Протидія шкідливим програмам антивірусне по. Методи протидії антивірусним програмам. Методи захисту від вірусів

Оскільки мета комп'ютерних зловмисників - впровадити шкідливий код в комп'ютери-жертви, то для цього їм необхідно не тільки змусити користувача запустити заражений файл або проникнути в систему через будь-яку вразливість, але і непомітно проскочити повз встановленого антивірусного фільтра. Тому зловмисники цілеспрямовано борються з антивірусними програмами. Використовувані ними технічні прийоми дуже різноманітні, але найчастіше зустрічаються такі.

Упаковка і шифрування коду. Значна частина (якщо не більшість) сучасних комп'ютерних черв'яків і троянських програм упаковані або зашифровані тим чи іншим способом. Більш того, для цього спеціально створюються утиліти упаковки і шифровки. Для детектування подібних програм-хробаків і троянських програм антивірусних програм доводиться додавати або нові методи розпакування і розшифровки, або сигнатури на кожен зразок ВП, що знижує якість детектування, оскільки не завжди всі можливі зразки модифікованого коду виявляються в руках антивірусної компанії.

мутація коду - розведення троянського коду «сміттєвими» інструкціями. В результаті функціонал троянської програми зберігається, але значно змінюється її «зовнішній вигляд». Періодично трапляються випадки, коли мутація коду відбувається в режимі реального часу - при кожному завантаженні троянської програми з зараженого веб-сайту. Тобто все або значну частину потрапляють з такого сайту на комп'ютери зразки троянської програми різні.

Приховування своєї присутності - так звані руткит-техноло- гии, як правило, використовується троянські програми. У цьому випадку здійснюється перехоплення і підміна системних функцій, в результаті чого заражений файл не видно ні штатними засобами операційної системи, ні антивірусними програмами. Іноді так само ховаються гілки реєстру, в яких реєструється копія троянської програми, і інші системні області комп'ютера.

Зупинка роботи антивірусної програми і системи отримання оновлень антивірусних баз даних. Багато троянські програми і мережеві черв'яки роблять спеціальні дії проти антивірусних програм: шукають їх в списку активних додатків і намагаються зупинити їх роботу, «псують» антивірусні бази даних, блокують отримання оновлень і т.п. Антивірусних програм доводиться захищати себе відповідними способами: стежити за цілісністю баз даних, «ховати» від троянців свої процеси і т.п.

Приховування свого коду на веб-сайтах. Адреси веб-сторінок, на яких присутні троянські файли, рано чи пізно стають відомі антивірусним компаніям. Природно, що подібні сторінки потрапляють під пильну увагу антивірусних аналітиків: вміст сторінки періодично скачується, нові версії троянських програм заносяться в антивірусні оновлення. Для протидії цьому веб-сторінка модифікується спеціальним чином: якщо запит йде з адреси антивірусної компанії, то скачується який-небудь нетроянскій файл замість троянського.

атака кількістю - генерація і поширення в Інтернеті великої кількості нових версій троянських програм за короткий проміжок часу. В результаті антивірусні компанії виявляються «завалені» новими зразками, на аналіз яких потрібен час, що дає шкідливому коду додатковий шанс для успішного впровадження в комп'ютери.

Ці та інші методи використовуються хакерами для протидії антивірусним програмам. При цьому їх активність зростає рік від року, і зараз можна говорити про справжню «гонці технологій», яка розгорнулася між антивірусної і вірусної індустрією. Одночасно зростає не тільки кількість хакерів-індивідуалів і злочинних груп, а й професіоналізм останніх. Все це значно збільшує складність і обсяг роботи, необхідної антивірусним компаніям для розробки засобів захисту достатнього рівня.

Слово «бот» - це скорочення від слова «робот». Бот являє собою фрагмент коду, який виконує деяку функціональність для свого господаря, що є автором цього коду. боти (Bot) є різновидом шкідливих програм, вони встановлені на тисячах комп'ютерів. Комп'ютер, на якому встановлено бот, називають зомбі(Zombie). Бот отримує команди від свого господаря і змушує заражений комп'ютер виконувати їх. Такими командами може бути розсилка спаму, вірусів або проведення атак. Зловмисник за краще виконувати такі дії з використанням ботів, а не свого комп'ютера, оскільки це дозволяє йому уникнути виявлення та ідентифікації.

Сукупність скомпрометованих зловмисником зомбі-комп'ютерів, на яких встановлені боти, називається ботсеті (Botnet). Для створення ботсеті хакери зламують тисячі систем, розсилаючи шкідливий код безліччю різних методів: у вигляді вкладень в електронні листи, через скомпрометовані веб-сайти, за допомогою розсилки посилань на шкідливі сайти, вкладених в повідомлення електронної пошти і т.д. У разі успішного встановлення на комп'ютері користувача, шкідливий код направляє зловмисникові повідомлення про те, що система була зламана і тепер доступна зловмисникові, який може використовувати її за своїм бажанням. Наприклад, він може використовувати створену ботмережа для проведення потужної або здавати її в оренду спамерам. При цьому більшість комп'ютерів, що входять в ботмережа, є домашніми комп'ютерами нічого не підозрюють користувачів.

Господар цієї ботсеті управляє входять в неї системами віддалено, як правило, за допомогою протоколу IRC (Internet Relay Chat).

Основні кроки створення і використання ботсеті наведені нижче:

1. Хакер різними способами направляє потенційним жертвам шкідливий код, який містить в собі програмне забезпечення бота.
2. Після успішної установки на системі жертви, бот встановлює контакт з керуючим сервером ботсеті, зв'язуючись з ним через IRC або спеціальний веб-сервер, відповідно до того, що зазначено в його коді. Після цього керуючий сервер бере на себе управління новим ботом.
3. Спамер платить хакеру за використання систем його ботсеті, хакер передає на керуючий сервер відповідні команди, а керуючий сервер, в свою чергу, дає команду всім зараженим системам, що входять в ботмережа, розсилати спам.

Спамери використовують цей метод тому, що це значно підвищує ймовірність досягнення їх повідомленнями одержувачів, в обхід встановлених у них спам-фільтрів, тому що такі повідомлення будуть відправлятися не з однієї адреси, який швидко буде заблокований або доданий в усі «чорні списки», а з безлічі реальних адрес власників зламаних комп'ютерів.

Для створення ботсеті, її майбутній господар або все робить сам, або оплачує хакерам розробку і поширення шкідливих програм для зараження систем, які стануть частиною його ботсеті. А потім до господаря ботсеті будуть звертатися і платити йому ті, хто хоче розповісти вам про свої нові продукти, а також ті, кому потрібно провести атаку на конкурентів, поцупити особисті дані або паролі користувачів і багато інших.

Традиційне антивірусне програмне забезпечення використовує сигнатури для виявлення шкідливого коду. Сигнатури - це «відбитки пальців» шкідливого коду, створені виробником антивірусного програмного забезпечення. Сигнатура є фрагменти коду, витягнуті з самого вірусу. Антивірусна програма сканує файли, повідомлення електронної пошти та інші дані, що проходять через певні, і порівнює їх зі своєю базою вірусних сигнатур. При виявленні збігів, антивірусна програма виконує заздалегідь налаштоване дію, яким може бути відправка зараженого файлу в карантин, спроба «вилікувати» файл (видалити вірус), відображення вікна з попередженням для користувача і / або запис події в.

Виявлення шкідливого коду на основі сигнатур - це ефективний спосіб виявлення шкідливого програмного забезпечення, однак при цьому існують певні затримки в частині реагування на нові загрози. Після першого виявлення вірусу, виробник антивіруса повинен вивчити цей вірус, розробити і протестувати нові сигнатури, випустити оновлення бази сигнатур, а всі користувачі повинні завантажити це оновлення. Якщо шкідливий код просто розсилає ваші фотографії всім вашим друзям, така затримка не настільки критична. Однак якщо шкідлива програма схожа на хробака Slammer, збиток від такої затримки може бути катастрофічним.

ПРИМІТКА. Черв'як Slammer з'явився в 2003 році. Він використовував уразливість в СУБД Microsoft SQL Server 2000, що дозволяє провести і викликати відмову в обслуговуванні. За деякими оцінками Slammer завдав збитків на суму понад 1 млрд. Доларів.

Оскільки нові шкідливі програми створюються щодня, виробникам антивірусного програмного забезпечення важко не відставати. Технологія використання вірусних сигнатур дозволяє виявляти віруси, які вже були виявлені, і для яких була створена сигнатура. Але в зв'язку з тим, що автори вірусів дуже плідні, а багато вірусів можуть змінювати свій код, дуже важливо, щоб антивірусне програмне забезпечення мало й інші механізми, що дозволяють виявити шкідливий код.

Іншим методом, який використовують майже всі антивірусні програмні продукти, є виявлення шкідливого коду на основі евристичного аналізу (Heuristic detection). Цей метод аналізує загальну структуру шкідливого коду, оцінює виконуються кодом інструкції та алгоритми, вивчає типи даних, що використовуються шкідливою програмою. Таким чином, він збирає великий обсяг інформації про фрагмент коду та оцінює ймовірність того, що він має шкідливий характер. Він використовує якийсь «лічильник підозрілості», який збільшується в міру того, як антивірусна програма знаходить в ньому нові потенційно небезпечні (підозрілі) властивості. При досягненні заздалегідь визначеного граничного значення, код вважається небезпечним, і антивірусна програма ініціює відповідні захисні механізми. Це дозволяє антивірусного програмного забезпечення розпізнавати невідомі шкідливі програми, а не тільки покладатися на сигнатури.

Розглянемо наступну аналогію. Іван - поліцейський, він працює, щоб зловити поганих хлопців і замкнути їх. Якщо Іван збирається використовувати метод сигнатур, він порівнює стопки фотографій з кожною людиною, якого він бачить на вулиці. Коли він бачить збіг, він швидко ловить поганого хлопця і садить його в свою патрульну машину. Якщо він збирається використовувати евристичний метод, він стежить за підозрілими діями. Наприклад, якщо він бачить людину в лижній масці, що стоїть перед входом в банк, він оцінює ймовірність того, що це грабіжник, а не просто замерзлий хлопець, випрошувати дрібниця у відвідувачів банку.

ПРИМІТКА. Бездискові робочі станції так само уразливі для вірусів, незважаючи на відсутність у них жорсткого диска і повноцінної операційної системи. Вони можуть бути заражені вірусами, які завантажуються і живуть в пам'яті. Такі системи можуть бути перезавантажувались дистанційно (віддалена перезавантаження), щоб очистити пам'ять і повернути її в початковий стан, тобто вірус короткочасно живе в такій системі.

Деякі антивірусні продукти створюють штучне середовище, звану віртуальною машиною або пісочницею, і дозволяють деякої частини підозрілого коду виконатися в захищеному середовищі. Це дає антивірусній програмі можливість побачити код в дій, що дає набагато більше інформації для прийняття рішення, чи є він шкідливим чи ні.

ПРИМІТКА. Віртуальну машину або пісочницю іноді називають буфером емуляції (Emulation buffer). Це те ж саме, що захищений сегмент пам'яті, тому навіть якщо код дійсно виявиться шкідливим, система все одно залишиться в безпеці.

Аналіз інформації про частини коду називається статичним аналізом , Якщо виконується запуск частини коду на віртуальній машині, це називається динамічним аналізом . Обидва ці методи вважаються наближеними методами виявлення.

Вакцинація.Інший підхід, який використовували деякі антивірусні програми, називається вакцинацією(Immunization). Продукти з цієї функціональністю вносили зміни в файли і області диска, щоб вони виглядали так, як ніби вже були інфіковані. При цьому вірус може вирішити, що файл (диск) вже заражений і не вноситиме жодних додаткових змін, перейшовши до наступного файлу.

Програма вакцинації, як правило, націлена на конкретний вірус, оскільки кожен з них по-різному перевіряє факт зараження і шукає в файлі (на диску) різні дані (сигнатури). Однак число вірусів та іншого шкідливого програмного забезпечення постійно зростає, зростає і кількість файлів, які необхідно захищати, тому такий підхід в даний час не застосовують на практиці в більшості випадків, і виробники антивірусів більше його не використовують.

В даний час, навіть з урахуванням всіх цих складних і ефективних підходів, немає стовідсоткової гарантії ефективності антивірусних засобів, оскільки вирусописатели дуже хитрі. Це постійна гра в кішки-мишки, яка триває щодня. Антивірусна індустрія знаходить новий спосіб виявлення шкідливих програм, а вирусописатели на наступному тижні знаходять, як обійти цей новий спосіб. Це змушує виробників антивірусних засобів постійно збільшувати інтелектуальність своїх продуктів, а користувачам доводиться щорічно купувати їх нові версії.

Наступним етапом еволюції антивірусного програмного забезпечення називають поведінковіблокатори (Behavior blocker). Антивірусне програмне забезпечення, яке виконує блокування на основі поведінки, фактично дозволяє підозрілого коду виконуватися в незахищеною операційній системі і стежить за його взаємодією з операційною системою, звертаючи увагу на підозрілі дії. Зокрема, антивірусне програмне забезпечення стежить за наступними видами дій:

• Запис в автоматично завантажуються при запуску системи файли або в розділи автозапуску в системному реєстрі
• Відкриття, видалення або зміна файлів
• Включення скриптів в повідомлення електронної пошти для відправки виконуваного коду
• Підключення до мережевих ресурсів або загальних папок
• Зміна логіки виконуваного коду
• Створення або зміна макросів і скриптів
• Форматування жорсткого диска або запис в завантажувальний сектор

Якщо антивірусна програма виявляє деякі з цих потенційно небезпечних дій, вона може примусово завершити таку програму і повідомити про це користувачеві. Нове покоління поведінкових блокаторів насправді аналізує послідовність виконання таких дій, перш ніж вирішити, що система заражена (поведінкові блокатори першого покоління спрацьовували просто на окремі дії, що приводило до великої кількості помилкових спрацьовувань). Сучасне антивірусне програмне забезпечення може перехоплювати виконання небезпечних частин коду і не дозволяє їм взаємодіяти з іншими запущеними процесами. Також вони можуть виявляти. Деякі з таких антивірусних програм дозволяють виконати «відкат» системи до стану, в якому вона була перед зараженням, «стираючи» всі зміни, виконані шкідливим кодом.

Здавалося б, що поведінковіблокатори можуть повністю вирішити всі проблеми, пов'язані зі шкідливим кодом, однак у них є один недолік, який вимагає виконання такого моніторингу шкідливого коду в режимі реального часу, в іншому випадку система все-таки може бути заражена. До того ж постійний моніторинг вимагає великої кількості системних ресурсів ...

ПРИМІТКА. Евристичний аналіз і блокування на основі поведінки вважаються проактивними методами, вони можуть виявляти нові шкідливі програми, які іноді називають атаками «нульового дня». Виявлення шкідливого коду на основі сигнатур не може виявити нові шкідливі програми.

Більшість антивірусних програм, використовують поєднання всіх цих технологій, щоб забезпечити максимальний захист, наскільки це можливо. Окремі рішення щодо протидії шкідливому програмному забезпеченню показані на рисунку 9-20.

Малюнок 9-20.Проізволітелі антивірусного програмного забезпечення використовують різні методи виявлення шкідливого коду

Всі ми дуже втомилися від повідомлень електронної пошти, які пропонують нам купити що-небудь непотрібне. Такі листи назваются спамом (Spam) - це небажані повідомлення електронної пошти. Спам не тільки відволікає його одержувачів від їх справ, але споживає значну пропускну здатність мережі, а також може бути джерелом поширення шкідливих програм. Багато компаній використовують спам-фільтри на своїх поштових серверах, а користувачі можуть налаштувати правила фільтрації спаму в своїх поштових клієнтів. Але спамери, також як і вирусописатели, постійно вигадують нові хитромудрі способи обходу спам-фільтрів.

Ефективне розпізнавання спаму стало справжньою наукою. Один з використовуваних методів називається байєсівської фільтрацією (Bayesian filtering). Багато років тому, пан на ім'я Томас Байес (математик) розробив ефективний спосіб передбачення ймовірності походження будь-яких подій за допомогою математики. Теорема Байєса дозволяє визначити ймовірність того, що сталося якесь подія при наявності лише непрямих підтверджень (даних), які можуть бути неточні. Концептуально це не так уже й важко зрозуміти. Якщо ви тричі вдарилися головою об цегляну стіну і кожен раз падали, ви можете зробити висновок, що і подальші спроби призведуть до тих же болючим результатами. Більш цікаво, коли ця логіка застосовується до дій, що містить набагато більше змінних. Наприклад, як працює спам-фільтр, який не пропускає до вас листи з пропозицією купити віагру, але при цьому не перешкоджає доставці пошти від вашого друга, який дуже цікавиться цим препаратом і пише вам повідомлення про його властивості і вплив на організм? Фільтр Байеса застосовує статистичне моделювання до слів, з яких складаються повідомлення електронної пошти. Над цими словами виконуються математичні формули, що дозволяють в повній мірі зрозуміти їхнє ставлення один до одного. Фільтр Байеса виконує частотний аналіз кожного слова, а потім оцінює повідомлення як ціле, щоб визначити, спам це чи ні.

Такий фільтр не просто шукає слова «Віагра», «секс» і т.п., він дивиться на те, як часто використовуються ці слова, і в якому порядку, щоб встановити, чи є повідомлення спамом. На жаль, спамери знають, як працюють такі фільтри, і маніпулюють словами в рядку теми і тексті листа, щоб спробувати обдурити спам-фільтр. Саме тому ви можете отримувати спам-повідомлення з помилками або словами, в яких використовуються символи замість букв. Спамери дуже зацікавлені в тому, щоб ви отримували їх повідомлення, тому що вони заробляють на цьому великі гроші.

Захист компаній від великого списку різних шкідливих програм вимагає більшого, ніж просто антивірусне програмне забезпечення. Як і з іншими компонентами, потрібно впровадити і підтримувати деякі додаткові адміністративні, фізичні та технічні захисні заходи і засоби.

У компанії повинна бути окрема антивірусна політика, або питання антивірусного захисту повинні враховуватися в загальній. Повинні бути розроблені, що визначають необхідні для використання в компанії види антивірусного і анти-шпигунського програмного забезпечення, а також основні параметри їх конфігурації.

Відомості про вірусні атаки, використовуваних засобах антивірусного захисту, а також про очікуване від користувачів поведінці повинні бути передбачені в програмі. Кожен користувач повинен знати, що він повинен робити і куди звертатися, якщо на його комп'ютері буде виявлено вірус. У стандарті повинні бути розглянуті всі питання, що стосуються дій користувача, пов'язаних з шкідливим кодом, має бути зазначено, що долженделать користувач і що робити йому забороняється. Зокрема, стандарт повинен містити наступні питання:

• На кожну робочу станцію, сервер, комунікатор, смартфон має бути встановлене антивірусне програмне забезпечення.
• Для кожного з цих пристроїв повинен бути реалізований спосіб автоматичного оновлення антивірусних сигнатур, який повинен бути включений і налаштований на кожному пристрої.
• У користувача не повинно бути можливості відключити антивірусне програмне забезпечення.
• Повинен бути заздалегідь розроблений і спланований процес видалення вірусів, має бути визначено і призначено контактна особа, на випадок виявлення шкідливого коду.
• Всі зовнішні диски (USB-накопичувачі і т.п.) повинні скануватися автоматично.
• Повинні скануватися файли резервних копій.
• Повинен проводитися щорічний перегляд антивірусних політик і процедур.
• Що використовується антивірусне програмне забезпечення має забезпечувати захист від завантажувальних вірусів.
• Антивірусне сканування має незалежно виконуватися на шлюзі і на кожному окремому пристрої.
• Антивірусне сканування повинне виконуватися автоматично за розкладом. Не потрібно розраховувати на те, що користувачі будуть запускати сканування вручну.
• Критичні системи повинні бути фізично захищені таким чином, щоб локальна установка на них шкідливого програмного забезпечення була неможлива.

Оскільки шкідливе програмне забезпечення може завдати багатомільйонних збитків (у вигляді операційних витрат, втрати продуктивності), багато компаній встановлюють антивірусні рішення на всіх точках входу в мережу. Антивірусний сканер може бути інтегрований в програмне забезпечення поштового сервера, або. Такий антивірусний сканер перевіряє весь вхідний трафік на наявність в ньому шкідливого коду, щоб виявити і зупинити його заздалегідь, ще до того, як він потрапить у внутрішню мережу. Продукти, що реалізують таку функціональність, можуть сканувати трафік SMTP, HTTP, FTP, а також, можливо, і інших протоколів. Але важливо розуміти, що такий продукт стежить тільки за одним або двома протоколами, а не за всім, хто входить трафіком. Це є однією з причин, по якій на кожному сервері і робочої станції також має бути встановлене антивірусне програмне забезпечення.

У статті 273 Кримінального кодексу РФ під шкідливими програмами розуміються програми для ЕОМ або зміни в існуючих програмах, «свідомо призводять до несанкціонованого знищення, блокування, модифікації або копіювання інформації, порушення роботи ЕОМ, системи ЕОМ або їх мережі».

Корпорація Microsoft застосовує термін malware, визначаючи його таким чином: «malware - це скорочення від malicious software, зазвичай використовується як загальноприйнятий термін для позначення будь-якого програмного забезпечення, спеціально створеного для того, щоб завдавати шкоди окремому комп'ютеру, серверу, або комп'ютерної мережі незалежно від того , чи є воно вірусом, шпигунською програмою і т. д. ».

Шкода, що наноситься подібним програмним забезпеченням, може полягати в збиток:

• програмно-апаратного забезпечення атакується порушником комп'ютера (мережі);
• даними користувача комп'ютера;
• самому користувачеві комп'ютера (опосередковано);
• користувачам інших комп'ютерів (опосередковано).

Конкретної шкоди користувачам і (або) власникам комп'ютерних систем і мереж може полягати в наступному:

• витоку і (або) втрати цінної інформації (в тому числі фінансової);
• позаштатному поведінці встановленого в системі програмного забезпечення;
• різкому зростанні вхідного і (або) вихідного трафіку;
• уповільненні або повну відмову роботи комп'ютерної мережі;
• втрати робочого часу співробітників організації;
• доступі порушника до ресурсів корпоративної комп'ютерної мережі;
• ризик стати жертвою шахрайства.

До ознак шкідливих програм можна віднести наступне:

• приховування своєї присутності в комп'ютерній системі;
• реалізацію самодублірованія, асоціації свого коду з іншими програмами, перенесення свого коду в не займається раніше області пам'яті комп'ютера;
• спотворення коду інших програм в оперативній пам'яті комп'ютера;
• збереження даних з оперативної пам'яті інших процесів в інших областях пам'яті комп'ютера;
• спотворення, блокування, підміну зберігаються або переданих даних, отриманих в результаті роботи інших програм або вже знаходяться у зовнішній пам'яті комп'ютера;
• невірне інформування користувача про дії, нібито виконуваних програмою.

Шкідлива програма може мати тільки одним з перерахованих вище ознак або їх комбінацією. Очевидно, що наведений вище список не є вичерпним.

За наявністю матеріальної вигоди шкідливе програмне забезпечення (ПО) може бути розділене на:

• що не приносить пряму матеріальну вигоду тому, хто розробив (встановив) шкідливу програму (розроблене за мотивами хуліганства, «жарти», вандалізму, в тому числі на релігійному, націоналістичної, політичному грунті, самоствердження і прагнення підтвердити свою кваліфікацію);
• приносить пряму матеріальну вигоду порушнику у вигляді розкрадання конфіденційної інформації, включаючи отримання доступу до систем банк-клієнт, отримання PIN-кодів кредитних карт і інших персональних даних користувача, а також отримання контролю над віддаленими комп'ютерними системами з метою розповсюдження спаму з численних «заражених» комп'ютерів (компь- ютерів-зомбі).

За мети розробки шкідливі програми можуть бути розділені на:

• ПО, яке спочатку розроблялася спеціально для отримання несанкціонованого доступу до інформації, що зберігається на ЕОМ, з метою заподіяння шкоди власнику інформації і (або) власнику ЕОМ (мережі ЕОМ);
• ПО, яке спочатку не розроблялося спеціально для отримання несанкціонованого доступу до інформації, що зберігається на ЕОМ, і з самого початку не призначалося для заподіяння шкоди власнику інформації і (або) власнику ЕОМ (мережі ЕОМ).

Останнім часом спостерігається криміналізація індустрії створення шкідливих програм, що виражається в наступному:

• викраденні конфіденційної інформації (комерційної таємниці, персональних даних);
• створенні зомбі-мереж ( «ботнет»), призначених для розсилки спаму, розподілених атак з викликом відмови в обслуговуванні (DDoS-атак), впровадження троянських проксі-серверів;
• шифруванні інформації користувачів з подальшим шантажем і вимогою викупу;
• атаках на антивірусні продукти;
• так званому Флашингу (постійному відмову в обслуговуванні - Permanent Denial of Service - PDoS).

Атаки з викликом відмови в обслуговуванні використовуються в даний час не стільки як інструмент для вимагання грошей у жертв, скільки як засіб політичної і конкурентної боротьби. Якщо раніше DoS-атаки були знаряддям в руках виключно хакерів-вимагачів або хуліганів, то тепер вони стали таким же товаром, як спам-розсилки або створення на замовлення шкідливих програм. Реклама послуг DoS-атак стала звичайним явищем, а ціни вже можна порівняти з ціною організації спам-розсилки.

Компанії, що спеціалізуються на питаннях комп'ютерної та мережевої безпеки, звертають увагу на новий тип загроз - так званий постійний відмова від обслуговування (Рооба). Новий вид атак отримав і інша назва - флашинг (рИа5Ип§). Потенційно він здатний завдати системі набагато більше шкоди, ніж будь-який інший вид мережевої шкідливої \u200b\u200bактивності, оскільки спрямований на виведення з ладу комп'ютерного обладнання. Рооба-атаки більш ефективні і при цьому дешевше, ніж традиційні види атак, при яких хакер намагається встановити на системі жертви шкідливе ПЗ. При Флашингу метою атаки стають програми у флеш-пам'яті ВЮБ і драйвери пристроїв, які, будучи пошкоджені, порушують роботу пристроїв і потенційно здатні вивести їх з ладу фізично.

Ще один варіант атак, спрямованих на викрадення конфіденційної інформації, полягає в тому, що порушники впроваджують в інформаційну систему компанії шкідливу програму, здатну блокувати роботу системи. На наступному етапі в атакується компанію приходить лист від злочинців з вимогою грошей за пароль, який дозволить розблокувати комп'ютерну систему підприємства. Ще один схожий спосіб незаконного заробітку в мережі - запуск в комп'ютер троянських програм, здатних шифрувати дані. Ключ з розшифровкою також надсилається злочинцями за певну грошову винагороду.

До цікавлять порушника персональних даних користувача атакується комп'ютера відносяться:

• що зберігаються в пам'яті комп'ютера документи та інші дані користувача;
• імена облікових записів і паролі для доступу до різних мережевих ресурсів (систем електронних грошей і платежів, Інтернет-аукціонів, Інтернет-пейджерам, електронній пошті, Інтернет-сайтах і форумах, онлайн-ігор);
• адреси електронної пошти інших користувачів, 1Р-адреси інших комп'ютерів мережі.

Завдяки новим можливостям, що надаються мережею Інтернет і особливо повсюдного поширення соціальних мереж, все більшу кількість людей регулярно звертаються до Інтернет-ресурсів і стають жертвами все більш витончених атак, метою яких є як викрадення конфіденційних даних користувачів, так і «зомбування» їх комп'ютерів з метою подальшого використання їх ресурсів порушниками.

Ефективна робота «зомбі»-мережі визначається трьома складовими, з яких вона умовно складається:

• програмою-завантажувачем, завданням якої є поширення власного коду і коду програми-бота, яка виконує основну роботу;
• програмою-ботом, що виконує збір і передачу конфіденційної інформації, розсилання спама, участь в ЕЕоБ-атаці і інші дії, покладені на неї порушником;
• керуючим модулем ботнету, що збирає інформацію від програм-ботів і розсилає їм поновлення і при необхідності нові конфігураційні файли, «перенацілює» програми-боти.

Прикладами протидії шкідливих програм встановленому у користувача антивірусного програмного забезпечення є:

• примусова зупинка роботи антивірусного сканера або монітора;
• зміна налаштувань системи захисту для полегшення впровадження та функціонування шкідливої \u200b\u200bпрограми;
• автоматичне натискання на кнопку «Пропустити» після виведення користувачеві попередження про виявлену шкідливій програмі;
• приховування своєї присутності в системі (так звані «руткіти»);
• утруднення антивірусного аналізу за допомогою додаткового перетворення шкідливого коду (шифрування, заплутування або обфускаціі, поліморфізму, упаковки).

До останніх років робота антивірусних програм була заснована виключно на аналізі вмісту об'єкта, що перевіряється. При цьому більш ранній сигнатурний спосіб виявлення вірусів (так зване сканування) використовував пошук фіксованих послідовностей байт, найчастіше за певним зміщення від початку об'єкта, що містяться в бінарному коді шкідливої \u200b\u200bпрограми. З'явився дещо пізніше евристичний аналіз також перевіряв вміст об'єкта, що перевіряється, але спирався вже на більш вільний, імовірнісний пошук характерних для потенційно шкідливої \u200b\u200bпрограми послідовностей байт. Очевидно, що шкідлива програма легко обійде такий захист, якщо кожна її копія буде представляти собою новий набір байт.

Саме це завдання і вирішують поліморфізм і метаморфізм, суть яких полягає в тому, що при створенні своєї чергової копії шкідлива програма повністю змінюється на рівні набору байт, з якого вона складається. При цьому її функціонал залишається незмінним.

Шифрування і обфускація (заплутування коду) самі по собі в першу чергу націлені на утруднення аналізу програмного коду, але, реалізовані певним чином, виявляються різновидами поліморфізму (наприклад, шифрування кожної копії вірусу унікальним ключем). Обфускація сама по собі лише ускладнює аналіз, але, використовувана по-новому в кожній копії шкідливої \u200b\u200bпрограми, перешкоджає антивірусного сканування.

Щодо широке поширення поліморфізм отримав тільки в епоху вірусів, що заражають файли. Це пояснюється тим, що написання поліморфного коду - завдання досить складна і ресурсномістка і виправдовується тільки в тих випадках, коли шкідлива програма самостійно розмножується: при цьому кожен новий її екземпляр являє собою більш-менш унікальний набір байт. Для більшості сучасних шкідливих програм, які не мають функції саморозмноження, це не актуально. Тому в даний час поліморфізм зустрічається у шкідливих програмах не надто часто.

Навпаки, обфускація, так само як і інші способи модифікації коду, більшою мірою вирішальні завдання труднощі його евристичного аналізу, а не завдання ускладнення сканування, завдяки цій обставині не втрачає своєї актуальності.

Для зменшення розміру файлу з шкідливою програмою використовуються так звані пакери (пакувальники) - спеціальні програми, які обробляють файл за принципом архиватора. Побічний і корисний (з точки зору протидії антивірусним програмам) ефект від використання пакувальників полягає в деякому скруті антивірусного сканування.

Це пояснюється тим, що, розробляючи нову модифікацію шкідливої \u200b\u200bпрограми, її автор зазвичай змінює кілька рядків коду, залишаючи його кістяк недоторканим. У здійсненно коді при цьому змінюються байти на певній ділянці файлу, і якщо використовувана антивірусною програмою сигнатура не перебувала саме з цього відрізка, то шкідлива програма буде як і раніше виявлятися. Обробка програми пакувальником вирішує цю проблему, оскільки зміна навіть одного байта в вихідному исполняемом коді призводить до зовсім нового набору байт в файлі упакованому.

Багато сучасних пакувальники, крім стиску вихідного файлу, постачають його додатковими функціями самозахисту, націленими на утруднення розпакування файлу і його аналізу за допомогою відладчика.

До шкідливим програмам (іноді також званим руйнують програмними впливами) прийнято відносити комп'ютерні віруси і програмні закладки. вперше термін комп'ютерний вірус ввів у вживання фахівець з США Ф. Коен в 1984 р «Класичним» комп'ютерним вірусом називають автономно функціонуючу програму, яка має одночасно трьома властивостями:

• здатністю до включення свого коду в тіла інших об'єктів (файлів і системних областей пам'яті комп'ютера);
• подальшого самостійного виконання;
• самостійного розповсюдження в комп'ютерних системах.

Комп'ютерні віруси не використовують мережевих сервісів для проникнення на інші комп'ютери мережі. Копія вірусу потрапляє на віддалені комп'ютери тільки в тому випадку, якщо заражений об'єкт з яких-небудь не залежних від вірусу причин виявляється активізованим на іншому комп'ютері, наприклад:

• при зараженні доступних для користувача мережевих дисків вірус проник у файли, розташовані на цих мережевих ресурсах;
• вірус скопіював себе на знімний носій або заразив файли на ньому;
• користувач відіслав електронний лист із зараженим вірусом вкладенням.

Важливим є та обставина, що віруси не мають своїх засобів для поширення за межі одного комп'ютера. Це може статися тільки при зараженні знімного носія інформації (дискети, флеш-диска) або коли користувач сам переніс заражений вірусом файл на інший комп'ютер по мережі.

завантажувальні віруси заражають головний завантажувальний сектор жорсткого диска (Master Boot record - MBR) або завантажувальний сектор розділу жорсткого диска, системної дискети або завантажувального компакт-диска (Boot Record - BR), підміняючи знаходяться в них програми початкового завантаження і завантаження операційної системи своїм кодом. Початковий вміст цих секторів при цьому зберігається в одному з вільних секторів диска або безпосередньо в тілі вірусу.

Після зараження MBR, що є першим сектором нульовий головки нульового циліндра жорсткого диска, вірус отримує управління відразу по завершенні роботи процедури перевірки обладнання (POST), програми BIOS Setup (якщо вона була викликана користувачем), процедур BIOS і його розширень. Отримавши управління, завантажувальний вірус виконує наступні дії:

• 1) копіювання свого коду в кінець оперативної пам'яті комп'ютера, зменшуючи тим самим розмір її вільної частини;
• 2) перевизначення «на себе» кількох переривань BIOS, в основному пов'язаних з обігом до дисків;
• 3) завантаження в оперативну пам'ять комп'ютера істинної програми початкового завантаження, до функцій якої входить перегляд таблиці розділів жорсткого диска, визначення активного розділу, завантаження і передача управління програмою завантаження операційної системи активного розділу;
• 4) передачу управління істинної програмі початкового завантаження.

Аналогічним чином працює і завантажувальний вірус в ВЯ, заміщаючи програму завантаження операційної системи. Звичайною формою зараження комп'ютера завантажувальним вірусом є випадкова спроба завантаження з несистемної дискети (або СО-дис- ка), завантажувальний сектор якої заражений вірусом. Ця ситуація виникає, коли заражена дискета залишається в дисководі при виконанні перезавантаження операційної системи. Після зараження головного завантажувального сектора жорсткого диска вірус поширюється при першому зверненні до будь-якої незараженной дискеті.

Завантажувальні віруси, як правило, відносяться до групи резидентних вірусів. Завантажувальні віруси були досить поширені в 90-х роках минулого століття, але практично зникли з переходом на 32-бітові операційні системи і відмовою від використання дискет як основного способу обміну інформацією. Теоретично можлива поява завантажувальних вірусів, що заражають СП-диски і флеш-диски, але поки такі віруси не виявлено.

файлові віруси заражають файли різних типів:

• програмні файли, файли драйверів пристроїв та інших модулів операційної системи;
• файли документів, які можуть містити в собі макроси;
• файли документів, які можуть містити в собі сценарії (скрипти) або окремі файли сценаріїв і ін.

При зараженні файлу вірус записує свій код в початок, середину або кінець файлу або відразу в кілька місць. Вихідний файл змінюється таким чином, щоб після відкриття файлу управління було негайно передано коду вірусу. Після одержання керування код вірусу виконує наступну послідовність дій:

• 1) зараження інших файлів (комбіновані віруси) і системних областей дискової пам'яті;
• 2) установка в оперативній пам'яті власних резидентних модулів (резидентні віруси);
• 3) виконання інших дій, що залежать від реалізованого вірусом алгоритму;
• 4) продовження звичайної процедури відкриття файлу (наприклад, передача управління вихідного коду зараженої програми).

Віруси в програмних файлах при зараженні змінюють їх заголовок таким чином, що після завантаження програми в оперативну пам'ять управління передається коду вірусу. Наприклад, стерпний формат виконуваного файлу операційних систем Windows і OS / 2 (Portable Executable - РЕ) має наступну структуру:

• 1) заголовок в форматі операційної системи MS-DOS;
• 2) код програми реального режиму процесора, яка отримує управління при спробі запуску додатка Windows в середовищі операційної системи MS-DOS;
• 3) заголовок РЕ-файлу;
• 4) додатковий (опціональний) заголовок РЕ-файлу;
• 5) заголовки та тіла всіх сегментів додатки (коду програми, її статичних даних, що експортуються програмою даних, що імпортуються програмою даних, налагоджувальної інформації та ін.).

Розділ, що містить опціональний заголовок РЕ-файлу, включає в себе поле, що містить адресу точки входу додатки. Безпосередньо перед точкою входу в сегменті коду програми розміщується таблиця адрес імпортованих з інших модулів функцій (Import Address Table - IAT), яка заповнюється дійсними адресами під час завантаження виконуваного коду в адресний простір процесу.

При зараженні вірусом програмного файлу адреса точки входу додатки змінюється таким чином, щоб вказувати на початок коду вірусу і забезпечувати автоматичне отримання ним управління при завантаженні програмного файлу. Можлива також модифікація модулів ядра операційної системи (наприклад, kernel32.dll) для перехоплення викликів деяких системних функцій (наприклад, CreateProcess, CreateFile, ReadFile, WriteFile, CloseHandle) для зараження інших файлів.

Різновидом файлових вірусів є віруси в кластерах зараженого логічного диска або дискети. При зараженні код вірусу копіюється в один з вільних кластерів диска, який позначається в таблиці розміщення файлів (File Allocation Table - FAT) як останній кластер файлу. Потім змінюються опису програмних файлів в каталозі - замість номера першого виділеного файлу кластера поміщається номер кластера, що містить код вірусу. При цьому істинний номер першого кластера зараженого файлу шифрується і зберігається, наприклад, в невикористаної частини опису файлу в каталозі.

При запуску зараженого файлу управління отримує код вірусу, який:

• 1) встановлює в оперативній пам'яті свій резидентний модуль, який в подальшому буде перехоплювати всі звернення до зараженого диска;
• 2) завантажує вихідний програмний файл і передає йому управління.

При наступному зверненні до каталогу із зараженими файлами резидентная частина вірусу передає операційній системі істинні значення номерів перших кластерів, виділених заражених файлів.

Віруси в файлах документів, створених, наприклад, програмами пакету Microsoft Office, поширюються за допомогою включених в них макросів (процедур на мові програмування Visual Basic for Applications - VBA). Тому такі віруси іноді називають вірусами в макросах або просто макровірусами.

Мови програмування макросів, особливо VBA, є універсальними мовами, що підтримують технологію об'єктно-орієнтованого програмування, що мають велику бібліотеку стандартних макрокоманд і дозволяють створювати досить складні процедури. Крім того, підтримуються автоматично виконуються макроси, пов'язані з певними подіями (наприклад, відкриттям документа) або певними діями користувача (наприклад, при виклику команди збереження документа у файлі).

Прикладами автоматично виконуються макросів, пов'язаних з певними подіями обробки документа Microsoft Word, є:

• AutoExec (автоматично виконується при запуску текстового процесора Microsoft Word, якщо знаходиться в файлі шаблонів normal.dot або в файлі папки Startup папки Microsoft Office);
• AutoNew (автоматично отримує управління при створенні нового документа);
• AutoOpen (автоматично виконується при відкритті документа);
• AutoClose (автоматично виконується при закритті документа);
• Auto Exit (автоматично отримує управління при завершенні роботи текстового процесора Microsoft Word).

У табличному процесорі Microsoft Excel підтримується тільки частина з автоматично виконуваних макросів, причому імена цих макросів злегка змінені - Auto_open і Auto_close.

У текстовому процесорі Microsoft Word визначені також макроси, які автоматично отримують управління при виклику користувачем однієї зі стандартних команд - File Save (Файл | Зберегти), FileSaveAs (Файл | Зберегти як), Tools- Macro (Сервіс | Макрос | Макроси), ToolsCustomize ( сервіс | | Налаштування) і т. д.

Документ Microsoft Office може також містити макроси, автоматично отримують управління при натисканні користувачем певної комбінації клавіш на клавіатурі або досягнення певного моменту часу (дати, часу доби).

Будь-макрос (в тому числі і автоматично виконується) з окремого документа може бути записаний в файл шаблонів normal.dot (і навпаки) і тим самим стати доступним при редагуванні будь-якого документа Microsoft Word. Запис макросу в файл normal.dot може бути здійснена за допомогою стандартної макрокоманди MacroCopy (WordBasic), методу Organi- zerCopy об'єкта Application або методів Сору стандартних об'єктів Organizer (Microsoft Word) і Sheets (Microsoft Excel).

Для маніпулювання файлами, розміщеними у зовнішній пам'яті комп'ютера, в макросах можуть використовуватися стандартні макроси Open (відкриття існуючого або створення нового файлу), SetAttr (зміна атрибутів файлу), Name (перейменування файлу або папки), Get (читання даних з відкритого файлу), Put (запис даних у відкритий файл), Seek (зміна поточної позиції записи або читання з файлу), Close (закриття файлу), Kill (видалення файлу), RmDir (видалення папки), MkDir (створення нової папки), ChDir (зміна поточної папки) і ін.

Стандартна макрокоманда Shell дозволяє виконати будь-яку з встановлених на комп'ютері програм або системних команд.

Таким чином, мова програмування VBA цілком може бути використаний авторами макровірусів для створення дуже небезпечного коду. Найпростіший макровірус в документі Microsoft Word заражає інші файли документів наступним чином:

• 1) при відкритті зараженого документа управління отримує міститься в ньому макрос з кодом вірусу;
• 2) вірус поміщає в файл шаблонів normal.dot інші макроси зі своїм кодом (наприклад, FileOpen, FileSaveAs і FileSave);
• 3) вірус встановлює в реєстрі Windows і (або) в ініціати- лізаціонние файлі Microsoft Word відповідний прапор про зроблений зараженні;
• 4) при наступному запуску Microsoft Word першим відкривається файлом фактично є вже заражений файл шаблонів normal.dot, що дозволяє коду вірусу автоматично отримувати управління, а зараження інших файлів документів може відбуватися при їх збереженні за допомогою стандартних команд Microsoft Word.

Можна сказати, що більшість макровірусів відносяться до групи резидентних вірусів, так як частина їх коду постійно присутній в оперативній пам'яті комп'ютера в усі час роботи програми з пакету Microsoft Office.

Розміщення коду макровіруси всередині документа Microsoft Office можна вказати досить схематично, так як формат файлів документів дуже складний і містить послідовність блоків даних різних форматів, що об'єднуються між собою за допомогою великої кількості службових даних. Особливістю макровірусів є і те, що вони можуть заражати файли документів на комп'ютерах різних платформ, а не тільки IBM PC. Зараження буде можливо, якщо на комп'ютері будуть встановлені офісні програми, повністю сумісні з програмами з пакету Microsoft Office.

При збереженні файлів документів в їх склад включаються і випадкові дані, які пов'язані із вмістом документа, а що містяться в виділених, але до кінця не заповнених при редагуванні документа блоках оперативної пам'яті. Тому при додаванні нових даних в документ його розмір може змінитися непередбачуваним чином, в тому числі і зменшитися. Це не дозволяє судити про зараження файлу документа макровірусами, так як його розмір після зараження також зміниться непередбачувано. Відзначимо також, що в випадково збереженої разом з файлом загальнодоступного документа інформації може виявитися і конфіденційна.

Більшість відомих макровірусів розміщують свій код тільки в макросах. Однак існують і такі різновиди вірусів в макроси файлів документів, в яких код вірусу зберігається не тільки в макросах. Ці віруси включають в себе невеликий за обсягом макрос-завантажувач основного коду вірусу, який викликає вбудований в Microsoft Office редактор макросів, створює новий макрос з кодом вірусу, виконує його, поїв цього для приховування слідів своєї присутності видаляє створений макрос. Основний код вірусу в цьому випадку присутній у вигляді масиву рядків або в тілі макросу-завантажувача, або в області змінних зараженого документа.

Зараження файлу шаблонів normal.dot - не єдиний спосіб поширення макровірусів на комп'ютері користувача. Можливо також зараження файлів додаткових шаблонів, розміщених в папці Startup всередині папки Microsoft Office. Ще один спосіб зараження файлів документів користувача макровірусами полягає в їх впровадженні в файли надбудов над Microsoft Word, що розміщуються в папці Addins папки Microsoft Office. Макровіруси, що не поміщають свій код в загальний шаблон normal.dot, можна віднести до групи нерезидентних вірусів. Ці макровіруси для зараження інших файлів або застосовують стандартні макроси для роботи з файлами і папками мови VBA, або використовують список останніх редагованих користувачем файлів, який міститься в підміню «Файл» програми Microsoft Word та інших програм пакета Microsoft Office.

У табличному процесорі Microsoft Excel не використовується файл шаблонів normal.dot, тому для зараження інших файлів документів користувачів використовуються файли з папки Startup. Особливістю макровірусів, що заражають файли електронних таблиць Excel, є те, що для їх написання може використовуватися не тільки мову програмування VBA, а й мову макрокоманд «старих» версій Microsoft Excel, підтримка якого забезпечена і в більш пізніх версіях цього табличного процесора.

В системі управління базами даних Microsoft Access для автоматичного отримання управління при виникненні деякої події (наприклад, відкриття бази даних) призначені макроси, написані на спеціальній мові сценаріїв, що має дуже обмежені можливості. Але в цих автоматично виконуваних макросах-сценаріях (наприклад, в макросі AutoExec, автоматично одержує управління при запуску Microsoft Access) можуть викликатися повноцінні макроси, написані на мові VBA. Тому для зараження бази даних Microsoft Access вірусу необхідно створити або замінити автоматично виконується макрос-сценарій і скопіювати в заражають базу модуль з макросами, що містять основну частину коду вірусу.

Відомі комбіновані віруси, які можуть заражати і бази даних Microsoft Access, та документи Microsoft Word. Подібний вірус складається з двох основних частин, кожна з яких заражає файли документів «свого» типу (.doc ілі.mdb). Але обидві частини такого вірусу здатні переносити свій код з однієї програми Microsoft Office в інше. При перенесенні коду вірусу з Microsoft Access в папці Startup створюється заражений файл додаткових шаблонів (.dot-файл), а при перенесенні коду вірусу з Microsoft Word - заражений файл бази даних Access, який передається в якості параметра запускається кодом вірусу з додатком Microsoft Access (msaccess .exe).

Антивірусні компанії повідомляють про нову тенденцію в поширенні вірусів. Після хвилі поштових вірусів і вірусів в сценаріях тепер одним з найпопулярніших способів поширення шкідливих програм стають флеш-диски, що підключаються до комп'ютера за допомогою USB. Це стало можливим завдяки слабкості операційної системи Windows, яка за замовчуванням автоматично запускає файл автозапуску autorun.inf зі змінного накопичувача.

На думку деяких експертів, службу INF / Autorun в ОС Windows можна вважати головною проломом в безпеці комп'ютерних систем. На відміну від пересилання заражених програм по електронній пошті в цьому випадку навіть грамотний користувач практично не здатний запобігти зараженню, адже досить просто вставити заражене пристрій в роз'єм USB, і процес стає вже незворотнім. Єдиною профілактикою може бути відключення автозапуску, що рекомендують робити навіть експерти з безпеки з самої компанії Microsoft.

Можна сказати, що в якомусь сенсі поширення вірусів на USB-накопичувачах є поверненням до витоків створення вірусів, коли Інтернету ще не існувало. Тоді віруси поширювалися від комп'ютера до комп'ютера за допомогою дискет.

програмної закладкою називають зовнішню чи внутрішню по відношенню до атакується комп'ютерній системі програму, володіє певними руйнівними функціями по відношенню до цієї системи:

• поширення в розподілених КС з метою реалізації тієї чи іншої загрози безпеки інформації (комп'ютерні або мережеві черв'яки, які на відміну від комп'ютерних вірусів не повинні мати властивість включення свого коду в тіла інших файлів);
• здійснення різних несанкціонованих користувачем дій (збір конфіденційної інформації і її передачу порушнику, руйнування або навмисну \u200b\u200bмодифікацію інформації користувача, порушення працездатності комп'ютера, використання ресурсів комп'ютера в непристойних цілях ( «троянські» програми або просто «троянці»);
• знищення або внесення змін до функціонування програмного забезпечення КС, знищення або зміна оброблюваних в ній даних після виконання деякого умови або отримання деякого повідомлення ззовні КС ( «логічні бомби»);
• підміна окремих функцій підсистеми захисту КС або створення «люків» в ній для реалізації загроз безпеці інформації в КС (наприклад, імітувати засобів шифрування шляхом емуляції роботи встановленої в КС плати апаратного шифрування);
• перехоплення паролів користувачів КС за допомогою імітації запрошення до його введення або перехоплення всього введення користувачів з клавіатури;
• перехоплення потоку інформації, що передається між об'єктами розподіленої КС (монітори);
• умовно небезпечні програми, які розробляються легальними виробниками, але містять потенційно небезпечні функції, які можуть бути використані порушником.

Як правило, для того щоб мережевий черв'як почав свою роботу, треба запустити прийшов по електронній пошті файл (або перейти по посиланню, що міститься безпосередньо у отриманому електронною поштою листі). Але бувають і такі черв'яки, активація яких не вимагає втручання людини:

• черв'як міститься в самому тексті листа і запускається, коли користувач просто відкриває повідомлення (або воно відкривається в панелі попереднього перегляду у вікні поштового клієнта) (лист в цьому випадку представляє собою текст на мові, що містить сценарій з кодом хробака);
• хробак використовує «дірки» (проломи, уразливості) в системах безпеки операційних систем та інших програм (наприклад, поштових).

Щоб спонукати користувача запустити прийшов по електронній пошті файл, порушники використовують дуже витончені технології, звані соціальною інженерією. Наприклад, пропозиція заповнити прикладену до листа форму для отримання нібито виграного користувачем великого грошового призу. Або маскування під офіційну розсилку від відомої компанії-виробника програмного забезпечення (слід знати, що ці компанії ніколи не розсилають без запиту користувача ніякі файли) і т. П.

Після свого запуску черв'як вміє сам розсилати свій код по електронній пошті, використовуючи «адресну книжку» поштової програми. Після цього комп'ютери знайомих користувача зараженого комп'ютера теж заражаються.

Основна відмінність мережевих черв'яків від класичних вірусів полягає саме в можливості самораспространения по мережі, а також у відсутності необхідності зараження інших локальних об'єктів на зараженому комп'ютері.

Для свого поширення мережеві черв'яки використовують різноманітні комп'ютерні і мобільні мережі: електронну пошту, системи обміну миттєвими повідомленнями, файлообмінні (P2P) і IRC-мережі, локальні обчислювальні мережі (LAN), мережі обміну даними між мобільними пристроями (телефонами, кишеньковими комп'ютерами) і т . д.

Більшість відомих черв'яків поширюється у вигляді файлів: вкладення в електронний лист, посилання на заражений файл на якому-небудь Web- або FTP-pecypce в ICQ- і IRC-сооб- щеннях, файл в каталозі обміну P2P і т. Д. Деякі черв'яки ( так звані «безфайлові» або «пакетні» черв'яки) поширюються в вигляді мережевих пакетів, проникаючи безпосередньо в пам'ять комп'ютера і активізуючи свій код.

Деякі черв'яки володіють також властивостями інших різновидів шкідливого програмного забезпечення. Наприклад, деякі черв'яки містять функції збору і передачі порушника конфіденційної інформації користувача зараженого комп'ютера або здатні заражати виконані файли на локальному диску зараженого комп'ютера, т. Е. Мають властивість троянської програми і (або) комп'ютерного вірусу.

На рис. 4.1 наведені дані, що показують розподіл комп'ютерних вірусів (virus) і різних категорій мережевих черв'яків (worm) в 2008 р (за даними Лабораторії Касперського).

Мал. 4.1.

Окремі категорії троянських програм завдають шкоди віддалених комп'ютерів і мереж, не завдаючи шкоди зараженого комп'ютера (наприклад, троянські програми, розроблені для масованих DDoS-атак на віддалені ресурси мережі).

На відміну від черв'яків і вірусів, троянці не псують інші файли і не мають власних коштів для поширення. Це просто програми, які виконують шкідливі для користувача зараженого комп'ютера дії, наприклад перехоплення пароля для доступу в мережу Інтернет.

В даний час всередині класу «троянських» програм фахівці Лабораторії Касперського виділяють три основні групи поводжень:

• Backdoor (надання порушнику можливості віддаленого адміністрування зараженого комп'ютера), Trojan-Downloader (доставка на комп'ютер користувача інших шкідливих програм), Trojan-PSW (перехоплення паролів), Trojan (інші «троянські» програми), найбільш поширені «троянські» програми;
• Trojan-Spy (шпигунські програми), Trojan-Dropper (інсталятори інших шкідливих програм);
• Trojan-Proxy ( «троянські» проксі-сервери), Trojan-Clicker (Інтернет-клікери), Rootkit (приховують свою присутність в комп'ютерній системі), Trojan-DDoS (програми для участі в розподілених атаках з викликом відмови в обслуговуванні), Trojan- SMS ( «мобільні троянці», є найактуальнішою загрозою для мобільних пристроїв).

Деякі програми мають набір функцій, які можуть завдати шкоди здоров'ю користувача тільки при виконанні ряду умов. Більш того, подібні програми можуть легально продаватися і використовуватися в повсякденній роботі, наприклад, системних адміністраторів. Однак в руках порушника такі програми можуть обернутися інструментом, за допомогою якого можна завдати шкоди здоров'ю користувача. Фахівці Лабораторії Касперського виділяють подібні програми в окрему групу умовно небезпечних програм (їх неможливо однозначно віднести ні до небезпечних, ні до безпечних).

Цей тип програм виявляється антивірусними програмами опціонально в разі усвідомленого вибору користувачем розширеного набору антивірусних баз. Якщо виявлені при використанні розширених баз програми користувачеві знайомі і він на 100% впевнений в тому, що вони не заподіють шкоди його даними (наприклад, користувач сам придбав цю програму, знайомий з її функціями і використовує їх в легальних цілях), то користувач може або відмовитися від подальшого використання розширених антивірусних баз, або додати подібні програми в список «винятків» (програм, подальше виявлення яких буде відключено).

До потенційно небезпечних програм відносяться програми класів RiskWare (легально поширювані потенційно небезпечні програми), Porn Ware (програми для показу інформації порнографічного характеру) і AdWare (рекламне програмне забезпечення).

До класу програм RiskWare відносяться легальні програми (деякі з них вільно продаються і широко використовуються в легальних цілях), які тим не менше в руках порушника здатні завдати шкоди здоров'ю користувача і його даними. У таких програмах можна виявити легальні утиліти віддаленого адміністрування, програми-клієнти IRC, програми для автодозвону ( «Дайлер», dialer), програми для скачування ( «да унлоадери», downloader), монітори будь-якої активності (monitor), утиліти для роботи з паролями, а також численні Інтернет-сервери служб FTP, Web, Proxy та Telnet.

Всі ці програми не є шкідливими самі по собі, проте володіють можливостями, якими можуть скористатися порушники для заподіяння шкоди користувачам. Наприклад, програма віддаленого адміністрування дозволяє отримувати доступ до інтерфейсу віддаленого комп'ютера і використовуватися для управління і спостереження за віддаленою машиною. Подібна програма може бути цілком легальною, вільно розповсюджуваної і необхідної в роботі системних адміністраторів або інших технічних фахівців. Однак в руках порушників така програма здатна завдати шкоди здоров'ю користувача і його даними шляхом необмежений доступ до чужого комп'ютера.

Як інший приклад розглянемо утиліту, що є клієнтом IRC-мережі: розширеними функціональними можливостями подібної утиліти можуть скористатися порушники і поширювані ними троянські програми (зокрема, Backdoor), що використовують функції такого клієнта в своїй роботі. Так, «троянська" програма здатна без відома користувача дописати в файл конфігурації IRC-клієнта власні скрипти і успішно виконати свої деструктивні функції на зараженій машині. При цьому користувач не буде навіть підозрювати про функціонування на його комп'ютері шкідливої \u200b\u200bтроянської програми.

Найчастіше шкідливі програми самостійно встановлюють на комп'ютер користувача IRC-клієнт для подальшого використання його в своїх цілях. Як місце розміщення в цьому випадку, як правило, виступає папка Windows і її підпапки. Виявлення IRC-клієнта в цих папках практично однозначно свідчить про факт зараження комп'ютера якимись шкідливими програмами.

Рекламне програмне забезпечення (Adware, Advware, Spyware, Browser Hijackers) призначене для показу рекламних повідомлень (найчастіше у вигляді графічних банерів) і перенаправлення пошукових запитів на рекламні Web-сторінки. За винятком показу реклами подібні програми, як правило, ніяк не виявляють своєї присутності в системі. Зазвичай у Adware-програм немає процедури деінсталяції.

• шляхом вбудовування рекламних компонентів в безкоштовне і умовно-безкоштовне програмне забезпечення (freeware, shareware);
• шляхом несанкціонованого встановлення рекламних компонентів при відвідуванні користувачем «заражених» Web- сторінок.

Більшість програм категорій freeware і shareware припиняє показ реклами після їх покупки і (або) реєстрації. Подібні програми часто використовують вбудовані Adware-утиліти сторонніх виробників. У деяких випадках ці Adware-утиліти залишаються встановленими на комп'ютері користувача і після реєстрації програм, з якими вони спочатку потрапили в його систему. При цьому, видалення Adware-компонента, все ще використовується який-небудь програмою для показу реклами, може привести до збоїв в роботі цієї програми.

Базове призначення Adware даного типу - неявна форма оплати програмного забезпечення, що здійснюється за рахунок показу користувачеві рекламної інформації (рекламодавці платять за показ їх реклами рекламному агентству, рекламне агентство - розробнику Adware). Рекламне ПО допомагає скоротити витрати як розробникам програмного забезпечення (доход від Adware стимулює їх до написання нових і вдосконалення існуючих програм), так і самим користувачам.

У разі встановлення рекламних компонентів при відвідуванні користувачем «заражених» Web-сторінок в більшості випадків використовуються хакерські технології (проникнення в комп'ютер через пролом в системі безпеки веб-браузера, а також використання «троянських» програм, призначених для прихованої установки програмного забезпечення). Adware-програми, що діють так само, часто називають «Browser Hijackers».

Багато рекламних програми крім доставки реклами також збирають конфіденційну інформацію про комп'ютер і користувача (IP-адресу, версії ОС і веб-браузера, списку найбільш часто використовуваних Інтернет-ресурсів, пошукових запитах та іншої інформації, яку можна використовувати в рекламних цілях).

З цієї причини Adware-програми часто також називають Spyware (не слід плутати рекламне ПО категорії Spyware з троянськими шпигунськими програмами Trojan-Spy). Програми категорії Adware приносять шкоду, пов'язану не тільки з втратою часу і відволіканням користувача від роботи, але і цілком реальною загрозою витоку конфіденційних даних.

Розподіл програм класів RiskWare і PornWare по поводженням можна представити у вигляді кругової діаграми (рис. 4.2, за даними Лабораторії Касперського).

AdTool - це різні рекламні модулі, які не можна віднести до AdWare, оскільки вони мають необхідні легальні атрибути: забезпечені ліцензійною угодою, демонструють свою присутність на комп'ютері і інформують користувача про свої дії.

Мал. 4.2.

Porn-Dialers самостійно (без повідомлення користувача) здійснюють телефонні з'єднання з premium-номерами, що часто призводить до судових розглядів між абонентами і їх телефонними компаніями.

До програм категорії Monitor відносяться легальні «кей- логгер» (програми для відстеження натискання клавіш), які офіційно виробляються і продаються, проте при наявності у них функції приховування своєї присутності в системі такі програми можуть бути використані як повноцінні троянці-шпигуни.

Програми категорії PSW-Tool призначені для відновлення забутих паролів, але легко можуть бути використані порушниками і для вилучення цих паролів з пам'яті комп'ютера нічого не підозрюючи жертви. Програми категорії Downloader можуть використовуватися порушниками для завантаження шкідливого контенту на комп'ютер-жертву.

До іншим шкідливим програмам ставляться різноманітні програми, які не становлять загрози безпосередньо комп'ютера, на якому виконуються, а розроблені для створення інших шкідливих програм, організації DDoS-атак на віддалені сервери, злому інших комп'ютерів і т. П.

До таких програм відносяться вірусні містифікатори (Hoax) і помилкові антивірусні програми (FraudTool), «хакерські" програми для «злому» віддалених комп'ютерів (Exploit, HackTool), конструктори і пакувальники шкідливих програм (Constructor, VirTool, Packed), програми для розсилки спаму і атак «засмічення» (SpamTool, IM-Flooder, Flooder), програми для введення користувача в оману (BadJoke).

Основний різновидом FraudTool є так звані rogue-antivirus - програми, що видають себе за повноцінні антивірусні засоби. Після своєї установки на комп'ютері вони обов'язково «знаходять» який-небудь вірус, навіть на абсолютно «чистої» комп'ютерній системі, і пропонують купити свою платну версію для «лікування». Крім прямого обману користувачів, ці програми містять в собі і функцію AdWare. Фактично це справжнє шахрайство, засноване на страху користувачів перед шкідливими програмами.

Хакерські утиліти категорій Exploit і HackTool призначені для проникнення в віддалені комп'ютери з метою подальшого управління ними (використовуючи методи троянських програм типу «backdoor») або для впровадження у зламану систему інших шкідливих програм. Хакерські утиліти типу «exploit» при цьому використовують уразливості в операційних системах або додатках, встановлених на комп'ютері, що атакується.

Конструктори вірусів і «троянських» програм - це утиліти, призначені для виготовлення нових комп'ютерних вірусів і «троянців». Відомі конструктори вірусів для DOS, Windows і макровірусів. Вони дозволяють генерувати вихідні тексти вірусів, об'єктні модулі і (або) безпосередньо заражені файли.

Деякі конструктори забезпечені стандартним графічним інтерфейсом, де за допомогою системи меню можна вибрати тип вірусу, що вражаються об'єкти, наявність або відсутність шифрування, протидія відладчику, внутрішні текстові рядки, а також ефекти, що супроводжують роботу вірусу, і т. П. Інші конструктори не мають інтерфейсу і зчитують інформацію про тип створюваного вірусу зі свого конфігураційного файлу.

Утиліти категорії Nuker відправляють спеціально оформлені запити на яких атакували комп'ютери в мережі, в результаті цього атакують система припиняє роботу. Ці програми використовують уразливості в програмному забезпеченні мережевих служб і операційних систем, в результаті цього мережевий запит спеціального виду викликає критичну помилку в атакується додатку.

До програм категорій Bad-Joke і Hoax ( «злим жартів») відносяться програми, які не завдають комп'ютера будь-якого прямого шкоди, проте виводять повідомлення про те, що така шкода вже заподіяна, або буде завдано при будь-яких умовах, або попереджають користувача про неіснуючу небезпеку. До «злим жартів» відносяться, наприклад, програми, які виводять користувачеві повідомлення про форматування жорсткого диска (хоча ніякого форматування насправді не відбувається), виявляють віруси в не- заражених файлах, виводять дивні вірусоподібні повідомлення і т. Д.

Поліморфний генератор не є вірусами в буквальному значенні цього слова, оскільки в їхній алгоритм не закладаються функції розмноження. Головною функцією подібного роду програм є шифрування тіла вірусу і генерація відповідного розшифровувача.

Зазвичай поліморфний генератор поширюються їхніми авторами без обмежень у вигляді файла-архіву. Основним файлом в архіві будь-якого генератора є об'єктний модуль, що містить цей генератор.

Еволюція схеми функціонування шкідливих програм від одиничних модулів до складних і взаємодіє між собою проектам почалася на початку цього століття. Нова модель функціонування шкідливих програм не тільки повинна стати стандартом для маси нових шкідливих проектів, а й отримати свій подальший розвиток.

Основними рисами цієї моделі є наступні:

• відсутність єдиного центру управління мережею заражених комп'ютерів;
• активна протидія спробам стороннього дослідження і перехоплення управління;
• одночасно масові і короткочасні розсилки шкідливого коду;
• грамотне застосування засобів соціальної інженерії;
• використання різних способів поширення і поступова відмова від найбільш помітних з них (електронна пошта);
• використання різних модулів для здійснення різних функцій (а не одного універсального).

За аналогією з відомим терміном Web 2.0 нове покоління шкідливих програм можна назвати MalWare 2.0.

Техніка приховування присутності в системі (руткіти) стане застосовуватися не тільки в троянські програми, але і в файлових вірусах. Таким чином, відбудеться як би повернення до часів операційної системи MS-DOS, коли існували резидентні стелс-віруси. Це є логічним розвитком методів протидії антивірусним програмам. Шкідливі програми тепер прагнуть «вижити» в системі навіть після свого виявлення.

Ще одним небезпечним способом приховування присутності програми в комп'ютері буде технологія зараження завантажувального сектора диска - так звані «буткіти». Це чергове повернення старої методики, що дозволяє шкідливій програмі отримати управління ще до завантаження основної частини операційної системи (і антивірусних програм). Буткіти - це руткіти з функцією завантаження з завантажувальних секторів будь-яких пристроїв. Їх небезпека полягає в тому, що шкідливий код отримує управління ще до старту ОС, а значить і антивірусне програмне забезпечення.

Один з найбільш яскравих прикладів реалізації технології буткіти - vbootkit. Спрощена послідовність дій vbootkit виглядає так. Після включення живлення комп'ютера і виконання програм BIOS активізується код Vbootkit (з CD або іншого пристрою). Потім виконуються програма початкового завантаження з MBR і завантажувач ОС Windows Vista, після цього управління передається ядру цієї операційної системи.

Як тільки vbootkit отримає контроль над системою, він викликає переривання BIOS 13, потім здійснює пошук сигнатур для ОС Windows Vista. Після їх виявлення він починає модифікацію Windows Vista, одночасно приховуючи себе (розміщуючи свій код невеликими шматками в різних областях оперативної пам'яті). Ці модифікації включають в себе обхід таких засобів захисту, як перевірка електронних цифрових підписів, контрольних хеш-значень, а також виконання певних дій для збереження свого контролю над системою під час як першої, так і другої фази процесу завантаження.

Друга стадія включає в себе розширення ядра операційної системи з метою збереження у vbootkit контролю над нею до її перезавантаження. Таким чином, у користувача буде vbootkit, завантажений в ядро \u200b\u200bWindows Vista.

Буткіти зберігають в завантажувальному секторі тільки необхідний мінімум для запуску основного коду. Цей основний код зберігається в інших секторах, вміст яких буткіт ховає, перехоплюючи переривання BIOS для читання сектора.

Користувачі соціальних мереж можуть стати основною мішенню так званого фішингу. Облікові дані абонентів різних мережевих сервісів будуть користуватися підвищеним попитом у порушників. Це стане важливою альтернативою методикою розміщення шкідливих програм на зламаних Web-сайтах. «Троянські» програми можуть поширюватися саме через облікові записи користувачів соціальних мереж, через їх блоги та профілі.

Ще однією пов'язаною з соціальними мережами проблемою можуть стати XSSPHPSQL-aTaKH. На відміну від фішингу, в основі якого лежать виключно шахрайські методи і методи соціальної інженерії, ці атаки використовують помилки і уразливості самих сервісів Web 2.0 та можуть торкнутися навіть вельми грамотних користувачів. Метою порушників і в цьому випадку є персональні дані користувачів, які потрібні для створення деяких баз і списків для проведення подальших атак «традиційними» способами.

Основними факторами, що забезпечують одночасний інтерес користувачів і хакерів до сервісів Web 2.0, є:

• перенесення призначених для користувача даних з персонального комп'ютера в мережу Інтернет;
• використання одного облікового запису для кількох різних сервісів;
• наявність детальної інформації про користувачів;
• наявність інформації про зв'язки, контакти і знайомих користувачів;
• надання місця для публікації будь-якої інформації;
• довірчі відносини між контактами.

Дана проблема досить серйозна вже зараз і, на думку фахівців, має всі шанси стати головною проблемою інформаційної безпеки.

Що стосується мобільних пристроїв, і в першу чергу мобільних телефонів, то загрози для них розподіляються між примітивними троянськими програмами і різними уразливими в операційних системах і додатках для смартфонів.

Відповідно до методів впровадження програмних закладок в КС і можливих місць їх розміщення в системі закладки можуть бути розділені на наступні групи:

• програмні закладки, асоційовані з BIOS;
• закладки, асоційовані з програмами початкового завантаження і завантаження операційної системи;
• закладки, асоційовані з драйверами операційної системи і іншими системними модулями;
• закладки, асоційовані з прикладним програмним забезпеченням загального призначення (наприклад, архиваторами);
• програмні файли, що містять тільки код закладки та впроваджуються за допомогою пакетних командних файлів;
• закладки, маскуються під прикладне програмне забезпечення загального призначення;
• закладки, маскуються під ігрове і освітнє програмне забезпечення (для полегшення їх первісного впровадження в КС).

І профілактики - запобігання зараженню (модифікації) файлів або операційної системи шкідливим му.

Методи захисту від вірусів[ | ]

Для захисту від вірусів використовують три групи методів:

1. Методи, засновані на аналізі вмісту файлів (Як файлів даних, так і файлів з ами команд). До цієї групи належать сканування сигнатур вірусів, а також перевірка цілісності і сканування підозрілих команд.
2. Методи, засновані на відстеження поведінки програм при їх виконанні. Ці методи полягають в протоколюванні всіх подій, які загрожують безпеці системи і що відбуваються або при реальному виконанні перевіряється а, або при його програмної емуляції.
3. методи регламентації порядку роботи з файлами і програмами. Ці методи відносяться до адміністративних заходів забезпечення безпеки.

Метод сканування сигнатур (Сигнатурний аналіз, сигнатурний метод) заснований на пошуку в файлах унікальною послідовності байтів - сигнатури, Характерною для певного вірусу. Для кожного знову виявленого вірусу фахівцями антивірусної лабораторії виконується аналіз а, на підставі якого визначається його сигнатура. Отриманий овий фрагмент поміщають в спеціальну базу даних вірусних сигнатур, з якої працює антивірусна програма. Перевагою даного методу є відносно низька частка помилкових спрацьовувань, а головним недоліком - принципова неможливість виявлення в системі нового вірусу, для якого відсутня сигнатура в базі даних антивірусної програми, тому потрібно своєчасна актуалізація бази даних сигнатур.

Метод контролю цілісності грунтується на тому, що будь-яка несподівана і безпричинна зміна даних на диску є підозрілим подією, що потребує особливої \u200b\u200bуваги антивірусної системи. Вірус обов'язково залишає свідоцтва свого перебування (зміна даних існуючих (особливо системних або виконуваних) файлів, поява нових виконуваних файлів і т. Д.). Факт зміни даних - порушення цілісності - легко встановлюється шляхом порівняння контрольної суми (дайджесту), заздалегідь підрахованої для вихідного стану тестованого а, і контрольної суми (дайджесту) поточного стану тестованого а. Якщо вони не збігаються, значить, цілісність порушена і є всі підстави провести для цього а додаткову перевірку, наприклад, шляхом сканування вірусних сигнатур. Зазначений метод працює швидше методу сканування сигнатур, оскільки підрахунок контрольних сум вимагає менше обчислень, ніж операції побайтового порівняння ових фрагментів, крім того він дозволяє виявляти сліди діяльності будь-яких, в тому числі невідомих, вірусів, для яких в базі даних ще немає сигнатур.

Метод сканування підозрілих команд (Евристичне сканування, евристичний метод) заснований на виявленні в сканованому файлі деякого числа підозрілих команд і (або) ознак підозрілих ових послідовностей (наприклад, команда форматування жорсткого диска або функція впровадження в виконується процес або виконуваний). Після цього робиться припущення про шкідливої \u200b\u200bсуті файлу і робляться додаткові дії по його перевірці. Цей метод має гарний швидкодією, але досить часто він не здатний виявляти нові віруси.

Метод відстеження поведінки програм принципово відрізняється від методів сканування вмісту файлів, згаданих раніше. Цей метод заснований на аналізі поведінки запущених програм, який можна порівняти з затриманням злочинця «за руку» на місці злочину. Антивірусні засоби даного типу часто вимагають активної участі користувача, покликаного приймати рішення у відповідь на численні попередження системи, значна частина яких може виявитися згодом помилковими тривогами. Частота помилкових спрацьовувань (підозра на вірус для нешкідливого файлу або пропуск шкідливого файлу) при перевищенні певного порогу робить цей метод неефективним, а користувач може перестати реагувати на попередження або вибрати оптимістичну стратегію (дозволяти всі дії всіх запускаються програмами або відключити цю функцію антивірусного засобу). При використанні антивірусних систем, які аналізують поведінку програм, завжди існує ризик виконання команд вірусного а, здатних завдати шкоди захищається комп'ютера або мережі. Для усунення такої вади пізніше був розроблений метод емуляції (імітації), що дозволяє запускати тестируемую програму в штучно створеної (віртуальної) середовищі, яку часто називають пісочницею (sandbox), без небезпеки пошкодження інформаційного оточення. Використання методів аналізу поведінки програм показало їх високу ефективність при виявленні як відомих, так і невідомих шкідливих програм.

фальшивий антивірус [ | ]

У 2009 році почалося активне поширення фальшивий антивірус [ ] - програмного забезпечення, яка не є антивірусним (тобто не має реальної функціональності для протидії шкідливим програмам), але видає себе за таке. По суті, фальшивий антивірус можуть бути як програмами для обману користувачів і отримання прибутку у вигляді платежів за «лікування системи від вірусів», так і звичайним шкідливим програмним забезпеченням.

спеціальні антивіруси[ | ]

У листопаді 2014 року міжнародна правозахисна організація Amnesty International випустила антивірусну програму Detect, призначену для виявлення шкідливого програмного забезпечення державними установами для стеження за цивільними активістами і політичними опонентами. Антивірус, за заявою творців, виконує більш глибоке сканування жорсткого диска, ніж звичайні антивіруси.

ефективність антивірусів[ | ]

Аналітична компанія Imperva в рамках проекту Hacker Intelligence Initiative опублікувала цікаве дослідження, яке показує малу ефективність більшості антивірусів в реальних умовах.

За підсумками різних синтетичних тестів антивіруси показують середню ефективність в районі 97%, але ці тести проводяться на базах з сотень тисяч зразків, абсолютна більшість яких (може бути, близько 97%) вже не використовуються для проведення атак.

Питання в тому, наскільки ефективними є антивіруси проти найактуальніших загроз. Щоб відповісти на це питання, компанія Imperva і студенти Тель-Авівського університету роздобули на російських підпільних форумах 82 зразка найсвіжішого шкідливого ПО - і перевірили його по базі VirusTotal, тобто проти 42 антивірусних движків. Результат виявився плачевним.

1. Ефективність антивірусів проти щойно скомпільованих зловредів виявилася менш 5%. Це цілком логічний результат, оскільки творці вірусів обов'язково тестують їх по базі VirusTotal.
2. Від появи вірусу до початку його розпізнавання антивірусами проходить до чотирьох тижнів. Такий показник досягається «елітними» антивірусами, а у інших антивірусів термін може доходити до 9-12 місяців. Наприклад, на початку дослідження 9 лютого 2012 року було перевірено свіжої зразок фальшивого інсталятора Google Chrome. Після закінчення дослідження 17 листопада 2012 року його визначали тільки 23 з 42 антивірусів.
3. У антивірусів з найвищим відсотком визначення зловредів присутній також високий відсоток помилкових спрацьовувань.
4. Хоча дослідження складно назвати об'єктивним, бо вибірка зловредів була замалою, але можна припустити, що антивіруси абсолютно непридатні проти свіжих кіберзагроз.

Класифікації антивірусних програм[ | ]

Антивірусні програми поділяються за виконання (засобів блокування) на:

• програмні;
• програмно-апаратні.

За ознакою розміщення в оперативній пам'яті виділяють:

• резидентні (починають свою роботу при запуску операційної системи, постійно знаходяться в пам'яті комп'ютера і здійснюють автоматичну перевірку файлів);
• нерезидентні (запускаються на вимогу користувача або відповідно до заданого для них розкладом).

По виду (способу) захисту від вірусів розрізняють:

Відповідно до нормативно-правовим актом ФСТЕК Росії «Вимоги в області технічного регулювання до продукції, використовуваної в цілях захисту відомостей, що становлять державну таємницю або відносяться до охоронюваної відповідно до законодавства Російської Федерації іншої інформації обмеженого доступу (вимоги до засобів антивірусного захисту)» (затв . наказом ФСТЕК Росії від 20 березня 2012 року № 28) виділяють наступні типи засобів антивірусного захисту:

• тип «А» - засоби антивірусного захисту (компоненти засобів антивірусного захисту), призначені для централізованого адміністрування засобами антивірусного захисту, встановленими на компонентах інформаційних систем (серверах, автоматизованих робочих місцях);
• тип «Б» - засоби антивірусного захисту (компоненти засобів антивірусного захисту), призначені для застосування на серверах інформаційних систем;
• тип «В» - засоби антивірусного захисту (компоненти засобів антивірусного захисту), призначені для застосування на автоматизованих робочих місцях інформаційних систем;
• тип «Г» - засоби антивірусного захисту (компоненти засобів антивірусного захисту), призначені для застосування на автономних автоматизованих робочих місцях.

Засоби антивірусного захисту типу «А» не застосовуються в інформаційних системах самостійно і призначені для використання тільки спільно із засобами антивірусного захисту типів «Б» і (або) «В».

Необхідної для вірусів і кібер-злочинців завданням є впровадження вірусу, хробака або троянської програми в комп'ютер-жертву або мобільний телефон. Досягається ця мета різними способами, які діляться на дві основні категорії:

• соціальна інженерія (також вживається термін «соціальний інжиніринг» - калька з англійського «social engineering»);
• технічні прийоми впровадження шкідливого коду в заражає систему без відома користувача.

Часто ці способи використовуються одночасно. При цьому так само часто використовуються спеціальні заходи з протидії антивірусним програмам.

Соціальна інженерія

Методи соціальної інженерії тим чи іншим способом змушують користувача запустити заражений файл або відкрити посилання на заражений веб-сайт. Ці методи застосовуються не тільки численними поштовими хробаками, а й іншими видами шкідливого програмного забезпечення.

Завдання хакерів і вірусів - привернути увагу користувача до зараженому файлу (або HTTP-посилання на заражений файл), зацікавити користувача, змусити його клікнути по файлу (або за посиланням на файл). «Класикою жанру» є гучний в травні 2000 року поштовий черв'як LoveLetter, до сих пір зберігає лідерство за масштабом завданої фінансового збитку, згідно з даними від Computer Economics. Повідомлення, яке черв'як виводив на екран, виглядало наступним чином:

На визнання «I LOVE YOU» зреагували дуже багато, і в результаті поштові сервера великих компаній не витримали навантаження - черв'як розсилав свої копії по всіх контактах з адресної книги при кожному відкритті вкладеного VBS-файлу.

Поштовий хробак Mydoom, «рвонув» в інтернеті в січні 2004 р, використовував тексти, що імітують технічні повідомлення поштового сервера.

Варто також згадати черв'як Swen, який видавав себе за повідомлення від компанії Microsoft і маскувався під патч, що усуває ряд нових вразливостей в Windows (не дивно, що багато користувачів піддалися на заклик встановити «чергову латку від Microsoft»).

Трапляються і казуси, один з яких стався в листопаді 2005. В одній з версій хробака Sober повідомлялося, що німецька кримінальна поліція розслідує випадки відвідування нелегальних веб-сайтів. Цей лист потрапив до любителю дитячої порнографії, який прийняв його за офіційний лист, - і слухняно здався владі.

Останнім часом особливої \u200b\u200bпопулярності набули не файли, вкладені в лист, а посилання на файли, розташовані на зараженому сайті. Потенційній жертві відправляється повідомлення - поштове, через ICQ або інший пейджер, рідше - через інтернет-чати IRC (в разі мобільних вірусів звичайним способом доставки служить SMS-повідомлення). Повідомлення містить будь-якої привабливий текст, що змушує нічого не підозрює користувача клікнути на посилання. Даний спосіб проникнення в комп'ютери-жертви на сьогоднішній день є найпопулярнішим і дієвим, оскільки дозволяє обходити пильні антивірусні фільтри на поштових серверах.

Використовуються також можливості файлообмінних мереж (P2P-мережі). Черв'як або троянська програма викладається в P2P-мережу під різноманітними «смачними» назвами, наприклад:

• AIM & AOL Password Hacker.exe
• Microsoft CD Key Generator.exe
• PornStar3D.exe
• play station emulator crack.exe

У пошуку нових програм користувачі P2P-мереж натикаються на ці імена, скачують файли і запускають їх на виконання.

Також досить популярні «розводки», коли жертві підсовують безкоштовну утиліту або інструкцію по злому різних платіжних систем. Наприклад, пропонують отримати безкоштовний доступ до інтернету або стільниковому оператору, скачати генератор номерів кредитних карт, збільшити суму грошей в персональному інтернет-гаманці і т.п. Природно, що постраждалі від подібного шахрайства навряд чи будуть звертатися в правоохоронні органи (адже, по суті, вони самі намагалися заробити шахрайським способом), і інтернет-злочинці щосили цим користуються.

Незвичайний спосіб «розводки» використовував невідомий зловмисник з Росії в 2005-2006 роках. Троянська програма розсилалась на адреси, виявлені на веб-сайті job.ru, що спеціалізується на працевлаштуванні і пошуку персоналу. Деякі з тих, хто публікував там свої резюме, отримували нібито пропозицію про роботу з вкладеним в лист файлом, який пропонувалося відкрити і ознайомитися з його змістом. Файл був, природно, троянської програмою. Цікаво також те, що атака проводилася в основному на корпоративні поштові адреси. Розрахунок, мабуть, будувався на тому, що співробітники компаній навряд чи будуть повідомляти про джерело зараження. Так воно і сталося - фахівці «Лабораторії Касперського» більше півроку не могли отримати виразної інформації про метод проникнення троянської програми в комп'ютери користувачів.

Бувають і досить екзотичні випадки, наприклад, лист з вкладеним документом, в якому клієнта банку просять підтвердити (вірніше - повідомити) свої коди доступу - роздрукувати документ, заповнити прикладену форму і потім відправити її по факсу на вказаний в листі телефонний номер.

Інший незвичайний випадок доставки шпигунської програми «додому» стався в Японії восени 2005. Якісь зловмисники розіслали заражені троянським шпигуном CD-диски на домашні адреси (місто, вулиця, будинок) клієнтів одного з японських банків. При цьому використовувалася інформація з заздалегідь вкраденої клієнтської бази цього самого банку.

технології впровадження

Ці технології використовуються зловмисниками для впровадження в систему шкідливого коду таємно, не привертаючи уваги власника комп'ютера. Здійснюється це через уразливості в системі безпеки операційних систем і в програмному забезпеченні. Наявність вразливостей дозволяє виготовленому зловмисником мережевого хробака або троянської програми проникнути в комп'ютер-жертву і самостійно запустити себе на виконання.

Уразливості є, по суті, помилками в коді або в логіці роботи різних програм. Сучасні операційні системи і додатки мають складну структуру і великий функціонал, і уникнути помилок при їх проектуванні та розробці просто неможливо. Цим і користуються вирусописатели і комп'ютерні зловмисники.

Уразливими в поштових клієнтах Outlook користувалися поштові черв'яки Nimda і Aliz. Для того щоб запустити файл хробака, досить було відкрити заражене лист або просто навести на нього курсор у вікні попереднього перегляду.

Також шкідливі програми активно використовували уразливості в мережевих компонентах операційних систем. Для свого поширення такими уразливими користувалися черви CodeRed, Sasser, Slammer, Lovesan (Blaster) і багато інших черви, що працюють під ОС Windows. Під удар потрапили і Linux-системи - черви Ramen і Slapper проникали на комп'ютери через уразливості в операційному середовищі та додатках для неї.

В останні роки одним з найбільш популярних способів зараження стало впровадження шкідливого коду через веб-сторінки. При цьому часто використовуються уразливості в інтернет-браузерах. На веб-сторінку поміщається заражений файл і скрипт-програма, яка використовує уразливість в браузері. При заході користувача на заражену сторінку спрацьовує скрипт-програма, яка через уразливість закачує заражений файл на комп'ютер і запускає його там на виконання. В результаті для зараження великої кількості комп'ютерів досить заманити якомога більше число користувачів на таку веб-сторінку. Це досягається різними способами, наприклад, розсилкою спаму із зазначенням адреси сторінки, розсилкою аналогічних повідомлень через інтернет-пейджери, іноді для цього використовують навіть пошукові машини. На зараженій сторінці розміщується різноманітний текст, який рано чи пізно обраховується пошуковими машинами - і посилання на цю сторінку виявляється в списку інших сторінок в результатах пошуку.

Окремим класом стоять троянські програми, які призначені для скачування і запуску інших троянських програм. Зазвичай ці троянці, які мають дуже невеликий розмір, тим чи іншим чином (наприклад, використовуючи чергову уразливість в системі) «підсуваються» на комп'ютер-жертву, а потім вже самостійно викачують з інтернету і встановлюють в систему інші шкідливі компоненти. Часто такі троянські програми змінюють настройки браузера на найнебезпечніші, щоб «полегшити дорогу» іншим троянцам.

Уразливості, про які стають відомо, досить оперативно виправляються компаніями-розробниками, проте постійно з'являється інформація про нові вразливості, які тут же починають використовуватися численними хакерами і вірусопісателямі. Багато троянські «боти» використовують нові уразливості для збільшення своєї чисельності, а нові помилки в Microsoft Office тут же починають застосовуватися для впровадження в комп'ютери чергових троянських програм. При цьому, на жаль, має місце тенденція скорочення часового проміжку між появою інформації про чергову уразливості і початком її використання хробаками і троянцями. В результаті компанії-виробники уразливого програмного забезпечення та розробники антивірусних програм виявляються в ситуації цейтноту. Першим необхідно максимально швидко виправити помилку, протестувати результат (зазвичай званий «латкою», «патчем») і розіслати його користувачам, а другим - негайно випустити засіб детектування і блокування об'єктів (файлів, мережевих пакетів), що використовують уразливість.

Одночасне використання технологій впровадження та методів соціальної інженерії

Досить часто комп'ютерними зловмисниками використовуються відразу обидва методи. Метод соціальної інженерії - для залучення уваги потенційної жертви, а технічний - для збільшення ймовірності проникнення зараженого об'єкта в систему.

Наприклад, поштовий черв'як Mimail поширювався як вкладення в електронний лист. Для того щоб користувач звернув увагу на лист, в нього вставлявся спеціально оформлений текст, а для запуску копії хробака з вкладеного в лист ZIP-архіву - вразливість в браузері Internet Explorer. В результаті при відкритті файлу з архіву черв'як створював на диску свою копію і запускав її на виконання без будь-яких системних попереджень або додаткових дій користувача. До речі, цей черв'як був одним з перших, призначених для крадіжки персональної інформації користувачів інтернет-гаманців системи e-gold.

Іншим прикладом є розсилка спаму з темою «Привіт» і текстом «Подивися, що про тебе пишуть». За текстом слідувала посилання на якусь веб-сторінку. При аналізі з'ясувалося, що дана веб-сторінка містить скрипт-програму, яка, користуючись ще однієї вразливістю в Internet Explorer, завантажує на комп'ютер користувача троянську програму LdPinch, призначену для крадіжки різних паролів.

Протидія антивірусних програм

Оскільки мета комп'ютерних зловмисників - впровадити шкідливий код в комп'ютери-жертви, то для цього їм необхідно не тільки змусити користувача запустити заражений файл або проникнути в систему через будь-яку вразливість, але і непомітно проскочити повз встановленого антивірусного фільтра. Тому не дивно, що зловмисники цілеспрямовано борються з антивірусними програмами. Використовувані ними технічні прийоми дуже різноманітні, але найчастіше зустрічаються такі:

Упаковка і шифрування коду. Значна частина (якщо не більшість) сучасних комп'ютерних черв'яків і троянських програм упаковані або зашифровані тим чи іншим способом. Більш того, комп'ютерним андеграундом створюються спеціально для цього призначені утиліти упаковки і шифровки. Наприклад, шкідливими виявилися абсолютно всі зустрілися в інтернеті файли, оброблені утилітами CryptExe, Exeref, PolyCrypt і деякими іншими.

Для детектування подібних черв'яків і Трої антивірусних програм доводиться або додавати нові методи розпакування і розшифровки, або додавати сигнатури на кожен зразок шкідливої \u200b\u200bпрограми, що знижує якість детектування, оскільки не завжди всі можливі зразки модифікованого коду виявляються в руках антивірусної компанії.

Мутація коду. Розведення троянського коду «сміттєвими» інструкціями. В результаті функціонал троянської програми зберігається, але значно змінюється її «зовнішній вигляд». Періодично трапляються випадки, коли мутація коду відбувається в режимі реального часу - при кожному завантаженні троянської програми з зараженого веб-сайту. Тобто все або значну частину потрапляють з такого сайту на комп'ютери зразки троянця - різні. Прикладом застосування цієї технології є поштовий черв'як Warezov, кілька версій якого викликали значні епідемії у другій половині 2006 р

Приховування своєї присутності. Так звані «руткіт-технології» (від англ. «Rootkit»), як правило, використовується троянські програми. Здійснюється перехоплення і підміна системних функцій, завдяки яким заражений файл не видно ні штатними засобами операційної системи, ні антивірусними програмами. Іноді також ховаються гілки реєстру, в яких реєструється копія троянця, і інші системні області комп'ютера. Дані технології активно використовуються, наприклад, троянцем-бекдор HacDef.

Зупинка роботи антивіруса і системи отримання оновлень антивірусних баз (апдейтів). Багато троянські програми і мережеві черв'яки роблять спеціальні дії проти антивірусних програм - шукають їх в списку активних додатків і намагаються зупинити їх роботу, псують антивірусні бази даних, блокують отримання оновлень і т.п. Антивірусних програм доводиться захищати себе адекватними способами - стежити за цілісністю баз даних, ховати від троянців свої процеси і т.п.

Приховування свого коду на веб-сайтах. Адреси веб-сторінок, на яких присутні троянські файли, рано чи пізно стають відомі антивірусним компаніям. Природно, що подібні сторінки потрапляють під пильну увагу антивірусних аналітиків - вміст сторінки періодично скачується, нові версії троянських програм заносяться в антивірусні оновлення. Для протидії цьому веб-сторінка модифікується спеціальним чином - якщо запит йде з адреси антивірусної компанії, то скачується якийсь нетроянскій файл замість троянського.

Атака кількістю. Генерація та поширення в інтернеті великої кількості нових версій троянських програм за короткий проміжок часу. В результаті антивірусні компанії виявляються «завалені» новими зразками, на аналіз яких потрібен час, що дає зловмисно коду додатковий шанс для успішного впровадження в комп'ютери.

Ці та інші методи використовуються комп'ютерним андеграундом для протидії антивірусним програмам. При цьому активність кіберзлочинців росте рік за роком, і зараз можна говорити про справжню «гонці технологій», яка розгорнулася між антивірусної індустрією і індустрією вірусної. Одночасно росте кількість хакерів-індивідуалів і злочинних груп, а також їх професіоналізм. Все це разом значно збільшує складність і обсяг роботи, необхідної антивірусним компаніям для розробки засобів захисту достатнього рівня.