Различный род разрушающих программных воздействий - вирусов, троянских коней, руткитов

Уязвимости, о которых становятся известно, достаточно оперативно исправляются компаниями-разработчиками, однако постоянно  появляется информация о новых уязвимостях, которые тут же начинают использоваться многочисленными хакерами и вирусописателями. При этом, к сожалению, имеет место тенденция сокращения временного промежутка между появлением информации об очередной уязвимости и началом её использования червями и троянцами. В результате компании-производители уязвимого программного обеспечения и разработчики антивирусных программ оказываются в ситуации цейтнота. Первым необходимо максимально быстро исправить ошибку, протестировать результат (обычно называемый «заплаткой», «патчем») и разослать его пользователям, а вторым – немедленно выпустить средство детектирования и блокирования объектов (файлов, сетевых пакетов), использующих уязвимость.

2.3. Способы преодоления антивирусной защиты

Поскольку цель компьютерных злоумышленников  – внедрить вредоносный код в компьютеры-жертвы, то для этого им необходимо не только вынудить пользователя запустить заражённый файл или проникнуть в систему через какую-либо уязвимость, но и незаметно проскочить мимо установленного антивирусного фильтра. Поэтому не удивительно, что злоумышленники целенаправленно борются с антивирусными программами. Используемые ими технические приёмы весьма разнообразны, но чаще всего встречаются следующие:

Упаковка и шифрование кода. Значительная часть (если не большинство) современных компьютерных червей и троянских программ упакованы или зашифрованы тем или иным способом. Более того, компьютерным андеграундом создаются специально для этого предназначенные утилиты упаковки и шифровки.

Мутация кода. Разбавление троянского кода «мусорными» инструкциями. В результате функционал троянской программы сохраняется, но значительно меняется её «внешний вид». Периодически встречаются случаи, когда мутация кода происходит в режиме реального времени – при каждом скачивании троянской программы с заражённого веб-сайта.

Скрытие своего присутствия. Так называемые «руткит-технологии», обычно используемые в троянских программах. Осуществляется перехват и подмена системных функций, благодаря которым зараженный файл не виден ни штатными средствами операционной системы, ни антивирусными программами. Иногда также скрываются ветки реестра, в которых регистрируется копия троянца, и другие системные области компьютера.

Остановка работы антивируса и системы получения обновлений антивирусных баз. Многие троянские программы и сетевые черви предпринимают специальные действия против антивирусных программ – ищут их в списке активных приложений и пытаются остановить их работу, портят антивирусные базы данных, блокируют получение обновлений и т.п. Антивирусным программам приходится защищать себя адекватными способами – следить за целостностью баз данных, прятать от троянцев свои процессы и т.п.

Атака количеством. Генерация и распространение в интернете большого количества новых версий троянских программ за короткий промежуток времени. В результате антивирусные компании оказываются «завалены» новыми образцами, на анализ которых требуется время, что даёт злоумышленному коду дополнительный шанс для успешного внедрения в компьютеры.

 

3. Классификация

Все вредоносные программы  необходимо как-то классифицировать. Существуют различные способы классификации:

По наличию материальной выгоды:

● не приносящие прямую материальную выгоду тому, кто разработал (установил) вредоносную программу:

● хулиганство;

● шутка;

● вандализм, в том числе на религиозной, националистической, политической почве;

● самоутверждение, стремление доказать свою квалификацию;

● приносящие прямую материальную выгоду злоумышленнику:

● хищение конфиденциальной информации, включая получение доступа к системам банк-клиент, получение PIN кодов кредитных карточек и т. д.;

● получение контроля над удаленными компьютерными системами с целью распространения спама с многочисленных компьютеров-зомби;

● получение контроля над удаленными компьютерными системами с целью организации распределенных атак на отказ в обслуживании(DDoS);

● предлагающие оплатить несуществующие услуги, например, по якобы удалению вирусов с ПК (ложные антивирусы, rogueware)[1];

● напрямую вымогающие деньги пользователя, например, требующие отправить платное СМС для того, чтобы разблокировать зараженный ПК [2]

По цели разработки:

● программное обеспечение, которое изначально разрабатывалось специально для обеспечения получения несанкционированного доступа к информации, хранимой на ЭВМ с целью причинения вреда (ущерба) владельцу информации и/или владельцу ЭВМ (сети ЭВМ).

● программное обеспечение, которое изначально не разрабатывалось специально для обеспечения получения несанкционированного доступа к информации, хранимой на ЭВМ и изначально не предназначалось для причинения вреда (ущерба) владельцу информации и/или владельцу ЭВМ (сети ЭВМ).

По методам распространения:

● Троянская программа – не имеет собственных механизмов распространения.

● Компьютерный вирус – распространяется в пределах одного компьютера. На другой компьютер вирус может «перепрыгнуть» только при непреднамеренном распространении заражённых файлов – например, через внешние носители.

● Сетевой червь – распространяется по сети.

● Руткит – загружается трояном или злоумышленником собственноручно, после получения им доступа к системе.

Остановимся подробно на классификации по методам распространения, а также рассмотрим вредоносные программы, разработанные для автоматизации создания других вирусов, червей или троянских программ, и программы типа Adware, Pornware и Riskware.

3.1. Троянские программы

Троянская программа (также – троян, троянец, троянский конь, трой) – вредоносная программа, проникающая на компьютер под видом безвредной – кодека, скринсейвера, хакерского ПО и т. д.

«Троянские кони» не имеют собственного механизма распространения, и этим отличаются от вирусов, которые распространяются, прикрепляя себя к безобидному ПО или документам, и «червей», которые копируют себя по сети. Впрочем, троянская программа может нести вирусное тело – тогда запустивший троянца превращается в очаг «заразы».

Троянские программы крайне просты в написании: простейшие из них состоят  из нескольких десятков строк кода на Visual Basic или C++.

Название «троянская программа» происходит от названия «троянский конь» – деревянный конь, по легенде, подаренный древними греками жителям Трои, внутри которого прятались воины, впоследствии открывшие завоевателям ворота города. Такое название, прежде всего, отражает скрытность и потенциальное коварство истинных замыслов разработчика программы.

Вредоносное действие

Троянская программа, будучи запущенной на компьютере, может:

● мешать работе пользователя (в шутку, по ошибке или для достижения каких-либо других целей);

● шпионить за пользователем;

● использовать ресурсы компьютера для какой-либо незаконной (а иногда и наносящей прямой ущерб) деятельности;

● и т. д.

Маскировка

Для того, чтобы спровоцировать пользователя запустить троянца, файл программы (его название, иконку программы) называют служебным именем, маскируют под  другую программу (например, установки другой программы), файл другого типа или просто дают привлекательное для запуска название, иконку и т. п. Злоумышленник может перекомпилировать существующую программу, добавив к её исходному коду вредоносный, а потом выдавать за оригинал или подменять его.

Чтобы успешно выполнять свои функции, троянец может в той или иной степени имитировать (или даже полноценно заменять) задачу или файл данных, под которые она маскируется (программа установки, прикладная программа, игра, прикладной документ, картинка). Схожие вредоносные и маскировочные функции также используются компьютерными вирусами, но в отличие от них, троянские программы не умеют распространяться самостоятельно.

Распространение

Троянские программы помещаются злоумышленником на открытые ресурсы (файл-серверы, открытые для записи накопители самого компьютера), носители информации или присылаются с помощью служб обмена сообщениями (например, электронной почтой) из расчета на их запуск на конкретном, входящем в определенный круг или произвольном «целевом» компьютере.

Иногда использование троянов  является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы.

 

 

Разновидности троянских программ

Основным признаком, по которому различают  типы троянских программ, являются их несанкционированные пользователем действия – те, которые они производят на заражённом компьютере.

Backdoor. Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов. Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д. Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в «бот-неты».

Exploit. Программы, в которых содержатся данные или исполняемый код, позволяющие использовать одну или несколько уязвимостей в программном обеспечении на локальном или удаленном компьютере с заведомо вредоносной целью. Обычно эксплойты используются злоумышленниками для проникновения на компьютер-жертву с целью последующего внедрения туда вредоносного кода.

Trojan-ArcBomb. Эти троянцы представляют собой архивы, специально сформированные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные – зависание или существенное замедление работы компьютера или заполнение диска большим количеством «пустых» данных.

Встречаются три типа подобных «бомб»:

● некорректный заголовок архива;

● повторяющиеся данные;

● одинаковые файлы в архиве.

Некорректный заголовок  архива или испорченные данные в  архиве могут привести к сбою в  работе конкретного архиватора или  алгоритма разархивирования при  разборе содержимого архива. Значительных размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой файл в архив небольшого размера (например, 5 ГБ данных упаковываются в 200 КБ RAR- или в 480 КБ ZIP-архив). Огромное количество одинаковых файлов в архиве также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10¹⁰⁰ одинаковых файлов в 30 KB RAR- или 230 KB ZIP-архив).

Trojan-Banker – предназначен для кражи пользовательской информации, относящейся к банковским системам, системам электронных денег и пластиковых карт.

Trojan-Clicker – предназначен для несанкционированного пользователем обращения к интернет-ресурсам. Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows).

Trojan-DDoS – предназначен для проведения несанкционированной пользователем DoS атаки с пораженного компьютера на компьютер-жертву по заранее определенному адресу.

Trojan-Downloader – предназначен для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем.

Trojan-GameThief – предназначен для кражи пользовательской информации, относящейся к сетевым играм.

Trojan-IM – предназначен для кражи пользовательских эккаунтов от интернет-пейджеров.

Trojan-Notifier – предназначен для несанкционированного пользователем сообщения своему «хозяину» о том, что заражённый компьютер сейчас находится «на связи». Данные троянские программы используются в многокомпонентных троянских наборах для извещения злоумышленника об успешной инсталляции вредоносных программ в атакуемой системе.

Trojan-Ransom – предназначен для несанкционированной пользователем модификации данных на компьютере-жертве таким образом, чтобы сделать невозможным работу с ними, либо блокировать нормальную работу компьютера. После того, как данные «взяты в заложники» (блокированы), пользователю выдвигается требование выкупа. Озвученную в требовании сумму жертва должна передать злоумышленнику, после чего злоумышленник обещает выслать программу для восстановления данных или нормальной работоспособности компьютера.

Trojan-SMS – предназначен для несанкционированной пользователем отсылки SMS-сообщений с пораженных мобильных устройств на дорогостоящие платные номера, которые «жестко» записаны в теле вредоносной программы.

Trojan-Spy – предназначен для ведения электронного шпионажа за пользователем (вводимая с клавиатуры информация, снимки экрана, список активных приложений и т.д.).

Trojan-Mailfinder – предназначен для несанкционированного пользователем сбора адресов электронной почты на компьютере. Украденные адреса используются злоумышленниками при проведении последующих рассылок вредоносных программ и спама.

Методы удаления

Трояны обладают множеством видов и форм, поэтому не существует абсолютно надёжной защиты от них.

Для обнаружения и удаления троянов необходимо использовать антивирусные программы. Если антивирус сообщает, что при обнаружении трояна он не может удалить его, то можно  попробовать выполнить загрузку ОС с альтернативного источника и повторить проверку антивирусом. Если троян обнаружен в системе, то его можно также удалить вручную (рекомендуется «безопасный режим»).

3.2. Компьютерные вирусы

Компьютерный вирус — разновидность  компьютерных программ, отличительной  особенностью которых является способность  к размножению (саморепликация). В  дополнение к этому вирусы могут  без ведома пользователя выполнять  прочие произвольные действия, в том  числе наносящие вред пользователю и/или компьютеру. По этой причине вирусы относят к вредоносным программам.