Основы информационной безопасности_Сычев Ю.Н_Уч.-практ. пос_ЕАОИ. Международный консорциум Электронный университет Московский государственный университет экономики, статистики и информатики

Вредоносные программы
99
Рис. 3.7. Расположение макровируса в файле
При работе с документами и таблицами MS Office выполняет различные действия: открывает документ, сохраняет, печатает, за- крывает и т.д. При этом MS Word, например, ищет и выполняет соответствующие «встроенные макросы» – при сохранении файла по команде File/Save вызывается макрос FileSave, при сохранении по команде File/SaveAs – FileSaveAs, при печати документов – FilePrint и т.д., если, конечно, таковые макросы определены.
Существует также несколько «автомакросов», автоматически вызываемых при различных условиях. Например, при открытии до- кумента MS Word проверяет его на наличие макроса AutoOpen. Если такой макрос присутствует, то Word выполняет его. При закрытии

Основы информационная безопасность
100 документа Word выполняет макрос AutoClose, при запуске Word вы- зывается макрос AutoExec, при завершении работы – AutoExit, при создании нового документа – AutoNew. Автоматически (т.е. без уча- стия пользователя) выполняются также макросы/функции, ассо- циированные с какой-либо клавишей либо моментом времени или датой, т.е. MS Word/Excel вызывают макрос/функцию при нажатии на какую-либо конкретную клавишу (или комбинацию клавиш) ли- бо при достижении какого-либо момента времени.
Макровирусы, поражающие файлы MS Office, как правило, пользуются одним из перечисленных выше приемов – в вирусе либо присутствует авто-макрос (авто-функция), либо переопределен один из стандартных системных макросов (ассоциированный с каким- либо пунктом меню), либо макрос вируса вызывается автоматически при нажатии на какую-либо клавишу или комбинацию клавиш. По- лучив управление, макровирус переносит свой код в другие файлы, обычно в файлы, которые редактируются в данный момент. Реже макровирусы самостоятельно ищут другие файлы на диске.
Скрипт-вирусы
Следует отметить также скрипт-вирусы, являющиеся подгруп- пой файловых вирусов. Данные вирусы, написаны на различных скрипт-языках (VBS, JS, BAT, PHP и т.д.). Они либо заражают другие скрипт-программы (командные и служебные файлы MS Windows или
Linux), либо являются частями многокомпонентных вирусов. Также, данные вирусы могут заражать файлы других форматов (например,
HTML), если в них возможно выполнение скриптов.
3.3. Сетевые черви
К данной категории относятся программы, распространяю- щие свои копии по локальным и/или глобальным сетям с целью:
 проникновения на удаленные компьютеры;
 запуска своей копии на удаленном компьютере;
 дальнейшего распространения на другие компьютеры в сети.
Для своего распространения сетевые черви используют разно- образные компьютерные и мобильные сети: электронную почту, системы обмена мгновенными сообщениями, файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устрой- ствами (телефонами, карманными компьютерами) и т. д.

Вредоносные программы
101
Большинство известных червей распространяется в виде фай- лов: вложение в электронное письмо, ссылка на зараженный файл на каком-либо веб- или FTP-ресурсе в ICQ- и IRC-сообщениях, файл в каталоге обмена P2P и т. д.
Некоторые черви (так называемые «бесфайловые» или «па- кетные» черви) распространяются в виде сетевых пакетов, проника- ют непосредственно в память компьютера и активизируют свой код.
Для проникновения на удаленные компьютеры и запуска сво- ей копии черви используют различные методы: социальный инжи- ниринг (например, текст электронного письма, призывающий от- крыть вложенный файл), недочеты в конфигурации сети (напри- мер, копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и приложений.
Некоторые черви обладают также свойствами других разно- видностей вредоносного программного обеспечения. Например, некоторые черви содержат троянские функции или способны зара- жать выполняемые файлы на локальном диске, т. е. имеют свойство троянской программы и/или компьютерного вируса.
Классификация сетевых червей
Основным признаком, по которому типы червей различаются между собой, является способ распространения червя – каким спо- собом он передает свою копию на удаленные компьютеры. Другими признаками различия червей между собой являются способы запус- ка копии червя на заражаемом компьютере, методы внедрения в систему, а также полиморфизм, «стелс» и прочие характеристики, присущие и другим типам вредоносного программного обеспече- ния (вирусам и троянским программам).
Email-Worm – почтовые черви
К данной категории червей относятся те из них, которые для своего распространения используют электронную почту. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположен- ный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (за- пуске) зараженного вложения, во втором – при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков – активизиру- ется код червя.

Основы информационная безопасность
102
Для отправки зараженных сообщений почтовые черви исполь- зуют различные способы. Наиболее распространены:
 прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
 использование сервисов MS Outlook;
 использование функций Windows MAPI.
Различные методы используются почтовыми червями для по- иска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
 рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
 считывает адреса из адресной базы WAB;
 сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
 отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов элек- тронной почты.
IM-Worm – черви, использующие Интернет-пейджеры
Известные компьютерные черви данного типа используют единственный способ распространения – рассылку на обнаружен- ные контакты (из контакт-листа) сообщений, содержащих URL, на файл, расположенный на каком-либо веб-сервере. Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.
IRC-Worm – черви в IRC-каналах
У данного типа червей, как и у почтовых червей, существуют два способа распространения червя по IRC-каналам, повторяющие способы, описанные выше. Первый заключается в отсылке URL- ссылки на копию червя. Второй способ – отсылка зараженного фай- ла какому-либо пользователю сети. При этом атакуемый пользова- тель должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).

Вредоносные программы
103
Net-Worm – прочие сетевые черви
Существуют прочие способы заражения удаленных компью- теров, например:
 копирование червя на сетевые ресурсы;
 проникновение червя на компьютер через уязвимости в опе- рационных системах и приложениях;
 проникновение в сетевые ресурсы публичного использования;
 паразитирование на других вредоносных программах.
Первый способ заключается в том, что червь ищет удаленные компьютеры и копирует себя в каталоги, открытые на чтение и за- пись (если такие обнаружены). При этом черви данного типа или перебирают доступные сетевые каталоги, используя функции опе- рационной системы, и/или случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.
Для проникновения вторым способом черви ищут в сети ком- пьютеры, на которых используется программное обеспечение, со- держащее критические уязвимости. Для заражения уязвимых ком- пьютеров червь посылает специально оформленный сетевой пакет или запрос (эксплойт уязвимости), в результате чего код (или часть кода) червя проникает на компьютер-жертву. Если сетевой пакет содержит только часть кода червя, он затем скачивает основной файл и запускает его на исполнение.
Отдельную категорию составляют черви, использующие для своего распространения веб- и FTP-серверы. Заражение происходит в два этапа. Сначала червь проникает в компьютер-сервер и необхо- димым образом модифицирует служебные файлы сервера (напри- мер, статические веб-страницы). Затем червь «ждет» посетителей, которые запрашивают информацию с зараженного сервера (напри- мер, открывают зараженную веб-страницу), и таким образом прони- кает на другие компьютеры в сети.
Существуют сетевые черви, паразитирующие на других чер- вях и/или троянских программах удаленного администрирования
(бэкдорах). Данные черви используют тот факт, что многие бэкдоры позволяют по определенной команде скачивать указанный файл и запускать его на локальном диске. То же возможно с некоторыми червями, содержащими бэкдор-процедуры. Для заражения удален- ных компьютеров данные черви ищут другие компьютеры в сети и посылают на них команду скачивания и запуска своей копии. Если атакуемый компьютер оказывается уже зараженным «подходящей»

Основы информационная безопасность
104 троянской программой, червь проникает в него и активизирует свою копию.
Следует отметить, что многие компьютерные черви исполь- зуют более одного способа распространения своих копий по сетям, два и более методов атаки удаленных компьютеров.
P2P-Worm – черви для файлообменных сетей
Механизм работы большинства подобных червей достаточно прост – для внедрения в P2P-сеть червю достаточно скопировать се- бя в каталог обмена файлами, который обычно расположен на ло- кальной машине. Всю остальную работу по распространению виру- са P2P-сеть берет на себя – при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необ- ходимый сервис для скачивания файла с зараженного компьютера.
Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поис- ковые запросы отвечают положительно – при этом червь предлагает для скачивания свою копию.
3.4. Троянские программы
В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера.
Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разра- ботанные для массированных DОS-атак на удаленные ресурсы сети).
Классификация троянских программ
Троянские программы различаются между собой по тем дей- ствиям, которые они производят на зараженном компьютере.
Backdoor – троянские утилиты удаленного администрирования
Троянские программы этого класса являются утилитами уда- ленного администрирования компьютеров в сети. По своей функ- циональности они во многом напоминают различные системы ад- министрирования, разрабатываемые и распространяемые фирмами- производителями программных продуктов.

Вредоносные программы
105
Единственная особенность этих программ заставляет класси- фицировать их как вредные троянские программы: отсутствие пре- дупреждения об инсталляции и запуске. При запуске троянская программа устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях ее в системе. Более того, ссылка на троянскую программу может отсутст- вовать в списке активных приложений. В результате пользователь может не знать о ее присутствии в системе, в то время как его ком- пьютер открыт для удаленного управления.
Утилиты скрытого управления позволяют делать с компьюте- ром все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информа- цию, перезагружать компьютер и т. д. В результате эти троянцы мо- гут быть использованы для обнаружения и передачи конфиденци- альной информации, для запуска вирусов, уничтожения данных и т. п. – пораженные компьютеры оказываются открытыми для зло- умышленных действий хакеров.
Таким образом, троянские программы данного типа являются одним из самых опасных видов вредоносных программ, поскольку в них заложена возможность самых разнообразных злоумышленных действий, присущих другим видам троянских программ.
Отдельно следует отметить группу бэкдоров, способных рас- пространяться по сети и внедряться в другие компьютеры, как это делают компьютерные черви. Отличает такие троянские программы от червей тот факт, что они распространяются по сети не самопро- извольно (как черви), а только по специальной команде.
Trojan-PSW – воровство паролей
Данное семейство объединяет троянские программы, ворую- щие различную информацию с зараженного компьютера, обычно – системные пароли (PSW — Password-Stealing-Ware). При запуске
PSW-троянцы ищут сиcтемные файлы, хранящие различную кон- фиденциальную информацию (обычно номера телефонов и пароли доступа к Интернету) и отсылают ее по указанному в коде троян- ской программы электронному адресу или адресам.
Существуют PSW-троянцы, которые сообщают и другую ин- формацию о зараженном компьютере, например, информацию о системе (например, размер памяти и дискового пространства, вер- сию операционной системы, тип используемого почтового клиента,
IP-адрес и т. п.). Некоторые троянские программы данного типа во- руют регистрационную информацию к различному программному обеспечению, коды доступа к сетевым играм и прочее.

Основы информационная безопасность
106
Trojan-AOL – семейство троянских программ, ворующих коды доступа к сети AOL (America Online). Выделены в особую группу по причине своей многочисленности.
Trojan-Clicker – Интернет-кликеры
Семейство троянских программ, основная функция которых – организация несанкционированных обращений к Интернет- ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных фай- лов, в которых указаны стандартные адреса Интернет-ресурсов (на- пример, файл hosts в MS Windows).
У злоумышленника могут быть следующие цели для подоб- ных действий:
 увеличение посещаемости каких-либо сайтов с целью увели- чения показов рекламы;
 организация DoS-атаки (Denial of Service) на какой-либо сервер;
 привлечение потенциальных жертв для заражения вирусами или троянскими программами.
Trojan-Downloader – доставка вредоносных программ
Троянские программы этого класса предназначены для за- грузки и установки на компьютер-жертву новых версий вредонос- ных программ, установки троянских программ или рекламных сис- тем. Загруженные из Интернета программы затем либо запускаются на выполнение, либо регистрируются троянской программой на автозагрузку в соответствии с возможностями операционной систе- мы. Данные действия при этом происходят без ведома пользователя.
Информация об именах и расположении загружаемых программ содержится в коде и данных троянской программы или скачивается ей с управляющего Интернет-ресурса (обычно с веб-страницы).
Trojan-Dropper – инсталляторы вредоносных программ
Троянские программы этого класса написаны в целях скрыт- ной инсталляции других программ и практически всегда использу- ются для подсовывания на компьютер-жертву вирусов или других троянских программ.
Данные троянцы обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.

Вредоносные программы
107
Обычно структура таких программ следующая:
Основной код
Файл 1
Файл 2
...
Основной код выделяет из своего файла остальные компонен- ты (файл 1, файл 2, ...), записывает их на диск и открывает их (запус- кает на выполнение).
Обычно один (или более) компонентов являются троянскими программами, и как минимум один компонент является обманом: про- граммой-шуткой, игрой, картинкой или чем-то подобным. Обман должен отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то полезное, в то вре- мя как троянская компонента инсталлируется в систему.
В результате использования программ данного класса хакеры достигают двух целей:
 скрытная инсталляция троянских программ и/или вирусов;
 защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.
Trojan-Proxy – троянские прокси-сервера
Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным Интернет-ресурсам. Обычно ис- пользуются для рассылки спама.
Trojan-Spy – шпионские программы
Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и дей- ствия пользователя с ними сохраняются в каком-либо файле на дис- ке и периодически отправляются злоумышленнику.
Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.
Trojan – прочие троянские программы
К данным троянцам относятся те из них, которые осуществ- ляют прочие действия, попадающие под определение троянских

Основы информационная безопасность
108 программ, т. е. разрушение или злонамеренная модификация дан- ных, нарушение работоспособности компьютера и прочее.
В данной категории также относятся многоцелевые троянские программы, например, те из них, которые одновременно шпионят за пользователем и предоставляют proxy-сервис удаленному зло- умышленнику.
Rootkit – сокрытие присутствия в операционной системе
Понятие rootkit пришло к нам из UNIX. Первоначально это понятие использовалось для обозначения набора инструментов, применяемых для получения прав root.
Так как инструменты типа rootkit на сегодняшний день име- ются и на других ОС (в том числе, на Windows), то следует признать подобное определение rootkit морально устаревшим и не отвечаю- щим реальному положению дел.
Таким образом, rootkit – программный код или техника, на- правленная на сокрытие присутствия в системе заданных объектов
(процессов, файлов, ключей реестра и т.д.).
ArcBomb – «бомбы» в архивах
Представляют собой архивы, специально оформленные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные – зависание или существенное замедление работы компьютера или заполнение диска большим ко- личеством пустых данных. Особенно опасны архивные «бомбы» для файловых и почтовых серверов, если на сервере используется какая- либо система автоматической обработки входящей информации, – архивная «бомба» может просто остановить работу сервера.
Встречаются три типа подобных «бомб»: некорректный заголо- вок архива, повторяющиеся данные и одинаковые файлы в архиве.
Некорректный заголовок архива или испорченные данные в архиве могут привести к сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива.
Значительных размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой файл в архив небольшого размера (например, 5ГБ данных упаковываются в 200КБ RAR или в
480КБ ZIP-архив).
Огромное количество одинаковых файлов в архиве также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10 100
одинаковых файлов в 30КБ RAR или 230КБ ZIP-архив).

Вредоносные программы
109
Trojan-Notifier – оповещение об успешной атаке
Троянцы данного типа предназначены для сообщения о за- раженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере, например, IP-адрес компьютера, но- мер открытого порта, адрес электронной почты и т. п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина»,
ICQ-сообщением.
Данные троянские программы используются в многоком- понентных троянских наборах для извещения своего «хозяина» об успешной инсталляции троянских компонент в атакуемую систему.
3.5. Спам
Английское слово Spam произошло от словосочетания spiced ham – «ветчина со специями». Это название родилось в стенах аме- риканской компании Hormel, которая запатентовала его как торго- вую марку. История началась в 30-е гг., когда у компании скопился огромный запас второсортного мяса, и Hormel начала массирован- ную маркетинговую кампанию по сбыту своих залежей. Новоиспе- ченный спам удалось в большом количестве продать американской армии, которая не смогла справиться с ним в одиночку и поспеши- ла поделиться со странами-союзниками. Запасов хватило до конца сороковых, в послевоенной Англии спам являлся одним из немно- гих продуктов питания.
Если говорить о спаме как о массовой непрошенной рассылке по электронной почте, то его история берет свое начало 5 марта
1994 г. В этот день американская юридическая компания Canter and
Siegel отправила по нескольким конференциям Usenet рекламную информацию о лотерее US Green Car.
Год от года объем спамерских рассылок растет, развиваются технологии рассылки спама, спам меняет свою тематику, стиль об- ращения к пользователям.
В последнее время характер спама становится все более кри- минальным, спамерские письма все чаще маскируются под служеб- ные сообщения известных Интернет-сервисов и общественных ор- ганизаций.

Основы информационная безопасность
110
К основным видам спама относятся:
 влияние на котировки акций;
 фишинг;
 черный пиар;
 нигерийские письма;
 источник слухов;
 пустые письма.
Влияние на котировки акций
В настоящее время происходит стремительный рост количест- ва рассылок предложений по инвестициям и игре на фондовой бирже. Этот спам предлагает информацию о динамике акций той или иной компании на фондовой бирже. Часто информация пода- ется как «инсайдерская», случайно попавшая к данному отправите- лю письма. Фактически это попытка повлиять на предпочтения ин- весторов и курс акций.
Фишинг
Фишинг (ловля на удочку) – это распространение поддельных сообщений от имени банков или финансовых компаний. Целью та- кого сообщения является сбор логинов, паролей и пин-кодов поль- зователей.
Обычно такой спам содержит текст с предупреждением об об- наруженных дырах в безопасности денежных операций «онлайн», в качестве меры предосторожности предлагается зайти на сайт и под- твердить/сменить пароль доступа к счету или пин-код банковской карты.
Естественно, ссылки в таком письме ведут не на настоящие банковские сайты, а на поддельные (спамерские) сайты. Ворованные коды/пароли можно использовать как для доступа к счету, так и для оплаты покупок в Интернет-магазинах. К настоящему времени спа- меры перешли на новые технологии, и теперь фишинг-сообщения могут содержать «шпионский» скрипт, который перехватывает коды и/или пароли при вводе их на официальном банковском сайте и пересылает спамеру. Для активации скрипта достаточно просто от- крыть сообщение.

Вредоносные программы
111
Пример типичного фишинг-сообщения.
Черный пиар
Это акция, цель которой – опорочить ту или иную фирму, компанию, политического кандидата и т.п. Эти рассылки имеют
«негативный» характер, т.е. они агитируют не «за», а «против»
(в письмах даются причины, почему не надо голосовать за того или иного кандидата).
Нигерийские письма
«Нигерийскими письмами» называют спам, написанный от име- ни реальных или вымышленных лиц, обычно – граждан стран с неста- бильной экономической ситуацией, воспринимаемых публикой как рассадник коррупции. Первый зафиксированный спам такого типа рассылался от имени вымышленных нигерийских чиновников, именно поэтому он и получил название «нигерийских писем».
Автор такого письма обычно утверждает, что он располагает миллионами долларов, но они приобретены не совсем законными способами или же хранятся в обход закона. Например, это украден- ные иностранные инвестиции или гранты ООН. Дальше автор письма объясняет, что по этой причине он не может более держать деньги на счету в нигерийском банке, и что ему срочно требуется счет в зарубежном банке, куда можно перечислить «грязные» день- ги. В качестве вознаграждения за помощь предлагается от 10% до
30% от заявленной в письме суммы. Идея мошенничества заключа-
From: CityBank
To: Иванов Иван Иванович
Subject: Уведомление о получении платежа
Уважаемый клиент!
На Ваш текущий счет был получен перевод в иностранной валюте на сумму, превышающую USD 2.000. В соответствии с поль- зовательским соглашением CitiBankR, Вам необходимо подтвердить этот перевод для его успешного зачисления на Ваш счет. Для под- тверждения платежа просим Вас зайти в программу управления Ва- шим счетом CitiBankR и следовать предложенным инструкциям.
Если подтверждение не будет получено в течение 48 часов, платеж будет возвращен отправителю.
Для входа в программу CitiBankR, нажмите сюда >>
С уважением,
Служба CitiBankR

Основы информационная безопасность
112 ется в том, что доверчивый пользователь предоставит автору письма доступ к своему счету. Нетрудно предугадать результат – все деньги с этого счета будут сняты и уйдут в неизвестном направлении.
Иточник слухов
Нежелательная корреспонденция бывает разных видов. Поль- зователи Рунета привыкли считать спамом сообщения, несущие бо- лее или менее ярко выраженную рекламную компоненту, но спам более разнообразен, чем это кажется на первый взгляд.
Организаторы данной рассылки инициируют первые не- сколько писем, содержащих эмоционально нагруженные сведения о потенциальной опасности (например, сведения о заражении питье- вых источников, готовящемся теракте и т.п.) или просьбы о помощи жертвам стихийных бедствий.
Пользователи склонны доверчиво относиться к таким письмам и рассылают их копии дальше по спискам адресов в своих адресных книгах. По массовости такие пересылки оказываются вполне сопос- тавимыми со средней спамерской рассылкой, и уступают они только в скорости распространения.
Пример такого письма.
Здравствуйте
Сообщаемая мной информация – не слух, а официальная информация, разосланная ФСБ телеграммами по администрациям больниц, поликлиник, скорой помощи Москвы и Московской области
(это стандартная процедура в случае угрозы вреда здоровью массе людей, т.к. данные службы должны быть в первую очередь в курсе).
Информация получена от моего родственника, который как раз и работает в "скорой". Кроме того, соответствующие объявления уже развешены во многих лечебных учереждениях.
Информация:
«По имеющейся у спецслужб информации в настоящее время планиру- ется террористическая акция по отравлению питьевой воды в Москве или в Московской области, биологическое (например, сальмонэлиоз) или химическое (например, цианид). К сожалению, точной информации по месту и характеру отравления нет. Но необходимо уделить особое вни- мание всем случаям отравлений, особенно массовым».
Меры предосторожности:
Пить только кипяченую воду (ни в коем случае сырую), жела- тельно предварительно пропущенную через очищающие фильтры.
Предупредить всех.

Вредоносные программы
113
Пустые письма
С 2003 г. у спамеров сложилась практика периодически прово- дить рассылки содержательно «пустых», т.е. нерекламных сообщений.
Иногда это действительно пустые письма (нет контента), иногда письма с единственным словом «привет» или «тест», довольно часто рассылки содержат бессмысленные последовательности символов.
Такие рассылки преследуют сразу несколько целей. С одной стороны, это обычное тестирование нового или модифицированно- го спамерского программного обеспечения и т. п. С другой стороны,
«пустые» рассылки довольно легко проходят антиспам-фильтры (не содержат спамерского контента), вызывая у пользователей понятное раздражение и скепсис по отношению к фильтрации спама.
Они также создают большую дополнительную нагрузку на каналы связи, что может выражаться в существенном снижении ско- рости обмена электронной корреспонденцией на время прохожде- ния спамерской рассылки.
3.6. Хакерские утилиты и прочие
вредоносные программы
К данной категории относятся:
 утилиты автоматизации создания вирусов, червей и троян- ских программ (конструкторы);
 программные библиотеки, разработанные для создания вре- доносных программ;
 хакерские утилиты скрытия кода зараженных файлов от ан- тивирусной проверки (шифровальщики файлов);
 «злые шутки», затрудняющие работу с компьютером;
 программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе;
 прочие программы, тем или иным способом намеренно нано- сящие прямой или косвенный ущерб данному или удаленным ком- пьютерам.
Классификация прочих вредоносных программ
К прочим вредоносным относятся разнообразные программы, котрые не представляют угрозы непосредствено компьютеру, на ко- тором исполняются, а разработаны для создания других вирусов

Основы информационная безопасность
114 или троянских программ, организации DОS-атак на удаленные сер- вера, взлома других компьютеров и т. п.
DОS, DDОS – сетевые атаки
Программы данного типа реализуют атаки на удаленные серве- ра, посылая на них многочисленные запросы, что приводит к отказу в обслуживании, если ресурсы атакуемого сервера недостаточны для об- работки всех поступающих запросов (DОS = Denial of Service).
DОS-программы реализуют атаку с одного компьютера с ве- дома пользователя. DDОS-программы (Distributed DОS) реализуют распределенные атаки с разных компьютеров, причем без ведома пользователя зараженного компьютера. Для этого DDОS-программа засылается любым способом на компьютер «жертв-посредников» и после запуска в зависимости от текущей даты или по команде от
«хозяина» начинает DОS-атаку на указанный сервер в сети.
Некоторые компьютерные черви содержат в себе DОS- процедуры, атакующие сайты, которые по каким-либо причинам
«невзлюбил» автор червя. Так, червь Codered 20 августа 2001 г. орга- низовал успешную атаку на официальный сайт Президента США, а червь Mydoom.a 1 февраля 2004 г. «выключил» сайт SCO, произво- дителя дистрибутивов UNIX.
Exploit, HackTool – взломщики удаленных компьютеров.
Хакерские утилиты данного класса предназначены для про- никновения в удаленные компьютеры с целью дальнейшего управ- ления ими (используя методы троянских программ типа «backdoor») или для внедрения во взломанную систему других вредоносных программ.
Хакерские утилиты типа «exploit» при этом используют уяз- вимости в операционных системах или приложениях, установлен- ных на атакуемом компьютере.
Flooder – «замусоривание» сети
Данные хакерские утилиты используются для бесполезных со- общений каналов Интернета – IRC-каналов, компьютерных пей- джинговых сетей, электронной почты и т. д.
Constructor – конструкторы вирусов и троянских программ
Конструкторы вирусов и троянских программ – это утилиты, предназначенные для изготовления новых компьютерных вирусов и троянских программ. Известны конструкторы вирусов для DOS,

Вредоносные программы
115
Windows и макровирусов. Они позволяют генерировать исходные тексты вирусов, объектные модули, и/или непосредственно зара- женные файлы.
Некоторые конструкторы снабжены стандартным оконным интерфейсом, где при помощи системы меню можно выбрать тип вируса, поражаемые объекты, наличие или отсутствие самошифров- ки, противодействие отладчику, внутренние текстовые строки, выбрать эффекты, сопровождающие работу вируса, и т. п. Прочие конструкторы не имеют интерфейса и считывают информацию о типе вируса из конфигурационного файла.
Nuker – фатальные сетевые атаки
Утилиты, отправляющие специально оформленные запросы на атакуемые компьютеры в сети, в результате чего атакуемая систе- ма прекращает работу. Используют уязвимости в программном обеспечении и операционных системах, в результате чего сетевой запрос специального вида вызывает критическую ошибку в атакуе- мом приложении.
Bad-Joke, Hoax – злые шутки, введение пользователя в заблу-
ждение
К ним относятся программы, которые не причиняют компью- теру какого-либо прямого вреда, однако выводят сообщения о том, что такой вред уже причинен, либо будет причинен при каких-либо условиях, либо предупреждают пользователя о несуществующей опасности. К «злым шуткам» относятся, например, программы, ко- торые «пугают» пользователя сообщениями о форматировании дис- ка (хотя никакого форматирования на самом деле не происходит), детектируют вирусы в незараженных файлах, выводят странные ви- русоподобные сообщения и т. д. – в зависимости от чувства юмора автора такой программы.
FileCryptor, PolyCryptor – скрытие от антивирусных про-
грамм
Хакерские утилиты, использующиеся для шифрования других вредоносных программ с целью скрытия их содержимого от антиви- русной проверки.
PolyEngine – полиморфные генераторы
Полиморфные генераторы не являются вирусами в прямом смысле этого слова, поскольку в их алгоритм не закладываются

Основы информационная безопасность
116 функции размножения, т. е. открытия, закрытия и записи в файлы, чтения и записи секторов и т. д. Главной функцией подобного рода программ является шифрование тела вируса и генерация соответст- вующего расшифровщика.
Обычно полиморфные генераторы распространяются их авто- рами без ограничений в виде файла-архива. Основным файлом в архи- ве любого генератора является объектный модуль, содержащий этот генератор. Во всех встречавшихся генераторах этот модуль содержит внешнюю (external) функцию – вызов программы генератора.
VirTool
Утилиты, предназначенные для облегчения написания ком- пьютерных вирусов и для их изучения в хакерских целях.
3.7. Кто и почему создает вредоносные программы
Основная масса вирусов и троянских программ в прошлом создавалась студентами и школьниками, которые только что изучи- ли язык программирования, хотели попробовать свои силы, но не смогли найти для них более достойного применения. Отраден тот факт, что значительная часть подобных вирусов их авторами не распространялась и вирусы через некоторое время умирали сами вместе с дисками, на которых хранились. Такие вирусы писались и пишутся по сей день только для самоутверждения их авторов.
Вторую группу создателей вирусов также составляют молодые люди (чаще всего – студенты), которые еще не полностью овладели ис- кусством программирования. Единственная причина, толкающая их на написание вирусов, – это комплекс неполноценности, который ком- пенсируется компьютерным хулиганством. Жизнь подобных вирусо- писателей стала заметно проще с развитием Интернета и появлением многочисленных веб-сайтов, ориентированных на обучение написа- нию компьютерных вирусов. На подобных веб-ресурсах можно найти подробные рекомендации по методам проникновения в систему, приемам скрытия от антивирусных программ, способам дальнейшего распространения вируса. Часто здесь же можно найти готовые исход- ные тексты, в которые надо всего лишь внести минимальные «автор- ские» изменения и откомпилировать рекомендуемым способом.
«Хулиганские» вирусы в последние годы становятся все менее и менее актуальными – за исключением тех случаев, когда такие

Вредоносные программы
117
вредоносные программы вызвали глобальные сетевые и почтовые эпидемии. На текущий момент доля подобных вирусов и троянских программ занимает не более 10%, заносимого в антивирусные базы данных. Оставшиеся 90% гораздо более опасны, чем просто вирусы.
Став старше и опытнее, многие из подобных вирусописателей попадают в третью, наиболее опасную группу, которая создает и запускает в мир профессиональные вирусы. Эти тщательно проду- манные и отлаженные программы создаются профессиональными, часто очень талантливыми программистами. Такие вирусы нередко используют достаточно оригинальные алгоритмы проникновения в системные области данных, ошибки в системах безопасности опера- ционных сред, социальный инжиниринг и прочие хитрости.
Отдельно стоит четвертая группа авторов вирусов – исследова- тели, довольно сообразительные программисты, которые занимаются изобретением принципиально новых методов заражения, скрытия, противодействия антивирусам и т. д. Они же придумывают способы внедрения в новые операционные системы. Эти программисты пи- шут вирусы не ради собственно вирусов, а скорее ради исследования.
Часто авторы подобных вирусов не распространяют свои творения, однако активно пропагандируют свои идеи через многочисленные
Интернет-ресурсы, посвященные созданию вирусов. При этом опас- ность, исходящая от таких «исследовательских» вирусов, тоже весьма велика – попав в руки «профессионалов» из предыдущей группы, эти идеи очень быстро появляются в новых вирусах.
Мелкое воровство
С появлением и популяризацией платных Интернет-сервисов
(почта, WWW, хостинг) компьютерный андеграунд начинает прояв- лять повышенный интерес к получению доступа в сеть за чужой счет, т. е. посредством кражи чьего-либо логина и пароля (или не- скольких логинов/паролей с различных пораженных компьютеров) путем применения специально разработанных троянских программ.
В начале 1997 г. зафиксированы первые случаи создания и распространения троянских программ, ворующих пароли доступа к системе AOL. В 1998 г., с распространением Интернет-услуг в Европе и России, аналогичные троянские программы появляются и для других Интернет-сервисов. До сих пор троянцы, ворующие пароли к dial-up, пароли к AOL, коды доступа к другим сервисам, составля- ют заметную часть ежедневных «поступлений» в лаборатории анти- вирусных компаний всего мира.

Основы информационная безопасность
118
Троянские программы данного типа, как и вирусы, обычно создаются молодыми людьми, у которых нет средств для оплаты Ин- тернет-услуг. Характерен тот факт, что по мере удешевления Ин- тернет-сервисов уменьшается и удельное количество таких троян- ских программ.
«Мелкими воришками» также создаются троянские програм- мы других типов: ворующие регистрационные данные и ключевые файлы различных программных продуктов (часто – сетевых игр), использующие ресурсы зараженных компьютеров в интересах сво- его «хозяина» и т. п.
Криминальный бизнес
Наиболее опасную категорию вирусописателей составляют хакеры-одиночки или группы хакеров, которые осознанно или не- осознанно создают вредоносные программы с единственной целью: получить чужие деньги (рекламируя что-либо или просто воруя их), ресурсы зараженного компьютера (опять-таки, ради денег – для об- служивания спам-бизнеса или организации DОS-атак с целью даль- нейшего шантажа).
Обслуживание рекламного и спам-бизнеса – один из основных видов деятельности таких хакеров. Для рассылки спама ими созда- ются специализированные троянские proxy-серверы, которые затем внедряются в десятки тысяч компьютеров. Затем такая сеть «зомби- машин» поступает на черный Интернет-рынок, где приобретается спамерами. Для внедрения в операционную систему и дальнейшего обновления принудительной рекламы создаются утилиты, исполь- зующие откровенно хакерские методы: незаметную инсталляцию в систему, разнообразные маскировки (чтобы затруднить удаление рекламного софта), противодействие антивирусным программам.
Вторым видом деятельности подобных вирусописателей явля- ется создание, распространение и обслуживание троянских про- грамм-шпионов, направленных на воровство денежных средств с персональных (а если повезет – то и с корпоративных) «электронных кошельков» или с обслуживаемых через Интернет банковских сче- тов. Троянские программы данного типа собирают информацию о кодах доступа к счетам и пересылают ее своему «хозяину».
Третьим видом криминальной деятельности этой группы яв- ляется Интернет-рэкет, т. е. организация массированной DОS-атаки на один или несколько Интернет-ресурсов с последующим требова- нием денежного вознаграждения за прекращение атаки. Обычно

Вредоносные программы
119
под удар попадают Интернет-магазины, букмекерские конторы – т. е. компании, бизнес которых напрямую зависит от работоспособ- ности веб-сайта компании.
Вирусы, созданные этой категорией вирусописателей, стано- вятся причиной многочисленных вирусных эпидемий, иницииро- ванных для массового распространения и установки описанных вы- ше троянских компонент.
Контрольные вопросы
1. Какие программы являются вредоносными.
2. Условия существования вредоносных программ.
3. Причины появления вредных программ.
4. Классические компьютерные вирусы.
5. Классификация классических вирусов.
6. Способы заражения компьютерными вирусами.
7. Внедрение вируса в начало файла.
8. Внедрение вируса в конец файла.
9. Внедрение вируса в середину файла.
10. Вирусы без точки входа.
11. Загрузочные вирусы.
12. Макровирусы.
13. Сетевые черви.
14. Классификация сетевых червей.
15. Email-Worm – почтовые черви.
16. IM-Worm – черви, использующие Интернет-пейджеры.
17. IRC-Worm – черви в IRC-каналах.
18. Net-Worm – прочие сетевые черви.
19. P2P-Worm – черви для файлообменных сетей.
20. Троянские программы.
21. Классификация троянских программ.
22. Backdoor – троянские утилиты удаленного администрирования.
23. Trojan-PSW – воровство паролей.
24. Trojan-Clicker – Интернет-кликеры.
25. Trojan-Downloader – доставка вредоносных программ.
26. Trojan-Dropper – инсталляторы вредоносных программ.
27. Trojan-Proxy – троянские прокси-сервера.
28. Trojan-Spy – шпионские программы.
29. Trojan – прочие троянские программы.

Основы информационная безопасность
120 30. Rootkit – сокрытие присутствия в операционной системе.
31. ArcBomb – «бомбы» в архивах.
32. Trojan-Notifier – оповещение об успешной атаке.
33. Спам.
34. Основные виды спама.
35. Хакерские утилиты и прочие вредоносные программы.
36. Основные виды хакерских утилит и прочих вредоносных про- грамм.
37. DОS, DDОS – сетевые атаки.
38. Exploit, HackTool – взломщики удаленных компьютеров.
39. Flooder – «замусоривание» сети.
40. Constructor – конструкторы вирусов и троянских программ.
41. Nuker – фатальные сетевые атаки.
42. Bad-Joke, Hoax – злые шутки, введение пользователя в заблуж- дение.
43. FileCryptor, PolyCryptor – скрытие от антивирусных программ.
44. PolyEngine – полиморфные генераторы.
45. Кто и почему создает вредоносные программы.
Тесты
1. По среде обитания классические вирусы разделяются:
1. на паразитические;
2. на компаньоны;
3. на файловые;
4. на ссылки;
5. на перезаписывающие.
2. По среде обитания классические вирусы разделяются:
1. на загрузочные;
2. на компаньоны;
3. на паразитические;
4. на ссылки;
5. на перезаписывающие.
3. По среде обитания классические вирусы разделяются:
1. на ссылки;
2. на компаньоны;
3. на паразитические;

Вредоносные программы
121 4. на макровирусы;
5. на перезаписывающие.
4. По среде обитания классические вирусы разделяются:
1. на ссылки;
2. на компаньоны;
3. на скриптовые;
4. на паразитические;
5. на перезаписывающие.
5. По способу заражения классические вирусы разделяются:
1. на файловые;
2. на загрузочные;
3. на макровирусы;
4. на скриптовые;
5. на перезаписывающие.
6. По способу заражения классические вирусы разделяются:
1. на файловые;
2. на паразитические;
3. на макровирусы;
4. на скриптовые;
5. на загрузочные.
7. По способу заражения классические вирусы разделяются:
1. на компаньоны;
2. на файловые;
3. на макровирусы;
4. на скриптовые;
5. на загрузочные.
8. По способу заражения классические вирусы разделяются:
1. на скриптовые;
2. на файловые;
3. на макровирусы;
4. на ссылки;
5. на загрузочные.
9. Сетевой червь отсылает либо свою копию в виде вложения в
электронное письмо, либо ссылку на свой файл, расположенный на
каком-либо сетевом ресурсе:

Основы информационная безопасность
122 1. IM-Worm;
2. IRC-Worm;
3. Net-Worm;
4. P2P-Worm;
5. Email-Worm.
10. Сетевые черви используют способ распространения – рассыл-
ку на обнаруженные контакты (из контакт-листа) сообщений,
содержащих URL, на файл, расположенный на каком-либо веб-
сервере:
1. IM-Worm;
2. IRC-Worm;
3. Net-Worm;
4. P2P-Worm;
5. Email-Worm.
11. Сетевые черви распространяются двумя способами по IRC-
каналам. Первый заключается в отсылке URL-ссылки на копию
червя. Второй способ – отсылка зараженного файла какому-либо
пользователю сети. При этом атакуемый пользователь должен
подтвердить прием файла, затем сохранить его на диск и от-
крыть:
1. IM-Worm;
2. IRC-Worm;
3. Net-Worm;
4. P2P-Worm;
5. Email-Worm.
12. Сетевой червь ищет удаленные компьютеры и копирует себя
в каталоги, открытые на чтение и запись, при этом червь или пе-
ребирает доступные сетевые каталоги, используя функции опера-
ционной системы, и/или случайным образом ищет компьютеры в
глобальной сети, подключается к ним и пытается открыть их
диски на полный доступ:
1. IM-Worm;
2. IRC-Worm;
3. Net-Worm;
4. P2P-Worm;
5. Email-Worm.

Вредоносные программы
123
13. Сетевые черви ищут в сети компьютеры, на которых исполь-
зуется программное обеспечение, содержащее уязвимости. Для за-
ражения уязвимых компьютеров червь посылает специально
оформленный сетевой пакет или запрос, в результате чего код чер-
вя проникает на компьютер-жертву:
1. IM-Worm;
2. IRC-Worm;
3. Net-Worm;
4. P2P-Worm;
5. Email-Worm.
14. Для внедрения в сеть сетевому червю достаточно скопиро-
вать себя в каталог обмена файлами, который обычно расположен
на локальном компьютере. Всю остальную работу по распростра-
нению вируса сеть берет на себя – при поиске файлов в сети она
сообщит удаленным пользователям о данном файле и предоставит
весь необходимый сервис для скачивания файла с зараженного ком-
пьютера:
1. IM-Worm;
2. IRC-Worm;
3. Net-Worm;
4. P2P-Worm;
5. Email-Worm.
15. Сетевой червь имитирует сетевой протокол конкретной
файлообменной системы и на поисковые запросы отвечает поло-
жительно – при этом червь предлагает для скачивания свою копию:
1. IM-Worm;
2. IRC-Worm;
3. Net-Worm;
4. P2P-Worm;
5. Email-Worm.
16. Троянские утилиты удаленного администрирования:
1. Trojan-PSW;
2. Trojan-Clicker;
3. Backdoor;
4. Trojan-Downloader;
5. Trojan-Dropper.

Основы информационная безопасность
124
17. Троянские программы для воровства паролей:
1. Trojan-PSW;
2. Trojan-Clicker;
3. Trojan-Proxy;
4. Trojan-Downloader;
5. Trojan-Dropper.
18. Троянские программы для доставки вредоносных программ:
1. Trojan-PSW;
2. Trojan-Clicker;
3. Trojan-Proxy;
4. Trojan-Downloader;
5. Trojan-Dropper.
19. Троянские программы инсталляторы вредоносных программ:
1. Trojan-PSW;
2. Trojan-Clicker;
3. Trojan-Proxy;
4. Trojan-Downloader;
5. Trojan-Dropper.
20. Троянские шпионские программы:
1. Trojan-PSW;
2. Trojan-Spy;
3. Trojan-Proxy;
4. Trojan-Downloader;
5. Trojan-Dropper.
21. Троянские программы, применяемые для организации несанк-
ционированных обращений к Интернет-ресурсам:
1. Trojan-PSW;
2. Trojan-Spy;
3. Trojan-Clicker;
4. Trojan-Downloader;
5. Trojan-Dropper.
22. Троянские программы, скрытно осуществляющие анонимный
доступ к различным Интернет-ресурсам, обычно используются для
рассылки спама:
1. Trojan-PSW;
2. Trojan-Spy;

Вредоносные программы
125 3. Trojan-Proxy;
4. Trojan-Downloader;
5. Trojan-Dropper.
23. Троянские программы, предназначенные для оповещение об ус-
пешной атаке:
1. Trojan-PSW;
2. Trojan-Spy;
3. Trojan-Proxy;
4. Trojan-Notifier;
5. Trojan-Dropper.
24. Спам распространяет поддельные сообщения от имени бан-
ков или финансовых компаний, целью которых является сбор логи-
нов, паролей и пин-кодов пользователей:
1. черный пиар;
2. фишинг;
3. нигерийские письма;
4. источник слухов;
5. пустые письма.
25. Спам, который имеет цель опорочить ту или иную фирму,
компанию, политического кандидата и т.п:
1. черный пиар;
2. фишинг;
3. нигерийские письма;
4. источник слухов;
5. пустые письма.
26. Спам, написанный от имени реальных или вымышленных лиц,
обычно граждан стран с нестабильной экономической ситуацией,
воспринимаемых публикой как рассадник коррупции:
1. черный пиар;
2. фишинг;
3. нигерийские письма;
4. источник слухов;
5. пустые письма.
27. Спам инициирует письма, содержащие сведения о потенциальной
опасности или просьбы о помощи жертвам стихийных бедствий:
1. черный пиар;

Основы информационная безопасность
126 2. фишинг;
3. нигерийские письма;
4. источник слухов;
5. пустые письма.
28. Спам периодически проводит рассылки нерекламных сообщений:
1. черный пиар;
2. фишинг;
3. нигерийские письма;
4. источник слухов;
5. пустые письма.

Защита от компьютерных вирусов
127