Если по icq пришло сообщение содержащие url на файл с телом червя то это

Обновлено: 18.05.2024

В наше время даже человек, не связанный с компьютерами, приблизительно знает, что такое компьютерный вирус. Однако не каждый знает, что компьютерные вирусы — только часть вредоносного программного обеспечения. На самом деле не каждая программа, которая может негативно повлиять на работу компьютера, является вирусом. Именно на этом я и хотел бы остановиться в данной статье. Мы займемся тем, что разделим вредоносное ПО как таковое на классы и виды.

Как правило у каждой антивирусной корпорации есть своя классификация согласно, которой эксперты ее лаборатории определяют принадлежность нового вредоносного кода. Я думаю, многие замечали, что у разнах корпораций один и тот же код будет иметь разные названия. Именно разность классификаций тому виной. Но не будем ходить вокруг да около, а приступим сразу к делу. Сегодня мы воспользуемся классификацией лаборатории Евгения Касперского (думаю, объяснять, кто это такой, не надо;)). Вредоносное программное обеспечение делится на четыре большие группы, которые, в свою очередь, разделяются на классы. Итак, начнем по порядку.

Сетевые черви

В последнее время сетевые черви, пожалуй, потеряли свою популярность среди вирусописателей. Да и можно ли вообще активистов данного "движения" назвать настоящими создателями вирусов? Я думаю, что нет. Большинство этих людей — школьники или студенты, к которым в руки тем или иным путем попадают конструкторы троянских программ. А случаи появления по-настоящему достойных экземпляров червей, которые действительно исправно выполняли бы свои вредоносные функции, сведены к минимуму. Взять хотя бы бюллетень безопасности Лаборатории Касперского за первое полугодие 2006 г. (см. рис. 1). Из диаграммы хорошо видно, какая из групп вредоносного ПО преобладает. Ну да ладно, речь идет о сетевых червях. Сетевой червь — это вредоносный программный код, распространяющий свои копии по локальным или/и глобальным сетям с целью проникновения на компьютер-жертву, запуска своей копии на этом компьютере и дальнейшего распространения. Для распространения черви используют электронную почту, ISQ, P2P- и IRC-сети, LAN, сети обмена данными между мобильными устройствами. Большинство червей распространяются в файлах (вложение в письмо, ссылка на файл и т.д.). Но существуют и черви, которые распространяются в виде сетевых пакетов. Такие разновидности проникают непосредственно в память компьютера и сразу начинают действовать резидентно. Для проникновения на компьютер-жертву используются несколько путей: самостоятельный (пакетные черви), пользовательский (социальный инжиниринг), а также различные бреши в системах безопасности операционной системы и приложений. Некоторые черви обладают свойствами других типов вредоносного программного обеспечения (чаще всего это троянские программы). Теперь, пожалуй, поподробней на классах сетевых червей:

Для поиска адресов жертв чаще всего используется адресная книга MS Outlook, но может использоваться также адресная база WAB. Червь может просканировать файлы, хранящиеся на дисках, и выделить из них строки, относящиеся к адресам электронной почты. Черви могут отсылать свои копии по всем адресам, обнаруженным в почтовом ящике (некоторые обладают способностью отвечать на письма в ящике). Встречаются экземпляры, которые могут комбинировать способы.

. Черви в IRC-каналах (IRC-Worm). Черви этого класса используют два вида распространения: посылание пользователю URL-ссылки на файл-тело; отсылку пользователю файла (при этом пользователь должен подтвердить прием).

. Черви для файлообменных сетей (P2P-Worm). Механизм работы большинства подобных червей достаточно прост: для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по его распространению P2P-сеть берет на себя — при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для его скачивания с зараженного компьютера.

Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и положительно отвечают на поисковые запросы (при этом червь предлагает для скачивания свою копию).

. Прочие сетевые черви (NET-Worm). Существуют прочие способы заражения удаленных компьютеров — например:
копирование червя на сетевые ресурсы;
проникновение червя на компьютер через уязвимости в операционных системах и приложениях;
проникновение в сетевые ресурсы публичного использования;
паразитирование на других вредоносных программах.

Используя первый способ, червь ищет в сети машины с ресурсами, открытыми на запись, и копирует. При этом он может случайным образом находить компьютеры и пытаться открыть доступ к ресурсам. Для проникновения вторым способом червь ищет компьютеры с установленным программным обеспечением, в котором имеются критические уязвимости. Таким образом, червь отсылает специально сформированный пакет (запрос), и часть червя проникает на компьютер, после чего загружает полный файл-тело и запускает на исполнение.

Классические вирусы

Когда профессионал говорит "вирус", он имеет в виду именно этот тип вредоносных программ. Вирусы, в отличие от червей, не пользуются сетевыми сервисами для распространения своих копий. Компьютерный вирус, как правило, попадает на компьютер-жертву по причинам, не зависящим от функционала кода. Обычно виноват пользователь, который не проверяет антивирусной программой информацию, попадающую на компьютер, в результате чего, собственно, и происходит заражение. Способов "подцепить" классический вирус довольно много:

внешние носители информации;
интернет ресурсы;
файлы, распространяющиеся по сети (LAN, Internet).

Классический компьютерный вирус может иметь свойства других типов вредоносного ПО (например, троянскую процедуру удаления информации на диске). Вирусы делятся на классы по среде обитания, а эти классы, в свою очередь, делятся на подклассы по способу заражения. Итак, по среде обитания вирусы делятся на файловые, загрузочные, макро- и скриптовые. Файловые вирусы для заражения пользуются файловой системой ОС. Они различными способами внедряются в исполняемые файлы, создают файлы-двойники и т.д.

. Перезаписывающие вирусы (Overwriting). Самый распространенный способ заражения. Вирус переписывает код программы (заменяет его своим), после чего, естественно, файл перестает работать. Файл, зараженный данным способом, восстановлению не подлежит. Перезаписывающий вирус быстро обнаруживает себя, так как зараженная система (или программа) перестает функционировать.

. Паразитические вирусы (Parasitic). К таковым относятся все вирусы, которые изменяют содержимое файла, но при этом оставляют его работоспособным. Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов (prepending), в конец файлов (appending) и в середину файлов (inserting). В свою очередь, внедрение вирусов в середину файлов происходит различными методами — путем переноса части файла в его конец или копирования своего кода в заведомо неиспользуемые данные файла (cavity-вирусы). При записывании кода в начало файла вирус может воспользоваться двумя способами. Первый — это перенос начала файла в конец и дописывание собственного кода в освободившееся место. Второй — дописывание кода файла к своему коду. В обоих случаях при запуске файла управление получает вирус, а потом во избежание подозрений управление передается обратно файлу-жертве. При внедрении кода вируса в конец файла используется способ дописывания. Код вируса дописывается в конец файла- жертвы, при этом головная часть файла изменяется таким образом, что управление, опять же, первым получает вирус, ну, а потом файл. При внедрении в середину файла вирус может воспользоваться несколькими вариантами. Первый — перенос части файла, вместо которой предполагается расположить код вируса, в конец. Второй — так называемое "раздвижение" кода файла. Третий — замещение неисполняемых областей файла кодом вируса. Но каким бы из способов вирус ни воспользовался, ему опять придется изменять головную часть файла-жертвы. Изменение головной части кода файла происходит двумя способами. Наиболее распространен способ, при котором вирус точку входа, "перенося" ее на принадлежащий ему участок. Но некоторые могут просто добавить команду передачи управления — таким образом, файл стартует с оригинальной точки входа, а потом (по дописанной команде) передает управление коду вируса.

Существуют и еще способы заражения, но они настолько редко встречаются, что мы остановимся только на их перечислении: вирусы, заражающие объектные модули (OBJ); вирусы, заражающие библиотеки компиляторов (LIB); вирусы, заражающие исходные тексты программ. Известные на текущий момент загрузочные вирусы заражают загрузочный сектор гибкого диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера — после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает на него управление. При заражении дисков загрузочные вирусы "подставляют" свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех вышеописанных способах: вирус "заставляет" систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, а коду вируса. Заражение дискет производится единственным известным способом — вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами: вирус записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска C:), либо модифицирует адрес активного boot-сектора в таблице разделов диска (Disk Partition Table), расположенной в MBR винчестера. При инфицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска (например, в первый свободный). Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных). Макровирусы в основном заражают документы MS Office. При этом вирус добавляет свой код в область макросов документа. Расположение кода вируса в документах разных приложений вышеописанного пакета разное, поэтому представить его можно только лишь схематично (см. рис. 2). Скрипт-вирусы — это вирусы, написанные на скрипт-языках (VBS, JS, BAT, PHP и т.д.). Заражают они файлы довольно большого диапазона расширений: от .exe до .html.

Троянские программы

Троянская программа — это вредоносный код, совершающий не санкционированные пользователем действия (например, кража информации, уничтожение или модификация информации, использование ресурсов машины в злонамеренных целях и т.д.). Троянские программы являются наиболее распространенными в киберсреде, так как существует множество конструкторов, позволяющих даже неопытному пользователю создавать собственные программы данного типа.

. Троянские утилиты удаленного администрирования (Backdoor). Троянские программы этого класса являются утилитами удаленного администрирования (управления) компьютеров. В общем, они очень похожи на "легальные" утилиты того же направления. Единственное, что определяет их как вредоносные программы, — это их действия без ведома пользователя. Данная программа при установке и\или загрузке не выдает никаких уведомлений. Таким образом, обладатель конкретной копии данного ПО может без ведома пользователя осуществлять операции разного рода (от выключения компьютера до манипуляций с файлами). Таким образом, троянские программы данного класса являются одними из наиболее опасных. Некоторые backdoor'ы, также могут распространяться по сети, как сетевые черви, но не самостоятельно, а после соответствующей команды владельца копии.

. Похитители паролей (Trojan-PSW). Эти занимаются тем, что воруют пароли. Проникнув на компьютер и инсталлировавшись, троянец сразу приступает к поиску файлов, содержащих соответствующую информацию. Кража паролей — не основная спецификация программ этого класса — они также могут красть информацию о системе, файлы, номера счетов, коды активации другого ПО и т.д.

. Интернет-кликеры (Trojan-clicker). Данное семейство троянских программ занимается организацией несанкционированных обращений к интернет- ресурсам путем отправления команд интернет-браузерам или подмены системных адресов ресурсов. Злоумышленники используют данные программы для следующих целей: увеличение посещаемости каких-либо сайтов (с целью увеличения количества показов рекламы); организация атаки на сервис; привлечение потенциальных жертв для заражения вредоносным программным обеспечением.

. Загрузчики (Trojan-Downloader). Эти трояны занимаются несанкционированной загрузкой программного обеспечения (вредоносного) на компьютер ничего не подозревающего пользователя. После загрузки программа либо инсталлируется, либо записывается трояном в автозагрузку (это в зависимости от возможностей операционной системы).

. Троянские прокси-серверы (Trojan-Proxy). Семейство троянских программ, скрытно осуществляющих доступ к различным интернет-ресурсам — обычно с целью рассылки спама.

. Шпионские программы (Trojan-Spy). Данные трояны осуществляют шпионаж за пользователем: записывание информации, набранной с клавиатуры, снимки экрана и т.д. В данной категории также присутствуют "многоцелевые" троянские программы — например, те из них, которые одновременно шпионят за пользователем и предоставляют proxy-сервис удаленному злоумышленнику.

. Сокрытие присутствия в операционной системе (Rootkit). Понятие rootkit пришло к нам из UNIX. Первоначально это понятие использовалось для обозначения набора инструментов, применяемых для получения прав root. Так как инструменты типа rootkit на сегодняшний день "прижились" и на других ОС (в том числе на Windows), следует признать подобное определение rootkit морально устаревшим и не отвечающим реальному положению дел. Таким образом, Rootkit — программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.). Для поведения Rootkit в классификации "Лаборатории Касперского" действуют правила поглощения: Rootkit — самое младшее поведение среди вредоносных программ. То есть, если Rootkit-программа имеет троянскую составляющую, то она детектируется как Trojan.

. Архивные бомбы (ArcBomb). Вот это интересная штука. дело в том, что такого рода архив при попытке архиватора его обработать вызывает "нестандартные" действия последнего. Компьютер может просто зависнуть или его работа существенно замедлится. Также жесткий диск может заполниться бальшим колличесвом "пустой" информации. Встречаются три типа подобных "бомб": некорректный заголовок архива, повторяющиеся данные и одинаковые файлы в архиве. Некорректный заголовок архива или испорченные данные в архиве могут привести к сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива. Значительных размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой файл в архив небольшого размера (например, 5 Гб данных упаковываются в 200 Кб RAR- или в 480 Кб ZIP-архив). Огромное количество одинаковых файлов в архиве также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10100 одинаковых файлов в 30 Кб RAR- или 230 Кб ZIP-архив).

Прочие вредоносные программы

К прочим вредоносным относятся разнообразные программы, не представляющие угрозы непосредственно компьютеру, на котором исполняются, а разработанные для создания других вирусов или троянских программ, организации DoS-атак на удаленные серверы, взлома других компьютеров и т.п. . Сетевые атаки (Dos, DDoS). Эти "утилиты" используются нарушителями для организации атак на отказ в обслуживании. При выполнении атаки в адрес жертвы отправляется большое количество пакетов, в результате оборудование не справляется, и наступает так называемый "висюк". Программы данного класса бывают двух видов: первый — атака производится с компьютера злоумышленника по его приказу; второй — осуществляется распределительная атака путем заражения компьютеров (такой компьютер называется компьютером-зомби), пользователь работает в сети и при этом не подозревает, что его компьютер — учасник распределительной атаки, направленной на отказ в обслуживании.

. Взломщики удаленных компьютеров (Exploit, Hacktool). Эти программы используются хакерами для удаленного взлома компьютеров с целью дальнейшего управления ими. При этом эксплойты направлены непосредственно на работу с уязвимостями.

. "Замусоривание" сети (Flood). Забивание интернет-каналов бесполезной информацией.

. Конструкторы (Constructor). Софт, использующийся, как правило, малограмотными людьми, т.к. позволяют наиболее просто создавать
троянские программы и т.д. Люди знающие обычно пишут свои;)).

. Фатальные сетевые атаки (Nuker). Утилиты, отправляющие специально оформленные запросы на атакуемые компьютеры в сети, в результате чего атакуемая система прекращает работу. Используют уязвимости в программном обеспечении и операционных системах, в результате чего сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении.

. Введение пользователя в заблуждение (Bad-Joke, Hoax). Это, в общем-то, и вредоносной программой назвать нельзя. Это программка, которая заставляет пользователя испытать страх, эквивалентный тому, который он ощущает при виде надписи типа: "Warning! System has bin delete", ну, или что-то в этом роде.

. Шифровальщики вредоносного ПО (FileCryptor, PolyCryptor). Это хакерские утилиты, которые занимаются тем, что скрывают другое
вредоносное ПО от антивирусных программ.

. "Полиморфы" (PolyEngine). Этих вирусами можно назвать тоже с натяжкой, ведь, в принципе, в их коде не заложены действия на размножение, порчу информации и т.д. Но все же.

Евгений Кучук, Spider Agent, spideragent@tut.by

Компьютерная газета. Статья была опубликована в номере 46 за 2006 год в рубрике безопасность

Вредоносное программное обеспечение и, прежде всего, компьютерные вирусы представляют очень серьезную опасность для информационных систем. Недооценка этой опасности может иметь серьезные последствия для информации пользователей. В то же время чрезмерное преувеличение угрозы вирусов негативно влияет на использование всех возможностей компьютерной сети. Знание механизмов действия вредоносного программного обеспечения (ПО), методов и средств борьбы с ними позволяет эффективно организовать противодействие вирусам, свести к минимуму вероятность заражения и нанесения вреда машинам и информации.

О наличии вредоносного ПО в системе пользователь может судить по следующим признакам:

Вредоносная программа (Malware, malicious software – злонамеренное программное обеспечение) – это любое программное обеспечение, предназначенное для осуществления несанкционированного доступа и/или воздействия на информацию или ресурсы информационной системы в обход существующих правил разграничения доступа.

Во многом "вредность" или "полезность" программного обеспечения определяется самим пользователем или способом его применения. Общепризнанной классификации вредоносного ПО пока не существует. Первые попытки упорядочить процесс классификации были предприняты еще в начале 90-х годов прошлого века в рамках альянса антивирусных специалистов CARO (Computer AntiVirus Researcher's Organization). Альянсом был создан документ "CARO malware naming scheme", который на какой-то период стал стандартом для индустрии.

Но со временем стремительное развитие вредоносных программ, появление новых платформ и рост числа антивирусных компаний привели к тому, что эта схема фактически перестала использоваться. Ещё более важной причиной отказа от неё стало то, что технологии детектирования систем антивирусных компаний отличаются друг от друга и, как следствие, невозможно унифицировать результаты проверки разными антивирусными программами. Периодически предпринимаются попытки выработать новую общую классификацию детектируемых антивирусными программами объектов. Последним значительным проектом подобного рода было создание стандарта CME (Common Malware Enumeration), суть которого заключается в присвоении одинаковым детектируемым объектам единого уникального идентификатора.

Рассмотрим классификацию, предложенную компанией "Лаборатория Касперского" и размещенную в Вирусной энциклопедии Лаборатории Касперского. Специалисты этой компании предлагают разделять вредоносное ПО на вредоносные программы (Malware) и потенциально нежелательные программы (PUPs, Potentially Unwanted Programs). В свою очередь, вредоносные программы включают следующие категории: компьютерные вирусы и черви; троянские программы; подозрительные упаковщики и вредоносные утилиты.

Компьютерные вирусы и черви

Термином "компьютерный вирус" сегодня уже никого не удивишь. Данное определение появилось (в середине 80-х годов) благодаря тому, что вредительские программы обладают признаками, присущими биологическим вирусам – незаметное и быстрое распространение, размножение, внедрение в объекты и заражение их, и, кроме того, негативное воздействие на систему. Вместе с термином "вирус" при работе в информационных системах используются и другие термины: "заражение", "среда обитания", "профилактика" и др.

Компьютерные вирусы – это небольшие исполняемые или интерпретируемые программы, обладающие свойством несанкционированного пользователем распространения и самовоспроизведения в компьютерах или компьютерных сетях. Полученные копии также обладают этой возможностью. Вирус может быть запрограммирован на изменение или уничтожение программного обеспечения или данных, хранящихся на объектах и устройствах компьютерной сети. В процессе распространения вирусы могут себя модифицировать.

Черви считаются подклассом вирусов, но обладают характерными особенностями. Червь размножается (воспроизводит себя), не заражая другие файлы. Он внедряется один раз на конкретный компьютер и ищет способы распространиться далее на другие компьютеры. Червь – это отдельный файл, в то время как вирус – это код, который внедряется в существующие файлы.

К категории вредоносных программ "компьютерные вирусы и черви" относятся:

Virus (вирус) – вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера.

В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:

при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
вирус скопировал себя на съёмный носитель или заразил файлы на нем;
пользователь отослал электронное письмо с зараженным вложением.

Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ. Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, "мобильные" черви).

Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение. Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.

В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором – при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков – активизируется код червя.

Механизм работы большинства подобных червей достаточно прост – для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя – при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера.

У этого типа червей существует два способа распространения по IRC-каналам, напоминающие способы распространения почтовых червей. Первый способ заключается в отсылке URL на копию червя. Второй способ – отсылка зараженного файла какому-либо пользователю IRC-канала. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).

Серьезную опасность представляют поддельные антивирусы , размещенные на специально подготовленных сайтах и которые злоумышленники предлагают загрузить для "лечения" компьютера от вирусов. Как правило, сами эти сайты не опасны, но загружаемые оттуда программы, в том числе лже-антивирусы, содержат вредоносные коды сетевых червей или троянских программ.

Троянские программы

Эти вредоносные программы внешне выглядят как легальный программный продукт, но при запуске осуществляют несанкционированные пользователем действия, направленные на уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители данной категории не имеют способности создавать свои копии, обладающие возможностью дальнейшего самовоспроизведения.

К данной категории вредоносных программ относятся:

Представители данного типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые ботнеты, централизованно управляемые злоумышленниками в злонамеренных целях. Botnet (ботнет) – это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами – автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на компьютере жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают сетевые черви. Отличает такие бэкдоры от червей то, что они распространяются по сети не самопроизвольно (как сетевые черви), а только по специальной команде "хозяина", управляющего данной копией троянской программы.

Обычно эксплойты используются злоумышленниками для проникновения на компьютер-жертву с целью последующего внедрения туда вредоносного кода (например, заражение вредоносной программой всех посетителей взломанного Web-сайта). Также эксплойты интенсивно используются программами типа Net-Worm для проникновения на компьютер-жертву без участия пользователя.

К Trojan также относятся "многоцелевые" троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.

Существует большое разнообразие троянских программ выполняющих те или иные действия и отличающихся друг от друга целями и способами воздействия на "жертву". Рассмотрим некоторые типы троянских программ:

Подозрительные упаковщики

Вредоносные программы часто сжимаются специфичными способами упаковки, включая использование многократных упаковщиков и совмещая упаковку с шифрованием содержимого файла для того, чтобы при распаковке усложнить анализ файла эвристическими методами.

К данному подклассу вредоносных программ относятся:

MultiPacked – файловые объекты, многократно упакованные различными программами упаковки. Антивирус при детектировании такого объекта обнаруживает исполняемый файл, упакованный одновременно тремя и более упаковщиками.
SuspiciousPacker – файловые объекты, сжатые специальными программами-упаковщиками, которые созданы для защиты вредоносного кода от детектирования антивирусным ПО.
RarePacker – файловые объекты, сжатые различными редко встречающимися упаковщиками, например, реализовывающими какую-либо конкретную идею.

Вредоносные утилиты

Вредоносные программы, разработанные для автоматизации создания других вирусов, червей или троянских программ, организации DoS-атак на удаленные сервера, взлома компьютеров и т.п. В отличие от вирусов, червей и троянских программ, представители данной категории не представляют угрозы непосредственно компьютеру, на котором исполняются. Основным признаком, по которому различают вредоносные утилиты, являются совершаемые ими действия.

К данной категории вредоносных программ относятся:

Классификация детектируемых объектов "Лаборатории Касперского" выделяет в отдельную группу условно нежелательные программы , которые невозможно однозначно отнести ни к опасным, ни к безопасным. Речь идёт о программах, которые разрабатываются и распространяются легально и могут использоваться в повседневной работе, например, системными администраторами. Вместе с тем, некоторые из таких программ обладают функциями, которые могут причинить вред пользователю, но только при выполнении ряда условий. Например, если программа удаленного администрирования установлена на компьютер пользователя системным администратором, то ничего страшного в этом нет, т.к. администратор всего лишь получает возможность удаленно решать возникающие у пользователя проблемы. Но если та же программа установлена на компьютер пользователя злоумышленником, то последний получает полный контроль над компьютером-жертвой и дальнейшем может использовать его по своему усмотрению. Таким образом, подобные программы могут быть реализованы как во благо, так и во вред – в зависимости от того, в чьих руках они находятся.

Вредоносное ПО создаётся для компьютерных систем определенного типа, работающих с конкретными операционными системами. Привлекательность ОС для создателей вирусов определяется следующими факторами:

распространенность ОС;
отсутствие встроенных антивирусных механизмов;
относительная простота;
продолжительность эксплуатации.

Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру.

О наличии вредоносного ПО в системе пользователь может судить по следующим признакам:

Вредоносная программа (Malware, malicious software – злонамеренное программное обеспечение) – это любое программное обеспечение, предназначенное для осуществления несанкционированного доступа и/или воздействия на информацию или ресурсы информационной системы в обход существующих правил разграничения доступа.

Рассмотрим классификацию, предложенную компанией "Лаборатория Касперского" и размещенную в Вирусной энциклопедии Лаборатории Касперского.

Специалисты этой компании предлагают разделять вредоносное ПО на вредоносные программы (Malware) и потенциально нежелательные программы (PUPs, Potentially Unwanted Programs). В свою очередь, вредоносные программы включают следующие категории: компьютерные вирусы и черви; троянские программы; подозрительные упаковщики и вредоносные утилиты.

Компьютерные вирусы и черви

К категории вредоносных программ "компьютерные вирусы и черви" относятся:

Virus (вирус) – вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера.

при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
вирус скопировал себя на съёмный носитель или заразил файлы на нем;
пользователь отослал электронное письмо с зараженным вложением.

Net-Worm (сетевой червь) – вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях. Отличительной особенностью данного типа червей является отсутствие необходимости в пользователе как в звене в цепочке распространения (т.е. непосредственно для активации вредоносной программы).

Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости.

Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение. Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.

Email-Worm (почтовый червь) – вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, указатель URL на зараженный файл, расположенный на взломанном или хакерском Web-сайте).

P2P-Worm – вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам файлообменных пиринговых сетей (например, Kazaa, Grokster, eDonkey, FastTrack, Gnutella и др.).

IRC-Worm – вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению через Интернет-чат (Internet Relay Chats).

Серьезную опасность представляют поддельные антивирусы, размещенные на специально подготовленных сайтах и которые злоумышленники предлагают загрузить для "лечения" компьютера от вирусов. Как правило, сами эти сайты не опасны, но загружаемые оттуда программы, в том числе лже-антивирусы, содержат вредоносные коды сетевых червей или троянских программ.

Троянские программы

К данной категории вредоносных программ относятся:

Exploit (эксплойт) – программы, в которых содержатся данные или исполняемый код, позволяющие использовать одну или несколько уязвимостей в программном обеспечении на локальном или удаленном компьютере с заведомо вредоносной целью.

Rootkit – программа, предназначенная для сокрытия в системе определенных объектов либо активности. Сокрытию, как правило, подвергаются ключи реестра (например, отвечающие за автозапуск вредоносных объектов), файлы, процессы в памяти зараженного компьютера, вредоносная сетевая активность. Сам по себе Rootkit ничего вредоносного не делает, но данный тип программ в подавляющем большинстве случаев используется вредоносными программами для увеличения собственного времени жизни в пораженных системах в силу затрудненного обнаружения.
Trojan – вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при этом не попадающая ни под одно из других троянских поведений.

Ограждение места работ сигналами на перегонах и станциях: Приступать к работам разрешается только после того, когда.

Правильные ответы выделены зелёным цветом.
Все ответы: В книге рассматриваются программно-аппаратные средства обеспечения безопасности компьютерных сетей на примере межсетевых экранов и интернет-маршрутизаторов D-Link, а также обзор базовых протоколов и функций, обеспечивающих работоспособность и безопасность сетей.

Какой аспект информационной безопасности был нарушен, если при передаче по сети файла, информация в нем была прочитана злоумышленником?

Какая команда CLI предназначена для добавления объекта, например, IP-адреса или правила в настройки NetDefendOS?

Какие механизмы аутентификации беспроводных клиентов предусматривает стандарт IEEE 802.11 с традиционной безопасностью?

Как называется логическая группа устройств, имеющих возможность взаимодействовать между собой напрямую на канальном уровне, хотя физически при этом они могут быть подключены к разным сетевым коммутаторам?

Какие системы предназначены для обеспечения сетевого мониторинга, анализа и оповещения в случае обнаружения сетевой атаки?

Как называется процедура предоставления определенному пользователю прав на выполнение некоторых действий?

Какая часть команды CLI необходима для идентификации категории объекта, к которой относится имя объекта?

Какой метод аутентификации стандарта IEEE 802.11 требует настройки статического ключа шифрования WEP, одинакового для точки доступа и клиентского устройства?

(1) вторжения обычно содержатся в отдельном загрузочном файле, который закачивается в систему пользователя

(2) вторжения по характеру воздействия на атакуемую сеть могут быть как негативные, так и нейтральные

(3) вторжения проявляются как образцы вируса, нацеленные на поиск путей преодоления механизмов обеспечения безопасности

Как называется функция DIR-100, которая позволяет фильтровать нежелательные URL-адреса Web-сайтов, блокировать домены и управлять расписанием по использованию выхода в Интернет?

Какую команду необходимо выполнить, чтобы перейти к управлению таблицей маршрутизации с именем table1 в CLI?

Недостатком какого метода является невозможность обнаружения вируса в файлах, которые поступают в систему уже зараженными?

Какое название получила технология, позволяющая обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети с применением средств криптографии?

Как называется определенные образцы вирусов и атак, с использованием которых IDP обнаруживает вторжения?

Какой механизм в составе WPA позволяет предотвратить перехват пакетов, содержание которых может быть изменено, а модифицированный пакет вновь передан по сети?

Какой протокол динамической маршрутизации использует для нахождения кратчайшего пути алгоритм Дейкстры?

Вы хотите изменить имя устройства, которое отображается на домашней странице Web-интерфейса управления, на Main. Какую команду необходимо использовать?

Какой криптографический метод преобразования информации применяется в информационных сетях для повышения достоверности передаваемой информации?

Какой вариант EAP при конфигурировании способа аутентификации пользователей в беспроводной сети был разработан первым и должен присутствовать во всех реализациях стандарта 802.1x?

К каким типам удаленного воздействия по характеру воздействия и цели реализации относится несанкционированный анализ сетевого трафика без возможности модификации передаваемой информации?

Какую команду необходимо выполнить для того, чтобы сделанные с помощью CLI изменения загрузились в NetDefendOS?

Какой протокол предназначен для того, чтобы хосты автоматически получали IP-адреса и другие параметры, необходимые для работы в сети TCP/IP?

Как называется сетевая архитектура, предоставляющая возможность легко и быстро организовывать обмен данными между любыми устройствами в сети, автоматически определяя, подключая и настраивая эти устройства для работы с локальными сетями?

Как называется шифрование, при котором пользователи должны совместно выбрать единый математический алгоритм и секретный ключ, которые будут использоваться для шифрования и расшифровки данных?

Какой протокол в составе IPSec обеспечивает проверку целостности защищаемой части пакета, но при этом не гарантирует конфиденциальность?

Какие системы предназначены для проверки сетевого трафика на вирусы, троянские и другие вредоносные программы?

Какая функция межсетевых экранов D-Link автоматически изолирует инфицированные компьютеры локальной сети и предотвращает распространение ими вредоносного трафика?

Как называется атака, направленная на исчерпание критичных системных ресурсов, что приводит к прекращению или нарушению функционирования системы и невозможности доступа к серверу удаленных пользователей?

(1) в транспортном режиме шифруется поле данных, содержащее протоколы TCP/UDP, в туннельном –весь IP-пакет

(3) в транспортном режиме шифруется весь IP-пакет, в туннельном – поле данных, содержащее протоколы TCP/UDP

(1) в транспортном режиме шифруется поле данных, содержащее протоколы TCP/UDP, в туннельном –весь IP-пакет

(3) в транспортном режиме шифруется весь IP-пакет, в туннельном – поле данных, содержащее протоколы TCP/UDP

Какой механизм фильтрации интернет-трафика в межсетевых экранах NetDefend помогает защитить пользователей от потенциально опасного контента веб-страниц – объектов ActiveX, Java-скриптов и т.п.?

Какие правила определяют, какой трафик пройдет через межсетевой экран NetDefend и для какого трафика требуется преобразование адреса?

Выберите верное утверждение в отношении настройки основного и резервного маршрутов в системе NetDefendOS.

(1) при наличии двух маршрутов для одного и того же адреса назначения система NetDefendOS выберет маршрут с максимальным значением метрики

(2) при наличии двух маршрутов для одного и того же адреса назначения система NetDefendOS выберет маршрут с минимальным значением метрики

Как называется технология компании D-Link, которая позволяет обеспечить совместный доступ к USB-устройствам через сети Ethernet и Wi-Fi?

Как называется функция в межсетевых экранах D-Link, которая автоматически изолирует инфицированные компьютеры локальной сети и предотвращает распространение ими вредоносного трафика?

Как называется распределение процесса выполнения заданий между несколькими серверами сети с целью оптимизации использования ресурсов и сокращения времени вычисления?

В каком режиме установки VPN-соединения есть возможность согласования всех параметров конфигурации устройств отправителя и получателя?

На межсетевой экран D-Link поступил пакет, не содержащий VLAN ID и PPP-данные. Какой интерфейс станет интерфейсом источника? Выберите верное утверждение.

В компании, где Вы работаете, используется два интернет-провайдера. Вы хотите разделить пользователей на 2 группы (по IP-адресам) и направлять их трафик по каналам разных провайдеров. Какой тип PBR нужно выбрать?

(1) для того чтобы задать время, по истечении которого происходит взаимная переидентификация узлов в VPN-туннеле

(1) это компонент программного обеспечения, установленный на рабочей станции управления, который наблюдает за сетевыми устройствами и управляет ими

(3) это компонент, содержащий правила ограничения доступа, предназначенный для блокировки зараженного хоста в сети

Какую опцию параметра Ordering следует выбрать, чтобы маршрут сначала искался в альтернативной таблице маршрутизации?

На каком уровне модели OSI работает межсетевой экран, если он фильтрует трафик по IP-адресам и портам отправителя/получателя?

В сети используется алгоритм распределения нагрузки Spillover. Имеется три альтернативных маршрута со значениями метрик: маршрут 1=20, маршрут 2=50, маршрут 3=30. Выберите верное утверждение.

(1) сначала данные пойдут по маршруту 3. После превышения допустимого порога настроек алгоритма, будет выбран маршрут 1.

(2) сначала данные пойдут по маршруту 3. После превышения допустимого порога настроек алгоритма, будет выбран маршрут 1.

(3) сначала данные пойдут по маршруту 2. После превышения допустимого порога настроек алгоритма, будет выбран маршрут 3.

(4) сначала данные пойдут по маршруту 1. После превышения допустимого порога настроек алгоритма, будет выбран маршрут 2.

Читайте также: