Причины появления и распространения компьютерных вирусов,

- с одной стороны, обусловлены отсутствием аппаратных средств защиты против действия со стороны операционной системы персонального компьютера,

- с другой стороны скрываются в психологии человеческой личности и ее теневых сторонах (зависти, месть, тщеславие непризнанных творцов, невозможности конструктивно применить свои способности)..

Компьютерное хулиганство

- «студенческие» вирусы. Создателями вирусов являются молодые люди (чаще — студенты), которые еще не полностью овладели искусством программирования.. Причина - это комплекс неполноценности, который компенсируется компьютерным хулиганством. Результат - получаются вирусы крайне примитивные и с большим числом ошибок

- «профессиональные» вирусы. Создатели - профессионалы, часто очень талантливые программисты. Причина – разработка и отладка достаточно оригинальных алгоритмов проникновения в системные области данных, поиск ошибок в системах безопасности операционных сред, социальный инжиниринг и прочие хитрости. Результат – создание и запуск в мир достаточно опасных вирусов

- «концептуальные вирусы». Создатели - «исследователи», довольно сообразительные программисты, занимающиеся изобретением принципиально новых методов заражения, скрытия, противодействия антивирусам и т.д. Причина - придумывают способы внедрения в новые операционные системы. Эти программисты пишут вирусы не ради собственно вирусов, а скорее ради исследования потенциалов «компьютерной фауны» Результат - авторы подобных вирусов не распространяют свои творения, однако активно пропагандируют свои идеи через интернет-ресурсы, посвященные созданию вирусов. Попав в руки «профессионалов» из предыдущей группы, эти идеи очень быстро появляются в новых вирусах.

«Хулиганские» вирусы в последние годы становятся все менее и менее актуальными. Причин, по которым школьники и студенты утратили интерес к вирусописательству:

1. Создавать вирусные программы для операционной системы MS-DOS в 1990-х годах было в разы легче, чем для технически более сложной Windows.

2. В законодательствах многих стран появились специальные компьютерные статьи, а аресты вирусописателей широко освещались прессой — что, несомненно, снизило интерес к вирусам у многих студентов и школьников.

3. К тому же у них появился новый способ проявить себя — в сетевых играх. Именно современные игры, скорее всего, сместили фокус интересов и перетянули на себя компьютеризированную молодёжь.

На данный момент доля «традиционных» хулиганских вирусов и троянских программ занимает не более 5% «материала», заносимого в антивирусные базы данных.

Мелкое воровство

- получение доступа в сеть за чужой счет Цель достигается - посредством кражи чьего-либо логина и пароля путем применения специально разработанных троянских программ

- кража регистрационных данных и ключевых файлов различных программных продуктов. Для этого создаются троянские программы, целью которых являются ресурсы зараженных компьютеров, которые используются в интересах своего «хозяина» и т.п

- кража персональной информации из сетевых игр. Целью является несанкционированное использования или перепродажа. Подобные троянцы особенно широко распространены в странах Азии, особенно в Китае, Корее и Японии.

Криминальный бизнес.

- Создание сетей «зомби-машин». Для развёртывания подобных сетей создаются специализированные троянские программы — «боты» (от «robot»), которые централизованно управляются удалённым «хозяином». Этот троянец внедряется в тысячи, десятки тысяч или даже миллионы компьютеров. В результате «хозяин зомби-сети» (или «бот-сети») получает доступ к ресурсам всех заражённых компьютеров и использует их в своих интересах. Иногда такие сети «зомби-машин» поступают на черный интернет-рынок, где приобретаются спамерами или сдаются им в аренду

- Обслуживание спам-бизнеса. Для рассылки спама создаются специализированные «зомби-сети» из троянских прокси-серверов (proxy server — утилита для анонимной работы в сети, обычно устанавливается на выделенный компьютер). Затем троянские прокси-сервера получают от «хозяина» образец спама и адреса, на которые этот спам рассылать В результате ретрансляции спама через тысячи (или десятки тысяч) заражённых компьютеров спамеры достигают нескольких целей:

· во-первых, рассылка совершается анонимно — по заголовкам письма и прочей служебной информации в письме выяснить реальный адрес спамера невозможно;

· во-вторых, достигается большая скорость спам-рассылки, поскольку в ней задействовано огромное количество «зомби»-компьютеров;

· в-третьих, не работают технологии ведения «черных списков» адресов зараженных машин — «отсечь» все компьютеры, рассылающие спам, невозможно, потому что их слишком много.

- Распределённые сетевые атаки. Также именуются DDoS-атаками (Distributed Denial of Service — распределённый отказ в обслуживании). Сетевые ресурсы (например, веб-сервера) имеют ограниченные возможности по количеству одновременно обслуживаемых запросов — это количество ограничено как мощностями самого сервера, так и шириной канала, которым он подключён к интернету. Если количество запросов превышает допустимое, то либо работа с сервером значительно замедлится, либо вообще запросы пользователей будут проигнорированы.

Посредством «зомби-сети» достаточного размера организуется массированная DDoS-атака на один или несколько интернет-ресурсов, приводящая к отказу атакуемых узлов сети. В результате обычные пользователи не в состоянии получить доступ к атакованному ресурсу. Обычно под удар попадают интернет-магазины, интернет-казино, букмекерские конторы, прочие компании, бизнес которых напрямую зависит от работоспособности своих интернет-сервисов. Чаще всего распределённые атаки совершаются либо с целью «завалить» бизнес конкурента, либо с последующим требованием денежного вознаграждения за прекращение атаки — этакий интернет-рэкет.

В 2002-2004 годах этот вид криминальной деятельности был весьма распространённым. Затем он пошел на спад, видимо, по причине успешных полицейских расследований (за данные преступления было арестовано как минимум несколько десятков человек по всему миру), а также по причине достаточно успешных технических мер противодействия подобным атакам

- Звонки на платные телефонные номера или посылка платных SMS-сообщений. создаётся и распространяется специальная программа, осуществляющая несанкционированные пользователем телефонные звонки или отсылку SMS-сообщений с мобильных телефонов. Заранее или параллельно с этим те же лица регистрирует компанию, от лица которой заключается договор с местным телефонным провайдером об оказании платного телефонного сервиса. Провайдер при этом, естественно, не ставится в известность о том, что звонки будут производиться без ведома пользователя. Далее троянец названивает на платный телефонный номер, телефонная компания выставляет счета на номера, с которых шли звонки, — и отчисляет злоумышленнику оговоренную в контракте сумму.

Воровство интернет-денег — создание, распространение и обслуживание троянских программ-шпионов, направленных на воровство денежных средств с персональных «электронных кошельков» (таких как e-gold, WebMoney). Троянские программы данного типа собирают информацию о кодах доступа к счетам и пересылают ее своему «хозяину». Обычно сбор информации осуществляется поиском и расшифровкой файлов, в которых хранятся персональные данные владельца счёта.

- Воровство банковской информации — один из самых распространённых видов криминальной деятельности в Интернете. Под ударом оказываются номера кредитных банковских карт и коды доступа к обслуживаемым через интернет персональным (а если «повезет» — то и корпоративным) банковским счетам («интернет-бэнкинг»).

Для того чтобы заставить пользователя ввести персональные данные применяются различные психологические махинации, обычно — выводится какой-либо текст, сообщающий, что если не ввести свой код, то произойдёт что-либо плохое (например, интернет-банк прекратит обслуживание счёта) или не произойдёт что-то очень хорошее («на Ваш счёт хотят перечислить много-много денег — пожалуйста, подтвердите свои реквизиты»).

Достаточно часто встречаются троянские программы («клавиатурные шпионы»), которые ждут подключения пользователя к подлинной банковской веб-странице и затем перехватывают введённые с клавиатуры символы (то есть, логин и пароль). Для этого они следят за запуском и активностью приложений и, если пользователь работает в интернет-браузере, сравнивают название веб-сайта с «зашитым» в код троянца списком банков. Если веб-сайт обнаружен в списке, то включается клавиатурный шпион, а затем перехваченная информация (последовательность нажатых клавиш) отсылается злоумышленнику. Данные троянские программы (в отличие от других банковских троянцев) никак не проявляют своего присутствия в системе.

Вредоносная программа — компьютерная программа или переносной код, предназначенный для реализации угроз информации, хранящейся в КС, либо для скрытого нецелевого использования ресурсов КС, либо иного воздействия, препятствующего нормальному функционированию КС. К вредоносным программам относятся компьютерные вирусы, трояны, сетевые черви и др.

Основными путями проникновения вредоносных программ в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке компьютера с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода а:\ и перезагрузили компьютер, при этом дискета может и не быть системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.

Определение вируса

Определение по ГОСТ Р 51188-98: (классическое): Вирус — программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей и прочие выполняемые объекты с целью создания всевозможных помех в работе компьютера. При этом копии сохраняют способность дальнейшего распространения.

Определение компьютерного вируса — исторически проблемный вопрос, поскольку сложно дать четкое определение вируса, очертив при этом свойства, присущие только вирусам и не касающиеся других программных систем. Наоборот, давая жесткое определение вируса как программы, обладающей определенными свойствами, практически сразу же можно найти пример вируса, таковыми свойствами не обладающего.

Исходя из назначения антивирусных средств, в дальнейшем, если это не будет оговорено отдельно, под вирусами будут подразумеваться именно вредоносные программы.

Зараженный диск — это диск, в загрузочном секторе которого находится вирус.

После запуска программы, содержащей вирус, становится возможным заражение других файлов. Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения ЕХЕ, СОМ, SУS или ВАТ. Крайне редко заражаются текстовые и графические файлы, исключение составляют вирусы, внедряющиеся в документы Microsoft Office.

Зараженный файл — это файл, содержащий внедренную в него программу-вирус.

Условно жизненный цикл любого компьютерного вируса можно разделить на пять стадий:

1. Проникновение на чужой компьютер

2. Активация

3. Поиск объектов для заражения

4. Подготовка копий

5. Внедрение копий

Проникновение

Вирусы проникают на компьютер вместе с зараженными файлами или другими объектами (загрузочными секторами дискет), никак, в отличие от червей, не влияя на процесс проникновения. Следовательно, возможности проникновения полностью определяются возможностями заражения и классифицировать вирусы по этим стадиям жизненного цикла отдельно смысла нет.

Активация

Для активации вируса необходимо, чтобы зараженный объект получил управление.

Поиск жертв

На стадии поиска объектов для заражения встречается два способа поведения вирусов.

1. Получив управление, вирус производит разовый поиск жертв, после чего передает управление ассоциированному с ним объекту (зараженному объекту).

2. Получив управление, вирус так или иначе остается в памяти и производит поиск жертв непрерывно, до завершения работы среды, в которой он выполняется

Подготовка вирусных копий

Процесс подготовки копий для распространения может существенно отличаться от простого копирования. Авторы наиболее сложных в технологическом плане вирусов стараются сделать разные копии максимально непохожими для усложнения их обнаружения антивирусными средствами. Как следствие, составление сигнатуры для такого вируса крайне затруднено либо вовсе невозможно.

При создании копий для маскировки могут применяться следующие технологии:

· Шифрование — вирус состоит из двух функциональных кусков: собственно вирус и шифратор. Каждая копия вируса состоит из шифратора, случайного ключа и собственно вируса, зашифрованного этим ключом.

· Метаморфизм — создание различных копий вируса путем замены блоков команд на эквивалентные, перестановки местами кусков кода, вставки между значащими кусками кода "мусорных" команд, которые практически ничего не делают.

Внедрение

Внедрение вирусных копий может осуществляться двумя принципиально разными методами:

· Внедрение вирусного кода непосредственно в заражаемый объект

· Замена объекта на вирусную копию. Замещаемый объект, как правило, переименовывается

Черви.

Червь (сетевой червь) - это вредоносная программа, распространяющаяся по сетевым каналам и способная к самостоятельному преодолению систем защиты компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не обязательно совпадающих с оригиналом.

В отличие от вирусов черви - это вполне самостоятельные программы. Главной их особенностью также является способность к саморазмножению, однако при этом они способны к самостоятельному распространению с использованием сетевых каналов. Для подчеркивания этого свойства иногда используют термин "сетевой червь".

Жизненный цикл червей состоит из таких стадий:

1. Проникновение в систему

2. Активация

3. Поиск объектов для заражения

4. Подготовка копий

5. Распространение копий

Стадии 1 и 5, вообще говоря, симметричны и характеризуются в первую очередь используемыми протоколами и приложениями.

Стадия 4 — Подготовка копий — практически ничем не отличается от аналогичной стадии в процессе размножения вирусов. Сказанное о подготовке копий вирусов без изменений применимо и к червям.

Способы активации

На этапе активации черви делятся на две большие группы, отличающиеся как по технологиям, так и по срокам жизни:

1. Для активации необходимо активное участие пользователя

2. Для активации участие пользователя не требуется вовсе либо достаточно лишь пассивного участия

Под пассивным участием пользователя во второй группе понимается, например, просмотр писем в почтовом клиенте, при котором пользователь не открывает вложенные файлы, но его компьютер, тем не менее, оказывается зараженным.

Поиск "жертв"

Способ поиска компьютера-жертвы полностью базируется на используемых протоколах и приложениях. В частности, если речь идет о почтовом черве, производится сканирование файлов компьютера на предмет наличия в них адресов электронной почты, по которым в результате и производится рассылка копий червя.

Точно так же Интернет-черви сканируют диапазон IP адресов в поисках уязвимых компьютеров, а P2P черви кладут свои копии в общедоступные каталоги клиентов пиринговых сетей. Некоторые черви способны эксплуатировать списки контактов интернет-пейджеров, таких как ICQ, AIM, MSN Messenger, Yahoo! Messenger и др.

Подготовка копий для распространения

Сказанное ранее о подготовке копий для распространения вирусов, применимо и для червей.

Черви считаются подклассом вирусов, но обладают характерными особенностями. Червь размножается (воспроизводит себя), не заражая другие файлы. Он внедряется один раз на конкретный компьютер и ищет способы распространиться далее на другие компьютеры.

Вирус заражает тем большее количество файлов, чем дольше он находится на компьютере необнаруженным. Червь создает единственную копию своего кода. В отличие от вируса, код червя самостоятелен. Другими словами, червь – это отдельный файл, в то время как вирус – это код, который внедряется в существующие файлы.

Сетевые черви могут кооперироваться с вирусами - такая пара способна самостоятельно распространяться по сети (благодаря червю) и в то же время заражать ресурсы компьютера (функции вируса)

Трояны

Троян (троянский конь) — тип вредоносных программ, основной целью которых является вредоносное воздействие по отношению к компьютерной системе. Трояны отличаются отсутствием механизма создания собственных копий. Некоторые трояны способны к автономному преодолению систем защиты КС, с целью проникновения и заражения системы. В общем случае, троян попадает в систему вместе с вирусом либо червем, в результате неосмотрительных действий пользователя или же активных действий злоумышленника.

Жизненный цикл

В силу отсутствия у троянов функций размножения и распространения, их жизненный цикл крайне короток - всего три стадии:

· Проникновение на компьютер

· Активация

· Выполнение заложенных функций

Это, само собой, не означает малого времени жизни троянов. Напротив, троян может длительное время незаметно находиться в памяти компьютера, никак не выдавая своего присутствия, до тех пор, пока не будет обнаружен антивирусными средствами.

Способы проникновения

Задачу проникновения на компьютер пользователя трояны решают обычно одним из двух следующих методов.

1. Маскировка — троян выдает себя за полезное приложение, которое пользователь самостоятельно загружает из Интернет и запускает. Иногда пользователь исключается из этого процесса за счет размещения на Web-странице специального скрипта, который используя дыры в браузере автоматически инициирует загрузку и запуск трояна.

· Одним из вариантов маскировки может быть также внедрение злоумышленником троянского кода в код другого приложения. В этом случае распознать троян еще сложнее, так как зараженное приложение может открыто выполнять какие-либо полезные действия, но при этом тайком наносить ущерб за счет троянских функций.

Распространен также способ внедрения троянов на компьютеры пользователей через веб-сайты. При этом используется либо вредоносный скрипт, загружающий и запускающий троянскую программу на компьютере пользователя, используя уязвимость в веб-браузере, либо методы социальной инженерии - наполнение и оформление веб-сайта провоцирует пользователя к самостоятельной загрузке трояна. При таком методе внедрения может использоваться не одна копия трояна, а полиморфный генератор, создающий новую копию при каждой загрузке. Применяемые в таких генераторах технологии полиморфизма обычно не отличаются от вирусных полиморфных технологий.

Кооперация с вирусами и червями — троян путешествует вместе с червями или, реже, с вирусами. В принципе, такие пары червь-троян можно рассматривать целиком как составного червя, но в сложившейся практике принято троянскую составляющую червей, если она реализована отдельным файлом, считать независимым трояном с собственным именем. Кроме того, троянская составляющая может попадать на компьютер позже, чем файл червя.

Активация

Здесь приемы те же, что и у червей: ожидание запуска файла пользователем, либо использование уязвимостей для автоматического запуска.

Выполняемые функции

В отличие от вирусов и червей, деление которых на типы производится по способам размножения/распространения, трояны делятся на типы по характеру выполняемых ими вредоносных действий. Наиболее распространены следующие виды троянов.

· Клавиатурные шпионы — трояны, постоянно находящиеся в памяти и сохраняющие все данные, поступающие от клавиатуры с целью последующей передачи этих данных злоумышленнику. Обычно таким образом злоумышленник пытается узнать пароли или другую конфиденциальную информацию.

· Похитители паролей — трояны, также предназначенные для получения паролей, но не использующие слежение за клавиатурой. В таких троянах реализованы способы извлечения паролей из файлов, в которых эти пароли хранятся различными приложениями.

· Утилиты удаленного управления — трояны, обеспечивающие полный удаленный контроль над компьютером пользователя. ' Существуют легальные утилиты такого же свойства, но они отличаются тем, что сообщают о своем назначении при установке или же снабжены документацией, в которой описаны их функции. Троянские утилиты удаленного управления, напротив, никак не выдают своего реального назначения, так что пользователь и не подозревает о том, что его компьютер подконтролен злоумышленнику. Наиболее популярная утилита удаленного управления - Back Orifice.

· Люки (backdoor) — трояны предоставляющие злоумышленнику ограниченный контроль над компьютером пользователя. От утилит удаленного управления отличаются более простым устройством и, как следствие, небольшим количеством доступных действий. Тем не менее, обычно одними из действий являются возможность загрузки и запуска любых файлов по команде злоумышленника, что позволяет при необходимости превратить ограниченный контроль в полный.

· Анонимные smtp-сервера и прокси — трояны, выполняющие функции почтовых серверов или прокси и использующиеся в первом случае для спам-рассылок, а во втором для заметания следов хакерами.

· Утилиты дозвона — сравнительно новый тип троянов, представляющий собой утилиты dial-up доступа в Интернет через дорогие почтовые службы. Такие трояны прописываются в системе как утилиты дозвона по умолчанию и влекут за собой огромные счета за пользование Интернетом.

· Модификаторы настроек браузера — трояны, которые меняют стартовую страницу в браузере, страницу поиска или еще какие-либо настройки, открывают дополнительные окна браузера, имитируют нажатия на баннеры и т. п.

· Логические бомбы — чаще не столько трояны, сколько троянские составляющие червей и вирусов, суть работы которых состоит в том, чтобы при определенных условиях (дата, время суток, действия пользователя, команда извне) произвести определенное действие: например, уничтожение данных