6.2.1.11 Lab - Anatomy of Malware

МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»

Кафедра защищенных систем связи

ОТЧЁТ

по лабораторной работе № 6.2.1.11 на тему: Lab - Anatomy of Malware

по дисциплине «Безопасность компьютерных систем»

Выполнили: студенты группы ИКТК-96

Беляев Д.М.

Пухов Д. А. Орлов М.А.

Принял: доцент

Кушнир Д.В.

Лабораторная работа. Структура вредоносного ПО

1. Задачи

Изучение и анализ вредоносного ПО

2. Общие сведения и сценарий

Вредоносным программным обеспечением называются различные типы опасных программ, которые можно использовать для причинения вреда компьютерным системам, кражи данных и обхода мер безопасности. Вредоносное ПО может также атаковать критически важную инфраструктуру, отключать экстренные службы, портить изделия на сборочных линиях, отключать электрические генераторы и нарушать работу транспорта. По оценкам специалистов по безопасности, ежедневно появляется более миллиона новых угроз в виде вредоносных программ. В отчете лаборатории McAfee отмечено почти 500 миллионов известных вредоносных программ (данные на конец 2015 г.).

Примечание. Для поиска информации о проблемах безопасности можно использовать веб-обозреватель на виртуальной машине, установленной в ходе предыдущей лабораторной работы. С помощью этой виртуальной машины можно предотвратить установку вредоносного ПО на вашем компьютере.

3. Необходимые ресурсы

• ПК или мобильное устройство с доступом к Интернету

4. Поиск нового вредоносного ПО

1. С помощью привычной поисковой системы выполните поиск недавно появившегося вредоносного ПО. Во время поиска выберите четыре примера вредоносного ПО, каждый из разных категорий вредоносного ПО, и будьте готовы подробно обсудить возможности каждого, способы его распространения и последствия заражения им.

Примеры типов вредоносного ПО: троян, мошенническое, рекламное, вредоносное ПО, PUP, эксплойт и уязвимость. Ниже перечислены некоторые веб-сайты, рекомендуемые для поиска вредоносного ПО.

McAfee

Malwarebytes

Security Week

TechNewsWorld

• Вымогатель (ransomware) – пример программа Win32/Virlock. Вредоносная программа Win32/Virlock представляет из себя первый известный на сегодняшний день вымогатель (ransomware), который специализируется на заражении исполняемых файлов, т. е. ведет себя как файловый вирус. Virlock умеет блокировать рабочий стол пользователя с требованием выкупа, шифровать файлы пользователя, а также размножать свое тело как полиморфный вирус.

• Троян – пример DanaBot DanaBot. имеет модульную архитектуру. В основе большинства его функций – плагины:

— VNC – устанавливает соединение с компьютером жертвы и удаленно управляет им;

— Sniffer – внедряет вредоносный скрипт в браузер жертвы, как правило, при посещении банковских сайтов;

— Stealer – собирает пароли из широкого спектра приложений (браузеры, FTP-клиенты, VPN-клиенты, чаты и почтовые клиенты, онлайн-покер и пр.);

— TOR – устанавливает TOR прокси и обеспечивает доступ к сайтам .onion.

• Ботнет Backdoor.Win32.Bredolab. представляют собой набор программного обеспечения, который может состоять из вирусов, брандмауэров, программ для удаленного управления компьютером, а также инструментов для скрытия от операционной системы

• Рекламное ПО –нежелательная программа, написанная для того, чтобы забрасывать экран компьютера рекламными сообщениями (чаще всего во время использования браузера). Некоторые специалисты в области кибербезопасности рассматривают рекламное ПО как предшественника современных потенциально нежелательных программ. Как правило, подобные объекты используют мошеннические методы, чтобы принудить пользователя установить их на свой ПК, планшетный компьютер или мобильное устройство: они выдают себя за обычные программы или проникают в систему в качестве "дополнительной нагрузки" при установке других приложений.

2. Ознакомьтесь с информацией о вредоносном ПО, обнаруженном на шаге 1а, выберите один экземпляр и составьте краткое описание, в котором объясните, как функционирует выбранное вами вредоносное ПО, как оно распространяется и какое влияние оказывает.

Совсем недавно замечен новый вирус, поражающий компьютеры и системы, имеющие отношение к России. Первые провели анализ появившегося вируса специалисты компании VMware занимающаяся разработкой ПО по виртуализации.

Вредоносное программное обеспечение получило название RuRansom, хотя на самом деле оно не требует выкуп («ransom»), а полностью уничтожает всю захваченную информацию на персональном компьютере.

Впервые заговорили о появлении вредоносного кода RuRansom специалисты компании Trend Micro занимающейся информационной безопасностью еще в марте 2022 года.

После заражения в пояснительной записке высвечивающейся на экране монитор, а отображается информация от автора вредоносного кода. На самом деле автор создал вирус с единственной целью, чтобы навредить всем русскоязычным пользователям и владельцам компьютеров. О каком-либо выкупе для получения противоядия в сообщении нет.

Запуск программы возможен только Российскими пользователями, это подтверждается и проверкой вируса по геолокационным данным, с запросом публичного адреса IP в распространенные сервисы проверки местоположения. Пользователи не из России, пожелавшие запустить вирус вручную, получат сообщение о том, что «Программу может запустить только Российский пользователь» и программа автоматически закрывается.