4. Закріплення в системі (Трояни, Руткіти, Back Doors т.Д.);

Троянський вірус або троянська програм - це тип шкідливих програм, що маскуються під легітимне ПО. Він часто використовується кіберзлочинцями для крадіжки особистих даних, спостереження за користувачами і діставання несанкціонованого доступу до систем.

Руткіт - це шкідлива програма, призначена для отримання зловмисниками прав суперкористувача на пристрої без відома жертви.

Методи виялвення

Порівняння двох "знімків" системи (наприклад, списку файлів на диску). Перший знімок робиться на перевіряється системі, другий – після завантаження з CD або підключення досліджуваного HDD до свідомо чистого комп'ютера. Подібна методика гарантовано дозволить виявити будь-який RootKit, який маскує на диску свої файли.

Порівняння даних, що повертаються API функціями різного рівня і (або) одержуваних низькорівневими методами (наприклад, прямим читанням диска і аналізом файлів реєстру). Дана методика не вимагає перезавантаження досліджуваного ПК і реалізована в безкоштовній утиліті RootkitRevealer від SysInternals (http://www.sysinternals.com). іншим прикладом може злучити утиліта KLister (www.rootkit.com) для побудови списку запущених процесів, яка складається з драйвера і консольної програми, що використовує цей драйвер;

Аналіз в пам'яті функцій основних бібліотек на предмет наявності змін їх машинного коду. Даний метод найбільш ефективний для боротьби з RootKit в призначеному для користувача режимі. Подібна методика дозволяє не тільки виявити перехоплення функцій, але і відновити нормальну роботу пошкоджених функцій. Крім того, порівняння» знімків " системи, отриманих до і після відновлення функцій API в багатьох випадках дозволяє виявити маскуються процеси, сервіси і драйвери. Дана методика не вимагає перезавантаження і один з варіантів реалізований в моїй утиліті AVZ;

Аналіз і відновлення ServiceDescriptorTable. Дана методика дозволяє боротися з рядом перехоплювачів, що працюють в режимі ядра (власне, з перехоплювачами, заснованими на правці SDT). Практична реалізація-утиліта SDTRestore (http://www.security.org.sg/code/sdtrestore.html). однак відновлення SDT вплине на роботу всієї системи і може привести до дуже неприємних наслідків (в найпростішому випадку – повне зависання системи з виходом на BSoD, в гіршому – непередбачуване порушення нормальної роботи додатків, перехоплюючих NativeAPI для реалізації своїх функцій).

Backdoor - шкідлива програма, а іноді навмисно залишена лазівка в коді легальної програми, яка надає доступ до пристрою для несанкціонованих дій. Бекдор в точності відповідає своїй назві (від англ. Back door - «чорний хід»): приховано впускає зловмисника в систему, наділяючи правами адміністратора.

Оскільки мета комп'ютерних зловмисників - впровадити шкідливий код в комп'ютери-жертви, то для цього їм необхідно не тільки змусити користувача запустити заражений файл або проникнути в систему через будь-яку вразливість, але і непомітно проскочити повз встановленого антивірусного фільтра. Тому не дивно, що зловмисники цілеспрямовано борються з антивірусними програмами. Використовувані ними технічні прийоми дуже різноманітні, але найчастіше зустрічаються такі:

1. Упаковка і шифрування коду. Значна частина (якщо не більшість) сучасних комп'ютерних черв'яків і троянських програм упаковані або зашифровані тим чи іншим способом. Більш того, комп'ютерним андеграундом створюються спеціально для цього призначені утиліти упаковки і шифровки. Наприклад, шкідливими виявилися абсолютно всі зустрілися в інтернеті файли, оброблені утилітами CryptExe, Exeref, PolyCrypt і деякими іншими.

Для детектування подібних черв'яків і Трої антивірусних програм доводиться або додавати нові методи розпакування і розшифровки, або додавати сигнатури на кожен зразок шкідливої ​​програми, що знижує якість детектування, оскільки не завжди всі можливі зразки модифікованого коду виявляються в руках антивірусної компанії.

2. Мутація коду. Розведення троянського коду «сміттєвими» інструкціями. В результаті функціонал троянської програми зберігається, але значно змінюється її «зовнішній вигляд». Періодично трапляються випадки, коли мутація коду відбувається в режимі реального часу - при кожному завантаженні троянської програми з зараженого веб-сайту. Тобто все або значну частину потрапляють з такого сайту на комп'ютери зразки троянця - різні. Прикладом застосування цієї технології є поштовий черв'як Warezov, кілька версій якого викликали значні епідемії у другій половині 2006 р

3. Приховування своєї присутності. Так звані «руткіт-технології» (від англ. «Rootkit»), як правило, використовується троянські програми. Здійснюється перехоплення і підміна системних функцій, завдяки яким заражений файл не видно ні штатними засобами операційної системи, ні антивірусними програмами. Іноді також ховаються гілки реєстру, в яких реєструється копія троянця, і інші системні області комп'ютера. Дані технології активно використовуються, наприклад, троянцем-бекдор HacDef.

4. Зупинка роботи антивіруса і системи отримання оновлень антивірусних баз (апдейтів). Багато троянські програми і мережеві черв'яки роблять спеціальні дії проти антивірусних програм - шукають їх в списку активних додатків і намагаються зупинити їх роботу, псують антивірусні бази даних, блокують отримання оновлень і т.п. Антивірусних програм доводиться захищати себе адекватними способами - стежити за цілісністю баз даних, ховати від троянців свої процеси і т.п.

5. Приховування свого коду на веб-сайтах. Адреси веб-сторінок, на яких прис5утні троянські файли, рано чи пізно стають відомі антивірусним компаніям. Природно, що подібні сторінки потрапляють під пильну увагу антивірусних аналітиків - вміст сторінки періодично скачується, нові версії троянських програм заносяться в антивірусні оновлення. Для протидії цьому веб-сторінка модифікується спеціальним чином - якщо запит йде з адреси антивірусної компанії, то скачується якийсь нетроянскій файл замість троянського.

6. Атака кількістю. Генерація та поширення в інтернеті великої кількості нових версій троянських програм за короткий проміжок часу. В результаті антивірусні компанії виявляються «завалені» новими зразками, на аналіз яких потрібен час, що дає зловмисно коду додатковий шанс для успішного впровадження в комп'ютери.