Вредоносные программы: понятие, признаки, классиикация

 

 

Оглавление

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

Актуальность данной темы. Вредоносная программа – это специально разработанная программа, способная делать собственные копии и запускающая их в ресурсы систем. Пользователь замечает это, когда нарушается работа его техники, не запускаются какие-то приложения, перестает работать компьютер. Мир этих вредоносных программ до сих пор еще не изучен. Постоянно появляются новые и более совершенные вредители. Даже опытные сисадмины часто не знают, как они распространяются и что собой представляют. Антивирусные программы пытаются с ними бороться, их тоже постоянно улучшают. Каждый новый вирус – это новая работа для тех программистов, которые помогают защищать наши компьютеры.

В настоящее время имеется около тысячи видов вредоносных программ. Учитывая тот факт, что каждый из них существует в нескольких модификациях, нужно увеличить это число в 5—10 раз Большинство распространяется одним из двух методов: заражая файлы или загрузочные сектора.

Файлы данных не могут быть заражены вирусом. Однако существуют так называемые макровирусы, которые распространяются с помощью файлов шаблонов.

В Internet существует значительное количество «мнимых» вирусов. 
Защититься от вирусов не так уж сложно. Для этого создано огромное количество антивирусных программ, в основном с одинаковыми функциями.

Целью данной курсовой работы является анализ вредоносных программ компьютера.

Для достижения поставленной цели необходимо решить следующие задачи:

1. Дать определение понятию вредоносной программы;
2. Определить признаки компьютерной вредоносной программы;
3. Проанализировать разнообразие вредоносных программ;
4. Выявить методы борьбы с вредоносными программами;
5. Показать классификацию антивирусных программ.

 

1.Вредоносные программы: понятие, признаки, классиикация

Вредоносные программы (Malware — сокращение от «malicious software») - любое программное обеспечение, специально созданное для того, чтобы причинять ущерб компьютеру, серверу или компьютерной сети, хранящимся на них данным, независимо от того, является ли оно вирусом, трояном, сетевым червем и т. д.

Ботнеты Ботнет (от анг. botnet) - обозначения группы программ, или ботов, способных работать самостоятельно в автономном режиме. Термин часто ассоциируется с вредоносными программами, но может применяться и для вполне легитимных распределенных вычислений.

Бэкдоры Бэкдор (backdoor от англ. back door, чёрный ход) — программа или набор программ, которые устанавливает взломщик на компьютере жертвы после получения первоначального доступа к ней.

Руткиты Rootkit (руткит, от англ. root kit, то есть «набор root'а») - это программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

Сетевые черви Сетевые черви — разновидность вредоносных программ, самостоятельно распространяющихся через локальные и глобальные компьютерные сети.

Трояны Троянская программа (также — троян, троянец, в анг. - trojan) — программа, используемая злоумышленником для сбора информации, её разрушения или модификации, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях.

Эксплоит (Exploit), HackTool. К данной категории относят утилиты, предназначенные (особенно касается эксплоитов) для выполнения произвольного кода либо DOS (Denial of Service – отказ в обслуживании) на удаленной системе. Эксплоит – как правило, программа на C++, PHP либо Perl-сценарий, использующий уязвимость операционной системы либо приложения, установленного на атакуемом компьютере.

HackTool – более широкое понятие, подразумевающее какой-либо инструмент, используемый хакером для взлома. Constructor – конструкторы вирусов и троянских коней. Программы подобного типа способны генерировать как исходные тексты вирусов, так и непосредственно сами исполняемые файлы. Как правило, инструменты подобного рода включают в себя модули самошифровки, противодействия отладчику и другие инструменты против обнаружения антивирусной программой.

FileCryptor, PolyCryptor – сокрытие от антивирусных программ. К данной категории относят утилиты, способные шифровать вирусный код, делая его неузнаваемым со стороны антивирусных программ (более подробно о сокрытии вирусного кода смотрите в категории «Анталогия сокрытия вирусного кода»).

Nuker – фатальные сетевые атаки. Утилиты данного типа способны организовать удаленный отказ в обслуживании системы (DOS) путем отправки на удаленный хост специальным образом сформированного запроса (серии запросов). Как пример – SMBDie, реализующий уязвимость службы NetBios.

Bad-Joke, Hoax – злые шутки, введение пользователя в заблуждение. К данной категории относят, по сути, безвредные программы, способные выводить различного рода неординарные сообщения (например, о форматировании диска, хотя никакого форматирования на самом деле не происходит). Заключение Распространение вирусов нынче стало большим бизнесом. Зачастую вирусы пишут на заказ под лозунгом «Вирусы на любой вкус и цвет уничтожат целый Свет!».

Вирусы. Компьютерный вирус — разновидность компьютерной программы, отличительной особенностью которой является способность к размножению (саморепликация). Вирус может повреждать или полностью уничтожать данные на компьютере жертвы, от имени которого он был запущен.

Полиморфные вирусы - Полиморфные вирусы представляют собой определённые вредоносные программные продукты, которые после очередного «заражения» ПК жертвы образует свой новый алгоритм, т.е полностью перевоплощается в «новую версию» самого себя же. Поэтому данный вид из-за этого своего свойства получило такое наименование, заимствованное из химической терминологии, и поэтому данный вид вирусов стал очень трудным для обнаружения для многих антивирусных систем и программных продуктов. Что бы эффективно бороться с такими вирусами у антивирусных средств должны быть некоторые эмуляторы и специальные алгоритмы, написанные специально под эти вирусы и ограничивающие их действия1.

Хорошие и свежие вирусы которые не определяются антивирусами и способны обходит системы превентивного контроля (IDS/NIDS/IPS) стоят очень дорого и направлены на кражу исключительно корпоративной (тайной) коммерческой информации. Все же остальные вирусы циркулирующие в сети пишутся в основном пакостниками-интузиастами целью которых также является цель наживы но, в большинстве случаев такое вредоносное ПО несёт больше разрушительный характер нежели коммерческий и при условии наличия в системе вменяемого администратора с прямыми руками можно защитится от любых вирусов, в том числе и от вирусов написанных на заказ. Главное, что следует помнить в любой системе не должно быть сразу несколько администраторов! Администратор может быть только один и если к системе имеет доступ сразу несколько администраторов, то система заранее считается скомпрометированной!

Исторически вирусом называется любая программа, заражающая выполняемые или объектные файлы. Программу, воспроизводящую себя без ведома пользователя, также можно отнести к вирусам. Чаще всего вирус помещает свое тело в программном файле так, чтобы он активизировался при каждом запуске программы. Кроме того, вирусы могут поражать загрузочный сектор жесткого или флоппи-диска, помещенного в дисковод зараженного компьютера. Перенос своего тела на дискеты и жесткие диски является для вируса гарантией того, что он будет запущен при каждом включении системы. Ниже я расскажу о некоторых других способах распространения вирусов.

2.Каким образом  компьютер заражается и как  распознать что он заражен

Большинство вирусов инфицируют файлы путем переноса своего тела внутрь жертвы. Однако в связи с созданием все более искусных антивирусных программ, разработчики вирусов изменили стратегию. Теперь, прежде чем заразить очередной файл, вирус изменяет свое тело. Выбрав жертву, вирус копирует себя из памяти компьютера внутрь заражаемого файла. Процесс заражения файла практически одинаков у всех вирусов.

Например, простейшие вирусы заражают файлы следующим образом:

1. Прежде всего пользователь должен загрузить зараженный файл в память компьютера. Этот файл может попасть в компьютер с помощью флоппидиска, локальной сети или через Internet. После его запуска вирус копирует себя в память компьютера

2. Разместившись в памяти, вирус ожидает загрузки следующей  программы. Не правда ли, это очень  напоминает поведение живых микроорганизмов, ожидающих появления нового «хозяина».

3. После запуска следующей  программы вирус помещает свое  тело внутрь жертвы. Кроме того, вирус помещает свое тело и  внутри копии программы, хранящейся  на диске.

4. Вирус продолжает заражать  программы до тех пор, пока  не заразит их все или пока  пользователь не выключит компьютер. Тогда расположенный в его  памяти вирус пропадает. Однако  для него это не так уж  и страшно — ведь он расположен  внутри зараженных файлов, хранимых  на диске.

5. После включения компьютера  и загрузки зараженной программы  вирус снова начинает свою  «невидимую» жизнь в памяти  системы. И так до бесконечности. Приведенная выше модель работы  вируса упрощена. На самом деле  существуют и такие вирусы, которые  сохраняются на жестком диске  так, чтобы быть загруженными  в память при каждом запуске  операционной системы. Некоторые  вирусы умеют прятаться внутри  сжатых файлов. Более того, некоторые  вирусы умеют заражать системы  с помощью текстового процессора. Однако важно уяснить, что вирус  заражает машину только в том  случае, если вы запускаете инфицированную  программу. Даже вирусы, паразитирующие  на текстовых процессорах, для  своей активизации требуют выполнения  специальной программы — макрокоманды2.

Как будет сказано далее, некоторые вирусы не могут быть обнаружены даже самыми лучшими антивирусными программами. В качестве дополнительных средств защиты нужно поставить грамотность пользователя. Далее приводится список общих признаков заражения:

1. Программы стали загружаться медленнее.
2. Файлы появляются или исчезают.
3. Размерь программы или объекта изменяются по непонятным причинам.
4. На экране появляется необычный текст или изображения.
5. Элементы экрана выглядят нечеткими, размытыми.
6. Сам по себе уменьшается объем свободного места на жестком диске.
7. Команды CHKPSK и SCANDISK возвращают некорректные значения.
8. Имена файлов изменяются без видимых причин.
9. Нажатия клавиш сопровождаются странными звуками.
10. Доступ к жесткому диску запрещен.

Существует несколько различных классов (или типов) вирусов.

Вирусы каждого из классов используют различные методы воспроизведения. К наиболее известным классам относятся троянские кони, полиморфные вирусы и неполиморфные шифрующиеся вирусы, стелс-вирусы, медленные вирусы, ретро-вирусы, составные вирусы, вооруженные вирусы, вирусы-фаги и макровирусы3.

Компьютерные вирусы — это не выдумка. Специалисты утверждают, что только пять процентов всех вирусов могут вызвать серьезные неполадки в аппаратном обеспечении или крах операционной системы. Но несмотря на это они все же могут представлять очень серьезную опасность для компьютера. Большинство «электронных инфекций» только тем и занимается, что воспроизводит себя. Их главная задача-выжить, а не нанести вред системе. Однако это совсем не значит, что нужно забыть об их существовании. Запомните: «безобидных» вирусов не существует.

3. Разнообразие  компьютерных вирусов

Подобно комарам, компьютерные вирусы, кажется, будут досаждать нам вечно. Поэтому стоит познакомиться с ними поближе и научиться отличать настоящий вирус от неполадок в системе. Запомните одну несложную истину: с вирусами можно и нужно бороться. Большая часть литературы, посвященной антивирусному программному обеспечению, запугивает простых пользователей «десятками тысяч» компьютерных вирусов, странствующих по Internet. На самом деле их количество не превышает тысячи. Дело в том, что разработчики считают каждую модификацию одного и того же вируса новым вирусом. Благодаря этому наша тысяча разрастается до «десятков тысяч». Дополним все вышесказанное одним небольшим примером. Компьютерный; -вирус Marijuana первоначально выводил на экране слово «legalise». (В английском языке это узаконивать, легализировать.) Затем автор вируса исправил свою ошибку, и вирус начал выводить на экран слово «legalize». При этом текст вируса абсолютно не изменялся. Однако разработчики антивирусов посчитали исправленный вирус за абсолютно новый. Благодаря этому они могут смело говорить о «тысячах и тысячах» существующих вирусов.

В Web расположено несколько сайтов с прекрасной информацией о компьютерных вирусах. Одним из них является сайт Joe Wells’ WildLists, расположенный по адресу http://www.virusbtn.com/WildLists/. Бывший работник корпорации Symantec Джо Уэллс (сейчас он работает консультантом в компании IBM) включил в эти списки Все наиболее распространенные в настоящее время вирусы. Ассоциация NCSA (National Computer Security Association) использует списки Уэллса для оценки качества антивирусных программ. Чтобы удовлетворить запросам NCSA, программа должна обнаруживать все перечисленные в этом списке вирусы. Отметим, что этот список обновляется каждый месяц.

При разработке антивирусной стратегии компании следует помнить, что большинство вирусов не распространяется с помощью Internet. Наоборот, основными путями распространения вирусов являются продаваемое программное обеспечение, системы электронной почты в изолированных и университетских локальных сетях, а также дискеты, используемые служащими в их домашних компьютерах. Многие компании, предоставляющие пробные версии своих программ, тщательно проверяют копии на наличие вирусов. Мне редко приходилось встречаться со случаями заражения компьютеров через загруженные пробные версии программ или другое профессиональное программное обеспечение. С другой стороны, известны сотни случаев, когда продавцы-посредники поставляли своим клиентам зараженные диски. Если учесть все типы программ, которые могут быть заражены вирусами, то количество пострадавших таким образом покупателей составляет сотни тысяч. Кроме того, существует опасность заражения машины через программное обеспечение, поставляемое вашим местным продавцом ПО. Такие продавцы обычно не проверяют дискеты на наличие вирусов. Вся их работа заключается в перемещении дискет основного поставщика в свои фирменные упаковки. Если же кто-то уже использовал эти дискеты на зараженном компьютере, то с большой долей вероятности можно утверждать, что эти диски уже заражены. Чтобы избежать подобных проблем, многие компании (включая и Microsoft) начали запаковывать отдельные дискеты и только затем помещать их в коробки.