Внешние возможные нарушители

Билет

 

Вопрос

По отношению к АСОИ нарушители могут быть внутренними (из числа персонала системы) или внешними (посторонними лицами). Внутренним нарушителем может быть лицо из следующих категорий персонала: пользователи (операторы) системы; персонал, обслуживающий технические средства (инженеры, техники); сотрудники отделов разработки и сопровождения ПО (прикладные и системные программисты); технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения, где расположены компоненты АСОИ); сотрудники службы безопасности АСОИ; руководители различных уровней. Посторонние лица, которые могут быть нарушителями: клиенты (представители других организаций, физическиелица); посетители (приглашенные по какому-либо поводу); представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжения и т.п.); представители конкурирующих организаций (иностранныхспецслужб) или лица, действующие по их заданию; лица, случайно или умышленно нарушившие пропускной режим (без цели нарушить безопасность АС); любые лица, находящиеся внутри контролируемой территории. Можно выделить три основных мотива нарушений: безответственность, самоутверждение и корыстный интерес. При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности. Некоторые пользователи считают получение доступа к АСОИ успехом самоутверждения либо в собственных глазах, либо в глазах коллег. Нарушение безопасности АСОИ может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в АСОИ информации. Даже если АСОИ имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно. Всех нарушителей можно классифицировать следующим образом. По уровню знаний об АСОИ: знает функциональные особенности АСОИ, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами; обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания; обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатация автоматизированных информационных систем; знает структуру, функции и механизм действия средств защиты, их сильные и слабые стороны. По уровню возможностей (используемым методам и средствам): применяющий агентурные методы получения сведений; применяющий пассивные средства (технические средства перехвата без модификации компонентов системы); использующий только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные съемные носители информации, которые могут быть скрытно пронесены через посты охраны; применяющий методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и техно-логических программ). По времени действия: в процессе функционирования АСОИ; в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта и т.п.); в любом случае. По месту действия: без доступа на контролируемую территорию организации; с контролируемой территории без доступа в здания и сооружения; внутри помещений, но без доступа к техническим средствам АСОИ; с рабочих мест конечных пользователей (операторов) АСОИ; с доступом в зону данных (баз данных, архивов и т.п.); с доступом в зону управления средствами обеспечения безопасности АСОИ. Определение конкретных значений характеристик возможных нарушителей в значительной степени субъективно. Модель нарушителя, построенная с учетом особенностей конкретной предметной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика.

 

Вопрос

Цель предпринимаемых злоумышленниками атак на компьютеры из интрасетей, подключенных к Интернет, состоит в получении доступа к их информационным и сетевым ресурсам. Примером первого типа ресурсов могут быть базы данных, файл-серверы и т.п. Ко второму типу ресурсов относятся сетевые сервисы, например. Интернет. электронная почта, телеконференции и т.д.

Принципиальным отличием атак, осуществляемых злоумышленниками в открытых сетях, является фактор расстояния от ПК, выбранного в качестве жертвы, или "прослушиваемого" канала связи до местоположения злоумышленника. Этот фактор нашел выражение в определении подобного вида атак как "удаленных".

Под удаленной атакой принято понимать несанкционированное информационное воздействие на распределенную вычислительную систему, программно осуществляемое по каналам связи.

Для удаленной атаки можно выделить наиболее общие схемы их осуществления. Такие удаленные атаки получили название типовых.

Тогда типовая удаленная атака - это удаленное несанкционированное информационное воздействие, программно осуществляемое по каналам связи и характерное для любой распределенной вычислительной системы. Объектом удаленных атак могут стать следующие виды сетевых устройств: оконечные устройства; каналы связи, промежуточные устройства: ретрансляторы, шлюзы, модемы и т.п. Рассмотрим классификацию удаленных атак по следующим шести основным критериям:

1. По характеру воздействия удаленные атаки делятся на пассивные и активные (примером первого типа атак является, например, прослушивание каналов связи и перехват вводимой с клавиатуры информации; примером второго типа является атака "третий посередине", когда злоумышленник может например, подменять данные информационного обмена между двумя пользователями и/или интрасети или между пользователем и запрашиваемым им сетевым сервисом, пересылаемые в обоих направлениях),

2. По цели воздействия, т.е. в зависимости от нарушения трех основных возможных свойств информации и информационных ресурсов - их конфиденциальности, целостности и доступности, плюс нарушение доступности всей системы или ее отдельных служб (пример атаки - "отказ в обслуживании");

3. По условию начала осуществления воздействия атака может быть безусловной (предпринимается злоумышленником в любом случае), или может активизироваться либо при посылке определенного запроса от атакуемого объекта, либо при наступлении ожидаемого события на атакуемом объекте;

4. По наличию обратной связи с атакуемым объектом различают атаки с обратной связью или без обратной связи (такая атака называется однонаправленной);

5. По расположению субъекта атаки относительно атакуемого объекта бывают внутрисегментными (средства взлома сети или, например, прослушивания каналов связи должны располагаться в том же сегменте сети, который интересует злоумышленника) или межсегментными (в этом случае дальность расстояния от жертвы до злоумышленника не имеет значения);

6. по уровню эталонной модели взаимосвязи открытых систем 0SI Международной Организации Стандартизации (ISO), на котором осуществляется воздействие. Атака может реализовываться на всех семи уровнях - физическом, канальном, сетевом, транспортном, сеансовом, представительном и прикладном. Средства обеспечения безопасности интрасетей на основе такой модели регламентируются стандартом ISO7492-2. Эти же рекомендации могут применяться и для разработки, создания аналогичных механизмов в Интернет-сетях, так как группа протоколов ТСР/IР соответствует уровням 1-4 модели, а прикладной уровень в сетях соответствует верхним уровням (5-7).

 

Вопрос

Билет

Вопрос

удаленные атаки можно классифицировать по следующим признакам:

По характеру воздействия

• пассивное (класс 1.1)
• активное (класс 1.2)

Пассивным воздействием на распределенную вычислительную систему назовем воздействие, которое не оказывает непосредственного влияния на работу системы, но может нарушать ее политику безопасности. Именно отсутствие непосредственного влияния на работу распределенной ВС приводит к тому, что пассивное удаленное воздействие практически невозможно обнаружить. Примером пассивного типового удаленного воздействия в РВС служит прослушивание канала связи в сети.

Под активным воздействием на распределенную ВС будем понимать воздействие, оказывающее непосредственное влияние на работу системы (изменение конфигурации РВС, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности. Практически все типы удаленных атак являются активными воздействиями. Это связано с тем, что в самой природе разрушающего воздействия содержится активное начало. Очевидной особенностью активного воздействия по сравнению с пассивным является принципиальная возможность его обнаружения (естественно, с большей или меньшей степенью сложности), так как в результате его осуществления в системе происходят определенные изменения. В отличие от активного, при пассивном воздействии не остается никаких следов (от того, что атакующий просмотрит чужое сообщение в системе, в тот же момент ничего не изменится).

По цели воздействия

• нарушение конфиденциальности информации либо ресурсов системы (класс 2.1)
• нарушение целостности информации (класс 2.2)
• нарушение работоспособности (доступности) системы (класс 2.3)

Этот классификационный признак является прямой проекцией трех основных типов угроз - раскрытия, целостности и отказа в обслуживании.

Основная цель практически любой атаки - получить несанкционированный доступ к информации. Существуют две принципиальные возможности доступа к информации: перехват и искажение. Возможность перехвата информации означает получение к ней доступа, но невозможность ее модификации. Следовательно, перехват информации ведет к нарушению ее конфиденциальности. Примером перехвата информации может служить прослушивание канала в сети (п. 3.2.1). В этом случае имеется несанкционированный доступ к информации без возможности ее искажения. Очевидно также, что нарушение конфиденциальности информации является пассивным воздействием.

Возможность искажения информации означает либо полный контроль над информационным потоком между объектами системы, либо возможность передачи сообщений от имени другого объекта. Таким образом, очевидно, что искажение информации ведет к нарушению ее целостности. Данное информационное разрушающее воздействие представляет собой яркий пример активного воздействия. Примером удаленной атаки, цель которой нарушение целостности информации, может служить типовая удаленная атака (УА) "Ложный объект РВС" (п. 3.2.3).

Принципиально другой целью атаки является нарушение работоспособности системы. В этом случае не предполагается получение атакующим несанкционированного доступа к информации. Его основная цель - добиться, чтобы операционная система на атакуемом объекте вышла из строя и для всех остальных объектов системы доступ к ресурсам атакованного объекта был бы невозможен. Примером удаленной атаки, целью которой является нарушение работоспособности системы, может служить типовая УА "Отказ в обслуживании" (п. 3.2.4).

Вопрос

Среди выше перечисленных УА можно выделить пять основных и наиболее часто предпринимаемых в настоящее время типовых удаленных атак:

1. Анализ сетевого трафика (или прослушивание канала связи с помощью специальных средств - снифферов). Эта атака позволяет:

· изучить логику работы сети - получить соответствие событий, происходящих в системе, и команд, пересылаемых при этом хостами, в момент появления данных событий (в дальнейшем это позволит злоумышленнику на основе задания соответствующих команд получить, например, привилегированные права на действия в системе или расширить свои полномочия в ней);

· перехватить поток передаваемых данных, которыми обмениваются компоненты сетевой ОС - для извлечения секретной или идентификационной информации (например, паролей пользователей), ее подмены, модификации и т.п.

2. Подмена доверенного объекта или субъекта распределенной вычислительной сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа.

Такая атака эффективно реализуется в системах; где применяются нестойкие алгоритмы идентификации/аутентификации хостов, пользователей и т.д. Под доверенным объектом будем понимать станцию, легально подключенную к серверу (в более общем смысле "доверенная" система - это система, которая достигает специфического уровня контроля за доступом к информации, обеспечивая механизм предотвращения (или определения) неавторизованного доступа).

3. Ложный объект распределенной вычислительной сети. Он внедряется
двумя способами:

· навязыванием ложного маршрута из-за недостатков в алгоритмах маршрутизации (т.е. проблем идентификации сетевых управляющих устройств), в результате чего можно попасть в сеть жертвы, где с помощью определенных средств можно "вскрыть" его компьютер;

· использованием недостатков алгоритмов удаленного поиска

Эта атака позволяет воздействовать на перехваченную информацию следующим образом:

· проводить селекцию потока информации;

· модифицировать информацию;

· подменять информацию.

4. Отказ в обслуживании. Атака может быть предпринята, если нет средств аутентификации адреса отправителя и с хоста на атакуемый хост можно передавать бесконечное число анонимных запросов на подключение от имени других хостов. В этом способе проникновения используется возможность фрагментирования пакетов, содержащаяся в спецификации IР. Нападающий передает слишком много фрагментов пакетов, которые должны быть смонтированы принимающей системой. Если общий объем фрагментов превышает максимально допустимый размер пакета, то система "зависает" или даже выходит из строя.

Результатом осуществления данной атаки может стать:

· нарушение работоспособности соответствующей службы предоставления удаленного доступа на атакуемый хост;

· передача с одного адреса такого количества запросов на подключение к атакуемому хосту, какое максимально может "вместить" трафик (атака - направленный "шторм запросов"), что влечет за собой переполнение очереди запросов и отказ одной из сетевых служб или полная остановка из-за невозможности системы заниматься ничем другим, кроме обработки запросов.

5. Удаленный контроль над станцией в сети. Атака заключается в запуске на атакуемом компьютере программы "сетевого шпиона", основная цель которой получение удаленного контроля над станцией в сети.

 

Вопрос

 

Причиной появления подобных программ в конкретной операционной системе или приложении является одновременное выполнение следующих условий:

· популярность, широкое распространение данной системы;

· документированность — наличие разнообразной и достаточно полной документации по системе;

· незащищенность системы или существование известных уязвимостей в её безопасности и приложениях.

Каждое перечисленное условие является необходимым, а выполнение всех условий одновременно является достаточным для появления разнообразных вредоносных программ.

Условие популярности системы необходимо для того, чтобы она попалась на глаза хотя бы одному компьютерному хулигану или хакеру. Если система существует в единичных экземплярах, то вероятность её злонамеренного использования близка к нулю. Если же производитель системы добился её массового распространения, то очевидно, что рано или поздно хакеры и вирусописатели попытаются воспользоваться ей в своих интересах.

Напрашивается естественный вывод: чем популярнее операционная система или приложение, тем чаще она будет являться жертвой вирусной атаки. Практика это подтверждает — распределение количества вредоносного программного обеспечения для Windows, Linux и MacOS практически совпадает с долями рынка, которые занимают эти операционные системы.

Наличие полной документации необходимо для существования вирусов по естественной причине: создание программ (включая вирусные) невозможно без технического описания использования сервисов операционной системы и правил написания приложений. Например, у обычных мобильных телефонов конца прошлого и начала этого столетия подобная информация была закрыта — ни компании-производители программных продуктов, ни хакеры не имели возможности разрабатывать программы для данных устройств. У телефонов с поддержкой Java и у «умных» телефонов есть документация по разработке приложений — и, как следствие, появляются и вредоносные программы, разработанные специально для телефонов данных типов.

Уязвимостями называют ошибки («дыры») в программном обеспечении, как программистские (ошибка в коде программы, позволяющая вирусу «пролезть в дыру» и захватить контроль над системой), так и логические (возможность проникновения в систему легальными, иногда даже документированными методами). Если в операционной системе или в её приложениях существуют известные уязвимости, то такая система открыта для вирусов, какой бы защищённой она ни была.

Под защищенностью системы понимаются архитектурные решения, которые не позволяют новому (неизвестному) приложению получить полный или достаточно широкий доступ к файлам на диске (включая другие приложения) и потенциально опасным сервисам системы. Подобное ограничение фактически блокирует любую вирусную активность, но при этом, естественно, накладывает существенные ограничения на возможности обычных программ.

 

Билет

Вопрос

К данной категории относятся программы, распространяющие свои копии по ресурсам локального компьютера с целью:

• последующего запуска своего кода при каких-либо действиях пользователя;

• дальнейшего внедрения в другие ресурсы компьютера.

В отличие от червей, вирусы не используют сетевых сервисов для проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если зараженный объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:

• при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;

• вирус скопировал себя на съёмный носитель или заразил файлы на нем;

• пользователь отослал электронное письмо с зараженным вложением.

Некоторые вирусы содержат в себе свойства других разновидностей вредоносного программного обеспечения, например бэкдор-процедуру или троянскую компоненту уничтожения информации на диске.

Классификация классических вирусов

Типы компьютерных вирусов различаются между собой по следующим основным признакам:

1. Среда обитания. Под ней понимаются системные области компьютера, операционные системы или приложения, в компоненты (файлы) которых внедряется код вируса. По среде обитания вирусы можно разделить на:

• файловые;

• загрузочные;

• макровирусы;

• скриптовые.

Файловые вирусы при своем размножении тем или иным способом используют файловую систему какой-либо (или каких-либо) ОС. Они:

• различными способами внедряются в исполняемые файлы (наиболее распространенный тип вирусов);

• создают файлы-двойники (компаньон-вирусы);

· создают свои копии в различных каталогах;

· используют особенности организации файловой системы (link-вирусы).

Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot- сектор) либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор. Данный тип вирусов был распространён в 1990-х, но практически исчез с переходом на 32-битные операционные системы и отказом от использования дискет как основного способа распространения информации. Теоретически возможно появление загрузочных вирусов, заражающих СD-диски и USВ-флешек, но на текущий момент такие вирусы не обнаружены.

Многие табличные и графические редакторы, системы проектирования, текстовые процессоры имеют свои макро-языки для автоматизации выполнения повторяющихся действий. Эти макро-языки часто имеют сложную структуру и развитой набор команд. Макровирусы являются программами на макро-языках, встроенные в такие системы обработки данных. Для своего размножения эти вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие.

 

Вопрос

Способ заражения. Под «способом заражения» понимаются различные методы внедрения вирусого кода в заражаемые объекты. Способы заражения

Файловые вирусы По способу заражения файлов они делятся на:

· перезаписывающие вирусы (overwriting);

· паразитические вирусы (parasitic);

· компаньоны (companion);

· вирусы-ссылки (link);

· вирусы, заражающие объектные модули (ОВJ);

· вирусы, заражающие библиотеки компиляторов (LIВ);

· вирусы, з аражающие исходные тексты программ.

Overwriting - метод заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать.

Parasitic – к паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными. Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов (prepending) в конец файлов (appending) и в середину файлов (inserting). В свою очередь, внедрение вирусов в середину файлов происходит различными методами - путем переноса части файла в его конец или копирования своего кода в заведомо неиспользуемые данные файла (cavity-вирусы).

При этом вирус изменяет начало файла таким образом, что первыми выполняемыми командами программы, содержащейся в файле, являются команды вируса.

Для того чтобы получить управление при старте файла, вирус корректирует стартовый адрес программы (адрес точки входа). Для этого вирус производит изменения в заголовке файла.

Вторым является метод «саvity», при котором вирус записывается в заведомо неиспользуемые области файла. Вирус может быть скопирован в задействованные области заголовка ЕХЕ-файла, в «дыры» между секциями ЕХЕ-файла или в область текстовых сообщений популярных компиляторов. Существуют вирусы, заражающие только те файлы, которые содержат блоки, заполненные каким-либо постоянным байтом, при этом вирус записывает свой код вместо такого блока.

Кроме того, копирование вируса в середину файла может произойти в результате ошибки вируса, в этом случае файл может быть необратимо испорчен.

Companion. К этой категории относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т. е. вирус.

К вирусам данного типа относятся те из них, которые при заражении переименовывают файл в какое-либо другое имя, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого файла. Например, файл МОТЕРАD.ЕХЕ переименовывается в МОТЕРАD.ЕXD), а вирус записывается под именем МОТЕРАD.ЕХЕ. При запуске управление получает код вируса, который затем запускает оригинальный МОТЕРАD.ЕХЕ.

Возможно существование и других типов вирусов-компаньонов использующих иные оригинальные идеи или особенности других операционных систем. Например, РАТН-компаньоны, которые размещают свои копии в основном каталоге, используя тот факт, что этот каталог является первым в списке РАТН, и файлы для запуска в первую очередь будет искать именно в нем. Данным способом самозапуска пользуются также многие компьютерные черви, троянские программы.

Прочие способы заражения

Существуют вирусы, которые никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копия: «специальные» имена, чтобы подтолкнуть пользователя на запуск своей копии - например, INSТАLL.ЕХЕ или WINSТАRТ.ВАТ.

Некоторые вирусы записывают свои копии в архивы (АRJ, ZIР, RАR). Другие записывают команду запуска зараженного файла в ВАТ-файлы.

Linк-вирусы также не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.

 

 

Вопрос

Загрузочные вирусы

Известные на текущий момент загрузочные вирусы заражают загрузочный сектор гибкого диска и или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах, запуска системы при включении или перезагрузке компьютера – после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного или СD-RОМ в зависимости от параметров, установленных в ВIOS и передает на него управление. При заражении дисков загрузочные вирусы «подставляют» свой код вместо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус «заставляет» систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, но коду вируса.

Заражение дискет производится единственным известным способом – вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается 3 возможными способами - вирус записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска С:), либо адрес активного boot-сектора в таблице разделов диска (Disk Partition Table), расположенной в МВR винчестера.

При инфицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор (или МВR) в какой-либо другой сектор диска (например, первый свободный). Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных).

 

 

Билет

 

Вопрос

 

Макровирусы

Наибольшее распространение получили макровирусы для MS Office (Word, Ехсеl и PowerPoint), хранящих информацию в формате ОLE2 (Object Linking and Embedding). Вирусы в прочих приложениях достаточно редки.

Физическое расположение вируса внутри файла MS Office зависит от его формата, который в случае продуктов MS чрезвычайно сложен - каждые файл-документ или таблица Ехсеl представляют собой последовательность блоков данных (каждый из которых также имеет свой формат), объединенных между собой при помощи большого количества служебных данных. По причине такой сложности форматов файлов представитm расположение макро-вируса в файле можно лишь схематично:

При работе с документами и таблицами MS Office выполняет различные действия: открывает документ, сохраняет, печатает, закрывает и т.д. При этом MS Office, например, ищет и выполняет соответствующие «встроенные макросы» - при сохранении файла по команде File/Save вызывается макрос FileSave, при сохранении по команде File/SaveAs - FileSaveAs, при печати документов - File/Print и т.д., если, конечно, таковые макросы определены.

Существует также несколько «автомакросов», автоматически вызываемых при различных условиях. Например, при открытии документа МS проверяет наличие макроса AutoOpen. Если такой макрос присутствует, то выполняет его. При закрытии документа выполняет макрос AutoClose, при запуске вызывается макрос AutoExec, при завершении работы - AutoExit, при создании нового документа - AutoNew. Автоматически (т.е.- без участия пользователя) выполняются также макросы/функции ассоциированные с какой-либо клавишей либо моментом времени или датой, т.е. МS вызывает макрос/функцию при нажатии на какую-либо конкретную клавишу (или клавиш) либо при достижении какого-либо момента времени.

Макро-вирусы, поражающие файлы MS Office как правило, пользуются одним из перечисленных выше приемов - в вирусе либо присутствует авто-макрос (авто-функция), либо переопределен один из стандартных системных макросов (ассоциированный с каким-либо пунктом меню), либо макрос вируса вызывается автоматически при нажатии на какую-либо клавишу или комбинацию клавиш. Получив управление макро-вирус переносит свой код в другие файлы, обычно в файлы, которые редактируются в данный момент. Реже макро вирусы самостоятельно ищут другие файлы на диске.

Скрипт-вирусы

Следует отметить также скрипт-вирусы, являющиеся подгруппой файловых вирусов. Данные вирусы, написаны на различных скрипт-языках (VBS, JS, ВАТ, PHP). Они либо заражают другие скрипт-программы (командные и служебные файлы Windows или Linux), либо являются частями многокомпонентных вирусов. Также, данные вирусы могут заражать файлы других форматов (например, html), если в них возможно выполнение скриптов.

 

Вопрос

 

К данной категории относятся программы, распространяющие свои копии по локальным и пли глобальным сетям с целью:

проникновения на удаленные компьютеры;

запуска своей копии на удаленном компьютере;

дальнейшего распространения на другие компьютеры в сети.

Для своего распространения сетевые черви используют разнообразные компьютерные и мобильные сети: электронную почту, системы обмена мгновенными сообщениями, файлообменные (Р2Р) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефонами, карманными ПК) и т. д.

Большинство известных червей распространяется в виде файлов: вложение в электронное письмо, ссылка на зараженный файл на каком-либо веб- или FТР-ресурсе в IСQ- и IRC-сообщениях, файл в каталоге обмена Р2Р и т. д.

Некоторые черви (так называемые «бесфайловые» или «пакетные» черви) распространяются в виде сетевых пакетов, проникают непосредственно в память ПК и активизируют свой код.

Для проникновения на удаленные компьютеры и запуска своей копии черви используют различные методы: социальный инжиниринг (например, текст электронного письма, призывающий открыть вложенный файл), недочеты в конфигураций сети (например, копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и приложений.

Некоторые черви обладают также свойствами других разновидностей вредоносного программного обеспечения. Например, некоторые черви содержат троянские функции или способны заражать выполняемые файлы на локальном диске, т. е. имеют свойство троянской программы и/или компьютерного вируса.

Классификация сетевых червей

Основным признаком, по которому типы червей различаются между собой, является способ распространения червя - каким способом он передает свою копию на удаленные компьютеры. Другими признаками различия червей между собой являются способы запуска копии червя на заражаемом компьютере, метод внедрения в систему, а также полиморфизм, «стелс» и прочие характеристики, присущие и другим типам вредоносного программного обеспечения (вирусам и троянским программам).

Email-Worm - почтовые черви

К данной категории червей относятся те из них, которые для своего распространения используют электронную почту. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).

В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором - при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков - активизируется код червя. Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:

• прямое подключение к SМТР-серверу, используя встроенную в код червя почтовую библиотеку;

• использование сервисов МS Оutlоок;

• использование функций МАРI.

Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:

• рассылают себя по всем адресам, обнаруженным в адресной книге МS Оutlоок;

· считывает адреса из адресной базы WАВ;

• сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;

· отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.

IМ-Worm - черви, использующие интернет-пейджеры

Известные компьютерные черви данного типа используют единственный способ распространения - рассылку на обнаруженные контакты (из контакт-листа сообщений содержащих URL на файл, расположенный на каком-либо сервере. Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.

IRC-Worm - черви в IRC -каналах Они, как и почтовые черви, имеют два способа распространения червя по IRC-каналам, повторяющие способы, описанные выше. Первый заключается в отсылке URL-ссылки на копию червя. Второй способ – отсылка зараженного файла какому-либо пользователю сети. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).

Net-Worm - прочие сетевые черви

Существуют прочие способы заражения удаленных компьютеров, например:

копирование червя на сетевые ресурсы;

проникновение червя на компьютер через уязвимости в ОС и приложениях;

проникновение в сетевые ресурсы публичного использования;

паразитирование на других вредоносных программах.

Первый способ заключается в том, что червь ищет удаленные компьютеры и копирует себя в каталоги, открытые на чтение и запись (если такие обнаружены).

При этом черви данного типа или перебирают доступные сетевые каталоги, используя функции операционной системы, и/или случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.

Для проникновения вторым способом черви ищут в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально оформленный сетевой пакет или запрос (эксплойт уязвимости), в результате чего код (или часть кода) червя проникает на компьютер-жертву. Если сетевой пакет содержит только часть кода червя, он затем скачивает основной файл и запускает его на исполнение.