Вирусоподобные» программы

Структура программы-вируса.

Программа-вируса состоит из псевдокоманд DOS и подпрограмм - маленьких внутренних программ (составляющие их инструкции хранятся отдельно от главной программы), выполняющих некоторые специальные функции всякий раз, когда к ним обращаются.

Пример:

this:= findfile

LOAD (this)

loc:= search (this)

insert (loc)

STORE (this)

Подпрограмма под названием findfile обращается к каталогу выполняемых файлов или программ на диске, берет произвольное имя файла и присваивает имя этого файла переменной this (этот). В следующей строке программы используется псевдокоманда DOS LOAD (загрузить), с помощью которой файл помещается в оперативную память компьютера.

Другая подпрограмма под названием search (поиск) просматривает только что загруженную программу в поисках инструкции, которая могла бы послужить подходящим местом, куда можно занести вирус. Когда процедура search находит такую инструкцию, она определяет соответствующий номер строки и присваивает его в качестве значения переменной loc. Теперь все готово для того, чтобы подпрограмма-вирус могла проникнуть в произвольно выбранную из каталога программу.

Подпрограмма insert (вставить) заменяет выбранную инструкцию другой (например такой, как вызов подпрограммы). Замененная инструкция передает управление блоку команд, составляющих главное тело подпрограммы-вируса, которая присоединяется к концу программы. Затем к концу добавленной подпрограммы присоединяется инструкция, возвращающая управление «зараженной» программе на инструкцию, следующую за вставленной. Таким образом, когда выполняется подпрограмма-вирус, выполняется также и подмененная инструкция зараженной программы. Исходная программа работает так, будто ничего особенного не произошло. Однако на самом деле подпрограмма-вирус воспользовалась каким-то мгновением, чтобы захватить власть над средствами операционной системы и прицепить свою копию к еще одной программе, хранящейся на диске. Приведенный пример демонстрирует лишь один из приемов, используемых авторами вирусов. В настоящее время специалисты выделили и другие приемы, отличающиеся друг от друга идеями и изощренностью выполнения.

К «вредным программам», помимо вирусов, относятся:

- «троянские программы» (логические бомбы);

- утилиты скрытого администрирования удаленных компьютеров;

- «intеndеd»- вирусы;

- конструкторы вирусов;

- полиморфик-генераторы.

«Троянские» программы (логические бомбы).

К «троянским» программам относятся программы, наносящие какие-либо разрушительные действия в зависимости от каких-либо условий. Например, уничтожение информации на дисках при каждом запуске или по определенному графику и т.д., а так же «троянские программы» осуществляют негласный сбор различной, в основном, секретной информации о пользователях, такой как, например, пароли. Большинство известных «троянских» программ являются программами, которые маскируются под какие-либо полезные программы: новые версии популярных утилит или дополнения к ним. Очень часто они рассылаются по электронным конференциям. По сравнению с вирусами «троянские» программы не получают широкого распространения по достаточно простым причинам - они либо уничтожают себя вместе с остальными данными на диске, либо демаскируют свое присутствие и уничтожаются пострадавшим пользователем. К «троянским» программам также относятся так называемые «дропперы» вирусов - зараженные файлы, код которых подправлен таким образом, что известные версии антивирусов не определяют присутствие вируса в файле. Например, файл шифруется или упаковывается неизвестным архиватором, что не позволяет антивирусу «увидеть» заражение.

Отметим еще один тип программ (программы – «злые шутки»), которые используются для устрашения пользователя, свидетельствуя о заражении вирусом или о каких либо предстоящих действиях с этим связанных, то есть сообщают о несуществующих опасностях, вынуждая пользователя к активным действиям. Например, к «злым шуткам» относятся программы, которые «пугают» пользователя сообщениями о форматировании диска (хотя никакого форматирования на самом деле не происходит), детектируют вирусы в незараженных файлах, выводят странные вирусоподобные сообщения и т.д. К категории «злых шуток» можно отнести также заведомо ложные сообщения о новых «сyпер-вирусах».

Такие сообщения периодически появляются в Интернете и обычно вызывают панику среди пользователей.

Утилиты скрытого администрирования.

Утилиты скрытого администрирования являются разновидностью «логических бомб» («троянских программ»), которые используются злоумышленниками для удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые различными фирмами-производителями программных продуктов. Единственная особенность этих программ заставляет классифицировать их как вредные «троянские» программы: отсутствие предупреждения об инсталляции и запуске. При запуске такая программа устанавливает себя в систему и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях программы в системе. Чаще всего ссылка на такую программу отсутствует в списке активных приложений. В результате пользователь может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.

Внедренные в операционную систему утилиты скрытого управления позволяют делать с компьютером все, что в них заложил их автор: принимать/отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д. В результате эти программы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т.п.

«Intended»-вирусы.

К таким вирусам относятся программы, которые, на первый взгляд, являются стопроцентными вирусами, но не способны размножаться по причине ошибок. Например, вирус, который при заражении не помещает в начало файла команду передачи управления на код вируса, либо записывает в нее неверный адрес своего кода, либо неправильно устанавливает адрес перехватываемого прерывания (в большинстве приводит к «зависанию» компьютера) и т.д. К категории «intended» также относятся вирусы, которые по приведенным выше причинам размножаются только один раз - из «авторской» копии. Заразив какой-либо файл, они теряют способность к дальнейшему размножению. Появляются «intеndеd»- вирусы чаще всего из-за неумелой перекомпиляции какого-либо уже существующего вируса, либо по причине недостаточного знания языка программирования, либо по причине незнания технических тонкостей операционной системы.

Конструкторы вирусов.

К данному виду «вредных» программ относятся утилиты, предназначенные для изготовления новых компьютерных вирусов. Известны конструкторы вирусов для DOS, Windows и макровирусов. Они позволяют генерировать исходные тексты вирусов, объектные модули, и/или непосредственно зараженные файлы. Некоторые конструкторы снабжены стандартным оконным интерфейсом, где при помощи системы меню можно выбрать тип вируса, поражаемые объекты (СОМ и/или ЕХЕ), наличие или отсутствие самошифровки, противодействие отладчику, внутренние текстовые строки, выбрать эффекты, сопровождающие работу вируса, и т.п.

Полиморфные генераторы.

Полиморфик-генераторы, как и конструкторы вирусов, не являются вирусами в прямом смысле этого слова, поскольку в их алгоритм не закладываются функции размножения, т.е. открытия, закрытия и записи в файлы, чтения и записи секторов и т.д. Главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика. Обычно полиморфные генераторы распространяются в виде файла-архива. Основным файлом в архиве любого генератора является объектный модуль, содержащий этот генератор.

Защита ПК от вредоносных закладок (разрушающих программных средств).

К разновидностям вредоносного воздействия относятся разрушающие программные средства, так называемые закладки, оказывающие воздействие на информацию (уничтожение, искажение, модификация) и воздействие на систему (вывод из строя, ложное инициирование действия, модификация содержания выполняемых функций, создание помех в работе).

Данный вид защиты для ПК имеет особое значение по ряду причин, а именно:

- он актуален для всех без исключения пользователей ПК независимо от того, конфиденциальная или открытая информация ими обрабатывается;

- заражение разрушающими программными средствами (РПС) представляет угрозу повышенной опасности для ПК, чему особенно способствует высокий динамизм обмена информацией как по каналам связи (в сетях ЭВМ), так и посредством гибких дисков;

- защита ПК от РПС требует особого профессионализма, поскольку многие из них носят специфический индивидуальный характер, а их нейтрализация и устранение сопряжены с программными манипуляциями нередко весьма сложного и даже искусного характера.

Известные в настоящее время закладки осуществляются аппаратным или программным путем.

Аппаратные закладки могут быть осуществлены в процессе изготовления ПК, его ремонта или проведения профилактических работ. Реальная угроза таких закладок создается массовым и практически неконтролируемым распространением ПК. Особая опасность аппаратных закладок заключается в том, что они могут длительное время не проявлять своих вредоносных воздействий, а затем начать их осуществление или по истечении определенного времени или при наступлении не которого состояния ПК (например, при заполнении данными жесткого магнитного диска до заданного уровня), или по специальной, подаваемой дистанционно команде. Заблаговременное обнаружение аппаратных закладок возможно только в условиях проверок с использованием специальных методов и средств.

Программные закладки (РПС) с точки зрения массового пользователя представляются особо опасными в силу сравнительной (относительно аппаратных) простоты их осуществления, высокой динамичности их распространения и повышенной трудности защиты от них.

Так, если в итоге специальных проверок аппаратные закладки не были обнаружены или они были ликвидированы (нейтрализована возможность их действия), то с высокой степенью можно быть уверенными в их отсутствии. Программные же закладки могут появиться в любое время, чему особенно способствуют следующие обстоятельства:

- массовый обмен информацией на гибких МД, принявший к настоящему времени характер броуновского движения;

- широкое распространение копий программ, приобретенных незаконным путем;

- возможности дистанционного воздействия на ПК, подключенные к сети;

- широкий и непрерывно растущий диапазон разновидностей закладок, что усложняет процессы их обнаружения и нейтрализации.

Классификация закладок и их общие характеристики

Исходя из целей защиты от вредоносного воздействия закладок, их целесообразно классифицировать по следующей совокупности критериев:

1. характеру вредоносного воздействия на АСОД;

2. способу реализации;

3. способу проникновения в АСОД;

4. способность к саморазмножению.

По характеру вредоносного воздействия на АСОД:

- уничтожение или искажение программ и/или массивов данных;

- формирование каналов несанкционированного получения информации;

- вывод АСОД из числа действующих, т. е. приведение ее в такое состояние, при котором она не может осуществлять свои основные функции;

- инициирование выполнения предусмотренных в АСОД функций (например, ложная подача команды на остановку производства в автоматизированных системах управления технологическими процессами);

- создание препятствий в выполнении функций АСОД (например, блокировка отображения информации на экране дисплея, выдачи на печать и др.).

По способу реализации:

- аппаратный;

- программный;

- организационный.

Первые два способа реализации рассмотрены выше, они являются основными. Однако в общем случае можно предположить возможность создания также организационных закладок. Например, в инструкции об уничтожении информации, находящейся в ЭВМ, в злоумышленных целях можно предусмотреть преждевременное ее уничтожение или, наоборот, сохранение той информации, которую надлежало бы уничтожить. В инструкции по использованию криптографических средств злоумышленно можно внести такие положения, выполнение которых может дать криптоаналитику дополнительную информацию, облегчающую криптоанализ шифротекста. Нетрудно предположить возможность создания ряда других организационных закладок.

По способу проникновения в АСОД:

- злоумышленно создаваемые в процессе производства аппаратуры ЭВТ и компонентов ее программного обеспечения;

- бессознательно вносимые персоналом или пользователями АСОД в процессе ее функционирования;

- злоумышленно вносимые в процессе функционирования АСОД;

- злоумышленно создаваемые в процессе ремонта аппаратуры или модификации АСОД.

По способности к размножению:

- саморазмножающиеся;

- несаморазмножающиеся.

К настоящему времени известно значительное количество закладок, получивших такие условные наименования: бомба, ловушка, люк.

Бомба - несаморазмножающееся РПС одноразового использования, приводящееся в действие в определенных условиях (в заданное время, в заданном состоянии ЭВМ, по команде извне) и осуществляющее крупномасштабное уничтожение информации.

Ловушка - несаморазмножающаяся программа, осуществляющая несанкционированный перехват информации и запись ее в соответствующее поле ЗУ или выдачу в канал связи.

Люк - несаморазмножающаяся программа, обеспечивающая злоумышленнику возможности несанкционированного доступа к защищаемой информации.

Общая схема защиты от закладок.

Основу защиты составляют следующие функции:

1. создание таких условий, при которых дестабилизирующие факторы (ДФ) не могут появляться;

2. предупреждение появления ДФ, даже если для этого имеются условия;

3. обнаружение появления ДФ;

4. предупреждение воздействия на информацию появившихся ДФ;

5. обнаружение негативного воздействия ДФ на информацию;

6. локализация негативного воздействия ДФ на информацию;

7. ликвидация последствий воздействия ДФ.

Методы и средства защиты от закладок.

Для защиты от закладок должны использоваться методы анализа, синтеза и управления.

Средства борьбы с вирусами и другими вредоносными закладками можно разделить на юридические, организационно-административные, мероприятия по защите программ и защите аппаратных средств.

Юридические средства сводятся к установлению ответственности за умышленное создание и распространение вирусов и других закладок в целях нанесения ущерба, хотя доказать авторство и умышленность создания таких программ довольно трудно.

Следует, признать, что на Западе соответствующие правовые нормы разработаны гораздо лучше, чем в России. В ряде стран введены соответствующие статьи в уголовные кодексы. Это позволяет вести достаточно эффективную борьбу с изготовителями вредоносных программ. Например, еще в начале 1989 года американский студент был приговорен судом к трем месяцам тюремного заключения и штрафу в 270 тысяч долларов за разработку вируса, которым были выведены из строя шесть тысяч компьютеров Министерства обороны США.

В Российской Федерации в последнее время также предпринимаются серьезные усилия по созданию юридической основы борьбе с рассматриваемыми угрозами. Так, в принятый недавно Уголовный кодекс Российской Федерации введено три статьи (272-274), по которым предусмотрена ответственность за компьютерные преступления, причем самое строгое наказание (от 3 до 7 лет тюремного заключения) предписывается статьей 273 - за создание, использование и распространение вредоносных программ.

Организационно-административная защита от вредоносных программ заключается в выработке и неукоснительном осуществлении организационных и организационно-технических мероприятий, направленных на предупреждение заражения компьютеров этими программами, обнаружение заражения, нейтрализацию негативного их воздействия и ликвидацию последствий. Названные мероприятия должны осуществляться как в организациях - разработчиках программных средств, так и в организациях, эксплуатирующих эти программы.

В организациях-разработчиках весьма целесообразно из состава высококвалифицированных программистов создавать специальные группы для выполнения следующих функций:

- определения потенциально возможных источников вредоносных программ и выработка рекомендаций по их обходу;

- выявления и изучения всех нештатных ситуаций, возникающих при разработке программного обеспечения, документального оформления результатов анализа и оповещение всех заинтересованных при выявлении опасностей;

- регулярного контроля состояния программного обеспечения и средств борьбы с вредоносными программами;

- возможно более быстрой ликвидации последствий произошедшей атаки вредоносных программ и изготовления соответствующих средств защиты;

- оказания методической помощи своим абонентам в организации необходимой защиты от вредоносных программ.

Мероприятия по защите программ и данных в организациях, использующих программы:

- приобретение только законным путем необходимых технических средств и программ, сертифицированных на отсутствие вредоносных закладок;

- создание эталонных копий основных программ и резервирование баз данных;

- организация автоматизированной обработки данных с соблюдением всех приемов и правил;

- периодическая тщательная проверка состояния программного обеспечения и баз данных;

- проверка психологических особенностей сотрудников при приеме на работу;

- создание и поддержание в коллективах здорового морально- психологического климата.

Защита аппаратных средств:

- форматирование диска (для винчестера - полное стирание и переразметка), перезагрузка операционной системы и восстановление программ с незараженных копий;

- заклеивание (закрывание) отверстия защиты записи дискеты;

- физическая блокировка ключом клавиатуры ЭВМ;

- запрет и регистрация попыток записи в файлы операционной системы в области памяти, занятые системной информацией.

Известны и другие, подобные перечисленным, меры: разделение областей памяти между программами, разделение программ по приоритетам и т.п.

Дата добавления: 2014-11-20; Просмотров: 2487; Нарушение авторских прав?; Мы поможем в написании вашей работы!