Различный род разрушающих программных воздействий - вирусов, троянских коней, руткитов

Аннотация

Компьютер и Интернет давно уже  стали неотъемлемой частью нашей  жизни, и проблема сохранности данных в наше время особенно актуальна. Новые вирусы и другие вредоносные  программы появляются практически  каждый день, заражая тысячи компьютеров  по всему миру. Современные антивирусные программы различными способами пытаются обнаружить и удалить компьютерные вирусы и другие вредоносные программы, не допустить их проникновение в систему и распространение. Они постоянно совершенствуются разработчиками, но, несмотря на это, ни одна из них не способна дать 100 % защиту.

Целью данной курсовой работы было изучение различного рода разрушающих  программных воздействий (вирусов, троянских коней, руткитов и т.д.) и написание на основе полученных знаний реферата.

 

Оглавление

 

Основная часть

1. Предназначение вредоносных программ

Все (или почти все) изобретения, технологии массового использования  – рано или поздно становились инструментом в руках хулиганов, мошенников, вымогателей и прочих преступников. Как только появляется возможность использования чего-либо в хулиганских или преступных целях – обязательно появляются те, кто применяет новые технологии совсем не так, как было задумано изобретателями этих технологий, а совсем наоборот – в корыстных целях или в целях личного самоутверждения, во вред всем окружающим. Не избежали этой участи и компьютеры, мобильные телефоны, компьютерные и мобильные сети. Как только эти технологии стали массово использоваться – они тут же попали в недоброжелательные руки.

1.1. Категории вирусописателей

Основная масса вирусов и троянских программ в прошлом создавалась студентами и школьниками, которые только что изучили язык программирования, хотели попробовать свои силы, но не смогли найти для них более достойного применения. Такие вирусы писались и пишутся по сей день только для самоутверждения их авторов.

Вторую группу создателей вирусов также составляют молодые люди (чаще – студенты), которые еще не полностью овладели искусством программирования. Единственная причина, толкающая их на написание вирусов, это комплекс неполноценности, который компенсируется компьютерным хулиганством. Из-под пера подобных «умельцев» часто выходят вирусы крайне примитивные и с большим числом ошибок («студенческие» вирусы).

Став старше и опытнее, многие из вирусописателей попадают в третью, наиболее опасную группу, которая создает и запускает в мир «профессиональные» вирусы. Такие вирусы нередко используют достаточно оригинальные алгоритмы проникновения в системные области данных, ошибки в системах безопасности операционных сред, социальный инжиниринг и прочие хитрости.

Отдельно стоит четвертая группа авторов вирусов – «исследователи», довольно сообразительные программисты, которые занимаются изобретением принципиально новых методов заражения, скрытия, противодействия антивирусам и т.д. Они же придумывают способы внедрения в новые операционные системы. Эти программисты пишут вирусы не ради собственно вирусов, а скорее ради исследования потенциалов «компьютерной фауны».

1.2. Мелкое хулиганство

С появлением и популяризацией платных  интернет-сервисов (почта, веб, хостинг) компьютерный андеграунд начинает проявлять  повышенный интерес к получению  доступа в сеть за чужой счет, т.е. посредством кражи чьего-либо логина и пароля (или нескольких логинов и паролей с различных пораженных компьютеров) путем применения специально разработанных троянских программ.

В начале 1997 года зафиксированы первые случаи создания и распространения  троянских программ, ворующих пароли доступа к системе AOL (интернет-провайдер America Online). В 1998 году, с дальнейшим распространением интернет-услуг, аналогичные троянские программы появляются и для других интернет-сервисов. Троянские программы данного типа, как и вирусы, обычно создаются молодыми людьми, у которых нет средств для оплаты интернет-услуг.

 В последние годы фиксируется постоянно увеличивающееся число троянских программ, ворующих персональную информацию из сетевых игр (игровую виртуальную собственность) с целью её несанкционированного использования или перепродажи. Подобные троянцы особенно широко распространены в странах Азии, особенно в Китае, Корее и Японии.

1.3. Криминальный бизнес

Наиболее опасную категорию  вирусописателей составляют хакеры-одиночки или группы хакеров, которые осознанно создают вредоносные программы в корыстных целях. Диапазон деятельности данной категории граждан весьма широк.

 

Обслуживание спам-бизнеса

Для рассылки спама создаются специализированные «зомби-сети» из троянских прокси-серверов (proxy server – утилита для анонимной работы в сети, обычно устанавливается на выделенный компьютер) или многоцелевых троянских программ с функционалом прокси-сервера. Затем троянские прокси-сервера получают от «хозяина» образец спама и адреса, на которые этот спам рассылать.

Распределённые сетевые атаки

Сетевые ресурсы (например, веб-сервера) имеют ограниченные возможности  по количеству одновременно обслуживаемых  запросов – это количество ограничено как мощностями самого сервера, так и шириной канала, которым он подключён к интернету. Посредством «зомби-сети» достаточного размера организуется массированная DDoS-атака (Distributed Denial of Service – распределённый отказ в обслуживании) на один или несколько интернет-ресурсов, приводящая к отказу атакуемых узлов сети. В результате обычные пользователи не в состоянии получить доступ к атакованному ресурсу. Для развёртывания подобных сетей создаются специализированные троянские программы – «боты» (от «robot»), которые централизованно управляются удалённым «хозяином». Этот троянец внедряется в тысячи, десятки тысяч или даже миллионы компьютеров. В результате «хозяин зомби-сети» (или «бот-сети») получает доступ к ресурсам всех заражённых компьютеров и использует их в своих интересах.

Воровство интернет-денег

А именно – создание, распространение и обслуживание троянских программ-шпионов, направленных на воровство денежных средств с персональных «электронных кошельков» (таких как e-gold, WebMoney). Троянские программы данного типа собирают информацию о кодах доступа к счетам и пересылают ее своему «хозяину». Обычно сбор информации осуществляется поиском и расшифровкой файлов, в которых хранятся персональные данные владельца счёта.

Воровство банковской информации

В текущее время – один из самых распространённых видов криминальной деятельности в интернете. Под ударом оказываются номера кредитных банковских карт и коды доступа к обслуживаемым через интернет персональным (а если «повезет» – то и корпоративным) банковским счетам («интернет-бэнкинг»).

Воровство прочей конфиденциальной информации

Внимание злоумышленников может  привлечь не только финансовая или  банковская, но и любая другая информация, представляющая какую-либо ценность – базы данных, техническая документация и т.п.

Кибер-шантаж

Злоумышленником разрабатывается троянская программа, шифрующая персональные файлы пользователя. Троянец тем или иным способом внедряется в систему, ищет и шифрует пользовательские данные, а после окончания работы оставляет сообщение о том, что файлы восстановлению не подлежат, а купить программу-расшифровщик можно по указанному в сообщении адресу.

Другой известный метод кибер-шантажа  – архивация пользовательских файлов в архив, зашифрованный достаточно длинным паролем. После архивации оригинальные файлы удаляются – и затем следует требование перевода некоторой денежной суммы в обмен на пароль к архиву.

Данный способ кибер-преступления (шифрование данных) является критически опасным с технической точки  зрения, поскольку если в других случаях от последствий действия троянской программы можно защититься, то здесь приходится иметь дело со стойкими алгоритмами шифрования. При использовании подобных алгоритмов и ключей (паролей) достаточной длины, задача восстановления файлов без информации от злоумышленника станет технически неразрешимой.

Разработка «средств доставки»

Для обслуживания описанных выше видов  криминальной деятельности в интернете  кибер-преступниками разрабатываются  и распространяются сетевые черви, которые становятся причиной многочисленных интернет-эпидемий. Основной задачей таких червей является установка криминальных троянских программ на максимально большое количество компьютеров в глобальной сети. Примерами таких червей являются нашумевшие в 2004 году Mydoom и Bagle, а в 2006 году – почтовый червь Warezov.

Точечные атаки

В отличие от массовых атак, рассчитанных на поражение как можно большего числа компьютеров, точечные атаки  преследуют совершенно другие цели – заражение сети конкретной компании или организации или даже внедрение специального разработанного троянца-агента в единственный узел (сервер) сетевой инфраструктуры. Под ударом оказываются компании, обладающие достаточно ценной информацией – банки, биллинговые компании (например, телефонные компании) и т.п.

Прочие виды криминальной деятельности

Существуют и другие виды преступного компьютерного бизнеса, которые пока не получили достаточно широкого распространения. Например, это воровство (сбор) обнаруженных на заражённых машинах электронных почтовых адресов – и продажа их спамерам. Это поиск уязвимостей в операционных системах и приложениях – и продажа их другим компьютерным преступникам. Это также разработка и продажа троянских программ «на заказ», и так далее. Весьма вероятно, что с развитием существующих и появлением новых интернет-сервисов будут появляться и новые методы совершения интернет-преступлений.

 

2. Способы проникновения в систему

Необходимой для вирусописателей  и кибер-преступников задачей является внедрение вируса, червя или троянской  программы в компьютер-жертву или  мобильный телефон. Достигается  эта цель различными способами, которые делятся на две основные категории:

● социальная инженерия (также употребляется термин «социальный инжиниринг» – калька с английского «social engineering»);

● технические приёмы внедрения вредоносного кода в заражаемую систему без ведома пользователя.

Часто эти способы используются одновременно. При этом так же часто  используются специальные меры по противодействию  антивирусным программам.

2.1. Социальная инженерия

Методы социальной инженерии тем  или иным способом заставляют пользователя запустить заражённый файл или открыть ссылку на заражённый веб-сайт. Эти методы применяются не только многочисленными почтовыми червями, но и другими видами вредоносного программного обеспечения.

Задача хакеров и  вирусописателей – привлечь внимание пользователя к заражённому файлу (или HTTP-ссылке на заражённый файл), заинтересовать пользователя, заставить его кликнуть по файлу (или по ссылке на файл). «Классикой жанра» является нашумевший в мае 2000 года почтовый червь LoveLetter, до сих пор сохраняющий лидерство по масштабу нанесённого финансового ущерба, согласно данным от Computer Economics. Сообщение, которое червь выводил на экран, выглядело следующим образом:

 

 

На признание «I LOVE YOU» среагировали очень многие, и в результате почтовые сервера больших компаний не выдержали нагрузки – червь рассылал свои копии по всем контактам из адресной книги при каждом открытии вложенного VBS-файла.

Почтовый червь Mydoom, «рванувший» в интернете в январе 2004 г., использовал тексты, имитирующие технические сообщения почтового сервера.

Стоит также упомянуть  червь Swen, который выдавал себя за сообщение от компании Microsoft и маскировался под патч, устраняющий ряд новых уязвимостей в Windows (неудивительно, что многие пользователи поддались на призыв установить «очередную заплатку от Microsoft»).

В последнее время особую популярность приобрели не файлы, вложенные  в письмо, а ссылки на файлы, расположенные  на заражённом сайте. Потенциальной  жертве отправляется сообщение – почтовое, через ICQ или другой пейджер, реже – через интернет-чаты IRC (в случае мобильных вирусов обычным способом доставки служит SMS-сообщение). Сообщение содержит какой-либо привлекательный текст, заставляющий ничего не подозревающего пользователя кликнуть на ссылку. Данный способ проникновения в компьютеры-жертвы на сегодняшний день является самым популярным и действенным, поскольку позволяет обходить бдительные антивирусные фильтры на почтовых серверах.

Используются также  возможности файлообменных сетей (P2P-сети). Червь или троянская программа выкладывается в P2P-сеть под разнообразными «вкусными» названиями, например:

● AIM & AOL Password Hacker.exe

● Microsoft CD Key Generator.exe

● PornStar3D.exe

● play station emulator crack.exe

В поиске новых программ пользователи P2P-сетей натыкаются на эти имена, скачивают файлы и запускают их на выполнение.

Также достаточно популярны «разводки», когда жертве подсовывают бесплатную утилиту или инструкцию по взлому различных платёжных систем. Например, предлагают получить бесплатный доступ к интернету или сотовому оператору, скачать генератор номеров кредитных карт, увеличить сумму денег в персональном интернет-кошельке и т.п. Естественно, что пострадавшие от подобного мошенничества вряд ли будут обращаться в правоохранительные органы (ведь, по сути, они сами пытались заработать мошенническим способом), и интернет-преступники вовсю этим пользуются.

2.2. Технологии внедрения

Эти технологии используются злоумышленниками для внедрения в систему вредоносного кода скрытно, не привлекая внимания владельца компьютера. Осуществляется это через уязвимости в системе безопасности операционных систем и в программном обеспечении. Наличие уязвимостей позволяет изготовленному злоумышленником сетевому червю или троянской программе проникнуть в компьютер-жертву и самостоятельно запустить себя на исполнение.

Уязвимости являются, по сути, ошибками в коде или в логике работы различных  программ. Современные операционные системы и приложения имеют сложную  структуру и обширный функционал, и избежать ошибок при их проектировании и разработке просто невозможно. Этим и пользуются вирусописатели и компьютерные злоумышленники.

В последние годы одним из наиболее популярных способов заражения стало  внедрение вредоносного кода через  веб-страницы. При этом часто используются уязвимости в интернет-браузерах. На веб-страницу помещается заражённый файл и скрипт-программа, которая использует уязвимость в браузере. При заходе пользователя на заражённую страницу срабатывает скрипт-программа, которая через уязвимость закачивает заражённый файл на компьютер и запускает его там на выполнение.