Компьютерные вирусы и борьба с ними

Автор работы: Пользователь скрыл имя, 31 Января 2013 в 13:01, реферат

Описание работы

Мы живем на стыке двух тысячелетий, когда человечество вступило в эпоху новой научно-технической революции.
К концу двадцатого века люди овладели многими тайнами превращения вещества и энергии и сумели использовать эти знания для улучшения своей жизни. Но кроме вещества и энергии в жизни человека огромную роль играет еще одна составляющая - информация. Это самые разнообразные сведения, сообщения, известия, знания, умения.

Файлы: 1 файл

Компьютерные вирусы и борьба с ними.docx

— 101.02 Кб (Скачать файл)

привлечение потенциальных жертв для заражения вирусами или троянскими программами.

Trojan-Downloader — доставка прочих вредоносных программ

Троянские программы этого  класса предназначены  для загрузки и  установки на компьютер-жертву новых версий вредоносных  программ, установки  «троянцев» или рекламных  систем. Загруженные  из Интернета программы  затем либо запускаются  на выполнение, либо регистрируются «троянцем» на автозагрузку в  соответствии с возможностями  операционной системы. Данные действия при  этом происходят без  ведома пользователя.

Информация  об именах и расположении загружаемых программ содержится в коде и данных троянца  или скачивается  троянцем с «управляющего» Интернет-ресурса (обычно с веб-страницы).

Trojan-Dropper — инсталляторы прочих вредоносных программ

Троянские программы этого  класса написаны в  целях скрытной инсталляции  других программ и  практически всегда используются для  «подсовывания» на компьютер-жертву вирусов или других троянских программ.

Данные  троянцы обычно без  каких-либо сообщений (либо с ложными сообщениями  об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в  корень диска C:, во временный  каталог, в каталоги Windows) другие файлы и запускают их на выполнение.

Обычно  структура таких  программ следующая:

Основной код

Файл 1

Файл 2


«Основной код» выделяет из своего файла остальные  компоненты (файл 1, файл 2, ...), записывает их на диск и открывает их (запускает  на выполнение).

Обычно  один (или более) компонентов  являются троянскими программами, и как  минимум один компонент  является «обманкой»: программой-шуткой, игрой, картинкой  или чем-то подобным. «Обманка» должна отвлечь внимание пользователя и/или  продемонстрировать то, что запускаемый  файл действительно  делает что-то «полезное», в то время как  троянский компонент  инсталлируется в  систему.

В результате использования программ данного класса хакеры достигают двух целей:

скрытная  инсталляция троянских  программ и/или вирусов;

защита  от антивирусных программ, поскольку не все  из них в состоянии  проверить все  компоненты внутри файлов этого типа.

Trojan-Proxy — троянские прокси-сервера

Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным Интернет-ресурсам. Обычно используются для рассылки спама.

Trojan-Spy — шпионские программы

Данные  троянцы осуществляют электронный шпионаж  за пользователем  зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в  какой-либо файл на диске  и периодически отправляются злоумышленнику.

Троянские программы этого  типа часто используются для кражи информации пользователей различных  систем онлайновых платежей и банковских систем.

ArcBomb — «бомбы» в архивах

Представляют  собой архивы, специально оформленные таким  образом, чтобы вызывать нештатное поведение  архиваторов при  попытке разархивировать  данные — зависание  или существенное замедление работы компьютера или заполнение диска  большим количеством  «пустых» данных. Особенно опасны «архивные  бомбы» для файловых и почтовых серверов, если на сервере используется какая-либо система  автоматической обработки  входящей информации — «архивная бомба» может просто остановить работу сервера.

Встречаются три типа подобных «бомб»: некорректный заголовок архива, повторяющиеся данные и одинаковые файлы  в архиве.

Некорректный  заголовок архива или испорченные  данные в архиве могут  привести к сбою в  работе конкретного  архиватора или алгоритма  разархивирования при  разборе содержимого  архива.

Значительных  размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой файл в архив  небольшого размера (например, 5ГБ данных упаковываются  в 200КБ RAR или в 480КБ ZIP-архив).

Огромное  количество одинаковых файлов в архиве также  практически не сказывается  на размере архива при использовании  специальных методов (например, существуют приемы упаковки 10100 одинаковых файлов в 30КБ RAR или 230КБ ZIP-архив).

Trojan-Notifier — оповещение об успешной атаке

Троянцы данного типа предназначены  для сообщения  своему «хозяину»  о зараженном компьютере. При этом на адрес  «хозяина» отправляется информация о компьютере, например, IP-адрес  компьютера, номер  открытого порта, адрес электронной  почты и т. п. Отсылка  осуществляется различными способами: электронным  письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением.

Данные  троянские программы  используются в многокомпонентных  троянских наборах  для извещения  своего «хозяина»  об успешной инсталляции  троянских компонент  в атакуемую систему.

Сетевые черви

Основным  признаком, по которому типы червей различаются  между собой, является способ распространения  червя — каким  способом он передает свою копию на удаленные  компьютеры. Другими  признаками различия СЧ между собой  являются способы  запуска копии червя на заражаемом компьютере, методы внедрения в систему, а также полиморфизм, «стелс» и прочие характеристики, присущие и другим типам вредоносного программного обеспечения (вирусам и троянским программам).

Email-Worm — почтовые черви

К данной категории червей относятся те из них, которые для своего распространения  используют электронную  почту. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков — активизируется код червя.

Для отправки зараженных сообщений  почтовые черви используют различные способы. Наиболее распространены:

прямое  подключение к SMTP-серверу, используя встроенную в код червя  почтовую библиотеку;

использование сервисов MS Outlook;

использование функций Windows MAPI.

Различные методы используются почтовыми червями  для поиска почтовых адресов, на которые  будут рассылаться  зараженные письма. Почтовые черви:

рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;

считывает адреса из адресной базы WAB;

сканируют «подходящие» файлы  на диске и выделяет в них строки, являющиеся адресами электронной  почты;

отсылают  себя во всем адресам, обнаруженным в письмах  в почтовом ящике (при  этом некоторые почтовые черви «отвечают» на обнаруженные в  ящике письма).

Многие  черви используют сразу несколько  из перечисленных  методов. Встречаются  также и другие способы поиска адресов  электронной почты.

IM-Worm — черви, использующие интернет-пейджеры

Известные компьютерные черви  данного типа используют единственный способ распространения  — рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенные  на каком-либо веб-сервере. Данные прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.

IRC-Worm — черви в IRC-каналах

У данного  типа червей, как  и у почтовых червей, существуют два способа  распространения  червя по IRC-каналам, повторяющие способы, описанные выше. Первый заключается в отсылке URL-ссылки на копию червя. Второй способ — отсылка зараженного файла какому-либо пользователю сети. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).

Net-Worm — прочие сетевые черви

Существуют  прочие способы заражения  удаленных компьютеров, например:

копирование червя на сетевые  ресурсы;

проникновение червя на компьютер  через уязвимости в операционных системах и приложениях;

проникновение в сетевые ресурсы  публичного использования;

паразитирование на других вредоносных  программах.

Первый  способ заключается  в том, что червь  ищет удаленные компьютеры и копирует себя в  каталоги, открытые на чтение и запись (если такие обнаружены). При этом черви  данного типа или  перебирают доступные  сетевые каталоги, используя функции  операционной системы, и/или случайным  образом ищут компьютеры в глобальной сети, подключаются к ним  и пытаются открыть  их диски на полный доступ.

Для проникновения  вторым способом черви  ищут в сети компьютеры, на которых используется программное обеспечение, содержащее критические  уязвимости. Для заражения  уязвимых компьютеров  червь посылает специально оформленный сетевой  пакет или запрос (эксплойт уязвимости), в результате чего код (или часть кода) червя проникает на компьютер-жертву. Если сетевой пакет содержит только часть кода червя, он затем скачивает основной файл и запускает его на исполнение.

Отдельную категорию составляют черви, использующие для своего распространения  веб- и FTP-сервера. Заражение происходит в два этапа. Сначала червь проникает в компьютер-сервер и необходимым образом модифицирует служебные файлы сервера (например, статические веб-страницы). Затем червь «ждет» посетителей, которые запрашивают информацию с зараженного сервера (например, открывают зараженную веб-страницу), и таким образом проникает на другие компьютеры в сети.

Существуют  сетевые черви, паразитирующие на других червях и/или  троянских программах уделенного администрирования (бэкдорах). Данные черви используют тот факт, что многие бэкдоры позволяют по определенной команде скачивать указанный файл и запускать его на локальном диске. То же возможно с некоторыми червями, содержащими бэкдор-процедуры. Для заражения удаленных компьютеров данные черви ищут другие компьютеры в сети и посылают на них команду скачивания и запуска своей копии. Если атакуемый компьютер оказывается уже зараженным «подходящей» троянской программой, червь проникает в него и активизирует свою копию. Следует отметить, что многие компьютерные черви используют более одного способа распространения своих копий по сетям, использующие два и более методов атаки удаленных компьютеров.

P2P-Worm — черви для  файлообменных сетей

Механизм  работы большинства  подобных червей достаточно прост — для  внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который  обычно расположен на локальной машине. Всю остальную  работу по распространению  вируса P2P-сеть берет  на себя — при  поиске файлов в сети она сообщит удаленным  пользователям о  данном файле и  предоставит весь необходимый сервис для скачивания файла  с зараженного  компьютера.

Существуют  более сложные P2P-черви, которые имитируют  сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно — при этом червь предлагает для скачивания свою копию.

Прочие  вредоносные программы

К прочим вредоносным относятся  разнообразные программы, которые не представляют угрозы непосредственно  компьютеру, на котором  исполняются, а разработаны  для создания других вирусов или троянских  программ, организации  DoS-атак на удаленные сервера, взлома других компьютеров и т. п.

DoS, DDoS — сетевые атаки

Программы данного типа реализуют  атаки на удаленные  сервера, посылая  на них многочисленные запросы, что приводит к отказу в обслуживании, если ресурсы атакуемого сервера недостаточны для обработки  всех поступающих  запросов (DoS = Denial of Service).

DoS-программы реализуют атаку с одного компьютера с ведома пользователя. DDoS-программы (Distributed DoS) реализуют распределенные атаки с разных компьютеров, причем без ведома пользователя зараженного компьютера. Для этого DDoS-программа засылается любым способом на компьютер «жертв-посредников» и после запуска в зависимости от текущей даты или по команде от «хозяина» начинает DoS-атаку на указанный сервер в сети.

Некоторые компьютерные черви  содержат в себе DoS-процедуры, атакующие сайты, которые по каким-либо причинам «невзлюбил» автор червя. Так, червь Codered 20 августа 2001 организовал успешную атаку на официальный сайт президента США, а червь Mydoom.a 1 февраля 2004 года «выключил» сайт SCO, производителя дистрибутивов UNIX.

Exploit, HackTool — взломщики удаленных компьютеров

Хакерские утилиты данного  класса предназначены  для проникновения  в удаленные компьютеры с целью дальнейшего  управления ими (используя  методы троянских  программ типа «backdoor») или для внедрения во взломанную систему других вредоносных программ.

Хакерские утилиты типа «exploit» при этом используют уязвимости в операционных системах или приложениях, установленных на атакуемом компьютере.

Flooder — «замусоривание» сети

Данные  хакерские утилиты  используются для  «забивания мусором» (бесполезными сообщениями) каналов  интернета — IRC-каналов, компьютерных пейджинговых сетей, электронной  почты и т. д.

Constructor — конструкторы вирусов и троянских программ

Конструкторы  вирусов и троянских  программ — это  утилиты, предназначенные  для изготовления новых компьютерных вирусов и «троянцев». Известны конструкторы вирусов для DOS, Windows и макро-вирусов. Они позволяют генерировать исходные тексты вирусов, объектные модули, и/или непосредственно зараженные файлы.

Информация о работе Компьютерные вирусы и борьба с ними