Теоретические сведения о компьютерных вирусах

К.т.н., доцент

Ананченко И.В.

 

Санкт-Петербург

2019

 

Содержание

 

1 Теоретические сведения о компьютерных вирусах. 3

1.1 Понятие «Компьютерный вирус». 3

1.2 История компьютерных вирусов. 3

1.3 Механизм работы.. 3

1.4 Способы распространения компьютерных вирусов. 3

2 Полиморфные вирусы.. 3

2.1 Принцип работы полиморфного вируса. 3

2.2 История развития полиморфных вирусов. 3

2.3 Уровни полиморфизма. 3

2.4 Наиболее известные случаи заражений полиморфными вирусами. 3

3 Методы защиты от полиморфных вирусов. 3

Заключение. 3

Список использованных источников. 3

 

Введение

В нынешнее время компьютеры используются для решения множества различных задач. Практически никто сейчас не работает без компьютера. Рынок IT процветает и развивается, появляются новые интернет-проекты и сервисы, люди все больше времени проводят в сети. Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением программ-вирусов, препятствующих нормальному функционированию компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.

По этой причине защита личной и конфиденциальной информации, а также проблема обеспечения нормальной работоспособности персональных компьютеров сейчас, как никогда, актуальны. Борьбой с компьютерными вирусами профессионально занимаются тысячи специалистов по информационной безопасности в сотнях, а может быть, и тысячах компаний, ведь именно компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации.

Как уже было сказано, компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Известны случаи, когда вирусы блокировали работу целых организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека - в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию.

Несмотря на огромные усилия конкурирующих между собой антивирусных фирм, убытки, приносимые компьютерными вирусами, не падают и достигают колоссальных величин в сотни миллионов долларов ежегодно. Эти оценки не являются на 100% правдивыми, поскольку известно только о части подобных происшествий и неизвестно сколько всего на самом деле приносят ущерба вирусы.

При этом следует иметь в виду, что антивирусные программы и «железо» не дают полной гарантии защиты от вирусов. Примерно так же плохо обстоят дела на другой стороне тандема «человек-компьютер». Как пользователи, так и профессионалы-программисты часто не имеют даже навыков «самообороны», а их представления о вирусе порой являются настолько поверхностными, что лучше бы их (представлений) и не было.

Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них.

Цель данной работы – изучить и рассмотреть полиморфные вирусы, их особенности, а также методы борьбы с ними.

Задачи:

1) Кратко рассмотреть общие сведения о компьютерых вирусах, их особенностях, методах распространения, а также механизм работы;

2) Изучить полиморфные вирусы, в чем их особенность, принцип работы;

3) Выявить и изучить методы защиты от полиморфного вредоносного программного обеспечения.

 

 

 

Теоретические сведения о компьютерных вирусах

 

Механизм работы

 

Распространение вредоносного ПО происходит благодаря копированию своего тела и обеспечивая его последующее исполнение: внедряя себя в исполняемый код других программ, заменяя собой другие программы, прописываясь в автозапуск и другое. Вирусом или его переносчиков могут являться не только программы, содержащие машинный код, но и любые другие файлы, содержащие автоматически исполняемые команды — например, пакетные файлы и документы Microsoft Word и Excel, содержащие макросы.

Помимо этого, для получения доступа в систему, вирус может воспользоваться уязвимостями в популярном и часто используемом ПО (например, Adobe Flash, Mozilla FireFox, Outlook), для чего авторы-распространители заражают им обычные данные, такие как изображения, тексты и т. д. вместе с эксплоитом, который использует данные уязвимости.

 

Полиморфные вирусы

 

Одним из самых опасных видов компьютерного вируса на сегодняшний день считаются полиморфные вирусы.

Полиморфный вирус — это такой шифрующийся вирус, который при заражении новых файлов и системных областей диска шифрует собственный код. При этом для шифрования вирус пользуется случайными паролями (ключами), а также различными методами шифрования, что исключает возможность опознания вируса по сигнатурам вирусов.

Полиморфный вирус отличается от обычного вируса способом маскировки. Программный код polymorphic malware изменяется при каждом новом заражении с помощью шифрования. Сколько заражений — столько и вариаций одного и того же вируса. Но каждая модификация, по сути, представляет собой новый экземпляр вируса. В полиморфных вирусах для шифрования могут применяться сложные криптографические алгоритмы. Поэтому, например, антивирусная защита на основе сигнатурных баз бессильна против продвинутого полиморфного вируса — это как прививка, которая защищает только от известных мутаций гриппа. Для лечения ПК от таких полиморфных вирусов необходима полная расшифровка их «тела».

 

Уровни полиморфизма

 

Исследователи обнаружили, что 93% всех вредоносных программ имеют полиморфную природу.

В классификации CARO полиморфные вирусы в зависимости от их сложности разделяют на несколько уровней.

Уровень 1. Вирусы первого уровня полиморфизма используют постоянные значения для разных расшифровщиков. Их можно обнаружить по некоторым постоянным участкам кода расшифровщика. Такие вирусы принято называть «не совсем полиморфными», или олигоморфными (oligomorphic).

Уровень 2. Ко второму уровню полиморфизма относят вирусы, расшифровщик которых имеет постоянной одну или несколько инструкций. Например, он может использовать различные регистры, некоторые альтернативные инструкции в расшифровщике. Такие вирусы также можно распознать по определенной сигнатуре - заданным сочетаниям байт в расшифровщике.

Уровень 3. Вирусы, использующие в расшифровщике команды, не участвующие в расшифровании вирусного кода, или "команды-мусора", относят к третьему уровню полиморфизма. Это такие команды ассемблера, как NOP, MOV AX, AX, STI, CLD, CLI и т.д. Данные вирусы также можно определить с помощью некоторой сигнатуры, если произвести отсеивание всех «мусорных» команд.

Уровень 4. Вирусы четвертого уровня используют в расшифровщике взаимозаменяемые инструкции и "перемешанные" инструкции без изменения алгоритма расшифрования. Например, ассемблерная команда MOV AX,BX имеет взаимозаменяемые инструкции: PUSH BX - POP AX; XCHG AX,BX; MOV CX,BX - MOV AX,CX и т. д. Детектирование данных вирусов возможно с помощью некоторой перебираемой сигнатуры.

Уровень 5. Пятый уровень полиморфизма включает свойства всех перечисленных уровней, а кроме того, расшифровщик может использовать различные алгоритмы расшифрования вирусного кода. Для расшифровки возможно использование основного вирусного кода, расшифровки части самого же декриптора или нескольких расшифровщиков, поочередно расшифровывающих друг друга либо непосредственно вирусный код. Как правило, обнаружение вирусов данного уровня полиморфизма с помощью сигнатуры невозможно. Если для обнаружения такого вируса возможен серьезный анализ кода только самого расшифровщика, то для лечения необходимо произвести частичную или полную расшифровку тела вируса, чтобы извлечь информацию о зараженном файле.

Уровень 6. К нему относятся нешифрованные вирусы - т. е. вирусы, состоящие из программных единиц-частей, которые «перемешиваются» внутри тела вируса. Данные вирусы, как «кубики», тасуют свои подпрограммы (инсталляции, заражения, обработчика прерывания, анализа файла и т. д.). Такие вирусы еще называются пермутирующими (permutating).

 

CryptoLocker. Это семейство вредоносных программ нацелено на компьютеры, использующие операционную систему Windows. Доставляются они через ZIP-файлы, содержащие исполняемый файл, замаскированный под значок PDF. После открытия файла полезная загрузка устанавливается в папку профиля и добавляет раздел реестра, который запрашивает ее запуск при запуске компьютера. Как только этот процесс завершен, он связывается с командным сервером, что приводит к генерации 2048-битного восстанавливающего ключа RSA, который впоследствии отсылается обратно на компьютер. Локальные и доступные файлы с определенными расширениями, включая офисные, CAD-файлы и т. д. шифруются.

CryptoWall Ransomware. Разновидность полиморфных штаммов-вымогателей. CryptoWall шифровала файлы, которые присутствовали на компьютере жертвы, и требовала выкупа за их расшифровку. Полиморфный генератор, используемый в Cryptowall, помогал в формировании нового варианта программы-вымогателя для каждой потенциальной жертвы.

Cerber. Это семейство вредоносных программ доставляется по вредоносным ссылкам в фишинговых письмах, но оно также использует ряд тактик доставки этих писем, которые особенно трудно отследить. Вредоносное ПО используется по модели «шифровальщик как сервис», что делает его простым в использовании для всех типов пользователей с любым уровнем компьютерных знаний. Он способен шифровать множество типов файлов и может легко шифровать целые корпоративные базы данных, а также отдельные машины. Cerber регулярно используется как услуга благодаря раннее упомянутой модели.

Kelihos Botnet. Также известный как Hlux, этот ботнет может отправлять огромное количество спам-писем и красть биткоины. Используя одноранговый метод (peer - to - peer), ботнет может функционировать даже в том случае, если один из серверов выключен.

Среди сложных полиморфных вирусов можно выделить вирус Virus.Win32.Virut.ce, данный вирус очень распространён и занимает лидирующие позиции среди вредоносного софта, «царящего» в файловых системах среднестатистических пользователей. Безусловно, данный вирус является ярким примером использования полиморфизма. Код вируса последних модификаций трансформируется при каждом новом заражении компьютера, для этого используются специальные механизмы мутации, которые заложены разработчиками в коде вредоносной программы. Также, интересен тот факт, что разработчики Virut.ce, дабы ещё больше усложнить детектирование, каждую неделю проводят соответствующие обновления, внедряя специальные доработки и изменяя код вируса.

 

 

Заключение

 

Самым страшным кошмаром любого пользователя сети Интернет являются компьютерные вирусы, которые постоянно совершенствуются. Вирусы попадают на компьютеры часто, причем иногда не сразу понятно, что же произошло с системой.

В данной работе мы изучили полиморфный тип компьютерных вирусов, выяснили принцип его работы, уровни полиморфизма, изучили наиболее известные случаи заражения, а также составили методы борьбы с ними.

Растущая распространенность полиморфного вредоносного ПО, в том числе и вымогателей, и шифровальщиков, а также вредоносных мобильных приложений - все это указывает на будущее, которое требует немедленного внимания и многоуровневой системы защиты. Полиморфная вредоносная программа не нова; первый прототип полиморфного вируса датируется 1989 годом. Но в нынешних реалиях быстро изменяющиеся полиморфные вирусы составляют подавляющий процент вредоносных программ, с которыми сталкиваются организации.

Полиморфные вредоносные программы - это все более распространенная угроза, которой просто невозможно противостоять традиционными мерами безопасности, основанными на анализе сигнатур. Она является на данный момент одним из самых опасных видов вирусного программного обеспечения. Подход стратегического инвестирования в поведенческие меры безопасности в сочетании с обучением сотрудников и регулярными обновлениями программного обеспечения может быть использован для создания надежного, многоуровневого подхода, который гораздо более эффективен в современном климате кибербезопасности.

 

К.т.н., доцент

Ананченко И.В.

 

Санкт-Петербург

2019

 

Содержание

 

1 Теоретические сведения о компьютерных вирусах. 3

1.1 Понятие «Компьютерный вирус». 3

1.2 История компьютерных вирусов. 3

1.3 Механизм работы.. 3

1.4 Способы распространения компьютерных вирусов. 3

2 Полиморфные вирусы.. 3

2.1 Принцип работы полиморфного вируса. 3

2.2 История развития полиморфных вирусов. 3

2.3 Уровни полиморфизма. 3

2.4 Наиболее известные случаи заражений полиморфными вирусами. 3

3 Методы защиты от полиморфных вирусов. 3

Заключение. 3

Список использованных источников. 3

 

Введение

В нынешнее время компьютеры используются для решения множества различных задач. Практически никто сейчас не работает без компьютера. Рынок IT процветает и развивается, появляются новые интернет-проекты и сервисы, люди все больше времени проводят в сети. Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением программ-вирусов, препятствующих нормальному функционированию компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.

По этой причине защита личной и конфиденциальной информации, а также проблема обеспечения нормальной работоспособности персональных компьютеров сейчас, как никогда, актуальны. Борьбой с компьютерными вирусами профессионально занимаются тысячи специалистов по информационной безопасности в сотнях, а может быть, и тысячах компаний, ведь именно компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации.

Как уже было сказано, компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Известны случаи, когда вирусы блокировали работу целых организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека - в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию.

Несмотря на огромные усилия конкурирующих между собой антивирусных фирм, убытки, приносимые компьютерными вирусами, не падают и достигают колоссальных величин в сотни миллионов долларов ежегодно. Эти оценки не являются на 100% правдивыми, поскольку известно только о части подобных происшествий и неизвестно сколько всего на самом деле приносят ущерба вирусы.

При этом следует иметь в виду, что антивирусные программы и «железо» не дают полной гарантии защиты от вирусов. Примерно так же плохо обстоят дела на другой стороне тандема «человек-компьютер». Как пользователи, так и профессионалы-программисты часто не имеют даже навыков «самообороны», а их представления о вирусе порой являются настолько поверхностными, что лучше бы их (представлений) и не было.

Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них.

Цель данной работы – изучить и рассмотреть полиморфные вирусы, их особенности, а также методы борьбы с ними.

Задачи:

1) Кратко рассмотреть общие сведения о компьютерых вирусах, их особенностях, методах распространения, а также механизм работы;

2) Изучить полиморфные вирусы, в чем их особенность, принцип работы;

3) Выявить и изучить методы защиты от полиморфного вредоносного программного обеспечения.

 

 

 

Теоретические сведения о компьютерных вирусах