Классификация и характеристика наиболее распространенных компьютерных вирусов
А. Первыми появились вирусы, поражающие программные файлы СОМ и ЕХЕ. При запуске зараженной программы управление получает программный код вируса, он сканирует диски компьютера (локальные и сетевые) в поисках «здоровых» программных файлов и модифицирует их.
Модификация заключается в том, что вирус дописывает свой программный код в «тело» программы и изменяет заголовок программного файла, так чтобы при запуске программы управление передавалось вирусу.
Проявление вируса (активизация разрушительных действий) происходит при наступлении некоторого события. Таким событием может быть определенная дата, например «пятница 13-е число», количество зараженных файлов, «процент зараженности» диска и т.д.
Компьютер не может быть заражен, пока не будет запущена какая-либо зараженная программа. Антивирусные программы достаточно легко справляются с такими вирусами.
Б. Загрузочные вирусы. Такое название обусловлено тем, что вирусы хранят себя в загрузочных областях магнитных дисков и получают управление в момент загрузки операционной системы компьютера. В процессе загрузки задействовано три программы, которые служат объектом нападения загрузочных вирусов:
- главная загрузочная запись;
- загрузочная запись на логическом диске;
- загрузочная запись на дискете.
Вирусы могут заменять некоторые или все перечисленные выше объекты, встраивая в них свое телои сохраняя содержимое оригинального загрузочного сектора в каком-либо месте на диске компьютера. В результате при включении компьютера программа загрузки, расположенная в BIOS, загружает в память вирусный код и передает ему управление. Дальнейшая загрузка операционной системы происходит под контролем вируса.
Вирус находится в оперативной памяти компьютера и заражает все дискеты, вставляемые в дисковод. Заражение компьютера происходит в том случае, когда дискета случайно забыта в дисководе и выполняется загрузка компьютера. Опасность таких вирусов в том, что они, получая управление, могут разместить себя в любом месте оперативной памяти, подменив вызов системных программ, выполняющих операции чтения/записи с магнитного диска. Более того, такой вирус может дезактивировать известные антивирусные программы, если они находятся на жестком диске.
Существуют вирусы, использующие комбинированный способ, т.е. они могут находиться и в загрузочном секторе и в исполняемых файлах. Такими вирусами легче заразиться и труднее вылечиться. Основной способ обнаружения вирусов антивирусными программами – просмотр содержимого файла на наличие характерных для того или иного вируса последовательностей байтов, называемых сигнатурами.
В. Шифрующиеся вирусы. Используют алгоритмы шифрования, затрудняющие их обнаружение и выделение сигнатуры. При заражении новых файлов и системных областей диска шифруют собственный код, пользуясь для этого случайными паролями (ключами). Когда вирус получает управление, он первым делом расшифровывает собственный код.
Сложность обнаружения таких вирусов состоит в том, что код вируса случайным образом изменяется при каждом новом заражении и, соответственно, антивирусу сложнее выделить сигнатуру такого вируса. Однако так как шифрующийся вирус все же должен содержать неизменную процедуру расшифровки, то сигнатуру получить можно. Даже простые антивирусные программы способны успешно обнаруживать и удалять вирусы, применяющие алгоритм шифровки.
Г. Мутанты (полиморфные вирусы). От шифрующихся вирусов они отличаются тем, что процедура шифровки меняется у разных особей одного вируса. Каждый раз, когда вирус заражает новый файл или системную область диска, он полностью изменяется: зашифровывает себя, используя различные ключи и алгоритмы шифрования. Тем не менее, вирус остается тем же самым и его можно идентифицировать.
Представителем этой группы является вирус OneHalf - «Половина». Проникая в компьютер, вирус заражает системные области диска и некоторые программные файлы.
Во время каждого включения компьютера вирус постепенно шифрует информацию на жестком диске. Когда вирус зашифрует половину диска, он выводит на экран надпись: Disk is one half. Press any key to continue...
После этого вирус ждет, когда пользователь нажмет на какую-либо клавишу, и продолжает свою работу. Если вирус OneHalf находится в памяти, он контролирует все обращения к зашифрованным областям диска и по мере надобности их расшифровывает. Поэтому все программное обеспечение компьютера работает нормально.
Если вирус OneHalf просто удалить из компьютера, то станет невозможно правильно прочитать информацию, записанную в зашифрованных областях диска.
Д. Стелс – вирусы. В ходе проверки компьютера антивирусные программы считывают данные - файлы и системные области с жестких дисков и дискет, пользуясь средствами операционной системы и базовой системы ввода/вывода BIOS. Ряд вирусов, после запуска оставляют в оперативной памяти компьютера специальные модули, перехватывающие обращение программ к дисковой подсистеме компьютера. Если такой модуль обнаруживает, что программа пытается прочитать зараженный файлили системную область диска, он на ходу подменяет читаемые данные, как будто вируса на диске нет.
Е. Макрокомандные вирусы. До сих пор речь шла о вирусах, поражающих программные файлы. Распространяются с документами офисных приложений, таких как Microsoft Word или Microsoft Excel. Документы офисных приложений содержат в себе не только текст и графические изображения, но и макрокоманды, которые представляют собой программы, составленные на языке Visual Basic. Вирус может изменять существующие макрокоманды и добавлять новые, внедряя свое тело в файл документа. Механизм распространения макрокомандных вирусов основан на том, что существуют макрокоманды, которые запускаются при открытии документа для редактирования или при выполнении других операций. Когда вы открываете файл при помощи текстового процессора Microsoft Word, макрокоманда будет автоматически запущена на выполнение. При этом вирус получит управление и может заразить другие документы, хранящиеся на ваших дисках
Ж. Черви. Существуют вирусы, которые могут распространяться через электронную почту без использования приложений, так называемые - черви. Для заражения машины не требуется запускать какой-либо приложенный файл, достаточно лишь просмотреть письмо. В его html-коде содержится скрипт, автоматически запускающийся в скрытом окне Internet Explorer и инициирующий загрузку с хакерского сайта документа Word с макровирусом, который пытается отключить антивирусную защиту. После этого червь рассылает письмо-ловушку по всем записям, находящимся в адресной книге на зараженном.
З. Трояны. Например, Для рассылки писем со своих компьютеров используется вредоносное ПО - трояны. В качестве примера приведем схему работы спам-бота. Спам-бот – это троянская программа, осуществляющая рассылку спама с зараженного компьютера. Для распространения спам-ботов применяются почтовые и сетевые черви. После установки спам-бот устанавливает соединение с одним из ему известных серверов, принадлежащих спамеру, и получает информацию об адресах серверов, с которых он должен запрашивать данные для рассылки. Далее он связывается с этими серверами, получает е-mail адреса и шаблоны для писем и производит рассылку.
Программы-вирусы троянцы (трояны), представляющие в настоящее время представляют главную угрозу и занимающие лидирующее положение среди вредоносного ПО.
Название троян (троянский конь) возникло из-за того, что вначале вредоносный код маскировался в некоторой полезной или интересной программе, которую пользователь по доброй воле устанавливал на компьютер.
Троян незаметно для пользователя (под «прикрытием» полезной программы или будучи внедренным в операционную систему) выполняет ряд недокументированных действий. Это может быть:
перехват паролей, вводимых в с клавиатуры компьютера;
поиск в компьютере пользователя конфиденциальных данных (паролей, номеров банковских карт и т.п.) и отсылка их по установленному адресу;
модификация текста программы, реализующей функции безопасности, для последующего беспрепятственного входа в систему;
изменение или уничтожение пользовательских данных;
повреждение системных программ.
Трояны активно используются хакерами для «вскрытия» компьютерных сетей или отдельных компьютеров. Троянцы распространяются и по электронной почте, также их можно загрузить на рабочий компьютер с какого-нибудь сайта, просматривая интересные страницы.
И. Хакерское программное обеспечение. Отдельным видом вредоносного ПО является хакерское программное обеспечение, которое используется как инструмент для взлома и хищения конфиденциальных данных.
Существуют инструменты для сбора данных о потенциальных жертвах и поиска уязвимостей в компьютерных сетях.
Сюда относятся программы для сканирования сети с целью определения IP-адресов компьютеров и «открытых» портов.
Программы «прослушивания» сетевого трафика (sniffer) незаметно перехватывают IP-пакеты в сети и анализируют их на предмет определения адресов отправителей и получателей и может быть выявления секретных данных типа имен и паролей, передаваемых в открытом виде.
Формат почтовых сообщений является открытым и, следовательно, электронное письмо может быть легко прочитано. Есть инструменты, предназначенные для взлома компьютеров и сетей. Сюда относятся программы подбора паролей, фальсификации IP-пакетов путем подмены адреса отправителя/получателя.
Злоумышленники умело используют приемы социальной инженерии в комплексе с вредоносным ПО. Так получатели электронной почты провоцируются на открытие зараженных писем.
В качестве примера можно привести вирус, который распространялся в электронных письмах с темой “I LOVE YOU”. Заражение происходит при открытии письма и не требует никаких дополнительных действий пользователя.
Метод фишингаиспользуется для того, чтобы «выудить» у пользователя сведения для доступа к каким-либо ресурсам.
Например, можно получить письмо, адрес отправителя в котором очень похож на адрес провайдера услуг Интернет, содержащее просьбу администратора подтвердить login и пароль.
Серьезную угрозу фишинг представляет для клиентов интернет-банков. Злоумышленник посылает письмо с подделанным обратным адресом, т.е. внешне письмо выглядит как посланное из банка. В письме сообщается, что требуется сменить пароль и указан адрес сайта, на котором необходимо выполнить это действие. Перейдя по этой ссылке клиент попадает на сайт, внешне не отличающийся от настоящего, и благополучно раскрывает свои персональные данные.