Пути проникновения вирусов в компьютер и механизм распределения вирусных программ. Антивирусные программы

Этот процесс  может быть автоматизирован с  помощью вируса, называемого сетевой  червь.

Червями называют вирусы, которые распространяются по глобальным сетям, поражая целые  системы, а не отдельные программы. Это самый опасный вид вирусов, так как объектами нападения  в этом случае становятся информационные системы государственного масштаба. С появлением глобальной сети Internet этот вид нарушения безопасности представляет наибольшую угрозу, т. к. ему в любой момент может подвергнуться любой из 80 миллионов компьютеров, подключенных к этой сети.

Классы троянских  программ:

Backdoor — троянские утилиты удаленного администрирования

Троянские программы  этого класса являются утилитами  удаленного администрирования компьютеров  в сети. По своей функциональности они во многом напоминают различные  системы администрирования, разрабатываемые  и распространяемые фирмами-производителями  программных продуктов.

Единственная  особенность этих программ заставляет классифицировать их как вредные  троянские программы: отсутствие предупреждения об инсталляции и запуске. При  запуске «троянец» устанавливает  себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях  троянца в системе. Более того, ссылка на «троянца» может отсутствовать  в списке активных приложений. В  результате «пользователь» этой троянской  программы может и не знать  о ее присутствии в системе, в  то время как его компьютер  открыт для удаленного управления.

Утилиты скрытого управления позволяют делать с компьютером  все, что в них заложил автор: принимать или отсылать файлы, запускать  и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п. — пораженные компьютеры оказываются открытыми для злоумышленных действий хакеров.

Таким образом, троянские программы данного  типа являются одним из самых опасных  видов вредоносного программного обеспечения, поскольку в них заложена возможность  самых разнообразных злоумышленных  действий, присущих другим видам троянских  программ.

Отдельно следует  отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают компьютерные черви. Отличает такие «троянцы» от червей тот факт, что они распространяются по сети не самопроизвольно (как черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.

Trojan-PSW — воровство паролей

Данное семейство  объединяет троянские программы, «ворующие» различную информацию с зараженного  компьютера, обычно — системные  пароли (PSW — Password-Stealing-Ware). При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к интернету) и отсылают ее по указанному в коде «троянца» электронному адресу или адресам.

Существуют PSW-троянцы, которые сообщают и другую информацию о зараженном компьютере, например, информацию о системе (размер памяти и дискового пространства, версия операционной системы), тип используемого  почтового клиента, IP-адрес и т. п. Некоторые троянцы данного  типа «воруют» регистрационную информацию к различному программному обеспечению, коды доступа к сетевым играм  и прочее.

Trojan-AOL — семейство троянских программ, «ворующих» коды доступа к сети AOL (America Online). Выделены в особую группу по причине своей многочисленности.

Trojan-Clicker — интернет-кликеры

Семейство троянских  программ, основная функция которых  — организация несанкционированных  обращений к интернет-ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows).

У злоумышленника могут быть следующие цели для  подобных действий:

увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы;

организация DoS-атаки (Denial of Service) на какой-либо сервер;

привлечение потенциальных  жертв для заражения вирусами или троянскими программами.

ArcBomb — «бомбы» в архивах

Представляют  собой архивы, специально оформленные  таким образом, чтобы вызывать нештатное  поведение архиваторов при попытке  разархивировать данные — зависание  или существенное замедление работы компьютера или заполнение диска  большим количеством «пустых» данных. Особенно опасны «архивные бомбы» для  файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки  входящей информации — «архивная  бомба» может просто остановить работу сервера.

Встречаются три  типа подобных «бомб»: некорректный заголовок  архива, повторяющиеся данные и одинаковые файлы в архиве.

Некорректный  заголовок архива или испорченные  данные в архиве могут привести к  сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива.

Значительных  размеров файл, содержащий повторяющиеся  данные, позволяет заархивировать такой  файл в архив небольшого размера (например, 5ГБ данных упаковываются  в 200КБ RAR или в 480КБ ZIP-архив).

Огромное количество одинаковых файлов в архиве также  практически не сказывается на размере  архива при использовании специальных  методов (например, существуют приемы упаковки 10100 одинаковых файлов в 30КБ RAR или 230КБ ZIP-архив).

Сетевые черви

Основным признаком, по которому типы червей различаются  между собой, является способ распространения  червя — каким способом он передает свою копию на удаленные компьютеры. Другими признаками различия СЧ между  собой являются способы запуска  копии червя на заражаемом компьютере, методы внедрения в систему, а  также полиморфизм, «стелс» и прочие характеристики, присущие и другим типам вредоносного программного обеспечения (вирусам и троянским программам).

Email-Worm — почтовые черви

К данной категории  червей относятся те из них, которые  для своего распространения используют электронную почту. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков — активизируется код червя.

Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:

прямое подключение  к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;

использование сервисов MS Outlook;

использование функций Windows MAPI.

Различные методы используются почтовыми червями  для поиска почтовых адресов, на которые  будут рассылаться зараженные письма. Почтовые черви:

рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;

считывает адреса из адресной базы WAB;

сканируют «подходящие» файлы на диске и выделяет в  них строки, являющиеся адресами электронной  почты;

отсылают себя во всем адресам, обнаруженным в письмах  в почтовом ящике (при этом некоторые  почтовые черви «отвечают» на обнаруженные в ящике письма).

Многие черви  используют сразу несколько из перечисленных  методов. Встречаются также и  другие способы поиска адресов электронной  почты.

IM-Worm — черви, использующие интернет-пейджеры

Известные компьютерные черви данного типа используют единственный способ распространения — рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенные  на каком-либо веб-сервере. Данные прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.

IRC-Worm — черви в IRC-каналах

У данного типа червей, как и у почтовых червей, существуют два способа распространения  червя по IRC-каналам, повторяющие  способы, описанные выше. Первый заключается  в отсылке URL-ссылки на копию червя. Второй способ — отсылка зараженного  файла какому-либо пользователю сети. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и  открыть (запустить на выполнение).

Net-Worm — прочие сетевые черви

Существуют прочие способы заражения удаленных  компьютеров, например:

копирование червя  на сетевые ресурсы;

проникновение червя на компьютер через уязвимости в операционных системах и приложениях;

проникновение в сетевые ресурсы публичного использования;

паразитирование на других вредоносных программах.

Первый способ заключается в том, что червь  ищет удаленные компьютеры и копирует себя в каталоги, открытые на чтение и запись (если такие обнаружены). При этом черви данного типа или  перебирают доступные сетевые каталоги, используя функции операционной системы, и/или случайным образом  ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.

Для проникновения  вторым способом черви ищут в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения  уязвимых компьютеров червь посылает специально оформленный сетевой  пакет или запрос (эксплойт уязвимости), в результате чего код (или часть кода) червя проникает на компьютер-жертву. Если сетевой пакет содержит только часть кода червя, он затем скачивает основной файл и запускает его на исполнение.

Отдельную категорию  составляют черви, использующие для  своего распространения веб- и FTP-сервера. Заражение происходит в два этапа. Сначала червь проникает в компьютер-сервер и необходимым образом модифицирует служебные файлы сервера (например, статические веб-страницы). Затем червь «ждет» посетителей, которые запрашивают информацию с зараженного сервера (например, открывают зараженную веб-страницу), и таким образом проникает на другие компьютеры в сети.

Существуют сетевые  черви, паразитирующие на других червях и/или троянских программах уделенного администрирования (бэкдорах). Данные черви используют тот факт, что многие бэкдоры позволяют по определенной команде скачивать указанный файл и запускать его на локальном диске. То же возможно с некоторыми червями, содержащими бэкдор-процедуры. Для заражения удаленных компьютеров данные черви ищут другие компьютеры в сети и посылают на них команду скачивания и запуска своей копии. Если атакуемый компьютер оказывается уже зараженным «подходящей» троянской программой, червь проникает в него и активизирует свою копию. Следует отметить, что многие компьютерные черви используют более одного способа распространения своих копий по сетям, использующие два и более методов атаки удаленных компьютеров.

P2P-Worm — черви  для файлообменных сетей

Механизм работы большинства подобных червей достаточно прост — для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который  обычно расположен на локальной машине. Всю остальную работу по распространению  вируса P2P-сеть берет на себя — при  поиске файлов в сети она сообщит  удаленным пользователям о данном файле и предоставит весь необходимый  сервис для скачивания файла с  зараженного компьютера.

Существуют более  сложные P2P-черви, которые имитируют  сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно — при этом червь предлагает для скачивания свою копию.

3.Пути проникновения  вирусов в компьютер и механизм  распределения вирусных программ

Основными путями проникновения вирусов в компьютер  являются съемные диски (гибкие и  лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может  быть и случайным, например, если дискету  не вынули из дисковода А и перезагрузили компьютер, при этом дискета может быть и не системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.

Вирус, как правило, внедряется в рабочую программу  таким образом, чтобы при ее запуске  управление сначала передалось ему  и только после выполнения всех его  команд снова вернулось к рабочей программе. Получив доступ к управлению, вирус, прежде всего, переписывает сам себя в другую рабочую программу и заражает ее. После запуска программы, содержащей вирус, становится возможным заражение других файлов.