Итак,продолжаем.Данная публикация объединяет точку зрения на понятие
"вредоносные программы" разработанную крупнейшими производителями
антивирусного и анти-SpyWare программного обеспечения на конец марта
2006 года.Все нижеперечисленные типы "вредоносных программ" в
современном лексиконе называются Malware или Pup.
1. Классические вирусы
Типы компьютерных вирусов различаются между собой по следующим основным признакам:
- Среда обитания; - Способ заражения.
Под
«средой обитания» понимаются системные области компьютера, операционные
системы или приложения, в компоненты (файлы) которых внедряется код
вируса. Под «способом заражения» понимаются различные методы внедрения
вирусного кода в заражаемые объекты.
Среда обитания:
По среде обитания вирусы можно разделить на:
-
Файловые вирусы при своем размножении тем или иным способом используют
файловую систему какой-либо (или каких-либо) ОС. Они различными
способами внедряются в исполняемые файлы; создают файлы-двойники;
создают свои копии в различных каталогах; используют особенности
организации файловой системы (link-вирусы).
- Загрузочные вирусы
записывают себя либо в загрузочный сектор диска (boot-сектор), либо в
сектор, содержащий системный загрузчик винчестера (Master Boot Record),
либо меняют указатель на активный boot-сектор. Данный тип вирусов был
достаточно распространён в 1990-х, но практически исчез с переходом на
32-битные операционные системы и отказом от использования дискет как
основного способа обмена информацией. Теоретически возможно появление
загрузочных вирусов, заражающих CD-диски и USB-флешек, но на текущий
момент такие вирусы не обнаружены.
- Макро-вирусы при своем
размножении тем или иным способом используют макро-языки, которые есть
во многих графических редакторах, в системах проектирования, в
текстовых процессорах, для автоматизации выполнения повторяющихся
действий. Эти макро-языки часто имеют сложную структуру и развитый
набор команд. Макро-вирусы являются программами на макро-языках,
встроенных в такие системы обработки данных. Для своего размножения
вирусы этого класса используют возможности макро-языков и при их помощи
переносят себя из одного зараженного файла (документа или таблицы) в
другие.
- Скриптовые вирусы, написаны на языках BATCH для DOS, Visual Basic Script, Windows Scripting Host, PHP и т.д.
Способ заражения:
Файловые вирусы по способу заражения файлов вирусы делятся на: - Перезаписывающие. Данный метод заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла); -
Паразитические. К паразитическим относятся все файловые вирусы, которые
при распространении своих копий обязательно изменяют содержимое файлов,
оставляя сими файлы при этом полностью или частично работоспособными -
Вирусы-компаньоны. Алгоритм работы этих вирусов состоит в том, что для
заражаемого файла создается файл-двойник, причем при запуске
зараженного файла управление получает именно этот двойник, т. е. вирус. -
Вирусы-ссылки, не изменяют физического содержимого файлов, однако при
запуске зараженного файла «заставляют» ОС выполнить свой код. Этой цели
они достигают модификацией необходимых полей файловой системы.
Загрузочные
вирусы. Заражение дискет производится единственным известным способом —
вирус записывает свой код вместо оригинального кода boot-сектора
дискеты. Винчестер заражается тремя возможными способами — вирус
записывается либо вместо кода MBR, либо вместо кода boot-сектора
загрузочного диска (обычно диска C:), либо модифицирует адрес активного
boot-сектора в таблице разделов диска (Disk Partition Table),
расположенной в MBR винчестера.
Макро-вирусы, поражающие файлы
MS Office, как правило, пользуются одним из приемов — в вирусе либо
присутствует авто-макрос (авто-функция), либо переопределен один из
стандартных системных макросов (ассоциированный с каким-либо пунктом
меню), либо макрос вируса вызывается автоматически при нажатии на
какую-либо клавишу или комбинацию клавиш. Получив управление
макро-вирус переносит свой код в другие файлы, обычно в файлы, которые
редактируются в данный момент. Реже макро вирусы самостоятельно ищут
другие файлы на диске.
Скрипт-вирусы. Следует отметить также
скрипт-вирусы, являющиеся подгруппой файловых вирусов. Данные вирусы,
написаны на различных скрипт-языках (VBS, JS, BAT, PHP и т.д.). Они
либо заражают другие скрипт-программы (командные и служебные файлы MS
Windows или Linux), либо являются частями многокомпонентных вирусов.
Также, данные вирусы могут заражать файлы других форматов (например,
HTML), если в них возможно выполнение скриптов 2. Сетевые черви
Основным
признаком, по которому типы червей различаются между собой, является
способ распространения червя — каким способом он передает свою копию на
удаленные компьютеры. Другими признаками различия червей между собой
являются способы запуска копии червя на заражаемом компьютере, методы
внедрения в систему и прочие характеристики, присущие и другим типам
вредоносного программного обеспечения.
Email-Worm. К данной
категории червей относятся те из них, которые для своего
распространения используют электронную почту. При этом червь отсылает
либо свою копию в виде вложения в электронное письмо, либо ссылку на
свой файл, расположенный на каком-либо сетевом ресурсе (например, URL
на зараженный файл, расположенный на взломанном или хакерском
веб-сайте).
Способы заражения:
В первом случае код червя
активизируется при открытии (запуске) зараженного вложения, во втором —
при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков
— активизируется код червя.
Способы распространения:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку; - использование сервисов MS Outlook; - использование функций Windows MAPI.
Способы поиска почтовых адресов, на которые будут рассылаться зараженные письма.
- Рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook; считывает адреса из адресной базы WAB; - Сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты; -
Отсылают себя во всем адресам, обнаруженным в письмах в почтовом ящике
(при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике
письма).
Net-Worm.
Способы заражения удаленных компьютеров:
-
Копирование червя на сетевые ресурсы. Червь ищет удаленные компьютеры и
копирует себя в каталоги, открытые на чтение и запись (если такие
обнаружены). При этом черви данного типа или перебирают доступные
сетевые каталоги, используя функции операционной системы, и/или
случайным образом ищут компьютеры в глобальной сети - Проникновение
червя на компьютер через уязвимости в операционных системах и
приложениях. Для проникновения этим способом черви ищут в сети
компьютеры, на которых используется программное обеспечение, содержащее
критические уязвимости. Для заражения уязвимых компьютеров червь
посылает специально оформленный сетевой пакет или запрос (эксплойт
уязвимости), в результате чего код (или часть кода) червя проникает на
компьютер-жертву. - Проникновение в сетевые ресурсы публичного
использования. Т.е. для своего распространения червь использует WEB- и
FTP-сервера. Там он «ждет» посетителей, которые запрашивают информацию
с зараженного сервера (например, открывают зараженную веб-страницу), и
таким образом проникает на другие компьютеры в сети.
- Паразитирование на других вредоносных программах.
IM-Worm.
Известные компьютерные черви данного типа используют единственный
способ распространения — рассылку на обнаруженные контакты (из
контакт-листа) сообщений, содержащих URL на файл, расположенные на
каком-либо веб-сервере. Данные прием практически полностью повторяет
аналогичный способ рассылки, использующийся почтовыми червями.
IRC-Worm.
У данного типа червей, как и у почтовых червей, существуют два способа
распространения червя по IRC-каналам, повторяющие способы, описанные
выше. Первый заключается в отсылке URL-ссылки на копию червя. Второй
способ — отсылка зараженного файла какому-либо пользователю сети. При
этом атакуемый пользователь должен подтвердить прием файла, затем
сохранить его на диск и открыть (запустить на выполнение).
P2P-Worm.
Механизм работы большинства подобных червей достаточно прост — для
внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена
файлами, который обычно расположен на локальной машине. Всю остальную
работу по распространению вируса P2P-сеть берет на себя — при поиске
файлов в сети она сообщит удаленным пользователям о данном файле и
предоставит весь необходимый сервис для скачивания файла с зараженного
компьютера. Существуют более сложные P2P-черви, которые имитируют
сетевой протокол конкретной файлообменной системы и на поисковые
запросы отвечают положительно — при этом червь предлагает для
скачивания свою копию. 3. Троянские программы
BackDoor. Это
троянские утилиты удаленного администрирования. Утилиты скрытого
управления позволяют делать с компьютером все, что в них заложил автор:
принимать или отсылать файлы, запускать и уничтожать их, выводить
сообщения, стирать информацию, перезагружать компьютер и т. д. В
результате эти троянцы могут быть использованы для обнаружения и
передачи конфиденциальной информации, для запуска вирусов, уничтожения
данных и т. д.
Trojan-PSW. Данное семейство объединяет троянские
программы, «ворующие» различную информацию с зараженного компьютера,
обычно — системные пароли (PSW — Password-Stealing-Ware). При запуске
PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную
информацию (обычно номера телефонов и пароли доступа к интернету) и
отсылают ее по указанному в коде «троянца» электронному адресу или
адресам.
Trojan-AOL семейство троянских программ, «ворующих»
коды доступа к сети AOL (America Online). Выделены в особую группу по
причине своей многочисленности.
Trojan-Clicker. Семейство
троянских программ, основная функция которых — организация
несанкционированных обращений к интернет-ресурсам (обычно к
веб-страницам). Достигается это либо посылкой соответствующих команд
браузеру, либо заменой системных файлов, в которых указаны
«стандартные» адреса интернет-ресурсов (например, файл hosts в MS
Windows). Они используются для: - увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы; - организация DoS-атаки (Denial of Service) на какой-либо сервер; - привлечение потенциальных жертв для заражения вирусами или троянскими программами.
Trojan-Downloader.
Троянские программы этого класса предназначены для загрузки и установки
на компьютер-жертву новых версий вредоносных программ, установки
«троянцев» или рекламных систем. Загруженные из интернета программы
затем либо запускаются на выполнение, либо регистрируются «троянцем» на
автозагрузку в соответствии с возможностями операционной системы.
Данные действия при этом происходят без ведома пользователя.
Trojan-Dropper.
Троянские программы этого класса написаны в целях скрытной инсталляции
других программ и практически всегда используются для «подсовывания» на
компьютер-жертву вирусов или других троянских программ.
Trojan-Proxy.
Семейство троянских программ, скрытно осуществляющих анонимный доступ к
различным интернет-ресурсам. Обычно используются для рассылки спама.
Trojan-Spy.
Данные троянцы осуществляют электронный шпионаж за пользователем
зараженного компьютера: вводимая с клавиатуры информация, снимки
экрана, список активных приложений и действия пользователя с ними
сохраняются в какой-либо файл на диске и периодически отправляются
злоумышленнику.
RootKit. Это программный код, направленная на
сокрытие присутствия в системе заданных объектов (процессов, файлов,
ключей реестра и т.д.). Их достаточно тяжело обнаружить и удалить 4. Прочие вредоносные программы
AdWare.
В эту категорию включены программы и модули, предназначенные для
несанкционированной загрузки и отображения на компьютере различной
рекламной информации. AdWare могут быть самостоятельными программами
или различными модулями расширения браузера (ВНО).
SpyWare.
SpyWare – это программа-шпион. Задачей SpyWare является сбор информации
о пользователе и скрытная передача этой информации на сайт
разработчиков. Стоит сразу отметить, что в отличие от троянских
программ то что SpyWare не передает пароли, номера кредитных карт и
иную информацию, на основании которой можно в последствии нанести
серьезный вред пользователю. Как правило, SpyWare передает данные о
конфигурации компьютера, установленном программном обеспечении,
посещаемых пользователем URL и вводимых поисковых запросах и т.п. Эта
информация в большинстве случаев используется для маркетинговых
исследований и передаче пользователю целевой рекламной информации (т.е.
рекламы, которая по тематике связана с его кругом интересов). Многие
SpyWare представляют собой панели, расширяющие возможности браузера.
Подобное решение очень удобно для шпионажа за работой пользователя в
Интернет – SpyWare может отслеживать посещаемые URL и вмешиваться в
работу браузера. При этом он сам не является отдельной задачей Windows,
что затрудняет его обнаружение. Кроме того, обмен подобного SpyWare
информацией с Интернет ведется из контекста браузера, и большинство
Firewall не блокируют его.
PornWare и Dialer. В категорию
PornWare включено все, имеющее отношение к порносайтам. В первую
очередь это Dialer – особая программа для автоматического дозвона на
порносайты и (или) перенастройки имеющихся соединений удаленного
доступа для набора номера модемного пула владельцев порносайта вместо
номера телефона местного провайдера. Известно множество случаем, когда
в результате работы Dialer пользователям приходили внушительные счета
за пользование платными услугами или междугородные (международные
звонки). Кроме того, в эту категорию включаются разнообразные панели
для браузера и прочие программы, устанавливающиеся при посещении
порносайтов.
Hijacker. Это программа, которая выполняет
несанкционированную пользователем перенастройку системы, чаще всего
браузера. Задачей такой перенастройки является принудительная смена
стартовой страницы, страницы поиска, соответствия префиксов протоколов
и т.п. Наиболее знаменитым Hijacker вероятнее всего является Sexque.
Кроме того, в категорию Hijacker принято включать ключи реестра,
переадресующие браузер на посторонние WEB страницы.
RiskWare.
RiskWare – это программное обеспечение, которое не является вирусом или
вредоносной программой, но применение которого может нанести вред
пользователю. В сюда причисляется следующие классы программ:
FTP-серверы.
Полезность этих программ не вызывает сомнений, так как огромное
количество файлов в интернете находится именно на ftp-серверах. Однако
если преступнику удастся скрытно установить ftp-сервер на компьютер
пользователя, он сможет удаленно получить доступ ко всем его файлам, а
также следить за всеми производимыми операциями. Это может привести к
утечке личной информации, кражи паролей и кодов доступа, а также к
полной потере всех файлов на жестком диске.
Proxy-серверы. Эти
программы широко используются для того, чтобы скрыть внутреннее
адресное пространство сети компаний и организаций от всех внешних
пользователей. Хакер же может незаметно установить такой
сервер-посредник на чужом компьютере и в некотором смысле осуществить
кражу личности. Дело в том, что все последующие незаконные действия
преступник будет осуществлять через сервер-посредник, следовательно,
все следы потом приведут к ни в чем неповинному пользователю, которого
могут обвинить в рассылке спама, организации сетевых атак, взломе
корпоративной сети и т.д.
IRC-клиенты. В легальных целях эти
программы используются для получения доступа к IRC-каналам (в основном
mIRC). Эти утилиты обладают встроенными средствами обработки программ,
написанных на транслируемых языках. Такая функциональность востребована
некоторыми троянцами и IRC-червями. Вдобавок, когда хакер устанавливает
на чужой компьютер IRC-троянца, IRC-клиент устанавливается им также по
умолчанию.
PSW-утилиты. Легальные пользователи применяют эти
инструменты для восстановления потерянных или забытых паролей, а
злоумышленники с их помощью могут быстро получить доступ к паролям
пользователя, а потом переписать их на свой компьютер.
Утилиты
удаленного администрирования. С одной стороны, эти инструменты
позволяют системному администратору удаленно управлять рабочим
станциями в сети предприятия. С другой стороны, с помощью тех же самых
утилит можно злонамеренно управлять компьютером невинного пользователя.
«Глупые
шутки». К этой категории относятся программы, которые не причиняют
прямого вреда пользователю или компьютеру, но, например, демонстрируют
время от времени какое-нибудь сообщение. Чаще всего эти сообщения
содержат информацию о том, что компьютер заражен вирусом, скоро этот
вирус отформатирует жесткий диск и т.д. Только «чувство юмора»
создателя ограничивает функционал этих программ В следующей
публикации мы поговорим о файерволах,их типах,целесообразности
установки.Затем перейдем к характеристике современных лицензированных
антивирусных программ и комплексных продуктов по безопастности.Всем
удачи! Buiser(Leo).