10 Вредоносные программы
Понятие «вредоносные программы» достаточно обширно и включает в себя множество видов специализированного ПО, среди которого выделяют: вирусы, троянских коней, логические бомбы, червей, шпионов и многое другое. Несмотря на бурное развитие антивирусов, вредоносные программы до сих пор представляют большую угрозу любой ИТ-инфраструктуре и ежегодно приносят большие убытки организациям различного размера.
В настоящее время программы данного типа конструируются таким образом, чтобы оставаться незамеченными для пользователя и антивирусных программ. Часть из них использует вычислительные ресурсы компьютера жертвы в целях получения выгоды атакующим. Зараженный компьютер может являться частью распределенной системы вычислений или стать частью ботнета и совершать распределенные атаки.
Вредоносные программы также позволяют шпионить за пользователем. Некоторые виды такого ПО могут отслеживать все нажатия клавиш, делать снимки экрана, определять запущенные процессы и программы. ПО такого типа разрабатывается и вполне официальными компаниями. Организации используют его для слежения за тем, как сотрудники используют свое рабочее время.
Еще одна разновидность данных программ занимается вымогательством. Они могут шифровать данные не только на компьютере жертвы, но и на доступных ей сетевых ресурсах. Также атаке могут подвергнуться и загрузочные сектора. После шифрования жертве предлагается перечислить определенную сумму денег на счет атакующего, в противном случае его файлы могут быть безвозвратно потеряны.
Далее мы рассмотрим подробнее различные виды вредоносных программ.
Вирусы
Наверное, самый старый и хорошо известный тип вредоносных программ. Так что же позволяет выделить его в самостоятельную категорию? Если не углубляться в детали, то вирус — это самореплицирующаяся программа, способная внедряться
Вирусы 143
в другую программу. Некоторые из них начинают работать сразу же после того, как были запущены, другие ждут определенного события — это может быть какая-либо дата или команда извне.
Основными видами деятельности вирусов являются: изменения данных, инфицирование программ, саморепликация, самошифрование, изменение параметров ПО, уничтожение данных, повреждение оборудования, полиморфизм. Хотим заметить, что это далеко не полный список. Ежедневно появляются вирусы, обладающие новым набором характеристик, мы привели лишь самые яркие примеры.
В классическом понимании у вируса есть свой жизненный цикл, в котором обычно выделяют шесть стадий.
1.Разработка. Подразумевает создание вируса, во время которого автор пишет его самостоятельно или использует один из широкодоступных генераторов вирусов.
2.Репликация. После распространения вируса автором он начинает самостоятельно делать свои копии. Исходя из заложенных автором инструкций, вирус может создавать свои копии на машинах жертвы, а также пытаться заразить другие компьютеры.
3.Исполнение. Вирус начинает делать то, что хотел его создатель. Это может быть шифрование или уничтожение данных, осуществление атак на удаленный хост
имногое другое.
4.Обнаружение. Через какое-то время о существовании вируса становится известно разработчикам антивирусного ПО, которые начинают разработку инструментов, позволяющих бороться с ним.
5.Добавление. Создатели антивирусного ПО находят способ борьбы с вирусом
исоздают обновление для своих продуктов или специальные инструменты, которые становятся доступными широкому кругу пользователей.
6.Подавление. Антивирусы, получившие последние обновления, обретают способность обнаруживать и подавлять вирус.
Следует заметить, что не все вирусы похожи друг на друга. Несмотря на общий жизненный цикл, искусно написанные вирусы существенно отличаются один от другого. Они могут распространяться не только через компьютерные сети, но и посредством таких носителей, как внешние USB-накопители. Могут заражать как исполняемые файлы, так и файлы библиотек динамической компоновки. Копии одного и того же вируса могут содержать разный код и выполнять различные действия, что сильно затрудняет его обнаружение.
Итак, мы разобрались с понятием и жизненным циклом вируса, теперь рассмотрим его основные типы.
1.Вирусы загрузочного сектора. Заражают основной загрузочный сектор (MBR) компьютера жертвы. Могут изменять ход загрузки компьютера, что приводит к загрузке вируса до старта операционной системы и средств защиты.
144 Глава 10 • Вредоносные программы
2.Макросы. Являются частью таких широко используемых программ, как Microsoft Excel и Word. Это скрипты, которые пишутся на языке VBA с целью облегчить и автоматизировать определенные процессы. Однако этот язык позволяет делать все то же, что и любой другой, а это значит, что на нем можно так же эффективно писать вирусы.
3.Кластерные вирусы. Изменяют таблицы расположения файлов на жестком диске таким образом, что вместо открытия нужного файла пользователь будет запускать вирус, и только после этого вирус запустит нужный пользователю файл, да и то не всегда.
4.Скрытые. Используют различные механизмы, которые помогают избежать обнаружения антивирусами.
5.Зашифрованные. Шифруют сами себя во избежание обнаружения антивирусами. Интереснее всего то, что алгоритм шифрования может меняться.
6.Перезаписывающие. Умеют внедряться в другой файл, что затрудняет их обнаружение. Некоторые вирусы могут даже подменять данные о реальном размере файла, дабы пользователь или антивирус не заметил происшедших изменений.
7.Редко проявляющиеся. Такие вирусы активируются, скажем, только после каждого пятнадцатого запуска или заражают только файлы строго определенного размера. Все это затрудняет их обнаружение.
8.Подражающие. Пытаются выдать себя за обычное ПО. Например, если на компьютере присутствует файл word.exe, такой вирус создаст файл с названием word.соm, который будет запускаться перед стартом word.exe.
9.Логические бомбы. Срабатывают только при определенных условиях. Это усложняет их обнаружение, поскольку до наступления определенного события они никак не проявляют себя.
10. Множественные. Используют для заражения различные векторы атак. Могут заразить загрузочный сектор или исполняемые файлы и создать множество своих копий. Это затрудняет их обнаружение и удаление. Если такой вирус не уничтожен полностью, он может воссоздать свои недостающие части.
11. Криптовирусы. Шифруют определенные файлы на диске жертвы. За расшифровку таких данных пользователю приходиться платить злоумышленнику.
Черви
Еще одна большая категория, характерная тем, что входящее в него ПО использует все возможности компьютерных сетей и сетевых сервисов для своей репликации и распространения.
В отличие от вирусов, основной характеристикой червей является их нацеленность на саморепликацию и распространение. Их основной особенностью является от-
Троянские кони 145
сутствие нацеленности на заражение каких-либо файлов, а также зависимости функционирования от действий пользователя. Они молниеносно распространяются по сети, генерируют много сетевого трафика и потребляют значительное количество ресурсов.
Черви могут содержать в себе вирус и заражать машины жертв, а также обладают способностью передавать данные с зараженных машин на сервер атакующего. Чаще всего для своего распространения они используют уязвимости в установленном ПО, однако не заражают его, чем существенно отличаются от вирусов.
Шпионы
Этот тип ПО создан для того, чтобы собирать всю возможную информацию о пользователе и передавать ее атакующему. Разумеется, шпионы устанавливаются на компьютер жертвы без ее ведома и работают скрытно.
Заражение шпионами может происходить множеством путей — они могут входить в состав другого, обычно бесплатного ПО и устанавливаться вместе с ним, а также могут пересылаться по электронной почте, устанавливаться на компьютер жертвы непосредственно атакующим и многими другими путями.
Рекламное ПО
Основное его предназначение — показ рекламы на компьютере жертвы. Обычно реклама показывается в виде всплывающих окон, также она может изменять домашнюю страницу браузера. Обычно распространяется через уязвимые интернетобозреватели или в составе инсталляторов бесплатных программ.
Троянские кони
Основной задачей троянских коней является обеспечение доступа атакующего к компьютеру жертвы. Такие программы стараются тщательно скрываться от антивирусов и никоим образом не раскрывать свое присутствие.
Используя троянского коня, атакующий может украсть информацию, установить стороннее ПО, загрузить или изменить файлы, а также следить за работой пользователя. Безусловно, для исполнения удаленных команд атакующего необходима среда передачи данных. Троянские кони могут осуществлять коммуникацию, используя два типа каналов: легитимные — например, предавать данные по HTTP, и скрытые, когда ПО создает свой собственный канал.
Троянских коней можно условно разделить на несколько типов:
1.Обеспечивающие атакующему удаленный доступ и управление компьютером жертвы.