Антивирусная защита: Учебное пособие для защиты информационных ресурсов (С) Александр Вячеславович Фролов, 2004 Урок 4. Вредоносное воздействие компьютерных вирусов Изменение содержимого секторов диска Воздействие на аппаратное обеспечение компьютеров Воздействие на систему в целом Получение несанкционированного доступа и похищение информации Урок 4. Вредоносное воздействие компьютерных вирусовБольшинство вирусов и вредоносных программ не только размножаются, они еще выполняют вредоносные действия, предусмотренные их автором. У разных вирусов эти дополнительные действия могут быть опасными или неопасными, бросающимися в глаза или скрытыми, трудно обнаружимыми. Рассказать обо всех проявлениях вирусов невозможно, так как для этого придется описать каждый вирус. Подробную информацию о вредоносных воздействиях вирусов можно найти в вирусных базах данных, размещенных на Web-сайтах разработчиков антивирусного ПО. Мы будем классифицировать вредоносные действия по их воздействию и эффектам: · визуальные и звуковые эффекты; · воздействие на файлы; · изменение содержимого секторов диска; · воздействие на базы данных; · воздействие на аппаратное обеспечение компьютера; · воздействие на систему в целом; · получение несанкционированного доступа и похищение информации; · компрометация пользователя; · социальный инжиниринг (провоцирование пользователя) Не все вирусы обладают явно выраженными вредоносными действиями. Однако даже те вирусы, которые не совершают вредоносных действий, могут представлять опасность из-за ошибок, допущенных авторами вирусов. Визуальные и звуковые эффектыКомпьютерные вирусы и вредоносные программы могут проявлять себя, создавая самые разные визуальные и звуковые эффекты. Многообразие этих эффектов ограничено только фантазией разработчика. Среди известных эффектов можно перечислить опадание букв, искажение внешнего вида элементов управления программ (кнопок, меню и пр.), а также появление дефектов при отображении содержимого окон программ и окон ОС. Заметим, что некоторые из этих эффектов могут проявляться и при неисправности видеоадаптера, а также при наличии ошибок в работе ПО и драйверов видеоадаптера. Поэтому если на экране все кнопки в диалоговых окнах вдруг изменили свой цвет, это еще не означает, что компьютер инфицирован вирусом. Однако дополнительная антивирусная проверка в этом случае не помешает. Компьютерные вирусы и другие вредоносные программы могут создавать визуальные и звуковые эффекты Вредоносные программы могут отображать на экране компьютера диалоговые окна с неожиданными или непонятными сообщениями. Однако эти диалоговые окна могут появляться и при возникновении ошибок в программах и аппаратуре компьютера. Компьютерные вирусы и вредоносные программы могут исполнять музыкальные произведения, издавать странные и неожиданные звуки, а также шум. Наличие посторонних звуков может служить косвенным признаком инфицирования компьютера. Однако точный «диагноз» можно поставить только с помощью антивирусной программы. Воздействие на файлыБольшинство компьютерных вирусов и вредоносных программ других типов, так или иначе, оказывают воздействие на программные файлы и файлы документов, хранящиеся на дисках компьютера. Вредоносные программы могут изменять содержимое информации, хранящейся в файле, а также атрибуты файла (имя, дата создания, размер, режим доступа и т.д.). Файлы могут быть удалены или переименованы. Помимо файлов, вирусы и вредоносные программы могут выполнять действия и над каталогами. Это изменение содержимого каталога, а также атрибуты каталога (имя, дата создания, режим доступа и т.д.). Каталог может быть удален или переименован. Атрибуты разграничения доступа файловой системы NTFS могут до некоторой степени защитить файлы и каталоги от вредоносных программ. Однако такая защита будет действенна только в том случае, если вирус или вредоносная программа работает с правами пользователя, не имеющего доступ на запись к файлам и каталогам Некоторые вирусы и вредоносные программы полностью заполняют диски компьютера файлами, блокируя таким способом работу ОС. Заметим также, что в новых версиях файловой системы NTFS, применяющейся в ОС Microsoft windows 2000/XP/2003, используется механизм квотирования дискового пространства. Этот механизм может предотвратить полную блокировку работы ОС из-за переполнения системного диска, однако это возможно только в том случае, если вирус или вредоносная программа работает с правами пользователя, а не администратора. Что же касается файловой системы FAT, то в ней квотирование дискового пространства не используется. Поэтому если на компьютере установлена ОС MS-DOS, Microsoft Windows 95/98/ME, вредоносная программа может беспрепятственно заполнить диск «мусором», блокировав работу ОС и всех программ. Изменение содержимого секторов дискаОпытные пользователи и администраторы знают, что информация на дисках хранится порциями. Фактически диск компьютера можно представить себе в виде набора блоков размером 512 байт, называемых секторами диска. Секторы диска образуют кластеры, причем в зависимости от различных обстоятельств кластер может состоять из одного или из десятков расположенных рядом секторов. Информация, хранящаяся в секторах и кластерах, используется файловой системой для формирования логических структур более высокого уровня, таких как файлы и каталоги, а также служебных структур самой файловой системы. Работая с компьютерными программами, пользователи никогда не имеют дела с содержимым отдельных секторов или кластеров диска, так как это уровень драйверов и служебных программ ОС. В некоторых случаях вирусы или вредоносные программы могут читать и изменять содержимое секторов и кластеров диска, разрушая содержимое каталогов, файлов и внутренних структур файловой системы. Это может привести к частичной или полной потере информации, хранящейся на диске. Вредоносная программа может отформатировать диск (дискету) на уровне команд ОС, а также на уровне вызовов соответствующих системных интерфейсов ОС, т.е. на низком уровне. Для выполнения низкоуровневого форматирования в среде ОС Microsoft Windows 2000/XP/2003 вредоносная программа должна иметь административный уровень доступа. Вредоносная программа может изменять содержимое отдельных секторов диска, а также форматировать диск на уровне команд ОС или на низком уровне Форматирование на уровне команд операционной системы предполагает формирование структур файловой системы. Форматирование на низком уровне предполагает уничтожение содержимого всех секторов диска и, возможно, обновление служебной информации, без формирования структур файловой системы. В обоих случаях результатом форматирования диска будет полная потеря информации, хранящейся на диске. Восстановление такой информации, если и будет возможно, потребует привлечения специалистов в области восстановления данных. Воздействие на базы данныхНекоторые вирусы и вредоносные программы нацелены на изменение содержимого компьютерных баз данных. Такие вредоносные объекты наиболее опасны, так как их действие зачастую очень трудно обнаружить. Получив доступ к базе данных, вредоносная программа может выполнить над ней следующие операции: · изменение содержимого информации, хранящейся в базе данных; · удаление таблиц; · изменение атрибутов таблиц; · изменение сценариев обработки информации, хранящихся в базе данных; · удаление баз данных; · удаление файлов баз данных Заметим, что обычно для выполнения всех этих операций вредоносной программе нужно знать пароль доступа к базе данных, имеющий соответствующие привилегии. Вредоносная программа может менять содержимое баз данных. Такие изменения опасны тем, что обычно обнаруживаются не сразу Однако вредоносная программа может получить доступ к базе данных и без пароля, если в программном обеспечении сервера базы данных имеются известные уязвимости, созданные намеренно или возникшие из-за ошибок в программном обеспечении сервера. Если вредоносная программа получила доступ к программам или сценариям обработки данных, хранящимся в базе данных, то она сможет использовать это для своего распространения. Воздействие на аппаратное обеспечение компьютеровВ прессе и другой литературе часто можно встретить утверждения о том, что компьютерные вирусы якобы могут повредить оборудование компьютера таким образом, чтобы оно потребовало ремонта или замены. К счастью, известные компьютерные вирусы и другие известные вредоносные программы воздействуют только на программное обеспечение компьютера, но не могут «сломать» аппаратные устройства. Тем не менее, вредоносная программа может имитировать повреждение оборудования компьютера таким образом, чтобы создалось впечатление о необходимости ремонта или замены. При этом вредоносная программа может записывать в журналы событий соответствующие сообщения, выдавать на экран диалоговые окна с сообщениями о неисправности устройств и выполнять другие подобные функции. Заметим, однако, что вирусы и вредоносные программы иногда способны изменить содержимое перепрограммируемой памяти BIOS компьютера, расположенной на системной плате. При этом вредоносная программа может, например, поменять пароль, запрашиваемый у пользователя при включении питания компьютера или даже повредить содержимое всей перепрограммируемой памяти BIOS. Последнее приведет к тому, что система перестанет загружаться. Вредоносные программы не могут повредить аппаратуру компьютера, но в некоторых случаях они способны изменить содержимое перепрограммируемой памяти BIOS компьютера, расположенной на системной плате Для исключения повреждения содержимого перепрограммируемой памяти BIOS достаточно настроить параметры BIOS соответствующим образом или установить перемычку, запрещающую запись в эту память. Подробные инструкции на этот счет обычно есть в документации на системную плату компьютера. Воздействие на систему в целомВ некоторых случаях вирусы и вредоносные программы способны воздействовать на работоспособность всей компьютерной системы в целом, замедляя или полностью блокируя ее работу. При этом вредоносная программа может захватить все системные ресурсы (такие как дисковая и оперативная память), а также загрузить центральный процессор компьютера интенсивной, но бесполезной работой. Если компьютерная система подключена к интрасети или Интернету, ее работа может быть сильно замедлена или заблокирована в результате удаленных атак вредоносных программ. Такие вредоносные программы запускаются на узлах той же интрасети или на узлах Интернета и действуют совместно. Одна из известных атак обозначается аббревиатурой DoS, означающей атаку типа «отказ в обслуживании», предпринимаемая вредоносными программами. Вредоносные программы могут атаковать узлы сети, замедляя или полностью блокируя их работу При атаке DoS все ресурсы атакуемого узла сети задействуются на обработку запросов, сформированных атакующими узлами. В результате атакуемый узел становится неспособным выполнять свои обычные задачи (например, обслуживать своих клиентов) из-за острого дефицита тех или иных системных ресурсов. Иногда атакам со стороны вредоносных программ подвергаются так называемые серверы доменных имен DNS, являющиеся важнейшими ресурсами Интернета. Серверы имен отвечают за преобразование доменных имен (таких, например, как www.microsoft.com) в адреса IP соответствующих им узлов. Компьютерный вирус или другая вредоносная программа может изменить настройки сервера доменных имен DNS таким образом, чтобы вместо одних Web-сайтов посетители попадали на другие. Вредоносные программы могут атаковать серверы доменных имен DNS, изменяя их настройки. В результате вместо одних Web-сайтов посетители будут попадать на другие Такое изменение возможно, если в ПО сервера DNS или ОС, установленной на сервере, имеются ошибки, или если администратор неправильно настроил сервер DNS. Изменение возможно и в том случае, если оказалась «взломана» защита сервера DNS. Получение несанкционированного доступа и похищение информацииИзвестно, что в нашем мире владение информацией является ключевым фактором успешного ведения бизнеса и другой деятельности. Именно поэтому с помощью компьютерных вирусов и вредоносных программ другого типа злоумышленники пытаются проникнуть в чужие компьютерные системы с целью похищения информации. Проникнув в компьютерную систему, компьютерный вирус или другая вредоносная программа может предоставить злоумышленнику полный удаленный доступ к отдельным пораженным компьютерам и даже ко всей системе в целом. Вредоносная программа может установить для этого программу Backdoor («потайной вход»), предоставляющий злоумышленнику скрытый доступ к системе. Название Backdoor используется и для обозначения скрытого программного интерфейса, предназначенного для получения несанкционированного доступа к компьютерной системе. Программный интерфейс Backdoor может представлять собой скрытый программный интерфейс, созданный вредоносной программой, а также оставленный разработчиком программы случайно или намеренно Для уменьшения вероятности получения несанкционированного доступа к компьютерной системе, подключенной к Интернету необходимо выполнить полный комплекс защитных мер. Нужно правильно настроить права доступа к системе и установить все обновления операционной системы, установить антивирусную программу и следить за своевременным обновлением антивирусной базы данных. Следует установить и правильно настроить межсетевой экран (брандмауэр) для защиты от атак по сети, а также интеллектуальные средства защиты от атак, анализирующих содержимое сетевого трафика. Однако чтобы гарантированно исключить возможность похищения данных с компьютера через Интернет или локальную интрасеть, нужно физически не подключать компьютер к Интернету или к локальной интрасети. К сожалению, компьютерные программы и ОС настолько сложны, что в них всегда присутствуют программные ошибки. Некоторые из этих ошибок могут привести к возникновению брешей в защите систем от несанкционированного доступа. Когда такие бреши становятся известны злоумышленникам (а это происходит с завидной регулярностью), то получение несанкционированного доступа и похищение информации становятся лишь делом времени. Если компьютер подключен к Интернету, похищенные данные могут быть отправлены злоумышленнику через интрасеть или Интернет Хранение критичных данных в зашифрованном виде несколько уменьшает вероятность их использования в случае похищения, однако полностью исключить такую возможность нельзя. Современные методы позволяют расшифровывать данные за обозримый период времени. Вредоносная программа может похитить данные по интрасети, даже не обращаясь к ресурсам узла, содержащего такие данные. Для этого она может работать на другом узле этой же сети и «прослушивать» весь сетевой трафик, извлекая из него парольную и другую критичную информацию. Компьютерный вирус, троянская или другая вредоносная программа может перехватывать коды клавиш, нажимаемых пользователем, и узнать таким способом пароли доступа к защищенным ресурсам компьютерной системы. Вредоносные программы, перехватывающие коды нажатых клавиш и отправляющие эти коды злоумышленнику, часто называются «клавиатурными шпионами» С целью получения несанкционированного доступа к ресурсам компьютера вредоносная программа может похитить зашифрованный файл паролей, а затем расшифровать его (или отправить злоумышленнику в исходном виде для расшифровки). Компрометация пользователяЗаражение компьютера вирусом или вредоносной программой может привести не только к повреждению, изменению или уничтожению хранящихся на этом компьютере данных, но и к компрометации, а также провоцированию пользователя. Попав на компьютер пользователя, вредоносная программа может воспользоваться хранящейся на компьютере персональной информацией для выполнения от имени пользователя каких-либо действий. Например, вредоносная программа может подписать пользователя на почтовые рассылки, совершить покупку в Интернет-магазине и совершить любые другие аналогичные действия. Вредоносная программа может выполнять различные действия от имени пользователя, компрометируя его Адресная книга пользователя или некоторые записи из нее могут быть похищены компьютерным вирусом или другой вредоносной программой. В дальнейшем вирус или другая вредоносная программа может воспользоваться похищенной информацией для своего распространения. При этом вредоносная программа для своего распространения будет отправлять от имени пользователя почтовые сообщения с вирусом. Это, несомненно, вызовет неудовольствие партнеров пользователя по переписке. Социальный инжинирингДействие вирусов и вредоносных программ часто направлено на провоцирование пользователя. Пользователь провоцируется на совершение таких действий, которые могут привести к проникновению на его компьютер вредоносных программ, а также к распространению уже имеющихся там вредоносных программ. Почтовые вирусы и троянские программы чаще всего провоцируют пользователя на посещение троянского Web-сайта. Это может привести к установке на компьютере пользователя троянской программы, червя или другого вредоносного программного объекта. Вредоносная программа может спровоцировать пользователя на запуск программы или программного сценария. Это характерно для почтовых вирусов, троянских программ и троянских Web-сайтов. Вредоносные программы могут провоцировать пользователей на выполнение тех или иных действий, результатом которых станет инфицирование компьютерной систем или дальнейшее распространение вредоносной программы Получив троянское почтовое сообщение, пользователь открывает вложенный в него файл программы, и тот запускается, выполняя свое вредоносное действие. Для провоцирования пользователя на посещение троянского Web-сайта или запуск программы используются различные специальные приемы. Как правило, это маскировка истинного назначения программы или Web-сайта изменением имени соответствующего адреса URL или имени файла, публикация описания ресурса, не соответствующего действительности, скрытие настоящего имени файла с использованием особенностей интерфейса операционной системы. ИтогиНа этом уроке мы рассмотрели вредоносные действия компьютерных вирусов и других вредоносных объектов. Вы узнали, что вредоносные объекты могут влиять на файлы, секторы диска, базы данных и другие критически важные ресурсы компьютерных систем. Вредоносные программы могут ухудшать производительность компьютерных систем в целом, а также полностью блокировать их работу. Вредоносные действие может быть связано с получением несанкционированного доступа к компьютерным данным с целью их уничтожения или похищения, а также с компрометацией и провоцированием пользователей. Как видите, спектр действия вредоносных программ достаточно широк. Они оказывают влияние на все ресурсы компьютерных систем, а также на пользователей этих систем. |