In che modo il malware penetra nel sistema. Software antivirus Anti-malware

La parola "bot" è un'abbreviazione della parola "robot". Un bot è un pezzo di codice che esegue alcune funzionalità per il suo proprietario che ha creato questo codice. Bot (bot) sono un tipo di malware installato su migliaia di computer. Viene chiamato il computer su cui è installato il bot zombie(zombie). Il bot riceve i comandi dal suo master e costringe il computer infetto a eseguirli. Questi comandi possono inviare spam, virus o eseguire attacchi. L'aggressore preferisce eseguire tali azioni utilizzando i bot piuttosto che il proprio computer, poiché ciò gli consente di evitare il rilevamento e l'identificazione.

Viene chiamato l'insieme di computer zombie compromessi da un intruso con bot installati botnet (botnet). Per creare una botnet, gli hacker penetrano in migliaia di sistemi, inviando codice dannoso in molti modi diversi: come allegati ai messaggi e-mail, attraverso siti Web compromessi, inviando collegamenti a siti dannosi, allegati a e-mail, ecc. Se installato con successo sul computer dell'utente, il codice dannoso invia un messaggio all'attaccante che il sistema è stato compromesso ed è ora disponibile per l'attaccante che può utilizzarlo a piacimento. Ad esempio, può utilizzare la botnet creata per ospitarne una potente o affittarla agli spammer. Tuttavia, la maggior parte dei computer inclusi nella botnet sono computer domestici di utenti ignari.

Il proprietario di questa botnet controlla i sistemi che ne fanno parte da remoto, solitamente utilizzando il protocollo IRC (Internet Relay Chat).

I passaggi di base per la creazione e l'utilizzo di botnet sono descritti di seguito:

1. Pirata diversi modi invia codice dannoso alle potenziali vittime, che contiene il software del bot.
2. Dopo aver installato con successo sul sistema della vittima, il bot stabilisce un contatto con il server di controllo della botnet, comunicando con esso tramite IRC o un apposito web server, secondo quanto indicato nel suo codice. Successivamente, il server di gestione assume la gestione del nuovo bot.
3. Lo spammer paga l'hacker per l'utilizzo dei sistemi della sua botnet, l'hacker invia i comandi appropriati al server C&C e il server C&C, a sua volta, ordina a tutti i sistemi infetti nella botnet di inviare spam.

Gli spammer utilizzano questo metodo perché aumenta notevolmente la probabilità che i loro messaggi raggiungano i destinatari, aggirando i loro filtri antispam. tali messaggi non verranno inviati da un indirizzo, che verrà rapidamente bloccato o aggiunto a tutte le black list, ma da molti indirizzi reali dei proprietari di computer compromessi.

Per creare una botnet, il suo futuro proprietario fa tutto da solo o paga gli hacker per sviluppare e distribuire malware per infettare i sistemi che diventeranno parte della sua botnet. E poi il proprietario della botnet sarà contattato e pagato da chi vuole parlarti dei suoi nuovi prodotti, così come da chi ha bisogno di attaccare i concorrenti, rubare dati personali o password degli utenti e molti altri.

Il software antivirus tradizionale utilizza le firme per rilevare il codice dannoso. Le firme sono "impronte digitali" di codice dannoso creato dal fornitore dell'antivirus. software... La firma è uno snippet di codice estratto dal virus stesso. Il programma antivirus esegue la scansione di file, e-mail e altri dati che passano attraverso determinati dati e li confronta con il proprio database delle firme antivirali. Se viene trovata una corrispondenza, il programma antivirus esegue un'azione preconfigurata, che può essere inviare il file infetto in quarantena, provare a "curare" il file (rimuovere il virus), visualizzare una finestra di avviso per l'utente e / o registrare l'evento su.

Rilevamento di codice dannoso basato sulle firme - questo è metodo efficace rilevamento di software dannoso, tuttavia, ci sono alcuni ritardi nella risposta alle nuove minacce. Dopo il primo rilevamento di un virus, il produttore dell'antivirus deve studiare il virus, sviluppare e testare nuove firme, rilasciare un aggiornamento del database delle firme e tutti gli utenti devono scaricare questo aggiornamento. Se il codice dannoso invia semplicemente le tue foto a tutti i tuoi amici, questo ritardo non è così critico. Tuttavia, se il malware assomiglia al worm Slammer, il danno derivante da questo ritardo può essere catastrofico.

NOTA... Il worm Slammer è apparso nel 2003. Ha sfruttato una vulnerabilità nel DBMS Microsoft SQL Server 2000, che consente di condurre e provocare una negazione del servizio. Secondo alcune stime, Slammer ha causato oltre 1 miliardo di dollari di danni.

Con il nuovo malware creato ogni giorno, è difficile per i produttori di software antivirus tenere il passo. La tecnologia delle firme antivirali consente il rilevamento dei virus che sono già stati identificati e per i quali è stata creata una firma. Tuttavia, poiché gli autori di virus sono molto prolifici e molti virus possono modificare il loro codice, è molto importante che il software antivirus disponga di altri meccanismi per rilevare il codice dannoso.

Un altro metodo utilizzato da quasi tutti i prodotti software antivirus è il rilevamento basato su malware. analisi euristica (rilevamento euristico). Questo metodo analizza struttura generale di codice dannoso, valuta le istruzioni e gli algoritmi eseguiti dal codice, esamina i tipi di dati utilizzati dal programma dannoso. Pertanto, raccoglie una grande quantità di informazioni su un pezzo di codice e stima la probabilità che sia dannoso. Utilizza una sorta di "contatore di sospettosità", che aumenta quando il programma antivirus rileva nuove proprietà potenzialmente pericolose (sospette) al suo interno. Al raggiungimento di un predeterminato valore di soglia, il codice è considerato pericoloso e il programma antivirus avvia i meccanismi di protezione appropriati. Ciò consente al software antivirus di riconoscere malware sconosciuto e non solo di fare affidamento sulle firme.

Considera la seguente analogia. Ivan è un poliziotto, lavora per catturare i cattivi e rinchiuderli. Se Ivan utilizza il metodo della firma, confronta pile di fotografie con ogni persona che vede per strada. Quando vede una partita, cattura rapidamente il cattivo e lo mette nella sua macchina di pattuglia. Se intende utilizzare un metodo euristico, controlla le attività sospette. Ad esempio, se vede una persona con un passamontagna in piedi di fronte a una banca, stima la probabilità che si tratti di un ladro e non solo di un ragazzo congelato che chiede il resto dai clienti della banca.

NOTA... Anche le workstation diskless sono vulnerabili ai virus, nonostante la mancanza di un hard disk e di un full sistema operativo... Possono essere infettati da virus che scaricano e vivono nella memoria. Tali sistemi possono essere riavviati da remoto (riavvio remoto) per cancellare la memoria e riportarla al suo stato originale, ad es. il virus vive per un breve periodo in un tale sistema.

Alcuni prodotti antivirus creano un ambiente artificiale chiamato macchina virtuale o sandbox e consentono l'esecuzione di parte del codice sospetto in un ambiente protetto. Questo dà al programma antivirus la capacità di vedere il codice in azione, che fornisce molte più informazioni per decidere se è dannoso o meno.

NOTA... A volte viene chiamata una macchina virtuale o sandbox buffer di emulazione (buffer di emulazione). Questo è lo stesso del segmento di memoria protetta, quindi anche se il codice risulta essere dannoso, il sistema rimarrà comunque al sicuro.

Viene chiamata l'analisi delle informazioni su un pezzo di codice analisi statica se una parte del codice viene eseguita su macchina virtuale, è chiamato analisi dinamica ... Entrambi questi metodi sono considerati metodi di rilevamento euristico.

Vaccinazione.Viene chiamato un altro approccio utilizzato da alcuni programmi antivirus vaccinazione(immunizzazione). I prodotti con questa funzionalità hanno modificato i file e le aree del disco in modo che appaiano come se fossero già infetti. In questo caso, il virus potrebbe decidere che il file (disco) è già infetto e non apporterà ulteriori modifiche andando al file successivo.

Il programma di vaccinazione, di regola, prende di mira un virus specifico, poiché ciascuno di essi controlla il fatto dell'infezione in modo diverso e cerca dati (firme) diversi nel file (su disco). Tuttavia, il numero di virus e altri software dannosi è in costante crescita e il numero di file che devono essere protetti è in aumento, quindi questo approccio attualmente non è pratico nella maggior parte dei casi e i fornitori di antivirus non lo utilizzano più.

Al giorno d'oggi, anche con tutti questi approcci sofisticati ed efficaci, non vi è alcuna garanzia al 100% che gli strumenti antivirus saranno efficaci perché gli autori di virus sono molto astuti. È un gioco del gatto e del topo costante che continua ogni giorno. L'industria antivirus trova nuovo modo rilevamento malware e autori di virus la prossima settimana scopriranno come aggirare questo nuovo modo. Ciò costringe i fornitori di antivirus a migliorare costantemente l'intelligenza dei loro prodotti e gli utenti devono acquistare nuove versioni ogni anno.

Si chiama la fase successiva nell'evoluzione del software antivirus bloccanti comportamentali (blocco del comportamento). Il software antivirus basato sul comportamento consente in modo efficace l'esecuzione di codice sospetto su un sistema operativo non protetto e monitora la sua interazione con il sistema operativo per attività sospette. In particolare, il software antivirus monitora le seguenti attività:

• Scrittura su file caricati automaticamente all'avvio del sistema o in sezioni di esecuzione automatica nel registro di sistema
• Apertura, eliminazione o modifica di file
• Compresi script nelle e-mail per inviare codice eseguibile
• Connettiti a risorse di rete o cartelle condivise
• Modifica della logica del codice eseguibile
• Crea o modifica macro e script
• Formattazione del disco rigido o scrittura nel settore di avvio

Se un programma antivirus rileva alcune di queste azioni potenzialmente dannose, può forzare la chiusura del programma e informare l'utente al riguardo. La nuova generazione di bloccanti comportamentali analizza effettivamente la sequenza di tali azioni prima di decidere che il sistema è infetto (i bloccanti comportamentali di prima generazione sono stati attivati \u200b\u200bsemplicemente su singole azioni, il che ha portato a un gran numero di falsi positivi). I moderni software antivirus possono intercettare l'esecuzione di pezzi di codice pericolosi e impedire loro di interagire con gli altri processi in esecuzione... Possono anche rilevare. Alcuni di questi programmi antivirus consentono di "ripristinare" il sistema allo stato in cui si trovava prima dell'infezione, "cancellando" tutte le modifiche apportate dal codice dannoso.

Sembrerebbe che i blocchi comportamentali possano risolvere completamente tutti i problemi associati al codice dannoso, ma hanno uno svantaggio, che richiede tale monitoraggio del codice dannoso in tempo reale, altrimenti il \u200b\u200bsistema può ancora essere infettato. Inoltre, il monitoraggio costante richiede molte risorse di sistema ...

NOTA... L'analisi euristica e il blocco basato sul comportamento sono considerati proattivi e possono rilevare nuovo malware, a volte chiamato attacchi zero-day. Il rilevamento del malware basato sulla firma non è in grado di rilevare nuovo malware.

La maggior parte dei programmi antivirus utilizza una combinazione di tutte queste tecnologie per fornire la massima protezione possibile. Le soluzioni anti-malware selezionate sono mostrate nella Figura 9-20.

Figura 9-20.I fornitori di software antivirus utilizzano metodi diversi per rilevare il codice dannoso

Siamo tutti molto stanchi delle e-mail che ci chiedono di comprare qualcosa di cui non abbiamo bisogno. Tali lettere sono chiamate spam (spam) sono messaggi di posta elettronica non richiesti. Lo spam non solo distrae i destinatari dalla loro attività, ma consuma anche in modo significativo portata rete e può anche essere una fonte di distribuzione di malware. Molte aziende utilizzano filtri antispam sui propri server di posta e gli utenti possono configurare regole di filtraggio antispam sul proprio client di posta... Ma gli spammer, proprio come gli autori di virus, inventano costantemente modi nuovi e intelligenti per aggirare i filtri antispam.

Riconoscere efficacemente lo spam è diventata una vera scienza. Viene chiamato uno dei metodi utilizzati Filtraggio bayesiano (Filtro bayesiano). Molti anni fa, un gentiluomo di nome Thomas Bayes (matematico) ha sviluppato un modo efficiente per prevedere la probabilità di un evento utilizzando la matematica. Il teorema di Bayes consente di determinare la probabilità che un evento si sia verificato in presenza di sole prove indirette (dati) che potrebbero essere imprecisi. Concettualmente, questo non è così difficile da capire. Se sbatti la testa tre volte contro un muro di mattoni e cadi ogni volta, puoi concludere che ulteriori tentativi porteranno agli stessi risultati dolorosi. È più interessante quando questa logica viene applicata ad azioni che contengono molte più variabili. Ad esempio, come funziona un filtro antispam che non consente alle lettere con un'offerta di acquistare il Viagra, ma non interferisce con la consegna della posta dal tuo amico che è molto interessato a questo farmaco e ti scrive messaggi sulle sue proprietà ed effetti sul corpo? Il filtro bayesiano applica la modellazione statistica alle parole che compongono i messaggi di posta elettronica. Sopra queste parole vengono eseguite formule matematiche, che consentono di comprendere appieno la loro relazione tra loro. Il filtro bayesiano esegue un'analisi della frequenza di ogni parola e quindi valuta il messaggio nel suo complesso per determinare se si tratta di spam o meno.

Un filtro di questo tipo non cerca solo le parole "Viagra", "sesso", ecc., Ma guarda quanto spesso queste parole vengono utilizzate e in quale ordine determinare se il messaggio è spam. Sfortunatamente, gli spammer sanno come funzionano questi filtri e manipolano le parole nella riga dell'oggetto e nel corpo del messaggio per cercare di ingannare il filtro antispam. Questo è il motivo per cui potresti ricevere email di spam con errori di ortografia o parole che utilizzano caratteri invece di lettere. Gli spammer sono molto interessati al fatto che tu riceva i loro messaggi perché ne ricavano molti soldi.

Proteggere le aziende da un'ampia gamma di diversi tipi di malware richiede più di un semplice software antivirus. Come per altri componenti, è necessario implementare e mantenere alcune salvaguardie e controlli amministrativi, fisici e tecnici aggiuntivi.

L'azienda deve avere una politica antivirus separata o domande protezione antivirus dovrebbe essere contabilizzato in totale. Dovrebbero essere sviluppati i tipi di software antivirus e antispyware necessari per l'utilizzo in azienda, nonché i parametri di base della loro configurazione.

Informazioni su attacchi di virus, gli strumenti di protezione antivirus utilizzati, nonché il comportamento previsto dagli utenti dovrebbero essere forniti nel programma. Ogni utente dovrebbe sapere cosa fare e dove andare se viene rilevato un virus sul proprio computer. Lo standard dovrebbe affrontare tutti i problemi relativi alle azioni dell'utente relative a codice dannoso, dovrebbe indicare cosa dovrebbe fare l'utente e cosa gli è vietato fare. In particolare, lo standard dovrebbe contenere le seguenti domande:

• Il software antivirus deve essere installato su ogni workstation, server, comunicatore, smartphone.
• Per ciascuno di questi dispositivi, è necessario implementare un metodo aggiornamento automatico firme antivirus che devono essere abilitate e configurate su ogni dispositivo.
• L'utente non dovrebbe essere in grado di disabilitare il software antivirus.
• Un processo di rimozione del virus dovrebbe essere sviluppato e pianificato in anticipo e una persona di contatto dovrebbe essere identificata e nominata nel caso in cui venga rilevato un codice dannoso.
• Qualunque cosa unità esterne (Unità USB, ecc.) Dovrebbero essere scansionate automaticamente.
• I file di backup dovrebbero essere scansionati.
• Le politiche e le procedure antivirus dovrebbero essere riviste ogni anno.
• Il software antivirus utilizzato deve fornire protezione contro i virus di avvio.
• La scansione antivirus deve essere eseguita indipendentemente sul gateway e su ogni singolo dispositivo.
• La scansione antivirus dovrebbe essere eseguita automaticamente in base a una pianificazione. Non è necessario fare affidamento sugli utenti per avviare manualmente le scansioni.
• I sistemi critici devono essere fisicamente protetti in modo tale installazione locale su di loro il software dannoso era impossibile.

Poiché il software dannoso può causare danni per milioni di dollari (sotto forma di costi operativi, perdita di produttività), molte aziende installano soluzioni antivirus in tutti i punti della rete. Uno scanner antivirus può essere integrato nel software del server di posta o. Un tale scanner antivirus controlla tutto il traffico in entrata per la presenza di codice dannoso al fine di rilevarlo e fermarlo in anticipo, anche prima che entri nella rete interna. I prodotti che implementano questa funzionalità possono eseguire la scansione del traffico SMTP, HTTP, FTP e possibilmente anche di altri protocolli. Ma è importante capire che un prodotto del genere monitora solo uno o due protocolli e non tutto il traffico in entrata. Questo è uno dei motivi per cui su ogni server e stazione di lavoro deve essere installato anche un software antivirus.

Un compito necessario per gli autori di virus e i criminali informatici è quello di iniettare un virus, worm o Trojan nel computer della vittima o cellulare... Questo obiettivo viene raggiunto in vari modi, che rientrano in due categorie principali:

• ingegneria sociale (si usa anche il termine "ingegneria sociale" - tracciando una copia dall'inglese "ingegneria sociale");
• metodi tecnici per introdurre codice dannoso nel sistema infetto all'insaputa dell'utente.

Spesso questi metodi vengono utilizzati contemporaneamente. Allo stesso tempo, vengono spesso utilizzate anche contromisure speciali programmi antivirus.

Ingegneria sociale

I metodi di ingegneria sociale costringono l'utente a eseguire un file infetto o ad aprire un collegamento a un sito Web infetto in un modo o nell'altro. Questi metodi vengono utilizzati non solo da numerosi worm di posta elettronica, ma anche da altri tipi di software dannoso.

Il compito di hacker e autori di virus è quello di attirare l'attenzione dell'utente su un file infetto (o un collegamento HTTP a un file infetto), interessare l'utente e costringerlo a fare clic sul file (o sul collegamento al file). "Un classico del genere" è il sensazionale worm email LoveLetter del maggio 2000, che rimane ancora il leader in termini di danni finanziari, secondo Computer Economics. Il messaggio che il worm stava visualizzando sullo schermo assomigliava a questo:

Molte persone hanno reagito al riconoscimento di "TI AMO" e di conseguenza server di posta le grandi aziende non sopportavano il carico: il worm inviava copie di se stesso a tutti i contatti nella rubrica ogni volta che veniva aperto il file VBS allegato.

Il worm di posta elettronica Mydoom, esploso su Internet nel gennaio 2004, utilizzava testi che imitano i messaggi tecnici del server di posta.

Vale anche la pena menzionare il worm Swen, mascherato da messaggio di Microsoft e mascherato da patch che risolve una serie di nuove vulnerabilità in Windows (non a caso, molti utenti hanno ceduto alla richiesta di installare "un'altra patch di Microsoft").

Ci sono anche incidenti, uno dei quali è avvenuto nel novembre 2005. In una versione del worm Sober, è stato riferito che la polizia criminale tedesca stava indagando su casi di visita a siti web illegali. Questa lettera è arrivata a un amante della pornografia infantile, che l'ha presa per una lettera ufficiale e si è arresa obbedientemente alle autorità.

Recentemente, non sono i file allegati alla lettera ad aver guadagnato particolare popolarità, ma i collegamenti ai file che si trovano sul sito Web infetto. Una potenziale vittima riceve un messaggio - per posta, tramite ICQ o un altro cercapersone, meno spesso - tramite chat IRC su Internet (nel caso di virus mobili, il metodo di consegna usuale è SMS). Il messaggio contiene un testo accattivante che richiede a un utente ignaro di fare clic sul collegamento. Questo metodo la penetrazione nei computer delle vittime è di gran lunga la più popolare ed efficace perché consente di aggirare i filtri antivirus vigili sui server di posta.

Vengono inoltre utilizzate le possibilità delle reti di condivisione di file (reti P2P). Un worm o un cavallo di Troia si diffonde sulla rete P2P con una varietà di nomi gustosi, ad esempio:

• AIM e AOL Password Hacker.exe
• Microsoft CD Key Generator.exe
• PornStar3D.exe
• riprodurre emulatore di stazione crack.exe

Quando cercano nuovi programmi, gli utenti della rete P2P si imbattono in questi nomi, scaricano file e li lanciano per l'esecuzione.

Anche molto popolari sono il "cablaggio" quando la vittima è scivolata utilità gratuita o istruzioni su come hackerare vari sistemi di pagamento... Ad esempio, si offrono di ottenere accesso libero a Internet o operatore cellulare, scarica un generatore di numeri di carte di credito, aumenta la quantità di denaro nel tuo portafoglio Internet personale, ecc. Naturalmente, è improbabile che le vittime di tali frodi contattino le forze dell'ordine (dopotutto, in effetti, esse stesse hanno cercato di fare soldi in modo fraudolento), e i criminali di Internet lo usano con forza.

Un aggressore sconosciuto dalla Russia nel 2005-2006 ha utilizzato un metodo insolito di "cablaggio". Il Trojan è stato inviato agli indirizzi presenti sul sito web job.ru, specializzato in inserimento lavorativo e ricerca di personale. Alcuni di coloro che vi hanno pubblicato il proprio curriculum avrebbero ricevuto un'offerta per lavorare con un file allegato alla lettera, che è stato offerto per aprire e familiarizzare con il suo contenuto. Il file era naturalmente un cavallo di Troia. È anche interessante che l'attacco sia stato effettuato principalmente su società indirizzi postali... Il calcolo, a quanto pare, si è basato sul fatto che è improbabile che i dipendenti dell'azienda segnalino la fonte dell'infezione. E così è successo: per più di sei mesi, gli specialisti di Kaspersky Lab non sono riusciti a ottenere informazioni intelligibili sul metodo di penetrazione del programma Trojan nei computer degli utenti.

Ci sono anche casi abbastanza esotici, ad esempio, una lettera con un documento allegato, in cui a un cliente della banca viene chiesto di confermare (o meglio, di informare) i propri codici di accesso - per stampare il documento, compilare il modulo allegato e poi inviarlo via fax al numero di telefono indicato nella lettera.

Altro caso di consegna insolito spyware "To home" ha avuto luogo in Giappone nell'autunno del 2005. Alcuni criminali informatici hanno inviato CD infettati da spyware Trojan agli indirizzi di casa (città, strada, casa) dei clienti di una banca giapponese. In questo caso, le informazioni sono state utilizzate da una base di clienti precedentemente rubata di questa stessa banca.

Tecnologie di implementazione

Queste tecnologie vengono utilizzate dai criminali informatici per iniettare segretamente codice dannoso nel sistema, senza attirare l'attenzione del proprietario del computer. Ciò avviene attraverso vulnerabilità nel sistema di sicurezza dei sistemi operativi e nel software. La presenza di vulnerabilità consente a un aggressore artigianale worm di rete o un cavallo di Troia per penetrare nel computer della vittima e lanciarsi da solo per l'esecuzione.

Le vulnerabilità sono, infatti, errori nel codice o nella logica di vari programmi. I sistemi operativi e le applicazioni moderne hanno una struttura complessa e funzionalità estese ed è semplicemente impossibile evitare errori nella progettazione e nello sviluppo. Questo è ciò che usano gli autori di virus e i criminali informatici.

I worm di posta elettronica di Nimda e Aliz hanno sfruttato le vulnerabilità nei client di posta elettronica di Outlook. Per avviare il file worm è stato sufficiente aprire il messaggio infetto o semplicemente passarci sopra con il mouse nella finestra di anteprima.

Inoltre, i programmi dannosi sfruttano attivamente le vulnerabilità nei componenti di rete dei sistemi operativi. Per diffondere tali vulnerabilità, sono stati utilizzati i worm CodeRed, Sasser, Slammer, Lovesan (Blaster) e molti altri worm in esecuzione su Windows. Anche i sistemi Linux sono stati colpiti: i worm Ramen e Slapper sono penetrati nei computer attraverso le vulnerabilità in questo ambiente operativo e le relative applicazioni.

NEL l'anno scorso Uno dei metodi di infezione più diffusi è l'iniezione di codice dannoso attraverso le pagine web. Allo stesso tempo, le vulnerabilità nei browser Internet vengono spesso sfruttate. Un file infetto e un programma script vengono inseriti in una pagina Web che sfrutta una vulnerabilità nel browser. Quando un utente accede a una pagina infetta, viene attivato un programma script che, tramite una vulnerabilità, scarica il file infetto sul computer e lo avvia lì per l'esecuzione. Di conseguenza, per infettare un gran numero di computer, è sufficiente attirare il maggior numero possibile di utenti su tale pagina web. Ciò si ottiene in vari modi, ad esempio, inviando spam con l'indicazione dell'indirizzo della pagina, inviando messaggi simili tramite cercapersone Internet, a volte anche motori di ricerca... Nella pagina infetta viene inserita una varietà di testo, che prima o poi viene calcolato dai motori di ricerca e il collegamento a questa pagina viene visualizzato nell'elenco delle altre pagine nei risultati della ricerca.

I trojan, progettati per scaricare ed eseguire altri trojan, si trovano in una classe separata. In genere, questi Trojan, che sono molto piccoli, in un modo o nell'altro (ad esempio, utilizzando un'altra vulnerabilità nel sistema) vengono "inseriti" nel computer della vittima, quindi scaricano autonomamente da Internet e ne installano altri sul sistema. componenti dannosi... Spesso, tali trojan modificano le impostazioni del browser in quelle più pericolose per "renderlo più semplice" per altri trojan.

Le vulnerabilità che vengono conosciute vengono prontamente corrette dalle società di sviluppo, ma appaiono costantemente informazioni sulle nuove vulnerabilità, che vengono immediatamente utilizzate da numerosi hacker e autori di virus. Molti "bot" Trojan utilizzano nuove vulnerabilità per aumentare il loro numero e nuovi errori in Microsoft Office vengono immediatamente utilizzati per iniettare nuovi Trojan nei computer. Allo stesso tempo, purtroppo, c'è la tendenza a ridurre l'intervallo di tempo tra la comparsa di informazioni sulla prossima vulnerabilità e l'inizio del loro utilizzo da parte di worm e trojan. Di conseguenza, le aziende che producono software vulnerabili e sviluppatori di software antivirus si trovano in una situazione di pressione temporale. I primi hanno bisogno di correggere l'errore il più rapidamente possibile, testare il risultato (solitamente chiamato "patch", "patch") e inviarlo agli utenti, e il secondo dovrebbe rilasciare immediatamente uno strumento per rilevare e bloccare oggetti (file, pacchetti di rete) che sfruttano la vulnerabilità.

Uso simultaneo di tecnologie di implementazione e metodi di ingegneria sociale

Molto spesso, i criminali informatici utilizzano entrambi i metodi contemporaneamente. Il metodo dell'ingegneria sociale consiste nell'attirare l'attenzione di una potenziale vittima, mentre quello tecnico nell'aumentare la probabilità che un oggetto infetto entri nel sistema.

Ad esempio, il worm e-mail Mimail è stato distribuito come allegato e-mail. Affinché l'utente prestasse attenzione alla lettera, è stato inserito un testo appositamente progettato e per avviare una copia del worm dall'archivio ZIP allegato alla lettera, una vulnerabilità in browser Internet Esploratore. Di conseguenza, quando si apre un file da un archivio, il worm ha creato una copia di se stesso sul disco e l'ha avviato per l'esecuzione senza avvisi di sistema o azioni dell'utente aggiuntive. A proposito, questo worm è stato uno dei primi progettati per rubare informazioni personali dagli utenti di portafogli Internet e-gold.

Un altro esempio è lo spamming con oggetto "Ciao" e il testo "Guarda cosa scrivono di te". Il testo era seguito da un collegamento a una determinata pagina web. Durante l'analisi è emerso che questa pagina web contiene un programma script che, sfruttando un'altra vulnerabilità in formato Internet Explorer, scarica il Trojan LdPinch sul computer dell'utente, progettato per rubare varie password.

Contrastare i programmi antivirus

Poiché l'obiettivo dei criminali informatici è quello di iniettare codice dannoso nei computer delle vittime, non solo devono forzare l'utente a eseguire un file infetto o ad accedere al sistema attraverso alcune vulnerabilità, ma anche a sgattaiolare oltre il filtro antivirus installato. Pertanto, non sorprende che i criminali informatici stiano deliberatamente prendendo di mira i programmi antivirus. Le tecniche che usano sono molto diverse, ma le più comuni sono le seguenti:

Pacchetto e crittografia del codice. Una parte significativa (se non la maggior parte) del moderno worm di computer e i trojan sono compressi o crittografati in un modo o nell'altro. Inoltre, il computer sotterraneo crea utilità appositamente progettate per il confezionamento e la crittografia. Ad esempio, assolutamente tutti i file trovati su Internet elaborati dalle utilità CryptExe, Exeref, PolyCrypt e alcuni altri si sono rivelati dannosi.

Per rilevare tali worm e trojan, i programmi antivirus devono aggiungere nuovi metodi di decompressione e decrittografia o aggiungere firme a ciascun campione del programma dannoso, il che riduce la qualità del rilevamento, poiché non sempre tutti i possibili campioni di codice modificato finiscono nelle mani di un'azienda antivirus.

Mutazione del codice. Diluizione del codice Trojan con istruzioni spazzatura. Di conseguenza, la funzionalità del programma Trojan viene preservata, ma il suo " aspetto". Di tanto in tanto, ci sono casi in cui la mutazione del codice si verifica in tempo reale, ogni volta che un cavallo di Troia viene scaricato da un sito Web infetto. Quelli. tutti o una parte significativa dei campioni di Trojan che raggiungono i computer da un tale sito sono diversi. Un esempio di questa tecnologia è il worm di posta elettronica Warezov, diverse versioni del quale hanno causato gravi epidemie nella seconda metà del 2006.

Nascondere la tua presenza. Le cosiddette "tecnologie rootkit" sono comunemente utilizzate nei trojan. Viene eseguita l'intercettazione e la sostituzione funzioni di sistema, grazie al quale il file infetto non è visibile né dai mezzi standard del sistema operativo né dai programmi antivirus. A volte i rami del registro in cui è registrata la copia del Trojan e altre aree di sistema del computer sono nascoste. Queste tecnologie vengono utilizzate attivamente, ad esempio, dal trojan backdoor HacDef.

Arresto dell'antivirus e del sistema per la ricezione degli aggiornamenti ai database antivirus (aggiornamenti). Molti Trojan e worm di rete intraprendono azioni speciali contro i programmi antivirus: li cercano nell'elenco delle applicazioni attive e tentano di interrompere il loro lavoro, corrompono i database antivirus, bloccano gli aggiornamenti, ecc. I programmi antivirus devono proteggersi in modo adeguato: monitorare l'integrità dei database, nascondere i loro processi ai trojan, ecc.

Nascondere il codice sui siti web. Gli indirizzi delle pagine web contenenti file Trojan prima o poi vengono conosciuti dalle aziende antivirus. Naturalmente, tali pagine sono sottoposte allo stretto controllo degli analisti antivirus: il contenuto della pagina viene scaricato periodicamente, le nuove versioni dei trojan vengono aggiunte agli aggiornamenti antivirus. Per contrastare ciò, la pagina Web viene modificata in modo speciale: se la richiesta proviene dall'indirizzo di una società antivirus, viene scaricato un file non Trojan al posto del Trojan.

Numero di attacco. Generazione e distribuzione su Internet di un gran numero di nuove versioni di Trojan in un breve periodo di tempo. Di conseguenza, le aziende antivirus sono inondate di nuovi campioni, che richiedono tempo per essere analizzati, il che offre al codice dannoso un'ulteriore possibilità di penetrare con successo nei computer.

Questi e altri metodi vengono utilizzati dal sottosuolo del computer per contrastare i programmi antivirus. Allo stesso tempo, l'attività dei criminali informatici cresce di anno in anno, e ora possiamo parlare di una vera e propria "corsa tecnologica" che si è svolta tra l'industria antivirus e l'industria virale. Allo stesso tempo, cresce il numero di singoli hacker e gruppi criminali, così come la loro professionalità. Tutto ciò insieme aumenta in modo significativo la complessità e la quantità di lavoro richiesta dalle aziende antivirus per sviluppare strumenti di protezione adeguati.

Poiché l'obiettivo dei criminali informatici è quello di iniettare codice dannoso nei computer delle vittime, non solo devono forzare l'utente a eseguire un file infetto o ad accedere al sistema attraverso alcune vulnerabilità, ma anche a sgattaiolare oltre il filtro antivirus installato. Pertanto, i criminali informatici stanno combattendo intenzionalmente i programmi antivirus. Le tecniche che usano sono molto diverse, ma le più comuni sono le seguenti.

Pacchetto e crittografia del codice. La maggior parte (se non la maggior parte) dei worm e dei trojan moderni sono impacchettati o crittografati in un modo o nell'altro. Inoltre, le utilità di pacchettizzazione e crittografia sono create appositamente per questo. Per rilevare tali worm e trojan, i programmi antivirus devono aggiungere nuovi metodi di decompressione e decrittografia o firme per ogni campione del malware, il che riduce la qualità del rilevamento, poiché non sempre tutti i possibili campioni di codice modificato finiscono nelle mani di un'azienda antivirus.

Mutazione del codice - diluizione del codice Trojan con istruzioni "garbage". Di conseguenza, la funzionalità del cavallo di Troia viene preservata, ma il suo "aspetto" viene notevolmente modificato. Di tanto in tanto, ci sono casi in cui la mutazione del codice si verifica in tempo reale, ogni volta che un cavallo di Troia viene scaricato da un sito Web infetto. Cioè, tutti o una parte significativa degli esempi di programmi Trojan che raggiungono i computer da un tale sito sono diversi.

Nascondere la tua presenza - così chiamato tecnologia rootkit, comunemente usato nei trojan. In questo caso, viene eseguita l'intercettazione e la sostituzione delle funzioni di sistema, a seguito della quale il file infetto non è visibile né tramite il sistema operativo standard né tramite programmi antivirus. A volte sono nascosti anche i rami del registro, in cui è registrata una copia del programma Trojan, e altre aree di sistema del computer.

Arresto del programma antivirus e del sistema per la ricezione degli aggiornamenti ai database antivirus. Molti Trojan e worm di rete intraprendono azioni speciali contro i programmi antivirus: li cercano nell'elenco delle applicazioni attive e tentano di interrompere il loro lavoro, "rovinano" i database antivirus, bloccano gli aggiornamenti, ecc. I programmi antivirus devono proteggersi in modi appropriati: monitorare l'integrità dei database, "nascondere" i loro processi ai trojan, ecc.

Nascondere il codice sui siti web. Gli indirizzi delle pagine web contenenti file Trojan prima o poi vengono conosciuti dalle società antivirus. Naturalmente, tali pagine sono sottoposte allo stretto controllo degli analisti antivirus: il contenuto della pagina viene scaricato periodicamente, le nuove versioni dei trojan vengono aggiunte agli aggiornamenti antivirus. Per contrastare ciò, la pagina web viene modificata in modo speciale: se la richiesta proviene dall'indirizzo dell'azienda antivirus, al posto del Trojan viene scaricato un file non Trojan.

Numero di attacco - generazione e distribuzione su Internet di un gran numero di nuove versioni di trojan in un breve periodo di tempo. Di conseguenza, le aziende antivirus sono inondate di nuovi campioni, che richiedono tempo per essere analizzati, il che offre al codice dannoso un'ulteriore possibilità di penetrare con successo nei computer.

Questi e altri metodi vengono utilizzati dagli hacker per contrastare i programmi antivirus. Allo stesso tempo, la loro attività cresce di anno in anno e ora possiamo parlare di una vera e propria "corsa tecnologica" che si è svolta tra le industrie antivirus e dei virus. Allo stesso tempo, cresce non solo il numero dei singoli hacker e dei gruppi criminali, ma anche la professionalità di questi ultimi. Tutto ciò aumenta notevolmente la complessità e la quantità di lavoro richiesta dalle società antivirus per sviluppare strumenti di protezione adeguati.

E prevenzione - prevenzione dell'infezione (modifica) di file o sistema operativo ohm dannoso.

Metodi di protezione dai virus[ | ]

Per la protezione dai virus vengono utilizzati tre gruppi di metodi:

1. Metodi basati su analisi del contenuto dei file (sia file di dati che file di comando). Questo gruppo include la scansione per le firme dei virus, nonché i controlli di integrità e la scansione per i comandi sospetti.
2. Metodi basati su monitoraggio del comportamento del programma quando li si esegue. Questi metodi consistono nel registrare tutti gli eventi che minacciano la sicurezza del sistema e si verificano durante l'effettiva esecuzione dell'oggetto testato o durante la sua emulazione software.
3. Metodi regolamento dell'ordine di lavoro con file e programmi. Questi metodi sono classificati come misure di sicurezza amministrative.

Metodo di scansione della firma (analisi della firma , metodo di firma) si basa sulla ricerca di file per una sequenza univoca di byte - firmespecifico per un particolare virus. Per ogni virus appena rilevato, gli specialisti del laboratorio antivirus eseguono un'analisi, sulla base della quale viene determinata la sua firma. Il nuovo frammento risultante viene inserito in uno speciale database delle firme antivirali, con il quale funziona il programma antivirus. Dignità questo metodo è una percentuale relativamente bassa di falsi positivi e lo svantaggio principale è la fondamentale impossibilità di rilevare un nuovo virus nel sistema, per il quale non è presente la firma nel database del programma antivirus, quindi è necessario un aggiornamento tempestivo del database delle firme.

Metodo di controllo dell'integrità si basa sul fatto che qualsiasi modifica inaspettata e irragionevole dei dati sul disco è un evento sospetto che richiede un'attenzione particolare del sistema antivirus. Il virus lascia necessariamente la prova della sua presenza (modifiche nei dati di file esistenti (soprattutto di sistema o eseguibili), comparsa di nuovi file eseguibili, ecc.). Il fatto del cambiamento dei dati - violazione dell'integrità - facilmente installabile per confronto checksum (digest) calcolato in anticipo per stato iniziale dell'articolo testato e il checksum (digest) dello stato corrente dell'articolo testato. Se non corrispondono, l'integrità viene violata e ci sono tutte le ragioni per eseguire a controllo aggiuntivo, ad esempio, eseguendo la scansione delle firme dei virus. Il metodo sopra è più veloce del metodo di scansione della firma perché il conteggio checksum richiede meno calcoli rispetto all'operazione di confronto byte di nuovi frammenti, inoltre, consente di rilevare le tracce dell'attività di eventuali virus, anche sconosciuti, per i quali non sono ancora presenti firme nel database.

Metodo di scansione per comandi sospetti (scansione euristica , un metodo euristico) si basa sull'identificazione di un certo numero di comandi sospetti e (o) segni di sequenze di ricerca sospette (ad esempio, il comando formattazione difficile disco o funzione di incorporamento in un processo in esecuzione o eseguibile). Successivamente, viene fatta un'ipotesi sulla natura dannosa del file e vengono intraprese ulteriori azioni per controllarlo. Questo metodo ha buone prestazioni, ma molto spesso non è in grado di rilevare nuovi virus.

Metodo per monitorare il comportamento del programma fondamentalmente diverso dai metodi di scansione del contenuto dei file menzionati in precedenza. Questo metodo si basa sull'analisi del comportamento programmi in esecuzione, paragonabile alla cattura di un criminale "per mano" sulla scena del crimine. Strumenti antivirus di questo tipo spesso richiedono la partecipazione attiva dell'utente al fine di prendere decisioni in risposta a numerosi avvisi di sistema, una parte significativa dei quali può successivamente rivelarsi falsi allarmi. La frequenza dei falsi allarmi (sospetto di un virus per un file innocuo o mancante di un file dannoso) quando viene superata una certa soglia rende questo metodo inefficace e l'utente potrebbe smettere di rispondere agli avvisi o scegliere una strategia ottimistica (consentire a tutti i programmi in esecuzione di eseguire tutte le azioni o questa funzione strumento antivirus). Quando si utilizzano sistemi antivirus che analizzano il comportamento dei programmi, c'è sempre il rischio di eseguire comandi di virus che potrebbero danneggiare il computer o la rete protetti. Per eliminare questo difetto, è stato successivamente sviluppato metodo di emulazione (imitazione), che consente al programma in prova di funzionare in un ambiente (virtuale) creato artificialmente, che viene spesso chiamato sandbox (sandbox), senza il rischio di danneggiare l'ambiente dell'informazione. L'uso di metodi di analisi del comportamento del software ha dimostrato la loro elevata efficienza nel rilevare programmi dannosi noti e sconosciuti.

Pseudo-antivirus [ | ]

Nel 2009 è iniziata la diffusione attiva di falsi anti-virus [ ] - software che non è antivirus (cioè non ha funzionalità reali per contrastare malware), ma in posa come tale. In effetti, gli pseudo-antivirus possono essere sia programmi per ingannare gli utenti che realizzare profitti sotto forma di pagamenti per "curare il sistema dai virus", o normali software dannosi.

Antivirus speciali[ | ]

Nel novembre 2014, un'organizzazione internazionale per i diritti umani Amnesty International ha rilasciato un programma antivirus Rileva progettato per rilevare malware distribuito da agenzie governative per spiare attivisti civici e oppositori politici. L'antivirus, secondo i creatori, esegue una scansione più approfondita disco rigidorispetto agli antivirus convenzionali.

L'efficacia dell'antivirus[ | ]

La società di analisi Imperva, nell'ambito della Hacker Intelligence Initiative, ha pubblicato un interessante studio che mostra la scarsa efficacia della maggior parte degli antivirus in condizioni reali.

Sulla base dei risultati di vari test sintetici, gli antivirus mostrano un'efficienza media di circa il 97%, ma questi test vengono effettuati su database di centinaia di migliaia di campioni, la stragrande maggioranza dei quali (forse circa il 97%) non viene più utilizzata per effettuare attacchi.

La domanda è quanto siano efficaci gli antivirus contro le minacce più pressanti. Per rispondere a questa domanda, gli studenti della Imperva e dell'Università di Tel Aviv hanno ottenuto 82 campioni dell'ultimo malware sui forum clandestini russi e li hanno testati sul database VirusTotal, cioè contro 42 motori antivirus. Il risultato è stato disastroso.

1. L'efficacia degli antivirus contro il malware appena compilato è stata inferiore al 5%. Questo è un risultato abbastanza logico, poiché i creatori di virus si assicurano di testarli con il database VirusTotal.
2. Sono necessarie fino a quattro settimane dalla comparsa di un virus all'inizio del suo riconoscimento da parte degli antivirus. Questa cifra viene raggiunta dagli antivirus "elite", mentre altri antivirus possono avere una durata massima di 9-12 mesi. Ad esempio, all'inizio dello studio il 9 febbraio 2012, è stato testato un nuovo campione di un falso programma di installazione Google Chrome... Dopo la fine dello studio il 17 novembre 2012, solo 23 antivirus su 42 lo hanno rilevato.
3. Gli antivirus con il più alto tasso di rilevamento di malware hanno anche un alto tasso di falsi positivi.
4. Sebbene lo studio difficilmente possa essere definito obiettivo, poiché il campione di malware era troppo piccolo, si può presumere che gli antivirus siano completamente inappropriati contro le recenti minacce informatiche.

Classificazioni antivirus[ | ]

I programmi antivirus sono suddivisi per esecuzione (mezzi di blocco) in:

• software;
• software e hardware.

Basato sul posizionamento in memoria ad accesso casuale allocare:

• residenti (iniziano il loro lavoro all'avvio del sistema operativo, sono costantemente nella memoria del computer e scansionano automaticamente i file);
• non residente (eseguito su richiesta dell'utente o secondo la pianificazione per lui stabilita).

Per tipo (metodo) di protezione contro i virus si distinguono:

In conformità con l'atto giuridico normativo della FSTEC della Russia "Requisiti nel campo della regolamentazione tecnica per i prodotti utilizzati per proteggere le informazioni che costituiscono segreti di stato o classificate come protette in conformità con la legislazione Federazione Russa altre informazioni di accesso limitato (requisiti per gli strumenti di protezione anti-virus) "(approvato con ordinanza della FSTEC della Russia del 20 marzo 2012 n. 28), si distinguono i seguenti tipi di strumenti di protezione anti-virus:

• tipo "A" - strumenti di protezione antivirus (componenti di strumenti di protezione antivirus) destinati all'amministrazione centralizzata di strumenti di protezione antivirus installati sulle componenti dei sistemi informativi (server, workstation);
• tipo "B" - mezzi di protezione antivirus (componenti dei mezzi di protezione antivirus) destinati all'uso sui server del sistema di informazione;
• tipo "B" - mezzi di protezione antivirus (componenti dei mezzi di protezione antivirus) destinati all'uso su postazioni di lavoro automatizzate dei sistemi di informazione;
• tipo "G" - mezzi di protezione antivirus (componenti dei mezzi di protezione antivirus) destinati all'uso in postazioni di lavoro autonome.

Gli strumenti di protezione antivirus di tipo "A" non vengono utilizzati in sistemi di informazione indipendentemente e sono destinati all'uso solo in combinazione con strumenti di protezione antivirus di tipo "B" e (o) "C".