Главная страница
Навигация по странице:

  • 5. Анонимные SMTP-сервера и прокси-сервера

  • 6. Утилиты дозвона

  • 8. Логические

  • 13.5.4 Другие вредоносные программы Среди множества других вредоносных программ, для которых

  • К условно опасным программам относятся

  • 2. Хакерские утилиты

  • 13.6 Примеры угроз безопасности информации реализуемых

  • Угроза нарушения конфиденциальности.

  • Угроза нарушения целостности.

  • Угроза нарушения доступности.

  • 13.7 История компьютерных вирусов

  • Учебное пособие Ставрополь сф мггу им. М. А. Шолохова 2009


    Скачать 5.26 Mb.
    НазваниеУчебное пособие Ставрополь сф мггу им. М. А. Шолохова 2009
    Дата03.04.2022
    Размер5.26 Mb.
    Формат файлаpdf
    Имя файлаinformacionnaya_bezopasnost.pdf
    ТипУчебное пособие
    #437466
    страница16 из 36
    1   ...   12   13   14   15   16   17   18   19   ...   36
    Пример. Троян Backdoor.win32.Wootbot.gen использует IRC-канал для получения команд от «хозяина». По команде троян может загружать и запускать на выполнение другие программы, сканировать другие компьютеры на наличие уязвимостей и устанавливать себя на компьютеры через обнаруженные уязвимости.
    5. Анонимные SMTP-сервера и прокси-сервера - разновидность
    троянов,
    которые
    на
    зараженном
    компьютере
    организовывают
    несанкционированную
    отправку
    электронной
    почты,
    что
    часто
    используется для рассылки спама.
    Пример.
    Трояны из семейства
    Trojan-Proxy.Win32.Mitglieder распространяются с различными версиями червей Bagle. Троян запускается червем, открывает на компьютере порт и отправляет автору вируса информацию об IP-адресе зараженного компьютера. После этого компьютер может использоваться для рассылки спама.
    6. Утилиты дозвона - в скрытом от пользователя режиме
    инициируют подключение к платным сервисам Интернет.
    7. Модификаторы настроек браузера меняют стартовую страницу в браузере, страницу поиска или еще какие-либо настройки, открывают дополнительные окна, имитируют нажатия на рекламные баннеры и т. п.
    8. Логические
    бомбы
    характеризуются
    способностью
    при
    срабатывании заложенных в них условий (в конкретный день, время суток,
    определенное действие пользователя или команды извне) выполнять какое-
    либо действие, например, удаление файлов.
    Пример. Virus.Win9x.CIH, Macro.Word97.Thus
    Отдельно отметим, что существуют программы из класса троянов, которые наносят вред другим, удаленным компьютерам и сетям, при этом не нарушая работоспособности инфицированного компьютера.
    Яркие представители этой группы - организаторы DDoS-атак.
    13.5.4 Другие вредоносные программы
    Среди множества других вредоносных программ, для которых
    нельзя привести общий критерий, можно выделить следующие
    небольшие группы.
    1. Условно опасные программы, то есть такие, о которых нельзя
    однозначно сказать, что они вредоносны. Такие программы обычно становятся опасными только при определенных условиях или действиях пользователя.

    167
    К условно опасным программам относятся:
    - Riskware - вполне легальные программы, которые сами по себе не
    опасны, но обладают функционалом, позволяющим злоумышленнику
    использовать их с вредоносными целями. К riskware относятся обычные утилиты удаленного управления, которыми часто пользуются администраторы больших сетей, клиенты IRC, программы для загрузки файлов из
    Интернет, утилиты восстановления забытых паролей и другие.
    - Рекламные утилиты (adware) - условно-бесплатные программы,
    которые в качестве платы за свое использование демонстрируют
    пользователю рекламу, чаще всего в виде графических баннеров.
    После официальной оплаты и регистрации обычно показ рекламы заканчивается и программы начинают работать в обычном режиме.
    Проблема adware кроется в механизмах, которые используются для загрузки рекламы на компьютер. Кроме того, что для этих целей часто используются программы сторонних и не всегда проверенных производителей, даже после регистрации такие модули могут автоматически не удаляться и продолжать свою работу в скрытом режиме.
    - Pornware - к этому классу относятся утилиты, так или иначе
    связанные
    с
    показом
    пользователям
    информации
    порнографического
    характера.
    На сегодняшний день это программы, которые самостоятельно дозваниваются до порнографических телефонных служб, загружают из Интернет порнографические материалы или утилиты, предлагающие услуги по поиску и показу такой информации. Отметим, что к вредоносным программам относятся только те утилиты класса pornware, которые устанавливаются на компьютер пользователя несанкционированно - через уязвимость в операционной системы или браузера или при помощи троянов. Обычно это делается с целью насильственного показа рекламы платных порнографических сайтов или служб.
    2. Хакерские утилиты - К этому виду программ относятся
    программы скрытия кода зараженных файлов от антивирусной проверки
    (шифровальщики файлов), автоматизации создания сетевых червей,
    компьютерных вирусов и троянских программ (конструкторы вирусов),
    наборы программ, которые используют хакеры для скрытного взятия под контроль взломанной системы (RootKit) и другие подобные утилиты. То есть такие специфические программы, которые обычно используют только хакеры.
    3. Злые шутки - программы, которые намеренно вводят пользователя
    в заблуждение путем показа уведомлений о, например, форматировании
    диска или обнаружении вирусов, хотя на самом деле ничего не происходит.
    Текст таких сообщений целиком и полностью отражает фантазию автора.

    168
    13.6 Примеры угроз безопасности информации реализуемых
    вредоностными программами
    Рассмотрим угрозы безопасности информации с точки зрения вирусов.
    Учитывая тот факт, что общее число вирусов по состоянию на сегодня превосходит 100000, проанализировать угрозы со стороны каждого из них является слишком трудоемкой и бесполезной задачей, поскольку ежедневно возрастает количество вирусов, а значит, необходимо ежедневно модифицировать полученный список. В этой работе мы будем считать, что вирус способен реализовать любую из угроз безопасности информации.
    Существует множество способов классификации угроз безопасности информации, которая обрабатывается в автоматизированной системе.
    Наиболее часто используется классификация угроз по результату их влияния на информацию, а именно - нарушение конфиденциальности, целостности и доступности.
    Для каждой угрозы существует несколько способов ее реализации со стороны вирусов.
    Угроза нарушения конфиденциальности.
    - Кража информации и ее распространение с помощью штатных средств связи либо скрытых каналов передачи:
    Email-
    Worm.Win32.Sircam - рассылал вместе с вирусными копиями произвольные документы, найденные на зараженном компьютере.
    - Кража паролей доступа, ключей шифрования и пр.: любые трояны, крадущие пароли, Trojan-PSW.Win32.LdPinch.gen.
    - Удаленное управление:
    Backdoor.Win32.NetBus,
    Email-
    Worm.Win32.Bagle (backdoor-функциональность).
    Угроза нарушения целостности.
    - Модификация без уничтожения (изменение информации): любой паразитирующий вирус.
    - Модификация посредством уничтожения либо шифрации (удаление некоторых типов документов): Virus.DOS.OneHalf - шифрование содержимого диска, Virus.Win32.Gpcode.f - шифрует файлы с определенными расширениями, после чего самоуничтожается, оставляя рядом с зашифрованными файлами координаты для связи по вопросам расшифровки файлов.
    - Модификация путем низкоуровневого уничтожения носителя
    (форматирование носителя, уничтожение таблиц распределения файлов): Virus.MSWord.Melissa.w - 25 декабря форматирует диск C:

    169
    Угроза нарушения доступности.
    - Загрузка каналов передачи данных большим числом пакетов: Net-
    Worm.Win32.Slammer - непрерывная рассылка инфицированных пакетов в бесконечном цикле.
    - Любая деятельность, результатом которой является невозможность доступа к информации; различные звуковые и визуальные эффекты:
    Email-Worm.Win32.Bagle.p - блокирование доступа к сайтам антивирусных компаний.
    - Вывод компьютера из строя путем уничтожения либо порчи критических составляющих
    (уничтожение
    Flash
    BIOS):
    Virus.Win9x.CIH - порча Flash BIOS.
    Как несложно было убедиться, для каждого из приведенных выше способов реализации угроз можно привести конкретный пример вируса, реализующего один или одновременно несколько способов.
    13.7 История компьютерных вирусов
    Теоретические основы создания компьютерных вирусов были заложены в 40-х годах XX столетия американским ученым Джоном фон
    Нейманом (John von Neumann), который также известен как автор базовых принципов работы современного компьютера. Впервые же термин вирус в отношении компьютерных программ применил Фред Коэн (Fred Cohen). Это случилось 3 ноября 1983 года на еженедельном семинаре по компьютерной безопасности в Университете Южной Калифорнии (США), где был предложен проект по созданию самораспространяющейся программы, которую тут же окрестили вирусом. Для ее отладки потребовалось 8 часов компьютерного времени на машине VAX 11/750 под управлением операционной системы Unix и ровно через неделю, 10 ноября состоялась первая демонстрация. Фредом Коэном по результатам этих исследований была опубликована работа «Computer Viruses: theory and experiments» с подробным описанием проблемы.
    Поскольку рассматриваемые вирусы - это по сути компьютерные программы, то об их истории можно говорить только начиная с появления компьютеров, то есть с 1946 года, когда в США была выпущена первая электронно-вычислительная машина (ЭВМ) - ENIAC (Electronic Numerical
    Integrator And Computer). Однако до появления в 1960 году коммерческих компьютеров, доступ к ЭВМ был сильно ограничен и вирусных инцидентов зафиксировано не было.
    Первый известный вирус был написан для компьютера Univac 1108
    (конец 1960-х - начало 1970-х годов). Он назывался Pervading Animal и фактически представлял собой игру, написанную с ошибкой - с помощью наводящих вопросов программа пыталась определить имя животного, задуманного играющим. Ошибка заключалась в том, что при добавлении новых вопросов модифицированная игра записывалась поверх старой версии

    170 плюс копировалась в другие директории. Следовательно через некоторое время диск становился переполненным. Поскольку Pervading Animal не был настоящим вирусом, он не содержал процедуры самораспространения и передавался исключительно через пользователей, желающих по собственной воле переписать программу.
    В 1969 году в США была создана первая глобальная компьютерная сеть, прародитель современной Интернет, ARPANET (Advanced Research
    Projects Agency Network). Она объединяла четыре ведущие научные центра
    США и служила для быстрого обмена научной информацией. Не удивительно, что уже в начале 1970-х в ARPANET появился первый вирус, умеющий распространяться по сети. Он назывался Creeper и был способен самостоятельно выйти в сеть через модем и сохранить свою копию на удаленной машине. На зараженных компьютерах вирус обнаруживал себя сообщением «I'M THE CREEPER: CATCH ME IF YOU CAN». Для удаления назойливого, но в целом безобидного вируса неизвестным была создана программа Reaper. По сути это был вирус, выполнявший некоторые функции, свойственные антивирусу: он распространялся по компьютерной сети и в случае обнаружения на машине вируса Creeper, уничтожал его.
    В это время компьютеры использовались исключительно в промышленных целях - они были очень дороги и сложны в эксплуатации, время работы на них было расписано по минутам. Выпуск персональных компьютеров, то есть таких, которые могли быть приобретены отдельными людьми и использованы в личных целях, был налажен в конце 70-х - начале
    80-х годов прошлого века. Это были персональные компьютеры Apple и IBM
    Personal
    Computer.
    Однако с развитием компьютерной техники прогрессировали и компьютерные вирусы. В 1981 году были зафиксированы случаи заражения Elk Cloner, который распространялся через пиратские копии компьютерных игр. Поскольку жестких дисков тогда еще не было, он записывался в загрузочные сектора дискет и проявлял себя переворачиванием изображения на экране.
    В 1984 году вышли в свет первые антивирусные программы -
    CHK4BOMB и BOMBSQAD. Их автором был Энди Хопкинс (Andy Hopkins).
    Программы анализировали загрузочные модули и позволяли перехватывать запись и форматирование, выполняемые через BIOS. На то время они были очень эффективны и быстро завоевали популярность.
    Первую настоящую глобальную эпидемию вызвал в 1986 году вирус
    Brain. Он был написан двумя братьями-программистами Баситом Фарук и
    Амжадом Алви (Basit Farooq Alvi и Amjad Alvi) из Пакистана с целью определения уровня компьютерного пиратства у себя в стране: вирус заражал загрузочные сектора, менял метку диска на «(c) Brain» и оставлял сообщение с именами, адресом и телефоном авторов. Отличительная черта Brain - умение подставлять незараженный оригинал вместо реальных данных при попытке просмотра пользователем инфицированного загрузочного сектора
    (так называемая стелс-технология). В течение нескольких месяцев программа

    171 вышла за пределы Пакистана и к лету 1987 года эпидемия достигла глобальных масштабов. Ничего деструктивного вирус не делал.
    В этом же году произошло еще одно знаменательное событие.
    Немецкий программист Ральф Бюргер (Ralf Burger) открыл возможность создания программой своих копий путем добавления своего кода к выполняемым DOS-файлам формата COM. Опытный образец программы, получившей название Virdem, был продемонстрирован на форуме компьютерного андеграунда - Chaos Computer Club (декабрь 1986 года,
    Гамбург, ФРГ). По результатами исследований Бюргер выпустил книгу
    «Computer Viruses. The Disease of High Technologies», послужившую толчком к написанию тысяч компьютерных вирусов, частично или полностью использовавших описанные автором идеи.
    В следующем 1987 году был написан первый по-настоящему вредоносный вирус - Lehigh. Он вызвал эпидемию в Лехайском университете
    (США). Lehigh заражал только системные файлы COMMAND.COM и был запрограммирован на удаление всей информации на инфицированном диске.
    В течение нескольких дней было уничтожено содержимое сотен дискет из библиотеки университета и личных дискет студентов. Всего за время эпидемии было заражено около четырех тысяч компьютеров. Однако за пределы университета Lehigh не вышел.
    Mike RoChenle - псевдоним автора первой известной вирусной мистификации. В октябре 1988 года он разослал на станции BBS большое количество сообщений о вирусе, который передается от модема к модему со скоростью 2400 бит/с. В качестве панацеи предлагалось перейти на использование модемов со скоростью 1200 бит/с. Как это ни смешно, многие пользователи действительно последовали этому совету.
    В ноябре 1988 года случилась глобальная эпидемия червя Морриса.
    Небольшая программа, написанная 23-летним студентом Корнельского университета (США) Робертом Моррисом, использовала ошибки в системе безопасности операционной системы Unix для платформ VAX и Sun
    Microsystems. С целью незаметного проникновения в вычислительные системы, связанные с сетью ARPANET, использовался подбор паролей (из списка, содержащего 481 вариант). Это позволяло маскироваться под задачу легальных пользователей системы. Однако из-за ошибок в коде безвредная по замыслу программа неограниченно рассылала свои копии по другим компьютерам сети, запускала их на выполнение и таким образом забирала под себя все сетевые ресурсы. Червь Морриса заразил по разным оценкам от
    6000 до 9000 компьютеров в США (включая Исследовательский центр
    NASA) и практически парализовал их работу на срок до пяти суток. Общие убытки были оценены в минимум 8 миллионов часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается в 96 миллионов долларов.
    Ущерб был бы гораздо больше, если бы червь изначально создавался с разрушительными целями. Роберт Моррис также стал первым человеком,

    172 осужденным за написание и распространение компьютерных вирусов - 4 мая
    1990 года состоялся суд, который приговорил его к 3 годам условно, 400 часам общественных работ и штрафу в 10 тысяч долларов США.
    Примечательно, что в том же году, когда случилась эпидемия червя
    Морриса, известный программист Питер Нортон (Peter Norton) высказался резко против существования вирусов. Он официально объявил их несуществующим мифом и сравнил со сказками о крокодилах, живущих в канализации Нью-Йорка. Это показывает сколь низка была культура антивирусной безопасности в то время.
    Тогда же, в 1988, вышла первая широко известная антивирусная программа английским программистом Аланом Соломоном (Alan Solomon) и называлась Dr. Solomon's Anti-Virus Toolkit. Она завоевала огромную популярность и просуществовала вплоть до 1998 года, когда компания
    Dr. Solomon была поглощена другим производителем антивирусов - американской Network Associates (NAI).
    В декабре 1989 года разразилась первая эпидемия троянской программы - Aids Information Diskette. Ее автор разослал около 20000 дискет с вирусом по почтовым адресам в Европе, Африке и Австралии, похищенным из баз данных Организации всемирного здравоохранения и журнала PC
    Business World. После запуска вредоносная программа автоматически внедрялась в систему, создавала свои собственные скрытые файлы и директории и модифицировала системные файлы. Через 90 загрузок операционной системы все файлы на диске становились недоступными, кроме одного - с сообщением, предлагавшим прислать $189 на указанный адрес. Автор троянца, Джозеф Попп (Joseph Popp), признанный позднее невменяемым, был задержан в момент обналичивания чека и осужден за вымогательство. Фактически, Aids Information Diskette - это первый и единственный вирус, для массовой рассылки, использовавший настоящую почту.
    В том же году был обнаружен вирус Cascade, вызывающий характерный видеоэффект - осыпание букв на экране. Примечателен тем, что послужил толчком для профессиональной переориентации
    Евгения
    Касперского на создание программ-антивирусов, будучи обнаруженным на его рабочем компьютере. Уже через месяц второй инцидент (вирус Vacsina) был закрыт при помощи первой версии антивируса -V, который несколькими годами позже был переименован в AVP - AntiViral Toolkit Pro.
    Вскоре после этого, в конце 1990, несмотря на громкое заявление
    Питера Нортона, прозвучавшее двумя годами ранее и где он авторитетно заявлял о надуманности проблемы вирусов, вышла первая версия антивирусной программы Norton AntiVirus.
    Первый общедоступный конструктор вирусов VCL (Virus Creation
    Laboratory), представляющий собой графическую среду для разработки вирусов для операционной системы MS DOS, появился в июле 1992 года.
    Начиная с этого момента, любой человек мог легко сформировать и написать

    173 вирус. Этот год также положил начало эпохи вирусов для Windows - был создан первый вирус, поражающий исполняемые файлы Microsoft
    Windows 3.1. Однако поскольку Win.Vir эпидемии не вызвал, его появление осталось практически незаметным.
    OneHalf, очень сложный вирус, обнаруженный в июне 1994 года, вызвал глобальную эпидемию во всем мире, в том числе в России. Он заражал загрузочные сектора дисков и COM/EXE-файлы, увеличивая их размер на 3544, 3577 или 3518 байта, в зависимости от модификации. При каждой перезагрузке зараженного компьютера зашифровывались два последних незашифрованных ранее цилиндра жесткого диска. Это продолжалось до тех пор, пока весь винчестер не оказывался зашифрованным. Встроенная стелс-процедура позволяла вирусу при запросе зашифрованной информации производить расшифровку на лету
    - следовательно, пользователь долгое время пребывал в неведении.
    Единственным визуальным проявлением вируса было сообщение «Dis is one half. Press any key to continue...», выводившееся в момент достижения количеством зашифрованных цилиндров диска половины от их общего числа. Однако при первой же попытке лечения, после вылечивания загрузочных секторов диска, вся информация на винчестере становилась недоступной, без возможности восстановления. Популярности этого вируса в
    России поспособствовала компания Доктор Веб, которая выпустила новую версию своего антивируса, анонсировав его как средство от OneHalf. Однако на практике после лечения загрузочных секторов от этого вируса, Dr.Web забывал расшифровать информацию на диске и восстановить ее было уже невозможно.
    Следующий год запомнился инцидентом в корпорации Microsoft. В феврале 1995 года, в преддверии выпуска новой операционной системы
    Windows 95, была разослана демонстрационная дискета, зараженная загрузочным вирусом Form. Копии этого диска получили 160 бета-тестеров, один из которых не поленился провести антивирусную проверку. Вслед за
    Microsoft отличились журналы PC Magazine (английская редакция) и
    Computer Life, которые разослали своим подписчикам дискеты, зараженные загрузочными вирусами Sampo и Parity_Boot соответственно.
    В августе 1995 появился Concept - первый вирус, поражавший документы Microsoft Word.
    В том же 1995 году, в бесплатном приложении полуподпольного издания известного специалиста в области компьютерных вирусов Марка
    Людвига (Mark Ludwig) «Underground Technology Review», был приведен исходный код вируса Green Stripe, который заражал документы AmiPro, популярного в то время текстового редактора.
    До февраля 1997 года считалось, что операционная систем Linux неуязвима перед вирусами, пока не появился Linux.Bliss. В марте того же года были зафиксированы первые случаи использования возможностей

    174 электронной почты - ShareFun, по совместительству первый макро-вирус для
    MS Word 6/7, распространялся с помощью почтовой программы MS Mail.
    Первая утилита удаленного администрирования - BackOrifice,
    Backdoor.BO - была обнаружена в августе 1998 года. Единственное ее отличие от обычных программ для удаленного управления - это несанкционированная установка и запуск. Действие утилиты сводилось к скрытому слежению за системой: ссылка на BackOrifice отсутствовала в списке активных приложений, но при этом зараженный компьютер был открыт для удаленного доступа. Фактически, на зараженные компьютеры предоставлялся свободный вход для других вредоносных программ.
    Впоследствии возник целый класс вирусов - червей, размножение которых базировалось на оставленных BackOrifice дырах.
    26 марта 1999 года началась глобальная эпидемия Melissa - первого вируса для MS Word, сочетавшего в себе также и функциональность интернет-червя. Сразу же после заражения системы он считывал адресную книгу почтовой программы MS Outlook и рассылал по первым 50 найденным адресам свои копии. Причем это делалось абсолютно незаметно для пользователя и, что самое страшное, от его имени. Такие компании как
    Microsoft, Intel, Lockheed Martin были вынуждены временно отключить свои корпоративные службы электронной почты. По разным оценкам совокупный ущерб от вируса варьировался от нескольких миллионов до десятков миллионов долларов США.
    Через некоторое время был обнаружен и арестован автор вируса
    Melissa, Дэвид Л. Смит (David L. Smith). 9 декабря он был признан виновным и осужден на 10 лет тюремного заключения и к штрафу в размере 400 000 долларов США.
    В декабре 1999 года был впервые обнаружен вирус-червь с заложенными в нем функциями удаленного самообновления - Babylonia. Он ежеминутно пытался соединиться с сервером, находящемся в Японии и загрузить оттуда список вирусных модулей.
    LoveLetter - это скрипт-вирус, 5 мая 2000 года побивший рекорд вируса
    Melissa по скорости распространения. Всего в течение нескольких часов были поражены миллионы компьютеров - LoveLetter попал в Книгу Рекордов
    Гиннеса. Успех гарантировали методы социальной инженерии: электронное сообщение имело тему «I love you» и интригующий текст, призывающий открыть вложенный файл с вирусом.
    Август 2000 года ознаменовался завоеванием вирусами мобильных устройств - вирус Liberty заражал карманные компьютеры Palm Pilot с операционной системой PalmOS.
    На тот момент все известные вирусы для хранения собственных копий использовали файлы, то есть ПЗУ компьютера. Обнаруженный 12 июля 2001 года CodeRed стал первым представителем нового типа вредоносных программ, способных активно распространяться и работать на зараженных компьютерах без использования файлов. В процессе работы такие вирусы

    175 существуют исключительно в системной памяти, а при передаче на другие компьютеры - в виде специальных пакетов данных. Для проникновения на удаленные компьютеры CodeRed использовал брешь в системе безопасности
    IIS (Internet Information Services), которая позволяет злоумышленникам запускать на удаленных серверах посторонний программный код. 18 июня
    2001 года Microsoft выпустила соответствующую заплатку, однако подавляющее большинство пользователей не успело вовремя обновить свое программное обеспечение. CodeRed вызвал эпидемию, заразив около 12000
    (по другим данным - до 200000) серверов по всему миру и провел крупномасштабную DDoS атаку на веб-сервер Белого дома, вызвав нарушение его нормальной работы. Через неделю, 19 июля появилась новая модификация CodeRed, показавшая чудеса распространения - более 350000 машин за 14 часов (до 2000 компьютеров в минуту).
    В это же время был обнаружен почтовый червь Sircam (12 июля 2001 года). Этот вирус отличала необычная процедура выбора имени зараженного вложения. Для этого случайным образом на диске инфицированного компьютера выбирался документ, к имени которого добавлялось расширение
    .pif, .lnk, .bat или .com. Полученная конструкция вида mydiary.doc.com служила темой рассылаемых писем и именем новой копии программы: к отобранному файлу дописывался код червя - таким образом Sircam мог привести к утечке конфиденциальной информации. При рассылке в поле от указывался один из адресов, найденных на зараженном компьютере, а сообщение содержало текст вида «Hi! How are you? I send you this file in order to have your advice. See you later. Thanks». Кроме этого, в определенный момент времени (в зависимости от системного времени и модификации вируса) на зараженном компьютере удалялись все файлы на системном жестком диске.
    18 сентября 2001 года началась эпидемия Nimda - этот вирус-червь в течение всего
    12 часов поразил до
    450000 компьютеров.
    Для распространения были задействованы пять методов: электронная почта
    (брешь в системе безопасности Internet Explorer, позволяющая автоматически выполнять вложенный исполняемый файл), по локальной сети, внедрение на
    IIS-сервера, заражение браузеров, а также с помощью бекдор-процедур, оставленных предыдущими вирусами. После заражения Nimda открывал локальные диски на полный доступ для всех желающих.
    Вскоре после Nimda появился Klez - почтовый червь, различные модификации которого на протяжении следующих нескольких лет занимали первые строки в рейтингах популярности. Программа проникала на компьютер по сети или через электронную почту, используя брешь в защите
    IFrame браузера Internet Explorer, которая допускала автоматический запуск вложенного файла. Также вирус имел встроенную функцию поиска и подавления антивирусного программного обеспечения. Klez дописывал свой код к одному из документов на зараженной машине и начинал массовую рассылку. В поле «От» подставлялся любой адрес, найденный на компьютере

    176 или же случайно сгенерированный. При этом список всех обнаруженных на зараженном компьютере адресов электронной почты также присоединялся к вложению. Кроме рассылки своих копий, червь обнаруживал себя по 13-м числам четных месяцев или шестым нечетных, в зависимости от модификации: в такой день все файлы на зараженных компьютерах заполнялись случайным содержимым.
    Стоит также отметить Tanatos/Bugbear (впервые обнаружен в октябре
    2001 года) - почтовый червь, устанавливающий бекдор-процедуру (Backdoor) и троян - клавиатурный шпион. Процедура распространения практически полностью была списана с Klez - копирование по сети, массовая рассылка с зараженным документом во вложении, использование уязвимости IFrame в
    Internet Explorer, подавление антивирусных программ. Кроме увеличения трафика, вирус проявлял себя спонтанной печатью разнообразного мусора на сетевых принтерах.
    В январе 2003 года грянула эпидемия интернет-червя Slammer, заражающего сервера под управлением Microsoft SQL Server 2000. Вирус использовал брешь в системе безопасности SQL Server, заплата к которой вышла шестью месяцами ранее. После проникновения на компьютер
    Slammer начинал в бесконечном цикле посылать свой код на случайно выбранные адреса в сети - только за первые 10 минут было поражено около
    90% (120 000 единиц) всех уязвимых серверов, при этом пять из тринадцати главных DNS-серверов сети Интернет вышли из строя. Slammer имел крайне небольшой размер - всего 376 байт (CodeRed - 4 КБ, Nimda - 60 КБ) и присутствовал только в памяти зараженных компьютеров. Более того, при работе червя никакие файлы не создавались, и червь никак не проявлял себя
    (помимо сетевой активности зараженного компьютера). Это означает, что лечение заключалось только в перезагрузке сервера, а антивирусы в данной ситуации бессильны.
    В августе 2003 года около 8 миллионов компьютеров во всем мире оказались заражены интернет-червем Lovesan/Blaster. Для размножения использовалась очередная брешь - на этот раз в службе DCOM RPC Microsoft
    Windows. Кроме того, Lovesan/Blaster включал в себя функцию DDoS-атаки на сервер с обновлениями для Windows.
    Неделей позже новый вирус, Sobig.f, установил новый рекорд по скорости - доля зараженных им писем доходила до 10 % от всей корреспонденции. Это достигалось использованием спамерских технологий.
    Sobig.f также инициировал цепную реакцию: каждый новый вариант червя создавал сеть инфицированных компьютеров, которая позднее использовалась в качестве платформы для новой эпидемии. Однако конец эпидемии запрограммировал сам автор - 10 сентября 2003 года Sobig.f прекратил размножение.
    В феврале 2004 года появился Bizex (также известный как Exploit) - первый
    ICQ-червь.
    Для распространения использовалась массовая несанкционированная рассылка по
    ICQ сообщения

    177
    «http://www.jokeworld.biz/index.html :)) LOL». Получив от знакомого человека такую ссылку, ничего не подозревающая жертва открывала указанную страницу и в случае, если использовался браузер Internet Explorer с незакрытой уязвимостью, на компьютер загружались файлы вируса. После установки в систему, Bizex закрывал запущенный ICQ-клиент и подключившись к серверу ICQ с данными зараженного пользователя начинал рассылку по найденным на компьютере спискам контактов. Одновременно происходила кража конфиденциальной информации - банковские данные, различные логины и пароли.
    В этом же
    2004 году разразилась так называемая война вирусописателей. Несколько преступных группировок, известных по вирусам
    Bagle, Mydoom и Netsky выпускали новые модификации своих программ буквально каждый час. Каждая новая программа несла в себе очередное послание к противостоящей группировке, изобилующее нецензурными выражениями, а Netsky даже удалял любые обнаруженные экземпляры вирусов Mydoom и Bagle.
    Mydoom известен также массированной 12-дневной DDoS-атакой на веб-сайт компании SCO, начавшейся 1 февраля 2004 года. За пару часов работа сервера была полностью парализована и вернуться в нормальный режим www.sco.com смог только 5 марта. В ответ руководители SCO объявили награду в размере 250 тысяч долларов США за информацию об авторе червя.
    Нельзя не упомянуть червя Sasser, который в мае 2004 года поразил более 8 млн. компьютеров, а убытки от него оцениваются в 979 млн. долларов США. Для проникновения Sasser использовал уязвимость в службе
    LSASS Microsoft Windows.
    Вскоре после того, как начали активно использоваться смартфоны (от англ. smartphone) - устройства, сочетающие в себе функции карманного компьютера и телефона, появился и первый вирус для них - Cabir (июнь 2004 года). Он распространялся через протокол Bluetooth и заражал мобильные телефоны, работающие под управлением OS Symbian. При каждом включении инфицированного телефона вирус получал управление и начинал сканировать список активных Bluetooth-соединений, выбирал первое доступное и пытался передать туда свой основной файл caribe.sis. Ничего деструктивного Cabir не делал - только снижал стабильность работы телефона за счет постоянных попыток сканирования активных Bluetooth- устройств.
    Вредоносные программы - это не только вирусы, черви и трояны. К этому классу в полной мере можно отнести и adware - программы, которые отображают на экране рекламу без ведома и согласия пользователя, и pornware - программы, самостоятельно инициирующие соединения с платными порнографическими сайтами. Начиная с 2004 отмечается широкое распространение использования вирусных технологий для установки adware/pornware на целевые компьютеры. Этот год также запомнился

    178 масштабными арестами вирусописателей - было осуждено около 100 хакеров, причем трое из них находились в двадцатке самых разыскиваемых
    ФБР преступников.
    В следующем, 2005 году глобальных эпидемий зафиксировано не было.
    Это не означает уменьшение числа вирусов - наоборот, с каждым днем их появляется все больше. Но при этом можно отметить увеличение избирательности вредоносных программ - становятся популярны черви, главной целью которых является похищение определенной информации.
    Кроме уже ставших привычными краж номеров кредитных карт, участились случаи воровства персональных данных игроков различных онлайновых.
    Развитие получили и вирусные технологии для мобильных устройств. В качестве пути проникновения используются не только Bluetooth-устройства, но и обычные MMS-сообщения (червь ComWar).
    В современном Интернет в среднем каждое тридцатое письмо заражено почтовым червем, около 70% всей корреспонденции - нежелательна. С ростом сети Интернет увеличивается количество потенциальных жертв вирусописателей, выход новых операционных систем влечет за собой расширение спектра возможных путей проникновения в систему и вариантов возможной вредоносной нагрузки для вирусов.
    1   ...   12   13   14   15   16   17   18   19   ...   36


    написать администратору сайта