Вредоносные программы названия. Программно-математическое воздействие

Аннотация: В лекции рассмотрены виды программно-математического воздействия: троянские кони, вирусы, сетевые черви. Особенности их функционирования, проникновения, основные свойства и классификация. В конце лекции приведен анализ трех наиболее популярных средств защиты информации: антивирусных программ, межсетевых экранов и систем обнаружения вторжений.

В настоящее время троянские программы являются наиболее распространенным видом вредоносного ПО. Поскольку они часто замаскированы под полезную программу, они обычно выполняются пользователем бессознательно. Опасность не возникает непосредственно от самого троянца, а скорее от установленного им дополнительного вредоносного ПО, которое активируется в фоновом режиме. Вредоносные функции, которые могут быть использованы троянами в зараженной системе, многообразны. Таким образом, незаметно для пользователя, кейлогеры могут быть установлены и выполнены для записи нажатий клавиш, приложений удаленного доступа, рекламного ПО и других вредоносных программ.

Вредоносные программы и их классификация

Программно-математическое воздействие - это воздействие на защищаемую информацию с помощью вредоносных программ .

Вредоносная программа - программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы . Иными словами вредоносной программой называют некоторый самостоятельный набор инструкций, который способен выполнять следующее:

Также возможно открыть дополнительные бэкдоры для последующих атак другим вредоносным программным обеспечением. В большинстве случаев трояны состоят из двух автономных программ, которые могут быть связаны по-разному. Так называемые компоновщики присоединяют вредоносную программу к исполняемому хост-программному обеспечению. Если предположительно полезная программа выполнена, вредоносный код также начинается в фоновом режиме. Второй вариант - использовать капельницу, которая тайно удаляет вредоносную программу в системе при запуске главной программы.

  1. скрывать свое присутствие в компьютере;
  2. обладать способностью к самоуничтожению, маскировкой под легальные программы и копирования себя в другие области оперативной или внешней памяти;
  3. модифицировать (разрушать, искажать) код других программ;
  4. самостоятельно выполнять деструктивные функции – копирование, модификацию, уничтожение, блокирование и т.п.
  5. искажать, блокировать или подменять выводимую во внешний канал связи или на внешний носитель информацию.

Основными путями проникновения вредоносных программ в АС, в частности, на компьютер, являются сетевое взаимодействие и съемные носители информации (флешки, диски и т.п.). При этом внедрение в систему может носить случайный характер.

Хотя выполнение вредоносной программы в первом случае зависит от хоста, она может действовать совершенно независимо от троянского коня при использовании капельницы. Третья возможность - это интеграция секретного кода в основное программное обеспечение, как это имеет место, например, со многими плагинами браузера. Опять же, выполнение вредоносной программы привязано к хост-программному обеспечению. Если это завершено или удалено, секретные функции больше не доступны. Поскольку троян обычно запускается пользователем, он имеет те же права, что и вошедший в систему пользователь.

Основными видами вредоносных программ являются:

  • программные закладки;
  • программные вирусы;
  • сетевые черви ;
  • другие вредоносные программы, предназначенные для осуществления НСД.

К программным закладкам относятся программы и фрагменты программного кода, предназначенные для формирования недекларированных возможностей легального программного обеспечения.

Следовательно, он может выполнять все действия, которые пользователь мог выполнить. Чтобы избежать появления троянов, пользователям следует устанавливать программы только из надежных источников. Важно обеспечить, чтобы во время процесса установки не было установлено никаких дополнительных программ, если они не желательны или функции неясны. Кроме того, пользователи должны быть уверены, что они не являются исполняемыми файлами перед открытием вложений электронной почты. Часто дублирующиеся расширения файлов используются, чтобы позволить пользователю открывать, казалось бы, безобидный файл.

Недекларированные возможности программного обеспечения функциональные возможности программного обеспечения, не описанные в документации . Программная закладка часто служит проводником для других вирусов и, как правило, не обнаруживаются стандартными средствами антивирусного контроля.

При открытии файла вредоносное ПО может незамедлительно войти в компьютер. Мы рекомендуем пользователям включать отображение всего расширения файла в Проводнике, чтобы лучше обнаруживать подозрительные файлы. Кроме того, установка нежелательных приложений может быть затруднена таким образом, так как требуется только подтверждение от администратора. Текущее антивирусное программное обеспечение защищает компьютер от нежелательных вредоносных программ, таких как трояны.

Поскольку смартфоны и планшеты подвергаются атаке все чаще и чаще, внимание следует уделять адекватной защите. Термин: вредоносное ПО относится к вредоносной программе. Это компьютерные программы, разработанные для выполнения пользователем нежелательных или вредоносных функций. Этот термин не относится к дефектному программному обеспечению, хотя он также может привести к повреждению.

Закладки иногда делят на программные и аппаратные, но фактически все закладки – программные, так как под аппаратными закладками подразумеваются так называемые прошивки.

Программные закладки различают в зависимости от метода их внедрения в систему:

  • программно-аппаратные. Это закладки, интегрированные в программно-аппаратные средства ПК ( BIOS , прошивки периферийного оборудования);
  • загрузочные. Это закладки, интегрированные в программы начальной загрузки (программы- загрузчики ), располагающиеся в загрузочных секторах ;
  • драйверные. Это закладки, интегрированные в драйверы (файлами, необходимые операционной системе для управления подключенными к компьютеру периферийными устройствами);
  • прикладные. Это закладки, интегрированные в прикладное программное обеспечение (текстовые редакторы, графические редакторы, различные утилиты и т.п.);
  • исполняемые. Это закладки, интегрированные в исполняемые программные модули. Программные модули чаще всего представляют собой пакетные файлы, которые состоят из команд операционной системы, выполняемых одна за другой, как если бы их набирали на клавиатуре компьютера;
  • закладки-имитаторы. Это закладки, которые с помощью похожего интерфейса имитируют программы, в ходе работы которых требуется вводить конфиденциальную информацию;

Для выявления программных закладок часто используется качественный подход, заключающийся в наблюдении за функционированием системы, а именно:

Поддельные предупреждения о предполагаемой вирусной инфекции компьютера, отображаемой с целью удаления коммерчески доступного программного обеспечения. Новые разработки: В распространении вредоносного программного обеспечения происходят серьезные изменения: троянские программы в приложениях электронной почты становятся все менее распространенными, в то время как атаки через Интернет могут быть использованы при загрузке через диск. Загрузка с диска относится к бессознательной и непреднамеренной загрузке программного обеспечения на компьютер пользователя.

  • снижение быстродействия;
  • изменение состава и длины файлов;
  • частичное или полное блокирование работы системы и ее компонентов;
  • имитация физических (аппаратных) сбоев работы вычислительных средств и периферийных устройств;
  • переадресация сообщений;
  • обход программно-аппаратных средств криптографического преобразования информации;
  • обеспечение доступа в систему с несанкционированных устройств.

Существуют также диагностические методы обнаружения закладок. Так, например, антивирусы успешно находят загрузочные закладки. С инициированием статической ошибки на дисках хорошо справляется Disk Doctor, входящий в распространенный комплекс утилит Norton Utilities. К наиболее распространенным программным закладкам относится " троянский конь ".

Это относится к вредоносной загрузке вредоносного ПО, открывая специально созданный веб-сайт. Это использует уязвимости безопасности браузера. Вредоносные программы являются средними, обманчивыми и разрушительными. Каждая категория вредоносных программ ведет себя по-разному. Детали отдельных атак уникальны, как люди, которые пишут вредоносные коды.

Вирусы являются типичной «простудой» компьютеров: они быстро распространяются и часто ошибочно диагностируются. Термин «вирус» часто ошибочно используется для описания других типов вредоносных программ. Фактически, вирус представляет собой небольшую часть исполняемого кода, который распространяется, когда пользователи открывают зараженные файлы или программы.

Троянским конем называется:

  • программа, которая, являясь частью другой программы с известными пользователю функциями, способна втайне от него выполнять некоторые дополнительные действия с целью причинения ему определенного ущерба;
  • программа с известными ее пользователю функциями, в которую были внесены изменения, чтобы, помимо этих функций, она могла втайне от него выполнять некоторые другие (разрушительные) действия.

Перечислим основные виды троянских программ и их возможности:

Троянский конь похож на соседа по комнате, который, кажется, довольно крут, пока он не перестанет платить за аренду, кормит еду и оставляет свои грязные вещи. Троянский конь подкрадывается под предлогом полезности, но на самом деле содержит вредоносный код.

Черви похожи на обманчивых вредителей, которые пронизывают изоляцию вашей стены. Поскольку они не должны прикрепляться к существующему файлу или программе, иногда их очень сложно найти. Как тип вируса, черви распространяются по сетям и могут делать вредные вещи, когда они находят новый хост.

  • Trojan-Notifier - Оповещение об успешной атаке. Троянцы данного типа предназначены для сообщения своему "хозяину" о зараженном компьютере. При этом на адрес "хозяина" отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п.
  • Trojan-PSW - Воровство паролей. Они похищают конфиденциальные данные с компьютера и передают их хозяину по электронной почте.
  • Trojan-Clicker - интернет-кликеры - Семейство троянских программ , основная функция которых - организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам). Методы для этого используются разные, например установка злонамеренной страницы в качестве домашней в браузере.
  • Trojan-DDoS - Trojan - DDoS превращают зараженный компьютер в так называемый бот, который используется для организации атак отказа в доступе на определенный сайт. Далее от владельца сайта требуют заплатить деньги за прекращение атаки.
  • Trojan-Proxy - Троянские прокси-сервера . Семейство троянских программ , скрытно осуществляющих анонимный доступ к различным Интернет-ресурсам. Обычно используются для рассылки спама.
  • Trojan-Spy - Шпионские программы. Они способны отслеживать все ваши действия на зараженном компьютере и передавать данные своему хозяину. В число этих данных могут попасть пароли, аудио и видео файлы с микрофона и видеокамеры, подключенных к компьютеру.
  • Backdoor - Способны выполнять удаленное управление зараженным компьютером. Его возможности безграничны, весь ваш компьютер будет в распоряжении хозяина программы. Он сможет рассылать от вашего имени сообщения, знакомиться со всей информацией на компьютере, или просто разрушить систему и данные без вашего ведома.
  • Trojan-Dropper - Инсталляторы прочих вредоносных программ . Очень похожи на Trojan -Downloader, но они устанавливают злонамеренные программы, которые содержатся в них самих.
  • Rootkit - способны прятаться в системе путем подмены собой различных объектов. Такие трояны весьма неприятны, поскольку способны заменить своим программным кодом исходный код операционной системы, что не дает антивирусу возможности выявить наличие вируса.

Абсолютно все программные закладки, независимо от метода их внедрения в компьютерную систему, срока их пребывания в оперативной памяти и назначения, имеют одну общую черту: обязательное выполнение операции записи в оперативную или внешнюю память системы. При отсутствии данной операции никакого негативного влияния программная закладка оказать не может.

Он собирает личную информацию, такую ​​как поведение вашего серфинга и сайты, которые вы посещаете. Ботнет похож на армию зомби-компьютеров, ищущих разрушения. Затем сеть скомпрометированных компьютеров используется для отправки спама или атаки других компьютеров. Спам - это комар компьютерного мира: раздражающий и вездесущий. Обработка одного спам-сообщения не представляет сложности, но если это массы, он может засорить ваш почтовый ящик и привести к значительной потере производительности.

Эксплоит похож на хулигана Шлюфа, нацеленного на ваши слабости. Вредоносное ПО - это законное художественное слово. Это общий английский для вредоносных программ или. Самыми известными вредоносными программами являются вирусы и трояны. Пользователь вредоносного ПО обращается к компьютерам отдельных лиц или компаний, чтобы получить непосредственно полезную информацию или косвенно требовать выкупа за счет сбоев.

Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению. Таким образом, обязательным свойством программного вируса является способность создавать свои копии и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.

Решающим обычно является функция вредоносного кода. Он присоединяется к главной загрузочной записи, на первом уровне при запуске компьютера. Троянец вызывает перезагрузку. Затем он отобразит заявку, по которой компьютер может быть снова запущен. Такие демонстрации весьма поучительны и, в частности, могут использоваться в качестве анализа уязвимости. Обвинение здесь обычно требует уголовной жалобы полиции или прокурорам, если только частное требование не является возможным.

Уголовная жалоба может инициировать полицейские расследования, которые недоступны частному лицу или компании. Фактическая защита от вредоносного ПО. . Для защиты от общих атак вредоносными программами важно иметь предупреждение. Так называемые антивирусные программы обычно не только защищают от вирусов. Для компаний потребности в защите, с одной стороны, и легкий доступ к информации, с другой стороны.

Жизненный цикл вируса состоит из следующих этапов:

  • Проникновение на компьютер
  • Активация вируса
  • Поиск объектов для заражения
  • Подготовка вирусных копий
  • Внедрение вирусных копий

Классификация вирусов и сетевых червей представлена на рисунке 10.1.

Вирусный код загрузочного типа позволяет взять управление компьютером на этапе инициализации, еще до запуска самой системы. Загрузочные вирусы записывают себя либо в в boot-сектор, либо в сектор, содержащий системный загрузчик винчестера , либо меняют указатель на активный boot-сектор. Принцип действия загрузочных вирусов основан на алгоритмах запуска ОС при включении или перезагрузке компьютера: после необходимых тестов установленного оборудования (памяти, дисков и т. д.) программа системной загрузки считывает первый физический сектор загрузочного диска и передает управление на А:, С: или CD-ROM, в зависимости от параметров, установленных в BIOS Setup .

Регулярные резервные копии также должны быть исследованы для вредоносного программного обеспечения. Везде вы получаете совет, или вы должны знать своих врагов! Вот почему мы представляем вам различные типы вредоносного ПО. Следующие программы имеют общую цель: они хотят причинить вам вред. Самым распространенным вредоносным ПО является вирус. По данным Федерального ведомства по информационной безопасности, существует около тысячи вредоносных программ, и каждый месяц добавляется более 100 штук. Вирусы похожи, например, те, которые мы знаем о таких заболеваниях, как грипп, и т.д. после заражения хозяина вирусы распространяются независимо и наносят урон.

В случае дискеты или CD-диска управление получает boot-сектор диска, который анализирует таблицу параметров диска (ВРВ - BIOS Parameter Block ), высчитывает адреса системных файлов ОС, считывает их в память и запускает на выполнение. Системными файлами обычно являются MSDOS.SYS и IO.SYS, либо IBMDOS.COM и IBMBIO.COM, либо другие в зависимости от установленной версии DOS, и/или Windows, или других ОС. Если же на загрузочном диске отсутствуют файлы операционной системы, программа, расположенная в boot-секторе диска, выдает сообщение об ошибке и предлагает заменить загрузочный диск.

Этот ущерб может иметь очень разные последствия для дальнейшей работы, в зависимости от характера вируса. Ущербом могут быть только отдельные модифицированные документы, а также полностью удаленные жесткие диски. Например, вы можете случайно загрузить файл из зараженного Интернета. Вирусы скрываются в исполняемых файлах или в документах. Выполнение файла или открытие документа активирует вирусы и может распространяться на заражение дополнительных файлов. Существует три различных типа инфекции.

Всякий раз, когда это делается, вирус также активируется и может распространяться на другие файлы. Обычно это не замечается, пока не стало слишком поздно, и вирус атаковал некоторые файлы. Если это перезапустить, вирус может сразу же взять под свой контроль компьютер. . Черви часто распространяются через вложения файлов. Вот два типа. Во-первых, есть черви, которые могут быть распространены только вручную с помощью документа, в котором они скрываются. С другой стороны, есть автоматические черви, которые в основном используют дыры в программах для программ, чтобы незаметно распространяться.

В случае винчестера управление получает программа, расположенная в MBR винчестера . Она анализирует таблицу разбиения диска (Disk Partition Table ), вычисляет адрес активного boot-сектора (обычно этим сектором является boot-сектор диска С:), загружает его в память и передает на него управление. Получив управление, активный boot-сектор винчестера проделывает те же действия, что и boot-сектор дискеты.

Как только ваш компьютер заражен, червь распространяется через вашу адресную книгу. Вначале вы ничего не заметили об инфекции. Однако червь блокирует пространство в основной памяти и на вашем жестком диске. В лучшем случае червь в противном случае ничего не делает, если это просто «шутка» программиста. В худшем случае червь может уничтожить ваши программы или даже аппаратные средства.

В прошлом году трояны все чаще читались в СМИ. Жертвы получают требование выкупа. В средствах массовой информации они часто читают слово. «Обычные» трояны работают так же, как лошадь с одноименным названием из рассказа Гомера «Ильяс»: казалось бы, полезная программа спрятала еще одну программу в ее интерьере. Это начинается с его работы после запуска основной программы и удаления или изменения файлов на компьютере или в сети. Независимое увеличение программы невозможно. Вымогатель-троянец работает аналогичным образом, но он обычно скрывается в управляемом файле, из которого пользователь считает, что это, например, счет-фактура или тому подобное.

При заражении дисков загрузочные вирусы подставляют свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус "заставляет" систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика , а коду вируса.

Компании безопасности всегда указывают в этом контексте, что пострадавшие никогда не должны требовать выкупа. Вы не можете узнать, действительно ли файлы действительно расшифрованы. Тем не менее, многие люди, похоже, делают именно это, потому что всегда есть новые вымогатели. Лучший способ, которым у вас есть шпионский троян, пытающийся усложнить жизнь, - это полностью переустановить систему. В идеале у вас есть данные перед ним.

Мы хотели бы дать вам несколько советов. Как и его предшественник «Локки», он шифрует важные персональные данные на зараженных компьютерах и выпускает их только после оплаты выкупа. Этот троянец особенно обеспокоен наймом более крупных компаний и часто скрыт в хорошо зарекомендовавших себя приложениях.

Пример: Вредоносная программа Virus .Boot. Snow .a записывает свой код в MBR жесткого диска или в загрузочные сектора дискет. При этом оригинальные загрузочные сектора шифруются вирусом. После получения управления вирус остается в памяти компьютера (резидентность) и перехватывает прерывания. Иногда вирус проявляет себя визуальным эффектом - на экране компьютера начинает падать снег.


Рис. 10.1.

Файловые вирусы – вирусы, которые заражают непосредственно файлы. Файловые вирусы можно разделить на три группы в зависимости от среды, в которой распространяется вирус:

  1. файловые вирусы – работают непосредственно с ресурсами операционной системы. Пример: один из самых известных вирусов получил название "Чернобыль". Благодаря своему небольшому размеру (1 Кб) вирус заражал PE-файлы таким образом, что их размер не менялся. Для достижения этого эффекта вирус ищет в файлах "пустые" участки, возникающие из-за выравнивания начала каждой секции файла под кратные значения байт. После получения управления вирус перехватывает IFS API, отслеживая вызовы функции обращения к файлам и заражая исполняемые файлы. 26 апреля срабатывает деструктивная функция вируса, которая заключается в стирании Flash BIOS и начальных секторов жестких дисков. Результатом является неспособность компьютера загружаться вообще (в случае успешной попытки стереть Flash BIOS ) либо потеря данных на всех жестких дисках компьютера.
  2. Макровирусы – вирусы, написанные на макроязыках, встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.п.). Самыми распространенными являются вирусы для программ Microsoft Office. Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносят себя (свои копии) из одного документа в другой.

    Для существования макровирсуов в конкретном редакторе встроенный в него макроязык должен обладать следующими возможностями:

    • привязка программы на макроязыке к конкретному файлу;
    • копирование макропрограмм из одного файла в другой;
    • получение управления макропрограммой без вмешательства пользователя (автоматические или стандартные макросы).

    Данным условиям удовлетворяют прикладные программы Microsoft Word, Excel и Microsoft Access. Они содержат в себе макроязыки: Word Basic, Visual Basic for Applications. Современные макроязыки обладают вышеперечисленными особенностями с целью предоставления возможности автоматической обработки данных.

    Большинство макровирусов активны не только в момент открытия ( закрытия) файла , но до тех пор, пока активен сам редактор. Они содержат все свои функции в виде стандартных макросов Word/Excel/Office. Существуют, однако, вирусы, использующие приемы скрытия своего кода и хранящие свой код в виде не макросов. Известно три подобных приема, все они используют возможность макросов создавать, редактировать и исполнять другие макросы. Как правило, подобные вирусы имеют небольшой макрос-загрузчик вируса, который вызывает встроенный редактор макросов, создает новый макрос, заполняет его основным кодом вируса, выполняет и затем, как правило, уничтожает (чтобы скрыть следы присутствия вируса). Основной код таких вирусов присутствует либо в самом макросе вируса в виде текстовых строк (иногда – зашифрованных), либо хранится в области переменных документа .

  3. Сетевые вирусы – вирусы, которые для своего распространения используют протоколы и возможности локальных и глобальных сетей. Основным свойством сетевого вируса является возможность самостоятельно тиражировать себя по сети. При этом существуют сетевые вирусы, способные запустить себя на удаленной станции или сервере.

Основные деструктивные действия, выполняемые вирусами и "

  • потеря данных
  • хищение информации.

    • Помимо всего вышеописанного, существуют вирусы комбинированного типа, которые объединяют в себе свойства разных типов вирусов, например, файлового и загрузочного. В виде примера приведем популярный в минувшие годы файловый загрузочный вирус под названием "OneHalf". Этот вирусный код, оказавшись в компьютерной среде операционной системы "MS-DOS" заражал основную запись загрузки. В процессе инициализации компьютера он шифровал секторы основного диска, начиная с конечных. Когда вирус оказывается в памяти, он начинает контролировать любые обращения к шифровальным секторам и может расшифровать их таким образом, что все программы будут работать в штатном режиме. Если вирус "OneHalf" просто стереть из памяти и сектора загрузки, то информация, записанная в шифровальном секторе диска, станет недоступной. Когда вирус зашифровывает часть диска, он предупреждает об этом следующей надписью: " Dis is one half , Press any key to continue...". После этих действий он ждет, когда вы нажмете на любую кнопку и продолжите ра ботать. В вирусе "OneHalf" использованы разные маскировочные механизмы. Он считается невидимым вирусом и выполняет полиморфные алгоритмические функции. Обнаружить и удалить вирусный код "OneHalf" весьма проблематично, потому что, его могут увидеть не все антивирусные программы.

    На этапе подготовки вирусных копий современные вирусы часто используют методы маскировки копий с целью затруднения их нахождения антивирусными средствами :

    • Шифрование - вирус состоит из двух функциональных кусков: собственно вирус и шифратор . Каждая копия вируса состоит из шифратора , случайного ключа и собственно вируса, зашифрованного этим ключом.
    • Метаморфизм - создание различных копий вируса путем замены блоков команд на эквивалентные, перестановки местами кусков кода, вставки между значащими кусками кода "мусорных" команд, которые практически ничего не делают.

    Сочетание этих двух технологий приводит к появлению следующих типов вирусов.

    • Шифрованный вирус - вирус, использующий простое шифрование со случайным ключом и неизменный шифратор . Такие вирусы легко обнаруживаются по сигнатуре шифратора .
    • Метаморфный вирус - вирус, применяющий метаморфизм ко всему своему телу для создания новых копий.
    • Полиморфный вирус - вирус, использующий метаморфный шифратор для шифрования основного тела вируса со случайным ключом. При этом часть информации, используемой для получения новых копий шифратора также может быть зашифрована. Например, вирус может реализовывать несколько алгоритмов шифрования и при создании новой копии менять не только команды шифратора , но и сам алгоритм.

    Червь - тип вредоносных программ , распространяющихся по сетевым каналам, способных к автономному преодолению систем защиты автоматизированных и компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом, и осуществлению иного вредоносного воздействия. Самым знаменитым червем является червь Moriss, механизмы работы которого подробно описаны в литературе. Червь появился в 1988 году и в течение короткого промежутка времени парализовал работу многих компьютеров в Интернете. данный червь является "классикой" вредоносных программ , а механизмы нападения, разработанные автором при его написании, до сих пор используются злоумышленниками. Moriss являлся самораспространяющейся программой, которая распространяла свои копии по сети, получая привилегированные права доступа на хостах сети за счет использования уязвимостей в операционной системе. Одной из уязвимостей, использованных червем, была уязвимая версия программы sendmail (функция "debug" программы sendmail, которая устанавливала отладочный режим для текущего сеанса связи), а другой - программа fingerd (в ней содержалась ошибка переполнения буфера ). Для поражения систем червь использовал также уязвимость команд rexec и rsh, а также неверно выбранные пользовательские пароли.

    На этапе проникновения в систему черви делятся преимущественно по типам используемых протоколов:

    • Сетевые черви - черви , использующие для распространения протоколы Интернет и локальных сетей. Обычно этот тип червей распространяется с использованием неправильной обработки некоторыми приложениями базовых пакетов стека протоколов tcp/ip.
    • Почтовые черви - черви , распространяющиеся в формате сообщений электронной почты. Как правило, в письме содержится тело кода или ссылка на зараженный ресурс. Когда вы запускаете прикрепленный файл, червь активизируется; когда вы щелкаете на ссылке, загружаете, а затем открываете файл, червь также начинает выполнять свое вредоносное действие. После этого он продолжает распространять свои копии, разыскивая другие электронные адреса и отправляя по ним зараженные сообщения. Для отправки сообщений червями используются следующие способы: прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку; использование сервисов MS Outlook; использование функций Windows MAPI . Для поиска адресов жертв чаще всего используется адресная книга MS Outlook, но может использоваться также адресная база WAB. Червь может просканировать файлы, хранящиеся на дисках, и выделить из них строки, относящиеся к адресам электронной почты. Черви могут отсылать свои копии по всем адресам, обнаруженным в почтовом ящике (некоторые обладают способностью отвечать на письма в ящике). Встречаются экземпляры, которые могут комбинировать способы.
    • IRC-черви -

    Что можно отнести к вредоносным программам? Это сетевые черви, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, которые наносят заведомый вред компьютеру, если они запускаются на определенном компьютере или в сети.

    Рассмотрим "сетевых червей".

    Сетевые черви - это программы, которые распространяют свои копии по локальным и глобальным сетям, преследуя цель проникновения на удаленные компьютеры, запуска своей копии на удаленном компьютере и дальнейшего распространения на другие компьютеры в сети.Для распространения "черви" используют те или иные компьютерные и мобильные сети.Это может быть электронная почта или системы обмена мгновенными сообщениями, файлообменные (P2P), IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефоны, карманные компьютеры) и прочее.

    Черви используют определенные методы для проникновения на удаленные компьютеры.Такие методы как социальный инжиниринг (это может быть текст электронного письма, призывающий открыть вложенный файл) или недочеты в конфигурации сети (копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и приложений.

    Существуют так называемые "бесфайловые" или "пакетные черви".Они распрастраняются в виде сетевых пакетов, активизируют свой код, проникая, непосредственно, в память компьютера.

    Встречаются черви, имеющие свойства других разновидностей вредоносного программного обепечения, так можно привести в пример червей, содержащих троянские функции или способныхзаражать выполняемые файлы на локальном диске (свойства троянской программы и компьютерного вируса).

    Классические компьютерные вирусы

    Классические компьютерные вирусы - это программы, которые распростроняют свои копии по ресурсам локального компьютера с целью последующего запуска своего кода в то время, когда пользователь предпримет какие-либо действия, затем он будет осуществлять внедрение в другие ресурсы компьютера.Вирусы не используют сетевых сервисов для проникновения на другие компьютеры, это отличает их от червей.Случай, при котором копия вируса может попасть на удаленные компьютеры, может быть, если зараженный носитель по независящим от функционала вируса причинам, активизируется на другом компьютере так, что зарожаются доступные диски - вирус проникает в файлы, расположенные на сетевом ресурсе; или вирус копирует себя на съемный носитель, или заражает файлы на нем.Также вирус может попасть через зараженное приложение в электронном письме, которое отправил пользователь.

    Можно выделить вирусы, содержащие в себе свойства других разновидностей вредоносного программного обеспечения, такие как бэкдор-процедуру или троянскую компоненту уничтожения информации на диске.

    Троянские программы

    Что касается троянских программ, то к ним относятся программы, предназначенные выполнять несанкционированные действия, приносящие выгоду пользователю или отвечающее кокому-либо его злонамеренному замыслу.Это может быть сбор информации с целью передачи ее пользователем злоумышленникам,разрушение информации или ее модификация, неполадки в работе компьютера, использование ресурсов компьютера в целях нанесения какого-либо ущерба.

    Существуют разновидности троянских программ, которые наносят свой удар по удаленным компьютерам и сетям, но не нарушают при этом работоспособность пораженного компьютера.В качестве примера можно привести троянские программы, разработанные для массированных DoS-атак на удаленные ресурсы сети.

    Хакерские утилиты и другие вредоносные программы

    Данная категория включает в себя: утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы); "недобрые шутки", затрудняющие работу компьютера; программные библиотеки, разработанные для создания вредоносного программного обеспечения; хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов); программы дизинформирующие пользователей о том, какие действия они совершают в системе; а также другие программы, способные намеренно наносить прямой или косвенный ущерб как имеющемуся, так и удаленным компьютерам.