Вирусы

Автор работы: Пользователь скрыл имя, 12 Марта 2010 в 14:20, Не определен

Описание работы

Введение
Что такое компьютерный вирус?
Зарождение компьютерных вирусов
Пути проникновения вирусов в компьютер и механизм распределения вирусных программ
Признаки появления вирусов
Как работает вирус?
Свойства вирусов
Классификация вирусов
Виды вирусов:
Вирусы – программы (W32)
Загрузочные вирусы
Файловые вирусы
Полиморфные вирусы
Стелс – вирусы
Макровирусы
Скрипт – вирусы
«Троянские программы», программные закладки и сетевые черви:
Классы троянских программ
Сетевые черви
Прочие вредоносные программы
Что делать при наличии признаков заражения
11.Антивирусные программы
Антивирус Касперского (KAV)
Dr. Web
Norton Antivirus
12.Заключение
13.Список используемой литературы

Файлы: 1 файл

Вирусы2003.doc

— 856.50 Кб (Скачать файл)

Значительных  размеров файл, содержащий повторяющиеся  данные, позволяет заархивировать такой  файл в архив небольшого размера (например, 5ГБ данных упаковываются в 200КБ RAR или в 480КБ ZIP-архив).

Огромное  количество одинаковых файлов в архиве также практически не сказывается  на размере архива при использовании  специальных методов (например, существуют приемы упаковки 10100 одинаковых файлов в 30КБ RAR или 230КБ ZIP-архив).

Trojan-Notifier — оповещение  об успешной атаке

Троянцы данного типа предназначены для  сообщения своему «хозяину» о  зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением.

Данные  троянские программы используются в многокомпонентных троянских наборах для извещения своего «хозяина» об успешной инсталляции троянских компонент в атакуемую систему. 

         Сетевые черви

Основным  признаком, по которому типы червей различаются  между собой, является способ распространения червя — каким способом он передает свою копию на удаленные компьютеры. Другими признаками различия СЧ между собой являются способы запуска копии червя на заражаемом компьютере, методы внедрения в систему, а также полиморфизм, «стелс» и прочие характеристики, присущие и другим типам вредоносного программного обеспечения (вирусам и троянским программам).

Email-Worm — почтовые черви

К данной категории червей относятся те из них, которые для своего распространения используют электронную почту. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков — активизируется код червя.

Для отправки зараженных сообщений почтовые черви  используют различные способы. Наиболее распространены:

  • прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
  • использование сервисов MS Outlook;
  • использование функций Windows MAPI.

Различные методы используются почтовыми червями  для поиска почтовых адресов, на которые  будут рассылаться зараженные письма. Почтовые черви:

  • рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
  • считывает адреса из адресной базы WAB;
  • сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
  • отсылают себя во всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

Многие  черви используют сразу несколько  из перечисленных методов. Встречаются  также и другие способы поиска адресов электронной почты.

IM-Worm — черви, использующие интернет-пейджеры

Известные компьютерные черви данного типа используют единственный способ распространения  — рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенные на каком-либо веб-сервере. Данные прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.

IRC-Worm — черви в IRC-каналах

У данного  типа червей, как и у почтовых червей, существуют два способа распространения червя по IRC-каналам, повторяющие способы, описанные выше. Первый заключается в отсылке URL-ссылки на копию червя. Второй способ — отсылка зараженного файла какому-либо пользователю сети. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).

Net-Worm — прочие сетевые черви

Существуют  прочие способы заражения удаленных компьютеров, например:

  • копирование червя на сетевые ресурсы;
  • проникновение червя на компьютер через уязвимости в операционных системах и приложениях;
  • проникновение в сетевые ресурсы публичного использования;
  • паразитирование на других вредоносных программах.

Первый  способ заключается в том, что  червь ищет удаленные компьютеры и копирует себя в каталоги, открытые на чтение и запись (если такие обнаружены). При этом черви данного типа или  перебирают доступные сетевые каталоги, используя функции операционной системы, и/или случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.

Для проникновения  вторым способом черви ищут в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально оформленный сетевой пакет или запрос (эксплойт уязвимости), в результате чего код (или часть кода) червя проникает на компьютер-жертву. Если сетевой пакет содержит только часть кода червя, он затем скачивает основной файл и запускает его на исполнение.

Отдельную категорию составляют черви, использующие для своего распространения веб- и FTP-сервера. Заражение происходит в два этапа. Сначала червь  проникает в компьютер-сервер и необходимым образом модифицирует служебные файлы сервера (например, статические веб-страницы). Затем червь «ждет» посетителей, которые запрашивают информацию с зараженного сервера (например, открывают зараженную веб-страницу), и таким образом проникает на другие компьютеры в сети.

Существуют  сетевые черви, паразитирующие на других червях и/или троянских программах уделенного администрирования (бэкдорах). Данные черви используют тот факт, что многие бэкдоры позволяют  по определенной команде скачивать указанный файл и запускать его на локальном диске. То же возможно с некоторыми червями, содержащими бэкдор-процедуры. Для заражения удаленных компьютеров данные черви ищут другие компьютеры в сети и посылают на них команду скачивания и запуска своей копии. Если атакуемый компьютер оказывается уже зараженным «подходящей» троянской программой, червь проникает в него и активизирует свою копию. Следует отметить, что многие компьютерные черви используют более одного способа распространения своих копий по сетям, использующие два и более методов атаки удаленных компьютеров.

P2P-Worm — черви для файлообменных сетей

Механизм  работы большинства подобных червей достаточно прост — для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя — при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера.

Существуют  более сложные P2P-черви, которые имитируют  сетевой протокол конкретной файлообменной  системы и на поисковые запросы  отвечают положительно — при этом червь предлагает для скачивания свою копию.

        Прочие  вредоносные программы

К прочим вредоносным относятся разнообразные  программы, которые не представляют угрозы непосредственно компьютеру, на котором исполняются, а разработаны  для создания других вирусов или троянских программ, организации DoS-атак на удаленные сервера, взлома других компьютеров и т. п.

DoS, DDoS — сетевые атаки

Программы данного типа реализуют атаки на удаленные сервера, посылая на них многочисленные запросы, что приводит к отказу в обслуживании, если ресурсы атакуемого сервера недостаточны для обработки всех поступающих запросов (DoS = Denial of Service).

DoS-программы  реализуют атаку с одного компьютера с ведома пользователя. DDoS-программы (Distributed DoS) реализуют распределенные атаки с разных компьютеров, причем без ведома пользователя зараженного компьютера. Для этого DDoS-программа засылается любым способом на компьютер «жертв-посредников» и после запуска в зависимости от текущей даты или по команде от «хозяина» начинает DoS-атаку на указанный сервер в сети.

Некоторые компьютерные черви содержат в себе DoS-процедуры, атакующие сайты, которые  по каким-либо причинам «невзлюбил»  автор червя. Так, червь Codered 20 августа 2001 организовал успешную атаку на официальный сайт президента США, а червь Mydoom.a 1 февраля 2004 года «выключил» сайт SCO, производителя дистрибутивов UNIX.

Exploit, HackTool — взломщики удаленных компьютеров

Хакерские утилиты данного класса предназначены  для проникновения в удаленные  компьютеры с целью дальнейшего  управления ими (используя методы троянских  программ типа «backdoor») или для внедрения во взломанную систему других вредоносных программ.

Хакерские утилиты типа «exploit» при этом используют уязвимости в операционных системах или приложениях, установленных  на атакуемом компьютере.

Flooder — «замусоривание» сети

Данные  хакерские утилиты используются для «забивания мусором» (бесполезными сообщениями) каналов интернета  — IRC-каналов, компьютерных пейджинговых сетей, электронной почты и т. д.

Constructor — конструкторы вирусов и троянских программ

Конструкторы  вирусов и троянских программ — это утилиты, предназначенные  для изготовления новых компьютерных вирусов и «троянцев». Известны конструкторы вирусов для DOS, Windows и макро-вирусов. Они позволяют генерировать исходные тексты вирусов, объектные модули, и/или непосредственно зараженные файлы.

Некоторые конструкторы снабжены стандартным  оконным интерфейсом, где при  помощи системы меню можно выбрать тип вируса, поражаемые объекты, наличие или отсутствие самошифровки, противодействие отладчику, внутренние текстовые строки, выбрать эффекты, сопровождающие работу вируса и т. п. Прочие конструкторы не имеют интерфейса и считывают информацию о типе вируса из конфигурационного файла.

FileCryptor, PolyCryptor — скрытие  от антивирусных  программ

Хакерские утилиты, использующиеся для шифрования других вредоносных программ с целью  скрытия их содержимого от антивирусной проверки.

Nuker — фатальные сетевые атаки

Утилиты, отправляющие специально оформленные  запросы на атакуемые компьютеры в сети, в результате чего атакуемая  система прекращает работу. Используют уязвимости в программном обеспечении  и операционных системах, в результате чего сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении.

PolyEngine — полиморфные  генераторы

Полиморфные генераторы не являются вирусами в  прямом смысле этого слова, поскольку  в их алгоритм не закладываются функции  размножения, т. е. открытия, закрытия и записи в файлы, чтения и записи секторов и т. д. Главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика.

Обычно  полиморфные генераторы распространяются их авторами без ограничений в виде файла-архива. Основным файлом в архиве любого генератора является объектный модуль, содержащий этот генератор. Во всех встречавшихся генераторах этот модуль содержит внешнюю (external) функцию — вызов программы генератора.

VirTool

  Утилиты, предназначенные для облегчения написания компьютерных вирусов и для их изучения в хакерских целях.

 

         

     Что делать при наличии  признаков заражения?

     Если  вы заметили, что ваш компьютер  ведет себя «подозрительно»:

  1. Не паникуйте! Не поддаваться панике — золотое правило, которое может избавить вас от потери важных данных и лишних переживаний.
  2. Отключите компьютер от интернета.
  3. Отключите компьютер от локальной сети, если он к ней был подключен.
  4. Если симптом заражения состоит в том, что вы не можете загрузиться с жесткого диска компьютера (компьютер выдает ошибку, когда вы его включаете), попробуйте загрузиться в режиме защиты от сбоев или с диска аварийной загрузки Windows.
  5. Прежде чем предпринимать какие-либо действия, сохраните результаты вашей работы на внешний носитель (дискету, CD-диск, флэш-карту и пр.).
  6. Скачайте и установите пробную или же купите полную версию антивируса Dr.web, если вы этого еще не сделали и на вашем компьютере не установлено других антивирусных программ.
  7. Получите последние обновления антивирусных баз. Если это возможно, для их получения выходите в интернет не со своего компьютера, а с незараженного компьютера друзей, интернет-кафе или с работы. Лучше воспользоваться другим компьютером, поскольку при подключении к интернету с зараженного компьютера есть вероятность отправки вирусом важной информации злоумышленникам или распространения вируса по адресам вашей адресной книги. Именно поэтому при подозрении на заражение лучше всего сразу отключиться от интернета. Установите рекомендуемый уровень настроек антивирусной программы.
  8. Запустите полную проверку компьютера.

Информация о работе Вирусы