Антивирусная защита: Учебное пособие для защиты информационных ресурсов (С) Александр Вячеславович Фролов, 2004 Урок 2. Классификация других вредоносных программ Средства для получения несанкционированного доступа Комбинированные вредоносные программы
Урок 2. Классификация других вредоносных программПомимо рассмотренных на предыдущем уроке компьютерных вирусов, существует большое количество вредоносных программ другого типа, заслуживающих отдельного изучения. На втором уроке мы изучим следующие типы вредоносных программ: · черви; · логические бомбы; · троянские объекты; · программы Backdoor; · программные средства для получения несанкционированного доступа к компьютерным системам ЧервиОдин из наиболее опасных сегодня вредоносных программ, поражающих огромное количество компьютеров по всему миру, это программы-черви: Червь, программа-червь — программа, которая проникает в компьютерные системы, и выполняют какие-либо вполне определенные вредоносные функции или действия. Черви обычно проникают через сеть и рассылают себя на другие узлы сети В то время как компьютерные вирусы предназначены для бесконтрольного распространения, черви нацелены на выполнение каких-либо конкретных действий. Это может быть, например, преодоление защиты системы от несанкционированного доступа. Черви могут устанавливать на компьютер вирусы или вредоносные программы других типов, открывать злоумышленнику полный доступ к пораженной системе и выполнять другие вредоносные функции. Черви часто распространяются по каналам электронной почты, выводя из строя компьютеры и создавая значительный паразитный трафик в Интернете. Однако существуют и другие возможности для распространения червей, например, использование уязвимостей в системе безопасности ОС и приложений, установленных на серверах и персональных компьютерах. Червь может сначала проникнуть, или «заползти» на один компьютер, а потом перейти с него, или «переползти» на все другие или некоторые компьютеры сети. Благодаря таким свойствам компьютерный червь и получил свое название. Логические бомбыВредоносная программа может проявлять себя только при некоторых условиях. Такая программа называется логической бомбой: Логическая бомба — это программа или ее отдельные модули, которые при определенных условиях выполняют вредоносные действия Логическая бомба может быть «заложена» внутрь вредоносных программ другого типа, вызывая их срабатывание в заданное время. Логическая бомба может быть «доставлена» адресату при помощи электронной почты, вместе с вирусом или троянской программой, рассмотренной в следующем разделе. Троянские объектыТроянские объекты имеют двойное назначение. На первый взгляд, такие объекты предназначены для выполнения какой-либо полезной работы или содержат в себе какую-либо полезную информацию. Однако скрытое назначение троянских объектов наносит вред компьютерным системам или их владельцам. На сегодня известны троянские объекты следующих типов: · троянские программы; · троянские Web-сайты; · троянские сообщения электронной почты Рассмотрим эти типы троянских объектов. Троянские программыСреди всех троянских объектов наиболее известны троянские программы: Троянская программа маскируется под обычную программу, выполняя при этом наряду с обычными функциями и другие, вредоносные (возможны также случаи, когда троянская программа не выполняет никаких функций, кроме вредоносных) Вредоносные функции троянских программ определяются их разработчиками и могут быть самими разными. Запустив троянскую программу, пользователь может получить совершенно неожиданный результат. Например, могут быть уничтожены или изменены файлы, список паролей и контактов из базы данных почтовой программы могут быть отправлены через Интернет злоумышленнику. Троянская программа может служить носителем компьютерного вируса или вредоносного программного объекта другого типа. Чаще всего троянские программы распространяются в качестве программных файлов, присоединенных к сообщениям электронной почты. Но они также могут распространятся и по другим каналам, например, через пиринговые (файлообменные сети), серверы FTP и т.п. Троянские Web-сайтыВ Интернете существует много Web-сайтов, посещение которых может привести к тому, что на компьютер пользователя будут установлены вредоносные программные объекты. Это возможно из-за ошибок и в ОС и браузере, из-за ошибочных настроек ОС, а также из-за отсутствия на компьютере пользователя хотя бы простейших защитных программных средств. Упомянутые выше опасные Web-сайты используют самые разные приемы, чтобы привлечь внимание пользователя. Например, пользователю может быть обещан доступ к интересной или важной информации. Однако эффект от посещения вредоносного сайта будет совсем не таким, как ожидает пользователь. Эти опасные Web-сайты называются троянскими Web-сайтами, так как эффект от их посещения может быть аналогичен эффекту от запуска троянской программы: Троянским называется такой Web-сайт, при посещении которого на компьютер пользователя незаметно устанавливаются вредоносные программные компоненты Единственно надежным средством защиты от вредоносных свойств троянских Web-сайтов является корректная настройка ОС, а также применение межсетевых экранов в сочетании с антивирусными программами. Троянские сообщения E-MailСообщения электронной почты могут использоваться для переноса вредоносных программных объектов. Такие объекты присоединяются к телу сообщения в виде файлов, или встраиваются непосредственно в текст сообщения, имеющего формат HTML. Внешне сообщение электронной почты, содержащее в том или ином виде вредоносный программный код, может выглядеть как обычное, информационное. Однако стоит открыть такое сообщение для просмотра, и вредоносный код получит управление. Такое поведение напоминает поведение троянских программ, поэтому сообщения с вредоносным кодом можно назвать троянскими сообщениями электронной почты: Троянские сообщения электронной почты содержат вредоносные программные компоненты, которые активизируются, когда получатель просматривает текст сообщения Для борьбы с троянскими сообщениями электронной почты необходимо использовать антивирусное ПО, а также своевременно устанавливать исправления модулей ОС и почтовых программ. Программы BackdoorНекоторые вредоносные программы специально разрабатываются для получения несанкционированного (и незаметного) доступа к ресурсам компьютера. Такие программы как бы создают для злоумышленника «черный вход» в систему, поэтому они называются программами Backdoor: Программа Backdoor — это программа (или ее фрагмент), которая может быть внедрена на компьютер пользователя, предоставляя злоумышленнику возможность удаленного управления компьютером Функции Backdoor могут быть заложены в программу ее разработчиком, например, с целью получения в дальнейшем несанкционированного доступа к функциям программы или ко всей компьютерной системе пользователя программы. Возможность получения несанкционированного доступа может также образоваться в результате наличия ошибок в программах или операционных системах. Средства для получения несанкционированного доступаЧерез Интернет распространяются программные средства, предназначенные для получения несанкционированного доступа к компьютерам и компьютерным системам. Их можно разделить на следующие категории: · программы и сценарии, позволяющие получить несанкционированные доступ с помощью известных ошибок в прикладных программах и операционных системах; · программы, предназначенные для расшифровки зашифрованной парольной информации по словарям наиболее употребительных паролей, а также методом прямого перебора; · системы фильтрации сетевого трафика, позволяющие извлекать из потока данных парольную информацию, тексты передаваемых сообщений электронной почты, адреса посещенных ресурсов Интернета и другую чувствительную информацию; · троянские программы с функциями Backdoor, предоставляющие злоумышленнику доступ к системе пользователя, запустившего такую программу на выполнение Надо отметить, что злоумышленники постоянно совершенствуют средства, предназначенные для получения несанкционированного доступа к компьютерным системам. При этом они используют новые, только что обнаруженные дыры в защите программ и операционных систем. Все это означает, что для успешной борьбы с такими средствами необходимо не только использовать специальное защитное ПО, но и своевременно устанавливать пакеты исправления ошибок в ОС и в прикладных программах. Техника PhishingТехника с названием phishing используется с целью выманить у пользователя Интернета персональную информацию (пароли, пин-коды и т.д.). При этом злоумышленники могут направлять ему поддельные сообщения электронной почты. В этих сообщениях, отправленных, например, от имени популярного Web-сайта или банка, может говориться о том, что по той или иной причине пользователь должен выслать банку пароль или пин-код. Phishing — отправка почтового сообщения от чужого имени (например, от имени популярного Web-сайта или банка), с целью получить персональную информацию Для ввода пароля пользователь заманивается на поддельный сайт, повторяющий по своему дизайну сайт банка, другой компании или организации. Пользователю могут демонстрироваться всплывающие окна, копирующие сайт. Полученная персональная информация используется злоумышленниками в своих целях, например, для снятия денег с банковского счета пользователя. Поддельное сообщение может также содержать программу «клавиатурного шпиона», записывающего все действия пользователя с клавиатурой и отправляющего запись злоумышленнику. Такая программа может быть встроена автоматически (и незаметно) через троянский Web-сайт, на который заманивается пользователь. Программы SpywareВредоносные программы Spyware устанавливаются на компьютер пользователя и собирает о пользователе различную информацию о действиях пользователя. Обычно это информация, ценная для маркетологов, которая после сбора отсылается разработчику программы через Интернет. Однако программы Spyware могут собирать и другую информацию: · данные о качестве связи, способе подключения, скорости модема и т. д.; · информацию о содержании жесткого диска с целью составления списка ПО, установленного на компьютере у пользователя; · информацию о нажатых клавишах (клавиатурные шпионы); · приложения, с которыми работает пользователь; · сведения о посещении Web-сайтов и другой активности в Интернете; · содержимое сообщений электронной почты Spyware — программа, которая устанавливается на компьютер пользователя и собирает о пользователе различную информацию о действиях пользователя Для поиска у удаления программ spyware необходимо использовать специальное программное обеспечение, такое, например, как Ad-Aware. Программа Ad-Aware компании Lavasoft, специально создана для сканирования памяти и дисков компьютера с целью поиска и удаления программ типа spyware и adware. На сайте компании доступна как бесплатная, так и коммерческая версия этой программы. Защита от программ spyware может также быть организована силами провайдеров Интернета. Программы AdwareПрограммы adware отображают рекламную информацию на Вашем компьютере. Эти программы могут отображать на экране всплывающие окна с рекламными баннерами и текстом, даже при отсутствии подключения к Интернету. Adware — это программа, которая отображает рекламную информацию на Вашем компьютере Разработчики программ типа adware могут получать деньги от компаний, чьи товары и услуги рекламируются с их помощью. Для поиска у удаления программ adware необходимо использовать специальное программное обеспечение, такое, например, как Ad-Aware. Клавиатурный шпионСуществуют вредоносные программы, способные шпионить за действиями пользователя с клавиатурой. Такие программы сохраняют информацию о нажатых клавишах, а затем отправляют ее по сети злоумышленнику. Клавиатурный шпион — вредоносная программа, способная сохранять информацию о нажатых клавишах, а затем отправлять ее злоумышленнику через Интернет, локальную сеть или другими способами Клавиатурный шпион обычно используется для того, чтобы узнать пароли пользователя или другую конфиденциальную информацию, введенную с помощью клавиатуры. Комбинированные вредоносные программыВредоносные программные объекты могут быть комбинированными, сочетая в себе функции вредоносных программ практически всех описанных выше типов. Так, например, троянское почтовое сообщение может нести в своем теле компьютерный вирус или программу Backdoor, а также логическую бомбу. Компьютерный вирус, распространяющийся через файлы, может установить на компьютер загрузочный вирус или вирус любого другого типа, а также комбинацию вредоносных программ. В любое время можно ожидать появления все новых и новых комбинаций вредоносных программ и программных объектов. ИтогиНа 2 уроке мы отметили, что помимо компьютерных вирусов существуют и другие вредоносные программы, такие как черви, логические бомбы, троянские объекты, программы Backdoor, программы Spyware и Adware, клавиатурные шпионы, а также программы, предназначенные для получения несанкционированного доступа к компьютерным системам. В последнее время по распространенности такие вредоносные программы, как черви, троянские объекты и программы Backdoor, вышли на первое место, обогнав «обычные» компьютерные вирусы. По мере развития компьютерных технологий можно ожидать появления вредоносных программ новых типов, использующих возможности или особенности новых технологий. Осознавая это, уже сейчас некоторые антивирусные компании приступили к разработке антивирусных средств для мобильных телефонов, карманных компьютеров и другого аналогичного оборудования. |