Основы информационной безопасности_Сычев Ю.Н_Уч.-практ. пос_ЕАОИ. Международный консорциум Электронный университет Московский государственный университет экономики, статистики и информатики

Основы информационная безопасность
88
Виды самостоятельной работы студентов:
− изучение учебного пособия «Информационная безопас- ность»;
− подготовка к участию в форуме по теме «Компьютерные вирусы»;
− изучение дополнительной литературы;
− выполнение тестовых заданий по теме.
Методические указания по изучению вопросов темы
При изучении учебных вопросов:
 изучить тему 3 по учебному пособию «Информационная безопасность»;
 принять участие в форуме по теме «Вредоносные программы»;
 изучить дополнительные материалы;
При изучении темы необходимо:
 читать литературу:
1. Информационная безопасность: Уч. Пособие. – М.: МЭСИ, 2007.
2. Касперский Е.В. Компьютерные вирусы: что это такое и как с ними бороться. – М.: СК Пресс, 1998.
3. Фролов А.В., Фролов Г.В. Осторожно: компьютерные вирусы. –
М.: Диалог-МИФИ, 1996.
 посетить
сайты: www.viruslist.com, www.subscribe.ru, www.refer.ru, www.virus.komi.ru.
Вопросы темы
3.1. Условия существования вредоносных программ.
3.2. Классические компьютерные вирусы.
3.3. Сетевые черви.
3.4. Троянские программы.
3.5. Спам.
3.6. Хакерские утилиты и прочие вредоносные программы.
3.7. Кто и почему создает вредоносные программы.

Вредоносные программы
89
К вредоносным программам относятся: классические файло- вые вирусы, сетевые черви, троянские программы, спам, хакерские утилиты и прочие программы, наносящие заведомый вред компью- теру, на котором они запускаются на выполнение, или другим ком- пьютерам в сети.
3.1. Условия существования вредоносных программ
Операционная система или приложение может подвергнуться вирусному нападению в том случае, если она имеет возможность запустить программу, не являющуюся частью самой системы. Дан- ному условию удовлетворяют все популярные операционные систе- мы, многие офисные приложения, графические редакторы, системы проектирования и прочие программные комплексы, имеющие встроенные скриптовые языки.
Компьютерные вирусы, черви, троянские программы сущест- вуют для десятков операционных систем и приложений. В то же время существует огромное количество других операционных сис- тем и приложений, для которых вредоносные программы пока не обнаружены.
Причиной появления вредоносных программ в конкретной операционной системе или приложении является одновременное выполнение следующих условий:
 популярность, широкое распространение данной системы;
 наличие разнообразной и достаточно полной документации по системе;
 незащищенность системы или существование известных уяз- вимостей в системе безопасности.
Каждое перечисленное условие является необходимым, а вы- полнение всех трех условий одновременно является достаточным для появления разнообразных вредоносных программ.
Условие популярности системы необходимо для того, чтобы она заинтересовала компьютерных хулиганов или хакеров. Если производитель системы добился ее массового распространения, то очевидно, что рано или поздно хакеры и вирусописатели попытают- ся использовать ее в своих интересах.
Напрашивается естественный вывод: чем популярнее опера- ционная система или приложение, тем чаще она будет являться

Основы информационная безопасность
90
жертвой вирусной атаки. Практика это подтверждает – распределе- ние количества вредного программного обеспечения для Windows и
Linux практически совпадает с долями рынка, которые занимают эти операционные системы.
Наличие полной документации необходимо для существова- ния вирусов по естественной причине – создание программ (вклю- чая вирусные) невозможно без технического описания использова- ния сервисов операционной системы и правил написания приложе- ний. У большинства мобильных телефонов, например, подобная информация закрыта – ни компании-производители программных продуктов, ни хакеры не имеют возможности разрабатывать про- граммы для данных устройств. У некоторых телефонов есть доку- ментация по разработке приложений – и, как следствие, появляются и вредоносные программы, разработанные специально для телефо- нов данного типа.
Под защищенностью системы понимаются архитектурные решения, которые не позволяют новому (неизвестному) приложе- нию получить полный или достаточно широкий доступ к файлам на диске (включая другие приложения) и потенциально опасным сервисам системы. Подобное ограничение фактически блокирует любую вирусную активность, но при этом, естественно, накладывает существенные ограничения на возможности обычных программ.
3.2. Классические компьютерные вирусы
К данной категории относятся программы, распространяю- щие свои копии по ресурсам локального компьютера с целью:
 последующего запуска своего кода при каких-либо действиях пользователя;
 дальнейшего внедрения в другие ресурсы компьютера.
В отличие от червей вирусы не используют сетевых сервисов для проникновения на другие компьютеры. Копия вируса попадает на удаленные компьютеры только в том случае, если зараженный объект по каким-либо не зависящим от функционала вируса при- чинам оказывается активизированным на другом компьютере, на- пример:
 при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;

Вредоносные программы
91
 вирус скопировал себя на съемный носитель или заразил файлы на нем;
 пользователь отослал электронное письмо с зараженным вло- жением.
Некоторые вирусы содержат в себе свойства других разновид- ностей вредоносного программного обеспечения, например бэкдор- процедуру или троянскую компоненту уничтожения информации на диске.
Классификация классических вирусов
Типы компьютерных вирусов различаются между собой по следующим основным признакам:
1. Среда обитания;
2. Способ заражения.
Под «средой обитания» понимаются системные области ком- пьютера, операционные системы или приложения, в компоненты
(файлы) которых внедряется код вируса. Под «способом заражения» понимаются различные методы внедрения вирусного кода в зара- жаемые объекты.
Среда обитания
По среде обитания вирусы можно разделить на:
 файловые;
 загрузочные;
 макровирусы;
 скриптовые.
Файловые вирусы при своем размножении тем или иным спо- собом используют файловую систему какой-либо (или каких-либо)
ОС. Они:
 различными способами внедряются в исполняемые файлы
(наиболее распространенный тип вирусов);
 создают файлы-двойники (компаньон-вирусы);
 создают свои копии в различных каталогах;
 используют особенности организации файловой системы
(link-вирусы).
Загрузочные вирусы записывают себя либо в загрузочный сек- тор диска (boot-сектор), либо в сектор, содержащий системный за- грузчик винчестера (Master Boot Record), либо меняют указатель на

Основы информационная безопасность
92
активный boot-сектор. Данный тип вирусов был достаточно распро- странен в 1990-х гг., но практически исчез с переходом на 32-битные операционные системы и отказом от использования дискет как основного способа обмена информацией. Теоретически возможно появление загрузочных вирусов, заражающих CD-диски и USB- флешек, но на текущий момент такие вирусы не обнаружены.
Многие табличные и графические редакторы, системы проек- тирования, текстовые процессоры имеют свои макро-языки для ав- томатизации выполнения повторяющихся действий. Эти макро- языки часто имеют сложную структуру и развитый набор команд.
Макро-вирусы являются программами на макро-языках, встроенных в такие системы обработки данных. Для своего размножения вирусы этого класса используют возможности макро-языков и при их помо- щи переносят себя из одного зараженного файла (документа или таблицы) в другие.
Способы заражения
Файловые вирусы
По способу заражения файлов вирусы делятся на:
 перезаписывающие вирусы (overwriting);
 паразитические вирусы (parasitic);
 вирусы-компаньоны (companion);
 вирусы-ссылки (link);
 вирусы, заражающие объектные модули (OBJ);
 вирусы, заражающие библиотеки компиляторов (LIB);
 вирусы, заражающие исходные тексты программ.
Overwriting
Данный метод заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать.
Parasitic
К паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержи- мое файлов, оставляя сами файлы при этом полностью или частич- но работоспособными.

Вредоносные программы
93
Основными типами таких вирусов являются вирусы, записы- вающиеся в начало файлов (prepending), в конец файлов (appending) и в середину файлов (inserting). В свою очередь, внедрение вирусов в середину файлов происходит различными методами – путем пере- носа части файла в его конец или копирования своего кода в заве- домо неиспользуемые данные файла (cavity-вирусы).
Внедрение вируса в начало файла
Известны два способа внедрения паразитического файлового вируса в начало файла. Первый способ заключается в том, что вирус переписывает начало заражаемого файла в его конец, а сам копирует- ся в освободившееся место (рис 3.1). При заражении файла вторым способом вирус дописывает заражаемый файл к своему телу (рис 3.2).
Рис. 3.1. Внедрение вируса в начало файла первым способом
Таким образом, при запуске зараженного файла первым управление получает код вируса. При этом вирусы, чтобы сохра- нить работоспособность программы, либо лечат зараженный файл, повторно запускают его, ждут окончания его работы и снова запи- сываются в его начало (иногда для этого используется временный файл, в который записывается обезвреженный файл), либо восста- навливают код программы в памяти компьютера и настраивают не- обходимые адреса в ее теле (т. е. дублируют работу ОС).

Основы информационная безопасность
94
Рис. 3.2. Внедрение вируса в начало файла вторым способом
Внедрение вируса в конец файла
Наиболее распространенным способом внедрения вируса в файл является дописывание вируса в его конец (рис. 3.3).
Рис. 3.3. Внедрение вируса в конец файла

Вредоносные программы
95
При этом вирус изменяет начало файла таким образом, что первыми выполняемыми командами программы, содержащейся в файле, являются команды вируса.
Для того чтобы получить управление при старте файла, вирус корректирует стартовый адрес программы (адрес точки входа). Для этого вирус производит необходимые изменения в заголовке файла.
Внедрение вируса в середину файла
Существует несколько методов внедрения вируса в середину файла. В наиболее простом из них вирус переносит часть файла в его конец или «раздвигает» файл и записывает свой код в освобо- дившееся пространство. Этот способ во многом аналогичен методам, перечисленным выше. Некоторые вирусы при этом компрессируют переносимый блок файла так, что длина файла при заражении не изменяется.
Вторым является метод «cavity», при котором вирус записыва- ется в заведомо неиспользуемые области файла. Вирус может быть скопирован в незадействованные области заголовок EXE-файла, в
«дыры» между секциями EXE-файлов или в область текстовых со- общений популярных компиляторов. Существуют вирусы, зара- жающие только те файлы, которые содержат блоки, заполненные каким-либо постоянным байтом, при этом вирус записывает свой код вместо такого блока.
Кроме того, копирование вируса в середину файла может произойти в результате ошибки вируса, в этом случае файл может быть необратимо испорчен.
Вирусы без точки входа
Отдельно следует отметить довольно незначительную группу вирусов, не имеющих «точки входа» (EPO-вирусы – Entry Point
Obscuring viruses). К ним относятся вирусы, не изменяющие адрес точки старта в заголовке EXE-файлов. Такие вирусы записывают ко- манду перехода на свой код в какое-либо место в середину файла и получают управление не непосредственно при запуске зараженного файла, а при вызове процедуры, содержащей код передачи управ- ления на тело вируса. Причем выполняться эта процедура может крайне редко (например, при выводе сообщения о какой-либо спе- цифической ошибке). В результате вирус может долгие годы «спать» внутри файла и выскочить на свободу только при некоторых огра- ниченных условиях.

Основы информационная безопасность
96
Перед тем, как записать в середину файла команду перехода на свой код, вирусу необходимо выбрать «правильный» адрес в файле – иначе зараженный файл может оказаться испорченным.
Известны несколько способов, с помощью которых вирусы опреде- ляют такие адреса внутри файлов, например, поиск в файле после- довательности стандартного кода заголовков процедур языков про- граммирования (C/Pascal), дизассемблирование кода файла или за- мена адресов импортируемых функций.
Companion
К категории «companion» относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т. е. вирус.
К вирусам данного типа относятся те из них, которые при за- ражении переименовывают файл в какое-либо другое имя, запоми- нают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого файла. Например, файл
NOTEPAD.EXE переименовывается в NOTEPAD.EXD, а вирус запи- сывается под именем NOTEPAD.EXE. При запуске управление полу- чает код вируса, который затем запускает оригинальный NOTEPAD.
Возможно существование и других типов вирусов- компаньонов, использующих иные оригинальные идеи или особен- ности других операционных систем. Например, PATH-компаньоны, которые размещают свои копии в основном катагоге Windows, ис- пользуя тот факт, что этот каталог является первым в списке PATH, и файлы для запуска Windows, в первую очередь, будет искать именно в нем. Данными способом самозапуска пользуются также многие компьютерные черви и троянские программы.
Прочие способы заражения
Существуют вирусы, которые никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размно- жении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям «специаль- ные» имена, чтобы подтолкнуть пользователя на запуск своей копии
– например, INSTALL.EXE или WINSTART.BAT.

Вредоносные программы
97
Некоторые вирусы записывают свои копии в архивы (ARJ, ZIP,
RAR). Другие записывают команду запуска зараженного файла в
BAT-файлы.
Link-вирусы также не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» ОС выполнить свой код. Этой цели они достигают модификацией необ- ходимых полей файловой системы.
Загрузочные вирусы
Известные на текущий момент загрузочные вирусы заражают загрузочный (boot) сектор гибкого диска и boot-сектор или Master
Boot Record (MBR) винчестера. Принцип действия загрузочных ви- русов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера – после необходимых тес- тов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузоч- ного диска (A:, C: или CD-ROM в зависимости от параметров, уста- новленных в BIOS Setup) и передает на него управление.
При заражении дисков загрузочные вирусы «подставляют» свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одина- ков во всех описанных выше способах: вирус «заставляет» систему при ее перезапуске считать в память и отдать управление не ориги- нальному коду загрузчика, но коду вируса.
Заражение дискет производится единственным известным способом – вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными спо- собами – вирус записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска C:), либо мо- дифицирует адрес активного boot-сектора в таблице разделов диска
(Disk Partition Table), расположенной в MBR винчестера.
Рис. 3.4. Незараженный диск

Основы информационная безопасность
98
Рис. 3.5.