ОСНОВНЫЕ ВИДЫ ВРЕДОНОСНЫХ ПРОГРАММ
ПОНЯТИЕ И ВИДЫ ВРЕДОНОСНЫХ ПРОГРАММ
Первые сообщения о несущих вред программах, преднамеренно и скрытно внедряемых в программное обеспечение различных вычислительных систем, появились в начале 80-х гг. Название «компьютерные вирусы» произошло по причине сходства с биологическим прототипом, с точки зрения возможности самостоятельного размножения. В новую компьютерную область были перенесены и некоторые другие медико-биологические термины, например такие, как мутация, штамм, вакцина и пр. Сообщение о программах, которые при наступлении определенных условий начинают производить вредные действия, например, после определенного числа запусков разрушают хранящуюся в системе информацию, но при этом не обладают характерной для вирусов способностью к самовоспроизведению, появились значительно раньше
1.Люк.Условием, способствующим реализации многих видов угроз безопасности информации в информационных технологиях, является наличие «люков». Люк вставляется в программу обычно на этапе отладки для облегчения работы: данный модуль можно вызывать в разных местах, что позволяет отлаживать отдельные части программы независимо. Наличие люка позволяет вызывать программу нестандартным образом, что может отразиться на состоянии системы зашиты. Люки могут остаться в программе по разным причинам. Обнаружение люков — результат случайного и трудоемкого поиска. Защита от люков одна — не допускать их появления в программе, а при приемке программных продуктов, разработанных другими производителями, следует проводить анализ исходных текстов программ с целью обнаружения люков.
2. Логические бомбыиспользуются для искажения или уничтожения информации, реже с их помощью совершаются кража или мошенничество. Логическую бомбу иногда вставляют во время разработки программы, а срабатывает она при выполнении некоторого условия (время, дата, кодовое слово). Манипуляциями с логическими бомбами занимаются также чем-то недовольные служащие, собирающиеся покинуть организацию, но это могут быть и консультанты, служащие с определенными политическими убеждениями и т. п. Реальный пример логической бомбы: программист, предвидя свое увольнение, вносит в программу расчета заработной платы определенные изменения, которые начинают действовать, когда его фамилия исчезнет из набора данных о персонале фирмы.
3. Троянский конь— программа, выполняющая в дополнение к основным, т. е. запроектированным и документированным действиям, действия дополнительные, неописанные в документации. Аналогия с древнегреческим троянским конем оправданна — и в том, и в другом случае в не вызывающей подозрения оболочке таится угроза. Троянский конь представляет собой дополнительный блок команд, тем или иным образом вставленный в исходную безвредную программу, которая затем передается (дарится, продается) пользователям ИТ. Этот блок команд может срабатывать при наступлении некоторого условия (даты, времени, по команде извне и т. д.). Троянский конь действует обычно в рамках полномочий одного пользователя, но в интересах другого пользователя или вообще постороннего человека, личность которого установить порой невозможно. Наиболее опасные действия троянский конь может выполнять, если запустивший его пользователь обладает расширенным набором привилегий. В таком случае злоумышленник, составивший и внедривший троянского коня н сам этими привилегиями не обладающий, может выполнять несанкционированные привилегированные функции чужими руками. Радикальным способом защиты от этой угрозы является создание замкнутой среды использования программ.
4. Червь — программа, распространяющаяся через сеть и не оставляющая своей копии на магнитном носителе.
Червь использует механизмы поддержки сети для определения узла, который может быть заражен. Затем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий. Подходящей средой распространения червя является сеть, все пользователи которой считаются дружественными и доверяют друг другу, а защитные механизмы отсутствуют. Наилучший способ защиты от червя — принятие мер предосторожности против несанкционированного доступа к сети
5. Захватчик паролей — это программы, специально предназначенные для воровства паролей. При попытке обращения пользователя к рабочей станции на экран выводится информация, необходимая для окончания сеанса работы. Пытаясь организовать вход, пользователь вводит имя и пароль, которые пересылаются владельцу программы-захватчика, после чего выводится сообщение об ошибке, а ввод и управление возвращаются к операционной системе. Пользователь, думающий, что допустил ошибку при наборе пароля, повторяет вход и получает доступ к системе. Однако его имя и пароль уже известны владельцу программы-захватчика. Перехват пароля возможен и другими способами. Для предотвращения этой угрозы перед входом в систему необходимо убедиться, что вы вводите имя и пароль именно системной программе ввода, а не какой-нибудь другой. Кроме того, необходимо неукоснительно придерживаться правил использования паролей и работы с системой. Большинство нарушений происходит не из-за хитроумных атак, а из-за элементарной небрежности. Соблюдение специально разработанных правил использования паролей — необходимое условие надежной зашиты.
6. Бактерии (bacteria). Этот термин программу, которая делает копии самой себя и становится паразитом, перегружая память и микропроцессор персонального компьютера или рабочей станции сети.
7. Компьютерным вирусом принято называть специально написанную, обычно небольшую по размерам программу, способную самопроизвольно присоединяться к другим программам (т. е. заражать их), создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в файлы, системные области персонального компьютера и в другие объединенные с ним компьютеры с целью нарушения нормальной работы программ, порчи файлов и каталогов, создания различных помех при работе на компьютере.
ВИДЫ КОМПЬЮТЕРНЫХ ВИРУСОВ, ИХ КЛАССИФИКАЦИЯ
Способ функционирования большинства вирусов — это такое изменение системных файлов ПК, чтобы вирус начинал свою деятельность при каждой загрузке персонального компьютера. Некоторые вирусы инфицируют файлы загрузки системы, другие специализируются на различных программных файлах. Всякий раз, когда пользователь копирует файлы на машинный носитель информации или посылает инфицированные файлы по сети, переданная копия вируса пытается установить себя на новый диск. Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователь часто не замечает, что его ПК заражен и не успевает принять соответствующих адекватных мер. Для анализа действия компьютерных вирусов введено понятие жизненного цикла вируса, который включает четыре основных этапа:
1. Внедрение
2. Инкубационный период (прежде всего для скрытия источника проникновения)
3. Репродуцирование (саморазмножение)
4. Деструкция (искажение и/или уничтожение информации)
Объекты воздействия компьютерных вирусов можно условно разделить на две группы:
1. С целью продления своего существования вирусы поражают другие программы, причем не все, а те, которые наиболее часто используются и/или имеют высокий приоритет в информационной
2. Деструктивными целями вирусы воздействуют чаще всего на данные, реже — на программы.
К способам проявления компьютерных вирусов можно отнести:
• замедление работы персонального компьютера, в том числе его зависание и прекращение работы;
• изменение данных в соответствующих файлах;
• невозможность загрузки операционной системы;
• прекращение работы или неправильная работа ранее успешно функционирующей программы пользователя;
• увеличение количества файлов на диске;
• изменение размеров файлов;
• нарушение работоспособности операционной системы, что требует ее периодической перезагрузки;
• периодическое появление на экране монитора неуместных сообщений;
• появление звуковых эффектов;
• уменьшение объема свободной оперативной памяти;
• заметное возрастание времени доступа к винчестеру;
• изменение даты и времени создания файлов;
• разрушение файловой структуры (исчезновение файлов, искажение каталогов);
• загорание сигнальной лампочки дисковода, когда к нему нет обращения пользователя;
• форматирование диска без команды пользователя и т. д.
Вирусы можно классифицировать по признакам:
1. По виду среды обитания вирусы классифицируются на следующие виды:
· загрузочные внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска;
· файловыевнедряются в основном в исполняемые файлы с расширениями .СОМ и .ЕХЕ;
· системныепроникают в системные модули и драйверы периферийных устройств, таблицы размещения файлов и таблицы разделов;
· сетевыевирусы обитают в компьютерных сетях;
· файлово-загрузочныепоражают загрузочные секторы дисков и файлы прикладных программ.
2. По степени воздействия на ресурсы компьютерных систем и сетей выделяются:
• безвредныевирусы,не оказывающие разрушительного влияния на работу персонального компьютера, но могут переполнять оперативную память в результате своего размножения;
• неопасныевирусыне разрушают файлы, но уменьшают свободную дисковую память, выводят на экран графические эффекты, создают звуковые эффекты и т. д.;
• опасныевирусынередко приводят к различным серьезным нарушениям в работе персонального компьютера и всей информационной технологии;
• разрушительныеприводят к стиранию информации, полному или частичному нарушению работы прикладных программ..и пр.
3. По способу заражения среды обитания вирусы подразделяются на следующие группы:
• резидентные вирусыпри заражении компьютера оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к другим объектам заражения, внедряется в них и выполняет свои разрушительные действия вплоть до выключения или перезагрузки компьютера. Резидентная программа —это программа, постоянно находящаяся в оперативной памяти персонального компьютера.
• нерезидентные вирусыне заражают оперативную память персонального компьютера и являются активными ограниченное время.
4. Алгоритмическая особенность построения вирусов оказывает влияние на их проявление и функционирование. Выделяют следующие виды таких вирусов:
§ репликаторные,благодаря своему быстрому воспроизводству приводят к переполнению основной памяти, при этом уничтожение программ-репликаторов усложняется, если воспроизводимые программы не являются точными копиями оригинала;
§ мутирующиесо временем видоизменяются и самопроизводятся. При этом, самовоспризводясь, воссоздают копии, которые явно отличаются от оригинала;
§ стэлс-вирусы (невидимые)перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо себя незараженные объекты. Такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные мониторы;
§ макровирусыиспользуют возможности макроязыков, встроенных в офисные программы обработки данных (текстовые редакторы, электронные таблицы и т.д.).