Компьютерные вирусы

5. Стелс-вирусы

В ходе проверки компьютера антивирусные программы считывают  данные - файлы и системные области  с жестких дисков и дискет, пользуясь  средствами операционной системы и  базовой системы ввода/вывода BIOS. Ряд вирусов, после запуска оставляют  в оперативной памяти компьютера специальные модули, перехватывающие  обращение программ к дисковой подсистеме компьютера. Если такой модуль обнаруживает, что программа пытается прочитать  зараженный файл или системную область  диска, он на ходу подменяет читаемые данные, как будто вируса на диске  нет. Стелс-вирусы обманывают антивирусные программы и в результате остаются незамеченными. Тем не менее, существует простой способ отключить механизм маскировки стелс-вирусов. Достаточно загрузить компьютер с не зараженной системной дискеты и сразу, не запуская других программ с диска компьютера (которые также могут оказаться зараженными), проверить компьютер антивирусной программой. При загрузке с системной дискеты вирус не может получить управление и установить в оперативной памяти резидентный модуль, реализующий стелс-механизм. Антивирусная программа сможет прочитать информацию, действительно записанную на диске, и легко обнаружит вирус.

6. Макровирусы

В эпоху «классических» вирусов  любой более-менее грамотный пользователь прекрасно знал: источником вирусной заразы могут быть только программы. И уж вряд ли даже в страшном сне  могло присниться, что через несколько  лет смертоносной начинкой обзаведутся… текстовые документы! Впрочем, такие  сообщения время от времени проскакивали ещё в конце 80-х годов. Но появились  они преимущественно первого  апреля, так что никакой реакции, кроме смеха, вызвать не могли. В 1995 г., после появления операционной системы Windows 95 Microsoft с большой помпой объявила: старым DOS-вирусам конец, Windows защищена от них на 100%, ну а новых вирусов в ближайшее время не предвидится. Если бы! Уже в том же  1995 г. было зарегистрировано несколько мощных вирусных атак и создан первый вирус, работающий под Windows 95. А меньше чем через полгода человечество было огорошено вирусами нового, совершенно неизвестного типа и принципа действия. В отличие от всех «приличных» вирусов, новички паразитировали не на исполняемых файлах, а на документах, подготовленных в популярных программах из комплекта Microsoft Office. Ларчик открывался просто: в текстовый редактор Microsoft Word и таб¬личный редактор Microsoft Excel был встроен свой собственный язык про¬граммирования – Visual Basic for Applications (VBA), предназначенный для созданий специальных дополнений к редакторам – макросов. Эти макросы сохранялись в теле документов Microsoft Office и легко могли быть заменены вирусами. После открытия заражённого файла вирус активировался и заражал все документы Microsoft Office на вашем диске. Первоначально макровирусы – а именно так называли новый класс вирусов, - вели себя довольно пристойно. В крайнем случае – портили текстовые документы. Однако уже в скором времени макровирусы перешли к своим обычным обязанностям – уничтожению информации. К такому повороту дел борцы с вирусами явно не были готовы. И потому буквально через несколько дней вирус Concept, поражающий документы Word, распространился по всей планете. Заражённые файлы Word с лакомым содержанием (например, списками паролей к интернет-серверам) путешество¬вали от пользователя к пользователю через Интернет. Доверчивые хватали «наживку» не задумываясь – ведь даже самые умные из них были убеждены: через тексты вирусы не передаются! В итоге за четыре года, прошедших с момента появления первого «макровируса», этот класс вирусов стал самым многочисленным и опасным. Одна из самых мощных атак макровирусов была зарегистрирована в марте 1999 г., когда вирус Melissa, созданный программистом Дывидом Смитом, всего за несколько часов распространился по всему миру. И хотя этот вирус был сравнительно безопасным (Melissa ограничивалась тем, что заражала все существующие документы и рассылала свои копии людям, внесённым в адресную книгу Microsoft Outlook), его появление наделало немало шума. Именно появление Melissa заставило Microsoft срочно оснастить программы Microsoft Office защитой от запуска макросов. При открытии любого документа, содержащего встроенные макросы, умный Word и Excel обязательно спросит пользователя: а вы уверены, что вместо всяческих полезностей вам не подсовывают в документе всяческую бяку? И стоит ли эти макросы загружать? Нажмите кнопку Нет – и вирусу будет поставлен надёжный заслон. Просто удивительно, что несмотря на такую простоту защиты большинство пользователей игнорирует предупреждения программы. И заражаются… «Майка лидера» принадлежала макровирусам около пяти лет – срок, по меркам компьютерного мира, немалый. Выжить и преуспеть им помог Интернет – в течение последних лет вирусы этого типа распространились в основном по электронной почте. Источником заражения мог быть и присланный компьютерной фирмой прайс-лист, или рассказик, отосланный в виде файла-вложения незадачливым другом. Сегодня число макровирусов снизилось в несколько раз – сегодня им принадлежит не более 15 % всего вирусного «рынка». Однако опасность заражения макровирусами по-прежнему высока – и поэтому будьте  особенно осторожны, если вам часто приходится иметь дело с документами, созданными на других компьютерах. Качественный антивирус в сочетании с включённой защитой от макросов в программах Microsoft Office могут на¬дёжно обезопасить вас от подобной напасти.

7. Скрипт-вирусы

На самом деле макровирусы  являются не самостоятельным «видом», а всего лишь одной из разновидностей большого семейства вредоносных  программ – скрипт-вирусов. Их обособление связано разве что с тем фактором, что именно макровирусы положили начало всему этому семейству, к тому же вирусы, «заточенные» под программы Microsoft Office, получили  наибольшее распространение из всего клана. Следует отметить также что скрипт-вирусы являются подгруппой файловых вирусов. Данные вирусы, написаны на различных скрипт-языках (VBS, JS, BAT, PHP и т.д.). Общая черта скрипт-вирусов – это привязка к одному из «встроенных» языков программирования. Каждый вирус привязан к конкретной «дырке» в защите одной из программ Windows и представляет собой не самостоятель¬ную программу, а набор инструкций, которые заставляют в общем-то без¬обидный «движок» программы совершать не свойственные ему разрушитель¬ные действия. Как и в случае с документами Word, само по себе использование микропрограмм (скриптов, Java-апплетов и т.д.) не является криминалом, - большинство из них вполне мирно трудится, делая страничку более привлекательной или более удобной. Чат, гос-тевая книга, система голосования, счётчик – всем этим удобствам наши странички обязаны микропрограммам-«скриптам». Что же касается Java-апплетов, то их присутст-вие на страничке тоже обоснованно – они позволяют, например, вывести на экран удобное и функциональное меню, которое разворачивается под курсором мышки… Удобства удобствами, но не стоит забывать, все эти апплеты и скрипты – самые настоящие, полноценные программы. Причём многие из них запускаются и работают не где-то там, на неведомом сервере, а непосредственно на вашем компьютере! И, встроив в них вирус, создатели страницы смогут получить доступ к содержимому вашего жесткого диска. Последствия уже известны – от простой кражи пароля до форматирования жесткого диска. Разумеется, со «скриптами-убийцами» вам придётся сталкиваться во сто крат реже, чем с обычными вирусами. Кстати, на обычные антивирусы в этом случае надежды мало, однако открытая вместе со страничкой зловредная программа должна будет преодолеть защиту самого браузера, создатели которого прекрасно осведомлены о подобных штучках.

8. Троянские программы», программные закладки и сетевые черви.

Троянский конь – это  программа, содержащая в себе некоторую  разрушающую функцию, которая активизируется при наступлении некоторого  условия  срабатывания. Обычно такие программы  маскируются под какие-нибудь  полезные утилиты. Вирусы могут нести  в себе троянских коней или  "троянизировать" другие программы – вносить в них разрушающие функции. «Троянские кони» представляют собой программы, реализующие помимо  функций, описанных в документации, и некоторые другие функции, связанные с  нарушением безопасности и деструктивными действиями. Отмечены случаи  создания таких программ с целью облегчения распространения вирусов. Списки  таких программ широко публикуются в зарубежной печати. Обычно они  маскируются под игровые или развлекательные программы и наносят вред под  красивые картинки или музыку. Программные закладки также содержат некоторую функцию, наносящую  ущерб ВС, но эта функция, наоборот, старается быть как можно незаметнее, т.к.  чем дольше программа не будет вызывать подозрений, тем дольше закладка  сможет работать.

В качестве примера  приведем возможные деструктивные  функции,  реализуемые «троянскими  конями» и программными закладками:

1. Уничтожение информации. Конкретный выбор объектов и  способов  уничтожения зависит  только от фантазии автора  такой программы и  возможностей  ОС. Эта функция является общей  для троянских коней и  закладок.

2. Перехват и передача  информации. В качестве примера  можно  привести реализацию  закладки для выделения паролей,  набираемых на  клавиатуре.

3. Целенаправленная модификация  кода программы, интересующей  нарушителя. Как правило, это программы,  реализующие функции безопасности  и  защиты.

Если вирусы и «троянские кони» наносят ущерб посредством  лавинообразного саморазмножения  или явного разрушения, то основная функция вирусов типа «червь»,  действующих в компьютерных сетях, – взлом атакуемой системы, т.е.  преодоление защиты с целью нарушения  безопасности и целостности. В более 80% компьютерных преступлений, расследуемых ФБР,  "взломщики" проникают в атакуемую систему через глобальную сеть Internet.  Когда такая попытка удается, будущее компании, на создание которой ушли  годы, может быть поставлено под угрозу за какие-то секунды. Этот процесс может быть автоматизирован с помощью вируса, называемого сетевой червь. Червями называют вирусы, которые распространяются по глобальным  сетям, поражая целые системы, а не отдельные программы. Это самый опасный  вид вирусов, так как объектами нападения в этом случае становятся  информационные системы государственного масштаба. С появлением  глобальной сети Internet этот вид нарушения безопасности представляет  наибольшую угрозу, т. к. ему в любой момент может подвергнуться любой из 80  миллионов компьютеров, подключенных к этой сети.

1. Классы троянских программ:

Backdoor — троянские утилиты удаленного администрирования

Троянские программы этого  класса являются утилитами удаленного администрирования компьютеров  в сети. По своей функциональности они во многом напоминают различные  системы администрирования, разрабатываемые  и распространяемые фирмами-производителями  программных продуктов. Единственная особенность этих программ заставляет классифицировать их как вредные троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске «троянец» устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянца в системе. Более того, ссылка на «троянца» может отсутствовать в списке активных приложений. В результате «пользователь» этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления. Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п.. Таким образом, троянские программы данного типа являются одним из самых опасных видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий, присущих другим видам троянских программ. Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают компьютерные черви. Отличает такие «троянцы» от червей тот факт, что они распространяются по сети не самопроизвольно (как черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.

Trojan-PSW — воровство паролей.

Данное семейство объединяет троянские программы, «ворующие» различную  информацию с зараженного компьютера, обычно — системные пароли (PSW —  Password-Stealing-Ware). При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к интернету) и отсылают ее по указанному в коде «троянца» электронному адресу или адресам. Существуют PSW-троянцы, которые сообщают и другую информацию о зараженном компьютере, например, информацию о системе (размер памяти и дискового пространства, версия операционной системы), тип используемого почтового клиента, IP-адрес и т. п. Некоторые троянцы данного типа «воруют» регистрационную информацию к различному программному обеспечению, коды доступа к сетевым играм и прочее.

Trojan-AOL — семейство троянских программ, «ворующих» коды доступа к сети AOL (America Online). Выделены в особую группу по причине своей многочисленности.

Trojan-Clicker — интернет-кликеры

Семейство троянских программ, основная функция которых — организация  несанкционированных обращений  к интернет-ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows).

У злоумышленника могут быть следующие цели для  подобных действий:

• увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы;

• организация DoS-атаки (Denial of Service) на какой-либо сервер;

• привлечение потенциальных жертв для заражения вирусами или троянскими программами.

Trojan-Downloader — доставка прочих вредоносных программ

Троянские программы этого  класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных  систем. Загруженные из Интернета  программы затем либо запускаются  на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с  возможностями операционной системы. Данные действия при этом происходят без ведома пользователя. Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» Интернет-ресурса (обычно с веб-страницы).

Trojan-Dropper — инсталляторы прочих вредоносных программ

Троянские программы этого  класса написаны в целях скрытной инсталляции других программ и практически  всегда используются для «подсовывания» на компьютер-жертву вирусов или  других троянских программ. Данные троянцы обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.

В результате использования  программ данного класса хакеры достигают  двух целей:

• скрытная инсталляция троянских программ и/или вирусов;

• защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.

Trojan-Proxy — троянские прокси-сервера

Семейство троянских программ, скрытно осуществляющих анонимный  доступ к различным Интернет-ресурсам. Обычно используются для рассылки спама.

Trojan-Spy — шпионские программы

Данные троянцы осуществляют электронный шпионаж за пользователем  зараженного компьютера: вводимая с  клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются  в какой-либо файл на диске и периодически отправляются злоумышленнику. Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.

ArcBomb — «бомбы» в архивах

Представляют собой архивы, специально оформленные таким образом, чтобы вызывать нештатное поведение  архиваторов при попытке разархивировать  данные — зависание или существенное замедление работы компьютера или заполнение диска большим количеством «пустых» данных. Особенно опасны «архивные  бомбы» для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки  входящей информации — «архивная  бомба» может просто остановить работу сервера. Встречаются три типа подобных «бомб»: некорректный заголовок архива, повторяющиеся данные и одинаковые файлы в архиве. Некорректный заголовок архива или испорченные данные в архиве могут привести к сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива. Значительных размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой файл в архив небольшого размера (например, 5ГБ данных упаковываются в 200КБ RAR или в 480КБ ZIP-архив). Огромное количество одинаковых файлов в архиве также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10100 одинаковых файлов в 30КБ RAR или 230КБ ZIP-архив).

Trojan-Notifier — оповещение об успешной атаке

Троянцы данного типа предназначены  для сообщения своему «хозяину»  о зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого  порта, адрес электронной почты  и т. п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением.