1. Понятие вредоносного кода

Вредоносный код - это компьютерная программа, которая устанавливается на компьютер без ведома пользователя или с его ведома, но обманным путем. Такой код называется "вредоносным", поскольку его авторы стремятся причинить вред или неудобства другим либо создают его в мошеннических целях.

2. Способы проникновения вирусов на компьютер

-мобильные носители

-компьютерные сети:

А)локальные сети(ЛВС) – это компьютерная сеть, покрывающая относительно небольшую территорию. Практически все современные вирусы имеют встроенные процессоры инфицирования по локальным сетям и высокие темпы распространения.

Б) сеть интернет. Глобальная вычислительная сеть(ГВС)-это компьютерная сеть, покрывающая большие территории.(города, страны).

-электронная почта(это способ передачи информации в компьютерных сетях, основанный на пересылке пакетов данных, называемые электронными письмами).

3.Последствия заражений компьютерными вирусами.

1)несанкционированная рассылка электронных писем(Sircam)2) рассылка спама

3) несанкционированное использование сетевых ресурсов 4) несанкционированная атака на чужой сервер 5) удаленное управление компьютером 6) ботнеты- это группа компьютеров, которыми центрально управляет один злоумышленник 7) кража конфиденциальности информации 8)фишинг-метод кражи чужой информации

9)уничтожение информации 10)мистификации Hoaxes (англ.: hoax - обман, мистификация, шутка)

4. Правовые последствия создания компьютерных вирусов

Гл.28 уголовного кодекса РФ-преступление в сфере компьютерной информации.

Ст.146- «Нарушение авторских и смежных прав». Исправит. работа на срок до 1 года, либо арест до 6 месяцев. За те же деяния, совершенной группой лиц по предварительному сговору – лишение свободы до 6 лет со штрафом до 500 тыс. рублей.

Ст.138- «Нарушение тайной переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений». До 80 тыс. рублей, либо исправительными работами до 1 года. С использованием служебного положения: до 300 тыс., самое жесткое-лишение свободы до 4-х лет.

Ст.272- «Неправомерный доступ компьютерной информации». До 200 тыс. рублей, либо исправительная работа до 1 года, либо лишение свободы до 2-х лет. По предварительному сговору или группой лиц: до 300 тыс.рублей, либо лишение свободы до 5 лет.

Ст.273- «Создание, использование и распространение вредоносных программ для ЭВМ». Лишение свободы до 3-х лет, штраф до 200 тыс.р.

Те же деяния, повлекшие по неосторожности тяжкие последствия от 3-до 7 лет.

Ст.274- «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети». До 2-х лет, при тяжких до 4-х.

5. История создания компьютерных вирусов

Теоретическое создание КВ были заложены в 40-х годах 20 века американским ученым Д.Ф.Нейманом.

Впервые термин вирус применил Ф. Коэн. 3 ноября 1983 г. в университете Южная Калифорния США.

В 1946 г. была выпущена первая ЭВМ, которая называлась ENIAC, но до 1960 г., когда появились первые коммерческие компьютеры, вирусных инцидентов не было. Первый известный вирус наз-ся Pervading Animal(1975).

В 1969 г. в США создана первая глобальная сеть Арпанед, а уже в начале 1970 г. появился первый вирус, умеющий распр-ся по сети, который назывался Creeper.

1984г.- появление первых антивирусных программ(CH4BOMB, BOMBSQAD)- Энди Хопкинс.

1986 г.- первая глобальная эпидемия вирусов(Батист Фару, Амжад Алви).Создали первый Стелс Вирус, который ничего разумного не делал.

1987г.- написан первый вредоносный вирус Lehigh

Окт. 1988- первая известная вирусная мистификация

Нояб.1988- глобальная эпидемия червя Мориса.(автор стал первым человеком, осужденным за написание, распространение компьютерных вирусов.)

Дек.1989 г.- первая эпидемия Троянской программы, которая наз-ся AIDS Information Diskette.

В конце 90-х годов П.Нортон выпускает первую версию программы Nortor антивирус.

Июль 1992г.- первый общедоступный конструктор вирусов VCL.

Февраль 1995 г.- windows 95 были загружены дискеты с вирусом Form.

Август 1995 г.- вирус, пораждающий документы Microsoft Word, наз. Concept.

Февраль 1997 г.- появление вируса для неуязвимой системы LINUX , назыается Linus Bliss.

август 1998 г.- создание первой утилиты удал-го админ-я BackKdoor.BO

декабрь 1999г.- создание вирус-червя с функцией удаленного самообновления – BabyLonia.

26 марта 99г.-глобальная эпидемия вируса Melissa

5 мая 2000г.- появился Streef вирус LoveLetter

Август 2000г.- первый вирус для мобильных устройств Liberty

12 июля 2001 г.- вирус Code Red – первый представитель вирусов способен разможаться без использования файлов.

12 июля 2001 г.- обнаружен почтовый червь Sircam.

Октябрь 2001 г.-почтовый червь Tanatos/Bugbear.

Февраль 2004 г.- появление первого ISQ червя –Bizex, который был известен (Exploit). В 2004 г. разразилась война вирус-описателей.

Июнь 2004г.-первый вирус для Smartfon-OS Symbain называется он Cabir.(передается через блютус соединения)

27 февраль 2006г.- первая вредоносная программа для мобильных телефонов, способных использовать Java приложения (вирус ReadBrowser).

6. Известные эпидемии компьютерных вирусов

1986 г.- первая глобальная эпидемия вирусов(Батист Фару, Амжад Алви).Создали первый Стелс Вирус, который ничего разумного не делал.

Нояб.1988- глобальная эпидемия червя Мориса.(Р.Морис-23-х летний студент. Он стал первым человеком, осужденным за написание, распространение компьютерных вирусов.). Эпидемия поразила около шести тысяч узлов ARPANET. При сканировании компьютера червь определял, инфицирован ли уже компьютер или нет, и случайным образом выбирал, перезаписывать ли существующую копию, дабы обезопаситься от уловки с поддельной копией, внесённой системными администраторами. С определённой периодичностью программа так или иначе перезаписывала свою копию. Слишком маленькое число, заданное Робертом для описания периодичности, и послужило причиной первой в мире эпидемии сетевого червя.

Дек.1989 г.- первая эпидемия Троянской программы, которая наз-ся AIDS Information Diskette. Она заменяет AUTOEXEC.BAT. была введена в системы через диск, который был отправлен в список рассылки, автор которого был , д-р Джозеф Попп. Впоследствмм Попп был осужден.

26 марта 99г.-глобальная эпидемия вируса Melissa. Вирус Melissa поразил более миллиона пользователей и стал первым вредоносным кодом, распространяющимся посредством электронной почты.

7. Вирусы. Жизненный цикл. Классификация

Компью́терный ви́рус — разновидность компьютерных программ или вредоносный код, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру.

Жизненный цикл

Проникновение на чужой компьютер

Путями проникновения вируса могут служить как мобильные носители, так и сетевые соединения - фактически, все каналы, по которым можно скопировать файл

Активация

Для активации вируса необходимо, чтобы зараженный объект получил управление. Здесь деление вирусов происходит по типам объектов, которые могут быть заражены.

Поиск объектов для заражения

На данной стадии встречается два способа поведения вирусов.

-Получив управление, вирус производит разовый поиск жертв, после чего передает управление ассоциированному с ним объекту.

-Получив управление и оставшись в памяти, вирус производит поиск жертв непрерывно, до завершения работы среды, в которой он выполняется

Подготовка вирусных копий

При подготовке своих вирусных копий для маскировки от антивирусов могут применять такие технологии как:

-шифрование — вирус состоит из двух функциональных кусков: собственно вирус и шифратор. Каждая копия вируса состоит из шифратора, случайного ключа и собственно вируса, зашифрованного этим ключом;

-метаморфизм — создание различных копий вируса путем замены блоков команд на эквивалентные, перестановки местами кусков кода, вставки «мусорных» команд.

Соответственно в зависимости от используемых методов вирусы можно делить на шифрованные, метаморфные и полиморфные(полиморфный вирус — вирус, использующий метаморфный шифратор для шифрования основного тела вируса со случайным ключом).

Внедрение копий

Внедрение вирусных копий осуществляется двумя разными методами:

-внедрение вирусного кода непосредственно в заражаемый объект;(прием. вирусы)

-замена объекта на вирусную копию (прием. Черви и трояны).

Признаки деления вирусов:

1)среда обитания

-файловые-либо внедряются в выполняемые файлы, либо создают файлы двойники, либо используют особенности организации файловой сис.

-загрузочные-запис. себя либо в загр. сектор диска, либо в сектор сод. сис. загр. винчестера, либо меняют указатель на активный boot-сектор.

-макро-вирусы-зараж. Файлы и документы и эл. таблицы в популярных редакторах.

-сетевые-исп-т для своего распространения протоколы или команды комп-х сетей и эл. почты. 2)опер. система3)особенности алгоритма работы

-резидентность- при инфицировании ком-а оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них.

-исп-е стелс алгоритмов-позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алг-м является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо "подставляют" вместо себя незараженные участки информации. 

-самошифрование и полиморфичность- используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы - это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода.

-исп-е нестандартных приемов- используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре OC, защитить от обнаружения свою резидентную копию, затруднить лечение от вируса и т.д. 4)по дистр-м возможностям

- безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения); -неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами; - опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера; - очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.

8. Черви, жизненный цикл, классификация

Червь — тип вредоносных программ, распространяющихся по сетевым каналам, способных к автономному преодолению систем защиты автоматизированных и компьютерных сетей, а также к созданию и дальнейшему распространению своих копий и осуществлению иного вредоносного воздействия.

Жизненный цикл

Проникновение в систему

На данном этапе черви делятся по типам используемых протоколов:

Сетевые черви — черви, использующие для распространения протоколы Интернет и локальных сетей.

Почтовые черви — черви, распространяющиеся в формате сообщений электронной почты;

IRC-черви — черви, распространяющиеся по каналам IRC (Internet Relay Chat);

P2P-черви — черви, распространяющиеся при помощи пиринговых (peer-to-peer) файлообменных сетей;

IM-черви — черви, использующие для распространения системы мгновенного обмена сообщениями.

Способы активации

На этапе активации черви делятся на две большие группы, отличающиеся как по технологиям, так и по срокам жизни:

-Для активации необходимо активное участие пользователя

-Для активации участие пользователя не требуется вовсе либо достаточно лишь пассивного участия

Пассивное участие пользователя, например, просмотр писем в почтовом клиенте, при котором пользователь не открывает вложенные файлы, но его компьютер, тем не менее, оказывается зараженным.

Активное участие пользователя в активации червя означает, что пользователь был введен в заблуждение методами социальной инженерии. Поиск объектов для заражения

Поиск компьютера-жертвы полностью базируется на используемых протоколах и приложениях. Почтовый червь, производит сканирование файлов компьютера на предмет наличия в них адресов электронной почты, по которым в результате и производится рассылка копий червя.

Интернет-черви сканируют диапазон IP адресов в поисках уязвимых компьютеров. P2P черви кладут свои копии в общедоступные каталоги клиентов пиринговых сетей. IM-черви способны эксплуатировать списки контактов интернет-пейджеров, таких как ICQ, AIM, MSN Messenger, Yahoo! Messenger и др.

Подготовка копий для распространения

Некоторые черви способны рассылать свои копии в письмах, как с внедрением скрипта приводящего к автоматической активации червя, так и без внедрения. Это обусловлено двумя факторами: скрипт автоматической активации повышает вероятность запуска червя на компьютере пользователя, но при этом уменьшает вероятность проскочить антивирусные фильтры на почтовых серверах.

9. Трояны, жизненный цикл, классификация

Троян (троянский конь) — тип вредоносных программ, основной целью которых является вредоносное воздействие по отношению к компьютерной системе. У троянов отсутствует механизм создания собственных копий. Некоторые трояны способны к автономному преодолению систем защиты КС, с целью проникновения и заражения системы. В основном троян попадает в систему вместе с вирусом либо червем, в результате неосмотрительных действий пользователя или же активных действий злоумышленника.

Жизненный цикл

Способы проникновения

Существует два способа проникновения: маскировка и кооперация с вирусами и червями.

Активация

Оожидание запуска файла пользователем, либо использование уязвимостей для автоматического запуска.

Выполнение заложенных функций

Трояны делятся на типы по характеру выполняемых ими вредоносных действий:

клавиатурные шпионы — трояны, постоянно находящиеся в памяти и сохраняющие все данные, поступающие от клавиатуры с целью последующей передачи этих данных злоумышленнику.

похитители паролей — трояны, также предназначенные для получения файлов, в которых эти пароли хранятся различными приложениями.

утилиты удаленного управления — трояны, обеспечивающие полный удаленный контроль над компьютером пользователя.

люки (backdoor) — трояны предоставляющие злоумышленнику ограниченный контроль над компьютером пользователя. Обычно одними из действий являются возможность загрузки и запуска любых файлов по команде злоумышленника, что позволяет при необходимости превратить ограниченный контроль в полный.

анонимные smtp-сервера и прокси — трояны, выполняющие функции почтовых серверов или прокси и использующиеся в первом случае для спам-рассылок, а во втором для заметания следов хакерами.

утилиты дозвона — в скрытом от пользователя режиме инициируют подключение к платным сервисам Интернет.

модификаторы настроек браузера — трояны, которые меняют стартовую страницу в браузере, страницу поиска или еще какие-либо настройки, открывают дополнительные окна браузера, имитируют нажатия на баннеры и т. п.

логические бомбы — троянские составляющие червей и вирусов, суть работы которых состоит в том, чтобы при определенных условиях (дата, время суток, действия пользователя, команда извне) произвести определенное действие.

10. Другие вредоносные программы, классификация

Троянские кони (логические бомбы)

К троянским коням относятся программы, наносящие какие-либо разрушительные действия, т.е. в зависимости от каких-либо условий или при каждом запуске, выполняющие дестр. действия. Большинство известных троянских коней подделываются под какие-либо полезные программы. По сравнению с вирусами "троянские кони" не получают широкого распространения по достаточно простым причинам - они либо уничтожают себя вместе с остальными данными на диске, либо демаскируют свое присутствие и уничтожаются пострадавшим пользователем. К "троянским коням" также можно отнести "дропперы" вирусов - зараженные файлы, код которых подправлен таким образом, что известные версии антивирусов не определяют вируса в файле. Следует отметить также "злые шутки" (hoax). К ним относятся программы, которые не причиняют компьютеру какого-либо прямого вреда, однако выводят сообщения о том, что такой вред уже причинен, либо будет причинен при каких-либо условиях, либо предупреждают пользователя о несуществующей опасности.

Intended-вирусы

К таким вирусам относятся программы, которые на первый взгляд являются вирусами, но не способны размножаться по причине ошибок. Например, вирус, который при заражении "забывает" поместить в начало файлов команду передачи управления на код вируса, либо записывает в нее неверный адрес своего кода, либо неправильно устанавливает адрес перехватываемого прерывания (что в подавляющем большинстве случаев завешивает компьютер) и т.д. Конструкторы вирусов

Конструктор вирусов - это утилита, предназначенная для изготовления новых компьютерных вирусов. Они позволяют генерировать исходные тексты вирусов (ASM-файлы), объектные модули, и/или непосредственно зараженные файлы. Некоторые конструктороы (VLC, NRLG) снабжены стандартным оконным интерфейсом, где при помощи системы меню можно выбрать тип вируса, поражаемые объекты , наличие или отсутствие самошифровки, противодействие отладчику и т.п. Прочие конструкторы (PS-MPC, G2) не имеют интерфейса и считывают информацию о типе вируса из конфигурационного файла. Полиморфные генераторы

Полиморфик-генераторы, как и конструкторы вирусов, не являются вирусами в прямом смысле этого слова, поскольку в их алгоритм не закладываются функции размножения.Главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика. Во всех встречавшихся генераторах этот модуль содержит внешнюю функцию - вызов программы генератора. При желании автор полиморфик-вируса может подключить к своему вирусу любой известный полиморфик-генератор и вызывать его из кодов вируса. Физически это достигается следующим образом: объектный файл вируса линкуется с объектным файлом генератора, а в исходный текст вируса перед командами его записи в файл вставляется вызов полиморфик-генератора, который создает коды расшифровщика и шифрует тело вируса.

11. Признаки присутствия на компьютере вредоносных программ

Явные - вредоносная программа самостоятельно проявляет заметную активность

Косвенные - другие программы начинают выводить сообщения об ошибках или вести себя нестандартно из-за присутствия на компьютере вируса

Скрытые - ни явных ни косвенных проявлений вредоносная программа не имеет

Явные проявления(Характерны для троянских и в особенности для рекламных программ):

Изменение настроек браузера

Всплывающие и другие сообщения

Несанкционированный дозвон в Интернет( утилиты дозвона)

Косвенные проявления: В отличие от явных проявлений, косвенные проявления не всегда являются преднамеренными и нередко вызваны ошибками, допущенными автором вредоносной программы.

Блокирование антивируса

Блокирование антивирусных сайтов(нейтрализуют только возможность обновления антивирусных средств).

Сбои в системе или в работе других программ

Почтовые уведомления.

Скрытые проявления

В отсутствие явных или косвенных проявлений о присутствии вируса можно судить, например, по необычной сетевой активности, когда ни одно сетевое приложение не запущено, а значок сетевого соединения сигнализирует об обмене данными. Другими признаками могут служить незнакомые процессы в памяти или файлы на диске.