Учебное пособие Ставрополь сф мггу им. М. А. Шолохова 2009

153
Запустить программу можно также непрямым методом. Например, при доступе к любому файлу, содержащему текстовую информацию, должна запускаться программа, позволяющая его прочесть, то есть преобразовывающая машинный код, содержащийся в текстовом файле, в буквы, которые пользователь прочитает на экране.
Таким образом, практически все программы помимо основных функций, выполняют ряд дополнительных, служебных действий, не видимых обычному пользователю.
Вредоносная программа - это программа, наносящая какой-либо вред
компьютеру, на котором она запускается, или другим подключенным к нему
компьютерам.
Одним из способов для вредоносной программы оставаться незамеченной на компьютере является дописывание своего кода к файлу другой известной программы.
При этом возможно как полное перезаписывание файлов (но в этом случае вредоносная программа обнаруживает себя при первом же запуске, поскольку ожидаемые действия полностью заменены), так и внедрение в начало, середину или конец файла.
Пример. CIH - вирус, который в ходе заражения записывает свои копии во все запускаемые пользователем программные файлы (PE EXE).
Внедрение может происходить как одним куском, так и путем деления вредоносного кода на блоки и записи их в разных частях заражаемого файла.
При этом инфицированная программа может дальше выполнять свои основные функции и вирус в ней никак себя не обнаруживает. Однако в определенный момент времени происходит уничтожение всей информации на жестком диске. Поскольку самая известная версия CIH срабатывала 26 апреля, то он получил второе имя - «Чернобыль».
13.2 Способы распространения вредоносных программ
В настоящее время имеется четыре основных способа передачи
вредоносного ПО.
1. Мобильные носители. К мобильным носителям можно отнести все
виды энергонезависимых ПЗУ. То есть таких устройств, которые
позволяют достаточно долго хранить информацию и при этом не требуют
дополнительного питания от компьютера. Это дискеты, компакт диски, flash-накопители, перфокарты и перфоленты.
Мобильные носители - достаточно распространенный способ для размножения компьютерных вирусов. Однако по скорости распространения этот путь существенно уступает компьютерным сетям.
2. Локальная вычислительная сеть (ЛВС)
2)
- это компьютерная
сеть, покрывающая относительно небольшую территорию (дом, школу, институт, микрорайон).

154
Вредоносные программы в полной мере используют преимущества
ЛВС - фактически, почти все современные вирусы имеют встроенные
процедуры инфицирования по локальным сетям и как следствие высокие
темпы распространения. Инфицирование обычно происходит в такой последовательности. Зараженный компьютер с заданным интервалом инициирует соединение поочередно со всеми другими компьютерами сети и проверяет наличие на них открытых для общего доступа файлов. Если такие есть, происходит инфицирование.
3. Глобальная вычислительная сеть (ГВС) - это компьютерная сеть,
покрывающая большие территории - города, страны, континенты. Самая большая и самая известная на сегодняшний день глобальная вычислительная сеть - это всемирная сеть Интернет. Наличие сети такого масштаба делает
возможным всемирные эпидемии компьютерных вирусов.
Пример. 30 апреля 2004 года были обнаружены первые экземпляры вируса Sasser - в течение дня им было атаковано около 4 тысяч компьютеров, что вызвало серьезные сбои в работе таких компаний как Postbank, Delta Air
Lines, Goldman Sachs. Впоследствии было поражено более 8 млн. компьютеров, а убытки от Sasser были оценены в 979 млн. долларов США.
4. Электронная почта - это способ передачи информации в
компьютерных сетях, основанный на пересылке пакетов данных,
называемых электронными письмами.
На сегодняшний день электронная почта выступает основным путем
распространения вирусов. Это происходит потому, что время доставки письма очень мало (обычно исчисляется минутами) и практически все пользователи Интернет имеют как минимум один почтовый ящик. При этом для того, чтобы доставить пользователю на компьютер зараженный файл, не нужно его принуждать куда-либо обратиться и скопировать к себе вирус.
Достаточно лишь прислать на его электронный адрес инфицированное письмо и заставить адресата его открыть. Часто для инфицирования даже не требуется запускать вложение - существуют методы, позволяющие заражать даже при обычном прочтении письма.
Пример 1. Horillka распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам с такими параметрами: заголовок -
«Внимание!», текст: «Выпущено новое vbs обновление для поиска вирусов в памяти ОС Windows! Оно помогает бороться с вирусами, рассылающимися по почте. Антивирусный модуль написан на скрипт-языке, что помогает перехватывать vb и js вирусы, прежде чем они начнут деструктивную деятельность. Достаточно открыть файл и программа по устранению вирусов проведет поиск вредоносных программ в памяти компьютера». Во вложении находится файл с именем «WinSys32dll.vbs», после его запуска происходит заражение компьютера. Как результат, 11 декабря каждого года на экран

155 выдается сообщение «COOOOOOOOL» и после следующей перезагрузки уничтожаются все данные на жестком диске С.
Пример 2. LoveLetter в мае 2000 года в течение всего нескольких часов заразил миллионы компьютеров по всему миру. Такому успеху способствовала удачно выбранная тема, интригующий текст и имя вложенного файла - «ILOVEYOU», «kindly check the attached LOVELETTER coming from me» и «LOVE-LETTER-FOR-YOU.TXT.vbs. После заражения происходила кража конфиденциальной информации и искажение содержимого некоторых файлов на жестком диске.
13.3 Операционная система. Уязвимости и заплаты
Все программы можно разделить на два типа - прикладные и системные.
Прикладное программное обеспечение (прикладные программы) -
это
программы,
предназначенные
для
выполнения
определенных
пользовательских
задач
и
рассчитанные
на
непосредственное
взаимодействие с пользователем. Прикладные программы часто называют приложениями.
Системное программное обеспечение используется для обеспечения
работы компьютера самого по себе и выполнения прикладных программ.
В персональном компьютере под прикладными программами понимаются различные текстовые редакторы, игры, почтовые программы, электронные словари. Роль базового системного программного обеспечения играет операционная система.
Операционная система (ОС) - это комплекс программ, который
обеспечивает управление физическими устройствами компьютера, доступ к
файлам,
ввод
и
вывод
данных,
выполнение
и
взаимодействие
пользовательских программ. Наличие автозагрузки дает возможность вредоносным вирусам практически незаметно выполнять свои функции. Для этого во время заражения в список автозагрузки добавляется ссылка на программу, которая загружает вирус в оперативную память при каждой загрузке операционной системы. То есть фактически активация вируса происходит без участия пользователя при каждом включении компьютера.
Уязвимость (или брешь в системе безопасности) - это место в
программном коде, которое теоретически или реально может быть
использовано для несанкционированного доступа к управлению программой.
Уязвимости могут появляться как в системном, так и в прикладном
программном обеспечении.
После обнаружения уязвимости, производители программ обычно стараются как можно скорее выпустить дополнения, которые бы исправляли исходный код и закрывали брешь.
Заплата или патч (от англ. patch - латать, ставить заплаты) - это
программный код, используемый для модификации используемой программы.

156
Другими словами заплата - это дополнительная программа, которую
следует запустить на выполнение, если в уже используемой программе
обнаружилась ошибка или уязвимость. При этом часто можно устанавливать патч без удаления основной программы и даже без завершения ее работы - в первую очередь это касается операционных систем.
Пример. В январе 2003 года началась эпидемия Slammer, заражающего сервера под управлением операционной системы Microsoft
SQL Server 2000. Вирус использовал брешь в системе безопасности SQL
Server, заплата к которой вышла еще в июле 2002. После проникновения
Slammer начинал в бесконечном цикле посылать свой код на случайно выбранные адреса в сети - только за первые 10 минут было поражено около
90% (120 000 единиц) всех уязвимых серверов, при этом пять из тринадцати главных серверов Интернет вышли из строя.
13.4 Последствия заражений вредоносной программой
Последствия инфицирования компьютера вредоносной программой
могут быть как явными, так и неявными.
К неявным последствиям обычно относят заражения программами,
которые по своей сути являются вирусами, однако из-за ошибок в своем
коде или нестандартному программному обеспечению целевого компьютера,
вредоносную нагрузку выполнить не могут. При этом свое присутствие в
системе они никак не выражают.
Класс явных последствий постоянно увеличивается. К ним можно
отнести:
1. Несанкционированная рассылка электронных писем. Ряд вирусов
после заражения компьютера ищут на жестком диске файлы, содержащие
электронные адреса и без ведома пользователя начинают рассылку по ним
инфицированных писем.
Пример. Sircam рассылал себя с зараженных компьютеров в виде файлов, вложенных в письма электронной почты. Для этого случайным образом на жестком диске выбирался файл, к которому прикреплялся вирусный код (дописывался в конец файла). Таким образом отсылаемые письма содержали вложение, состоящее из двух частей: вирус и файл- приманку. Имя вложения формировалось на основе выбранного файла - например, если исходный файл назывался photos.zip, то имя вложения было - photos.zip.pif, photos.zip.lnk, photos.zip.bat или photos.zip.com. Адреса получателей выбирались из найденных на зараженном компьютере, а текст писем составлялся так, чтобы внушить как можно меньше подозрений и заставить адресата запустить полученный файл. Побочным эффектом такого способа распространения является утечка с зараженного компьютера конфиденциальных документов.

157
2. Кража конфиденциальной информации. После инфицирования
вирус ищет файлы, содержащие конфиденциальную информацию (номера
кредитных карт, различные пароли, секретные документы), для кражи
которой он предназначен, и передает ее хозяину. Это может происходить путем отправки выбранных данных в электронном сообщении на определенный адрес или прямой пересылки их на удаленный сервер.
3. Несанкционированное
использование
сетевых
ресурсов.
Существуют вирусы, которые после заражения без ведома пользователя
подключаются к различным платным службам с использованием личных
данных, найденных на компьютере. Впоследствии жертве приходится оплачивать не заказанные ею услуги, а злоумышленник обычно получает процент от этого счета.
Пример. Dialer - после попадания на компьютер, этот вирус начинал дозвон на международные телефонные номера для подключения к платным сервисам. Через некоторое время пользователю приходил огромный телефонный счет и доказать в подавляющем большинстве случаев что он никуда не звонил не представлялось возможным.
4. Удаленное управление компьютером. После того, как произошло
заражение, некоторые вирусы передают своему хозяину инструменты для
удаленного управления инфицированным компьютером - открывают
бекдоры (от англ. backdoor - черный ход). Обычно это выражается в
возможности удаленно запускать размещенные на нем программы, а также
загружать из Интернет по желанию злоумышленника любые файлы. Свое присутствие такие программы обычно выражают только в использовании части ресурсов зараженного компьютера для своих нужд - в основном процессора и оперативной памяти. Такие компьютеры часто называют машинами-зомби.
5. Ботнеты. Группа компьютеров, которыми централизованно
управляет один злоумышленник, называется ботнетом. Число таких компьютеров в Интернет на сегодняшний день достигает нескольких миллионов и продолжает увеличиваться каждый день.
Пример. Bagle - вирус, распространяющийся в виде вложения в электронные письма. Адрес отправителя и имя вложения - произвольные, тема - «Hi», текст - «Test =)». После заражения он копирует себя на жесткий диск под именем bbeagle.exe и регистрирует этот файл в автозапуске операционной системы. Далее происходят попытки соединиться с несколькими удаленными серверами.
При этом злоумышленнику предоставляется возможность загружать на зараженный компьютер любые файлы и запускать их на выполнение. Первый вирус из этой серии, Bagle.a, был обнаружен 18 января 2004, однако по замыслу автора уже через 10 дней он перестал размножаться и вскоре появились новые, более совершенные

158 модификации Bagle. В результате автор получил огромную сеть подконтрольных ему компьютеров. Bagle-ботнет - одна из самых масштабных и известных сетей машин-зомби.
6. Несанкционированная атака на чужой сервер. Последнее время вирусописатели используют ботнеты для организации так называемых DoS- атак. DoS (от англ. Denial of Service) - это построенное на принципе отказа в обслуживании нападение на удаленный сайт. Это означает, что каждый инфицированный компьютер периодически (с интервалом обычно порядка 1 секунды) посылает произвольный запрос на получение информации с заданного злоумышленником сайта. Все веб-сайты рассчитаны на определенное число запросов в единицу времени, поэтому резкое увеличение нагрузки практически всегда выводит сервер из строя. Атака, которая производится одновременно с большого количества компьютеров, называется распределенной DoS-атакой или DDoS (от англ. Distributed Denial of Service).
Пример.Одна из самых известных DDoS-атак была предпринята в июле 2001 года. Объектом нападения стал веб-сайт Белого дома в США
(www.whitehouse.gov). В атаке участвовало около 12000 (по другим данным - до 200000) компьютеров, зараженных во время прошедшей незадолго до этого эпидемии вируса CodeRed.
7. Рассылка спама. Под этим термином обычно понимается
ненужная, нежелательная, не запрошенная получателем корреспонденция.
Спам может приходить как по электронной почте, так и в виде других сообщений, например на мобильный телефон в виде SMS. Поскольку электронных адресов в Интернет очень много, рассылка спама занимает много ресурсов. Поэтому злоумышленники часто используют для этих целей ботнеты.
8. Фишинг. Фактически фишинг - это метод кражи чужой
информации, суть которого заключается в подделке известного сайта и
рассылке электронных писем-приглашений зайти на него и ввести свою
конфиденциальную информацию.