Вредоносное программное обеспечение (вирусы, трояны, черви)

Классификация угроз по различным признакам.

Точной и единой классификации угроз не существует ввиду их большого разнообразия и постоянного изменения состава угроз. Далее будет рассмотрена классификация по нескольким различным признакам.

- по цели реализации угрозы: нарушение конфиденциальности, нарушение целостности, нарушение доступности, несанкционированное использование вычислительных ресурсов;

- по причине появления используемой ошибки защиты: (то о чем я говорил немого раньше) технологические недостатки, недостатки конфигурации, неадекватность политики безопасности (сюда же еще иногда относят ошибки проектирования, но их можно включить в технологические недостатки);

- по способу воздействия: в интерактивном и пакетном режимах (в качестве примера для первого, когда злоумышленник использует для взлома удаленный доступ, для второго – распространение вируса);

- по используемым средствам атаки: с использованием штатного программного обеспечения, с использованием разработанного программного обеспечения;

- по состоянию объекта атаки: при хранении объекта, при передаче объекта, при обработке объекта.

Возможно значительное количество классификаций по другим признакам.

Теперь переходим к рассмотрению конкретных видов угроз.

Рекомендуемые сайты:

http://www.viruslist.ru - Большая вирусная энциклопедия от производителей AVP.

Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации (т.е. нарушения целостности информации). Кроме того, они могут перегружать каналы связи (нарушение доступности) и самостоятельно передавать создателю какие-либо ценные данные (нарушение конфиденциальности). В корпоративной сети АвтоВАЗа именно вирусы на данный момент одна из главных проблем безопасности.

Точных сведений по поводу рождения первого компьютерного вируса нет. Но на компьютерах Univax 1108 и IBM 360/370 в середине 1970-х годов они уже были.

Существует несколько типов вредоносного кода, от которого необходимо защищать систему. Хотя такой код обобщенно называют "вирусами", существует разница между вирусами, троянцами и червями.

Вирус - это небольшая программа, которая написана с целью изменения без ведома пользователя функционирования компьютера. Вирусы имеют исполняемый код либо в виде самостоятельной программы, либо в виде макроса, содержащегося в другом файле, и он должен иметь возможность копировать самого себя, чтобы продолжать работу после завершения начальной программы или макроса.

В отличие от сетевых червей вирусы не используют сетевых сервисов для проникновения на другие компьютеры. Копия компьютерного вируса попадает на удалённый компьютер только в том случае, если зараженный объект оказывается активизированным на другом компьютере по причинам, не зависящим от функционала вируса, например:

- при заражении доступных дисков вирус проникает в файлы, расположенные на сетевом ресурсе;

- вирус копирует себя на съёмные носители или заражает файлы на них;

- пользователь отослает электронное письмо с зараженным вирусом вложением.

Сетевой червь – это вредоносная программа, которая самостоятельно распространяет свои копии по локальным и/или глобальным сетям.

Черви способны распространяться с одного компьютера на другой посредством копирования зараженного файла либо без помощи файла. “Безфайловые" или "пакетные" черви распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код.

Для проникновения на удаленные компьютеры и запуска своей копии сетевые черви используют следующие методы: социальный инжиниринг (например, текст электронного письма, призывающий открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и приложений.

Троянец (троянская программа, троян) - это вредоносная программа, которая содержится внутри другой внешне безобидной программы. При запуске такой программы (например, хранителя экрана, поздравительной открытки и т.д.) в систему инсталлируется троянец. Троянцы могут выполнять роль spyware (шпионских программ), отправляя конфиденциальную информацию третьей стороне или могут использоваться для атак типа DoS. Основное отличие троянов от вирусов и сетевых червей состоит в том, что трояны сами не размножаются - для инфицирования системы они должны быть запущены вручную.

Атака DoS (Denial of Service) посылает большое количество запросов на некоторый сервер или URL, вызывая сильную загрузку сервера и предотвращая обслуживание им других запросов. Распределенная атака DoS использует вирусы, троянцы или червей для подчинения нескольких компьютеров в Интернет, приказывая им одновременно атаковать некоторый сервер. Т.е., в данном случае речь идет о нарушении доступности.

Таким образом: вирусы распространяются сами, но не используют для этого сеть, черви распространяются самостоятельно по сети, троянцы не распространяются самостоятельно.

С какой целью создаются вирусы?

1. Самоутверждение программистов.

2. Массовая кража данных (пароли, номера кредитных карт).

3. Массовая атака на узлы в Интернет.

Условия появления вредоносных программ для конкретных ОС или приложений:

1. Популярность, широкое распространение данной системы;

2. Наличие разнообразной и достаточно полной документации по системе;

3. Незащищенность системы или существование известных уязвимостей в системе безопасности.

Классификация компьютерных вирусов от Касперского (производителя AVP).

Вирусы можно разделить на классы по следующим основным признакам:

• среда обитания;
• операционная система (OC);
• особенности алгоритма работы;
• деструктивные возможности.

По среде обитания вирусы можно разделить на:

• файловые;
• загрузочные;
• макро;
• сетевые.

Файловые вирусы различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов).

Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.

Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Существует большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс и полиморфик-технологии. Другой пример такого сочетания - сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

Заражаемая операционная система (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS. Макро-вирусы заражают файлы форматов Word, Excel. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.

Среди особенностей алгоритма работы вирусов выделяются следующие пункты:

• резидентность;
• использование стелс-алгоритмов;
• самошифрование и полиморфичность;
• использование нестандартных приемов.

Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в оперативной памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают оперативную память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.

Резидентными можно считать макро-вирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие "перезагрузка операционной системы" трактуется как выход из редактора.

Использование стелс-алгоритмов (stealth, by stealth - украдкой, втихомолку, тайком) позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат зараженные объекты, либо "подставляют" вместо себя незараженные участки информации.

Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру обнаружения вируса. Полиморфик-вирусы (polymorphic) - это вирусы не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

По деструктивным возможностям вирусы можно разделить на:

• безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
• неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;
• опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
• очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к нарушению работы программ и уничтожению данных.

Некоторые вирусы умеют перепрограммировать микросхемы BIOS’а, после чего компьютеру необходим ремонт. И даже, как гласит одна из непроверенных компьютерных легенд, существуют вирусы, способствовать быстрому износу движущихся частей механизмов - вводить в резонанс и разрушать головки некоторых типов винчестеров.

Дата добавления: 2014-01-07; Просмотров: 2289; Нарушение авторских прав?; Мы поможем в написании вашей работы!