Компьютерные вирусы. 15

ОГЛАВЛЕНИЕ

1. Понятие информационной безопасности

Говоря об информационной безопасности имеют в виду компьютерную безопасность. Информация, находящаяся  на электронных носителях играет большую роль в жизни современного общества. Причины уязвимости такой информации различны: огромные объемы, многоточечность и возможная анонимность доступа, возможность "информационных диверсий"... Все это делает задачу обеспечения защиты информации большой проблемой. Понятие "компьютерной" информационной безопасности в целом - более широкое по сравнению с информационной безопасностью относительно "традиционных" носителей.

Информационная  безопасность - это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. А также это меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется.

Для поддержания  режима информационной безопасности особенно важны программно-технические меры, поскольку основная угроза компьютерным системам исходит от них самих: сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т.п. Напомним названия ключевых механизмов обеспечения информационной безопасности:

- идентификация  и аутентификация;

- управление  доступом;

- протоколирование  и аудит;

- криптография;

- экранирование.

1.2 Проблемы  информационной безопасности

Широкое внедрение  информационных технологий в жизнь  современного общества привело к  появлению ряда общих проблем  информационной безопасности:

• необходимо гарантировать непрерывность и корректность функционирования важнейших информационных систем (ИС), обеспечивающих безопасность людей и экологической обстановки;
• необходимо обеспечить защиту имущественных прав граждан, предприятий и государства в соответствии с требованиями гражданского, административного и хозяйственного права (включая защиту секретов и интеллектуальной собственности);
• необходимо защитить гражданские права и свободы, гарантированные действующим законодательством (включая право на доступ к информации).

Следует знать, что любая информационная система потенциально уязвима. И эта уязвимость по отношению к случайным и предумышленным отрицательным воздействиям выдвинула проблемы информационной безопасности в разряд важнейших, определяющих принципиальную возможность и эффективность применения ряда ИС в гражданских и военных отраслях.

Основная работа по снижению дестабилизирующих факторов в области информационной безопасности - раскрыть собственно суть проблемы, конкретизировать дестабилизирующие факторы и  представить основные методы, способные значительно повысить защищенность ИС. Эта проблема в значительной степени решается посредством методов, средств и стандартов, поддерживающих системный анализ, технологию разработки и сопровождения программных систем (ПС) и баз данных (БД).

Обеспечение информационной безопасности является комплексной задачей. Это обусловлено тем, что информационная среда является сложным многоплановым механизмом, в котором действуют такие компоненты, как электронное оборудование, программное обеспечение, персонал.

Для решения проблемы обеспечения информационной безопасности необходимо применение законодательных, организационных и программно-технических мер. Пренебрежение хотя бы одним из аспектов этой проблемы может привести к утрате или утечке информации, стоимость и роль которой в жизни современного общества приобретает все более важное значение.

2. Объект защиты

Особенности защиты персональных компьютеров (ПК) обусловлены спецификой их использования. Как правило, ПК пользуется ограниченное число пользователей. ПК могут работать как в автономном режиме, так ив составе локальных сетей (сопряженными с другими ПК) и могут быть подключены к удаленному ПК или локальной сети с помощью модема по телефонной линии.

Стандартность архитектурных принципов построения, оборудования и программного обеспечения персональных компьютеров, высокая мобильность программного обеспечения и ряд других признаков определяют сравнительно легкий доступ профессионала к информации, находящейся в ПК. Если персональным компьютером пользуется группа пользователей, то может возникнуть необходимость в ограничении доступа к информации различных потребителей.

Несанкционированным доступом (НСД) к информации ПК будем  называть незапланированное ознакомление, обработку, копирование, применение различных вирусов, в том числе разрушающих программные продукты, а также модификацию или уничтожение информации в нарушение установленных правил разграничения доступа. В защите информации ПК от НСД можно выделить три основных направления:

 - первое ориентируется на недопущение нарушителя к вычислительной среде и основывается на специальных технических средствах опознавания пользователя;

 - второе связано с защитой вычислительной среды и основывается на создании специального программного обеспечения по защите информации;

 - третье направление связано с использованием специальных средств защиты информации ПК от несанкционированного доступа.

3. Вредоносные программы

Многие пользователи считают, что все программы, которые  тем или иным способом наносят  вред компьютеру, являются вирусами. Но это далеко не так. Есть вредоносные программы, которые по сути своей не являются вирусами, хотя могут использовать различные технологии вирусов.

В этом разделе включены и сетевые вирусы, так называемые черви. Некоторые специалисты считают, что черви являются отдельной самостоятельной группой вредоносных программ, не относящимся к вирусам.

3.1 Сетевые вирусы (Черви)

К данной категории  относятся программы, распространяющие свои копии по локальным и/или  глобальным сетям с целью:

• проникновения на удаленные компьютеры;
• запуска своей копии на удаленном компьютере;
• дальнейшего распространения на другие компьютеры в сети.

Для своего распространения  сетевые черви используют разнообразные  компьютерные и мобильные сети: электронную  почту, системы обмена мгновенными сообщениями, файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефонами, карманными компьютерами) и т. д.

Большинство известных червей распространяется в виде файлов: вложение в электронное письмо, ссылка на зараженный файл на каком-либо Web- или FTP-ресурсе в ICQ- и IRC-сообщениях, файл в каталоге обмена P2P (Peer to Peer) и т. д.

Некоторые черви (так называемые "бесфайловые" или "пакетные" черви) распространяются в виде сетевых  пакетов, проникают непосредственно в память компьютера и активизируют свой код.

Черви проникают в зараженные машины вполне естественным путем, без  каких-либо действий со стороны пользователя. Они ближе всех остальных вирусов  подобрались к модели своих биологических  прототипов и потому чрезвычайно разрушительны и опасны. Их не берут никакие превентивные меры защиты, антивирусные сканеры и вакцины до сих пор остаются крайне неэффективными средствами борьбы. Нашествие червей нельзя предвидеть и практически невозможно остановить.

Черви, в отличие от вирусов, для своего распространения активно используют протоколы и возможности локальных и глобальных сетей, поэтому они и называются сетевыми. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. "Полноценные" сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, "подтолкнуть" пользователя к запуску зараженного файла. Для внедрения в заражаемую систему червь может использовать различные механизмы: дыры, слабые пароли, уязвимости базовых и прикладных протоколов, открытые системы и человеческий фактор.

Для проникновения на удаленные  компьютеры и запуска своей копии  черви используют различные методы: социальный инжиниринг (например, текст электронного письма, призывающий открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и приложений. Так же для проникновения на компьютер жертвы, черви могу использовать специального сборщика. Это небольшая программа, которая сама не является вирусом. Сборщик забрасывается на поражаемый компьютер, а потом по частям скачивает червя из сети, собирает его и запускает. Так как червь проникает на компьютер по частям, антивирусные программы не могут его обнаружить.

Бытует ошибочное мнение, что сетевым является любой вирус, распространяющийся в компьютерной сети. Но в таком случае практически  все вирусы были бы сетевыми, даже наиболее примитивные из них: ведь самый обычный нерезидентный вирус при заражении файлов не разбирается - сетевой (удаленный) это диск или локальный. В результате такой вирус способен заражать файлы в пределах сети, но отнести его к сетевым вирусам никак нельзя.

Сетевые вирусы прошлого распространялись в компьютерной сети и, как правило, так же как и компаньон - вирусы, не изменяли файлы или сектора  на дисках. Они проникали в память компьютера из компьютерной сети, вычисляли  сетевые адреса других компьютеров и рассылали по этим адресам свои копии. Эти вирусы иногда также создавали рабочие файлы на дисках системы, но могли вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).

Некоторые черви обладают также свойствами других разновидностей вредоносного программного обеспечения. Например, некоторые черви содержат троянские функции или способны заражать выполняемые файлы на локальном диске, т. е. имеют свойство троянской программы и/или компьютерного вируса.

3.2 Троянские программы

Данный тип  вредоносных программ не является вирусами. Троян - это программа, предоставляющая  удаленный доступ к чужому компьютеру, позволяющая проводить различные  манипуляции на нем, отсылать конфиденциальную информацию (пароли, номера кредитных карт, Интернет - аккаунты, логии компьютера и т.д.). Изначально троянский конь не несет в себе деструктивных функций, а предназначен для управления чужими компьютерами.

Трояны, как  правило, не заражают другие файлы, а  являются автономными отдельными программами, которые после попадания на компьютер, копируют себя в системные папки под неприметными или заслуживающими доверия именами (winrun32dll.exe). Затем они прописывают себя в ветви реестра отвечающей за запуск программ при загрузке операционной системы (HKEY_LOCAL_MACHINE\SOFT WARE\Microsoft\Windows\CurrentVersion\Run), а также все разделы с названием Run, RunOnce, Runservices, RunservicesOnce. Современные троянские кони для своей анонимности и скрытности в системе используют стелс, и даже полиморфные технологии, что значительно затрудняет борьбу с ними.

Хотя троянские  программы существуют довольно давно  и отличаются большим разнообразием, но наиболее громкие события в  этой области связаны с программой, называемой BackOrifice (англ. задний проход). Информация о BackOrifice впервые была опубликована 21 июля 1998 года. Группа хакеров, называющая себя "Культ мертвой коровы" - "Cult of the Dead Cow", создала троянца для Windows 95/98. Установленный на машине жертвы, BackOrifice позволял любому, знающему номер порта и пароль, выполнять на машине жертвы некие привилегированные операции как: выполнять команды операционной системы, просматривать файлы, скачивать и закачивать любые файлы, манипулировать регистром (registry), получать список активных процессов, завершать произвольный процесс, незаметно порождать новый процесс путем запуска сервиса, получать полную копию клавиатурного ввода и многое другое. Графический клиент BackOrifice был способен, кроме того, получать содержимое экрана жертвы. Попросту говоря, используя BackOrifice, можно делать с компьютером все. И даже более того, производить такие операции, о возможности которых обычный пользователь и не подозревает. Собственно, программа состоит из двух частей: сервера и клиента. Серверная часть внедряется на компьютер жертвы. После этого подключиться к компьютеру-жертве можно, используя клиентскую программу. Всю вторую половину 98 года Сеть испытывала повальное увлечение BackOrifice. Пожалуй, количество взломанных с помощью BackOrifice компьютеров и сетей превышает число жертв всех остальных широко известных атак и диверсий. Популярность BackOrifice породила волну клонов, из которых наиболее известны NetBus, NetSphere, GirlFriend, GateCrasher и др.

В будущем возможно появление таких троянских коней, которые буду прописывать себя в системные библиотеки или другие системные файлы.

Трояны делятся  на три основных типа: Mail Senders, BackDoor, Log Writers или KeyLoger.

3.3 Mail Senders

Это - тип Троянов, работающих на основе отправки информации "хозяину". На данный момент это очень распространенный вид Троянов. С помощью такого типа "коней" люди, настроившие их могут получать по почте аккаунты Интернета, пароли ICQ, почтовые пароли, пароли к ЧАТам. И это в лучшем случае. В худшем же жертва даже не будет знать о том, что некто читает его почту, входит в Интернет через его аккаунт, пользуется UIN'ом ICQ для распространения таких же Троянов пользователям контакт листа. MailSender никак не зависит от "хозяина", он живет своей жизнью в зараженном компьютере, так как в него все закладывается в момент настройки - Троян все выполняет по плану.

3.4 BackDoor

Если переводить дословно означает - задняя дверь или  черный ход. Это - тип Троянов, функции  которого включают в себя все, на что  способен Троян типа Mail Sender, плюс еще десяток-другой функций удаленного администрирования (управления чужым компьютером с другой машины, например, через Интернет). Такой Троян ждет соединения со стороны клиента (неотъемлемая часть всякого трояна, с помощью которой посылаются команды на сервер). Трояны такого типа дают кому угодно полный доступ к зараженному компьютеру. После того как клиент на зараженной машине подключается к Интернету или локальной сети, трояская программа отправляет собранную информацию своему хозяину и открывает доступ к пораженному компьютеру (открывает определенные сетевые порты в системе и сообщает о них хозяину).

Бэкдоры делятся  на два основных типа:

Локальный бэкдор - предоставит какие-то привилегии локально (например, на компьютере есть несколько  учетных записей, но пользовательские аккаунты не имеют прав администратора. Подобного рода трояны как раз и предоставляют права администратора тому пользователю, которые его внедрил);

Удаленный бэкдор - может предоставить shell к машине удаленно.

Существует  так же два вида предоставления shell-доступа: BindShell и Back Connect.

BindShell - самый распространенный, работает по архитектуре "клиент-сервер", то есть бэкдор ожидает соединение.

Back Connect - применяется для обхода брандмауэров, бэкдор сам пытается соединиться с компьютером хакера.

Log Writers или Key loggers

Это последний  тип Тронов, из основных, копирующий всю информацию, вводимую с клавиатуры, и записывающий ее в файл, который  впоследствии будет либо отправлен  на определенный E-Mail адрес, либо просмотрен через FTP (File Transfer Protocol).

Первоначально программные продукты этого типа предназначались исключительно  для записи информации о нажатиях клавиш клавиатуры, в том числе  и системных, в специализированный журнал регистрации (log-файл), который  впоследствии изучался человеком, установившим эту программу. В последнее время программные продукты, имеющие данное название, выполняют много дополнительных функций - это перехват информации из окон, перехват кликов мыши, <фотографирование> экрана и активных окон, ведение учета всех полученных и отправленных писем, мониторинг файловой активности, системного реестра и очереди заданий, отправленных на принтер, перехват звука с микрофона и видео с веб-камеры, подключенных к компьютеру и др. Кейлоггеры могут быть встроены в коммерческие, бесплатные и условно-бесплатные программы.

В свою очередь  кейлоггеры можно разделить на пять типов:

1. Программы-шпионы, разрабатываемые под эгидой правительственных  организаций (пример - продукт Magic Lantern, проект под названием Cyber Knight, США).

2. Программы-шпионы, которые могут создаваться разработчиками  различных операционных систем  и включаться ими в состав  ядра операционной системы.

3. Программы-шпионы, которые созданы в ограниченном  количестве (часто только в одной  или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например программы, применяемые хакерами-профессионалами). Такие программы могут представлять собой немного видоизмененные открытые исходные коды программ-шпионов, взятые из Интернета и скомпилированные самим хакером, что позволяет изменить сигнатуру программы-шпиона.

4. Коммерческие, особенно, корпоративные программные  продукты, которые очень редко  вносятся в сигнатурные базы, а если и вносятся, то только по политическим мотивам (пример - программные продукты таких известных фирм, как WinWhat-Where Corporation, SpectorSoft Cor-poration, ExploreAnywhere Software LLC, Omniquad, Ltd).

5. Программы-шпионы, представляющие собой keylogging-модули, входящие в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу данные модули являются неизвестными. Пример - всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет.

Также есть еще  два типа троянских программ, которые  заслуживают отдельного внимания, это: Trojan-Dropper и Trojan-Downloader. Конечные цели у  них абсолютно идентичны - установка  на компьютер другой вредоносной программы, которая может быть как червем, так и "троянцем". Отличается только принцип их действия.

3.5 Trojan-Dropper

"Дропперы" могут содержать в себе уже  известную вредоносную программу  или наоборот - устанавливать новую  ее версию. Также "дропперы" могут устанавливать не одну, а сразу несколько вредоносных программ, принципиально отличающихся по поведению и даже написанных разными людьми.

Фактически "дропперы" являются своеобразными архивами, внутрь которых может быть помещено все  что угодно. Очень часто они применяются для установки в систему уже известных "троянцев", поскольку написать "дроппер" гораздо проще, чем переписывать "троянца", пытаясь сделать его недетектируемым для антивируса. Весьма значительную часть "дропперов" составляют их реализации на скрипт-языках VBS и JS, что объясняется сравнительной простотой программирования на них и универсальностью подобных программ.

3.6 Trojan-Downloader

Даунлоадеры, или  загрузчики, активно используются вирусописателями как по причинам, описанным выше для "дропперов" (скрытая установка уже известных троянцев), так и по причине их меньшего по сравнению с "дропперами" размера, а также благодаря возможности обновлять устанавливаемые троянские программы. Здесь также выделяется группа программ на скрипт-языках, причем, как правило, использующих различные уязвимости в Internet Explorer.

Оба эти класса вредоносных программ используются для установки на компьютеры не только троянских программ, но и различных  рекламных (adware) или порнографических (pornware) программ.

3.7 RootKit

Термин RootKit исторически  пришёл из мира Unix, и под этим термином понимается набор утилит, которые  хакер устанавливает на взломанном им компьютере после получения первоначального  доступа. Этот набор, как правило, включает в себя разнообразные утилиты для заметания следов вторжения в систему, хакерский инструментарий (снифферы, сканеры) и троянские программы, замещающие основные Unix утилиты. RootKit позволяет хакеру закрепиться во взломанной системе и сокрыть следы своей деятельности. На текущий момент руткиты зачастую с легкостью обнаруживаются и удаляются при помощи антивирусных пакетов.

3.8 Снифферы (Нюхачи)

Это программное  обеспечение, которое позволяет  просматривать содержимое сетевых  пакетов, перехватывать трафик в сети и анализировать его.

3.9 DoS, DDoS - сетевые атаки

Программы данного  типа реализуют атаки на удаленные  сервера, посылая на них многочисленные запросы, что приводит к отказу в  обслуживании, если ресурсы атакуемого сервера недостаточны для обработки всех поступающих запросов (DoS = Denial of Service).

DoS-программы  реализуют атаку с одного компьютера  с ведома пользователя. DDoS-программы  (Distributed DoS) реализуют распределенные  атаки с разных компьютеров,  причем без ведома пользователя  зараженного компьютера. Для этого DDoS-программа засылается любым способом на компьютер "жертв-посредников" и после запуска в зависимости от текущей даты или по команде от "хозяина" начинает DoS-атаку на указанный сервер в сети.

Некоторые компьютерные черви содержат в себе DoS-процедуры, атакующие сайты, которые по каким-либо причинам "невзлюбил" автор червя. Так, червь Codered 20 августа 2001 организовал успешную атаку на официальный сайт президента США, а червь Mydoom.a 1 февраля 2004 года "выключил" сайт SCO, производителя дистрибутивов UNIX.

7 мая 1997 года  был обнародован принцип самой,  пожалуй, нашумевшей DOS-атаки под  названием WinNuke. Ее жертвами становились  Windows-системы. Автор метода поместил  его описание и исходный текст  программы в несколько news-конференций. Ввиду его крайней простоты практически каждый человек мог вооружиться этим новейшим оружием. Очевидной первой жертвой стал www.microsoft.com. Данный сервер был выведен из строя более двух суток. Microsoft.com прекратил откликаться в пятницу вечером (9 мая) и только к обеду понедельника вновь обрел устойчивость.

Exploit, HackTool - взломщики удаленных компьютеров

Хакерские утилиты  данного класса предназначены для  проникновения в удаленные компьютеры с целью дальнейшего управления ими (используя методы троянских программ типа "backdoor") или для внедрения во взломанную систему других вредоносных программ.

Хакерские утилиты  типа "exploit" при этом используют уязвимости в операционных системах или приложениях, установленных  на атакуемом компьютере.

Nuker - фатальные сетевые атаки

Утилиты, отправляющие специально оформленные запросы  на атакуемые компьютеры в сети, в результате чего атакуемая система  прекращает работу. Используют уязвимости в программном обеспечении и  операционных системах, в результате чего сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении.

Прочие вредоносные  программы

К прочим вредоносным  программам относятся разнообразные  программы, которые не представляют угрозы непосредственно компьютеру, на котором исполняются, а разработаны для создания других вирусов или троянских программ, организации DoS-атак на удаленные сервера, взлома других компьютеров и т. п.

Flooder - "замусоривание" сети

Данные хакерские  утилиты используются для "забивания  мусором" (бесполезными сообщениями) каналов Интернета - IRC-каналов, компьютерных пейджинговых сетей, электронной почты и т. д.

Constructor - конструкторы вирусов и троянских программ

Конструкторы  вирусов и троянских программ - это утилиты, предназначенные для  изготовления новых компьютерных вирусов и "троянцев". Известны конструкторы вирусов для DOS, Windows и макро-вирусов. Они позволяют генерировать исходные тексты вирусов, объектные модули, и/или непосредственно зараженные файлы.

Некоторые конструкторы снабжены стандартным оконным интерфейсом, где при помощи системы меню можно выбрать тип вируса, поражаемые объекты, наличие или отсутствие самошифровка, противодействие отладчику, внутренние текстовые строки, выбрать эффекты, сопровождающие работу вируса и т. п. Прочие конструкторы не имеют интерфейса и считывают информацию о типе вируса из конфигурационного файла.

Bad-Joke, Hoax - злые шутки, введение пользователя в заблуждение

К ним относятся  программы, которые не причиняют  компьютеру какого-либо прямого вреда, однако выводят сообщения о том, что такой вред уже причинен, либо будет причинен при каких-либо условиях, либо предупреждают пользователя о несуществующей опасности. К "злым шуткам" относятся, например, программы, которые "пугают" пользователя сообщениями о форматировании диска (хотя никакого форматирования на самом деле не происходит), детектируют вирусы в незараженных файлах, выводят странные вирусоподобные сообщения и т. д. - в зависимости от чувства юмора автора такой программы.

FileCryptor, PolyCryptor - скрытие от антивирусных программ

Хакерские утилиты, использующиеся для шифрования других вредоносных программ с целью  скрытия их содержимого от антивирусной проверки.

PolyEngine - полиморфные генераторы

Полиморфные генераторы не являются вирусами в прямом смысле этого слова, поскольку в их алгоритм не закладываются функции размножения, т. е. открытия, закрытия и записи в файлы, чтения и записи секторов и т. д. Главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика.

Обычно полиморфные  генераторы распространяются их авторами без ограничений в виде файла-архива. Основным файлом в архиве любого генератора является объектный модуль, содержащий этот генератор. Во всех встречавшихся  генераторах этот модуль содержит внешнюю (external) функцию - вызов программы генератора.

VirTool

Утилиты, предназначенные  для облегчения написания компьютерных вирусов и для их изучения в  хакерских целях.

3.10 Социальный инжиниринг

Социальный  инжиниринг не относится к вредоносным  программам или вирусам. Он призвана запутать пользователей, усыпить их бдительность, замаскировать вредоносную программу под какой либо патч или полезную программу, заманить пользователя на заведомо зараженный сайт.