Изучение понятия вредоносной программы — любого программного обеспечения, предназначенного для получения несанкционированного доступа к вычислительным ресурсам или к информации. Анализ компьютерных вирусов по среде обитания: файловых, загрузочных.
Одной из причин этих проблем наряду с ошибками в программном обеспечении и неумелыми действиями самого оператора ПК могут быть проникшие в систему вредоносные программы (троянские программы, черви и т.д.). Вирусы и другие вредоносные программы могут также прилаживаться к более незаметным режимам функционирования компьютера и глубоко внедряться в сложные механизмы работы операционной системы так, чтобы в значительной степени осложнить их обнаружение и уничтожение. В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные, подконтрольные пользователю, от имени которого была запущена зараженная программа, а также повредить или даже уничтожить операционную систему со всеми файлами в целом. Способов «заразить» компьютер классическим вирусом довольно много (внешние носители информации, интернет ресурсы, файлы, распространяющиеся по сети) Вирус, в свою очередь, заражает еще несколько файлов и запускает программу, затребованную пользователем.В настоящее время очень многие пользователи сталкиваются с такой проблемой, как заражение компьютера вредоносным программным обеспечением, которое частично или полностью уничтожает информацию на персональном компьютере или модифицирует ее. Поэтому важно удалить или обезвредить не коренной зараженный файл, а все зараженные файлы вместе. В прошлом, когда антивирусных программ еще не было, вирусы атаковали компьютеры, принося каждый день убытки на миллионы долларов.
Введение
Цель: Познакомиться с понятием «Вредоносное ПО» и его сущностью. Рассмотреть классификацию, признаки заражения и методы защиты от вредоносных программ. Сделать вывод по представленным данным.
В настоящее время, учитывая научно-технический прогресс, все больше людей пользуются компьютерной техникой для различных целей. При работе с современным персональным компьютером пользователя (особенно начинающего) может подстерегать множество неприятностей: потеря данных, зависание системы, выход из строя отдельных частей компьютера и другие. Одной из причин этих проблем наряду с ошибками в программном обеспечении и неумелыми действиями самого оператора ПК могут быть проникшие в систему вредоносные программы (троянские программы, черви и т.д.).
Скачивая информацию из разных источников, работая с различными электронными носителями, пользователи все чаще подвергают свой компьютер риску заражения ими.
Обычно вредоносные программы - это оружие хакера, компьютерного взломщика, целью которого чаще всего является нанесение ущерба ЭВМ, ее вычислительным ресурсам или информации, хранящейся на ней.
Проблема вредоносных программ заслуживает повышенного внимания как одна из самых главных неприятностей, с которыми ежедневно сталкиваются современные пользователи компьютеров. Их пагубное воздействие проявляется в том, что они подрывают принцип надежности компьютера, нарушают конфиденциальность и разрывают отношения между защищенными механизмами работы компьютера, посредством некоторых комбинаций шпионских действий. Подобные программы часто появляются, не оповещая получателя об этом, но даже при обнаружении от них трудно избавиться. Заметное снижение производительности, беспорядочная смена пользовательских настроек и появление новых сомнительных панелей инструментов являются лишь немногими негативными последствиями заражения "шпионом" или рекламной программой. Вирусы и другие вредоносные программы могут также прилаживаться к более незаметным режимам функционирования компьютера и глубоко внедряться в сложные механизмы работы операционной системы так, чтобы в значительной степени осложнить их обнаружение и уничтожение.
1. Вредоносное программное обеспечение. Сущность и классификация
Вредоносная программа - любое программное обеспечение, предназначенное для получения несанкционированного доступа к вычислительным ресурсам самой ЭВМ или к информации, хранимой на ЭВМ, с целью несанкционированного использования ресурсов ЭВМ или причинения вреда владельцу информации (или владельцу ЭВМ) путем копирования, искажения, удаления или подмены информации.
Вредоносные программные обеспечение делятся на три основных класса: компьютерные вирусы, сетевые черви, троянские программы. Рассмотрим каждый из них более подробно
Компьютерные вирусы
Этот класс вредоносных программ является самым распространенным среди остальных.
Компьютерный вирус - разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные, подконтрольные пользователю, от имени которого была запущена зараженная программа, а также повредить или даже уничтожить операционную систему со всеми файлами в целом.
Обычно в проникновении вируса на персональный компьютер пользователя виноват сам пользователь, который не проверяет антивирусной программой информацию, попадающую на компьютер, в результате чего, собственно, и происходит заражение. Способов «заразить» компьютер классическим вирусом довольно много (внешние носители информации, интернет ресурсы, файлы, распространяющиеся по сети)
Вирусы делятся на группы по двум основным признакам: по среде обитания, по способу заражения.
По среде обитания вирусы делятся на: · Файловые (внедряются в выполняемые файлы)
· Загрузочные (внедряются в загрузочный сектор диска или в сектор, содержащий системный загрузчик винчестера)
· Сетевые (распространяются по компьютерной сети)
· Комбинированные (например, файлово-загрузочные вирусы, которые заражают как файлы, так и загрузочный сектор диска. Данные вирусы имеют оригинальный способ проникновения и непростой алгоритм работы)
По способу заражения делятся на: · Перезаписывающие вирусы. Самый распространенный способ заражения. Вирус переписывает код программы (заменяет его своим), после чего, файл перестает работать.
· Паразитические вирусы. К таковым относятся все вирусы, которые изменяют содержимое файла, но при этом оставляют его работоспособным. Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов, в конец файлов и в середину файлов
· Вирусы-компаньоны. Данный способ подразумевает создание файла-двойника, при этом код файла-жертвы не изменяется. Обычно вирус изменяет расширение файла (например, с .exe на .com), потом создает свою копию с именем, идентичным имени файла-жертвы, и дает ему расширение, тоже идентичное. Ничего не подозревающий пользователь запускает любимую программу и не подозревает, что это вирус. Вирус, в свою очередь, заражает еще несколько файлов и запускает программу, затребованную пользователем.
· «Стелс»-вирусы. Представляют собой программы, которые перехватывают обращения ОС к пораженным файлам и направляют их на незараженные участки информации. Название происходит от англ. слова stealth - невидимка.
· Макровирусы. Используют возможности макроязыков, встроенных в программы и системы по обработке данных (электронные таблицы, текстовые редакторы и т.д.). Наиболее распространены макровирусы, заражающие документы текстового редактора Microsoft Word.
· Скрипт-вирусы (скрипт-вирус). Данные вирусы написаны на языках Visual Basic Script, Java Script, BAT и др. Скрипты могут располагаться как в отдельных файлах, так и встраиваться в HTML-документ и в таком случае интерпретироваться браузером (причем не только с удаленного сервера, но и с локального диска).
Сетевые черви
Следующий большой класс вредоносных программ называется «Сетевые черви»
Сетевой червь - это вредоносный программный код, распространяющий свои копии по локальным или/и глобальным сетям с целью проникновения на компьютер, запуска своей копии на этом компьютере и дальнейшего распространения. Для распространения черви используют электронную почту, irc-сети, lan, сети обмена данными между мобильными устройствами и др. Большинство червей распространяются в файлах (вложение в письмо, ссылка на файл). Но существуют и черви, которые распространяются в виде сетевых пакетов. Такие разновидности проникают непосредственно в память компьютера и сразу начинают действовать резидентно. Для проникновения на компьютер-жертву используются несколько путей: самостоятельный (пакетные черви), пользовательский (социальный инжиниринг), а также различные недостатки в системах безопасности операционной системы и приложений. Некоторые черви обладают свойствами других типов вредоносного программного обеспечения (чаще всего это троянские программы).
Классы сетевых червей: Почтовые черви (Email-Worm). Это вредоносная система, которая находится в файле, присоединенном к электронному письму. Авторы почтового червя любым способом побуждают запустить на выполнение присоединенный файл с вирусом. Его маскируют под новую игру, обновление, или популярную программу. Активируя деятельность на Вашем компьютере, почтовый червь для начала рассылает собственную копию по e-mail, воспользовавшись Вашей, адресной книгой, а затем наносит вред вашему компьютеру.
· Черви, использующие интернет-пейджеры (IM-Worm). Действие данного «червя» практически полностью повторяет способ рассылки, использующийся почтовыми червями, только в качестве носителя выступает не электронное письмо, а сообщение, реализуемое в программах для мгновенного обмена сообщениями
· Черви для файлообменных сетей (P2P-Worm). Для внедрения в P2Р-сеть «червю» достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по его распространению P2Р-сеть берет на себя - при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит сервис для его скачивания с зараженного компьютера.
Существуют более сложные черви этого типа, которые имитируют сетевой протокол конкретной файлообменной системы и положительно отвечают на поисковые запросы. При этом червь предлагает для скачивания свою копию.
· Прочие сетевые черви (NET-Worm). Существуют прочие способы заражения удаленных компьютеров - например: копирование червя на сетевые ресурсы; проникновение червя на компьютер через уязвимости в операционных системах и приложениях; паразитирование на других вредоносных программах.
Используя первый способ, «червь» ищет в сети машины с ресурсами, открытыми на запись, и копирует. При этом он может случайным образом находить компьютеры и пытаться открыть доступ к ресурсам. Для проникновения вторым способом «червь» ищет компьютеры с установленным программным обеспечением, в котором имеются критические уязвимости. Таким образом, червь отсылает специально сформированный пакет (запрос), и часть «червя» проникает на компьютер, после чего загружает полный файл-тело и запускает на исполнение.
Троянские программы
Трояны или программы класса «троянский конь» написаны с целью - нанести ущерб целевому компьютеру путем выполнения несанкционированных пользователем действий: кража данных, порча или удаление конфиденциальных данных, нарушения работоспособности ПК или использования его ресурсов в неблаговидных целях.
Некоторые троянские программы способны к самостоятельному преодолению систем защиты вычислительной системы с целью проникновения в нее. Однако в большинстве случаев они проникают на ПК вместе с другим вирусом. Троянские программы можно рассматривать как дополнительную вредоносную программу. Нередко пользователи сами загружают троянские программы из сети Интернет.
Цикл деятельности троянов можно определить следующими стадиями: - проникновение в систему.
- активация.
- выполнение вредоносных действий.
Троянские программы различаются между собой по тем действиям, которые они производят на зараженном ПК.
· Trojan-PSW. Назначение - Воровство паролей. Данный вид троянов может быть использован для поиска системных файлов, хранящих различную конфиденциальную информацию (например, пароли), «воруют» регистрационную информацию к различному ПО.
· Trojan-Downloader. Назначение - Доставка прочих вредоносных программ. Активирует загруженные из Интернет программы (запуск на выполнение, регистрация на автозагрузку)
· Trojan-Dropper. Инсталляция на диск других вредоносных файлов, их запуск и выполнение
· Trojan-proxy. Осуществляют анонимный доступ с ПК «жертвы» к различным Интернет-ресурсам. Используются для рассылки спама.
· Trojan-Spy. Являются шпионскими программами. Осуществляют электронный шпионаж за пользователем зараженного ПК: вводимая информация, снимки экрана, список активных приложений, действия пользователей сохраняются в файле и периодически отправляются злоумышленнику.
· Trojan (Прочие троянские программы). Осуществляют прочие действия, попадающие под определение троянских программ, например, разрушение или модификацию данных, нарушение работоспособности ПК.
· Backdoor. Являются утилитами удаленного администрирования. Могут быть использованы для обнаружения и передачи злоумышленнику конфиденциальной информации, уничтожения данных и т.д.
· ARCBOMB («Бомбы» в архивах). Вызывают нештатное поведение архиваторов при попытке распаковать данные
· ROOTKIT. Назначение - Скрытие присутствия в операционной системе. С помощью программного кода происходит сокрытие присутствия в системе некоторых объектов: процессов, файлов, данных реестра и т.д.
Из перечисленных наиболее широко распространены шпионские программы - Trojan-Spy и ROOTKIT (руткиты). Рассмотрим их более подробно.
Руткиты. В системе Windows под ROOTKIT принято считать программу, которая несанкционированно внедряется в систему, перехватывает вызовы системных функций (API), производит модификацию системных библиотек. Перехват низкоуровневых API позволяет такой программе маскировать свое присутствие в системе, защищая ее от обнаружения пользователем и антивирусным ПО.
Условно все руткит-технологии можно разделить на две категории: · Руткиты работающие в режиме пользователя (user-mode)
· Руткиты работающие в режиме ядра (kernel-mode)
Первая категория основана на перехвате функций библиотек пользовательского режима, вторая - на установке в систему драйвера, осуществляющего перехват вызовов системных функций уровня ядра.
Иногда руткиты приходят в почтовых вложениях, маскируясь под документы разных форматов (например, PDF). На самом деле, такой «мнимый документ» является исполняемым файлом. Пытаясь открыть, пользователь активирует руткит.
Второй путь распространения - подвергшиеся хакерской манипуляции сайты. Пользователь открывает веб-страницу - и руткит попадает в его компьютер. Это становится возможным изза недостатков в системе безопасности браузеров. программа компьютерный файловый
Руткиты могут «подкидывать» не только злоумышленники. Небезызвестен случай, когда корпорация Sony встраивала подобие руткита в свои лицензионные аудиодиски. Руткитами по сути является большинство программных средств защиты от копирования (и средств обхода этих защит - например, эмуляторы CD- и DVD-приводов). От «нелегальных» они отличаются только тем, что ставятся не тайно от пользователя.
Шпионские программы. Такие программы могут осуществлять широкий круг задач, например: · Собирать информацию о привычках пользования Интернетом и наиболее часто посещаемые сайты (программа отслеживания);
· Запоминать нажатия клавиш на клавиатуре (кейлоггеры) и записывать скриншоты экрана (screen scraper) и в дальнейшем отправлять информацию создателю;
· Использоваться для несанкционированного анализа состояния систем безопасности - сканеры портов и уязвимостей и взломщики паролей;
· Изменять параметры операционной системы - руткиты, перехватчики управления и пр. - результатом чего является снижение скорости соединения с Интернетом или потеря соединения как такового, открывание других домашних страниц или удаление тех или иных программ;
· Перенаправлять активность браузеров, что влечет за собой посещение вебсайтов вслепую с риском заражения вирусами.
Программы удаленного контроля и управления могут применяться для удаленной технической поддержки или доступа к собственным ресурсам, которые расположены на удаленном компьютере.
Технологии пассивного отслеживания могут быть полезны для персонализации веб-страниц, которые посещает пользователь.
Not-a-virus
Данные программы сами по себе вирусами не являются, но по тем или иным причинам они занесены в антивирусные базы. Как правило, это небольшие программы, имеющие малую зону влияния и как вирусы малоэффективны.
· Adware - общее название для программного обеспечения, принудительно показывающего рекламу.
· Bad-Joke - злые шутки. Программы, пугающие пользователя неожиданным и нестандартным открытием или использующие графику. Также это могут быть программы, выдающие ложные сообщения о форматировании диска или остановке работы программы и т.д.
· Sniffer - программа, предназначенная для перехвата и последующего анализа сетевого трафика.
· SPAMTOOL - программа, предназначенная для рассылки спама (как правило, программа превращает компьютер в рассылочную спам-машину).
· IM-Flooder - программа, позволяющая отсылать на заданный номер IM-мессенджера различные сообщения в большом количестве.
· VIRTOOL - утилиты, предназначенные для облегчения написания компьютерных вирусов и для их изучения в хакерских целях.
· DOS (Denial of service) - вредоносная программа, предназначенная для проведения атаки типа «Отказ в обслуживании» на удаленный сервер.
· FILECRYPTOR, POLYCRYPTOR - хакерские утилиты, использующиеся для шифрования других вредоносных программ с целью скрытия их содержимого от антивирусной проверки.
2. История возникновения вредоносных ПО
1949 год. Американский ученый венгерского происхождения Джон фон Нэйманн (John von Naumann) разработал математическую теорию создания самовоспроизводящихся программ. Это была первая теория создания компьютерных вирусов, вызвавшая весьма ограниченный интерес у научного сообщества.
Начало 1970-х годов - обнаружен вирус Creeper в военной компьютерной сети APRANET. Он попадал в сеть через модем и передавал свою копию удаленной системе. На зараженных системах вирус обнаруживал себя сообщением: "I"M THE CREEPER: CATCH ME IF YOU CAN". Для удаления этого безобидного вируса была создана программа Reaper, она распространялась по вычислительной сети и в случае обнаружения тела вируса Creeper уничтожала его.
В 1990-х годах появились первые полиморфные вирусы. В Болгарии появился так называемый "завод по производству вирусов". В течение этого года и ряда последующих лет было обнаружено огромное количество новых вирусов, которые имели именно болгарское происхождение. Это были целые семейства вирусов. Особенную активность проявлял некто Дарк Эвенджер, выпускавший в год по несколько новых вирусов, использовавших принципиально новые алгоритмы заражения и сокрытия себя в системе.
За десятилетие с 1990 по 2000 года широкое применение и большую значимость получили файловые, загрузочные и файлово-загрузочные вирусы. Появляются первые вирусы класса анти-антивирус, способные обходить защиту и оставаться незаметными. В январе 1996 года появились первые вирусы для операционной системы Windows и приложений Microsoft Office. К 2000 году стали популярны сетевые черви, распространяющиеся через интернет. В августе 2000 года была обнаружена первая вредоносная программа класса "Троянский конь", под названием "Liberty", предназначавшаяся для операционной системы PALMOS карманных компьютеров Palm Pilot
В середине 2010-х годов наметился спад почтовых червей. По данным Лаборатории Касперского всего в 2005 году было 14 вирусных эпидемий, втрое меньше аналогичного показателя 2004 года (46 эпидемий). Крупнейших же эпидемий было зафиксировано всего четыре (модификации почтового червя).
К концу 2010-х годов выросла активность троянских программ. В 2008 году доля "троянцев" в общем объеме вредоносных программ составила 91,73%, а число таких программ выросло по сравнению с 2006 годом на 2,28%.
Идея вируса, заражающего другие программы и компьютеры, трансформировалась в криминальный бизнес. Будучи изначально творчеством вирусописателей-исследователей, компьютерные вирусы стали оружием в руках интернет-преступников.
В ряде стран уголовное законодательство предусматривает ответственность за компьютерные преступления, в том числе за создание и распространение вирусов.
3. Методы защиты от вредоносных ПО
Существуют некоторые симптомы «заболевания» компьютера. Многие пользователи наблюдают их постоянно, но не обращают на них внимания.
Один из основных симптомов - появление новых неизвестных процессов в выводе диспетчера задач . Большинство пользователей не знает, какой из сотни процессов - продукт деятельности вредоносной программы. Случалось у многих, что не запускался исполняемый файл, перезапускался компьютер после запуска какой-либо программы. Или того хуже - устройство беспорядочно отключалось. И, конечно же, самое распространенное - случайное аварийное завершение программ.
Все вышеперечисленное может быть следствием действий вредоносных программ. Но, следует знать, что и без проявления симптомов компьютер может быть заражен.
Рассмотрим основные методы защиты от вредоносного программного обеспечения. На сегодняшний день не существует стопроцентной, абсолютной защиты от вирусов, червей и троянов. Любой пользователь может стать их жертвой. Существуют некоторые эффективные меры, средства повышения безопасности.
1) Использовать современные операционные системы и своевременно устанавливать обновления, чтобы создателям вредоносных программ было сложнее «подобрать ключик» к вашему устройству. Если свежее обновление, значит, старый вирус не подойдет и следует упорно потрудиться, чтобы создавать новый.
2) Стараться, как можно реже работать на компьютере под правами администратора. Потому что именно право администратора позволяет многим вредоносным программам устанавливать себя на персональном компьютере.
3) Проверять внешние носители информации перед тем, как скопировать информацию с них.
4) Не открывать компьютерные файлы, полученные от ненадежных источников на рабочем компьютере. Например, файлы из Интернета, с ненадежных, непроверенных сайтов.
5) По возможности, использовать второй компьютер, на котором нет ценной информации, для открытия и запуска приложений из малонадежных источников.
6) Пользоваться элементарными средствами защиты - антивирусами.
Таким образом, только набор комплексных мероприятий, включающих в себя установку антивирусного программного обеспечения, грамотное администрирование персонального компьютера и разумное поведение в сети Интернет, позволит надежно защитить компьютер от воздействия вредоносного кода.
Виды антивирусных программ
Евгений Касперский в 1992 году использовал следующую классификацию антивирусов в зависимости от их принципа действия (определяющего функциональность): Сканеры - антивирусы, определяющие наличие вируса по базе сигнатур, хранящей сигнатуры (или их контрольные суммы) вирусов. Их эффективность определяется актуальностью вирусной базы.
Ревизоры - программы, запоминающие состояние файловой системы, что делает в дальнейшем возможным анализ изменений.
Сторожа (мониторы) - отслеживают потенциально опасные операции, выдавая пользователю соответствующий запрос на разрешение/запрещение операции.
Вакцины - изменяют прививаемый файл таким образом, чтобы вирус, против которого делается прививка, уже считал файл зараженным. В современных условиях, когда количество возможных вирусов измеряется сотнями тысяч, этот подход неприменим.
Вывод
В настоящее время очень многие пользователи сталкиваются с такой проблемой, как заражение компьютера вредоносным программным обеспечением, которое частично или полностью уничтожает информацию на персональном компьютере или модифицирует ее. Не каждый имеет точное представление о том, что это такое и как с ним бороться. Важно знать, что есть три основных вида вредоносных ПО: компьютерные вирусы, черви и троянские программы. Компьютерные вирусы, отличительной чертой которых является размножение в файлах компьютера. Поэтому важно удалить или обезвредить не коренной зараженный файл, а все зараженные файлы вместе. Второй вид - черви. Наибольшая вероятность заражения - через сети (локальные, Интернет и др.). И третий (наиболее опасный) вид - троянские программы. Самое эффективное средство против них - бдительность пользователя и обновленные версии антивирусных программ.
В прошлом, когда антивирусных программ еще не было, вирусы атаковали компьютеры, принося каждый день убытки на миллионы долларов. Но сегодня каждый пользователь может защитить компьютер от вирусов, соблюдая основные правила: пользоваться антивирусными программами, использовать наиболее новые версий ОС и антивирусов, редко работать за персональным компьютером под правами администратора, проверять надежность источников скачиваемой информации.
Список литературы
1. Троянские программы. Механизмы проникновения и заражения // Вестник Волжского университета им. В.Н. Татищева - Трубачев Е.С. Тольятти: Издательство: "Волжский университет имени В.Н. Татищева" 2011, №8 С.130-134; ISSN: 2076-7919
2. Книга хакера - К.Афонькина. К.Клинцевич СПБ.: «Ленинградское издательство», 2009.
3. Информационная безопасность - Т.Л. Партыка, И.И. Попов. - 5-е изд. перераб. и доп. - М.: ФОРУМ : ИНФРА-М, 2014
4. История компьютерных вирусов и вредоносных программ: www.securelist.com
6. Энциклопедия компьютерных вирусов. - Козлов Д.А., Парандовский А.А., Парандовский А.К. М.: "СОЛОН-Р", 2001.
7. Классификация вредоносного ПО: www.winline.ru
8. Анализ наиболее распространенных вредоносных программ и способов защиты от них// Фундаментальные и прикладные исследования в современном мире - Марин Е.А. СПБ.: «Стратегия будущего», 2013, №4 С.53-55
9. Противодействие вредоносным программам: способы и средства// Вестник Воронежского института МВД России - Киселев В.В. Ярош В.А., Воронеж: Воронежский институт МВД России, 2007, №2 С.213-218
10. Антивирусные программы и антивирус Kaspersky Internet Security 2010 // Молодежь и наука: Сборник материалов VI Всероссийской научно-технической конференции студентов, аспирантов и молодых ученых [Электронный ресурс]. - Павлов А. С. Красноярск: Сибирский федеральный ун-т, 2011.
11. Удаление вирусов, червей и программ-шпионов: http://www.microsoft.com/ru-ru/security/pc-security/Viruses
