Учебное пособие Ставрополь сф мггу им. М. А. Шолохова 2009

159
информации
на
компьютере-жертве,
то
только
в
качестве
дополнительной, не основной функции. Однако для многих пользователей это наиболее явное и болезненное последствие - удаленным и не подлежащим восстановлению может оказаться любой файл на жестком диске, как детские фотографии, так и только что законченная курсовая работа или книга.
10. Мистификации. Иногда на электронную почту или по другим каналам приходят так называемые предупреждения о новых вирусах. Обычно они содержат призывы не ходить по приведенным ссылкам, проверить свой компьютер на наличие на нем вируса указанным в сообщении методом или предостережение не принимать почту с определенными параметрами. Чаще всего это просто мистификация. Вреда, если не предпринимать указанные действия и не пересылать всем друзьям и знакомым, нет.
Пример. В апреле 2004 года произошла массовая рассылка предупреждения о якобы опасном вирусе, основным признаком присутствия которого на компьютерах под управлением операционной системы Microsoft
Windows заявлялось наличие файла jdbgmgr.exe, который и содержит саму вредоносную программу. В действительности же этот файл является стандартной программой, входящей в большинство версий Microsoft
Windows. Удаление или изменение содержимого jdbgmgr.exe влечет непредсказуемые последствия в работоспособности операционной системы.
13.5 Классификация вредоностных программ
Все вредоносные программы в соответствии со способами
распространения и вредоносной нагрузкой можно разделить на четыре
основные типа:
- компьютерные вирусы,
- черви,
- трояны
- другие программы.
Рассмотрим основные особенности указанных типов подробнее.
13.5.1 Вирусы
Основная черта компьютерного вируса - это способность к саморазмножению.
Компьютерный вирус- это программа, способная создавать свои
дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в
вычислительные сети и/или файлы, системные области компьютера и
прочие
выполняемые
объекты.
При
этом
дубликаты
сохраняют
способность к дальнейшему распространению.
Условно жизненный цикл любого компьютерного вируса можно
разделить на пять стадий:
-
Проникновение на чужой компьютер.

160
-
Активация.
-
Поиск объектов для заражения.
-
Подготовка копий.
-
Внедрение копий.
Путями проникновения вируса могут служить как мобильные носители, так и сетевые соединения - фактически, все каналы, по которым можно скопировать файл. Однако в отличие от червей, вирусы не используют сетевые ресурсы - заражение вирусом возможно, только если пользователь сам каким-либо образом его активировал. Например, скопировал или получил по почте зараженный файл и сам его запустил или просто открыл.
После проникновения следует активация вируса. Это может происходить несколькими путями.
В соответствии с выбранным методом активации вирусы делятся
на следующие виды:
1. Загрузочные вирусы заражают загрузочные сектора жестких
дисков и мобильных носителей.
Примеры. Вредоносная программа Virus.Boot.Snow.a записывает свой код в MBR жесткого диска или в загрузочные сектора дискет. При этом оригинальные загрузочные сектора шифруются вирусом. После получения управления вирус остается в памяти компьютера (резидентность) и перехватывает прерывания INT 10h, 1Ch и 13h. Иногда вирус проявляет себя визуальным эффектом - на экране компьютера начинает падать снег.
Другой загрузочный вирус Virus.Boot.DiskFiller также заражает MBR винчестера или загрузочные сектора дискет, остается в памяти и перехватывает прерывания - INT 13h, 1Ch и 21h. При этом, заражая дискеты, вирус форматирует дополнительную дорожку с номером 40 или 80 (в зависимости от объема дискеты он может иметь 40 либо 80 дорожек с номерами 0-39 или 0-79 соответственно). Именно на эту нестандартную дорожку вне поля обычной видимости вирус записывает свой код, добавляя в загрузочный сектор лишь небольшой фрагмент - головную часть вируса.
2. Файловые вирусы - заражают файлы. Отдельно по типу среды
обитания в этой группе также выделяют следующие типы.
2.1 Классические файловые вирусы - они различными способами
внедряются в исполняемые файлы (внедряют свой вредоносный код или
полностью их перезаписывают), создают файлы-двойники, свои копии в
различных каталогах жесткого диска или используют особенности
организации файловой системы.
Пример. Самый известный файловый вирус всех времен и народов —
Virus.Win9x.CIH, известный также как «Чернобыль». Имея небольшой размер - около 1 кб - вирус заражает PE-файлы (Portable Executable) на

161 компьютерах под управлением операционных систем Windows 95/98 таким образом, что размер зараженных файлов не меняется. Для достижения этого эффекта вирус ищет в файлах «пустые» участки, возникающие из-за выравнивания начала каждой секции файла под кратные значения байт.
После получения управления вирус перехватывает IFS API, отслеживая вызовы функции обращения к файлам и заражая исполняемые файлы. 26 апреля срабатывает деструктивная функция вируса, которая заключается в стирании Flash BIOS и начальных секторов жестких дисков. Результатом является неспособность компьютера загружаться вообще (в случае успешной попытки стереть Flash BIOS) либо потеря данных на всех жестких дисках компьютера.
2.2 Макровирусы, которые написаны на внутреннем языке, так
называемых макросах какого-либо приложения. Подавляющее большинство макровирусов используют макросы текстового редактора Microsoft Word.
Пример. Одними из наиболее разрушительных макровирусов являются представители семейства Macro.Word97.Thus. Эти вирусы содержат три процедуры Document_Open, Document_Close и Document_New, которыми подменяет стандартные макросы, выполняющиеся при открытии, закрытии и создании документа, тем самым обеспечивая заражение других документов.
13 декабря срабатывает деструктивная функция вируса - он удаляет все файлы на диске C:, включая каталоги и подкаталоги.
2.3 Скрипт-вирусы, написанные в виде скриптов для определенной
командной оболочки - например, bat-файлы для DOS или VBS и JS - скрипты для Windows Scripting Host (WSH).
Пример. Virus.VBS.Sling написан на языке VBScript (Visual Basic
Script). При запуске он ищет файлы с расширениями .VBS или .VBE и заражает их. При наступлении 16-го июня или июля вирус при запуске удаляет все файлы с расширениями .VBS и .VBE, включая самого себя.
Дополнительным отличием вирусов от других вредоносных программ служит их жесткая привязанность к операционной системе или программной оболочке, для которой каждый конкретный вирус был написан. Это означает, что вирус для Microsoft Windows не будет работать и заражать файлы на компьютере с другой установленной операционной системой, например Unix.
Точно также макровирус для Microsoft Word 2003 скорее всего не будет работать в приложении Microsoft Excel 97.
При подготовке своих вирусных копий для маскировки от
антивирусов могут применяться такие технологии как:
- Шифрование — вирус состоит из двух функциональных кусков:
собственно вирус и шифратор. Каждая копия вируса состоит из шифратора, случайного ключа и собственно вируса, зашифрованного этим ключом.

162
- Метаморфизм — создание различных копий вируса путем замены
блоков команд на эквивалентные, перестановки местами кусков
кода, вставки между значащими кусками кода «мусорных» команд, которые практически ничего не делают.
Сочетание этих двух технологий приводит к появлению следующих
типов
вирусов
классифицируемых
по
технологии
защиты
от
обнаружения:
1. Шифрованный вирус — вирус, использующий простое шифрование
со случайным ключом и неизменный шифратор. Такие вирусы легко обнаруживаются по сигнатуре шифратора.
2. Метаморфный вирус — вирус, применяющий метаморфизм ко
всему своему телу для создания новых копий.
3. Полиморфный вирус — вирус, использующий метаморфный
шифратор для шифрования основного тела вируса со случайным
ключом. При этом часть информации, используемой для получения новых копий шифратора также может быть зашифрована.
Например, вирус может реализовывать несколько алгоритмов шифрования и при создании новой копии менять не только команды шифратора, но и сам алгоритм.
Пример. Одним из наиболее сложных и относительно поздних полиморфных вирусов является Virus.Win32.Etap. При заражении файла вирус перестраивает и шифрует собственный код, записывает его в одну из секций заражаемого файла, после чего ищет в коде файла вызов функции
ExitProcess и заменяет его на вызов вирусного кода. Таким образом, вирус получает управление не перед выполнением исходного кода зараженного файла, а после него.
Основные цели любого компьютерного вируса - это распространение на другие ресурсы компьютера и выполнение специальных действий при определенных событиях или действиях пользователя (например, 26 числа каждого четного месяца или при перезагрузке компьютера). Специальные действия нередко оказываются вредоносными.
13.5.2 Черви
В отличие от вирусов черви - это вполне самостоятельные программы.
Главной их особенностью также является способность к саморазмножению, однако при этом они способны к самостоятельному распространению с использованием сетевых каналов. Для подчеркивания этого свойства иногда используют термин «сетевой червь».
Червь
(сетевой
червь)
-
это
вредоносная
программа,
распространяющаяся по сетевым каналам и способная к самостоятельному
преодолению систем защиты компьютерных сетей, а также к созданию и

163
дальнейшему распространению своих копий, не обязательно совпадающих с
оригиналом.
Пример. Классическими сетевыми червями являются представители семейства Net-Worm.Win32.Sasser. Эти черви используют уязвимость в службе LSASS Microsoft Windows. При размножении, червь запускает FTP- службу на TCP-порту 5554, после чего выбирает IP-адрес для атаки и отсылает запрос на порт 445 по этому адресу, проверяя, запущена ли служба
LSASS. Если атакуемый компьютер отвечает на запрос, червь посылает на этот же порт эксплойт уязвимости в службе LSASS, в результате успешного выполнения которого на удаленном компьютере запускается командная оболочка на TCP-порту 9996. Через эту оболочку червь удаленно выполняет загрузку копии червя по протоколу FTP с запущенного ранее сервера и удаленно же запускает себя, завершая процесс проникновения и активации.
Жизненный цикл червей состоит из таких стадий:
- Проникновение в систему.
- Активация.
- Поиск объектов для заражения.
- Подготовка копий.
- Распространение копий.
В зависимости от способа проникновения в систему черви делятся
на типы:
- сетевые черви используют для распространения локальные сети и
Интернет;
- почтовые черви - распространяются с помощью почтовых
программ;
- IM-черви используют системы мгновенного обмена сообщениями;
- IRC-черви распространяются по каналам IRС;
- P2P-черви - при помощи пиринговых файлообменных сетей.
После проникновения на компьютер, червь должен активироваться - иными словами запуститься.
По методу активации все черви можно разделить на две большие
группы.
1. Требующие активного участия пользователя. Отличительная
особенность таких является использование обманных методов.
Это проявляется, например, когда получатель инфицированного
файла вводится в заблуждение текстом письма и добровольно
открывает вложение с почтовым червем, тем самым его
активируя.
2. Не требующие активного участия пользователя. Активация
сетевого червя без участия пользователя всегда означает, что
червь использует бреши в безопасности программного обеспечении

164
компьютера. Это приводит к очень быстрому распространению червя внутри корпоративной сети с большим числом станций, существенно увеличивает загрузку каналов связи и может полностью парализовать сеть. Именно этот метод активации использовали черви Lovesan и Sasser.
В последнее время наметилась тенденция к совмещению этих двух технологий - такие черви наиболее опасны и часто вызывают глобальные эпидемии.
Сетевые черви могут кооперироваться с вирусами - такая пара способна самостоятельно распространяться по сети (благодаря червю) и в то же время заражать ресурсы компьютера (функции вируса).
13.5.3 Троянские программы
Трояны или программы класса троянский конь, в отличие от вирусов и червей, не обязаны уметь размножаться.
Троян (троянский конь) - программа, основной целью которой
является вредоносное воздействие по отношению к компьютерной системе
путем выполнения несанкционированных пользователем действий: кражи,
порчи
или
удаления
конфиденциальных
данных,
нарушения
работоспособности компьютера или использования его ресурсов в
неблаговидных целях.
Некоторые трояны способны к самостоятельному преодолению систем защиты компьютерной системы, с целью проникновения в нее. Однако в большинстве случаев они проникают на компьютеры вместе с вирусом либо червем - то есть такие трояны можно рассматривать как дополнительную вредоносную нагрузку, но не как самостоятельную программу. Нередко пользователи сами загружают троянские программы из Интернет.
Жизненный цикл троянов состоит всего из трех стадий:
- Проникновение в систему.
- Активация.
- Выполнение вредоносных действий.
Как уже говорилось выше, проникать в систему трояны могут двумя путями - самостоятельно и в кооперации с вирусом или сетевым червем. В первом случае обычно используется маскировка, когда троян выдает себя за полезное приложение, которое пользователь самостоятельно копирует себе на диск (например, загружает из Интернет) и запускает. При этом программа действительно может быть полезна, однако наряду с основными функциями она может выполнять действия, свойственные трояну.
Пример. Trojan.SymbOS.Hobble.a является архивом для операционной системы Symbian (SIS-архивом). При этом он маскируется под антивирус
Symantec и носит имя symantec.sis. После запуска на смартфоне троян подменяет оригинальный файл оболочки FExplorer.app на поврежденный

165 файл. В результате при следующей загрузке операционной системы большинство функций смартфона оказываются недоступными.
Для проникновения на компьютер, трояну необходима активация и
здесь он похож на червя - либо требует активных действий от
пользователя или же через уязвимости в программном обеспечении
самостоятельно заражает систему.
Поскольку главная цель написания троянов - это производство
несанкционированных действий, они классифицируются по типу
вредоносной нагрузки.
1. Клавиатурные шпионы, постоянно находясь в оперативной памяти, записывают все данные, поступающие от клавиатуры с целью последующей их передачи своему автору.
2. Похитители паролей предназначены для кражи паролей путем поиска на зараженном компьютере специальных файлов, которые их содержат.
Пример. Trojan-PSW.Win32.LdPinch.kw собирает сведения о системе, а также логины и пароли для различных сервисов и прикладных программ - мессенджеров, почтовых клиентов, программ дозвона. Часто эти данные оказываются слабо защищены, что позволяет трояну их получить и отправить злоумышленнику по электронной почте.
3. Утилиты скрытого удаленного управления - это трояны,
которые обеспечивают несанкционированный удаленный контроль над
инфицированным компьютером. Перечень действий, которые позволяет выполнять тот или иной троян, определяется его функциональностью, заложенной автором. Обычно это возможность скрыто загружать, отсылать, запускать или уничтожать файлы. Такие трояны могут быть использованы как для получения конфиденциальной информации, так и для запуска вирусов, уничтожения данных.
Пример. Backdoor.Win32.Netbus.170 предоставляет полный контроль над компьютером пользователя, включая выполнение любых файловых операций, загрузку и запуск других программ, получение снимков экрана и т. д.
4. Люки (backdoor) — трояны предоставляющие злоумышленнику
ограниченный контроль над компьютером пользователя. От утилит
удаленного управления отличаются более простым устройством и, как
следствие, небольшим количеством доступных действий. Тем не менее, обычно одними из действий являются возможность загрузки и запуска любых файлов по команде злоумышленника, что позволяет при необходимости превратить ограниченный контроль в полный.

166