Макро-віруси.
Найбільшого поширення набули макро-віруси для інтегрованого офісного додатка Microsoft Office (Word, Excel, PowerPoint і Access). Макро-віруси фактично є макрокомандами (макросами) на вбудованій мові програмування Visual Basic for Applications (VBA), які поміщаються в документ.
При роботі з документом користувач виконує різні дії: відкриває документ, зберігає, друкує, закриває і т. Д. При цьому додаток шукає і виконує відповідні стандартні макроси. Макро-віруси містять стандартні макроси, викликаються замість них і заражають кожен відкривається або зберігається документ. Шкідливі дії макро-вірусів реалізуються за допомогою вбудованих макросів (вставки текстів, заборони виконання команд меню програми і т. Д.).
Макро-віруси є обмежено резидентними,
У серпні 1995 року почалася епідемія першого макро-вірусу «Concept» для текстового процесора Microsoft Word. Макро-вірус «Concept» до сих пір має широке поширення, і на сьогоднішній момент відомо близько 100 його модифікацій.
Профілактична захист від макро-вірусів полягає в запобіганні запуску вірусу. При відкритті документа в додатках Microsoft Office повідомляється про присутність в них макросів (потенційних вірусів) і пропонується заборонити їх завантаження. Вибір заборони на завантаження макросів надійно захистить ваш комп'ютер від зараження макро-вірусами, однак відключить і корисні макроси, що містяться в документі.
Особливою різновидом вірусів є активні елементи (програми) на мовах JavaScript або VBScript, які можуть міститися в файлах Web-сторінок. Зараження локального комп'ютера відбувається при їх передачі по Всесвітній павутині з серверів Інтернету в браузер локального комп'ютера.
У листопаді 1998 року з'явився перший скрипт-вірус VBScript.Rabbit, що заражає скрипти Web-сторінок, а через півтора року, в травні 2000 року грянула світова епідемія скрипт-вірусу «LoveLetter». Зараз цей тип вірусів міцно утримує перше місце в списку найбільш поширених і небезпечних вірусів.
Профілактична захист від скрипт-вірусів полягає в тому, що в браузері можна заборонити отримання активних елементів на локальний комп'ютер.
ЗНАТИ
Комп'ютерні вірусиє шкідливими програмами, які можуть «розмножуватися» і таємно впроваджувати свої копії в виконані файли, завантажувальні сектори дисків і документи. Активізація комп'ютерного вірусу може викликати знищення програм і даних.
Різноманітні наслідки дії вірусів. За величиною шкідливих впливів віруси можна розділити на:
- безпечні, вплив яких обмежується зменшенням вільної пам'яті на диску, графічними, звуковими і іншими зовнішніми ефектами;
- небезпечні, які можуть привести до збоїв і «зависань» при роботі комп'ютера;
- дуже небезпечні, активізація яких може привести до втрати програм і даних (зміни або видалення файлів і каталогів), форматування вінчестера і т. д.
В даний час відомо кілька десятків тисяч вірусів, що заражають комп'ютери різних операційних систем. За способом збереження і виконання свого коду віруси можна розділити на завантажувальні, файлові, макро-вірусиі скрипт-віруси.
завантажувальні віруси заражають завантажувальний сектор гнучкого або жорсткого диска. Принцип дії завантажувальних вірусів заснований на алгоритмах запуску операційної системи при включенні або перезавантаженні комп'ютера.
файлові віруси різними способами впроваджуються в виконані файли і зазвичай активізуються при їх запуску. Після запуску зараженого файлу вірус знаходиться в оперативній пам'яті комп'ютера і є активним аж до моменту виключення комп'ютера або перезавантаження операційної системи.
Макро-віруси є обмежено резидентними,т. е. вони знаходяться в оперативній пам'яті і заражають документи, поки відкрито. Крім того, макро-віруси заражають шаблони документів і тому активізуються вже при запуску зараженого додатки.
Контрольні питання
1. Які типи комп'ютерних вірусів існують, чим вони відрізняються один від одного і яка повинна бути профілактика зараження?
2. Чому навіть чиста відформатована дискета може стати джерелом зараження вірусом?
3. З використанням Вірусної енциклопедії ознайомитися з класифікацією вірусів і методами антивірусного захисту.
Лавиноподібне поширення вірусів стало великою проблемою для більшості компаній і державних установ. В даний час відомо більше 45 000 комп'ютерних вірусів, і кожен місяць з'являється більше 300 нових різновидів.
Комп'ютерний вірус - це спеціально написана програма, яка може "приписувати" себе до інших програм, тобто "Заражати їх", з метою виконання різних небажаних дій на комп'ютері і в мережі. Коли заражена вірусом програма починає свою роботу, то спочатку, як правило, управління отримує вірус. Вірус може діяти самостійно, виконуючи певні шкідливі дії (змінює файли або таблицю розміщення файлів на диску, засмічує оперативну пам'ять, змінює адресацію звернень до зовнішніх пристроїв і т.д.), або заражати інші програми. Заражені програми можуть бути перенесені на інший комп'ютер за допомогою дискет або локальної мережі.
Форми організації вірусних атак вельми різноманітні, але в цілому виділяють такі їх категорії:
■ віддалене проникнення в комп'ютер - програми, які отримують неавторизований доступ до іншого комп'ютера через Інтернет (або локальну мережу);
■ локальне проникнення в комп'ютер - програми, які отримують неавторизований доступ до комп'ютера, на якому вони згодом будуть робити
■ віддалене блокування комп'ютера - програми, які через Інтернет (або мережа) блокують роботу всього віддаленого комп'ютера або окремої програми на ньому;
■ локальне блокування комп'ютера - програми, які блокують роботу комп'ютера, на якому вони працюють;
■ мережеві сканери - програми, які здійснюють збір інформації про мережу, щоб визначити, які з комп'ютерів і програм, що працюють на них, потенційно уразливі до атак;
■ сканери вразливих місць програм - програми, які перевіряють великі групи комп'ютерів в Інтернет у пошуках комп'ютерів, уразливих до того або іншого конкретного виду атаки;
■ "вскривателі" паролів - програми, які виявляють легко вгадуються паролі в зашифрованих файлах паролів;
■ мережеві аналізатори (sniffers) - програми, які слухають мережевий трафік. Часто в них є можливості автоматичного виділення імен користувачів, паролів і номерів кредитних карт з трафіку;
■ модифікація переданих даних або підміна інформації;
■ підміна довіреного об'єкта розподіленої обчислювальної мережі (робота від його імені) або її помилковий об'єкт;
■ "соціальна інженерія" - несанкціонованого доступу до інформації інакше, ніж злом програмного забезпечення. Мета - ввести в оману співробітників (мережевих або системних адміністраторів, користувачів, менеджерів) для отримання паролів до системи або іншої інформації, яка допоможе порушити безпеку системи.
До шкідливого програмного забезпечення відносяться мережеві черв'яки, класичні файлові віруси, троянські програми, хакерські утиліти та інші програми, що завдають явний шкоду комп'ютеру, на якому вони запускаються на виконання, або іншим комп'ютерам в мережі.
Мережеві черв'яки
Основною ознакою, за яким типи черв'яків розрізняються між собою, є спосіб поширення хробака - як він передає свою копію на віддалені комп'ютери. Іншими ознаками відмінності комп'ютерних черв'яків між собою є способи запуску копії хробака на заражає комп'ютер, методи впровадження в систему, а також поліморфізм, "стелі" і інші характеристики, властиві й іншим типам шкідливого програмного забезпечення (вірусів і троянських програм). Приклад - Email-Worm, тобто поштові черв'яки. До даної категорії черв'яків відносяться ті з них, які для свого поширення використовують електронну пошту. При цьому черв'як відсилає або свою копію у вигляді вкладення в електронний лист, або посилання на свій файл, розташований на будь-якому мережевому ресурсі (наприклад, URL на заражений файл, розташований на зламаному або хакерському веб-сайті). У першому випадку код хробака активізується при відкритті (запуску) зараженого вкладення, у другому - при відкритті посилання на заражений файл. В обох випадках ефект однаковий - активізується код хробака.
Для відправки заражених повідомлень поштові черв'яки використовують різні способи. Найбільш поширені:
■ пряме підключення до SMTP-серверу, використовуючи вбудовану в код хробака поштову бібліотеку;
■ використання сервісів MS Outlook;
■ використання функцій Windows MAPI.
Для пошуку поштових адрес, на які будуть розсилатися заражені листи, поштовими хробаками використовуються різні методи. Поштові черв'яки:
■ розсилають себе за всіма адресами, виявленим в адресній книзі MS Outlook;
■ зчитують адреси з адресної бази WAB;
■ сканують "відповідні" файли на диску і виділяє в них рядки, які є адресами електронної пошти;
■ відсилають себе за всіма адресами, виявленим в листах в поштовій скриньці (при цьому деякі поштові черв'яки "відповідають" на виявлені в ящику листи).
Багато черв'яки використовують відразу декілька з перерахованих методів. Зустрічаються також інші способи пошуку адрес електронної пошти.
Існують і інші види хробаків: IM-Worm - черв'яки, що використовують інтернет-пейджери, IRC-Worm - черви в IRC-каналах, Net-Worm - інші мережеві черв'яки.
Класичні комп'ютерні віруси
Доця група включає програми, що поширюють свої копії по ресурсах локального комп'ютера з метою подальшого запуску свого коду при яких-небудь діях користувача або подальшого впровадження в інші ресурси комп'ютера.
На відміну від черв'яків, віруси не використовують мережевих сервісів для проникнення на інші комп'ютери. Копія вірусу потрапляє на віддалені комп'ютери тільки в тому випадку, якщо заражений об'єкт з яких-небудь не залежних від функціонала вірусу причин виявляється активізованим на іншому комп'ютері, наприклад:
■ при зараженні доступних дисків вірус проник у файли, розташовані на мережевому ресурсі;
■ вірус скопіював себе на знімний носій або заразив файли на ньому;
■ користувач відіслав електронний лист із зараженим вкладенням.
Деякі віруси містять в собі властивості інших різновидів шкідливого програмного забезпечення, наприклад бекдор-процедуру, або троянську компоненту, знищення інформації на диску.
Багато табличні і графічні редактори, системи проектування, текстові процесори мають свої макромови для автоматизації виконання повторюваних дій. Ці макромови часто мають складну структуру і розвинений набір команд. Макровіруси є програмами на макромови, вбудованих в такі системи обробки даних. Для свого розмноження віруси цього класу використовують можливості макромов і при їхній допомозі переносять себе з одного зараженого файлу (документа або таблиці) в інші.
Скрипт-віруси
Скрипт-віруси є підгрупою файлових вірусів. Дані віруси написані на різних скрипт-мовами (VBS, JS, ВАТ, РНР і т.д.). Вони або заражають інші скрипт-програми (командні і службові файли MS Windows або Linux), або є частинами багатокомпонентних вірусів. Дані віруси також можуть заражати файли інших форматів (наприклад, HTML), якщо в них можливе виконання скриптів.
троянські програми
Вдану категорію входять програми, що здійснюють різні несанкціоновані користувачем дії: збір інформації і її передачу зловмисникові, її руйнування або зловмисну \u200b\u200bмодифікацію, порушення працездатності комп'ютера, використання ресурсів комп'ютера в непристойних цілях. Окремі категорії троянських програм завдають шкоди віддалених комп'ютерів і мереж, не порушуючи працездатність зараженого комп'ютера (наприклад, троянські програми, розроблені для масованих DoS-атак на віддалені ресурси мережі).
Троянські програми різноманітні і розрізняються між собою по тим діям, які вони виробляють на зараженому комп'ютері:
■ Backdoor - троянські утиліти віддаленого адміністрування;
■ Trojan-PSW - крадіжка паролів;
■ Trojan-AOL - сімейство троянських програм, "крадуть" коди доступу до мережі AOL (America Online). Виділено в особливу групу з причини своєї численності;
■ Trojan-Clicker - інтернет-клікери. Сімейство троянських програм, основна функція яких полягає в організації несанкціонованих звернень до інтернет-ресурсів (зазвичай до веб-сторінок). Досягається це або посилкою відповідних команд браузеру, або заміною системних файлів, в яких вказані "стандартні" адреси інтернет-ресурсів (наприклад, файл hosts в MS Windows);
■ Trojan-Downloader - доставка інших шкідливих програм;
■ Trojan-Dropper - інсталятори інших шкідливих програм. Троянські програми цього класу написані з метою прихованої інсталяції інших програм і практично завжди використовуються для "підсовування" на комп'ютер-жертву вірусів або інших троянських програм;
■ Trojan-Proxy - троянські проксі-сервери. Сімейство троянських програм, таємно здійснюють анонімний доступ до різних інтернет-ресурсів. Зазвичай використовуються для розсилки спаму;
■ Trojan-Spy - шпигунські програми. Дані троянці здійснюють електронне шпигунство за користувачем зараженого комп'ютера: вводиться з клавіатури інформація, знімки екрану, список активних додатків і дії користувача з ними зберігаються в який-небудь файл на диску і періодично відправляються зловмисникові. Троянські програми цього типу часто використовуються для крадіжки інформації користувачів різних систем онлайнових платежів і банківських систем;
■ Trojan - інші троянські програми. У цю групу також присутні "багатоцільові" троянські програми, наприклад ті з них, які одночасно шпигують за користувачем і надають proxy-сервіс віддаленому зловмисникові;
■ Trojan ArcBomb - "бомби" в архівах. Являють собою архіви, спеціально оформлені таким чином, щоб викликати нештатное поведінку архіваторів при спробі розпакувати дані - зависання або істотне уповільнення роботи комп'ютера або заповнення диска великою кількістю "порожніх" даних. Особливо небезпечні "архівні бомби" для файлових і поштових серверів, якщо на сервері використовується будь-яка система автоматичної обробки вхідної інформації - "архівна бомба" може просто зупинити роботу сервера;
■ Trojan-Notifier - оповіщення про успішну атаку. Троянці даного типу призначені для повідомлення своєму "хазяїну" про зараженому комп'ютері. При цьому на адресу "господаря" відправляється інформація про комп'ютер, наприклад IP-адреса комп'ютера, номер відкритого порту, адреса електронної пошти тощо Відсилання здійснюється різними способами: електронним листом, спеціально оформленим зверненням до веб-сторінці "господаря", ICQ-повідомленням. Дані троянські програми використовуються в багатокомпонентних троянських наборах для сповіщення свого "господаря" про успішну інсталяції троянських компонент в систему, що атакується.
Хакерські утиліти та інші шкідливі програми
■ утиліти автоматизації створення вірусів, хробаків і троянських програм (конструктори);
■ програмні бібліотеки, розроблені для створення шкідливого програмного забезпечення;
■ хакерські утиліти приховування коду заражених файлів від антивірусної перевірки (шифрувальники файлів);
■ "злі жарти", що утрудняють роботу з комп'ютером;
■ програми, що повідомляють користувача свідомо помилкову інформацію про свої дії в системі;
■ інші програми, тим чи іншим способом навмисно завдають прямого або непрямого збитку даному або віддаленим комп'ютерам.
До іншим шкідливим відносяться різноманітні програми, які не становлять загрози безпосередньо комп'ютера, на якому виконуються, а розроблені для створення інших вірусів або троянських програм, організації DoS-атак на віддалені сервери, злому інших комп'ютерів і т.п.
До таких програм можна віднести:
■ DoS, DdoS - мережеві атаки;
■ Exploit, HackTool - зломщики віддалених комп'ютерів. Хакерські утиліти даного класу призначені для проникнення в віддалені комп'ютери з метою подальшого управління ними (використовуючи методи троянських програм типу backdoor) або для впровадження у зламану систему інших шкідливих програм;
■ Flooder - "засмічення" мережі. Дані хакерські утиліти використовуються для "забивання сміттям" (марними повідомленнями) каналів Інтернету - IRC-каналів, комп'ютерних пейджингових мереж, електронної пошти і т.д .;
■ Constructor - конструктори вірусів і троянських програм. Це утиліти, призначені для виготовлення нових комп'ютерних вірусів і "троянців". Відомі конструктори вірусів для DOS, Windows і макровірусів. Вони дозволяють генерувати вихідні тексти вірусів, об'єктні модулі і (або) безпосередньо заражені файли;
■ Nuker - фатальні мережеві атаки. Утиліти, що відправляють спеціально оформлені запити на яких атакували комп'ютери в мережі, в результаті чого атакують система припиняє роботу. Використовують уразливості в програмному забезпеченні і ОС, в результаті чого мережевий запит спеціального виду викликає критичну помилку в атакується додатку;
■ Bad-Joke, Hoax - "злі жарти", введення користувача в оману. До них відносяться програми, які не завдають комп'ютера будь-якого прямого шкоди, проте виводять повідомлення про те, що така шкода вже заподіяна, або буде завдано при будь-яких умовах, або попереджають користувача про неіснуючу небезпеку. До "злим жартів" відносяться, наприклад, програми, які "лякають" користувача повідомленнями про форматування диска (хоча ніякого форматування насправді не відбувається), детектируют віруси в незаражених файлах, виводять дивні вірусоподібні повідомлення і т.д. - в залежності від почуття гумору автора такої програми;
■ FileCryptor, PolyCryptor - приховування від антивірусних програм. Хакерські утиліти, що використовуються для шифрування інших шкідливих програм з метою приховування їх вмісту від антивірусної перевірки;
■ PolyEngine - поліморфний генератор. Вони не є вірусами в буквальному значенні цього слова, оскільки в їхній алгоритм не закладаються функції розмноження, тобто відкриття, закриття та записи в файли, читання і запису секторів і т.д. Головною функцією подібного роду програм є шифрування тіла вірусу і генерація відповідного розшифровувача;
■ VirTool - утиліти, призначені для полегшення написання комп'ютерних вірусів і їх вивчення в хакерських цілях.
Від чого треба захищатися в першу чергу?По-перше, це віруси (Virus, Worm) і всілякі види практично непотрібної інформації (зазвичай реклами), примусово розсилається абонентам електронної пошти (Spam). За різними даними в 2008 р вірусним атакам було піддано від 80 до 85% компаній у всьому світі. І ця цифра продовжує зростати.
По-друге, програми типу "троянський кінь" (Trojan Horse) можуть бути непомітно для власника встановлені на його комп'ютер і так само непомітно функціонувати на ньому. Прості варіанти "троянського коня" виконують всього лише одну функцію, наприклад крадіжку паролів. Однак є і більш "просунуті" екземпляри, які реалізують широкий спектр функцій для віддаленого управління комп'ютером, включаючи перегляд вмісту каталогів, перехоплення всіх впроваджуються з клавіатури команд, крадіжку або спотворення даних і інформації, зміна файлів і змісту полів баз даних.
Іншим поширеним типом атак є дії, спрямовані на виведення з ладу того чи іншого вузла мережі. Ці атаки отримали назву "відмова в обслуговуванні" (Denial of Service - DoS). На сьогоднішній день відомо більше сотні різних варіантів цих дій. Раніше зазначалося, що виведення з ладу вузла мережі на кілька годин може призвести до дуже серйозних наслідків. Наприклад, виведення з ладу сервера платіжної системи банку призведе до неможливості здійснення платежів і, як наслідок, до великих прямим і непрямим фінансовим і рейтинговим втрат.
Атаки і загрози такого типу є найбільш частими, однак існують і інші загрози, які можуть привести до серйозних наслідків. Наприклад, система виявлення атак RealSecure виявляє понад 600 різних подій, що впливають на безпеку і відносяться до зовнішніх атак.
Американська організація US-CERT, що займається проблемами в області комп'ютерної безпеки, запропонувала використовувати стандартні назви для інтернет-хробаків і інших шкідливих програм. Члени US-CERT назвали свою програму "Загальна класифікація шкідливих програм" (СМЕ). Мета програми - не вводити користувачів в оману, використовуючи різні назви для одних і тих же вірусів. Наприклад, хробак W32.
Zotob.E за класифікацією "Symantec" в класифікації "McAfee" називається W32 / IRCbot.worm! MS05-039, a "Trend Micro" називає цю програму WORM_RBOT.CBQ.
Зараз багато вірусів отримують свої назви на підставі опису або інформації, включеної в код програми їх творцями. У новій системі віруси використовуватимуть номера СМЕ. Перший вірус отримає назву СМЕ-1.
Подібна система класифікації вже існує для опису вразливостей в програмному забезпеченні. Загальний ідентифікатор вразливостей включає в себе порядковий номер і рік, в якому вразливість була виявлена. В ідентифікатор вірусів не включають дату, тому що користувачі часто неправильно сприймають цю інформацію. Вони вважають, що вразливість з ранньою датою менш небезпечна, ніж вразливість, виявлена \u200b\u200bпізніше.
Ініціатори пропозиції про СМЕ допускають використання і старих вірусних імен, але сподіваються, що їх система покращить обмін інформацією між антивірусними розробниками і антивірусним спільнотою в цілому. Проект вже підтримали "Computer Associates", "McAfee", "Microsoft", "Symantec" і "F-Secure".
Як треба захищатися?Загальні методики захисту від вірусів обов'язково є складовою частиною політики інформаційної безпеки підприємства. У відповідних розділах політики описуються принципи антивірусного захисту, що застосовуються стандарти та нормативні документи, що визначають порядок дій користувача при роботі в локальній і зовнішніх мережах, його повноваження, застосовувані антивірусні засоби. Набори обов'язкових правил можуть бути досить різноманітні. Однак для користувачів можна сформулювати в загальному вигляді наступні правила:
■ перевіряти на віруси всі дискети, CD-RW, ZIP-диски, що побували на іншому комп'ютері, всі придбані CD;
■ використовувати антивірусні програми відомих перевірених фірм, регулярно (в ідеалі - щодня) оновлювати їх бази;
■ Забороняється вивантажувати резидентну частина (монітор) антивірусної програми з оперативної пам'яті комп'ютера;
■ використовувати тільки програми і дані, отримані з надійних джерел - найчастіше вірусами бувають заражені піратські копії програм;
■ ніколи не відкривати файли, приєднані до електронних листів, які прийшли від невідомих відправників, і не заходити на сайти, що рекламуються через спам-розсилки (за даними лабораторії Касперського, в даний час близько 90% вірусів поширюються саме таким чином).
Аналогічно можна сформулювати кілька загальних вимог до гарної антивірусній програмі. Така програма повинна:
■ забезпечувати ефективний захист в режимі реального часу - резидентна частина (монітор) програми повинна постійно перебувати в оперативній пам'яті комп'ютера і проводити перевірку всіх файлових операцій (при створенні, редагуванні, копіюванні файлів, запуску їх на виконання), повідомлень електронної пошти, даних і програм , одержуваних з Інтернету;
■ дозволяти перевіряти весь вміст локальних дисків "на вимогу", запускаючи перевірку вручну або автоматично за розкладом або при включенні комп'ютера;
■ захищати комп'ютер навіть від невідомих вірусів - програма повинна включати в себе технології пошуку невідомих вірусів, засновані на принципах евристичного аналізу;
■ вміти перевіряти і лікувати архівовані файли;
■ давати можливість регулярно (бажано щодня) оновлювати антивірусні бази (через Інтернет, з дискет або CD).
В даний час в Росії використовуються головним чином два перевірених якісних антивірусних пакету: Dr.WEB і "Антивірус Касперського". Кожен з цих продуктів має свою лінійку, орієнтовану на різні сфери застосування, -для використання на локальних комп'ютерах, для малого і середнього бізнесу, великих корпоративних клієнтів, для захисту локальних мереж, поштових, файлових серверів, серверів додатків. Обидва продукти, безумовно, відповідають всім перерахованим вимогам.
- Енциклопедія вірусів. [Електронний ресурс] Режим доступу: wvvw. viruslist.com/ru/viruses/encyclopedia.
- Режим доступу: vww.vnunet.com/vnunet/news/2143314/ security-industry-gathers.
Слід зазначити також скрипт-віруси, які є підгрупою файлових вірусів. Дані віруси, написані на різних скрипт-мовами (VBS, JS, BAT, PHP і т.д.). Вони або заражають інші скрипт-програми (командні і службові файли MS Windows або Linux), або є частинами багатокомпонентних вірусів. Також, дані віруси можуть заражати файли інших форматів (наприклад, HTML), якщо в них можливе виконання скриптів.
Троянські програми.
Троянські програми розрізняються між собою по тим діям, які вони виробляють на зараженому комп'ютері.
Backdoor - троянські утиліти віддаленого адміністрування
Троянські програми цього класу є утилітами віддаленого адміністрування комп'ютерів в мережі. За своєю функціональністю вони багато в чому нагадують різні системи адміністрування, що розробляються та розповсюджуються фірмами-виробниками програмних продуктів.
Єдина особливість цих програм змушує класифікувати їх як шкідливі троянські програми: відсутність попередження про інсталяції та запуску. При запуску "троянець" встановлює себе в системі і потім стежить за нею, при цьому користувачеві не видається жодних повідомлень про дії троянця в системі. Більш того, посилання на "троянця" може бути відсутнім в списку активних додатків. В результаті "користувач" цієї троянської програми може і не знати про її присутності в системі, в той час як його комп'ютер відкритий для віддаленого управління.
Утиліти прихованого управління дозволяють робити з комп'ютером все, що в них заклав автор: приймати чи відсилати файли, запускати і знищувати їх, виводити повідомлення, стирати інформацію, перезавантажувати комп'ютер і т.д. В результаті ці троянці можуть бути використані для виявлення і передачі конфіденційної інформації, для запуску вірусів, знищення даних і т.п. - уражені комп'ютери виявляються відкритими для злочинних дій хакерів.
Таким чином, троянські програми даного типу є одним з найнебезпечніших видів шкідливого програмного забезпечення, оскільки в них закладена можливість найрізноманітніших злочинних дій, властивих іншим видам троянських програм.
Окремо слід відзначити групу бекдор, здатних поширюватися по мережі і впроваджуватися в інші комп'ютери, як це роблять комп'ютерні хробаки. Відрізняє такі "троянці" від черв'яків той факт, що вони поширюються по мережі не мимовільно (як черв'яки), а тільки по спеціальній команді "господаря", керуючого даної копією троянської програми.
Trojan-PSW - крадіжка паролів
Дане сімейство об'єднує троянські програми, "крадуть" різну інформацію з зараженого комп'ютера, зазвичай - системні паролі (PSW - Password-Stealing-Ware). При запуску PSW-троянці шукають сіcтемние файли, що зберігають різну конфіденційну інформацію (зазвичай номери телефонів і паролі доступу до інтернету) і відсилають її за вказаною в коді "троянця" електронну адресу або адресами.
Існують PSW-троянці, які повідомляють і іншу інформацію про зараженому комп'ютері, наприклад, інформацію про систему (розмір пам'яті і дискового простору, версія операційної системи), тип використовуваного поштового клієнта, IP-адреса і т.п. Деякі троянці даного типу "крадуть" реєстраційну інформацію до різного програмного забезпечення, коди доступу до мережевих ігор та інше.
Trojan-AOL - сімейство троянських програм, "крадуть" коди доступу до мережі AOL (America Online). Виділено в особливу групу з причини своєї численності.
Trojan-Clicker - інтернет-клікери
Сімейство троянських програм, основна функція яких - організація несанкціонованих звернень до інтернет-ресурсів (зазвичай до веб-сторінок). Досягається це або посилкою відповідних команд браузеру, або заміною системних файлів, в яких вказані "стандартні" адреси інтернет-ресурсів (наприклад, файл hosts в MS Windows).
У зловмисника можуть бути наступні цілі для подібних дій:
збільшення відвідуваності будь-яких сайтів з метою збільшення показів реклами;
організація DoS-атаки (Denial of Service) на якийсь сервер;
залучення потенційних жертв для зараження вірусами або троянськими програмами.
Trojan-Downloader - доставка інших шкідливих програм
Троянські програми цього класу призначені для завантаження і установки на комп'ютер-жертву нових версій шкідливих програм, установки "троянців" або рекламних систем. Завантажені з інтернету програми потім або запускаються на виконання, або реєструються "троянцем" на автозавантаження відповідно до можливостей операційної системи. Дані дії при цьому відбуваються без відома користувача.
Інформація про імена і розташуванні завантажуваних програм міститься в коді і даних троянця або викачується троянцем з "керуючого" інтернет-ресурсу (зазвичай з веб-сторінки).
Trojan-Dropper - інсталятори інших шкідливих програм
Троянські програми цього класу написані з метою прихованої інсталяції інших програм і практично завжди використовуються для "підсовування" на комп'ютер-жертву вірусів або інших троянських програм.
Дані троянці зазвичай без будь-яких повідомлень (або з помилковими повідомленнями про помилку в архіві або невірній версії операційної системи) скидають на диск в будь-якої каталог (в корінь диска C :, в тимчасовий каталог, в каталоги Windows) інші файли і запускають їх на виконання.
Зазвичай структура таких програм наступна:
основний код
"Основний код" виділяє зі свого файлу інші компоненти (файл 1, файл 2 ,.), записує їх на диск і відкриває їх (запускає на виконання).
Зазвичай один (або більше) компонентів є троянськими програмами, і як мінімум один компонент є "обманкою": програмою-жартом, грою, картинкою або чимось подібним. "Обманка" повинна відволікти увагу користувача і / або продемонструвати те, що запускається файл дійсно робить щось "корисне", в той час як троянська компонента інсталюється в систему.
В результаті використання програм даного класу хакери досягають двох цілей:
скритна інсталяція троянських програм і / або вірусів;
захист від антивірусних програм, оскільки не всі з них в змозі перевірити всі компоненти всередині файлів цього типу.
Trojan-Proxy - троянські проксі-сервера
Сімейство троянських програм, таємно здійснюють анонімний доступ до різних інтернет-ресурсів. Зазвичай використовуються для розсилки спаму.
Trojan-Spy - шпигунські програми
Дані троянці здійснюють електронне шпигунство за користувачем зараженого комп'ютера: вводиться з клавіатури інформація, знімки екрану, список активних додатків і дії користувача з ними зберігаються в який-небудь файл на диску і періодично відправляються зловмисникові.
Троянські програми цього типу часто використовуються для крадіжки інформації користувачів різних систем онлайнових платежів і банківських систем.
Trojan - інші троянські програми
До даних троянцам відносяться ті з них, які здійснюють інші дії, що підпадають під визначення троянських програм, тобто руйнування або зловмисна модифікація даних, порушення працездатності комп'ютера та інше.
У цю групу також присутні "багатоцільові" троянські програми, наприклад, ті з них, які одночасно шпигують за користувачем і надають proxy-сервіс віддаленому зловмисникові.
Rootkit - приховування присутності в операційній системі
Поняття rootkit прийшло до нас з UNIX. Спочатку це поняття використовувалося для позначення набору інструментів, що застосовуються для отримання прав root.
Так як інструменти типу rootkit на сьогоднішній день "прижилися" і на інших ОС (в тому числі, на Windows), то слід визнати подібне визначення rootkit морально застарілим і не відповідає реальному стану справ.
Таким чином, rootkit - програмний код або техніка, спрямована на приховування присутності в системі заданих об'єктів (процесів, файлів, ключів реєстру і т.д.).
Для поведінки Rootkit в класифікації "Лабораторії Касперського" діють правила поглинання: Rootkit - наймолодше поведінку серед шкідливих програм. Тобто, якщо Rootkit-програма має троянську складову, то вона детектується як Trojan.
ArcBomb - "бомби" в архівах
Являють собою архіви, спеціально оформлені таким чином, щоб викликати нештатное поведінку архіваторів при спробі розпакувати дані - зависання або істотне уповільнення роботи комп'ютера або заповнення диска великою кількістю "порожніх" даних. Особливо небезпечні "архівні бомби" для файлових і поштових серверів, якщо на сервері використовується будь-яка система автоматичної обробки вхідної інформації - "архівна бомба" може просто зупинити роботу сервера.
Зустрічаються три типи подібних "бомб": некоректний заголовок архіву, повторювані дані і однакові файли в архіві.
Некоректний заголовок архіву або зіпсовані дані в архіві можуть привести до збою в роботі конкретного архіватора або алгоритму розархівування при розборі вмісту архіву.
Значних розмірів файл, який містить дані, що повторюються, дозволяє заархівувати такий файл в архів невеликого розміру (наприклад, 5ГБ даних упаковуються в 200Кб RAR або в 480КБ ZIP-архів).
Величезна кількість однакових файлів в архіві також практично не позначається на розмірі архіву при використанні спеціальних методів (наприклад, існують прийоми упаковки 10100 однакових файлів в 30Кб RAR або 230КБ ZIP-архів).
Trojan-Notifier - оповіщення про успішну атаку
Троянці даного типу призначені для повідомлення своєму "хазяїну" про зараженому комп'ютері. При цьому на адресу "господаря" відправляється інформація про комп'ютер, наприклад, IP-адреса комп'ютера, номер відкритого порту, адреса електронної пошти тощо Відсилання здійснюється різними способами: електронним листом, спеціально оформленим зверненням до веб-сторінці "господаря", ICQ-повідомленням.
Дані троянські програми використовуються в багатокомпонентних троянських наборах для сповіщення свого "господаря" про успішну інсталяції троянських компонент в систему, що атакується.
Насправді макровіруси, описані в попередньому розділі, є не самостійним «видом», а всього лише одним з різновидів великої родини шкідливих програм - скрипт-вірусів. Їх відокремлення пов'язане хіба що з тим фактом, що саме макровіруси і поклали початок всього цього сімейства, до того ж віруси, «заточені» під програми Microsoft Office, набули найбільшого поширення з усього клану.
Загальна риса скрипт-вірусів - це прив'язка до одного з «вбудованих» мов програмування. Кожен з них прив'язаний до конкретної «дірці» в захисті однієї з програм Windows і являє собою не самостійну програму, а набір інструкцій, які змушують в общем-то безневинний «движок» програми здійснювати невластиві йому руйнівні дії.
З кінця 90-х років скрипт-віруси зуміли «осідлати» безліч програм. Крім вже знайомого сімейства «макровірусів» зустрічаються «звірятка», які вміють атакувати Internet Explorer або Windows Media Player різних модифікацій.
Як і у випадку з документами Word, саме по собі використання мікропрограм (скриптів, Java-аплетів і так далі) не є криміналом - більшість з них цілком мирно трудиться, роблячи сторінку більш привабливою для ока або більш зручною. Чат, гостьова книга, система голосування, лічильник - всім цим зручністю наші сторінки зобов'язані мікропро-граммам- «скриптів». Що ж стосується Java-апп-льотів, то їх присутність на сторінці теж обгрунтовано - вони дозволяють, наприклад, вивести на екран зручне і функціональне меню, яке розгортається під курсором вашої мишки ...
Зручності зручностями, але не варто забувати, всі ці аплети і скрипти - справжнісінькі, повноцінні програми. Причому багато хто з них запускаються і працюють не десь там, «у прекрасному далеке», на невідомому сервері, а безпосередньо на вашому комп'ютері! І, вмонтувавши в них шкідливу начинку, творці сторінки зможуть отримати доступ до вмісту вашого жорсткого диска. Наслідки вже відомі - від простої крадіжки пароля до форматування жорсткого диска.
Зрозуміло, зі «скриптами-вбивцями» вам доведеться стикатися у сто крат рідше, ніж із звичайними вірусами. До речі, на звичайні антивіруси в цьому випадку надії мало, однак відкрита разом зі сторінкою шкідлива програма повинна буде подолати захист самого браузера, творці якого прекрасно інформовані про подібні штучки.
Повернемося на хвилинку до налаштувань Internet Explorer - а саме в меню Сервіс Властивості оглядача Безпека .
Як бачимо, Internet Explorer пропонує нам кілька рівнів безпеки. Крім стандартного рівня захисту (зона Інтернет ) ми можемо підсилити (зона обмежити ) або послабити свою пильність (зона надійні вузли ). Натиснувши ж кнопку інший , Ми можемо вручну відрегулювати захист браузера, дозволивши або заборонивши роботу різних «активних елементів» сторінок.
Хоча в системі безпеки того ж Internet Explorer повно «дірок», якими і можуть скористатися зловмисники, при грамотному використанні ви застрахуєте себе від більшості неприємних несподіванок. Скажімо, входячи на сумнівний «хакерський» сайт, захист можна і посилити ...
Втім, велика частина скрипт-вірусів поширюється через електронну пошту (нагадаємо, що такі віруси найчастіше називають «інтернет-хробаками»). Мабуть, найяскравішими представниками цього сімейства є віруси LoveLetter і Anna Kournikova, атаки яких припали на сезон 2001-2002 року. Обидва цих «звірка» використовували один і той же прийом, заснований не тільки на слабкому захисті операційної системи, але і на наївності користувачів.
Ми пам'ятаємо, що переносниками вірусів в більшості випадків є повідомлення електронної пошти, що містять вкладені файли. Пам'ятаємо і те, що зараза може проникнути в комп'ютер або через програми (тобто виконувані файли з розширенням * .exe або * .com), або через документи Microsoft Office, які можуть містити шкідливі ділянки коду. Нам також відомо, що з боку картинок або звукових файлів ніяка неприємність загрожувати начебто не може. А тому, розкопавши неждано-негадано в поштовій скриньці лист з прикріпленою до нього (судячи по імені файлу і розширення) картинкою, тут же радісно її запускаємо ... І виявляємо, що під личиною картинки переховувався шкідливий вірусний «скрипт». Добре ще, якщо виявляємо відразу, а не після того, як вірус встиг повністю знищити всі ваші дані.
Хитрість творців вірусу проста - файл, який здався нам картинкою, мав подвійне розширення! наприклад
AnnaCournikova.jpg.vbs
Ось саме друге розширення і є істинним типом файлу, в той час як перше - просто частина його імені. А оскільки розширення vbsWindows добре знайомо, вона, не довго думаючи, ховає його від очей користувачів, залишаючи на екрані лише ім'я
AnnaCournikova.jpg
Саме так Windows надходить з усіма зареєстрованими типами файлів: дозвіл відкидається, а про тип файлу повинен свідчити його значок. На який, на жаль, ми рідко звертаємо увагу.
Хороша пастка?
Хороша. Але розрізнити її легше легкого: фокус з «подвійним розширенням» не проходить, якщо ми заздалегідь активуємо режим відображення типів файлів. Зробити це можна за допомогою меню Властивості папки на Панелі управління Windows: клацніть по цьому значку, потім відкрийте закладку вид і знімітьгалочку з рядка Приховувати розширення для зареєстрованих типів файлів .
Втім, зовсім необов'язково, що віруси вважатимуть за потрібне маскуватися. Іноді exe-файли «вкладені» в лист абсолютно відкрито. І, здавалося б, тут вже і дурневі зрозуміло, що мова йде про вірусній атаці (особливо якщо лист прийшов від незнайомого вам людини). Однак і ці програми з полюванням запускаються користувачами: одним з них підступні вірус-письменники обіцяють продемонструвати невимовної краси картинки (що, до речі, і роблять), іншим обіцяють програму для «злому» Інтернету, третім представляються оновленням до популярній програмі. Способів запудрити користувачеві мізки чимало. Але ж буває і так, що заражений файл зі спокійною совістю посилає вам друг або знайомий ... Нарешті, віруси ви можете отримати разом з самими програмами - особливо в тому випадку, якщо ви завантажуєте їх з невідомих вам серверів.
Запам'ятайте: як «вкладення» в лист припустимі лише кілька типів файлів. Щодо безпечні (якщо не брати до уваги фокусів з «подвійним розширенням») файли txt, jpg, gif, bmp, tif, mp3, wma «Умовно-їстівними» можна визнати документи Microsoft Office (doc, xls) і архіви zip і rar. Вони, звичайно, можуть містити вірус, але його цілком можна нейтралізувати за допомогою антивірусної програми, за умови, що ви регулярно оновлюєте її бази. У всякому разі, такий файл можна відкрити для перегляду.
А ось список безумовно небезпечних типів файлів: знайшовши їх в надісланому вам електронному листі, сміливо відправляйте його в сміттєву корзину ... яку потім варто ще й очистити.
Самі по собі ці файли - створення цілком мирні, так що не варто гарячково шерстити комп'ютер, видаляючи їх направо і наліво. Ні: знаком небезпеки є лише присутність цих файлів в листі, оскільки кожен з них майже напевно несе в собі вірусну начинку.
Список потенційних «вірусоносіїв» включає ще не один десяток типів файлів. Але ці зустрічаються частіше інших.
Види комп'ютерних вірусів
Немає сьогодні такої людини, яка б не чула про комп'ютерні віруси. Що це таке, які бувають види комп'ютерних вірусіві шкідливих програм, спробуємо розібратися в цій статті. Отже, комп'ютерні віруси можна розділити на наступні види:
Під рекламними та інформаційними програмами розуміються такі програми, які, крім своєї основної функції, також демонструють рекламні банери і всілякі спливаючі вікна з рекламою. Такі повідомлення з рекламою часом буває досить нелегко приховати або відключити. Такі рекламні програми грунтуються при роботі на поведінку користувачів комп'ютера і є досить проблемними з міркувань безпеки системи.
Бекдори (Backdoor)
Утиліти прихованого адміністрування дозволяють, обходячи системи захисту, поставити комп'ютер встановив користувача під свій контроль. Програма, яка працює в невидимому режимі, дає хакеру необмежені права для управління системою. За допомогою таких backdoor-програм можна отримати доступ до персональних і особистих даних користувача. Нерідко такі програми використовуються в цілях зараження системи комп'ютерними вірусами і для прихованої установки шкідливих програм без відома користувача.
завантажувальні віруси
Нерідко головний завантажувальний сектор вашого HDD уражається спеціальними завантажувальними вірусами. Віруси подібного типу замінюють інформацію, яка необхідна для безперешкодного запуску системи. Один із наслідків дії такої шкідливої \u200b\u200bпрограми це неможливість завантаження операційної системи ...
Bot-мережу
Bot-мережу це повноцінна мережа в Інтернет, яка підлягає адміністрування зловмисником і складається з багатьох інфікованих комп'ютерів, які взаємодіють між собою. Контроль над такою мережею досягається з використанням вірусів або троянів, які проникають в систему. При роботі, шкідливі програми ніяк себе не проявляють, чекаючи команди з боку зловмисника. Подібні мережі застосовуються для розсилки СПАМ повідомлень або для організації DDoS атак на потрібні сервера. Що цікаво, користувачі заражених комп'ютерів можуть абсолютно не здогадуватися про те, що відбувається в мережі.
експлойт
Експлойт (дослівно пролом в безпеці) - це такий скрипт або програма, які використовують специфічні дірки і уразливості ОС або будь-якої програми. Подібним чином в систему проникають програми, з використанням яких можуть бути отримані права доступу адміністратора.
Hoax (дослівно жарт, брехня, містифікація, жарт, обман)
Вже протягом кількох років багато користувачів мережі Інтернет отримують електронні повідомлення про віруси, які поширюються нібито за допомогою e-mail. Подібні попередження масово розсилаються зі слізним проханням відправити їх всім контактам з вашого особистого листа.
пастки
Honeypot (горщик меду) - це мережева служба, яка має завдання спостерігати за всією мережею і фіксувати атаки, при виникненні вогнища. Простий користувач абсолютно не здогадується про існування такої служби. Якщо ж хакер досліджує і моніторить мережу на наявність прогалин, то він може скористатися послугами, які пропонує така пастка. При цьому буде зроблено запис в log-файли, а також спрацює автоматична сигналізація.
макровіруси
Макровіруси - це дуже маленькі програми, які написані на макромові додатків. Такі програми поширюються тільки серед тих документів, які створені саме для цього додатка.
Для активації таких шкідливих програм необхідний запуск програми, а також виконання інфікованого файлу-макросу. Відмінність від звичайних вірусів макросів в тому, що зараження відбувається документів додатки, а не запускаються файлів програми.
фармінг
Фармінг - це прихована маніпуляція host-файлом браузера для того, щоб направити користувача на фальшивий сайт. Шахраї містять у себе сервера великих обсягів, на таких серверах зберігаються велика база фальшивих інтернет-сторінок. При маніпуляції host-файлом за допомогою трояна або вірусу цілком можливо маніпулювання зараженої системою. В результаті цього заражена система буде завантажувати тільки фальшиві сайти, навіть в тому випадку, якщо Ви правильно введете адресу в рядку браузера.
фішинг
Phishing дослівно перекладається як "вивудження" особистої інформації користувача при знаходженні в мережі інтернет. Зловмисник при своїх діях відправляє потенційній жертві електронного листа, де зазначено, що необхідно вислати особисту інформацію для підтвердження. Нерідко це ім'я і прізвище користувача, необхідні паролі, PIN коди для доступу до рахунків користувача онлайн. З використанням таких викрадених даних, хакер цілком може видати себе за іншу особу та здійснити будь-які дії від його імені.
поліморфні віруси
Поліморфні віруси - це віруси, що використовують маскування і перевтілення в роботі. В процесі вони можуть змінювати свій програмний код самостійно, а тому їх дуже складно виявити, тому що сигнатура змінюється з плином часу.
програмні віруси
Комп'ютерний вірус - це звичайна програма, яка володіє самостійно прикріплятися до інших працюючим програмам, таким чином, вражаючи їх роботу. Віруси самостійно поширюють свої копії, це значно відрізняє їх від троянських програм. Також відміну вірусу від хробака в тому, що для роботи вірусу потрібна програма, до якої він може приписати свій код.
руткіт
Руткіт - це певний набір програмних засобів, який приховано встановлюється в систему користувача, забезпечуючи при цьому приховування особистого логіна кіберзлочинця і різних процесів, при цьому роблячи копії даних.
Скрипт-віруси і черв'яки
Такі види комп'ютерних вірусів досить прості для написання і поширюються в основному за допомогою електронної пошти. Скриптові віруси використовують скриптові мови для роботи щоб додавати себе до нових створеним скриптів або поширюватися через функції операційної мережі. Нерідко зараження відбувається по e-mail або в результаті обміну файлами між користувачами. Черв'як це програма, яка розмножується самостійно, але яка інфікує при цьому інші програми. Черви при розмноженні не можуть стати частиною інших програм, що відрізняє їх від звичайних видів комп'ютерних вірусів.
шпигунське ПЗ
Шпигуни можуть переслати особисті дані користувача без його відома третім особам. Шпигунські програми при цьому аналізують поведінку користувача в мережі Інтернет, а також, ґрунтуючись на зібраних даних, демонструють користувачеві рекламу або pop-up (спливаючі вікна), які неодмінно зацікавлять користувача.
