Особливості алгоритмів роботи вірусів

Визначення комп'ютерного вірусу - історично проблемне питання, оскільки досить складно дати чітке визначення вірусу, окресливши при цьому властивості, властивим тільки вірусам і не характерні для інших програм. Навпаки, даючи тверде визначення вірусу як програми, що володіє певними властивостями практично відразу ж можна знайти приклад вірусу, який не володіє такими властивостями.

Вірус - програма, здатна створювати свої копії (необов'язково співпадаючі з оригіналом) і впроваджувати їх у файли, системні області комп'ютера, комп'ютерних мереж, а також здійснювати інші деструктивні дії. При цьому копії зберігають здатність подальшого поширення. Комп'ютерний вірус відноситься до шкідливих програм.

Ще одна проблема, пов'язана з визначенням комп'ютерного вірусу криється в тім, що сьогодні під вірусом найчастіше розуміється не "традиційний" вірус, а практично будь-яка шкідлива програма. Це приводить до плутанини в термінології, ускладненої ще й тим, що сьогодні практично будь-який антивірус здатний виявляти всі типи шкідливих програм, у такий спосіб асоціація "шкідлива програма-вірус" стає усе більше стійкою.

Шкідлива програма - комп'ютерна програма або переносний код, призначений для реалізації загроз інформації, що зберігається в комп'ютерній системі (КС), або для схованого нецільового використання ресурсів КС, або іншого впливу, що перешкоджає нормальному функціонуванню КС. До шкідливих програм ставляться комп'ютерні віруси, трояни, мережні черві й ін.

До вірусів ставляться:

• Завантажувальні віруси - віруси, що заражають завантажувальні сектори постійних і змінних носіїв;

• Файлові віруси - віруси, що заражають файли;

• Макровіруси- віруси, написані мовою макрокоманд, що виконують у середовищі якого-небудь додатка. У переважній більшості випадків мова йде про макроси в документах Microsoft Office;

• Скрипт-віруси - віруси, що виконують у середовищі певної командної оболонки: раніше - bat-файли в командній оболонці DOS, зараз частіше VBS- і Java-скрипти в командній оболонці Windows Scripting Host (WSH).

Окремо варто сказати про макровіруси. Більшість електронних документів створюються й обробляються у форматі MS Office, інструмент VBA (Visual Basic for Application), якому можна використати для створення макровірусів поставляється разом з додатком MS Office. Таке положення справ приводить до того, що на сьогоднішній день макровіруси – найбільш часто зустрічаємий тип вірусів. Однак боротьба з ними не викликає особливих проблем і зводиться до вивчення тіла шкідливого макросу за допомогою того ж VBA на предмет виконуваних операцій, контролю стартових макросів AutoOpen, AutoClose, AutoSave, глобальних макросів FileOpen, FileSaveAs, FileSave, FileClose і ряду стандартних операцій, таких як виклик API-функцій, виконання команд Shell і т.д. Процедура лікування макровірусів зводиться до видалення тіла макросу з документів і шаблонів MS Office.

Черв’як (мережний черв’як) - тип шкідливих програм, що поширюються по мережних каналах, здатних до автономного подолання систем захисту автоматизованих і комп'ютерних систем, а також до створення й подальшого поширення своїх копій, що не завжди збігаються з оригіналом, здійсненню іншого шкідливого впливу.

Залежно від шляхів проникнення в операційну систему чирви діляться на:

• Поштові черв’яки (Mail-Worm) - черв’яки, що поширюються у форматі повідомлень електронної пошти;

• IM черв’яки (IM-Worm) - черв’яки, що використають Інтернет-пейджери;

• P2P черв’яки (P2P-Worm) - черв’яки, що поширюються за допомогою пірингових (peer-to-peer) файлообмінних мереж;

• Мережні черв’яки (Net-Worm) - інші мережні черв’яки, серед яких має сенс додатково виділити Інтернет - черв’яки й LAN- черв’яки;

• Інтернет черв’яки - черв’яки, що використаються для поширення протоколи Інтернет. Переважно цей тип черв’яків поширюється з використанням неправильної обробки деякими додатками базових пакетів стека протоколів tcp/ip;

• LAN черв’яки - черв’яки, що поширюються по протоколах локальних мереж.

Троян (троянський кінь) - тип шкідливих програм, основною метою яких є шкідливий вплив стосовно комп'ютерної системи. Трояни відрізняються відсутністю механізму створення власних копій.

Деякі трояни здатні до автономного подолання систем захисту КС, з метою проникнення й зараження системи. У загальному випадку, троян попадає в систему разом з вірусом або черв’яком, у результаті необачних дій користувача або ж активних дій зловмисника. Найпоширеніші наступні види троянов:

• Клавіатурні шпигуни (Trojan-SPY) - трояни, що постійно перебувають у пам'яті й зберігаючи всі дані від клавіатури з метою наступної передачі цих даних зловмисникові. Звичайно в такий спосіб зловмисник намагається довідатися паролі або іншу конфіденційну інформацію;• Викрадачі паролів (Trojan-PSW) - трояни, також призначені для одержання паролів, але не використають спостереження за клавіатурою. Звичайно в таких троянах реалізовані способи добування паролів з файлів, у яких ці паролі зберігаються різними додатками;

• Утиліти вилученого керування (Backdoor) - трояни, що забезпечують повний контроль над комп'ютером користувача. Існують легальні утиліти такої ж властивості, але вони відрізняються тим, що повідомляють про своє призначення при установці або ж постачені документацією, у якій описані їхні функції. Троянські утиліти вилученого керування, навпроти, ніяк не видають свого реального призначення, так що користувач і не підозрює про те, що його комп'ютер підконтрольний зловмисникові. Найбільш популярна утиліта вилученого керування - Back Orifice;

• Анонімні smtp-сервера й проксі (Trojan-Proxy) - трояни, що виконують функції поштових серверів або проксі й, що використаються в першому випадку для спам-розссилок, а в другому для замітання слідів хакерами

• Модифікатори настроювань браузера (Trojan-Cliker) - трояни, які міняють стартову сторінку в браузері, сторінку пошуку або ще які-небудь настроювання, для організації несанкціонованих звертань до Інтернет-ресурсів;

• Інсталятори інших шкідливих програм (Trojan-Dropper) - трояни, що представляють можливість зловмисникові робити сховану установку інших програм;

• Завантажники шкідливих програм (Trojan Downloader) - трояни, призначені для завантаження на комп'ютер-жертву нових версій шкідливих програм, або рекламних систем;

• Повідомлення про успішну атаку (Trojan-Notifier) - трояни даного типу призначені для повідомлення своєго "хазяїна" про заражений комп'ютер;

• "Бомби" в архівах (ARCBomb) - трояни, що представляють собою архіви, спеціально оформлені таким чином, щоб викликати позаштатне поводження архіваторів при спробі раз архівувати дані - зависання або істотного повыльнення роботи комп'ютера, заповнення диска кількістю "порожніх" даних;

• Логічні бомби - частіше не стільки трояни, скільки троянські складових черв’яків і вірусів, суть роботи яких полягає в тому, щоб за певних умов (дата, час доби, дії користувача, команда ззовні) зробити певну дію: наприклад, знищення даних;

• Утиліти дозвона - порівняно новий тип троянів, що представляє собою утиліти dial-up доступу в Інтернет через платні поштові служби. Такі трояни прописуються в системі як утиліти дозвона за замовчуванням і спричиняють великі рахунки за користування Інтернетом.

Процес розмноження вірусів може бути умовно розділений на кілька стадій:

1. Активація вірусу;

2. Пошук об'єктів для зараження;

3. Підготовка вірусних копій;

4. Впровадження вірусних копій.

Так само як для вірусів, життєвий цикл черв’яків можна розділити на певні стадії:

1. Проникнення в систему;

2. Активація;

3. Пошук "жертв";

4. Підготовка копій;

5. Поширення копій;

У троянів внаслідок відсутності функцій розмноження й поширення, їхній життєвий цикл менше ніж у вірусів - усього три стадії:

1. Проникнення на комп'ютер

2. Активація

3. Виконання закладених функцій

Це, саме собою, не означає малого часу життя троянів. Навпроти, троян може непомітно перебувати в пам'яті комп'ютера тривалий час, ніяк не видаючи своєї присутності, доти, поки не виконає свою шкідливу функцію буде виявлений антивірусними засобами.

Існує твердження - будь-яку шкідливу програму користувач може перемогти самостійно, тобто не прибігаючи до використання антивірусних програм. Це дійсно так, за успішними дії будь-якої антивірусної програми коштує праця вірусних аналітиків, які по суті справи вручну розбираються з алгоритмами роботи нових вірусів, виділяють сигнатури, описують алгоритм роботи вірусу.

Сигнатура вірусу - у широкому змісті, інформація, що дозволяє однозначно визначити наявність даного вірусу у файлі або іншому коді.

Прикладами сигнатур є: унікальна послідовність байт, що є присутнім у даному вірусі й не зустрічається в інших програмах; контрольна сума такої послідовності.

Таким чином, антивірусну програму можна розглядати як засіб автоматизації боротьби з вірусами. Варто помітити, що аналіз вірусів жадає від користувача володіння більшим обсягом специфічних знань в області програмування, роботи операційних систем і т.д. Сучасні шкідливі програми використають складні технології маскування й захисту своїх копій, які спричиняються необхідність застосування спеціальних засобів для їхнього аналізу.

Процес підготовки шкідливою програмою своїх копій для поширення може істотно відрізнятися від простого копіювання. Автори найбільш складних у технологічному плані вірусів намагаються зробити різні копії максимально несхожими для ускладнення їхнього виявлення антивірусними засобами. Як наслідок, складання сигнатури для такого вірусу вкрай утруднено.

При створенні копій для маскування можуть застосовуватися наступні технології:• Шифрування - вірус складається із двох функціональних блоків: властиво вірусу й шифратора. Кожна копія вірусу складається із шифратора, випадкового ключа й вірусного блоку, зашифрованого цим ключем

• Метаморфізм - створення різних копій вірусу шляхом заміни груп команд на еквівалентні, перестановки місцями блоків коду, вставки між значущими шматками коду "сміттєвих" команд, які практично нічого не роблять

Сполучення цих двох технологій приводить до появи наступних типів вірусів.

• Шифрований вірус - вірус, що використає просте шифрування з випадковим ключем і незмінний шифратор. Такі віруси легко виявляються по сигнатурі шифратора

• Метаморфний вірус - вірус, що застосовує метаморфізм до всього свого тіла для створення нових копій

• Поліморфний вірус - вірус, що використає метаморфний шифратор для шифрування основного тіла вірусу з випадковим ключем. При цьому частина інформації, використовуваного для одержання нових копій шифратора також може бути зашифрована. Наприклад, вірус може реалізовувати кілька алгоритмів шифрування й при створенні нової копії міняти не тільки команди шифратора, але й сам алгоритм.

Розглядаючи сучасні вірусні погрози необхідно відзначити, що більше 90% відсотків вірусних погроз останнім часом пов'язані із черв’яками. Найбільш численну групу в цьому класі шкідливих програм становлять поштові черв’яки. Інтернет- черв’яки також є помітним явищем, але не стільки через кількість, скільки через якість: епідемії, викликані Інтернет-черв'яками найчастіше відрізняються високою швидкістю поширення й більших масштабів. IRC й P2P черв’яки зустрічаються досить рідко, частіше IRC й P2P служать альтернативними каналами поширення для поштових й Інтернет - черв’яків. Поширення через LAN також використається переважно як додатковий спосіб поширення.

Крім того, на етапі активації хробаків можна розділити на дві більші групи що відрізняються як за технологіями активації, так і по строках життя:

• Для активації необхідно активна участь користувача;

• Для активації участь користувача не потрібно зовсім або досить лише пасивної участі.

Активація мережного черв’яка без участі користувача завжди означає, що черв’як використає проломи в безпеці програмного забезпеченні комп'ютера. Це приводить до дуже швидкого поширення хробака усередині корпоративної мережі з більшим числом станцій, істотно збільшує завантаження каналів зв'язку й може повністю паралізувати мережа. Саме цей метод активації використали черв’яки Lovesan й Sasser. Під пасивною участю користувача розуміється, наприклад, перегляд листів у поштовому клієнті, при якому користувач не відкриває вкладені файли, але його комп'ютер проте виявляється зараженим.

Внимание, отключите Adblock

Вы посетили наш сайт со включенным блокировщиком рекламы!
Ссылка для скачивания станет доступной сразу после отключения Adblock!

Скачать