Вредоносное программное обеспечение. Классификация, принципы работы, способы выявления и противодействия.

Под вредоносным программным обеспечением (программой) согласно ГОСТ Р 51275 – 2006 принято понимать программу, используемую для осуществления НСД к информации и (или) воздействия на ресурсы АС.

Классификация вредоносных программ (лаб. Касперского):
1. Сетевые черви
К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью:
- проникновения на удаленные компьютеры;
- запуска своей копии на удаленном компьютере;
- дальнейшего распространения на другие компьютеры в сети.
К ним относятся:
- Email-Worm - почтовые черви
- IM-Worm - черви, использующие интернет-пейджеры
- IRC-Worm - черви в IRC-каналах
- Net-Worm - прочие сетевые черви
- P2P-Worm - черви для файлообменных сетей
2. Классические компьютерные вирусы
К данной категории относятся программы, распространяющие свои копии по ресурсам локального компьютера с целью:
- последующего запуска своего кода при каких-либо действиях пользователя;
- дальнейшего внедрения в другие ресурсы компьютера.
В отличие от червей, вирусы не используют сетевых сервисов для проникновения на другие компьютеры.
Типы компьютерных вирусов различаются между собой по следующим основным признакам:
- среда обитания;
- способ заражения.
К ним относятся:
1) Среда обитания.
По среде обитания вирусы можно разделить на:
- файловые;
- загрузочные;
- макро;
- скриптовые.
2) Способ заражения.
- Файловые вирусы:
По способу заражения файлов вирусы делятся на:
Перезаписывающие (overwriting).
Паразитические (parasitic):
внедрение вируса в начало файла,
внедрение вируса в конец файла,
внедрение вируса в середину файла,
вирусы без точки входа.
Вирусы-компаньоны (companion).
Вирусы-ссылки (link).
Вирусы, заражающие объектные модули (OBJ).
Вирусы, заражающие библиотеки компиляторов (LIB).
Вирусы, заражающие исходные тексты программ.
- Загрузочные вирусы:
Вирусы заражают загрузочный (boot) сектор гибкого диска.
Вирусы заражают boot-сектор винчестера.
Вирусы заражают Master Boot Record (MBR) винчестера.
- Макро-вирусы:
В вирусе присутствует авто-макрос (авто-функция).
В вирусе переопределен один из стандартных системных макросов (ассоциированный с каким-либо пунктом меню).
В вирусе макрос вируса вызывается автоматически при нажатии на какую-либо клавишу или комбинацию клавиш.
- Скрипт-вирусы
Вирусы заражают другие скрипт-программы (командные и служебные файлы MS Windows или Linux).
Вирусы являются частями многокомпонентных вирусов.
Вирусы заражают файлы других форматов (например, HTML), если в них возможно выполнение скриптов.

3. Троянские программы
В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях.
Троянские программы различаются между собой по тем действиям, которые они производят на зараженном компьютере.
К ним относятся:
- Backdoor - троянские утилиты удаленного администрирования
- Trojan-PSW - воровство паролей
- Trojan-Clicker - интернет-кликеры
- Trojan-Downloader - доставка прочих вредоносных программ
- Trojan-Dropper - инсталляторы прочих вредоносных программ
- Trojan-Proxy - троянские прокси-сервера
- Trojan-Spy - шпионские программы
- Trojan - прочие троянские программы
- Rootkit - сокрытие присутствия в операционной системе
- ArcBomb - «бомбы» в архивах
- Trojan-Notifier - оповещение об успешной атаке
4. Хакерские утилиты и прочие вредоносные программы
К данной категории относятся:
- утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы);
- программные библиотеки, разработанные для создания вредоносного ПО;
- хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов);
- «злые шутки», затрудняющие работу с компьютером;
- программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе;
- прочие программы, тем или иным способом намеренно наносящие прямой или косвенный ущерб данному или удалённым компьютерам.
К ним относятся:
- DoS, DDoS - сетевые атаки
- Exploit, HackTool - взломщики удаленных компьютеров
- Flooder - "замусоривание" сети
- Constructor - конструкторы вирусов и троянских программ
- Nuker - фатальные сетевые атаки
- Bad-Joke, Hoax - злые шутки, введение пользователя в заблуждение
- FileCryptor, PolyCryptor - скрытие от антивирусных программ
- PolyEngine - полиморфные генераторы
- VirTool - утилиты, предназначенные для облегчения написания компьютерных вирусов.
Альтернативная классификация. Вирусы можно разделить по самостоятельности их тела на:

Самостоятельный тип. Этот тип вируса не содержится в каких-либо конкретных файлах, в следствие этого отдельный файл должен быть скрыт от пользователя (черви, трояны, кейлогеры). Для скрытия используются свойства операционной системы либо используется активное скрытие(перехваты системных запросов с целью исключения себя из списка программ).

Файловые вирусы. Программа состоит из заголовка, который определяет структуру программы и некоего набора блоков, содержащих в себе участки программы. Вирус может помещаться в различные участки программы (в начале, внутри или в конце программы). Если вирус записывается в начало программы, то подменяется начальная часть программы, то есть вирус располагается в секции кода. После чего программа может не функционировать, либо вирус каким то образов восстанавливает утраченный участок. После лечения, зачастую, такие программы не функционируют (так как вирус участок кода либо удалил, либо зашифровал). Если вирус записывается в конец программы, то запускается вроде бы изначальная программа, но управление должно передаться на тело вируса для выполнения деструктивных функций. Управление может перехватываться посредством: заметы точки входа в программу, изменение начальных инструкций программы и запутывание точки входа (в программе строится некие участки кода, которые переводят управление друг на друга, а только последний передает управление телу вируса). Технология запутывания точки входа призвана скрыть тело вируса и сделать невозможным восстановление исходного вида программы.

Динамические вирусы. Вирус не существует в системе ни как обособленный объект, ни как зараженная программа. Например, сетевые вирусы (черви). Данные вирусы используют какую-то уязвимость в системе, но не делают копию себя на ПЗУ. Они присутствуют только как передача пакетов между компьютерами в сети. От таких вирусов защищает только активный антивирус.

Способы выявления и противодействия:

На данный момент существует ряд методов «детектирования» (выявления) и противодействия компьютерным вирусам это:

1. Сигнатурный метод – основанный на сравнении бинарного кода исследуемого объекта с базой данных, в которой хранятся все известные сигнатуры (штаммы) вируса;

2. Эмуляция – метод, в основе которого лежит имитация выполнения кода вируса, в тщательно замкнутой программной среде («песочница»). Современные эмуляторы эмулируют не только команды процессора, но и вызовы операционной системы. Таким методом приходится именно эмулировать работу инструкций вируса, а не трассировать их, поскольку при трассировке вируса слишком велика вероятность вызова деструктивных инструкций или кодов, отвечающих за распространение вируса.

3. Эвристический анализ – этот метод основан на сравнении и выявлении алгоритмов, присущих вредоносному коду. Данный метод, основанный на распознании структуры и алгоритма исполнения файлов, такой метод позволяет обнаружить ещё неизвестные вирусы и распознаёт модификации уже известных.

4. HIPS (Host-based Intrusion Prevention System, англ. система предотвращения вторжений) — проактивная технология защиты, построенная на анализе поведения.. В основе HIPS метода лежит анализ активности программного обеспечения и всех модулей системы и блокирование потенциально опасных действий в системе пользователя.

5.Замкнутая программная среда – в основе данной методики лежит блокирование исполнения всех программных кодов за исключением тех, которые были ранее обозначены как безопасные.