На додачу до цього, вони можуть пошкоджувати чи повністю знищувати дані, підконтрольні користувачу, від імені якого була запущена заражена програма



Сторінка1/4
Дата конвертації31.12.2016
Розмір0.57 Mb.
  1   2   3   4

http://antibotan.com/ - Всеукраїнський студентський архів

Знайомство з комп’ютерним вірусом
Комп’ютерні віруси — різновид шкідливих програм, характерною особливістю яких є здатність до розмноження (самореплікації). На додачу до цього, вони можуть пошкоджувати чи повністю знищувати дані, підконтрольні користувачу, від імені якого була запущена заражена програма.

Неспеціалісти інколи відносять до комп’ютерних вірусів усі шкідливі програми, такі як мережні черв’яки, троянські коні та програми-шпигуни.


Віруси розповсюджуються, вписуючи себе у виконуваний код інших програм.


Слід зазначити, що, будучи програмою, вірус може заразити лише програму. Будь-які зміни непрограм є не зараженням, а просто пошкодженням даних, оскільки така копія віруса ніколи не одержить керування, бо не використовуватиметься процесором в якості інструкцій (що не відповідає сутності віруса). Саме тому неформатований (plain) текст не може бути переносчиком віруса.

З огляду на вищесказане, довгий час вважалося, що текст взагалі неможливо заразити. Але з появою документів, що містили макроси, це твердження довелося переглянути в тому плані, що саме можна вважати текстом. Виходить, що документ MS Word — не текст, а програма (чи текст з програмою), яка може бути заражена.




Історія вірусів.

Думок з приводу народження першого комп'ютерного вірусу дуже багато. Напевно відомо тільки одне: на машині Чарльза Беббіджа, що вважається винахідником першого комп'ютера, вірусів не було, а на Univax 1108 і IBM 360/370 в середині 1970-х років вони вже були. Не дивлячись на це, сама ідея комп'ютерних вірусів з'явилася значно раніше. Відправною крапкою можна вважати праці Джона фон Неймана з вивчення математичних автоматів, що самовідтворюються. Ці праці сталі відомі в 1940-х роках. А в 1951 р. знаменитий учений запропонував метод, який демонстрував можливість створення таких автоматів. Пізніше, в 1959 р., журнал "Scientific American" опублікував статтю Л.С. Пенроуза, яка також була присвячена механічним структурам, що самовідтворювалися. На відміну від раніше відомих робіт, тут була описана проста двовимірна модель подібних структур, здібних до активації, розмноження, мутацій, захоплення. Пізніше, слідами цієї статті інший учений - Ф.Ж. Шталь - на практиці реалізував цю модель за допомогою машинного коду на IBM 650.


Необхідно відзначити, що із самого початку ці дослідження були направлені зовсім не на створення теоретичної основи для майбутнього розвитку комп'ютерних вірусів. Навпаки, учені прагнули удосконалити мир, зробити його більш пристосованим для життя людини. Адже саме ці праці лягли в основу багатьох пізніших робіт з робототехніки й штучного інтелекту. І в тому, що подальші покоління зловжили плодами технічного прогресу, немає провини цих чудових учених.

Початок 70-х років
На початку 1970-х років в прототипі сучасного інтернету - військовій комп'ютерній мережі APRAnet - був виявлений вірус Creeper. Написана для колись популярної операційної системи Tenex, ця програма була в змозіі самостійно ввійти до мережі через модем і передати свою копію віддаленій системі. На заражених системах вірус виявляв себе повідомленням: "IM THE CREEPER : CATCH ME IF YOU CAN". Пізніше для видалення настирливого, але в цілому нешкідливого вірусу, невідомим була створена програма Reaper. За своєю суттю це був вірус, що виконував деякі функції, властиві антивірусу: він розповсюджувався обчислювальною мережею і, у разі виявлення тіла вірусу Creeper, знищував його.
1974 рік. На мейнфреймах цього часу з'являється програма, що отримала назву "кролик" (Rabbit). Це ім'я вона отримала тому, що окрім розмноження і розповсюдження носіями інформації, вона нічого не робила. Правда, швидкість її розмноження цілком виправдовувала назву. Ця програма клонувала себе, займала системні ресурси і таким чином знижувала продуктивність системи. Досягнувши певного рівня розповсюдження на зараженій машині, "кролик" нерідко викликав збій в її роботі. 

Початок 80-х років
Комп'ютери стають все більш і більш популярними. З'являється все більше і більше програм, авторами яких є не фірми-виробники програмного забезпечення, а приватні особи. Розвиток телекомунікаційних технологій дає можливість відносно швидко і зручно поширювати ці програми через сервери загального доступу — BBS (Bulletin Board System). Пізніше, напівлюбительські, університетські BBS переростають в глобальні банки даних, що охоплюють практично всі розвинені країни. Вони забезпечують швидкий обмін інформацією навіть між найвіддаленішими точками планети.


1981 рік
Широке розповсюдження комп'ютерів марки Apple II привернуло увагу до цієї платформи авторів вірусів. Не дивно, що перша в історії дійсно масова епідемія комп'ютерного вірусу відбулася саме на Apple II. Вірус Elk Cloner записувався в завантажувальні сектори дискет, до яких йшло звернення. В ті часи це здавалося неймовірним і викликало у рядових користувачів стійкий зв'язок між вірусами і позаземними цивілізаціями, що намагаються завоювати світ. Враження від вірусу посилювалося його проявами: Elk Cloner перевертав зображення на екрані, примушував текст блимати, виводив різноманітні загрозливі повідомлення.


1983 рік
Лен Ейделман вперше використовує термін "вірус" щодо до комп'ютерних програм, що саморозмножуються. 10 листопада 1983 р. Фред Коен, родоначальник сучасної комп'ютерної вірусології, на семінарі з комп'ютерної безпеки в Лехайському університеті (США) демонструє на системі VAX 11/750 вірусоподібну програму, здатну впроваджуватися в інші об'єкти. Роком пізніше, на 7-ій конференції з безпеки інформації, він дає наукове визначення терміну "комп'ютерний вірус" як „програми, здатної "заражати" інші програми за допомогою їх модифікації з метою впровадження своїх копій”.


1986 рік
Зареєстрована перша глобальна епідемія вірусу для IBM-сумісних комп'ютерів. Вірус Brain, що заражає завантажувальні сектори дискет, протягом декількох місяців розповсюдився практично по всьому світу. Причина такого "успіху" полягала в повній непідготовленості комп'ютерного суспільства до зустрічі з таким явищем, як комп'ютерний вірус: антивірусні програми ще не набули такого широкого поширення як зараз, а користувачі, у свою чергу, не дотримувалися основних правил антивірусної безпеки. Ефект від епідемії, що відбулася, посилювався поганим знайомством суспільства і невивченістю феномена "комп'ютерний вірус". Услід за виявленням Brain один за іншим стали з'являтися науково-фантастичні романи, присвячені вірусам.
Вірус Brain був написаний в Пакистані 19-річним програмістом Баситом Фарук Алві (Basit Farooq Alvi) і його братом Амжадом (Amjad), що залишили у вірусі текстове повідомлення, що містить їх імена, адресу і телефонний номер. Як затверджували автори вірусу, що працювали в компанії з продажу програмних продуктів, вони вирішили з'ясувати рівень комп'ютерного піратства у себе в країні. Крім зараження завантажувальних секторів і зміни міток (label) дискет на фразу (c) Brain вірус нічого не робив: він не надавав ніякої побічної дії і не псував інформацію. На жаль, експеримент швидко вийшов з-під контролю і виплеснувся за межі Пакистану.
Цікаво, що вірус Brain був також і першим вірусом-невидимкою. При виявленні спроби читання зараженого сектора диска вірус непомітно "підставляв" його незаражений оригінал.

У 1988 р.

були зафіксовані перші випадки розповсюдження т.зв. вірусних містифікацій (Virus Hoax). Це вельми цікавий феномен, заснований на розповсюдженні помилкових чуток про появу нових, надзвичайно небезпечних комп'ютерних вірусів. По суті справи ці чутки і були свого роду вірусами: налякані користувачі поширювали такі повідомлення всім своїм знайомим з надзвичайною швидкістю. Навряд чи варто зупинятися на тому, що містифікації не наносять комп'ютерам ніякого збитку. Проте, разом з тим, вони забивають канали передачі даних, нервують інших користувачів і дискредитують людей, що повірили в ці чутки.


Один з перших жартів такого характеру належить нікому Mike RoChenle (псевдонім схожий на англійське слово "microchannel"), який в жовтні 1988 р. розіслав на станції BBS велику кількість повідомлень про нібито існуючий вірус, який передається від модему до модему і використовує для цього швидкість 2400 бітів на секунду. В якості панацеї пропонувалося якнайскоріше перейти на використання модемів зв швидкістю 1200 бітів на секунду. Як це ні смішно, багато користувачів дійсно послухалися цієї поради.
Іншим жартом з цієї ж області стало попередження, випущене Робертом Моррісом (Robert Morris) про вірус, що розповсюджується по електричній мережі, змінює конфігурацію портів і напрямок обертання дисководів. Згідно повідомленню, всього за 12 хвилин вірус встиг уразити 300 000 комп'ютерів в штаті Дакота (США).


Листопад 1988.

Поголовна епідемія справжнього мережного вірусу, що отримав назву „черв'як Морріса”. Вірус заразив більше 6000 комп'ютерних систем в США (включаючи Дослідницький центр NASA) і практично паралізував їх роботу. Унаслідок помилки в коді вірусу він, як і вірус-черв'як "Christmas Tree", необмежено розсилав свої копії по інших комп'ютерах мережі, запускав їх на виконання і таким чином повністю забирав під себе всі мережеві ресурси. Для свого розмноження вірус використовував помилки в системі безпеки операційної системи Unix для платформ VAX і Sun Microsystems. Крім помилок в Unix, вірус використовував і інші оригінальні ідеї, наприклад, підбір паролів користувачів (із списку, що містить 481 варіант) для входу в системи під чужим ім'ям. Загальні збитки від вірусу Морріса були оцінені в 96 мільйонів доларів.


Нарешті, 1988 р. ознаменувався появою однієї з найбільш відомих антивірусних програм - Dr. Solomons Anti-Virus Toolkit. Програма була створена англійським програмістом Аланом Соломоном (Alan Solomon), завоювала величезну популярність і проіснувала до 1998 р., коли компанія була поглинена іншим виробником антивірусів - американською Network Associates (NAI). 

У червні 1994 року

почалася епідемія OneHalf. OneHalf – написаний під DOS поліморфний комп'ютерний вірус (гібрид бутового і файлового вірусів). Відомий своїм особливим корисним навантаженням, яке кодує певні частини жорсткого диска, однак розшифровує їх, коли з ними працюють, тому користувач нічого не помічає. Кодування здійснюється шляхом порозрядного XORування випадково згенерованим ключем, а розкодування виконується повторним XORуванням з тим самим ключем. Проте, недбала дезинфекція призводитиме до втрати даних, тому що, якщо користувач не бере це кодування до уваги, то він знищує тільки вірус, який служить також для розшифровки і доступу до даних. Після кодування однієї половини HDD за особливих умов вірус пише таке повідомлення: Dis is OneHalf. Press any key to continue ...



Січень 2003

Вірус Slammer:


(З новин на Компьюлента.ру): «У минулі вихідні була здійснена одна з найкрупніших вірусних атак на Інтернет за всю його історію. В результаті активізації черв’яка Slammer швидкість роботи Мережі значно сповільнилася, а деякі регіони, наприклад, Південна Корея, виявилися практично відрізаними від інтернету.
Вірусна атака почалася в 0:30 за часом Східного побережжя США або в 8:30 за московським часом. Де знаходилося джерело зараження, до цих пір точно не відомо. Деякі фахівці з комп'ютерної безпеки припускають, що вірус розповсюджувався з території США, інші ж вважають, що його батьківщина знаходиться десь в Азії.
За лічені хвилини черв'як, що використовує уразливість в СУБД Microsoft SQL Server 2000, заповнив інтернет. Незважаючи на малий розмір вірусу - всього 376 байт, він зміг створити в каналах передачі даних справжні пробки, оскільки після зараження комп'ютера він починає розсилати свій код по випадкових IP-адресах в нескінченному циклі. Якщо по якій-небудь з адрес виявлявся вразливий комп'ютер, він заражався і теж починав розсилати копії вірусу.
Все це привело до великомасштабного зростання трафіку. На піку активності черв’яка на один сервер могли приходити сотні запитів в хвилину. Не витримавши збільшеного навантаження, деякі сервери просто падали. В цей час тільки в США втрачалося до 20% IP-пакетів, що вдесятеро перевищує нормальний рівень. За наявними даними, від атаки постраждали і п'ять з тринадцяти кореневих DNS-серверів.
Найсильніше від атаки Slammer постраждала Південна Корея, де інтернетом користуються сім з кожних десяти жителів. Проте в суботу ця країна виявилася практично відключеною від глобальної мережі. Зокрема, під натиском Slammer обрушилася мережа найбільшого південнокорейського провайдера KT Corp. Серйозно постраждали також провайдери Hanaro Telecom Inc. і Thrunet, що займають, відповідно, друге і третє місця на південнокорейському ринку мережевих послуг. Працездатність була відновлена вже до суботнього вечора, проте швидкість роботи інтернету ще довго залишалася низькою.
Відключення інтернету в Південній Кореї позначилося і на роботі Мережі у всьому азіатському регіоні - швидкість роботи інтернету тут була найменшою. У Європі сповільнення також було серйозним, проте до південнокорейських масштабів катастрофа не дійшла. Американські провайдери інтернету, в більшості своїй, стабільно працювали під час атаки, хоча швидкість передачі даних була значно нижча за звичайну.
Протягом суботи атака Slammer поступово зійшла нанівець, проте експерти по комп'ютерній безпеці побоюються, що вірус ще повернеться. Суботня атака нанесла значно менше збитку, ніж якби вона проводилася в розпал робочого тижня. Цілком імовірно, що суботня епідемія - всього лише репетиція перед справжньою атакою на інфраструктуру Мережі, від якої залежить бізнес безлічі компаній по всьому світу.
Однією з причин катастрофічних наслідків атаки Slammer є неувага системних адміністраторів до регулярного оновлення програмного забезпечення. Про дірку в MS SQL Server 2000 стало відомо ще минулого літа, а латочка до неї міститься у випущеному недавно Microsoft пакеті оновлень Service Pack 3. Проте, згідно з відомою приказці про мужика і грім, встановленням патчів адміністратори зайнялися лише після атаки Slammer. Проте вдалося це небагатьом: сайт Microsoft, звідки тільки і можна було узяти патч, виявився перевантаженим»
Три умови існування шкідливих програм

Операційна система або прикладна програма може піддатися вірусному нападу в тому випадку, якщо вона має можливість запустити програму, що не є частиною самої системи. Даній умові задовольняють усі популярні "настільні" операційні системи, багато офісних програм, графічні редактори, системи проектування та інші програмні комплекси, що мають вбудовані скриптові мови.


Комп'ютерні віруси, черв’яки, троянські програми існують для багатьох операційних систем і додатків. У той же час існують інші операційні системи і додатків, для яких шкідливі програми поки не виявлені. Що є причиною існування шкідливих програм в одних системах і його відсутності в інших?


Причиною появи подібних програм у конкретній операційній системі або додатку є одночасне виконання наступних умов:


— популярність, широке поширення даної системи;
— наявність різноманітної та достатньо повної документації по системі;
— незахищеність системи або існування відомих уязвимостей у системі безпеки.
Кожна перерахована умова є необхідною, а виконання всіх трьох умов одночасно є достатнім для появи різноманітних шкідливих програм.
Умова популярності системи необхідна для того, щоб вона попалася на очі хоча б одному комп'ютерному хуліганові або гакеру. Якщо система існує в одиничних екземплярах, то ймовірність її зловмисного використання близька до нуля. Якщо ж виробник системи домігся її масового поширення, то очевидно, що рано або пізно гакери і вірусописці спробують використати її в своїх інтересах.

Напрошується природний висновок: чим популярніші операційна система або додаток, тим частіше вони будуть жертвами вірусної атаки. Практика це підтверджує — розподіл кількості шкідливого програмного забезпечення для Windows і Linux практично збігається із частками ринку, які займають ці операційні системи.


Наявність повної документації необхідна для існування вірусів із природної причини — створення програм (включаючи вірусні) неможливе без технічного опису використання сервісів операційної системи й правил написання додатків. У більшості мобільних телефонів, наприклад, подібна інформація закрита — ані компанії-виробники програмних продуктів, ані гакери не мають можливості розробляти програми для даних пристроїв. У деяких "розумних" телефонів є документація для розробки додатків — і, як наслідок, з'являються й шкідливі програми, розроблені спеціально для телефонів даного типу.
Під захищеністю системи розуміють архітектурні рішення, які не дозволяють новому (невідомому) застосуванню отримати повний або достатньо широкий доступ до файлів на диску (включаючи інші застосування) і потенційно небезпечним сервісам системи. Подібне обмеження фактично блокує будь-яку вірусну активність, але при цьому, природно, накладає істотні обмеження на можливості звичайних програм. Прикладів широко відомих захищених операційних систем і застосувань, на жаль, немає. Частково задовольняє вимозі захищеності Java-машина, яка запускає Java-застосування в режимі «пісочниці». І дійсно, «справжніх» вірусів і троянських програм у вигляді Java-застосувань не було достатньо довгий час (за винятком тестових вірусів, які були практично непрацездатні). Шкідливі програми у вигляді Java-застосувань з'явилися лише тоді, коли були виявлені способи обходу вбудованої в Java-машину системи безпеки.


Класифікація
В даний час не існує єдиної системи класифікації і іменування вірусів (хоча спроба створити стандарт була зроблена на зустрічі CARO (Computer Antivirus Research Organization) в 1991 році). Прийнято розділяти віруси за об'єктами, що вражаються (файлові віруси, завантажувальні віруси, скриптові віруси, мережні черв'яки), за операційними системами й платформами, що вражаються (DOS, Windows, Unix, Linux, Java та інші), за технологіями, використовуваними вірусом (поліморфні віруси, стелс-віруси), за мовою, якою написано вірус (асемблер, високорівнева мова програмування, скриптова мова та ін.).


Класичні віруси

Типи комп'ютерних вірусів розрізняються між собою по наступних основних ознаках: 

— середовище існування; 

— спосіб зараження. 


Середовище існування

Під «середовищем існування» розуміються системні області комп'ютера, операційні системи або застосування, в компоненти (файли) яких упроваджується код вірусу. Під «способом зараження» розуміються різні методи впровадження вірусного коду в об'єкти, що заражаються.

За середовищем існування віруси можна розділити на:

— файлові;

— завантажувальні;

— макро;


— скриптові. 

Файлові віруси при своєму розмноженні тим або іншим способом використовують файлову систему якої-небудь (або яких-небудь) ОС. Вони:


різними способами упроваджуються у виконувані файли (найбільш поширений тип вірусів);

створюють файли-двійники (компаньон-віруси);

створюють свої копії в різних каталогах;

використовують особливості організації файлової системи (link-віруси).

Завантажувальні віруси записують себе або в завантажувальний сектор диска (boot-сектор), або в сектор, системний завантажувач вінчестера (Master Boot Record), що містить, або міняють покажчик на активний boot-сектор. Даний тип вірусів був достатньо поширений в 1990-х, але практично зник з переходом на 32-бітові операційні системи і відмовою від використання дискет як основного способу обміну інформацією.

Багато табличних і графічних редакторів, системи проектування, текстові процесори мають свої макро-мови для автоматизації виконання дій, що повторюються. Ці макро-мови часто мають складну структуру і розвинений набір команд. Макро-віруси є програмами на макро-мовах, вбудованих в такі системи обробки даних. Для свого розмноження віруси цього класу використовують можливості макро-мов і при їх допомозі переносять себе з одного зараженого файлу (документа або таблиці) в інших.



Класифікація файлових вірусів за способом зараження
За способом зараження файлові віруси (віруси, що впроваджують свій код у виконувані файли: командні файли, програми, драйвери, початковий код програм і ін.) розділяють на перезаписувачі, паразитичні, віруси-посилання, віруси-черв'яки, компаньон-віруси, а також віруси, що вражають початкові тексти програм і компоненти програмного забезпечення (VCL, LIB і ін.).

— Перезаписуючі віруси. Віруси даного типу записують своє тіло замість коду програми, не змінюючи назви виконуваного файлу, унаслідок чого початкова програма перестає запускатися. При запуску програми виконується код вірусу, а не сама програма. 


— Віруси-компаньйони. Компаньон-віруси, як і перезаписуючі віруси, створюють свою копію на місці програми, що заражається, але, на відміну від перезаписувачів, не знищують оригінальний файл, а перейменовують або переміщають його. При запуску програми спочатку виконується код вірусу, а потім управління передається оригінальній програмі. Можливе існування і інших типів вірусів-компаньйонів, що використовують інші оригінальні ідеї або особливості інших операційних систем. Наприклад, PATH-компаньйони, які розміщують свої копії в основному каталозі Windows, використовуючи той факт, що цей каталог є першим в списку PATH, і файли для запуску Windows в першу чергу шукатиме саме в ньому. Даними способом самозапуску користуються також багато комп'ютерних черв'яків і троянські програми. 
— Файлові черв'яки. Файлові черв'яки створюють власні копії з привабливими для користувача назвами (наприклад Game.exe, install.exe і ін.) сподіваючись на те, що користувач їх запустить.
— Link-віруси. Як і компаньон-віруси, не змінюють код програми, а примушують операційну систему виконати власний код, змінюючи адресу місцеположення на диску зараженої програми, на власну адресу. Після виконання коду вірусу управління зазвичай передається програмі, що викликається користувачем. 

— Паразитичні віруси. Паразитичні віруси — це файлові віруси що змінюють вміст файлу додаючи в нього свій код. При цьому заражена програма зберігає повну або часткову працездатність. Код може упроваджуватися в початок, середину або кінець програми. Код вірусу виконується перед, після або разом з програмою, залежно від місця впровадження вірусу в програму. 

— Віруси, що вражають початковий код програм. Віруси даного типу вражають або початковий код програми, або її компоненти (OBJ-, LIB-, DCU- файли) а так само VCL і ActiveX компоненти. Після компіляції програми виявляються в неї вбудованими. На цей час широкого поширення не набули.


Завантажувальні віруси

Відомі на даний момент завантажувальні віруси заражають завантажувальний (boot) сектор гнучкого диска і boot-сектор або Master Boot Record (MBR) вінчестера. Принцип дії завантажувальних вірусів заснований на алгоритмах запуску операційної системи при включенні або перезавантаженні комп'ютера — після необхідних тестів встановленого устаткування (пам'яті, дисків і т.д.) програма системного завантаження прочитує перший фізичний сектор завантажувального диска (A:, C: або CD-ROM залежно від параметрів, встановлених в BIOS Setup) і передає на нього управління.




Черв’яки
Комп'ютерний черв'як - комп'ютерна програма, здатна до самовідтворення. Вона використовує мережу, щоб відправити свої копії іншим вузлам (комп'ютерним терміналам в мережі) і може робити це без будь-якого втручання користувача. На відміну від вірусу, черв’якам не потрібно приєднуватися до існуючої програми. Черв'яки завжди шкодять мережу (хай навіть лише споживаючи пропускну спроможність), тоді як віруси завжди заражають або зіпсовані файли на атакованому комп'ютері.
Багато створених черв'яків здатні виключно до розповсюдження і не намагаються змінити системи, через які проходять. Проте, як показали черв'як Морріса і Mydoom, мережний трафік і інші ненавмисні ефекти можуть часто викликати серйозний збій. Корисне навантаження — код, призначений для чогось більшого, ніж просте поширення черв'яка – він може видаляти файли на зараженій системі (приклад — черв'як ExploreZip), шифрувати файли (криптовірусна атака з метою здирництва), або посилати документи електронною поштою. Дуже популярне корисне навантаження для черв'яків - встановити чорний хід в зараженому комп'ютері, щоб дозволити створення "зомбі" під управлінням автора черв'яка (Sobig і Mydoom). Мережі таких машин часто називають botnets. Їх зазвичай використовують спамери для поширення junk-повідомлень або для маскуваня адреси своїх веб-вузлів. Саме тому спамерів вважають джерелом фінансування створення таких черв'яків, і автори черв'яків були спіймані при спробі продажу списків IP адрес заражених машин. Інші пробують шантажувати компанії можливими DоS-атаками.
  1   2   3   4


База даних захищена авторським правом ©lecture.in.ua 2016
звернутися до адміністрації

    Головна сторінка