интернет-браузере самостоятельно.
Эти и другие лучшие практики обобщаются в анимации, которую пользователи могут просматривать, чтобы узнать, как лучше защитить себя от фишинга.

Недекларированные возможности программного обеспечения – функциональные возможности программного обеспечения, не описанные в документации . Программная закладка часто служит проводником для других вирусов и, как правило, не обнаруживаются стандартными средствами антивирусного контроля.

Спам: незапрашиваемые сообщения электронной почты

Чтобы защитить себя от фишинга, очень важно понять, как работают финансовые поставщики услуг и другие компании, уязвимые для такого рода атак. Эти технологии сопоставляют информацию о вредоносном ПО, полученном с каждого компьютера, для постоянного повышения уровня защиты для мирового сообщества пользователей.

Эта инновационная модель безопасности может автоматически анализировать и классифицировать тысячи новых образцов вредоносных программ каждый день, гарантируя корпоративным клиентам и домашним пользователям наиболее эффективную защиту от интернет-угроз с минимальным воздействием на производительность системы.

Закладки иногда делят на программные и аппаратные, но фактически все закладки – программные, так как под аппаратными закладками подразумеваются так называемые прошивки.

Программные закладки различают в зависимости от метода их внедрения в систему:

  • программно-аппаратные. Это закладки, интегрированные в программно-аппаратные средства ПК ( BIOS , прошивки периферийного оборудования);
  • загрузочные. Это закладки, интегрированные в программы начальной загрузки (программы- загрузчики ), располагающиеся в загрузочных секторах ;
  • драйверные. Это закладки, интегрированные в драйверы (файлами, необходимые операционной системе для управления подключенными к компьютеру периферийными устройствами);
  • прикладные. Это закладки, интегрированные в прикладное программное обеспечение (текстовые редакторы, графические редакторы, различные утилиты и т.п.);
  • исполняемые. Это закладки, интегрированные в исполняемые программные модули. Программные модули чаще всего представляют собой пакетные файлы, которые состоят из команд операционной системы, выполняемых одна за другой, как если бы их набирали на клавиатуре компьютера;
  • закладки-имитаторы. Это закладки, которые с помощью похожего интерфейса имитируют программы, в ходе работы которых требуется вводить конфиденциальную информацию;

Для выявления программных закладок часто используется качественный подход, заключающийся в наблюдении за функционированием системы, а именно:

Любая часть программного обеспечения, которая выполняет нежелательные операции, такие как кража данных или какой-либо другой компьютерный компромисс, может быть отнесена к категории вредоносных программ. Вредоносное ПО - это широкий термин, который может ссылаться на различные типы вредоносных программ. В этом документе будут рассмотрены некоторые из основных типов вредоносных программ, а именно: трояны, вирусы, черви и шпионское ПО. Симптомы, вызванные этими различными типами вредоносных программ, могут иногда быть похожими.

Однако они в основном отличаются тем, как они распространяются и заражают системы. Троянец - это тип вредоносного ПО, который маскирует себя как законную часть программного обеспечения, чтобы убедить жертву установить его. После установки вредоносная программа может выполнять свою вредоносную активность в фоновом режиме.

  • снижение быстродействия;
  • изменение состава и длины файлов;
  • частичное или полное блокирование работы системы и ее компонентов;
  • имитация физических (аппаратных) сбоев работы вычислительных средств и периферийных устройств;
  • переадресация сообщений;
  • обход программно-аппаратных средств криптографического преобразования информации;
  • обеспечение доступа в систему с несанкционированных устройств.

Существуют также диагностические методы обнаружения закладок. Так, например, антивирусы успешно находят загрузочные закладки. С инициированием статической ошибки на дисках хорошо справляется Disk Doctor, входящий в распространенный комплекс утилит Norton Utilities. К наиболее распространенным программным закладкам относится " троянский конь ".

Вирус - это тип вредоносного ПО, который прикрепляется к программе, файлу или документу, позволяя ему распространяться с одного компьютера на другой. Эти вирусы могут распространяться несколькими различными способами. Некоторые распространенные методы заражения - это съемные носители, загрузки из Интернета и вложения электронной почты. Они также могут распространяться через файлы сценариев, документы и уязвимости межсайтового скриптинга в Интернете. Важно отметить, что для вируса требуется человеческое действие для его распространения.

Троянским конем называется:

  • программа, которая, являясь частью другой программы с известными пользователю функциями, способна втайне от него выполнять некоторые дополнительные действия с целью причинения ему определенного ущерба;
  • программа с известными ее пользователю функциями, в которую были внесены изменения, чтобы, помимо этих функций, она могла втайне от него выполнять некоторые другие (разрушительные) действия.

Перечислим основные виды троянских программ и их возможности:

  • Trojan-Notifier - Оповещение об успешной атаке. Троянцы данного типа предназначены для сообщения своему "хозяину" о зараженном компьютере. При этом на адрес "хозяина" отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п.
  • Trojan-PSW - Воровство паролей. Они похищают конфиденциальные данные с компьютера и передают их хозяину по электронной почте.
  • Trojan-Clicker - интернет-кликеры - Семейство троянских программ , основная функция которых - организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам). Методы для этого используются разные, например установка злонамеренной страницы в качестве домашней в браузере.
  • Trojan-DDoS - Trojan - DDoS превращают зараженный компьютер в так называемый бот, который используется для организации атак отказа в доступе на определенный сайт. Далее от владельца сайта требуют заплатить деньги за прекращение атаки.
  • Trojan-Proxy - Троянские прокси-сервера . Семейство троянских программ , скрытно осуществляющих анонимный доступ к различным Интернет-ресурсам. Обычно используются для рассылки спама.
  • Trojan-Spy - Шпионские программы. Они способны отслеживать все ваши действия на зараженном компьютере и передавать данные своему хозяину. В число этих данных могут попасть пароли, аудио и видео файлы с микрофона и видеокамеры, подключенных к компьютеру.
  • Backdoor - Способны выполнять удаленное управление зараженным компьютером. Его возможности безграничны, весь ваш компьютер будет в распоряжении хозяина программы. Он сможет рассылать от вашего имени сообщения, знакомиться со всей информацией на компьютере, или просто разрушить систему и данные без вашего ведома.
  • Trojan-Dropper - Инсталляторы прочих вредоносных программ . Очень похожи на Trojan -Downloader, но они устанавливают злонамеренные программы, которые содержатся в них самих.
  • Rootkit - способны прятаться в системе путем подмены собой различных объектов. Такие трояны весьма неприятны, поскольку способны заменить своим программным кодом исходный код операционной системы, что не дает антивирусу возможности выявить наличие вируса.

Абсолютно все программные закладки, независимо от метода их внедрения в компьютерную систему, срока их пребывания в оперативной памяти и назначения, имеют одну общую черту: обязательное выполнение операции записи в оперативную или внешнюю память системы. При отсутствии данной операции никакого негативного влияния программная закладка оказать не может.

Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению. Таким образом, обязательным свойством программного вируса является способность создавать свои копии и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.

Жизненный цикл вируса состоит из следующих этапов:

  • Проникновение на компьютер
  • Активация вируса
  • Поиск объектов для заражения
  • Подготовка вирусных копий
  • Внедрение вирусных копий

Классификация вирусов и сетевых червей представлена на рисунке 10.1.

Вирусный код загрузочного типа позволяет взять управление компьютером на этапе инициализации, еще до запуска самой системы. Загрузочные вирусы записывают себя либо в в boot-сектор, либо в сектор, содержащий системный загрузчик винчестера , либо меняют указатель на активный boot-сектор. Принцип действия загрузочных вирусов основан на алгоритмах запуска ОС при включении или перезагрузке компьютера: после необходимых тестов установленного оборудования (памяти, дисков и т. д.) программа системной загрузки считывает первый физический сектор загрузочного диска и передает управление на А:, С: или CD-ROM, в зависимости от параметров, установленных в BIOS Setup .

В случае дискеты или CD-диска управление получает boot-сектор диска, который анализирует таблицу параметров диска (ВРВ - BIOS Parameter Block ), высчитывает адреса системных файлов ОС, считывает их в память и запускает на выполнение. Системными файлами обычно являются MSDOS.SYS и IO.SYS, либо IBMDOS.COM и IBMBIO.COM, либо другие в зависимости от установленной версии DOS, и/или Windows, или других ОС. Если же на загрузочном диске отсутствуют файлы операционной системы, программа, расположенная в boot-секторе диска, выдает сообщение об ошибке и предлагает заменить загрузочный диск.

В случае винчестера управление получает программа, расположенная в MBR винчестера . Она анализирует таблицу разбиения диска (Disk Partition Table ), вычисляет адрес активного boot-сектора (обычно этим сектором является boot-сектор диска С:), загружает его в память и передает на него управление. Получив управление, активный boot-сектор винчестера проделывает те же действия, что и boot-сектор дискеты.

При заражении дисков загрузочные вирусы подставляют свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус "заставляет" систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика , а коду вируса.

Пример: Вредоносная программа Virus .Boot. Snow .a записывает свой код в MBR жесткого диска или в загрузочные сектора дискет. При этом оригинальные загрузочные сектора шифруются вирусом. После получения управления вирус остается в памяти компьютера (резидентность) и перехватывает прерывания. Иногда вирус проявляет себя визуальным эффектом - на экране компьютера начинает падать снег.


Рис. 10.1.

Файловые вирусы – вирусы, которые заражают непосредственно файлы. Файловые вирусы можно разделить на три группы в зависимости от среды, в которой распространяется вирус:

  1. файловые вирусы – работают непосредственно с ресурсами операционной системы. Пример: один из самых известных вирусов получил название "Чернобыль". Благодаря своему небольшому размеру (1 Кб) вирус заражал PE-файлы таким образом, что их размер не менялся. Для достижения этого эффекта вирус ищет в файлах "пустые" участки, возникающие из-за выравнивания начала каждой секции файла под кратные значения байт. После получения управления вирус перехватывает IFS API, отслеживая вызовы функции обращения к файлам и заражая исполняемые файлы. 26 апреля срабатывает деструктивная функция вируса, которая заключается в стирании Flash BIOS и начальных секторов жестких дисков. Результатом является неспособность компьютера загружаться вообще (в случае успешной попытки стереть Flash BIOS ) либо потеря данных на всех жестких дисках компьютера.
  2. Макровирусы – вирусы, написанные на макроязыках, встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.п.). Самыми распространенными являются вирусы для программ Microsoft Office. Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносят себя (свои копии) из одного документа в другой.

    Для существования макровирсуов в конкретном редакторе встроенный в него макроязык должен обладать следующими возможностями:

    • привязка программы на макроязыке к конкретному файлу;
    • копирование макропрограмм из одного файла в другой;
    • получение управления макропрограммой без вмешательства пользователя (автоматические или стандартные макросы).

    Данным условиям удовлетворяют прикладные программы Microsoft Word, Excel и Microsoft Access. Они содержат в себе макроязыки: Word Basic, Visual Basic for Applications. Современные макроязыки обладают вышеперечисленными особенностями с целью предоставления возможности автоматической обработки данных.

    Большинство макровирусов активны не только в момент открытия ( закрытия) файла , но до тех пор, пока активен сам редактор. Они содержат все свои функции в виде стандартных макросов Word/Excel/Office. Существуют, однако, вирусы, использующие приемы скрытия своего кода и хранящие свой код в виде не макросов. Известно три подобных приема, все они используют возможность макросов создавать, редактировать и исполнять другие макросы. Как правило, подобные вирусы имеют небольшой макрос-загрузчик вируса, который вызывает встроенный редактор макросов, создает новый макрос, заполняет его основным кодом вируса, выполняет и затем, как правило, уничтожает (чтобы скрыть следы присутствия вируса). Основной код таких вирусов присутствует либо в самом макросе вируса в виде текстовых строк (иногда – зашифрованных), либо хранится в области переменных документа .

  3. Сетевые вирусы – вирусы, которые для своего распространения используют протоколы и возможности локальных и глобальных сетей. Основным свойством сетевого вируса является возможность самостоятельно тиражировать себя по сети. При этом существуют сетевые вирусы, способные запустить себя на удаленной станции или сервере.

Основные деструктивные действия, выполняемые вирусами и "

  • потеря данных
  • хищение информации.

    • Помимо всего вышеописанного, существуют вирусы комбинированного типа, которые объединяют в себе свойства разных типов вирусов, например, файлового и загрузочного. В виде примера приведем популярный в минувшие годы файловый загрузочный вирус под названием "OneHalf". Этот вирусный код, оказавшись в компьютерной среде операционной системы "MS-DOS" заражал основную запись загрузки. В процессе инициализации компьютера он шифровал секторы основного диска, начиная с конечных. Когда вирус оказывается в памяти, он начинает контролировать любые обращения к шифровальным секторам и может расшифровать их таким образом, что все программы будут работать в штатном режиме. Если вирус "OneHalf" просто стереть из памяти и сектора загрузки, то информация, записанная в шифровальном секторе диска, станет недоступной. Когда вирус зашифровывает часть диска, он предупреждает об этом следующей надписью: " Dis is one half , Press any key to continue...". После этих действий он ждет, когда вы нажмете на любую кнопку и продолжите ра ботать. В вирусе "OneHalf" использованы разные маскировочные механизмы. Он считается невидимым вирусом и выполняет полиморфные алгоритмические функции. Обнаружить и удалить вирусный код "OneHalf" весьма проблематично, потому что, его могут увидеть не все антивирусные программы.

    На этапе подготовки вирусных копий современные вирусы часто используют методы маскировки копий с целью затруднения их нахождения антивирусными средствами :

    • Шифрование - вирус состоит из двух функциональных кусков: собственно вирус и шифратор . Каждая копия вируса состоит из шифратора , случайного ключа и собственно вируса, зашифрованного этим ключом.
    • Метаморфизм - создание различных копий вируса путем замены блоков команд на эквивалентные, перестановки местами кусков кода, вставки между значащими кусками кода "мусорных" команд, которые практически ничего не делают.

    Сочетание этих двух технологий приводит к появлению следующих типов вирусов.

    • Шифрованный вирус - вирус, использующий простое шифрование со случайным ключом и неизменный шифратор . Такие вирусы легко обнаруживаются по сигнатуре шифратора .
    • Метаморфный вирус - вирус, применяющий метаморфизм ко всему своему телу для создания новых копий.
    • Полиморфный вирус - вирус, использующий метаморфный шифратор для шифрования основного тела вируса со случайным ключом. При этом часть информации, используемой для получения новых копий шифратора также может быть зашифрована. Например, вирус может реализовывать несколько алгоритмов шифрования и при создании новой копии менять не только команды шифратора , но и сам алгоритм.

    Червь - тип вредоносных программ , распространяющихся по сетевым каналам, способных к автономному преодолению систем защиты автоматизированных и компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом, и осуществлению иного вредоносного воздействия. Самым знаменитым червем является червь Moriss, механизмы работы которого подробно описаны в литературе. Червь появился в 1988 году и в течение короткого промежутка времени парализовал работу многих компьютеров в Интернете. данный червь является "классикой" вредоносных программ , а механизмы нападения, разработанные автором при его написании, до сих пор используются злоумышленниками. Moriss являлся самораспространяющейся программой, которая распространяла свои копии по сети, получая привилегированные права доступа на хостах сети за счет использования уязвимостей в операционной системе. Одной из уязвимостей, использованных червем, была уязвимая версия программы sendmail (функция "debug" программы sendmail, которая устанавливала отладочный режим для текущего сеанса связи), а другой - программа fingerd (в ней содержалась ошибка переполнения буфера ). Для поражения систем червь использовал также уязвимость команд rexec и rsh, а также неверно выбранные пользовательские пароли.

    На этапе проникновения в систему черви делятся преимущественно по типам используемых протоколов:

    • Сетевые черви - черви , использующие для распространения протоколы Интернет и локальных сетей. Обычно этот тип червей распространяется с использованием неправильной обработки некоторыми приложениями базовых пакетов стека протоколов tcp/ip.
    • Почтовые черви - черви , распространяющиеся в формате сообщений электронной почты. Как правило, в письме содержится тело кода или ссылка на зараженный ресурс. Когда вы запускаете прикрепленный файл, червь активизируется; когда вы щелкаете на ссылке, загружаете, а затем открываете файл, червь также начинает выполнять свое вредоносное действие. После этого он продолжает распространять свои копии, разыскивая другие электронные адреса и отправляя по ним зараженные сообщения. Для отправки сообщений червями используются следующие способы: прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку; использование сервисов MS Outlook; использование функций Windows MAPI . Для поиска адресов жертв чаще всего используется адресная книга MS Outlook, но может использоваться также адресная база WAB. Червь может просканировать файлы, хранящиеся на дисках, и выделить из них строки, относящиеся к адресам электронной почты. Черви могут отсылать свои копии по всем адресам, обнаруженным в почтовом ящике (некоторые обладают способностью отвечать на письма в ящике). Встречаются экземпляры, которые могут комбинировать способы.
    • IRC-черви -