Сетевые вирусы (сетевые черви)

К ним относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию и захватить управление. Для внедрения в заражаемую систему червь может использовать различные механизмы: дыры, слабые пароли, уязвимости базовых и прикладных протоколов, открытые системы и человеческий фактор.

Существует несколько независимых стратегий распространения, среди которых в первую очередь следует выделить импорт данных из адресной книги Outlook Express или аналогичного почтового клиента, просмотр локальных файлов жертвы на предмет поиска сетевых адресов, сканирование IP-адресов текущей подсети и генерация случайного IP-адреса. Чтобы не парализовать сеть чрезмерной активностью и не отрезать себе пути к распространению, вирус должен использовать пропускные способности захваченных им информационных каналов максимум наполовину, а лучше на десятую или даже сотую часть. Чем меньший вред вирус наносит сетевому сообществу, тем позже он оказывается обнаруженным и тем с меньшей поспешностью администраторы устанавливают соответствующие обновления.

Установив соединение с предполагаемой жертвой, червь должен убедиться в наличии необходимой ему версии программного обеспечения и проверить, нет ли на этой системе другого червя. В простейшем случае идентификация осуществляется через рукопожатие. Жертве посылается определенное ключевое слово, внешне выглядящее как безобидный сетевой запрос. Червь, если он только там есть, перехватывает пакет, возвращая инициатору обмена другое ключевое слово, отличное от стандартного ответа незараженного сервера. Механизм рукопожатия — это слабейшее звено обороны червя.

Почтовые вирусы

Почтовый вирус использует для своего распространения каналы электронной почты. Заражение почтовым вирусом происходит в результате действий пользователей, просматривающих почту, а также из-за ошибок в почтовых программах и операционных системах.

Вредоносные объекты могут внедряться в почтовые сообщения следующими способами:

· в виде присоединенных файлов (файлов вложений);

· в виде ссылок на вредоносные объекты ActiveX или аплеты Java, расположенные на троянских Web-сайтах или на Web-сайтах злоумышленников;

· в виде конструкций, встраиваемых непосредственно в тело сообщения электронной почты, имеющего формат HTML.

Вместе с электронным сообщением можно передать любые файлы. Такие файлы называются присоединенными или файлами вложений (attachment file).Файлы вложений таят в себе угрозу для компьютера — через них на компьютер может проникнуть вирус, червь, троянская или другая вредоносная программа.

Кроме того, сообщение электронной почты может передаваться в виде документа HTML. Привлекательность такого формата для сообщений электронной почты заключается в том, что он допускает произвольное форматирование текста сообщения, а также добавление в сообщение ссылок на ресурсы Интернета, изображений и активных компонентов, таких как аплеты Java и элементы управления ActiveX. Если сообщение электронной почты передается в формате HTML, то оно представляет потенциальную угрозу для получателя. Сообщение может содержать ссылку на вредоносный компонент, размещенный где-либо в Интернете, а также вредоносный программный код, активизирующийся при просмотре сообщения.

Попав на компьютер пользователя, почтовый вирус может разослать свой код по адресам, извлеченным из книги электронных адресов почтовой программы, установленной на компьютере. Обычные антивирусные программы, рассчитанные на проверку файлов и дисков, не всегда способны обнаружить вирусы в сообщениях электронной почты. Это происходит потому, что такие сообщения хранятся в базах данных почтовых программ, имеющих различный формат.

Современные антивирусы умеют не только сканировать базы данных сообщений распространенных почтовых программ, но и нейтрализуют почтовые вирусы непосредственно на почтовых серверах, а также на рабочих станциях (персональных компьютерах) до того, как сообщения попадут в почтовую программу. С этой целью почтовые программы сканируют «на лету» потоки данных протоколов SMTP, POP3 и IMAP, предназначенных для передачи сообщений электронной почты.

Вирусы для пиринговых сетей

В современном Интернете имеется большое количество сетей, предназначенных для обмена файлами без применения централизованного сервера. Эти сети позволяют пользователям Интернета свободно обмениваться музыкальными файлами, программами и другой информацией. Эти сети часто называются файлообменными или пиринговыми. Последнее из этих названий происходит от названия применяемого в таких сетях способа обмена данными узел-узел (Peer-To-Peer). Для пиринговых сетей разработчиками вредоносных программ были созданы специальные вирусы, называемые вирусами для пиринговых сетей:

Вирус пиринговых сетей — это вредоносная программа, специально предназначенная для систем обмена файлами между компьютерами пользователей Интернета, такими как Windows Messenger, ICQ и т.д. Чтобы такой вирус попал на компьютер пользователя пиринговой сети, пользователю требуется выполнить какое либо действие, например, загрузить и запустить на выполнение файл.

Файловые вирусы

К данной группе относятся вирусы, которые при своем размножении тем или иным способом используют файловую систему какой-либо ОС. Внедрение файлового вируса возможно практически во все исполняемые файлы всех популярных ОС. По способу заражения файлов вирусы делятся на «overwriting», паразитические («parasitic»), компаньон-вирусы («companion»), вирусы-черви.

При инфицировании файла вирус может производить ряд действий, маскирующих и ускоряющих его распространение. К подобным действиям можно отнести обработку атрибута read-only, снятие его перед заражением и восстановление после. Многие файловые вирусы считывают дату последней модификации файла и восстанавливают ее после заражения. Для маскировки своего распространения некоторые вирусы перехватывают прерывание DOS, возникающее при обращении к защищенному от записи диску (INT 24h), и самостоятельно обрабатывают его.

Анализ алгоритма вируса

Наиболее удобным для хранения и анализа вируса объектом является файл, содержащий тело вируса. Для анализа файлового вируса желательно иметь зараженные файлы всех типов, поражаемых вирусом. Если необходимо проанализировать часть оперативной памяти, то при помощи некоторых утилит (например, AVPUTIL.COM) довольно просто выделить участок, где расположен вирус, и скопировать его на диск. Если же требуется анализ сектора MBR или boot-сектора, то скопировать их в файлы можно при помощи популярных «Нортоновских утилит» или AVPUTIL. Для хранения загрузочного вируса наиболее удобным является файл-образ зараженного диска. Для его получения необходимо отформатировать дискету, заразить ее вирусом, скопировать образ дискеты в файл и при необходимости скомпрессировать его (эту процедуру можно проделать при помощи «Нортоновских утилит», программ TELEDISK или DISKDUPE).

При анализе алгоритма вируса предстоит выяснить:

• способ размножения вируса;
• характер возможных повреждений, которые вирус нанес информации, хранящейся на дисках;
• метод лечения оперативной памяти и зараженных файлов (секторов).

При решении этих задач не обойтись без дизассемблера или отладчика (например, AVPUTIL, SoftICE, TurboDebugger, дизассемблеров Sourcer или IDA).

Несложные короткие вирусы быстро «вскрываются» стандартным отладчиком DEBUG, при анализе объемных и высокосложных полиморфик-стелс-вирусов не обойтись без дизассемблера. Если необходимо быстро обнаружить метод восстановления пораженных файлов, достаточно пройтись отладчиком по началу вируса до того места, где он восстанавливает загруженную программу перед тем, как передать ей управление (фактически именно этот алгоритм чаще всего используется при лечении вируса). Если же требуется получить детальную картину работы вируса или хорошо документированный листинг, то здесь необходимы дизассемблеры с их возможностями восстанавливать перекрестные ссылки. Следует учитывать, во-первых, что некоторые вирусы достаточно успешно блокируют попытки протрассировать их коды, а, во-вторых, при работе с отладчиком существует ненулевая вероятность того, что вирус вырвется из-под контроля.

При анализе файлового вируса необходимо выяснить, какие типы файлов поражаются вирусом, в какое место в файле записывается код вируса — в начало, конец или середину файла, в каком объеме возможно восстановление файла (полностью или частично), в каком месте вирус хранит восстанавливаемую информацию.

При анализе загрузочного вируса основной задачей является выяснение адреса (адресов) сектора, в котором вирус сохраняет первоначальный загрузочный сектор (если, конечно, вирус сохраняет его).

Для резидентного вируса требуется также выделить участок кода, создающий резидентную копию вируса и вычислить возможные адреса точек входа в перехватываемые вирусом прерывания. Необходимо также определить, каким образом и где в оперативной памяти вирус выделяет место для своей резидентной копии.

Существуют особые случаи, когда анализ вируса может оказаться очень сложной для пользователя задачей, например при анализе полиморфик-вируса.

Для анализа макро-вирусов необходимо получить текст их макросов. Если вирус шифрует свои макросы или использует стелс-приемы, то необходимо воспользоваться специальными утилитами просмотра макросов.

Программные закладки

Главным условием правильного функционирования любой компьютерной системы является обеспечение защиты от вмешательства в процесс обработки информации программ, присутствие которых в компьютерной системе не обязательно. Среди подобных программ, в первую очередь, следует упомянуть компьютерные вирусы. Однако имеются вредоносные программы еще одного класса. Это так называемые программные закладки (трояны), которые могут выполнять хотя бы одно из перечисленных ниже действий:

• вносить произвольные искажения в коды программ, находящихся и оперативной памяти компьютера (например, внесение изменений в программу разграничения доступа может привести к тому, что она разрешит вход в систему всем без исключения пользователям вне зависимости от правильности введенного пароля) -программная закладка первого типа;
• копировать фрагменты информации (пароли, криптографические ключи, коды доступа, конфиденциальные электронные документы и др.), из одних областей оперативной или внешней памяти компьютера в другие - программная закладка второго типа;
• искажать выводимую на внешние компьютерные устройства или в канал связи информацию, полученную в результате работы других программ - программная закладка третьего типа.

Троянской программой (троянцем, или троянским конем) называется:

• программа, которая, являясь частью другой программы с известными пользователю функциями, способна втайне от него выполнять некоторые дополнительные действия с целью причинения ему определенного ущерба;
• программа с известными ее пользователю функциями, в которую были внесены изменения, чтобы, помимо этих функций, она могла втайне от него выполнять некоторые другие (разрушительные) действия.

Таким образом, троянской можно считать любую программу, которая втайне от пользователя выполняет какие-то нежелательные(неожидаемые) для него действия. Эти действия могут быть любыми — от определения регистрационных номеров программного обеспечения, установленного на компьютере, до составления списка каталогов на его жестком диске. А сама троянская программа может маскироваться под текстовый редактор, под сетевую утилиту или любую программу, которую пользователь пожелает установить на свой компьютер.

На сегодня известны троянские объекты следующих типов:

· троянские программы;

· троянские Web-сайты;

· троянские сообщения электронной почты.

 

Троянским называется такой Web-сайт, при посещении которого на компьютер пользователя незаметно устанавливаются вредоносные программные компоненты. Сообщения электронной почты могут использоваться для переноса вредоносных программных объектов. Такие объекты присоединяются к телу сообщения в виде файлов, или встраиваются непосредственно в текст сообщения, имеющего формат HTML. Внешне сообщение электронной почты, содержащее в том или ином виде вредоносный программный код, может выглядеть как обычное, информационное. Однако стоит открыть такое сообщение для просмотра, и вредоносный код получит управление.

Большинство троянских программ предназначено для сбора конфиденциальной информации. Остальные троянцы создаются для причинения прямого ущерба компьютерной системе, приводя ее в неработоспособное состояние.

Чтобы программная закладка могла произвести какие-либо действия по отношению к другим программам или по отношению к данным, процессор должен приступить к исполнению команд, входящих в состав кода программной закладки. Это возможно только при одновременном соблюдении следующих условий:

• программная закладка должна попасть в оперативную память компьютера (если закладка относится к первому типу, то она должна быть загружена до начала работы другой программы, которая является целью воздействия закладки, или во время работы этой программы);
• работа закладки, находящейся в оперативной памяти, начинается при выполнении ряда условий, которые называются активизирующими.

Иногда сам пользователь провоцируется на запуск исполняемого файла, содержащего код программной закладки. Например, для разархивирования набора файлов требуется вызвать специальную утилиту, которая, как правило, есть почти у каждого пользователя и запускается после указания ее имени в командной строке. Однако мало кто из пользователей может заметить, что в полученном наборе файлов имеется программа с аналогичным именем и, соответственно, запускается именно она. Кроме разархивирования файлов, эта программная закладка дополнительно может производить ряд действий негативного характера.

С учетом замечания о том, что программная закладка должна быть обязательно загружена в оперативную память компьютера, можно выделить резидентные закладки (они находятся в оперативной памяти постоянно, начиная с некоторого момента и до окончания сеанса работы компьютера) и нерезидентные (такие закладки попадают в оперативную память компьютера аналогично резидентным, однако, в отличие от последних, выгружаются по истечении некоторого времени или при выполнении особых условий).

У всех программных закладок (независимо от метода их внедрения в компьютерную систему, срока их пребывания в оперативной памяти и назначения) имеется одна важная общая черта: они обязательно выполняют операцию записи в оперативную или внешнюю память системы. При отсутствии данной операции никакого негативного влияния программная закладка оказать не может.