Metodi di penetrazione di programmi dannosi nel sistema. Antivirus per contrastare programmi dannosi

La parola "bot" è una riduzione dalla parola "robot". Il bot è un frammento di codice che esegue una certa funzionalità per il suo host, che è l'autore di questo codice. Bots. (Bot) sono una sorta di programmi dannosi, sono installati su migliaia di computer. Il computer su cui è installato il bot, chiamato zombie(Zombie). Il BOT riceve squadre dal loro Master e fa eseguire il computer infetto. Tali squadre possono essere distribuiti spam, virus o attacchi di tenuta. L'attaccante preferisce eseguire tali azioni usando i robot, non il suo computer, in quanto lo consente di evitare il rilevamento e l'identificazione.

La totalità dei computer zombie compromessa dall'attaccante su cui sono installati i bot, chiamati botset (BotNet). Per creare Botseti, gli hacker crack migliaia di sistemi, invio di codice dannoso in molti metodi diversi: sotto forma di investimenti nei messaggi e-mail, attraverso siti Web compromessi, utilizzando mailing link a siti dannosi incorporati nei messaggi di posta elettronica, ecc. Nel caso di un'installazione di successo sul computer di un utente, un codice dannoso invia un attaccante un messaggio che il sistema è stato violato ed è ora disponibile per un attaccante che può usarlo ai propri desideri. Ad esempio, può utilizzare la bottiglia creata per tenere uno spammer potente o affitto. Allo stesso tempo, la maggior parte dei computer inclusi in Botset sono home computer non hanno utenti sospetti.

Il proprietario di questo Botsi gestisce i sistemi in esso da remoto, come regola, attraverso il protocollo IRC (Internet Relè Chat).

I passaggi principali della creazione e dell'utilizzo di Botset sono mostrati di seguito:

1. Pirata diversi modi Dirige il codice dannoso alle potenziali vittime, che contiene il software della bottiglia in sé.
2. Dopo un'installazione di successo sul sistema Sacrifice, il BOT imposta il contatto con il server di controllo Botseti, vincolando ad esso tramite l'IRC o un server Web speciale, in conformità con ciò che è indicato nel suo codice. Successivamente, il server Gestione assume la gestione di un nuovo bot.
3. Lo spammer paga l'hacker per l'utilizzo dei sistemi Botseti, l'hacker trasferisce i comandi corrispondenti al server Gestione e il server di controllo, a sua volta, dà il comando a tutti i sistemi infetti che sono inclusi in Botset, inviare spam.

Gli spammer utilizzano questo metodo perché aumenta significativamente la probabilità dei loro messaggi destinatari, aggirando i filtri dello spam stabiliti da loro, perché Tali messaggi saranno inviati da un indirizzo, che saranno rapidamente bloccati o aggiunti a tutti gli "elenchi neri" e da molti veri indirizzi dei proprietari di computer hackerati.

Per creare BotSI, il suo futuro proprietario o tutto si rende, o paga agli hacker lo sviluppo e la diffusione di programmi dannosi per sistemi di infezione che diventano parte del suo Botsi. E poi al proprietario della tagliety e paghi quelli che vogliono raccontarvi dei loro nuovi prodotti, così come quelli che hanno bisogno di avere un attacco ai concorrenti, per mangiare i dati personali o le password degli utenti e molti altri.

Il software tradizionale antivirus utilizza firme per rilevare un codice dannoso. Le firme sono "impronte digitali" di un codice dannoso creato dal produttore di antivirus software. La firma è frammenti del codice estratto dal virus stesso. Il programma Anti-Virus esegue la scansione di file, messaggi di posta elettronica e altri dati che passano a certi, e li confrontano con il proprio database di firme virali. Durante la rilevazione di coincidenze, il programma antivirus esegue un'azione preconfigurata che può essere inviata a un file contaminato a una quarantena, un tentativo di "curare" il file (rimuovere il virus), visualizzare una finestra con un avviso per un utente e / o una voce di evento in.

Rilevamento del codice dannoso in base alle firme - questo è metodo efficace Rilevazione del software dannoso, tuttavia, ci sono alcuni ritardi in termini di risposta a nuove minacce. Dopo il primo rilevamento dei virus, il produttore antivirus dovrebbe esaminare questo virus, sviluppare e testare nuove firme, rilasciare l'aggiornamento del database della firma e tutti gli utenti devono scaricare questo aggiornamento. Se il codice dannoso invia semplicemente le tue foto a tutti i tuoi amici, un tale ritardo non è così critico. Tuttavia, se il programma dannoso è simile al verme di Slammer, il danno da tale ritardo può essere catastrofico.

NOTA. Il verme di Slammer è apparso nel 2003. Ha usato una vulnerabilità con DBMS Microsoft SQL. Server 2000, consentendo di condurre e causare il rifiuto di mantenere. Secondo alcune stime, Slammer è danneggiato a oltre $ 1 miliardo.

Dal momento che i nuovi programmi maliziosi sono creati ogni giorno, i produttori di software anti-virus sono difficili da non rimanere indietro. La tecnologia di utilizzo delle firme virali consente di rilevare virus che sono già stati identificati e per i quali è stata creata la firma. Ma a causa del fatto che gli scrittori virus sono molto prolifici, e molti virus possono cambiare il loro codice, è molto importante che il software anti-virus abbia altri meccanismi per rilevare un codice dannoso.

Un altro metodo che viene utilizzato quasi tutti i software antivirus è il rilevamento del codice dannoso in base a analisi euristica Rilevamento euristico. Questo metodo analizza struttura generale Codice dannoso, valuta le istruzioni e gli algoritmi eseguiti dal codice, studia i tipi di dati utilizzati da un programma dannoso. Pertanto, raccoglie una grande quantità di informazioni sul frammento del codice e stima la probabilità che abbia un carattere dannoso. Utilizza un certo "metro di sospetto", che aumenta del programma antivirus trova nuove proprietà potenzialmente pericolose (sospette) in esso. Al raggiungimento di un predeterminato sogliaIl codice è considerato pericoloso e il programma antivirus avvia i corrispondenti meccanismi protettivi. Ciò consente al software anti-virus di riconoscere il malware sconosciuto, e non solo fare affidamento sulla firma.

Considera la seguente analogia. Ivan è un poliziotto, lavora per catturare ragazzi cattivi e bloccarli. Se Ivan userà il metodo delle firme, confronta le pile di foto con ogni persona che vede sulla strada. Quando vede una coincidenza, prende rapidamente un cattivo ragazzo e lo mette nella sua auto di pattuglia. Se userà il metodo euristico, monitora le azioni sospette. Ad esempio, se vede una persona in una maschera da sci di fronte all'ingresso della banca, stima la probabilità che questo sia un ladro, e non solo un ragazzo congelato che ha un po 'dai visitatori della Banca.

NOTA. Le workstation della famiglia sono anche vulnerabili ai virus, nonostante la loro mancanza di disco rigido e full-flippy sistema operativo. Possono essere infetti da virus caricati e vivono in memoria. Tali sistemi possono essere riavviati da remoto (riavvio remoto) per pulire la memoria e restituirlo allo stato originale, I.e. Il virus vive brevemente in un tale sistema.

Alcuni prodotti antivirus creano un mezzo artificiale chiamato macchina virtuale o sandbox e consentono una parte del codice sospetto da eseguire in un ambiente protetto. Ciò fornisce un programma antivirus l'opportunità di vedere il codice in azioni, che fornisce molte maggiori informazioni per prendere una decisione se è dannoso o meno.

NOTA. La macchina virtuale o la sandbox a volte viene chiamata emulazione del buffer (Buffer di emulazione). Questo è lo stesso del segmento di memoria protetto, quindi anche se il codice risulta davvero dannoso, il sistema rimarrà ancora sicuro.

L'analisi delle informazioni sulla parte del codice è chiamata analisi statica Se viene avviato parte della parte del codice macchina virtuale, è chiamato analisi dinamica . Entrambi questi metodi sono considerati metodi di rilevamento euristici.

Vaccinazione.Un altro approccio che ha utilizzato alcuni programmi antivirus è chiamato vaccinazione(Immunizzazione). I prodotti con questa funzionalità hanno apportato modifiche ai file e alle aree del disco in modo da sembrare come se fossero già infetti. In questo caso, il virus può decidere che il file (disco) sia già infetto e non apporterà ulteriori modifiche passando al file successivo.

Il programma di vaccinazione è solitamente finalizzato a un virus specifico, poiché ciascuno di essi controlla il fatto di infezione in modi diversi e cerchi per dati diversi (firme) nel file). Tuttavia, il numero di virus e altri software dannosi sono in costante crescita, il numero di file che devono essere protetti è in crescita, quindi questo approccio non è attualmente applicabile in pratica nella maggior parte dei casi, e i produttori di antivirus non sono più utilizzati.

Attualmente, anche tenendo conto di tutti questi approcci complessi ed efficienti, non c'è nessuno per la garanzia dell'efficacia dei fondi anti-virus, poiché i virus sono molto astuti. Questo è un gioco in piedi in un gatto-mouse che continua ogni giorno. L'industria antivirus trova nuovo modo Il rilevamento dannoso e gli scrittori virus trovano la settimana successiva come aggirare questo nuovo modo. Forza i produttori di antivirus a aumentare costantemente l'intellettualizzazione dei loro prodotti e gli utenti devono acquistare le loro nuove versioni annualmente.

La prossima fase dell'evoluzione del software antivirus è chiamata blocchi comportamentali Blocco del comportamento. Il software antivirus che esegue il blocco basato sul comportamento consente effettivamente un codice sospetto da eseguire in un sistema operativo non protetto e monitora la sua interazione con il sistema operativo, prestando attenzione alle azioni sospette. In particolare, il software antivirus monitora i seguenti tipi di azione:

• Registrazione per scaricare automaticamente quando si esegue un file di sistema o in partizioni AUTORUN nel registro di sistema
• Apertura, eliminazione o modifica dei file
• Abilitazione degli script ai messaggi di posta elettronica per l'invio del codice eseguibile
• Connessione a risorse di rete o cartelle condivise
• Modifica della logica del codice eseguibile
• Creazione o modifica di macro e script
• Formattazione del disco rigido o scrivi al settore di avvio

Se il programma antivirus identifica alcune di queste azioni potenzialmente pericolose, potrebbe forzare tale programma e segnalarlo all'utente. La nuova generazione di bloccanti comportamentali in realtà analizza la sequenza di eseguire tali azioni prima di decidere che il sistema è infettato (i bloccanti comportamentali di prima generazione sono stati attivati \u200b\u200bper separare le azioni, che hanno portato a un numero elevato falsi positivi). Il moderno software anti-virus può intercettare l'esecuzione di parti pericolose del codice e non consente loro di interagire con gli altri. processi in esecuzione. Possono anche rilevare. Alcuni di questi programmi antivirus consentono di eseguire un "rollback" del sistema allo stato in cui era prima dell'infezione, "lavaggio" tutte le modifiche apportate da codice dannoso.

Sembrerebbe che i blocchi comportamentali possano risolvere completamente tutti i problemi associati al codice dannoso, ma hanno uno svantaggio che richiede tale monitoraggio dei cadici dannosi in tempo reale, altrimenti il \u200b\u200bsistema può ancora essere infetto. Inoltre, il monitoraggio costante richiede un gran numero di risorse di sistema ...

NOTA. L'analisi euristica e il blocco in base al comportamento sono considerati metodi proattivi, possono rilevare nuovi programmi dannosi, a volte chiamati attacchi zero-day. Il rilevamento di codice dannoso in base alle firme non può identificare nuovi programmi dannosi.

La maggior parte dei programmi antivirus utilizza una combinazione di tutte queste tecnologie per garantire il massimo della massima protezione il più possibile. Le soluzioni separate per contrastare il software dannoso sono mostrate in Figura 9-20.

Figura 9-20.Moldars di software antivirus Utilizzare vari metodi di rilevamento malware

Siamo tutti molto stanchi dei messaggi di posta elettronica che ci offrono di acquistare qualcosa di inutile. Tali lettere sono chiamate spam (SPAM) è e-mail indesiderate. Lo spam non solo distrae i suoi destinatari dai loro affari, ma consuma significativo portata Reti e possono anche essere una fonte di diffusione del malware. Molte aziende utilizzano filtri spam sui loro server di posta e gli utenti possono configurare le regole di filtraggio dello spam nel loro clienti posali. Ma gli spammer, così come gli scrittori di virus, inventano costantemente nuovi modi ingegnosi per azionare i filtri spam.

Il riconoscimento di spam efficace è diventato una vera scienza. Uno dei metodi utilizzati è chiamato Filtrazione bayesiana. (Filtraggio bayesiano). Molti anni fa, il signor di nome Thomas Bayes (matematico) ha sviluppato un modo efficace per prevedere la probabilità di eventi con matematica. The Bayes Theorem ti consente di determinare la probabilità che un evento si sia verificato se ci sono solo conferme indirette (dati) che potrebbero essere imprecise. Concettualmente non è così difficile da capire. Se colpisci la tua testa tre volte sul muro di mattoni e ogni volta è caduto, puoi concludere che ulteriori tentativi porteranno agli stessi risultati dolorosi. È più interessante quando questa logica si applica alle azioni contenenti molte più variabili. Ad esempio, come funziona il filtro antispam, che non manca le lettere con una proposta per acquistare il Viagra, ma non interferisce con la consegna della posta dal tuo amico, che è molto interessato a questo farmaco e scriviato qualsiasi relazione sul suo Proprietà ed esposizione al corpo? Il filtro Bayes applica la simulazione statistica alle parole da cui i messaggi di posta elettronica sono composti. Su queste parole, vengono eseguite formule matematiche, permettendoti di comprendere appieno il loro atteggiamento verso l'altro. Il filtro Bayes esegue l'analisi della frequenza di ciascuna parola, e quindi valuta il messaggio come numero intero per determinare, spam o meno.

Un tale filtro non è solo alla ricerca delle parole "Viagra", "Sesso", ecc., Guarda quanto spesso queste parole vengono utilizzate, e in quale ordine installare se il messaggio è spam. Sfortunatamente, gli spammer sanno come funzionano tali filtri e manipolano le parole nella fila del tema e il corpo del messaggio per cercare di ingannare il filtro antispam. Questo è il motivo per cui è possibile ricevere messaggi di spam con errori o parole che utilizzano simboli anziché lettere. Gli spammer sono molto interessati al fatto che ottieni i loro messaggi perché guadagnano un sacco di soldi.

La protezione delle aziende da una grande lista di vari programmi dannosi richiede più del semplice software antivirus. Come con altri componenti, è tenuto a implementare e mantenere alcune ulteriori misure e fondi protettivi amministrativi, fisici e tecnici.

L'azienda deve avere politiche o domande antivirus separate protezione anti-virus Deve essere preso in considerazione in generale. Deve essere sviluppato che determina i tipi di software anti-virus e anti-spyware necessari per l'uso nella Società, nonché i parametri di base della loro configurazione.

O. Informazioni attacchi viraliGli strumenti usati per la protezione anti-virus, nonché previsti dagli utenti del comportamento dovrebbero essere forniti nel programma. Ogni utente dovrebbe sapere cosa dovrebbe fare e dove applicare se il virus verrà rilevato sul suo computer. Nello standard, dovrebbero essere considerate tutte le domande relative alle azioni dell'utente associate a un codice dannoso che l'utente deve essere fatto e cosa fare è proibito. In particolare, lo standard deve contenere le seguenti domande:

• Ogni workstation, server, comunicatore, smartphone deve essere installato un software anti-virus.
• Per ciascuno di questi dispositivi il metodo deve essere implementato aggiornamento automatico Le firme antivirus che devono essere abilitate e configurate su ciascun dispositivo.
• L'utente non dovrebbe avere la possibilità di disabilitare il software antivirus.
• Deve essere progettato e pianificato, il processo di rimozione dei virus, una persona di contatto deve essere determinata e nominata, in caso di rilevamento del codice dannoso.
• Qualunque cosa dischi esterni (Le unità USB, ecc.) Devono essere scansionate automaticamente.
• I file di backup devono essere scansionati.
• La revisione annuale delle politiche e delle procedure antivirus dovrebbe essere tenuta.
• Il software antivirus usato dovrebbe fornire protezione dai virus dell'avvio.
• La scansione anti-virus deve essere eseguita in modo indipendente sul gateway e su ciascun dispositivo individuale.
• La scansione anti-virus deve essere eseguita automaticamente in programma. Non è necessario calcolare che gli utenti eseguiranno manualmente la scansione.
• I sistemi critici dovrebbero essere fisicamente protetti in modo tale da installazione locale Il software dannoso è stato impossibile su di loro.

Poiché il malware può causare danni a più milioni (sotto forma di spese operative, perdita di perdita), molte aziende stabiliscono soluzioni antivirali in tutti i punti di ingresso. Lo scanner antivirus può essere integrato nel software del server di posta o. Tale scanner anti-virus controlla tutto il traffico in entrata per la presenza di codice dannoso in esso per rilevare e fermarlo in anticipo prima che cada nella rete interna. I prodotti L'implementazione di tale funzionalità può eseguire la scansione del traffico SMTP, HTTP, FTP, nonché altri protocolli. Ma è importante capire che tale prodotto monitora solo uno o due protocolli e non per tutti i traffico in arrivo. Questo è uno dei motivi per cui su ciascun server e workstation. Software Anti-Virus deve anche essere installato.

Necessario per gli scrittori di virus e il compito dei criminali cyber è quello di introdurre un programma virus, worm o trojan in un computer sacrificio o cellulare. Questo obiettivo è ottenuto in vari modi diviso in due categorie principali:

• ingegneria sociale (ha anche usato il termine "ingegneria sociale" - tracciando con l'inglese "ingegneria sociale");
• tecniche tecniche per l'introduzione del codice dannoso in un sistema infetto senza la conoscenza di un utente.

Spesso questi metodi sono usati contemporaneamente. Viene anche usato spesso misure speciali per contrastare programmi antivirus..

Ingegneria sociale

I metodi di ingegneria sociale in un modo o nell'altro rendono l'utente eseguire il file infetto o aprire il collegamento al sito Web infetto. Questi metodi sono applicati non solo da numerosi vermi postali, ma anche da altri tipi di software dannoso.

Il compito di hacker e virus scrittori - per attirare l'attenzione dell'utente sul file infetto (o il collegamento http al file infetto), interessa l'utente, renderlo fare clic sul file (o sul collegamento del file). Il "classico del genere" è il dopoguerra Lovelenteter nel maggio 2000, ancora mantenendo la leadership sulla scala dei danni finanziari causati, secondo i dati di economia informatica. Il messaggio che il worm è stato visualizzato sullo schermo, sembrava questo:

Sul riconoscimento "Ti amo" ha reagito molti, e di conseguenza server di posta Le grandi aziende non potevano resistere al carico - il worm ha inviato le loro copie su tutti i contatti dalla rubrica ogni volta che il file VBS investito è l'apertura.

La mail worm del myrdoom, "precipitando" su Internet nel gennaio 2004, ha utilizzato i testi che simulano i messaggi tecnici del server di posta.

Vale anche la pena menzionare il worm Swen, che si è rilasciato per il messaggio da Microsoft e mascherato sotto una patch che elimina una serie di nuove vulnerabilità in Windows (non sorprende che molti utenti hanno ceduto per impostare il "Vartimento successivo da Microsoft") .

Ci sono anche casi, uno dei quali si è verificato nel novembre 2005. In una delle versioni del worm sobrio, è stato riferito che la polizia criminale tedesca indaga sui casi di visitare siti Web illegali. Questa lettera è caduta in un fan della pornografia infantile, che lo ha preso per la lettera ufficiale - e si arrendeva obbedientemente alle autorità.

Di recente, la popolarità non è stata effettuata nella lettera investita nella lettera, ma collega a file situati nel sito infetto. Il messaggio viene inviato alla potenziale vittima - Postale, tramite ICQ o un altro cercapersone, meno spesso - tramite le chat Internet IRC (nel caso dei virus mobili, un messaggio SMS viene utilizzato nel solito metodo di consegna). Il messaggio contiene un testo attraente che rende l'utente ignaro fai clic sul collegamento. Questo metodo Le penetrazioni dei computer del sacrificio oggi è la più popolare ed efficace, poiché consente di bypassare i filtri anti-virus vigili sui server di posta elettronica.

Vengono anche utilizzate le possibilità di reti di condivisione file (rete P2P). Il verme o il programma Trojan è disposto nella rete P2P sotto una varietà di nomi "deliziosi", ad esempio:

• AIM & AOL Password Hacker.exe
• Generator.exe CD Microsoft CD
• Pornstar3d.exe.
• emulatore della stazione di gioco crack.exe

Nella ricerca di nuovi programmi, gli utenti di reti P2P sono inciampati in questi nomi, scarica i file e eseguirli da eseguire.

Anche il "cablaggio" abbastanza popolare quando la vittima si adatta utilità gratuita o istruzioni per hackerare vari sistemi di pagamento. Ad esempio, offerto di ottenere accesso libero a Internet o operatore cellulare, Scarica il generatore di numeri di carta di credito, aumenta la quantità di denaro in un portafoglio Internet personale, ecc. Naturalmente, è improbabile che vittime di tali frodi andassero alle agenzie di forze dell'ordine (dopo tutto, infatti, loro stessi cercarono di guadagnare un modo fraudolento), e gli internet-criminali sono usati da questo.

L'insolito modo di "cablaggio" ha utilizzato un attaccante sconosciuto dalla Russia nel 2005-2006. Il programma Trojan è stato inviato agli indirizzi trovati sul sito Web di Job.ru specializzato in occupazione e cerca il personale. Alcuni di quelli che hanno pubblicato i loro curriculum, hanno ricevuto una presunta proposta di lavorare con un file investito in una lettera, che è stato proposto di aprirsi e familiarizzare con i suoi contenuti. Il file era, ovviamente, il programma Trojan. È anche interessante che l'attacco sia stato prodotto principalmente a corporate indirizzi postali. Il calcolo, apparentemente, è stato costruito sul fatto che è improbabile che i dipendenti delle imprese riportano la fonte di infezione. Così è successo - gli specialisti di Kaspersky Lab per più di sei mesi non potevano ottenere informazioni intelligibili sul metodo di penetrare il programma Trojan nei computer degli utenti.

Esistono anche casi abbastanza esotici, ad esempio una lettera con un documento investito, in cui viene richiesto il client della Banca di confermare (o piuttosto - da segnalare) i loro codici di accesso - Stampa il documento, compilare il modulo allegato e quindi inviarlo via fax al numero di telefono specificato nella lettera.

Un altro caso di consegna insolito programma di spyware "Alla casa" si è verificato in Giappone nell'autunno del 2005. Alcuni attaccanti hanno inviato il CD infetti con Trojan Spy agli indirizzi domestici (città, strada, casa) dei clienti di una delle banche giapponesi. Allo stesso tempo, le informazioni sono state utilizzate da una base cliente pre-rubata di questa banca stessa.

Implementazione tecnologica.

Queste tecnologie sono utilizzate dagli intrusi per implementare il codice dannoso nel sistema è segreto, non attirare l'attenzione del proprietario del computer. Viene effettuato attraverso le vulnerabilità nel sistema di sicurezza dei sistemi operativi e nel software. La presenza di vulnerabilità consente il rendimento dell'attaccante worm di rete O il programma Trojan per entrare nel sacrificio del computer e lanciarsi indipendentemente.

Le vulnerabilità sono essenzialmente errori nel codice o nella logica del lavoro di vari programmi. I moderni sistemi operativi e applicazioni hanno una struttura complessa e un'ampia funzionalità, ed è semplicemente impossibile evitare errori nel loro design e sviluppo. Questo è usato da virus e intrusi di computer.

Le vulnerabilità nei clienti postali di Outlook hanno utilizzato i vermi postali Nimda e Aliz. Per avviare il file worm, è stato sufficiente aprire una lettera infetta o semplicemente per portare il cursore su di esso nella finestra di anteprima.

Inoltre, i programmi dannosi hanno utilizzato attivamente le vulnerabilità nei componenti di rete dei sistemi operativi. Per la sua distribuzione, i vermi di codificati, sasser, slammer, lovesan (Blaster) e molti altri vermi che corrono sotto Windows hanno utilizzato tali vulnerabilità. Sotto il colpo e i sistemi Linux - Worms Ramen e Slapper hanno penetrato computer attraverso le vulnerabilità in questo ambiente operativo e applicazioni per questo.

NEL l'anno scorso Uno dei metodi di infezione più popolari è stata l'introduzione del codice dannoso attraverso pagine Web. Vengono spesso utilizzate vulnerabilità nei browser Internet. La pagina Web viene inserita in un programma di file di anticipo e script che utilizza la vulnerabilità nel browser. Quando l'utente arriva alla pagina infetta, viene attivato il programma Script, quale vulnerabilità scarica il file infetto al computer e lo avvia lì per l'esecuzione. Di conseguenza, infettare un gran numero di computer, è sufficiente attirare il più possibile degli utenti a una tale pagina web. Ciò è ottenuto in vari modi, ad esempio, spam invio con un'indicazione dell'indirizzo della pagina, invio di messaggi simili attraverso pageri di Internet attraverso i pageri di Internet, a volte anche per questo. motori di ricerca. Nella pagina infetta c'è un testo vario, che prima o in ritardo è selezionato dai motori di ricerca - e il collegamento a questa pagina è nell'elenco di altre pagine nei risultati della ricerca.

Una classe separata è i programmi Trojan progettati per scaricare e avviare altri programmi Trojan. Tipicamente, questi trojan che hanno dimensioni molto ridotte, in un modo o nell'altro (ad esempio, utilizzando la prossima vulnerabilità nel sistema) "adatta" sul computer sacrificio, e poi stendono già da Internet e installano altri al sistema componenti dannosi. Spesso tali trojan cambiano le impostazioni del browser al più non sicuro per "facilitare la strada" ad altri trojan.

Le quali le vulnerabilità dei quali sono note sono prontamente corrette dagli sviluppatori, ma le informazioni sulle nuove vulnerabilità vengono costantemente appaiono, che stanno immediatamente iniziando a essere utilizzate da numerosi hacker e virus. Molti "bots" di Trojan utilizzano nuove vulnerabilità per aumentare i loro numeri e nuovi errori in Microsoft Office iniziano immediatamente ad essere utilizzati per introdurre programmi di Trojan regolari ai computer. Allo stesso tempo, sfortunatamente, vi è la tendenza a ridurre il divario temporaneo tra l'aspetto delle informazioni sulla prossima vulnerabilità e l'inizio del suo uso dei vermi e dei trojan. Di conseguenza, i produttori di software vulnerabili e sviluppatori di programmi antivirus sono nella situazione della Zeietica. Il primo deve essere fissato il più rapidamente possibile, testare il risultato (solitamente chiamato "patch", "patch") e invialo agli utenti e il secondo è quello di rilasciare immediatamente lo strumento di rilevamento e bloccare gli oggetti (file, pacchetti di rete) utilizzando la vulnerabilità.

Uso simultaneo delle tecnologie per l'implementazione e i metodi di ingegneria sociale

Abbastanza spesso, gli intrusi di computer vengono utilizzati contemporaneamente entrambi i metodi. Il metodo di ingegneria sociale è quello di attirare l'attenzione di una potenziale vittima e tecnico - per aumentare la probabilità della penetrazione dell'oggetto infetto nel sistema.

Ad esempio, il worm postale di Mimail è diffuso come incorporamento in un'e-mail. Affinché l'utente prestasse attenzione alla lettera, viene inserito un testo appositamente decorato e per avviare una copia del worm dall'archivio zip attaccato alla lettera - vulnerabilità in browser Internet Esploratore. Di conseguenza, quando si apre un file dall'archivio, il worm ha creato una copia sul disco e ha avviato l'esecuzione senza avvisi di sistema o ulteriori azioni dell'utente. A proposito, questo verme è stato uno dei primi, destinato al furto delle informazioni personali degli utenti dei portafogli Internet E-Gold.

Un altro esempio è la mailing spam con il "Ciao" e il testo "Guarda cosa scrivono di te." Il testo ha seguito il collegamento a una determinata pagina Web. Durante l'analisi è risultato che questa pagina Web contiene un programma di script che, utilizzando un'altra vulnerabilità in Internet Explorer., Carica il programma Trojan Ldpinch all'utente, destinato al furto di varie password.

Contrastare i programmi antivirus

Poiché l'obiettivo degli intrusi di computer è quello di introdurre il codice dannoso nei computer vittime, quindi per questo non è necessario forzare l'utente ad avviare un file contaminato o immettere il sistema attraverso qualsiasi vulnerabilità, ma anche impercettibilmente slittamento del filtro antivirus installato. Pertanto, non sorprende che gli aggressori siano intenzionalmente lottando con i programmi antivirus. Le tecniche tecniche utilizzate sono molto diverse, ma la maggior parte spesso viene trovato quanto segue:

Codice di imballaggio e crittografia. Parte significativa (se non più) moderna worms Computer. E i programmi di Trojan sono confezionati o crittografati in un modo o nell'altro. Inoltre, il sottocensione al computer viene creato specificamente per questa confezione progettata e utilità di crittografia. Ad esempio, malizioso si è rivelato assolutamente tutti i file trattati con Cryptxe, Exeref, Polycrypt Utilities e alcuni altri.

Per rilevare tali vermi e trojan, i programmi antivirus devono aggiungere nuovi metodi di disimballaggio e decrittografia o aggiungere firme per ciascun campione di un programma dannoso, che riduce la qualità del rilevamento, poiché tutti i possibili campioni di codice modificati sono nelle mani della compagnia anti-virus.

Mutazione del codice. Diluizione del codice Trojan "Trash" istruzioni. Di conseguenza, rimane le funzioni del programma Trojan, ma cambia significativamente " aspetto" I casi si verificano periodicamente quando la mutazione del codice si verifica in tempo reale - con ogni download del programma Trojan dal sito Web infetto. Quelli. Tutte o una parte significativa dei campioni del Trojan che cade da un sito del genere sono diversi. Un esempio dell'applicazione di questa tecnologia è il verme di posta di Warezov, diverse versioni di cui hanno causato importanti epidemie nella seconda metà del 2006.

Nascondendo la tua presenza. Le cosiddette "technologie di rootkit" (dallo "rootkit inglese), comunemente usato nei programmi di Trojan. Intercettazione e sostituzione funzioni di sistemaGrazie al quale un file infetto non è visibile ai mezzi regolari del sistema operativo né ai programmi antivirus. A volte i rami di registro sono anche nascosti in cui sono registrati una copia del Trojan e altre aree di sistema del computer. Queste tecnologie sono utilizzate attivamente, ad esempio, TROJAN-Backdoor HACDEF.

Fermare il lavoro di antivirus e il sistema per ottenere aggiornamenti di basi antivirus (aggiornamenti). Molti programmi di Trojan e vermi di rete prendono azioni speciali contro i programmi antivirus, cercando loro nell'elenco delle applicazioni attive e cercano di fermare il loro lavoro, rovinare i database antivirus, bloccare la ricezione degli aggiornamenti, ecc. I programmi antivirus devono proteggersi con modi adeguati - monitorare l'integrità dei database, nascondere i loro processi dai Trojan, ecc.

Nascondere il tuo codice sui siti Web. Gli indirizzi delle pagine Web su cui sono presenti i file di Troiani, prima o poi, le aziende antivirus diventano note. Naturalmente, tali pagine rientrano in stretta attenzione degli analisti anti-virus - i contenuti della pagina vengono registrati periodicamente, nuove versioni dei programmi Trojan sono registrati negli aggiornamenti anti-virus. Per contrastare ciò, la pagina Web viene modificata in modo speciale - se la richiesta passa dall'indirizzo della società anti-virus, un file nucleano viene scaricato al posto di Trojan.

Quantità di attacco. Generazione e distribuzione su Internet Grande numero di nuove versioni dei programmi di Trojan in un breve periodo di tempo. Di conseguenza, le aziende anti-virus sono "risuscite" con nuovi campioni, che richiedono il tempo di analizzare il tempo, che fornisce un codice attaccabile un'ulteriore possibilità di successo in informatica.

Questi e altri metodi sono utilizzati da computer sotterraneo per contrastare i programmi antivirus. Allo stesso tempo, l'attività dei cybercriminali è cresciuta anno dopo anno, e ora possiamo parlare della presente "Race Technologies", che ha trasformato tra l'industria antivirus e l'industria virale. Allo stesso tempo, il numero di singoli hacker e gruppi criminali, così come la loro professionalità, sta crescendo. Tutto questo insieme aumenta notevolmente la complessità e la quantità di lavoro necessaria per le società antivirus per sviluppare livelli sufficienti.

Poiché l'obiettivo degli intrusi di computer è quello di implementare un codice dannoso nei computer vittime, quindi per questo non è necessario forzare l'utente per avviare un file infetto o immettere il sistema attraverso qualsiasi vulnerabilità, ma anche lisciare l'anti-virus installato filtro. Pertanto, gli attaccanti sono combattuti intenzionalmente con programmi antivirus. Le tecniche tecniche che usi sono molto diverse, ma la maggior parte spesso viene trovato quanto segue.

Codice di imballaggio e crittografia. Una parte significativa (se non più la maggior parte) dei moderni worm informatici e dei programmi di Trojan sono confezionati o crittografati in un modo o nell'altro. Inoltre, a questo scopo, le utenze di imballaggio e di crittografia sono create specificamente. Per rilevare programmi di programmazione simili e programmi di trojan, i programmi antivirus devono aggiungere nuovi metodi di disimballaggio e decodifica o firme per ogni campione VP, che riduce la qualità del rilevamento, poiché non sempre tutti i possibili campioni di codice modificati sono nelle mani di la compagnia anti-virus.

Mutazione del codice - Diluizione delle istruzioni del codice Trojan "Trash". Di conseguenza, la funzionalità del programma Trojan è mantenuta, ma il suo "aspetto" è in modo significativo. I casi si verificano periodicamente quando la mutazione del codice si verifica in tempo reale - con ogni download del programma Trojan con un sito Web infetto. Cioè, tutte o una parte significativa dei campioni del programma Trojan sono diversi da un sito del genere sui computer.

Nascondendo la sua presenza - Così chiamato tecnologie Rootkit, comunemente usato nei programmi di Trojan. In questo caso, l'intercettazione e la sostituzione delle funzioni di sistema sono intercettate, come risultato della quale il file infetto non è visibile, né con mezzi regolari del sistema operativo né programmi antivirus. A volte anche i rami di registro si nascondono, in cui sono registrate una copia del programma Trojan e altre aree di sistema del computer.

Fermare il lavoro del programma antivirus e il sistema per ottenere aggiornamenti dei database antivirus. Molti programmi di trojan e vermi di rete prendono azioni speciali contro i programmi antivirus: cercarli nell'elenco delle applicazioni attive e cercare di fermare il loro lavoro, "Spin" Database antivirus, blocchi Aggiornamenti riceventi, ecc. I programmi anti-virus devono proteggersi con i modi pertinenti: monitorare l'integrità dei database, "Nascondi" dai TROJans i loro processi, ecc.

Nascondere il tuo codice sui siti Web. Gli indirizzi delle pagine Web su cui sono presenti i file di Troiani, prima o poi, le aziende antivirus diventano note. Naturalmente, tali pagine rientrano in stretta attenzione degli analisti anti-virus: il contenuto della pagina dei download periodicamente, le nuove versioni dei programmi Trojan sono inserite negli aggiornamenti anti-virus. Per contrastare ciò, la pagina Web viene modificata in modo speciale: se la richiesta deriva dall'indirizzo della società anti-virus, il file nucleano viene scaricato al posto di Trojan.

Quantità di attacco - Generazione e distribuzione su Internet Un gran numero di nuove versioni dei programmi di Trojan in un breve periodo di tempo. Di conseguenza, le aziende anti-virus sono "risorte" con nuovi campioni, l'analisi dei quali richiede il tempo, che offre un codice dannoso un'ulteriore possibilità di riuscita implementazione nei computer.

Questi e altri metodi sono utilizzati dagli hacker per contrastare i programmi anti-virus. Allo stesso tempo, la loro attività sta crescendo anno a partire da anno in anno, e ora possiamo parlare della presente "razza tecnologica", che ha trasformato tra antivirus e industrie virali. Allo stesso tempo, non solo il numero di individui e gruppi criminali, ma anche la professionalità di quest'ultimo sta crescendo. Tutto ciò aumenta significativamente la complessità e la portata del lavoro richiesto dalle società antivirus per sviluppare livelli sufficienti.

E profilassi - prevenire l'infezione (modifica) dei file o sistema operativo Ohm dannoso.

Metodi di protezione dei virus[ | ]

Per proteggere dai virus, utilizzare tre gruppi di metodi:

1. Metodi basati su analisi del contenuto del file (Sia i file di dati che i file con i comandi AMI). Questo gruppo include la scansione delle firme della virus, nonché il test integrità e la scansione di squadre sospette.
2. Metodi basati su tracciamento del programma di comportamento Con la loro esecuzione. Questi metodi consistono nella registrazione di tutti gli eventi che minacciano la sicurezza del sistema e si verificano con l'esecuzione reale della verifica verificabile o durante la sua emulazione software.
3. Metodi regolazione dell'ordine del lavoro con file e programmi. Questi metodi si riferiscono alle misure amministrative per garantire la sicurezza.

Metodo di scansione della firma. (analisi di allarme , il metodo della firma) si basa sulla ricerca nei file della sequenza univoca dei bytes - firmacaratteristica di un certo virus. Per ogni virus recentemente scoperto, il laboratorio anti-virus è stato eseguito da analisti A, sulla base della quale è determinata la sua firma. Il frammento risultante è inserito in un database speciale di firme virali con cui funziona il programma antivirus. Dignità questo metodo È una quota relativamente bassa di falsi positivi, e il principale svantaggio è l'incapacità fondamentale di rilevare il nuovo virus nel sistema, per il quale non vi è alcuna firma nel database del programma Anti-Virus, quindi, un'eccezione tempestiva del database della firma è obbligatorio.

Metodo di monitoraggio Integrità Si basa sul fatto che qualsiasi cambiamento imprevisto e senza precedenti nel disco sul disco è un evento sospetto che richiede particolare attenzione al sistema antivirus. Il virus lascia necessariamente la prova del suo soggiorno (cambiando questi file esistenti (particolarmente sistemici o eseguibili), l'aspetto dei nuovi file eseguibili, ecc.). Il fatto del cambiamento dei dati - disabilità - facilmente installato dal confronto control Sum. (digest), calcolato in anticipo per stato di fonte Test a, e il checksum (digest) dello stato corrente del test a. Se non coincidono, allora l'integrità è rotta e ci sono tutti i motivi da eseguire per questo controllo aggiuntivoAd esempio, scannendo le firme virali. Il metodo specificato funziona più velocemente del metodo di scansione della firma, dal conteggio somme di controllo Richiede meno calcoli rispetto alle operazioni di confronto da overwood dei frammenti di giuramento, inoltre, consente di rilevare le tracce di qualsiasi attività, inclusi sconosciuti, virus per i quali non ci sono firme nel database.

Metodo di scansione sospetto (scansione euristica , il metodo euristico) si basa sull'identificazione di squadre sospette nel file scansionato e (o) segni di sequenze sospette (ad esempio, una squadra formattazione del duro disco o funzione di implementazione nel processo da eseguire o eseguibili). Successivamente, si presume che l'entità dannosa del file e gli ulteriori passaggi siano presi per controllarlo. Questo metodo ha una buona velocità, ma abbastanza spesso non è in grado di identificare nuovi virus.

Metodo di tracciamento per il comportamento del programma È fondamentalmente diverso dai metodi per la scansione dei contenuti dei file menzionati in precedenza. Questo metodo è basato sull'analisi del comportamento. programmi in esecuzioneComparabile con la cattura del criminale "a mano" alla scena del crimine. Strumenti antivirus questo tipo Spesso richiedono la partecipazione attiva dell'utente, progettata per prendere decisioni in risposta a numerosi avvertimenti di sistema, una parte significativa dei quali possono essere successivamente falsi allarmi. La frequenza dei falsi positivi (sospetto del virus per un file innocuo o un pass di file dannoso) Quando una determinata soglia supera, questo metodo è inefficiente e l'utente può smettere di rispondere agli avvisi o selezionare una strategia ottimista (consentire tutte le azioni a tutti Iniziare i programmi o disabilitare questa caratteristica antivirus). Quando si utilizzano sistemi anti-virus che analizzano il comportamento dei programmi, c'è sempre il rischio di eseguire comandi virali in grado di danneggiare un computer o una rete protetti. Eliminare tale svantaggio in seguito è stato sviluppato metodo di emulazione (imitazione) che consente di eseguire un programma di prova in un ambiente artificialmente creato (virtuale) che viene spesso chiamato sandbox (sandbox), senza pericolo di danni all'ambiente di informazione. L'uso dei metodi per l'analisi del comportamento dei programmi ha mostrato la loro elevata efficienza quando sia i programmi dannosi noti e sconosciuti.

Lhaanivirus [ | ]

Nel 2009 è iniziata la distribuzione attiva dei lisistiviri [ ] - software non antivirus (cioè, non avendo una reale funzionalità per contrastare programmi dannosi), ma eccezionale per questo. Infatti, i lisistitivirus possono essere entrambi programmi per l'inganno degli utenti e l'utile sotto forma di pagamenti per "trattamento di un sistema di virus" e ordinari software dannosi.

Speciale antivirus.[ | ]

Nel novembre 2014, l'Organizzazione internazionale dei diritti umani Amnesty International Rilasciato un programma antivirus Rilevare. destinato a identificare il software dannoso distribuito da agenzie governative per la sorveglianza in attivisti civili e avversari politici. Antivirus, secondo l'applicazione dei creatori, esegue una scansione più profonda disco rigidopiuttosto che antivirus ordinari.

Efficienza di antivirus.[ | ]

Una società analitica Imperva nel quadro del progetto Intelligence Initiative ha pubblicato uno studio interessante che mostra la piccola efficienza della maggior parte degli antivirus in condizioni reali.

Secondo i risultati di vari test sintetici, gli antivirus mostrano un'efficienza media nell'area del 97%, ma questi test sono effettuati su database da centinaia di migliaia di campioni, la maggioranza assoluta di cui (forse circa il 97%) sono Non è più utilizzato per eseguire attacchi.

La domanda è il modo in cui gli antivirus efficaci sono contro le minacce più rilevanti. Per rispondere a questa domanda, Imperva e Studenti dell'Università di Tel Aviv sono entrati nei forum sotterranei russi 82 \u200b\u200bcampione del software molto fresco del software - e controllato da VirustoTal, cioè contro 42 motori antivirus. Il risultato è stato deplorevole.

1. L'efficacia degli antivirus nei confronti dei malware appena compilata era inferiore al 5%. Questo è un risultato completamente logico, dal momento che i creatori di virus sono necessariamente testati da VirustoTal.
2. Dall'apparizione del virus Prima dell'inizio del suo riconoscimento, gli antivirus richiedono fino a quattro settimane. Tale indicatore è ottenuto da antivirus "Elite" e gli antivirus rimanenti il \u200b\u200btempo può raggiungere fino a 9-12 mesi. Ad esempio, all'inizio dello studio il 9 febbraio 2012, è stato controllato un campione fresco del falso dell'installatore. Google Chrome.. Dopo la fine dello studio, il 17 novembre 2012 è stato determinato solo 23 di 42 antivirus.
3. Anche l'antivirus con la percentuale più alta della definizione di malware è anche un'alta percentuale di falsi positivi.
4. Sebbene lo studio sia difficile chiamare l'obiettivo, perché il campione di malware fosse troppo piccolo, ma si può presumere che gli antivirus siano completamente inadatti contro le fresche minacce informatiche.

Classificazione del software antivirus[ | ]

I programmi antivirus sono suddivisi in esecuzione (strumenti di blocco) su:

• software;
• software e hardware.

Sul segno del posizionamento in memoria ad accesso casuale Assegnarsi:

• residenti (avviare il loro lavoro quando si esegue il sistema operativo, costantemente nella memoria del computer e controlla automaticamente i file);
• non residente (avviato sulla richiesta dell'utente o in conformità con il programma specificato per loro).

Per tipo (metodo) protezione contro i virus distinguere:

Conformemente alla legge giuridica normativa della FSTEC della Russia "Requisiti di regolamentazione tecnica per i prodotti utilizzati per proteggere le informazioni che costituiscono un segreto di stato o attribuibili in conformità con la legislazione Federazione Russa Altre informazioni di accesso limitato (requisiti per la protezione anti-virus) (approvati dall'ordine di FSTEC della Russia del 20 marzo 2012 n. 28) allocare i seguenti tipi di strumenti di protezione anti-virus:

• digitare "A" - Strumenti di protezione anti-virus (componenti dei mezzi di protezione anti-virus) destinati agli strumenti di amministrazione centralizzati per la protezione anti-virus installata sui componenti del sistema di informazione (server, luoghi di lavoro automatizzati);
• digitare "B" - Mezzi di protezione anti-virus (componenti degli strumenti di protezione anti-virus) destinati all'uso su server di sistemi informativi;
• digitare "B" - Mezzi di protezione anti-virus (componenti della protezione anti-virus), destinati all'uso su luoghi di lavoro automatizzati dei sistemi informativi;
• digitare "G" - Mezzi di protezione anti-virus (componenti dei mezzi di protezione anti-virus) destinati all'uso su luoghi di lavoro automatizzati autonomi.

La protezione anti-virus del tipo "A" non si applica a sistemi di informazione Solo e sono destinati all'uso solo con i mezzi di protezione anti-virus dei tipi "B" e (o) "B".