Воздействия вредоносных программ

Стр 1 из 3Следующая ⇒

Nbsp; Лекция 1 "Я никаким насекомым не радуюсь, потому что я их боюсь, призналась Алиса. – – Но я могу вам сказать, как их зовут." "А они, конечно, идут, когда их зовут?" – небрежно заметил Комар. "Нет, кажется, не идут." "Тогда зачем же их звать, если они не идут?" "Им это ни к чему, а нам все-таки нужно. Иначе зачем вообще знать, как что называется" Льюис Керрол Компьютерные вирусы и механизмы борьбы с ними Вредительские программы и, прежде всего, вирусы представляют очень серьезную опасность для информации в КС. Недооценка этой опасности может иметь серьезные последствия для информации пользователей. Вредит использованию всех возможностей КС и чрезмерное преувеличение опасности вирусов. Знание механизмов действия вирусов, методов и средств борьбы с ними позволяет эффективно организовать противодействие вирусам, свести к минимуму вероятность заражения и потерь от их воздействия. Термин «компьютерный вирус» был введен сравнительно недавно - в середине 80-х годов. Малые размеры, способность быстро распространяться, размножаясь и внедряясь в объекты (заражая их), негативное воздействие на систему - все эти признаки биологических вирусов присущи и вредительским программам, получившим по этой причине название «компьютерные вирусы». Вместе с термином «вирус» при работе с компьютерными вирусами используются и другие медицинские термины: «заражение», «среда обитания», «профилактика» и др. «Компьютерные вирусы» - это небольшие исполняемые или интерпретируемые программы, обладающие свойством распространения и самовоспроизведения (репликации) в КС. Вирусы могут выполнять изменение или уничтожение программного обеспечения или данных, хранящихся в КС, вывод надписи, замедление работы компьютера и т.д. В процессе распространения вирусы могут себя модифицировать. На сегодняшний день число существующих вирусов перевалило за 50000, причем ежедневно появляется 6-9 новых. Ежегодный ущерб от вирусов составляет миллиарды долларов. 1. Классификация компьютерных вирусов Стандартная классификация существенно облегчает накопление и распространение знаний в любой области, и компьютерные вирусы не являются исключением. Применительно к компьютерной вирусологии она помогает решению такой важной задачи, как однозначное определение типа обнаруженного вируса. При этом должен использоваться ограниченный набор сравнительно простых и непротиворечивых признаков, не требующих проведения глубокого анализа зараженных программ и элементов операционной системы. В настоящее время в мире насчитывается более 50 тысяч только зарегистрированных компьютерных вирусов. Так как подавляющее большинство современных вредительских программ обладают способностью к саморазмножению, то часто их относят к компьютерным вирусам. Все компьютерные вирусы могут быть классифицированы по следующим признакам: • по среде обитания; • по способу заражения; • по степени опасности деструктивных (вредительских) воздействий; • по алгоритму функционирования. По среде обитания компьютерные вирусы делятся на: • сетевые; • файловые; • загрузочные; • комбинированные (файлово-загрузочные). Средой обитания сетевых вирусов являются элементы компьютерных сетей. В локальных и глобальных сетях распространяются как обычные вирусы, так и вирусы, специально разработанные для сетевой среды. Сетевые вирусы способны преодолевать защиту сетевых операционных систем, подсматривая и подбирая пароли. Файловые вирусы размещаются в исполняемых файлах. Они составляют самую большую группу вирусов. Файловые вирусы могут заражать практически любые файлы, содержащие исполнимый код. В первую очередь – это файлы программ, имеющие расширения COM и ЕХЕ. Но не только они подвергаются нападению вирусов. Файлы оверлеев (расширения OVL, OVI, OVR и др.), драйверов также могут быть инфицированы. Заражая файл, вирусы тем или иным способом записывают свой код внутрь выполняемого файла и изменяют его таким образом, чтобы после запуска файла управление получил код вируса. Вирус может записать свой код в конец, в середину или в начало файла. Вирус также может разделить свой код на несколько блоков и разместить их в разных местах зараженной программы. Далее вирус отрабатывает свои задачи: заражает другие файлы, устанавливает в памяти собственные резидентные модули и выполняет другие функции. Затем вирус, как правило, передает управление зараженной программе и далее она исполняется как обычно. Вирусы в драйверах. Драйверы запускаются только на этапе загрузки операционной системы, во время ее инициализации и интерпретации файла конфигурации системы CONFIG.SYS. Файлы драйверов обычно имеют расширение SYS. Вирусы, разработанные специально для заражения драйверов, дописывают свой код к файлу драйвера и модифицируют его таким образом, чтобы вирус остался в оперативной памяти после загрузки драйвера. Вирусы в пакетных файлах. Существует способ, позволяющий записывать внутрь пакетного файла исполнимый машинный код. Также может быть заражен вирусом файл AUTOEXEC.BAT. Обычно файлы CONFIG.SYS и AUTOEXEC.BAT создаются во время установки операционной системы и модифицируются во время установки различного ПО. Целый ряд вирусов, например, Em, Nocopy, Some, DrWatson, вносят изменения в файлы CONFIG.SYS и AUTOEXEC.BAT. Эти вирусы создают на диске выполнимый файл, содержащий код вируса, а затем просто вставляют команду запуска этого файла в CONFIG.SYS или AUTOEXEC.BAT. Вирусы в файлах документов. Долгое время мало кто подозревал, что вирусы могут распространяться, текстовые заражая файлы документов. Однако летом в 1995 г. Появился такой вирус. Этот вирус, получивший название WinWord.Concept, распространяется, заражая файлы документов в формате Word 6.0 и 7.0. Вместе с документом могут храниться макрокоманды, созданные с помощью специального языка программирования (WordBasic, Visual Basic) Эти макрокоманды фактически являются самыми настоящими программами. Вирусы, использующие подобные пути распространения, существуют не только в Word. В качестве примера можно привести вирус WinMacro.Weider, распространяющийся в среде Excel. Excel тоже имеет встроенные средства создания макрокоманд. Загрузочные вирусы находятся в загрузочных секторах (областях) внешних запоминающих устройств (boot-секторах). Иногда загрузочные вирусы называют бутовыми. При заражении диска загрузочным вирусом последний заменяет загрузочную запись или главную загрузочную запись. Настоящая загрузочная запись обычно не пропадает, вирус копирует их в один из свободных секторов. Некоторые же вирусы не сохраняют исходной загрузочной записи. Таким образом, вирус получает управление сразу после завершения процедуры инициализации модулей BIOS. Затем он копирует себя в конец оперативной памяти, уменьшая при этом объем свободной оперативной памяти, после этого он перехватывает несколько функций BIOS, так что обращение к ним передает управление вирусу. В конце вирус загружает в оперативную память настоящий загрузочный сектор и передает ему управление. Далее компьютер загружается как обычно, но вирус уже находится в памяти и может контролировать работу всех программ и драйверов. Теперь даже после выключения питания компьютера вирус удалить нельзя, так как он уже записан на жестком диске. Комбинированные вирусы размещаются в нескольких средах обитания. Примером таких вирусов служат загрузочно-файловые вирусы. Эти вирусы могут размещаться как в загрузочных секторах накопителей на магнитных дисках, так и в теле загрузочных файлов. Они не ограничиваются заражением файлов одного типа. Файлово-загрузочные вирусы распространяются как через выполнимые файлы, так и через загрузочные секторы. Если такой вирус получен при записи на свой компьютер зараженного выполняемого файла, то вирус, перехватив управление, запишет свою копию в главную загрузочную запись или загрузочный сектор жесткого диска. Дальнейшее распространение вируса происходит двумя путями: при копировании с компьютера зараженных программ и через загрузочные секторы дискет, используемых на компьютере. За счер того, что такой вирус имеет возможность заражать различные объекты, он получает больше возможностей для распространения. По способу заражения среды обитания компьютерные вирусы делятся на: • резидентные; • нерезидентные. Для смягчения недостатков MS-DOS был создан механизм резидентных программ. При запуске резидентной программы она сразу возвращает управление операционной системе, но оставляет в оперативной памяти резидентный модуль. Механизм резидентных программ был использован авторами вирусов. Резидентные вирусы после их активизации полностью или частично перемещаются из среды обитания (сеть, загрузочный сектор, файл) в оперативную память ЭВМ. Резидентный модуль вируса остается активным вплоть до перезагрузки компьютера. Эти вирусы, используя, как правило, привилегированные режимы работы, разрешенные только операционной системе, заражают среду обитания и при выполнении определенных условий реализуют деструктивную функцию. Резидентные вирусы могут использоваться для самых различных задач. Обычно они применяются для заражения новых программ. Резидентный модуль отслеживает запуск или открытие файлов программ, проверяет, не были ли они уже заражены, и если нет, то заражает их. Некоторые разновидности вирусов, называемые стелс-вирусами, используют резидентный модуль, чтобы замаскировать своё присутствие. В отличие от резидентных нерезидентные вирусы попадают в оперативную память ЭВМ только на время их активности, в течение которого выполняют деструктивную функцию и функцию заражения. Затем вирусы полностью покидают оперативную память, оставаясь в среде обитания. Если вирус помещает в оперативную память программу, которая не заражает среду обитания, то такой вирус считается нерезидентным. По степени опасности для информационных ресурсов пользователя компьютерные вирусы можно разделить на: • безвредные вирусы: • опасные вирусы; • очень опасные вирусы. Безвредные компьютерные вирусы создаются авторами, которые не ставят себе цели нанести какой-либо ущерб ресурсам КС. Ими, как правило, движет желание показать свои возможности программиста. Однако при всей кажущейся безобидности таких вирусов они наносят определенный ущерб КС. Во-первых, такие вирусы расходуют ресурсы КС, в той или иной мере снижая эффективность ее функционирования. Во-вторых, компьютерные вирусы могут содержать ошибки, вызывающие опасные последствия для информационных ресурсов КС. Кроме того, при модернизации операционной системы или аппаратных средств КС вирусы, созданные ранее, могут приводить к нарушениям штатного алгоритма работы системы. К опасным относятся вирусы, которые вызывают существенное снижение эффективности КС, но не приводящие к нарушению целостности и конфиденциальности информации, хранящейся в запоминающих устройствах. Последствия таких вирусов могут быть ликвидированы без особых затрат материальных и временных ресурсов. Примерами таких вирусов являются вирусы, занимающие память ЭВМ и каналы связи, но не блокирующие работу сети; вирусы, вызывающие необходимость повторного выполнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи и т. п. Очень опасными следует считать вирусы, вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе и шифрование) информации, а также вирусы, блокирующие доступ к информации, приводящие к отказу аппаратных средств и наносящие ущерб здоровью пользователям. Такие вирусы стирают отдельные файлы, системные области памяти, форматируют диски, получают несанкционированный доступ к информации, шифруют данные и т. п. В соответствии сособенностями алгоритма функционирования вирусы можно разделить на два класса: • вирусы, не изменяющие среду обитания (файлы и секторы) при распространении; • вирусы, изменяющие среду обитания при распространении. В свою очередь, вирусы,не изменяющие среду обитания, могут быть разделены на две группы: • вирусы-«спутники» (companion); • вирусы-«черви» (worm). Вирусы-«спутники» не изменяют файлы. Механизм их действия состоит в создании копий исполняемых файлов. Например, в MS DOS такие вирусы создают копии для файлов, имеющих расширение .ЕХЕ. Копии присваивается то же имя, что и исполняемому файлу, но расширение изменяется на .СОМ, вирус записывает себя в этот файл. При запуске файла с общим именем операционная система первым загружает на выполнение файл с расширением .СОМ, который является программой-вирусом. Файл-вирус запускает затем и файл с расширением .ЕХЕ. Вирусы-«черви» попадают в рабочую станцию из сети, вычисляют адреса рассылки вируса по другим абонентам сети и осуществляют передачу вируса. Вирус не изменяет файлов и не записывается в загрузочные секторы дисков. Некоторые вирусы-«черви» создают рабочие копии вируса на диске, другие - размещаются только в оперативной памяти ЭВМ. Некоторые специалисты не считают черви вирусами, их относят к классу вредоносных программ. Червь может быть нацелен автором на выполнение определенной функции, например, на проникновение в систему и модификацию некоторых данных. К примеру, можно создать программу-червь, подсматривающую пароль доступа к банковской системе и изменяющую базу данных таким образом, чтобы на счет программиста была переведена определенная сумма денег. IRC-черви IRC (Internet Relay Chat) — это специальный протокол, разработанный для коммуникации пользователей Интернет в реальном времени. Этот протокол предоставлят возможность Итрернет-"разговора" при помощи специально разработанного программного обеспечения. Существует довольно большое количество IRC-команд, при помощи которых пользователь может получить информацию о других пользователях и каналах, изменять некоторые установки IRC-клиента и прочее. Сущетсвует также возможность передавать и принимать файлы - именно на этой возможности и базируются IRC-черви. IRC-клиенты На компьютерах с MS Windows самыми распространенными клиентами являются mIRC и PIRCH. Это не очень объемные, но довольно сложные программные продукты, которые кроме предоставления основных услуг IRC (подключение к серверам и каналам) имеют еще и массу дополнительных возможностей.К таким возможностям относятся, например, сценарии работы (скрипты) и задание автоматической реакции на различные события. Например, при появлении во время разговора определенного слова IRC-клиент передает сообщение пользователю, пославшему это слово. Также возможно отключение пользователя от канала; посылка персональных сообщений новым пользователям, подключающимся к каналу; и многое другое. В PIRCH-клиенте, например, событий, на которые предусмотрена реакция, более 50. Скрипт-черви Как оказалось, мощная и разветвленная система команд IRC-клиентов позволяет на основе их скриптов создавать компьютерные вирусы, передающие свой код на компьютеры пользователей сетей IRC, так называемые "IRC-черви". Первый инцидент с IRC-червем зафиксирован в конце 1997 года: пользователями mIRC-клиента был обнаружен скрипт (файл SCRIPT.INI), переносивший свой код через каналы IRC и заражавший mIRC-клиентов на компьютерах пользователей, подключавшихся к зараженным каналам. Как оказалось, скрипт-черви являются достаточно простыми программами, и через довольно короткое время на основе первого mIRC-червя были созданы и "выпущены" в сети несколько десятков различных скрипт-червей. Принцип действия таких IRC-червей примерно одинаков. При помощи IRC-команд файл сценария работы (скрипт) или реакции на IRC-события автоматически посылается с зараженного компьютера каждому вновь присоединившемуся к каналу пользователю. Присланный файл-сценарий замещает стандартный и при следующем сеансе работы уже вновь зараженный клиент будет рассылать червя. Черви при этом используют особенности конфигурации клиента (всех версий mIRC младше 5.31 и всех версий PIRCH до PIRCH98), благодаря которой принимаемые файлы всех типов помещаются в корневой каталог клиента. Этот каталог также содержит и основные скрипты клиента, включая авто-загружаемые mIRC-скрипты SCRIPT.INI, MIRC.INI и PIRCH-скрипт EVENTS.INI. Данные скрипты автоматически исполняются клиентом при старте и в дальнейшем используются как основной сценарий его работы. Некоторые IRC-черви также содержат троянский компонент: по заданным ключевым словам производят разрушительные действия на пораженных компьютерах. Например, червь "pIRCH.Events" по определенной команде стирает все файлы на диске пользователя. В скрипт-языках клиентов mIRC и PIRCH также существуют операторы для запуска обычных команд операционной системы и исполняемых модулей (программ) DOS и Windows. Эта возможность IRC-скриптов послужила основой для появления скрипт-червей нового поколения, которые помимо скриптов заражали компьютеры пользователей EXE-вирусами, устанавливали "троянских коней", и т.п. mIRC.Acoragil и mIRC.Simpsalapim Первые известные mIRC-черви. Обнаружены в конце ноября - начале декабря 1997. Названия получили по кодовым словам, которые используются червями: если в тексте, переданном в канал каким-либо пользователем присутствует строка "Acoragil", то все пользователи, зараженные червем "mIRC.Acoragil" автоматически отключаются от канала. То же самое происходит с червем "mIRC.Simpsalapim" - он аналогично реагирует на строку "Simpsalapim". По сложности, степени совершенства и особенностям маскировки алгоритмов вирусы,изменяющие среду обитания, делятся на: • студенческие; • «стелс» - вирусы (вирусы-невидимки); • полиморфные. К студенческим относят вирусы, создатели которых имеют низкую квалификацию. Такие вирусы, как правило, являются нерезидентными, часто содержат ошибки, довольно просто обнаруживаются и удаляются. «Стелс»- вирусы и полиморфные вирусы создаются квалифицированными специалистами, хорошо знающими принцип работы аппаратных средств и операционной системы, а также владеющими навыками работы с машиноориентированными системами программирования. «Стелс»-вирусы маскируют свое присутствие в среде обитания путем перехвата обращений операционной системы к пораженным файлам, секторам и переадресуют обращения к незараженным участкам информации. Вирус является резидентным, маскируется под программы ОС, может перемещаться в памяти. Такие вирусы активизируются при возникновении прерываний, выполняют определенные действия, в том числе и по маскировке, и только затем управление передается на программы ОС, обрабатывающие эти прерывания. «Стелc»-вирусы обладают способностью противодействовать резидентным антивирусным средствам. Полиморфные вирусы не имеют постоянных опознавательных групп - сигнатур. Обычные вирусы для распознавания факта заражения среды обитания размещают в зараженном объекте специальную опознавательную двоичную последовательность или последовательность символов (сигнатуру), которая однозначно идентифицирует зараженность файла или сектора. Сигнатуры используются на этапе распространения вирусов для того, чтобы избежать многократного заражения одних и тех же объектов, так как при многократном заражении объекта значительно возрастает вероятность обнаружения вируса. Для устранения демаскирующих признаков полиморфные вирусы используют шифрование тела вируса и модификацию программы шифрования. За счет такого преобразования полиморфные вирусы не имеют совпадений кодов. Любой вирус, независимо от принадлежности к определенным классам, должен иметь три функциональных блока: блок заражения (распространения), блок маскирования и блок выполнения деструктивных действий. Разделение на функциональные блоки означает, что к определенному блоку относятся команды программы вируса, выполняющие одну из трех функций, независимо от места нахождения команд в теле вируса. После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки. Например, осуществляется расшифрование тела вируса. Затем вирус осуществляет функцию внедрения в незараженную среду обитания. Если вирусом должны выполняться деструктивные воздействия, то они выполняются либо безусловно, либо при выполнении определенных условий. Завершает работу вируса всегда блок маскирования. При этом выполняются, например, следующие действия: шифрование вируса (если функция шифрования реализована), восстановление старой даты изменения файла, восстановление атрибутов файла, корректировка таблиц ОС и др. Последней командой вируса выполняется команда перехода на выполнение зараженных файлов или на выполнение программ ОС. Для удобства работы с известными вирусами используются каталоги вирусов. В каталог помещаются следующие сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в ОП для резидентных вирусов, вызываемые эффекты, наличие (отсутствие) деструктивной функции и ошибки. Наличие каталогов позволяет при описании вирусов указывать только особые свойства, опуская стандартные свойства и действия.

Воздействия вредоносных программ

Программы с потенциально опасными последствиями ("вредные программы", badware) названы в Уголовном кодексе РФ "вредоносные программы". Такая программа (осмысленный набор инструкций для какого-либо процессора) может выполнять следующие функции:

- скрывать признаки своего присутствия в программной среде ОИ;

- обладает способностью к самодублированию, ассоциированию себя с другими программами и/или переносу своих фрагментов в иные (не занимаемые изначально указанной программой) области оперативной или внешней памяти;

- обладает способностью разрушать (искажать произвольным образом) код программ (отличных от нее) в оперативной памяти ОИ;

- обладает способностью переносить (сохранять) фрагменты информации из оперативной памяти в некоторых областях оперативной или внешней памяти прямого доступа (локальных или удаленных);

- имеет потенциальную возможность искажать произвольным образом, блокировать и/или подменять выводимой во внешнюю память или в канал связи массив информации, образовавшийся в результате работы прикладных программ или уже находящиеся во внешней памяти массивы данных, либо изменять их параметры.

Вредоносные программы можно условно разделить на:

- компьютерные "вирусы";

- программы типа "программный червь " или "троянский конь" и фрагменты программ типа "логический люк";

- программные закладки или разрушающие программные воздействия (РПВ) - обобщенный класс программ (в смысле отсутствия конкретных признаков) с потенциально опасными последствиями.

Кроме того, программные закладки можно классифицировать по методу и месту их внедрения и применения (то есть, по "способу доставки" в систему):

- закладки, ассоциированные с программно - аппаратной средой ОИ (основной или расширенные BIOS ПЭВМ);

- закладки, ассоциированные с программами первичной загрузки (находящиеся в Master Boot Record или BOOT - секторах активных разделов);

- загрузочные закладки;

- закладки, ассоциированные с загрузкой драйверов операционной среды, командного интерпретатора, сетевых драйверов, т.е. c загрузкой операционной среды;

- закладки, ассоциированные с прикладным программным обеспечением общего назначения (встроенные в клавиатурные и экранные драйверы, программы тестирования ПЭВМ, утилиты и оболочки типа NORTON);

- исполняемые модули, содержащие только код закладки (как правило, внедряемые в файлы пакетной обработки типа .BAT);

- модули-имитаторы, совпадающие с некоторыми программами, требующими ввода конфиденциальной информации, по внешнему виду) - наиболее характерны для Unix-систем;

- закладки, маскируемые под программные средства оптимизационного назначения (архиваторы, ускорители обмена с диском и т.д.);

- закладки, маскируемые под программные средства игрового и развлекательного назначения (как правило, используются для первичного внедрения закладок).

Программные закладки имеют много общего с классическими вирусами, особенно в части ассоциирования себя с исполняемым кодом (загрузочные вирусы, вирусы-драйверы, файловые вирусы). Кроме того, программные закладки, как и многие известные вирусы классического типа, имеют развитые средства борьбы с отладчиками и дисассемблерами. Нельзя упускать из вида, что доставка закладок с развлекательным программами в автоматизированную систему организации - путь более чем реальный. Для того, чтобы закладка смогла выполнить какие-либо действия по отношении к прикладной программе или данным, она должна получить управление на себя т.е. процессор должен начать выполнять инструкции (команды), относящиеся к коду закладки. Это возможно только при одновременном выполнении 2-х условий:

- закладка должна находиться в оперативной памяти до начала работы программы, которая является целью воздействия закладки - следовательно, она должна быть загружена раньше или одновременно с этой программой;

- закладка должна активизироваться по некоторому общему как для закладки, так и для программы событию, т.е. при выполнении ряда условий в программно-аппаратной среде управление должно быть передано на программу-"закладку". Данное событие называется активизирующим.

Обычно выполнение указанных условий достигается путем анализа и обработки "закладкой" общих относительно "закладки" и прикладной программы воздействий - как правило, прерываний или сообщений. Типовой характер опосредованного НСД для информационной системы организации таков: нарушитель производит первичную модификацию "штатной" программно-аппаратной среды платежной системы. В принципе на этом атака может закончиться (так, неоднократно фиксировались попытки статической коррекции программ электронной цифровой подписи (ЭЦП), так чтобы при проверке подписи под документами она всегда оставалась либо верной, либо неверной).

Однако чаще всего на первом этапе нарушитель устанавливает в систему некоторый модуль накопления или анализа циркулирующей в банковской системе информации т.е. фактически перехватывает некоторую информацию. Нарушитель может накапливать конфиденциальную информацию на двух уровнях:

- информация непосредственно клиентов (пароли, (для пластиковых карт ПИН-коды), номера счетов и суммы счетов и т.д.);

- персональная информация ответственных исполнителей (ключи ЭЦП, личные пароли, содержание карт или персональных устройств доступа).

После получения интересующей информации злоумышленник восстанавливает рабочую среду в исходное состояние, а перехваченную информацию использует сам, либо передает третьим лицам. Таким образом, осуществление опосредованного НСД (с применением закладок, либо путем коррекции рабочей среды) требует нескольких условий, а именно: физический доступ к аппаратным компонентам банковской системы (в ряде условий возможно удаленное воздействие по сети телекоммуникации), достаточное время, высокая квалификация нарушителя.

Из этого следует, что нарушителем может быть сотрудник самой организации, имеющий доступ к ее программному обеспечению и ПЭВМ, либо сотрудник служб информатизации и телекоммуникации, технического обслуживания и ремонта. Возможна ситуация, когда нарушитель уже не имеет доступа к базам данных организации , но знает (будучи разработчиком каких-либо подсистем) конкретные его особенности и поддерживает контакт с действующим персоналом. Присутствующая в системе закладка может искажать параметры каких-либо операций, при этом выделяют статическое и динамическое искажение. Статическое искажение заключается в изменении параметров программной среды. Например, редактирование файла AUTOEXEC.BAT так, чтобы первой запускалась заданная злоумышленником программа. Изменение исполняемых модулей (редактирование кода или данных) с целью последующего выполнения нужных злоумышленнику действий.

Динамическое искажение заключается в изменении каких-либо параметров процессов при помощи ранее активизированной закладки. Статическое искажение, как правило, проводится один раз. Вообще говоря, разделить эти процессы трудно - так, например, внедрение закладки по вирусному механизму в исполняемый файл сопряжено со статическим искажением программы, а ее дальнейшая работа может быть связана с тем, что код закладки будет резидентным и станет влиять на файловые операции уже динамически.

Троянские программы

Троянскими программами (троянскими конями) обычно называют программы, содержащие скрытый модуль, осуществляющий несанкционированные действия. Эти действия не обязательно могут быть разрушительными, однако практически всегда направлены во вред пользователю. В свою очередь, троянские программы можно разделить на несколько категорий.

Троянские программы-вандалы обычно выполняют или имитируют выполнение какой-нибудь полезной или экзотической функции. При этом в качестве побочного эффекта они стирают файлы, разрушают каталоги, форматируют диск и т.д. Иногда разрушительный код встраивается в какую-нибудь известную программу. Чтобы привлечь пользователей, полученная троянская программа-вандал часто маскируется под новую версию данного программного продукта.

С появлением BBS программы-вандалы получили значительное распространение. При этом техно-крыса подсовывает программу в один или несколько BBS, пользователи которых затем "попадаются на удочку". В качестве примера троянской программы-вандала можно привести программу SURPRISE ("Сюрприз"). Написанная на Бейсике, она исполняла команду DEL *.*, а затем выдавала на экран строку "Surprise !". И таких простых и злобных программ создано немало. С их распространением запуск новой программы на компьютере стал небезопасной операцией.

Иногда в качестве самостоятельной разновидности троянских программ-вандалов выделяют так называемые логические мины (logi bomb) – скрытые модули, встроенные в ранее разработанную и широко используемую программу. Такой модуль является безвредным до определенного события, при наступлении которого он срабатывает. Такого рода программы иногда используются уволенными или обиженными сотрудниками как форма мести по отношению к нанимателю. Частный случай логических мин, в которых срабатывание скрытого модуля определяется временем, часто называют минами с часовым механизмом (time bomb). Фактически логические мины являются средством компьютерного саботажа и их создание должно предусматривать уголовную ответственность. Хотя, как указано выше, компьютерный саботаж обычно связан с "местью" обиженных или уволенных программистов своему бывшему работодателю, он может использоваться и как форма конкурентной борьбы.

В истории отечественного программирования было несколько "громких" случаев компьютерного саботажа. Так, лет семь назад отечественные газеты сообщали о программисте, который перед своим увольнением встроил в программу, управлявшую главным конвейером Горьковского автомобильного завода, "мину", которая через некоторое время привела к остановке главного конвейера. Программист был выявлен и осужден. На Западе, наряду с попытками хищения средств через банковские компьютеры, распространены случаи компьютерного саботажа по отношению к различного рода финансовым системам, вплоть до шифровки базы данных с последующим требованием выкупа за ключ (программу) расшифровки. Последним известным случаем такого рода было описанное выше распространение дискеты с информацией по СПИДу, в которой программа управления базой данных была троянской.

Программы, обеспечивающие вход в систему или получение привилегированной функции (режима работы) в обход существующей системы полномочий, называют люками (back door). Люки часто оставляются разработчиками соответствующих компонент операционной системы для того, чтобы завершить тестирование или исправить какую-то ошибку, но нередко продолжают существовать и после того, как то, для чего они планировались, завершено или необходимость в нем отпала. Например, в операционной системе ОС ЕС широко использовалcя люк NEWPSW, позволявший программе пользователя получить привилегированный режим, называемый в серии 360/370 режимом супервизора, в обход средств контроля операционной системы.

Троянские программы могут также использоваться в целях разведки. К распространенным программам такого рода относятся программы угадывания паролей. Одной из компонент сетевого вируса Морриса была такая программа, причем, как оказалось, она сумела добиться успеха в значительном числе случаев.

Дата добавления: 2018-05-12; просмотров: 403; Мы поможем в написании вашей работы!

Поделиться с друзьями:

12 3 Следующая ⇒

Мы поможем в написании ваших работ!