Лекция по информационной безопасности на тему "Характеристика вирусоподобных программ"

Лекция по «Информационной безопасности» Характеристика "вирусоподобных" программ "Троянские" программы (логические бомбы) К   "троянским"   программам   относятся   программы,   наносящие   какие­ либо   разрушительные   действия   в   зависимости   от   каких­либо   условий. Например, уничтожение информации на дисках при каждом запуске или по определенному графику и т. д. Большинство известных "троянских" программ являются   программами,   которые   маскируются   под   какие­либо   полезные программы, новые версии популярных утилит или дополнения к ним. Очень часто   они   рассылаются   по   электронным   конференциям.   По   сравнению   с вирусами "троянские" программы не получают широкого распространения по достаточно   простым   причинам   –   они   либо   уничтожают   себя   вместе   с остальными   данными   на   диске,   либо   демаскируют   свое   присутствие   и уничтожаются   пострадавшим   пользователем.   К   "троянским"   программам также относятся так называемые "дропперы" вирусов – зараженные файлы, код которых подправлен таким образом, что известные версии антивирусов не определяют   присутствие   вируса   в   файле.   Например,   файл   шифруется   или упаковывается   неизвестным   архиватором,   что   не   позволяет   антивирусу "увидеть" заражение. Отметим еще один тип программ (программы – "злые шутки"), которые используются для устрашения пользователя, о заражении вирусом или о каких либо   предстоящих   действиях   с   этим   связанных,   т.   е.   сообщают   о несуществующих опасностях, вынуждая пользователя к активным действиям. Например,   к   "злым   шуткам"   относятся   программы,   которые   "пугают" пользователя   сообщениями   о   форматировании   диска   (хотя   никакого форматирования   на   самом   деле   не   происходит),   детектируют   вирусы   в незараженных файлах, выводят странные вирусоподобные сообщения и т. д. К категории "злых шуток" можно отнести также заведомо ложные сообщения о новых   "супер­вирусах".   Такие   сообщения   периодически   появляются   в Интернете и обычно вызывают панику среди пользователей. Утилиты скрытого администрирования Утилиты   скрытого   администрирования   являются   разновидностью "логических   бомб"   ("троянских   программ"),   которые   используются злоумышленниками для удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования,   разрабатываемые   и   распространяемые   различными фирмами­производителями   программных   продуктов.   Единственная особенность   этих   программ   заставляет   классифицировать   их   как   вредные "троянские"   программы:   отсутствие   предупреждения   об   инсталляции   и запуске. При запуске такая программа устанавливает себя в систему и затем следит   за   ней,   при   этом   пользователю   не   выдается   никаких   сообщений   о действиях   программы   в   системе.   Чаще   всего   ссылка   на   такую   программу отсутствует в списке активных приложений. В результате пользователь может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления. Внедренные   в   операционную   систему   утилиты   скрытого   управления позволяют   делать   с   компьютером   все,   что   в   них   заложил   их   автор: принимать/отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать   информацию,   перезагружать   компьютер   и   т.   д.   В   результате   эти программы   могут   быть   использованы   для   обнаружения   и   передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п. "Intended"­вирусы К   таким   вирусам   относятся   программы,   которые,   на   первый   взгляд, являются   стопроцентными   вирусами,   но   не   способны   размножаться   по причине ошибок. Например, вирус, который при заражении не помещает в начало файла команду передачи управления на код вируса, либо записывает в нее   неверный   адрес   своего   кода,   либо   неправильно   устанавливает   адрес перехватываемого   прерывания   (в   большинстве   приводит   к   "зависанию" компьютера) и т. д. К категории "intended" также относятся вирусы, которые по   приведенным   выше   причинам   размножаются   только   один   раз   –   из "авторской"   копии.   Заразив   какой­либо   файл,   они   теряют   способность   к дальнейшему размножению. Появляются "intended"­вирусы чаще всего из­за неумелой перекомпиляции какого­либо уже существующего вируса, либо по причине недостаточного знания языка программирования, либо по причине незнания технических тонкостей операционной системы. Конструкторы вирусов К   данному   виду   "вредных"   программ   относятся   утилиты, предназначенные для изготовления новых компьютерных вирусов. Известны конструкторы вирусов для DOS, Windows и макровирусов. Они позволяют генерировать   исходные   тексты   вирусов,   объектные   модули,   и/или непосредственно   зараженные   файлы.   Некоторые   конструкторы   снабжены стандартным оконным интерфейсом, где при помощи системы меню можно выбрать тип вируса, поражаемые объекты  (COM и/или EXE), наличие или отсутствие   самошифровки, текстовые строки, выбрать эффекты, сопровождающие работу вируса и т. п.   противодействие   отладчику,   внутренние Полиморфные генераторы Полиморфик­генераторы,   как   и   конструкторы   вирусов,   не   являются вирусами   в   прямом   смысле   этого   слова,   поскольку   в   их   алгоритм   не закладываются функции размножения, т. е. открытия, закрытия и записи в файлы, чтения и записи секторов и т. д. Главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика. Обычно полиморфные генераторы распространяются в виде файла­архива.   Основным   файлом   в   архиве   любого   генератора   является объектный модуль, содержащий этот генератор.