Компьютерные вирусы. Классификация. Информационная безопасность Вредоносная программа — компьютерная программа или переносной код, предназначенный для реализации угроз информации, хранящейся в КС, либо для скрытого нецелевого использования ресурсов КС, либо иного воздействия, препятствующего нормальному функционированию КС. Под компьютерным вирусом принято понимать программы или элементы программ, несанкционированно проникшие в компьютер с целью нанесения вреда, отличительной особенностью которых является способность саморазмножению. ОБЯЗАТЕЛЬНЫМ СВОЙСТВОМ КОМПЬЮТЕРНОГО ВИРУСА является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению (по ГОСТ Р 51188-98) Вирус — программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения (Е. Касперский) - Название «вирусы» произошло из биологии именно по признаку способности к саморазмножению. - После заражения компьютера вирус может активизироваться и заставить компьютер выполнять какие-либо действия. - Активизация вируса может быть связана с различными событиями (наступлением определенной даты или дня недели, запуском программы, открытием документа и так далее). Жизненный цикл вируса Проникновение на компьютер Активация вируса Поиск объектов для заражения Подготовка вирусных копий Внедрение вирусных копий Классификация вирусов среда обитания; особенности алгоритма работы; способы заражения; деструктивные возможности. По среде обитания Загрузочные вирусы (boot – вирусы) инфицируют загрузочные секторы дисков, помещая в нем команды запуска на исполнение самого вируса, который находится где-то в другом месте компьютера. Файловые вирусы - заражают исполняемые файлы (с расширением .com, .exe, .sys), путем дописывания своей основной части («тела») в конец заражаемой программы, «головы» - в его начало. Вирус, находящийся в памяти, заражает все любой запущенный после этого исполняемый файл. Макровирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов. Сетевые вирусы - используют для своего распространения протоколы или команды компьютерных сетей и электронной почты. По способу заражения Резидентные вирусы при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения ОС к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки ОС. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Особенности алгоритма работы Полиморфик - вирусы (polymorphic) достаточно трудно поддаются обнаружению; они не имеют сигнатур, т. е. не содержат ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. Использование «стелс» алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным "стелс"-алгоритмом является перехват запросов ОС на чтение-запись зараженных объектов и затем "стелс"-вирусы либо временно лечат их, либо подставляют вместо себя незараженные участки информации. По деструктивным возможностям Неопасные, влияние которых ограничивается уменьшением свободной памяти на диске, графическими, звуковыми и другими внешними эффектами; Опасные, которые могут привести к сбоям и зависаниям при работе компьютера; Очень опасные, активизация которых может привести к потере программ и данных (изменению или удалению файлов и каталогов), форматированию винчестера и так далее. Дополнительные типы вирусов Зомби (Zombie) - это программа- вирус, которая после проникновения в компьютер, подключенный к сети Интернет управляется извне и используется злоумышленниками для организации атак на другие компьютеры. Зараженные таким образом компьютеры-зомби могут объединяться в сети, через которые рассылается огромное количество нежелательных сообщений электронной почты, а также распространяются вирусы и другие вредоносные программы. Шпионские программы Шпионская программа (Spyware) - это программный продукт, установленный или проникший на компьютер без согласия его владельца, с целью получения практически полного доступа к компьютеру, сбора и отслеживания личной или конфиденциальной информации. Разновидности шпионских программ: Фишинг (Phishing) - это почтовая рассылка имеющая своей целью получение конфиденциальной финансовой информации. Такое письмо, как правило, содержит ссылку на сайт, являющейся точной копией интернет-банка или другого финансового учреждения. Фарминг – это замаскированная форма фишинга, заключающаяся в том, что при попытке зайти на официальный сайт интернет банка или коммерческой организации, пользователь автоматически перенаправляется на ложный сайт, который очень трудно отличить от официального сайта. Основной целью злоумышленников, использующих Фарминг, является завладение личной финансовой информацией пользователя. Каналы распространения Внешние накопители В настоящее время USB-флешки заменяют дискеты и повторяют их судьбу — большое количество вирусов распространяется через съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, цифровые плееры (MP3-плееры), сотовые телефоны. Использование этого канала преимущественно обусловлено возможностью создания на накопителе специального файла autorun.inf, в котором можно указать программу, запускаемую Проводником Windows при открытии такого накопителя. Флешки — основной источник заражения для компьютеров, не подключённых к сети Интернет. Интернет и локальные сети (черви) Черви — вид вирусов, которые проникают на компьютер-жертву без участия пользователя. Черви используют так называемые «дыры» (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер. Каналы распространения Электронная почта Сейчас один из основных каналов распространения вирусов. Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. Системы обмена мгновенными сообщениями Так же распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и через другие программы мгновенного обмена сообщениями. Веб-страницы Возможно также заражение через страницы Интернет ввиду наличия на страницах всемирной паутины различного «активного» содержимого: скриптов, ActiveX-компоненты, Java-апплетов Признаки появления вируса • прекращение работы или неправильная работа ранее успешно функционировавших программ; • медленная работа компьютера; • невозможность загрузки операционной системы; • исчезновение файлов и каталогов или искажение их содержимого; • изменение даты и времени модификации файлов; • изменение размеров файлов; • неожиданное значительное увеличение количества файлов на диске; • существенное уменьшение размера свободной оперативной памяти; • вывод на экран непредусмотренных сообщений или изображений; • подача непредусмотренных звуковых сигналов; • частые зависания и сбои в работе компьютера. СТРУКТУРА КОМПЬЮТЕРHОГО ВИРУСА Голова. Головой называется часть вируса, которая первой получает управление. Хвост. Хвост вируса - это части вируса, расположенные отдельно от головы. Способы заражения программ метод приписывания. Код вируса приписывается к концу файла заражаемой программы, и тем или иным способом осуществляется переход вычислительного процесса на команды этого фрагмента; метод оттеснения. Код вируса располагается в начале зараженной программы, а тело самой программы приписывается к концу. метод вытеснения. Из начала (или середины) файла «изымается» фрагмент, равный по объему коду вируса, и приписывается к концу файла. Сам вирус записывается в освободившееся место. прочие методы. Технологии обнаружения вирусов Технологии сигнатурного анализа Технологии вероятностного анализа - эвристический анализ - поведенческий анализ - анализ контрольных сумм