46419 (Современные угрозы и каналы утечки информации в компьютерных сетях), страница 3

Компьютерный вирус это программа, обладающая способностью к скрытому размножению в среде используемой операционной системы путем включения в исполняемые или хранящиеся программы своей, возможно модифицированной копии, которая сохраняет способность к дальнейшему размножению.

Компьютерные вирусы способны размножаться, внедряться в программы, передаваться по линиям связи, сетям обмена информации, выводить из строя системы управления.

В принципе, не все вредоносные программы являются вирусами. Строго определения компьютерного вируса не существует. Разнообразие вирусов столь велико, что дать достаточное условие(перечислить набор признаков, при выполнении которых программу можно однозначно отнести к вирусам) просто невозможно – всегда найдется класс программ с данными признаками, не являющихся при этом вирусом.

При этом большинство определений необходимого условия сходятся на том, что компьютерные вирусы – это программы, которые умеют размножаться и внедрять свои копии в другие программы. То есть заражают уже существующие файлы.

Необходимо отметить, что компьютерные вирусы, или, как более правильно, программные вирусы, являются в настоящее время наиболее эффективным средством доставки внедрения различных разведывательных программ. Под программные вирусом понимается автономно функционирующая программа, обладающая способностью к самовключению в тела других программ и последующему самовоспроизведению и самораспространению в информационно – вычислительных сетях и отдельных ЭВМ. Программные вирусы представляют собой весьма эффективное средство реализации практически всех угроз безопасности информационно-вычислительных сетях. Поэтому вопросы анализа возможностей программных вирусов и разработки способов противодействия вирусам в настоящее время приобрели значительную актуальность и образовали одно из наиболее приоритетных направлений работ по обеспечению безопасности информационно вычислительных сетях.

Предшественниками программных вирусов принято считать так называемые троянские программы, тела которых содержат скрытые последовательности команд, выполняющие действия, наносящие вред пользователям. Наиболее распространенной разновидностью троянских программ являются широкоизвестные программы массового применения (редакторы, игры, трансляторы), в которых встроены так называемые логические бомбы, срабатывающие по наступлению некоторого события. В свою очередь, разновидностью логической бомбы являет «бомба с часовым механизмом», запускаемая в моменты времени. Следует отметить, что троянские программы не являются саморазмножающимися и распространяются по информационно – вычислительным сетям самими программистами, в частности посредством общедоступных банков данных и программ.

Принципиальное отличие вируса от троянской программы состоит в том, что вирус после запуска его в информационно- вычислительные сети существуют самостоятельно и в процессе своего функционирования заражает программы путем включения в них своего текста. Таким образом, вирус представляет собой своеобразный генератор троянских программ. Программы, зараженные вирусом, называют также вирусоносителем.

Заражение программы, как правило, выполняется таким образом, чтобы вирус получил управление раньше самой программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на вирус, тест заканчивается аналогичной командой безусловного перехода на команду вирусоносителя, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие – либо другие действия, после чего отдает управление вирусоносителю.

«Первичное заражение» происходит в процессе поступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как магнитные носители (дискеты), так и каналы информационно – вычислительных сетей. Вирусы, использующие для размножения каналы информационно – вычислительных сетей, принято называть сетевыми.

Вероятные пути проникновения вирусов, в течение многих лет наиболее распространенным способом заражения компьютера являлась дискета. С ростом глобальных сетей пальма первенства перешла к сети Internet и системе электронной почты.

Вирус может попасть на локальный компьютер пользователя следующими способами:

напрямую через дискету, компакт – диск, удаленный почтовый ящик – классический способ;

через корпоративную систему электронной почты;

через корпоративный канал доступа в систему Internet;

с корпоративного сервера.

Цикл жизни вируса обычно включает следующие периоды: внедрение, инкубационный, репликация (самозаражение) и проявление. В течение инкубационного периода вирус пассивен. Что усложняет задачу поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например необратимую коррекцию информации на магнитных носителях.

Физическая структура вируса достаточно проста. Он состоит из головы и, возможно, хвоста. Под головой вируса понимается его компонент, получающий управление первым. Хвост – это часть вируса,, расположенная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, называются несегментированными, тогда как вирусы, содержащие голову и хвост – сегментированными. В таблице 2 даны характеристики компьютерных вирусов.

Таблица 2 Характеристики компьютерных вирусов

Класс вируса Виды вируса Характер воздействия

Не повреждающие файловую структуру Размножающиеся в ОЗУ

Раздражающие оператора

Сетевые. Имитация неисправности процессора, памяти, НМД, НГМД, принтера, портов, дисплея, клавиатуры

Формирование на терминале текстовых и графических сообщений. Синтез речи, формирование мелодии и звуковых спецэффектов

Переключение режимов настройки клавиатуры, дисплея, принтера, портов.

Повреждающие файловую структуру Повреждающие пользовательские программы и данные

Разрушающие системную информацию (в том числе криптовирусы) Разрушение исходных текстов программ, библиотек компьютеров, искажений без данных, текстовых документов, графических изображений и электронных таблиц.

Разрушение логической системы диска, искажение структуры заполнения носителя, формирование носителей, повреждение файлов операционной системы.

Действующие на аппаратуру оператора Выводящие из строя аппаратуру

Действующие на оператора Выжигание люминофора, повреждение микросхем, магнитных дисков, принтера.

Воздействие на психику оператора и т.п.

Современные компьютерные вирусы обладают широкими возможностями враждебного воздействия, начиная от безобидных шуток и кончая серьезными повреждениями аппаратуры. В этом направлении самым свежим примером может служить вирус Win95. CIH, он разрушает память BIOS (Basic InputOutput System), определяющий саму рабочею логику компьютера. При этом наносимые повреждения достаточно легко исправляются, профилактика деструктивной функции довольна, проста – достаточно в программе Setup установить запрет на обновление BIOS.

4.1 Файловые вирусы

Файловые вирусы – это вирусы, которые при размножении используют систему, какой – либо операционной системы. Внедрение файлового вируса возможно во все исполняемые файлы всех популярных операционных систем – DOS, Windows, OS2, Macintosh, UNIX и т.д.

По способу заражения файлов файловые вирусы делятся на обычные, которые встраивают свой код в файл, по возможности не нарушая его функциональности, а также на overwriting, паразитические (parasitic), компаньон-вирусы (companion), link-вирусы, вирусы-черви, заражающие объектные модули (OBJ), библиотеки компиляров (LIB) и исходные тексты программ.

4.1.1 Файловый нерезидентный вирус

Файловый нерезидентный вирус целиком размещается в исполняемом файле, в связи, с чем он активизируется только в случае активизации вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе. При этом выбор очередного файла для заражения осуществляется вирусом посредством поиска по каталогу.

4.1.2 Файловый резидентный вирус

Файловый резидентный вирус отличается от нерезидентного тем, что заражает не только исполняемые файлы, находящиеся во внешней памяти, но и оперативную память ПЭВМ.

Резидентный вирус состоит из так называемого инсталлятора и программ обработки прерываний. Инсталлятор получает управление при активизации вирусоносителя и инфицирует оперативную память путем размещения в ней управляющей части вируса и замены адресов в элементах вектора прерываний на адреса своих программ, обрабатывающих эти прерывания. На так называемой фазе слежения, следующей за описанной фазой инсталляции, при возникновении какого-либо прерывания управление получает соответствующая программа вируса.

В связи с существенно более универсальной по сравнению с нерезидентными вирусами обще схемой функционирования, резидентные вирусы могут реализовать самые разные способы инфицирования. Наиболее распространенными способами являются инфицирование запускаемых программ, а так же файлов при их открытии или чтении.

4.1.3Overwriting-вирусы

Overwriting-вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое, после чего файл перестает работать и не восстанавливается. Такие вирусы быстро обнаруживают себя, так как операционная система и приложения быстро перестают работать.

4.1.4 Parasitic-вирусы

Parasitic-вирусы изменяют содержимое файлов, оставляя при этом сами файлы полностью или частично работоспособными. Такие вирусы подразделяются на вирусы, записывающиеся в начало, в конец и в середину файлов.

4.1.5 Companion-вирусы

Companion-вирусы не изменяют заражаемых файлов, а создают для заражаемого файла файл – двойник, причем при запуске зараженного файла управление получает именно этот двойник, то есть вирус.

4.1.6 Файловые черви

Файловые черви (worms) являются разновидностью компаньон – вирусов, однако не связывают свое присутствие с каким – либо выполняемым файлом. При размножении они всего копируют свой код в какие – либо каталоги дисков в надежде, что эти новые копии будут когда – либо запущены пользователем.

4.1.7 Link-вирусы

Link-вирусы используют особенно организации файловой системы. Они, как и компаньон – вирусы, не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» операционную систему выполнить свой код за счет модификации необходимых полей файловой системы.

4.1.8 OBJ, LIB и вирусы в исходных текстах

Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ. Вирусы, заражающие OBJ- и LIB- файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл не является выполняемым и не способен на дальнейшее распространение вируса в текущем состоянии. Носителем же «живого» вируса становится СОМ - или ЕХЕ-файл, получаемый в процессе линковки зараженного OBJ/LIB – файла с другими объектными модулями и библиотеками. Таким образом, вирус распространяется в два этапа: на первом заражаются OBJ/LIB

файлы, на втором этапе (линковка) получается работоспособный вирус.

4.2 Макровирусы

Макровирусы являются программами на макроязыках, встроенные в некоторые системные обработки данных (текстовые редакторы, электронные таблицы и т.д.). Они заражают документы и электронные таблицы ряда офисных редакторов.

Для размножения они используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла в другие. Наибольшее распространение получили Макровирусы для Microsoft Word, Excel и Office 97. Вирусы этого типа получают управление при открытии зараженного файла и идентифицируют файлы, к которым впоследствии идет обращение из соответствующего офисного приложения – Word, Excel и пр.

4.3 Скрипт-вирусы

Скрипт-вирусы – это вирусы, написанные на скрипт-языках, таких как Visual Basic script, Java Script и др. Они, в свою очередь, делятся на вирусы для DOS, для Windows, для других систем.

Помимо описанных классов существует большое количество сочетаний: например файлово - загрузочный вирус, заражающий как файлы, так и загрузочные сектора дисков, или сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

4.4 Резидентные вирусы

Вирус находится в оперативной памяти и перехватывает сообщения ОС. Если нерезидентные вирусы активны только в момент запуска зараженной программы, то резидентные вирусы находятся в памяти и остаются активными вплоть до выключения компьютера или перезагрузки операционной системы. Резидентные вирусы находятся в оперативной памяти, перехватывают обращения операционной системы к тем или иным объектам и внедряются в них. Такие вирусы активны не только в момент работы зараженной программы, но и после завершения работы.

4.4.1 Бутовые вирусы

Одной из разновидностей резидентных вирусов являются так называемые бутовые вирусы. Отличительной особенностью последних является инфицирование загрузочного (бут - сектора) магнитного носителя (гибкого или жесткого диска). При этом инфицированным могут быть как загружаемые, так и не загружаемые дискеты.

Голова бутового вируса всегда находится в бут - секторе (единственном для гибких дисков и одном из двух – для жестких), а хвост – в любой другой области носителя.

Хвост бутового вируса всегда содержит копию оригинального бут сектора. Механизм инфицирования, реализуемый бутовыми вирусами таков. При загрузке MS DOS с инфицированного диска вирус в силу своего положения на нем (независимо от того, с дискеты или винчестера производится загрузка) получает управление и копирует себя в оперативную память. Затем он моделирует вектор прерываний таким образом, чтобы прерывания по обращении к диску обрабатывались собственным обработчиком прерываний вируса, и запускает загрузчик операционной системы. Благодаря перехвату прерываний бутовые вирусы могут реализовать столь же широкий набор способов инфицирования и целевых функций, сколь и файловые резидентные вирусы.

Близость механизмов функционирования бутовых и файловых резидентных вирусов сделала возможным и естественным появление файлово - бутовых, или гибридных, вирусов, инфицирующих как файлы, так и бут секторы. Особенностью пакетного вируса является размещение его головы в пакетном файле. При этом голова представляет собой строку или программу на языке управления заданиями операционной системы.