Троянські програми і утиліти прихованого адміністрування

План

Вступ

Розділ 1. Різновид вірусів

Троянські програми і утиліти прихованого адміністрування

Поширені шкідливі програми

Найнебезпечніші комп'ютерні віруси

Розділ 2. Віруси, їх цілі та методи

2.1 Класифікація вірусів

Типи віддалених атак в мережевому середовищі з набором протоколів

Розділ 3. Сучасні комп'ютерні віруси: основні наслідки

Основні шляхи зараження комп'ютера

Збиток від комп'ютерних вірусів

Зіпсовані і заражені файли

Розділ 4. Тенденції розвитку і боротьба з вірусами

Тенденції розвитку

Основні методи захисту від комп'ютерних вірусів

Програми - детектори і доктори

Профілактика проти зараження вірусом

Висновок

Список літератури

троянський вірус утиліта протокол

 

Вступ

Давно минули ті часи, коли віруси грали на заражених комп'ютерах музику, влаштовували на екрані спецефекти, форматировали жорсткий диск і робили різні інші гидоти. Сучасні віруси всім цим пустощами, як правило, не займаються, і як наслідок, ми їх практично не помічаємо. А якщо і помічаємо - то звичайно лише в тих випадках, коли вони нам прямо говорять "дай грошей!". Збій або пошкодження системи тепер не є прямим завданням вірусу, а якщо таке і трапляється - то або внаслідок збою в самому вірусі, або через те, що на комп'ютері розлучився вже цілий зоопарк різних вірусів, і вони не поділили між собою систему.

Причиною такої метаморфози став розвиток технологій, завдяки якому комп'ютери з дорогої екзотики перетворилися на побутову техніку. А де масовість - там і можливість заробітку. Тим більше, що розвиток всіляких електронних платежів додатково стимулює появу програм, призначених для прихованого управління грошовими потоками. Тому якщо ранні віруси - здебільшого породження людської злоби, марнославства та бажання напаскудити ближньому, то сучасні віруси - явище суто економічне, а тому виключно раціональне. Зрозуміло і зараз зустрічаються віруси створені "для душі" і з метою зробити якусь гидоту конкретній людині або (частіше) всьому світу в цілому - але їх зараз абсолютна меншість, та й виживають вони насилу.

За довгі роки роботи в сфері антивірусної безпеки фахівцями Українського Антивірусного центру виведена закономірність: якщо організацією використовуються комп'ютери (не обов'язково навіть об'єднані в локальну мережу), активно використовується Інтернет (або хоча б електронна пошта) і не застосовуються антивірусні засоби (або не оновлюються бази антивірусних продуктів) то з 99%-ою упевненістю можна сказати - в організації є віруси. І нехай до пори до часу вони себе ніяк не проявляють, але це бомба. І рано чи пізно ця бомба вибухне. Взагалі в останні 2 роки найбільшим джерелом комп'ютерних вірусів є саме глобальна мережа Інтернет. З неї до користувачів потрапляють мінімум 95% всіх шкідливих програм.

За визначенням вірусами є програми, які мають можливість створювати свої копії, які в свою чергу зберігають здатність до розмноження (розмноження-головна властивість вірусу). Але це визначення вірусу у вузькому сенсі цього слова. У широкому ж розумінні слова ми називаємо вірусами як власне самі віруси, так і: Internet - черв'яки, мережеві черв'яки, троянські програми, утиліти прихованого адміністрування.

У даний час відомо більше 5000 програмних вірусів, число яких безперервно росте. Відомі випадки, коли створювалися навчальні посібники, що допомагають в написанні вірусів. Основні види вірусів: завантажувальні, файлові, файлово-завантажувальні. Самий небезпечний вид вірусів - поліморфні. З історії комп'ютерної вірусології ясно, що будь-яка оригінальна комп'ютерна розробка примушує творців антивірусів пристосовуватися до нових технологій, постійно удосконалити антивірусні програми та зробити їх більш потужними. Причини появи і розповсюдження вірусів приховані з одного боку в психології людини, з другого боку - з відсутністю засобів захисту у операційної системи.

 

 

Різновид вірусів

 

Комп'ютерний вірус - це невелика програма, написана програмістом високої кваліфікації, здатна до саморозмноження й виконання різних деструктивних дій. На сьогоднішній день відомо понад 50 тис. комп'ютерних вірусів.

Існує багато різних версій щодо дати народження першого комп'ютерного вірусу. Однак більшість фахівців сходяться на думці, що комп'ютерні віруси, як такі, вперше з'явилися в 1986 році, хоча історично виникнення вірусів тісно пов'язане з ідеєю створення самовідтворюються програм. Одним із "піонерів" серед комп'ютерних вірусів вважається вірус "Brain", створений пакистанським програмістом на прізвище Алві. Тільки у США цей вірус вразив понад 18 тис. комп'ютерів. На початку епохи комп'ютерних вірусів розробка вірусоподібних програм носила чисто дослідницький характер, поступово перетворюючись на відверто вороже протистояння користувачів та безвідповідальних, і навіть кримінальних "елементів". У ряді країн карне законодавство передбачає відповідальність за комп'ютерні злочини, в тому числі за створення та розповсюдження вірусів.

Віруси діють тільки програмним шляхом. Вони як правило, приєднуються до файлу або проникають всередину файлу. У цьому випадку говорять, що файл заражений вірусом. Вірус потрапляє в комп'ютер тільки разом із зараженим файлом. Для активізації вірусу потрібно завантажити заражений файл, і тільки після цього вірус починає діяти самостійно.

Деякі віруси під час запуску зараженого файлу стають резидентними (постійно знаходяться в оперативній пам'яті комп'ютера) і можуть заражати інші файли та програми. Інший різновид вірусів відразу після активізації можуть спричиняти серйозні пошкодження, наприклад, форматувати жорсткий диск. Дія вірусів може проявлятися по різному: від різних візуальних ефектів, що заважають працювати, до повної втрати інформації. Більшість вірусів заражують виконавчі програми, тобто файли з розширенням. EXE і COM, хоча останнім часом більшу популярність здобувають віруси, що розповсюджуються через систему електронної пошти.

Самі віруси у вузькому сенсі цього слова раніше були найбільш масовим типом шкідливих програм. Найбільш поширені з них нині: Win95.CIH, Win32.Funlove, Win32.Elkern. Але зараз вони втратили колишню "популярність". Пов'язано це перш за все з тим, що переносяться такі віруси з комп'ютера на комп'ютер через виконувані файли. Нині ж користувачі все рідше і рідше переписують один у одного програми. Найчастіше змінюються компакт дисками або посиланнями все в тій же глобальній мережі. Хоча природно повністю цей клас шкідливих програм не вимер, і час від часу ми чуємо про зараження комп'ютерів все тим же "Чорнобилем" (WinCIH) або ще чимось до болю знайомим.

Крім того існує величезна спадщина: десятки тисяч вірусів, написаних для операційної системи MS DOS. Більшість цих вірусів не можуть існувати в сучасних версіях Windows, і тим не менш залишається загроза, що хтось випадково чи навмисно активізує на комп'ютері вірус, завдавши тим самим непоправної шкоди.

Internet - черв'яки

Найпоширенішим типом вірусів в останні два роки є Інтернет черв'яки. Саме вони становлять головну загрозу для всіх користувачів глобальної мережі. Майже всі Інтернет черв'яки - це поштові черв'яки, і лише мала частка - це Непоштові черв'яки, які застосовують уразливості програмного забезпечення (як правило, серверного). Приклади непоштових Internet - хробаків: IIS - Worm.CodeRed, IIS - Worm.CodeBlue, Worm.SQL.Helkern.

Поштові хробаки можна ділити на підкласи по-різному, але для кінцевого користувача вони діляться на два основні класи:

. Черви, які запускаються самі (без відома користувача);

. Черви, які активізуються, тільки якщо користувач збереже приєднаний до листа файл і запустить його.

До першого типу відносяться черв'яки, які використовують уразливості (помилки) поштових клієнтів. Найчастіше такі помилки знаходяться в поштовому клієнті Outlook, а вірніше навіть не в ньому, а в Інтернет браузері Internet Explorer. Справа в тому, що MS Outlook створює лист у вигляді HTML сторінки і при відображенні цих сторінок він використовує функції браузера Internet Explorer.

Найбільш поширена уразливість, застосовувана хробаками, помилка IFRAME. Застосовуючи відповідний код, вірус має можливість при перегляді листа автоматично зберегти приєднаний до листа файл на диск і запустити його. Найприкріше те, що дана уразливість виявлена ​​більше двох років тому. Тоді ж компанією Microsoft випущені заплатки для всіх версій браузера Internet Explorer, що виправляють цю помилку. І тим не менш черв'яки які застосовують дану уразливість, як і раніше є найбільш поширеними (I - Worm.Klez, I- Worm.Avron, I- Worm.Frethem, I- Worm.Aliz).

Поштові хробаки другого типу розраховані на те, що користувач, за якими то міркувань сам запустить програму, приєднану до листа. Для того щоб підштовхнути користувача до запуску інфікованого файлу авторами черв'яків застосовуються різні психологічні ходи. Найпоширеніший прийом - видати заражений файл, за якийсь важливий документ, картинку або корисну програмку (I - Worm.LovGate створює відповіді на листи, що містяться в поштовій базі; I- Worm.Ganda маскується під інформацію про бойові дії в Іраку). Практично завжди хробаками застосовуються "подвійні розширення". У цьому випадку приєднаний файл має ім'я на приклад: "Doc1.doc.pif", "pict.jpg.com". Даний принцип розрахований на те, що поштові клієнти не відображають повне ім'я файлу (якщо воно занадто довге), і користувач не побачить другого розширення, яке і є "реальним". Тобто користувач думає, що файл є документом або картинкою, а той насправді є виконуваним файлом з розширенням: EXE, COM, PIF, SCR, BAT, CMD і т.п. Якщо такий файл "відкрити", то тіло хробака активізується.

Крім основної функції розмноження черв'яки майже завжди несуть в собі і бойове навантаження. Дійсно, навіщо писати черв'яка і випускати його "у світ", заздалегідь не заклавши бомбу. Вкладені функції надзвичайно різноманітні. Так наприклад дуже часто поштові черв'яки покликані для того, щоб встановити на заражений комп'ютер троянську програму або утиліту прихованого адміністрування та повідомити адресу комп'ютера творцеві хробака. Не рідко просто знищують інформацію або просто роблять неможливою подальшу роботу на комп'ютері. Так черв'як I-Worm.Magistr виконував ті ж дії, що й сумно - відомий WinCIH - стирав вміст FLASH BIOS і затирав сміттєвими даними інформацію на жорсткому диску.

У будь-якому випадку, незалежно від наявності або відсутності шкідливих функцій і їх "небезпеки" поштові черв'яки шкідливі вже тільки тому, що вони існують. Це пов'язано з тим, що при розмноженні вони завантажують канали зв'язку і нерідко настільки, що повністю паралізують роботу людини або цілої організації.

Макро- віруси

Другими за поширеністю в дикому вигляді є макро - віруси. Дані віруси є макросами, що зберігаються в зовнішніх файлах програмного забезпечення (документах Microsoft Office, Autocad, CorelDRAW та ін) і при відкритті документа виконуються внутрішніми інтерпретаторами даних програм. Широке поширення вони одержали завдяки величезним можливостям інтерпретатора мови Visual Basic, інтегрованого в Microsoft Office.

Улюбленим місцем проживання цих вірусів є офіси з великим документообігом. У таких організаціях людям, що працюють за комп'ютерами (секретарі, бухгалтери, оператори ЕОМ) ніколи займатися такими дрібницями як комп'ютерні віруси. Документи хвацько переносяться з комп'ютера на комп'ютер, без якого або контролю (особливо за наявності локальної мережі).

На жаль, людям властиво не сприймати всерйоз макровіруси, а дарма. Насправді макрос, написаний на мові VBA і інтегрований в документ того ж Word або Excel, володіє всіма тими ж можливостями, що і звичайна програма. Він може відформатувати Ваш вінчестер або просто видалити інформацію, вкрасти якісь файли або паролі і відправити їх по електронній пошті. Фактично віруси цього класу здатні паралізувати роботу цілого офісу, а то навіть і не одного.

Небезпека макровірусів полягає ще і в тому, що поширюється вірус цілком в початковому тексті. Якщо людина, до якого потрапив вірус, більш - менш вміє писати на Visual Basic, то він без зусиль зможе модифікувати вірус, вкласти в нього свої функції і зробити його невидимим для антивірусів. Не забувайте, що автори вірусів користуються тими ж антивірусними програмами і модифікують свої віруси до тих пір, поки ті не перестають детектуватиметься антивірусами. Фактично, таким чином, народжуються нові модифікації вже відомих вірусів, але для того, щоб даний вірус виявлявся антивірусом, він спочатку повинен потрапити в антивірусну лабораторію і тільки після цього будуть додані функції детектування і знешкодження нової модифікації. Так фахівцям Українського Антивірусного Центру відомо більше 100 модифікацій вірусу Macro.Word97.Thus, більше 200 модифікацій Macro.Word97.Marker і більше 50 модифікацій Macro.Word97.Ethan (тут мова йде про модифікації, що значно відрізняються один від одного, що вимагає додавання додаткових модулів детектування і лікування даних модифікацій вірусів).

 

Поширені шкідливі програми

1. I-Worm.Klez	37,60%
2. I-Worm.Sobig	10,75%
3. I-Worm.Lentin	9,03%
4. I-Worm.Avron	3,30%
5. Macro.Word97.Thus	2,62%
6. I-Worm.Tanatos	1,38%
7. Macro. Word97.Marker	1,21%
8. Worm.Win32.Opasoft	1,13%
9. I-Worm.Hybris	1,04%
10. Win95.CIH	0,69%
11. Worm.Win32.Randon	0,58%
12. VBS.Redlof	0,57%
13. Backdoor.Death	0,51%
14. Win95.Spaces	0,51%
15. I-Worm.Roron	0,49%
16.Trojan.PSW.Gip	0,49%
17. Backdoor.NetDevil	0,48%
18. Win32.HLLP.Hantaner	0,45%
19. TrojanDropper.Win32.Delf	0,42%
20. TrojanDropper.Win32.Yabinder	0,41%
Інші шкідливі програми *	26,33%

Win32 PE EXE черв'як, що поширюється в e - mail повідомленнях і через ресурси локальних мереж.

Після запуску черв'як створює тимчасовий файл з вірусом (Win32.Klez) і запускає його, що призводить до зараження більшості Win32 PE EXE файлів на дисках комп'ютера.

Для відсилання повідомлень черв'як використовує протокол SMTP. Він шукає поштові адреси в базі даних WAB і відсилає заражені повідомлення за цими адресами.

Для запуску з заражених повідомлень черв'як використовує пролом у захисті Internet Explorer, що може призвести до активізації хробака при перегляді повідомлення.

По 13 -му числах парних місяців черв'як шукає на дисках зараженого комп'ютера всі файли і заповнює їх випадковим вмістом.

I-Worm.Sobig - Хробак є додатком Windows (PE EXE -файл), написаний на Microsoft Visual C, упакований утилітою TeLock. Розмір вірусу може змінюватись в залежності від різних умов близько 80К (TeLock) і більше, розмір розпакованого файлу - близько 130К.

Нова версія черв'яка відрізняється від попередніх, зрозуміло, датою завершення функціонування механізмів самораспространения через електронну пошту (Sobig.e буде розсилати свої копії до 14 липня 2003 р.), але не тільки цим: Sobig.e вміє поширюватися в заархівованому ZIP вигляді. Тобто, щоб запустити вірус, користувачеві доведеться спочатку витягти його з архіву.

Згідно компанії MessageLabs, У США і Великобританії відзначається відносно широке поширення нового різновиду Sobig, особливо серед домашніх користувачів інтернету. Пояснюється це оновленим, невідомим більшості користувачів механізмом активізації вірусу (не всі знають, що всередині звичайного архіву може перебувати небезпечний вірус) і новим, багатопоточним "движком" розсилки листів, здатним відправляти відразу кілька заражених повідомлень в один момент часу.

Macro.Word97.Thus - Ця модифікація вірусу поширюється таким же чином що і початковий варіант вірусу. Після зараження документа вірус випадковим чином вибирає на диску комп'ютера файл і зберігає заражений документ з тим же ім'ям але розширенням ". DOC". На диску виходять два файли з однаковим ім'ям, але різними розширеннями. Якщо розширення знайденого вірусом файлу було теж ". DOC", цей файл буде переписаний вірусом а всі дані з файлу втрачені.

Щоразу, активізувавшись при відкритті, закритті або створенні документа, вірус випадковим чином вибирає один файл на локальному диску комп'ютера і шифрує перші 32 кілобайти даних у ньому. Таким чином вірус псує дані користувача та програмні файли і з часом система може просто перестати працювати.

Щоб приховати свою присутність вірус використовує спеціальні прийоми. При виборі пункту меню" Tools / Macro" а також при спробі викликати редактор Visual Basic вірус виводить на екран повідомлення:VBADLG.DLL not found

При виборі пункту меню " Tools / Templates and Add - ins..." вірус виводить на екран комп’ютера таке повідомлення: Global template not loaded. Що перекладаеться з англійської як: "Глобальний шаблон не завантажується".

VBS.Redlof - Вірус написаний на мові Visual Basic Script (VBS) і зашифрований (VBE - Visual Basic encoded script). При першому запуску створює файл зі своїм виконуваним кодом в системному каталозі Windows з ім'ям Kernel.dll.

Крім цього вірус створює файли kjwall.gif в каталогах System32 і Web. Також вірус копіює себе в усі каталоги на інших дисках зараженого комп'ютера у вигляді файлу налаштування відображення файлів і папок MS Explorer - folder.htt. розмноження вірусу.

Заражений файл folder.htt отримує управління і копіюється вірусом у всі каталоги при їх перегляді / відкритті за допомогою MS Explorer. Якщо в якомусь каталозі вже є файл folder.htt - зараження не відбувається.

Вірус дописує себе в усі HTM файли, що знаходяться в каталозі windows\web і таким чином він також отримує управління при відкритті даних файлів (iejit.htm, offline.htm, related.htm, tip.htm, folder.htm, wum.htm).

Віруси, їх цілі та методи

 

Комп'ютерний вірус - вид шкідливого програмного забезпечення, здатний створювати копії самого себе і впроваджувати в код інших програм, системні області пам'яті, завантажувальні сектори, а так само поширювати свої копії по різноманітним каналам зв'язку, з метою порушення роботи програмно-апаратних комплексів, видалення файлів, приведення в непридатність структур розміщення даних, блокування роботи користувачів або ж приведення в непридатність апаратних комплексів комп'ютера.

Комп'ютерні віруси можуть існувати в системі в різних стадіях функціонування:

1. Латентна стадія. На цій стадії код вірусу знаходиться в системі, але ніяких дій не робить. Для користувача не помітний. Може бути обчислений скануванням файлової системи і самих файлів.

. Інкубаційна стадія. На цій стадії код вірусу активується і починає створювати свої копії, поширюючи їх по пристроях зберігання даних комп'ютера, локальних і глобальних комп'ютерних мережах, розсилаючи у вигляді поштових повідомлень і так далі. Для користувача може бути помітний, так як починає споживати системні ресурси і канали передачі даних, в результаті чого комп'ютер може працювати повільніше, завантаження інформації з Інтернет, пошти та інших даних може сповільняться.

. Активна стадія. На цій стадії вірус, продовжуючи розмножувати свій код доступними йому способами, починає деструктивні дії на які орієнтований. Помітний користувачеві, так як починає проявлятися основна функція вірусу - пропадають файли, відключаються служби, порушується функціонування мережі, відбувається псування обладнання.

На сьогоднішній день існує багато комп'ютерних вірусів. Щодня з'являється тисячі нових. Однак все це піддається класифікації

По середовищі перебування віруси можна розділити на такі види:

1. Завантажувальні віруси.

. Файлові віруси.

. файлово-завантажувальні віруси.

. Мережеві віруси.

. Документні віруси.

Завантажувальні віруси проникають в завантажувальні сектора пристроїв зберігання даних (жорсткі диски, дискети, переносні пристрої, що запам'ятовують). При завантаженні операційної системи з зараженого диска відбувається активація вірусу. Його дії можуть полягати в порушенні роботи завантажувача операційної системи, що призводить до неможливості її роботи, або зміні файлової таблиці, що робить недоступним певні файли.

Файлові віруси найчастіше впроваджуються у виконавчі модулі програм (файли за допомогою яких здійснюється запуск тієї чи іншої програми), що дозволяє їм активуватися в момент запуску програми, впливаючи на її функціональність. Рідше файлові віруси можуть впроваджуватися в бібліотеки операційної системи або прикладного ПО, виконавчі пакетні файли, файли реєстру Windows, файли сценаріїв, файли драйверів. Впровадження може проводитися або зміною коду атакується файли, або створенням його модифікованої копії. Таким чином, вірус перебуваючи у файлі активується при доступі до цього файлу, ініційованого користувачем або самої ОС. Файлові віруси - найбільш поширений вид комп'ютерних вірусів.

Файлово-завантажувальні віруси збіднюють в собі можливості двох попередніх груп, що дозволяє їм представляти серйозну загрозу роботі комп'ютера.

Мережеві віруси розповсюджуються за допомогою мережевих служб і протоколів. Таких як розсилка пошти, доступ до файлів по FTP, доступ файлів через служби локальних мереж. Що робить їх дуже небезпечними, оскільки зараження не залишається в межах одного комп'ютера або навіть однієї локальної мережі, а починає розповсюджуватися по різноманітним каналам зв'язку.

Документні віруси (їх часто називають макровірусами) заражають файли сучасних офісних систем (Microsoft Office, Open Office...) через можливість використання в цих системах макросів. Макрос - це певний, заздалегідь визначений набір дій, мікропрограма, вбудована в документ і викликається безпосередньо з нього для модифікації цього документа або інших функцій. Саме макрос і є метою макровірусів.

За методом існування в комп'ютерному середовищі віруси діляться на такі види:

1. резидентні

. нерезидентні

Резидентний вірус, будучи викликаний запуском зараженої програми, залишається в пам'яті навіть після її завершення. Він може створювати додаткові процеси в пам'яті комп'ютера, витрачаючи ресурси. Може заражати інші запущені програми, спотворюючи їх функціональність. Може "спостерігати" за діями користувача, зберігаючи інформацію про його дії, введених паролів, відвідані користувачем сайти і т.д.

Нерезидентний вірус є невід'ємною частиною зараженої програми і може функціонувати тільки під час її роботи.

Однак не всі комп'ютерні віруси являють серйозну загрозу. Деякі віруси важких наслідків після завершення своєї роботи не викликають; вони можуть завершити роботу деяких програм, відображати певні візуальні ефекти, програвати звуки, відкривати сайти, або просто знижувати продуктивність комп'ютера, резервуючи під себе системні ресурси. Таких вірусів переважна більшість. Однак є й справді небезпечні віруси, які можуть знищувати дані користувача, документи, системні області, приводити в непридатність операційну систему або навіть апаратні компоненти комп'ютера.

За принципом свого функціонування віруси можна розділити на кілька типів:

1. Віруси-паразити (Parasitic) - віруси, що працюють з файлами програм, частково виводять їх з ладу. Можуть бути легко виявлені і знищені. Однак, найчастіше, файл-носій залишається непридатним.

. Віруси-станції (Worm) - віруси, основне завдання яких якнайшвидше розмножиться в усі можливі місця зберігання даних і комунікацій. Найчастіше самі не вживають ніяких деструктивних дій, а є транспортом для інших видів шкідливого коду.

. Трояни (Trojan) - отримали свою назву в честь "Троянського коня", так як мають схожий принцип дії. Цей вид вірусів масажує свої модулі під модулі використовуваних програм, створюючи файли з схожими іменами і параметрами, а так само підміняють записи в системному реєстрі, змінюючи посилання робочих модулів програм на свої, що викликають модулі вірусу. Деструктивні дії зводяться до знищення даних користувача, розсилці спаму і стеження за діями користувача. Самі розмножуватися часто не можуть. Виявляються досить складно, так як простого сканування файлової системи не достатньо.

. Віруси-невидимки (Stealth) - названі по імені літака-невидимки "stealth", найбільш складні для виявлення, оскільки мають свої алгоритми маскування від сканування. Маскуються шляхом підміни шкідливого коду корисним під час сканування, тимчасовим виведенням функціональних модулів з роботи в разі виявлення процесу сканування, приховуванням своїх процесів в пам'яті і т.д.

. Самошифрувальні віруси - віруси шкідливий код яких зберігається і поширюється в зашифрованому вигляді, що дозволяє їм бути недоступними для більшості сканерів.

. Матуючі віруси - віруси не мають постійних сигнатур. Такий вірус постійно змінює ланцюжок свого коду в процесі функціонування та розмноження. Таким чином, стаючи невразливим для простого антивірусного сканування. Для їх виявлення необхідно застосовувати евристичний аналіз.

. "Відпочиваючі" віруси - є дуже небезпечними, оскільки можуть дуже тривалий час знаходиться в стані спокою, поширюючись по комп'ютерних мережах. Активація вірусу відбувається при певних умовах, найчастіше за певною датою, що може викликати величезні масштаби одночасного зараження. Прикладом такого вірусу є вірус CHIH чи Чорнобиль, який активувався в день річниці аварії на ЧАЕС, викликавши вихід з ладу тисяч комп'ютерів.

Таким чином, комп'ютерний вірус може представляти досить серйозну загрозу, як домашньому користувачеві, так і комп'ютерної мережі великого підприємства. Для запобігання таких загроз інженерами компаній здійснюється багато операцій, які зводять ймовірність зараження комп'ютера або мережі до мінімуму.

Зіпсовані і заражені файли

 

Комп'ютерний вірус може зіпсувати, тобто змінити неналежним чином, будь-який файл на наявних у комп'ютері дисках. Але деякі види файлів вірус може "заразити". Це означає, що вірус може "потрапити" в ці файли, тобто змінити їх так, що вони будуть містити вірус, який при деяких обставинах може почати свою роботу.

Слід зауважити, що тексти програм і документів, інформаційні файли баз даних, таблиці табличних процесорів і інші аналогічні файли не можуть бути заражені звичайним вірусом, він може їх тільки зіпсувати. Зараження подібних файлів робиться тільки Макро- вірусами. Ці віруси можуть заразити навіть ваші документи.

 

Звичайним вірусом можуть бути заражені:

Види	Характеристика
Виконувані файли	Файли з розширеннями імен. Com і. Exe, а також оверлейні файли, що завантажуються при виконанні інших програм. Віруси, що заражають файли, називаються файловими. Вірус в заражених виконуваних файлах починає свою роботу при запуску тієї програми, в якій він знаходиться. Найбільш небезпечні ті віруси, які після свого запуску залишаються в пам'яті резидентної - вони можуть заражати файли і шкодити до наступного перезавантаження комп'ютера. А якщо вони заразять будь-яку програму, що запускається з AUTOEXEC.BAT або CONFIG.SYS, то і при перезавантаженні з жорсткого диска вірус знову почне свою роботу.
Завантажувач операційної системи і головна запис жорсткого диска.	Віруси, що вражають ці області, називаються завантажувальними або BOOT-вірусами. Такий вірус починає свою роботу при початковому завантаженні комп'ютера і стає резидентними, тобто постійно знаходиться в пам'яті комп'ютера. Механізм розповсюдження - зараження завантажувальних записів вставляються в комп'ютер дискет. Часто такі віруси складаються з двох частин, оскільки завантажувальний запис має невеликі розміри і в них важко розмістити цілком програму вірусу. Частина вірусу розташовується в іншій ділянці диска, наприклад наприкінці кореневого каталогу диска або в кластері в області даних диску (зазвичай такий кластер оголошується дефектним, щоб виключити затирання вірусу при запису даних).
драйвери пристроїв	Файли, які вказуються в пропозиції DEVICE файлу CONFIG.SYS. Вірус, що знаходиться в них починає свою роботу при кожному зверненні до відповідного пристрою. Віруси, що заражають драйвери пристроїв, дуже мало поширені, оскільки драйвери рідко переписують з одного комп'ютера на інший. Те ж відноситься і до системних файлів DOS (MSDOS.SYS і IO.SYS) - їх зараження також теоретично можливо, але для розповсюдження вірусу малоефективно.

Як правило, кожна конкретна різновид вірусу може заражати тільки один або два типи файлів. Найчастіше зустрічаються віруси, що заражають виконувані файли. На другому місці за поширеністю завантажувальні віруси. Деякі віруси заражають і файли, і завантажувальні області дисків. Віруси, що заражають драйвери пристроїв, зустрічаються вкрай рідко, зазвичай такі віруси вміють заражати і виконувані файли.

 

Тенденції розвитку

 

Останнім часом особливо гостро постала проблема антивірусного захисту конфіденційної інформації. Віруси розмножуються з неймовірною швидкістю. За словами менеджера з компанії "Лабораторія Касперського", в 2008 році нові віруси з'являлися кожні 2 секунди. Звичайно ж, це не означає, що ми в кінцевому рахунку маємо 15768000 повноцінних вірусів, вироблених за 2008 рік, так як на один вірус може бути сотня-друга модифікацій. Але, так чи інакше, ця цифра вражає. Свою лепту, у настільки швидкий розвиток і поширення вірусів, внесли швидко розвиваються соціальні мережі, які буквально за пару років втягнули в себе переважна більшість користувачів мережі Інтернет. Численні ботнет мережі, що ростуть на очах, які "будь-який" бажаючий може взяти в "оренду", для розсилки СПАМу, або впровадження своїх творінь, або для атаки на те, що спаде на "геніальну" голову.

Ще якихось пару років тому, віруси використовували тільки частково ті чи інші способи розмноження, і завдавали частковий шкоду якійсь частині інфраструктури. Що ж ми бачимо останнім часом? Віруси стали більш глобальними, їх практично неможливо виявити в системі, не кажучи вже про те, щоб вилікувати. Крім того вони почали використовувати всі методи проникнення в систему (згадати той же Downdup, більш відомий, як Kido).

Найкоротший час реакції на появу нових зловредів, показала на даний момент Лабораторія Касперського, в якій цей час становить 20 хвилин. За цей час ви можете встигнути кавоварка купити і попити доброї кави. Але навіть такої швидкості вже недостатньо, щоб впоратися з таким шаленим потоком вірусів. Порівняння звичайно не є адекватним: 2 секунди і 20 хвилин! Звичайно, більшість антивірусів мають окрім сигнатурних баз ще і всякого роду евристики, та інші додаткові модулі захисту від невідомих загроз, але стовідсоткової гарантії при сформованій ситуації не може дати жоден з них. Якщо ж врахувати, що віруси розвиваються зараз в геометричній прогресії, причому не тільки в кількісному, але і в якісному відношенні, то стає зрозуміло, що антивирусам в тому вигляді, в якому вони знаходяться зараз, існувати залишилося не довго. Припустимо, що до середини / кінця 2009 року, дана цифра (15768000) зросте в два-п'ять разів? У такому випадку жодна з антивірусних лабораторій вже не зможе утримати настільки сильний напір. Необхідно в терміновому порядку розробити нову концепцію, яка дозволила б дати своєчасний відсіч насувається. При цьому стає зрозуміло, що не всі лабораторії переживуть цей період.

 

Висновок

 

На закінчення хотілося б застерегти від надто завзятою боротьби з комп'ютерними вірусами. Щоденний запуск повного сканування жорсткого диска на наявність вірусів так само не блискучий крок в профілактиці заражень. Єдиний цивілізований спосіб захисту від вірусів я бачу в дотриманні профілактичних заходів обережності при роботі на комп'ютері. А так само потрібно вдаватися до допомоги фахівців для боротьби з комп'ютерним вірусом. Крім того, навіть якщо вірус все-таки проник на комп'ютер, це не привід для паніки.

Нерідко головною бідою Інтернету не є віруси і хакери, а таке поширене явище, як комп'ютерна безграмотність. Користуючись аналогією Касперського, незнання правил дорожнього руху. Люди, нещодавно навчилися приймати і відправляти пошту, демонізують комп'ютерні віруси, мало не представляючи їх собі у вигляді невидимих ​​чорних черв'ячків, що повзають по дротах. Ось кілька простих правил, дотримуючись яких можна постаратися уникнути зараження вірусами. Перше: не бояться комп'ютерних вірусів, всі вони лікуються. Друге: перевести Microsoft Outlook в режим функціонування в зоні обмежених вузлів, що заборонить їй автоматичне виконання деяких програм - основний принцип розмноження комп'ютерних вірусів. Третє: не відкривайте листи від підозрілих адресатів. Четверте: використовувати свіжий антивірус.

 

 

План

Вступ

Розділ 1. Різновид вірусів

Троянські програми і утиліти прихованого адміністрування

Поширені шкідливі програми

Найнебезпечніші комп'ютерні віруси

Розділ 2. Віруси, їх цілі та методи

2.1 Класифікація вірусів

Типи віддалених атак в мережевому середовищі з набором протоколів

Розділ 3. Сучасні комп'ютерні віруси: основні наслідки

Основні шляхи зараження комп'ютера

Збиток від комп'ютерних вірусів

Зіпсовані і заражені файли

Розділ 4. Тенденції розвитку і боротьба з вірусами

Тенденції розвитку

Основні методи захисту від комп'ютерних вірусів

Програми - детектори і доктори

Профілактика проти зараження вірусом

Висновок

Список літератури

троянський вірус утиліта протокол

 

Вступ

Давно минули ті часи, коли віруси грали на заражених комп'ютерах музику, влаштовували на екрані спецефекти, форматировали жорсткий диск і робили різні інші гидоти. Сучасні віруси всім цим пустощами, як правило, не займаються, і як наслідок, ми їх практично не помічаємо. А якщо і помічаємо - то звичайно лише в тих випадках, коли вони нам прямо говорять "дай грошей!". Збій або пошкодження системи тепер не є прямим завданням вірусу, а якщо таке і трапляється - то або внаслідок збою в самому вірусі, або через те, що на комп'ютері розлучився вже цілий зоопарк різних вірусів, і вони не поділили між собою систему.

Причиною такої метаморфози став розвиток технологій, завдяки якому комп'ютери з дорогої екзотики перетворилися на побутову техніку. А де масовість - там і можливість заробітку. Тим більше, що розвиток всіляких електронних платежів додатково стимулює появу програм, призначених для прихованого управління грошовими потоками. Тому якщо ранні віруси - здебільшого породження людської злоби, марнославства та бажання напаскудити ближньому, то сучасні віруси - явище суто економічне, а тому виключно раціональне. Зрозуміло і зараз зустрічаються віруси створені "для душі" і з метою зробити якусь гидоту конкретній людині або (частіше) всьому світу в цілому - але їх зараз абсолютна меншість, та й виживають вони насилу.

За довгі роки роботи в сфері антивірусної безпеки фахівцями Українського Антивірусного центру виведена закономірність: якщо організацією використовуються комп'ютери (не обов'язково навіть об'єднані в локальну мережу), активно використовується Інтернет (або хоча б електронна пошта) і не застосовуються антивірусні засоби (або не оновлюються бази антивірусних продуктів) то з 99%-ою упевненістю можна сказати - в організації є віруси. І нехай до пори до часу вони себе ніяк не проявляють, але це бомба. І рано чи пізно ця бомба вибухне. Взагалі в останні 2 роки найбільшим джерелом комп'ютерних вірусів є саме глобальна мережа Інтернет. З неї до користувачів потрапляють мінімум 95% всіх шкідливих програм.

За визначенням вірусами є програми, які мають можливість створювати свої копії, які в свою чергу зберігають здатність до розмноження (розмноження-головна властивість вірусу). Але це визначення вірусу у вузькому сенсі цього слова. У широкому ж розумінні слова ми називаємо вірусами як власне самі віруси, так і: Internet - черв'яки, мережеві черв'яки, троянські програми, утиліти прихованого адміністрування.

У даний час відомо більше 5000 програмних