Аэрокосмического приборостроения

Аэрокосмического приборостроения

Кафедра безопасности информационных систем

К.т.н. Воронов А.В.

Основы защиты информации

Вредоносное программное обеспечение и защита от него

Учебное пособие.

Санкт-Петербург

2011 г.

Автор: к.т.н. Воронов А.В., к.т.н. Волошина Н.В.

Основы защиты информации. Вредоносное программное обеспечение и защита от него. Учебное пособие. Санкт-Петербургский государственный университет аэрокосмического приборостроения. Кафедра комплексной безопасности информационных систем. Санкт-Петербург, 55 стр.

Краткая аннотация на учебное пособие.

В учебном пособии «Основы защиты информации. Вредоносное программное обеспечение и защита от него» рассматривается семейство вредоносных программ, и методы защиты от них в информационно-вычислительных системах. Пособие предназначено для изучения основ организации защиты информации от деструктивного воздействия программ типа: компьютерные вирусы, «троянский конь», и аналогичных, а так же защиты почтовых систем от спама. Рекомендуется для студентов технических и гуманитарных направлений.

СОДЕРЖАНИЕ

1. Понятия и определения. 4

2. Компьютерные вирусы.. 6

2.1. История компьютерных вирусов. 6

2.2. Классификация компьютерных вирусов. 15

3. Классификация других деструктивных программ. 27

3.1. Трояны. 27

3.2. Программы-шпионы (Spyware) 28

3.3. Рекламные коды (Аdware) 29

3.4. Спам.. 30

3.5. Фишинг. 36

4. Классификация методов защиты от вредоносного ПО. 38

4.1. Основные методы защиты от компьютерных вирусов. 38

4.2. Дополнительные рекомендации по защите от вредоносного ПО. 42

4.3. Борьба со спамом.. 47

5. Организация системы защиты корпоративных информационных систем от вредоносного программного обеспечения. 51

5.1. Требования к системе. 51

5.2. Общая структура решения. 53

Приложение. ………………………………………………………………………………………55

1. Понятия и определения.

На сегодняшний день понятие вредоносного ПО охватывает довольно обширный спектр прикладных программ. В перечень вредоносных входит не только вирусное программное обеспечение, приводящее к разрушению информации и нарушению работы компьютерных систем, но и программы, обеспечивающие несанкционированный доступ к конфиденциальной информации и персональным данным пользователей информационных систем, в том числе и банковских электронных систем. В эту же группу входят и программные решения, затрудняющие повседневную работу пользователей и корпоративных систем, например – рекламное ПО.

При этом необходимо учесть, что с развитием информационных технологий границы между отдельными видами вредоносного ПО всё больше стираются, и одни виды вредоносного ПО в своих алгоритмах всё больше используют методы других видов данного ПО. Например, программы-шпионы для внедрения в систему используют технологию ПО «троян», которое в свою очередь, использует для распространения вирус типа «почтовый червь», который, для повышения эффективности размножения использует спам-технологии.

Размеры ущерба от воздействия данных программ от года к году растут с лавинообразной скоростью, несмотря на, казалось бы, адекватные меры защиты. К сожалению, порой даже системные администраторы (не говоря уж об обычных пользователях) не всегда точно представляют себе как функционируют подобные программы, и как они проникают в компьютеры и сети. Однако, без понимания механизма функционирования и распространения подобного ПО, невозможно организовать эффективную защиту, даже имея в своем распоряжении соответствующие средства защиты информации.

В связи с этим, в настоящее время под вредоносным ПО подразумевают любое прикладное ПО, в результате прямого действия которого в информационной системе, возникает какой либо ущерб. В данной части учебного пособия мы рассмотрим наиболее популярные виды вредоносного ПО и методы защиты от него.

Для удобства рассмотрения дальнейшего материала введем некоторые понятия и определения.

Компьютерный вирус – программа, особенность которой состоит в том, что она стремится самостоятельно размножиться, создавая свои копии (не обязательно полностью совпадающие с оригиналом) и внедряя их в различные объекты и ресурсы компьютерных систем, сетей и т.д. без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения. Активизация программы происходит в процессе взаимодействия с зараженным ресурсом.

Трояны («Троянский конь») – программы, которые содержат внутри себя некие скрытые функции реализующие какие-либо информационные угрозы, либо программный код, позволяющий инсталлировать вредоносные программы в системе.

Внешне незаметные, или выглядящие достаточно безобидно, эти программы, как правило, обеспечивают возможность удаленного доступа в зараженную систему (так называемые «back doors»), или занимаются перехватом, сбором и отправкой в адрес злоумышленника определенной информации. Либо инсталлируют специальное резидентное ПО («зомбируют систему»), обеспечивающее участие данного ПК в массовых сетевых акциях (атаках) скрытно от пользователя системы. Например, рассылка спама или проведение DoS-атак.

Программы-шпионы (Spyware) – программное обеспечение, которое позволяет собирать информацию о характере действий отдельного пользователя или группы пользователей на персональной ЭВМ, либо узлах компьютерной сети, без их уведомления. Для проникновения, инсталляции и скрытия себя в системе, spyware могут использовать вирусные технологии и технологии «троянских коней».

Рекламные коды (Аdware) – это программное обеспечение, позволяющее осуществлять скрытую загрузку рекламной информации на рабочую станцию пользователя через компьютерную сеть. Кроме того, данные программы могут производить сбор и отправку третьим лицам информации о посещаемых сайтах, и вводимых владельцем компьютера данных. Для проникновения, инсталляции и скрытия себя в системе, adware могут использовать вирусные технологии и технологии «троянских коней».

Спам – это несанкционированные массовые рассылки электронных почтовых сообщений, не имеющие конкретного адресата. При помощи спама может осуществляться массовое распространение почтовых вирусов и троянов.

Фишинг (англ. phishing, от fishing – рыбная ловля, выуживание и password – пароль) – вид электронного мошенничества, цель которого – получить идентификационные данные пользователей. Сюда относятся кражи паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации.

Компьютерные вирусы

Компьютерные вирусы являются феноменом второй половины двадцатого столетия. Концептуальные основы компьютерных вирусов были заложены задолго до возникновения самой вирусной угрозы. Известно, что эти идеи родились ещё во времена, когда компьютеры представляли собой примитивные, огромные и очень дорогие конструкции, обладать которыми могли только научные центры, университеты и правительственные учреждения. Первоначально идея компьютерных вирусов состояла из моделирования процесса развития живых организмов в природе. Ставилась задача написания компьютерной программы, которая могла бы самостоятельно создавать свои, или подобные себе жизнеспособные копии. Такое поведение программ – шаг на пути к созданию искусственного интеллекта. К сожалению, реализация этих идей получила совершенно неадекватное и опасное воплощение. Результаты исследований и способы реализации алгоритмов достаточно широко освещались в литературе, и как это не редко бывает – дорога в ад оказалась вымощена благими намереньями.

Когда компьютерный мир состоял из относительно небольшого количества ЭВМ, вирус не имел возможности широкого распространения, но с появлением недорогих персональных компьютеров, вирусы получили благодатную питательную среду. Лавинообразный рост глобальных сетей, возможность присоединять файлы к сообщениям электронной почты и общий рост зависимости человека от компьютерных информационных технологий – все это создает для распространения компьютерных вирусов превосходные условия [45].

Вирус Морриса

2 ноября 1988 года Роберт Моррис – Младший, аспирант Факультета информатики Корнельского Университета инфицировал с помощью написанного им вируса большое количество компьютеров. Вирус изначально разрабатывался как безвредный и имел лишь целью скрытно проникнуть в вычислительные системы, связанные сетью ARPANET (ARPANET в 1989 году официально переименован в Интернет), и остаться там необнаруженным. Вирус Морриса является представителем вирусного семейства сетевых червей (Internet worm), и представляет собой 60 килобайтную программу, разработанную с расчётом на поражение операционных систем UNIX Berkeley 4.3.

При этом, интересен тот факт, что отец «отца вируса» – Роберт Моррис – Старший в это время занимал должность научного руководителя Национального Центра Компьютерной Безопасности (NCSC – National Computer Security Center) – эксперта по компьютерной безопасности. Моррис - Старший много лет проработал в лаборатории AT&T Bell, где в 60-х годах принимал участие в разработке программ Core Wars. Кстати, инцидент с программой-червем практически никак не сказался на карьере Морриса – Старшего. В начале 1989 года он был избран в специальный консультативный совет при Национальном институте стандартов и министерстве торговли. В задачу этого совета входит выработка заключений и рекомендаций по вопросам безопасности вычислительных систем правительственных органов США, а также решение вопросов, возникающих при разработке и внедрении стандартов защиты информации.

Инцидент с «вирусом Морриса» дал толчок к появлению целой отрасли компьютерной безопасности – компьютерной вирусологии.

По самым скромным оценкам инцидент с вирусом Морриса стоил свыше 8 миллионов часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается более чем в 98 миллионов долларов. Вирус поразил свыше 6200 компьютеров. В результате вирусной атаки большинство сетей вышло из строя на срок до пяти суток. Компьютеры, выполнявшие коммутационные функции, работавшие в качестве файл-серверов или выполнявшие другие функции обеспечения работы сети, также вышли из строя. Ущерб был бы гораздо больше, если бы вирус изначально создавался с разрушительными целями.

В американских репортажах с места события, опубликованных такими ведущими газетами как Chicago Tribune, New York Times и Boston Herald, широко освещалась динамика распространения вируса и разработки методов борьбы с ним, а также поднимались общие проблемы обеспечения безопасности компьютерных систем. Позднее, в аналитических статьях по этому повод поднимались нерешенные проблемы, относящиеся к вопросам безопасности компьютерных систем, и законодательные инициативы, направленные на предотвращение подобных случаев в дальнейшем. В частности, в палате представителей внесены два проекта законов, предусматривающих уголовное наказание за создание и распространение компьютерных вирусов.

Кроме того, широко обсуждался вопрос о том, как квалифицировать поступок Морриса: является ли Моррис героем-хакером, который без нанесения по-настоящему серьезного ущерба указал на слабые места в национальной компьютерной сети, или он является преступником, который должен быть сурово наказан. В то же время, он уже отчислен из Корнельского университета (с правом подачи заявления на повторное вступление через год). Таким образом, Моррис может вновь подать заявление о поступлении не ранее осени 1990 г. В этом случае вопрос о его поступлении будет решаться администрацией.

Сегодня вирус Морриса принято считать определенной точкой отсчета, с которой началось массовое шествие вирусов по миру («Современная история вирусов»).

«Современная история» компьютерных вирусов.

Год.

- ARPANET официально переименован в Интернет.

- Появился «троянский конь» AIDS. Вирус делал недоступной всю информацию на жестком диске и высвечивал на экране лишь одну надпись: «Пришлите чек на $189 на такой-то адрес». Автор программы был арестован в момент обналичивания денег и осужден за вымогательство.

- Создан вирус для противодействия антивирусному ПО («Темный Мститель» — The Dark Avenger). Он заражал новые файлы, пока антивирусная программа проверяла жесткий диск компьютера.

- Клифф Столл (Cliff Stoll), сотрудник Lawrence Berkeley National Laboratory опубликовал книгу «Кукушкины яйца» (The Cuckoo's Egg), в которой предостерегал, что всемирная компьютерная сеть может служить не только целям добра, но и активно использоваться военными, преступниками и хулиганами. Столл рекомендовал заблаговременно принять меры для недопущения подобного развития событий.

1990 год(декабрь). В Гамбурге (Германия) был создан Европейский институт компьютерных антивирусных исследований (EICAR). На сегодняшний день он является одной из наиболее уважаемых международных организаций, объединяющей практически все крупные антивирусные компании.

1991 год. Написана программа, предназначенная исключительно для создания вирусов – VCSvl.0.

Год.

- Вирус SatanBug поражает сотни компьютеров в столице США, Вашингтоне. Страдают даже компьютеры Белого дома. ФБР арестовало автора, им оказался 12-летний подросток.

- Зафиксировано появление «бомб замедленного действия» – вирусов, которые активизируются по достижении определенной даты.

1994 год. В Великобритании, США, Норвегии арестованы несколько авторов вирусов. Они отделываются штрафами.

1995 год. Появление макровирусов, рассчитанных на поражение программной среды MS Word.

1999 год. Почтовый вирус Melissa вызвал эпидемию мирового масштаба, поразил десятки тысяч компьютеров и нанес ущерб в $80 млн. После этого инцидента в мире начался обвальный спрос на антивирусные программы. В 2002 году автор Melissa – 33-летний программист Дэвид Смит (David L. Smith) приговорен к 20 месяцам тюремного заключения.

2000 год, май. Рекорд Melissa побил почтовый вирус I Love You!, поразивший миллионы компьютеров в течение нескольких часов. Особенность вируса заключалась в том, что прикрепленный к письму файл с телом вируса активизировался автоматически при открытии пользователем письма для прочтения. Расследование показало, что вирус создал филиппинский студент, который не был осужден из-за отсутствия соответствующих законов в законодательстве Филиппин. В том же году подписано первое международное соглашение о противодействии компьютерным вирусам.

2001 год. Интернет поразил почтовый вирус Anna Kournikova. 20-летний голландец Ян Де Вит (Jan De Wit) был приговорен к 150 часам исправительных работ за создание этого вируса. Суд пришел к выводу, что он не может точно определить размер ущерба, который нанесла «Анна Курникова» экономике Нидерландов. У Де Вита также была конфискована коллекция из 7,5 тыс. вирусов. Де Вит заявил суду, что не имел представления, что написанная им программа окажется вирусом и нанесет кому-либо ущерб.

2002 год. 13 узловых DNS-серверов Интернета, обеспечивающих функционирование Всемирной Сети, подверглись DoS-атаке, организованной при помощи сетевого вируса. Аналитики предупреждают, что хорошо подготовленная и проведенная компьютерная атака может на недели уничтожить Интернет.

2003 год (июль). Рекорды быстроты распространения побил «червь» Slammer, заразивший 75. тыс. компьютеров за 10 минут. В результате активизации вируса-червя Slammer скорость работы сети значительно замедлилась, а некоторые регионы, например, Южная Корея, оказались практически отрезанными от Интернета.

Вирусная атака началась в 0:30 по времени Восточного побережья США или в 8:30 по московскому времени. Где находился источник заражения, до сих пор точно не известно. Некоторые специалисты по компьютерной безопасности предполагают, что вирус распространялся с территории США, другие же считают, что его родина находится где-то в Азии. За считанные минуты червь, использующий уязвимость в СУБД Microsoft SQL Server 2000, наводнил Интернет. Несмотря на малый размер вируса (376 байт), он смог создать в каналах передачи данных настоящие пробки, поскольку после заражения компьютера он начинает рассылать свой код по случайным IP-адресам в бесконечном цикле. Если по какому-либо из адресов обнаруживался уязвимый компьютер, он заражался и тоже начинал рассылать копии вируса.

Все это привело к крупномасштабному росту трафика. На пике активности червя на один сервер могли приходить сотни запросов в минуту. Не выдержав возросшей нагрузки, некоторые серверы переставали нормально работать. В это время только в США терялось до 20% IP-пакетов, что в десять раз превышает нормальный уровень. По имеющимся данным, от атаки пострадали и пять из тринадцати корневых DNS-серверов.

Об ошибке программного кода в MS SQL Server 2000 стало известно еще летом 2002 г., а исправление к ней содержится в выпущенном Microsoft пакете обновлений Service Pack 3. Тем не менее за установку патчей администраторы взялись лишь после атаки Slammer. Однако удалось это немногим: сайт Microsoft, откуда только и можно было взять Service Pack, оказался перегружен.

27 января 2004 года. Начало крупномасштабной эпидемии почтового червя Novarg, также известного как Mydoom. Всеми антивирусными компаниями данному червю присвоен максимальный уровень опасности. Количество зараженных писем в интернете исчисляется несколькими миллионами экземпляров.

Червь распространяется через интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер 22 528 байт, упакован UPX. Размер распакованного файла около 40KB. Червь активизируется, только если пользователь сам откроет архив и запустит зараженный файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Червь содержит в себе "бэкдор"-функцию, открывающую ТСР порты с 3127 по 3198, что делает возможным удаленное управление зараженной системой, отыскивает почтовые адреса в адресной книге, Outlook, и рассылает себя на эти адреса с помощью собственного SMTP клиента, а также запрограммирован на проведение DoS-атак на сайты www.sco.com и www.microsoft.com.

Ущерб от эпидемии вируса MyDoom (он же Novarq) стал самым большим в истории интернет-эпидемий: он составил 2,6 млрд долларов. Такие оценки содержатся в отчете английских экспертов из компании Mi2g.

3 Мая 2004 года. В Интернет обнаружен новый червь Sasser. Червю был присвоен наивысший рейтинг опасности. По оценкам аналитиков, обычный компьютер, подключенный к Интернет и не обеспеченный средствами защиты, подвергается заражению червем в течении 10 минут.

Sasser распространяется путем использования ошибки переполнения буфера в процессе lsass.exe на системах Windows 2000, XP и 2003 Server. После заражения системы червь начинает использовать ее для атак на другие компьютеры через TCP порт 445.

Червь активизируется без вмешательства пользователя и способен поражать любой компьютер, подключенный к сети, вне зависимости от того, используется он в данный момент или нет. Признаком заражения служат различные сообщения о системных ошибках и самопроизвольная перезагрузка системы.

Дальнейшая история развития компьютерных вирусов тесно переплетается с историей развития вредоносного программного обеспечения в целом. В ней практически отсутствуют какие-либо уникальные творческие находки, зато всё более прослеживается желание лёгкой наживы злоумышленников, использующих данное ПО.

По активности в системе.

Резидентный вирус – при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к заражаемым объектам и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.

Нерезидентные вирусы – не заражают память компьютера и являются активными только при обращении к зараженному объекту. При запуске программы вирус активизируется, выполняет требуемые действия, и затем передает управление собственно зараженной программе.

Логическая бомба – вирусоподобная программа, которая активизируется при наступлении определенных условий. Логическая бомба может сработать по достижении определенной даты или какого-либо специфического события в системе (например, деинсталляции определенной программы). Такая бомба может быть встроена не только в вирусы, но и в трояны.

По среде обитания

Сетевые вирусы –распространяются по компьютерной сети, используя возможности универсальных сетевых протоколов и интерфейсов различных операционных систем. Для заражения используют, как правило, ошибки в кодах программного обеспечения, работающего с компьютерной сетью. Могут «жить» только в оперативной памяти ПЭВМ и каналах передачи информации. В настоящее время являются самым популярным типом вирусного ПО.

Boot-вирусы– заражают загрузочные сектора дисков (Boot-сектор) или сектор, содержащий основной системный загрузчик жесткого диска (Master Boot Record). При опросе носителя информации, boot-сектор всегда опрашивается первым. Если диск является системным, то boot-сектор содержит программу – начальный загрузчик ОС. Если диск системным не является, то boot-сектор, как правило, содержит программу, выводящую на экран надпись, что этот диск не системный. Boot-вирус перехватывает обращение системы к программе, находящейся в boot-секторе.

Заражение дискет производится единственным известным способом: вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами:

- вирус записывается вместо кода MBR,

- вирус записывается вместо кода boot-сектора загрузочного диска (обычно диска С:),

- вирус заменяет адрес активного boot-сектора в Disk Partition Table, расположенного в MBR винчестера на свой, а управление boot-сектору передает уже самостоятельно.

При инфицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска (например, в первый свободный). Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных), которые могут помечаться как сбойные.

Существует несколько вариантов размещения на диске первоначального загрузочного сектора и продолжения вируса:

- в сектора свободных кластеров логического диска;

- в неиспользуемые или редко используемые системные сектора;

- в сектора, расположенные за пределами диска. вирусу для этого приходится форматировать на диске дополнительный трек (метод нестандартного форматирования), если, разумеется, это допускается установленным оборудованием.

В последнее время активизировалась еще одна группа загрузочных вирусов, использующая особенность функционирования ОС Windows при обращении ее к логическим и съемным дискам.

Вирус копирует себя в корень съемных дисков и в системные директории операционной системы, создавая там файлы с именем «autorun.*», обеспечивающие автозапуск копии вируса в различных ситуациях. Активизация вируса происходит, в частности, при подключении съемного диска к системе, либо при обращении к логическим дискам компьютера через сервис «Мой Компьютер», и т.п. Пример вирусов: «Virus.Win32.Tupac» и «Troyan.CopySelf».

Файловые вирусы – для заражения используют файлы, специфика содержимого и формата которых позволяют вирусу активизироваться при открытии зараженного файла. Теоретически файловые вирусы могут внедряться во все исполняемые файлы всех популярных операционных систем (ОС). Практически – же, на сегодняшний день известны вирусы, поражающие все типы выполняемых объектов MS WINDWS, в том числе, командные файлы (ВАТ), загружаемые драйверы, исполняемые двоичные файлы, загружаемые библиотеки, файлы документов. Существуют вирусы, поражающие исполняемые файлы операционной системы смартфонов Symbian. Возможно, для других ОС: MacOS, Linux и т.д. так же существуют малоизвестные файловые вирусы.

С точки зрения наиболее популярных способов заражения файлов вирусы подразделяются следующим образом (см. Рис. 2.2.):

 
 

Рис. 2. Классификация файловых вирусов по способу заражения.

Overwriting-вирусы.

Данный метод заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как ОС и приложения довольно быстро перестают работать. В настоящее время может использоваться только начинающими вирусописателями.

Parasitic-вирусы.

К паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными. Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов (prepending), в конец файлов (appending) и в середину файлов (inserting). В свою очередь, внедрение вирусов в середину файлов происходит различными методами – путем переноса части файла в его конец или внедрения в заведомо неиспользуемые данные файла (cavity-вирусы).

 
 

Рис. 3. Внедрение вируса начало файла первым способом

 
 

Рис. 4. Внедрение вируса в начало файла вторым способом

Внедрение вируса в начало файла. Известны два способа внедрения паразитического файлового вируса в начало файла.

Первый способ (см. Рис. 2.3.) заключается в том, что вирус переписывает начало заражаемого файла в его конец, а сам копируется на освободившееся место.

Второй способ (см. Рис. 2.4.) – при заражении файла вирус создает в оперативной памяти свою копию, дописывает к ней заражаемый файл и сохраняет полученную конструкцию на диск.

При этом вирусы, чтобы сохранить работоспособность программы, либо лечат зараженный файл, повторно запускают его, ждут окончания его работы и снова записываются в его начало (иногда используется временный файл, в который записывается обезвреженный файл), либо восстанавливают код программы в памяти компьютера и настраивают необходимые адреса в ее теле (т. е. дублируют работу ОС).

Внедрение вируса в конец файла. Наиболее распространенным способом внедрения вируса в файл является дописывание вируса в его конец (см. Рис. 2.5.). При этом вирус изменяет начало файла таким образом, что первыми выполняемыми командами программы, содержащейся в файле, являются команды вируса. Изменяется точка запуска программы в заголовке исполняемого файла.

 
 

Рис. 5. Внедрение вируса в конец файла

Внедрение вируса в середину файла. Существует несколько возможностей внедрения вируса в середину файла.

Первый метод – наиболее простой из них, когда вирус переносит часть файла в его конец или раздвигает файл и записывает свой код в освободившееся пространство. Этот способ во многом аналогичен методам, перечисленным выше. Отдельные вирусы при этом сжимают переносимый блок файла так, что длина файла при заражении не изменяется.

Второй метод – (cavity) при котором вирус записывается в заведомо неиспользуемые области файла. Вирус может быть скопирован в незадействованные области таблицы настройки адресов ЕХЕ-файла или заголовок EXE-файла, в область стека файла или в область текстовых сообщений популярных компиляторов. Некоторые вирусы заражают только те файлы, которые содержат блоки, заполненные каким-либо постоянным байтом, при этом вирус записывает свой код вместо такого блока. Кроме того, копирование вирусав середину файла может произойти в результате ошибки вируса, в этом случае файл может быть необратимо испорчен.

Companion-вирусы.

К категории компаньон-вирусов относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т. е. вирус.

Первая группа – компаньон-вирусы, использующие особенность операционной системы Windows по приоритету запуска исполняемых файлов с расширениями .ВАТ и .ЕХЕ. Если в одном каталоге присутствуют два файла с одним и тем же именем, но различными расширениями имени – .ВАТ и .ЕХЕ, то система по умолчанию запускает .ВАТ-файл, и лишь при отсутствии его запускается .ЕХЕ-файл. Компаньон-вирусы могут использовать данное свойство системы, они создают для ЕХЕ-файлов файлы-спутники, имеющие то же самое имя, но с расширением .ВАТ, например, для файла CMD.EXE создается файл CMD.ВАТ. Так как .ВАТ-файл является текстовым командным файлом, то не составляет сложности прописать в нем команды на запуск как вируса, так и «зараженного» файла программы. При запуске «зараженной» программы из командной строки с набором только имени стартового файла программы, Windows первым обнаружит и выполнит ВАТ-файл, т. е. запустит вирус параллельно с запуском программы.

Вирусы в пакетных файлах.

Почти в любых ОС имеется такое средство автоматизации выполнения процедур, как пакетные файлы. Пакетные файлы содержат программы на специальном командном языке, который зависит от ОС. С помощью этого языка можно запускать произвольные программы, выдавать команды ОС, создавать файлы и каталоги и т.п. Пакетные вирусы получили свое название благодаря тому, что для своего распространения и выполнения вредоносных действий они используют возможности пакетных файлов.

Для ОС Windows существуют вирусы, способные заражать пакетные файлы .BAT. Они записывают свой двоичный код в тело пакетного файла после оператора комментария REM. При запуске такой пакетный файл копирует вирусный код в обычный исполняемый файл. Затем данный исполняемый файл запускается. Центральный процессор выполняет код вируса, записанный после оператора комментария REM.

Вторую группу составляют вирусы, которые при заражении переименовывают файл, давая ему какое-либо другое имя, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого файла. Например, файл XCOPY.EXE переименовывается в XCOPY.EXD, либо XCOPY1.EXE, а вирус записывается под именем XCOPY.EXE. При запуске управление получает код вируса, который затем запускает оригинальный XCOPY, хранящийся под именем XCOPY.EXD (XCOPY1.EXE). Интересно то, что данный метод может быть работоспособен в различных ОС.

В третью группу входят так называемые Path-companion-вирусы, которые используют особенность системной переменной PATH. Они либо записывают свой код под именем заражаемого файла, но на один уровень выше PATH (система, таким образом, первым обнаружит и запустит файл-вирус), либо переносят файл-жертву выше на один подкаталог и т. д. (например: C:/WINDOWS;C:/WinDOWS/SYSTEM32)

Возможно существование компаньон-вирусов, использующих иные оригинальные идеи или особенности других ОС.

Link-вирусы.

Link-вирусы, как и компаньон-вирусы, не изменяют физического содержимого файлов, однако при запуске зараженного файла заставляют ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.

При заражении системы они записывают свое тело в последний кластер логического диска. При заражении файла вирусы корректируют лишь номер первого кластера файла, расположенный в соответствующем секторе каталога. Новый начальный кластер файла будет указывать на кластер, содержащий тело вируса. Таким образом, при заражении файлов их длина и содержимое кластеров с этими файлами не изменяются, а на все зараженные файлы на одном логическом диске будет приходиться только одна копия вируса.

До заражения данные каталога хранят адрес первого кластера файла (см. рис. 2.6.). После заражения данные каталога указывают на вирус, т. е. при запуске файла управление получают не файлы, а вирус (см. рис. 2.7.).

 
 

Рис. 6. Каталог до заражения



Рис 7. Каталог после заражения

Полиморфные вирусы.

Еще один тип маскирующихся вирусов – полиморфные (polymorphic) вирусы. Эти вирусы так же используют специальные механизмы, которые затрудняют их обнаружение антивирусными средствами. Обычно такие вирусы содержат модуль шифрования и дешифровки собственного тела. По этой причине зачастую нельзя установить инфицированный файл по характерной для данного вируса строке (сигнатуре), так как в файле он находится и измененном состоянии.

Создаваемые генератором вируса параметры шифрования (ключи шифрования) обычно изменяются во времени, как правило, для каждого инфицированного файла он свой. Соответственно, дочерние копии так же отличаются параметрами шифрования. Вследствие этого поиск полиморфных вирусов является достаточно сложной задачей. И если в системе обнаружены материнские копии вирусов, то нет гарантии, что все дочерние копии будут обнаружены так-же.

Почтовые вирусы.

Особая разновидность сетевых вирусов. Для своего распространения почтовые вирусы используют возможности протоколов электронной почты. Они осуществляют пересылку своего тела по электронной почте в виде присоединенного файла. Когда пользователь открывает такой файл, вирус активируется, и выполняет заложенные в него функции. Из-за различных ошибок, присутствующих в клиентских почтовых программах (особенно Microsoft Outlook), файл вложения может запуститься автоматически, при открытии самого письма, например – вирус «I Love You». Для рассылки, вирус может использовать список адресов, хранящийся в адресной книге почтового клиента.

В целях маскировки распространители вирусов не редко пользуются тем фактом, что по умолчанию Проводник Microsoft Windows не отображает расширения зарегистрирован­ных файлов. В результате, присоединенный к письму файл с именем, например, FreeCreditCard.txt.exe, будет показан пользователю как FreeCreditCard.txt. И если пользователь не проконтролирует внешние атрибуты файла, и попытается открыть его, то вредоносная программа будет запущена. Еще один широко используемый ход: включение в имя файла между именем и истинным разрешением 70 – 100 или более пробелов. Имя файла приобретает вид:

«Readme.txt .exe»,

причем, Проводник Проводник Microsoft Windows, из-за недоработки разработчиков показывает только «Readme.txt». В результате чего пользователь без всяких подозрений может попытать

Наши рекомендации