Лекция №6. Сетевые вирусы
К ним относятся вирусы, которые для своего распространения активно
используют протоколы и возможности локальных и глобальных сетей.
Основным принципом работы сетевого вируса является возможность
самостоятельно передать свой код на удаленный сервер или рабочую станцию
и захватить управление. Для внедрения в заражаемую систему червь может
использовать различные механизмы: дыры, слабые пароли, уязвимости
базовых и прикладных протоколов, открытые системы и человеческий фактор.
Рисунок 4.2 – Распространение сетевых вирусов (сетевые черви)
по сети
22
Почтовые вирусы.
Почтовый вирус использует для своего распространения каналы
электронной почты. Заражение почтовым вирусом происходит в результате
действий пользователей, просматривающих почту, а также из-за ошибок в
почтовых программах и операционных системах.
Вирусы для пиринговых сетей.
В современном Интернете имеется большое количество сетей,
предназначенных для обмена файлами без применения централизованного
сервера. Эти сети позволяют пользователям Интернета свободно
обмениваться музыкальными файлами, программами и другой информацией.
Эти сети часто называются файлообменными или пиринговыми. Последнее из
этих названий происходит от названия применяемого в таких сетях способа
обмена данными узел-узел (Peer-To-Peer). Для пиринговых сетей
разработчиками вредоносных программ были созданы специальные вирусы,
называемые вирусами для пиринговых сетей:
Вирус пиринговых сетей — это вредоносная программа, специально
предназначенная для систем обмена файлами между компьютерами
пользователей Интернета, такими как Windows Messenger, ICQ и т.д. Чтобы
такой вирус попал на компьютер пользователя пиринговой сети,
пользователю требуется выполнить какое либо действие, например, загрузить
и запустить на выполнение файл.
Файловые вирусы.
К данной группе относятся вирусы, которые при своем размножении
тем или иным способом используют файловую систему какой-либо ОС.
Внедрение файлового вируса возможно практически во все исполняемые
файлы всех популярных ОС. По способу заражения файлов вирусы делятся на
«overwriting», паразитические («parasitic»), компаньон-вирусы («companion»),
вирусы-черви.
Троянской программой (троянцем, или троянским конем) называется:
- программа, которая, являясь частью другой программы с известными
пользователю функциями, способна втайне от него выполнять некоторые
дополнительные действия с целью причинения ему определенного ущерба;
- программа с известными ее пользователю функциями, в которую были
внесены изменения, чтобы, помимо этих функций, она могла втайне от него
выполнять некоторые другие (разрушительные) действия.
Таким образом, троянской можно считать любую программу, которая
втайне от пользователя выполняет какие-то нежелательные (неожидаемые)
для него действия. Эти действия могут быть любыми — от определения
регистрационных номеров программного обеспечения, установленного на
компьютере, до составления списка каталогов на его жестком диске. А сама
троянская программа может маскироваться под текстовый редактор, под
сетевую утилиту или любую программу, которую пользователь пожелает
установить на свой компьютер.
23
Рисунок 4.3 – Заражение компьютерной сети троянской программой
На сегодня известны троянские объекты следующих типов:
- троянские программы;
- троянские Web-сайты;
- троянские сообщения электронной почты.
Троянским называется такой Web-сайт, при посещении которого на
компьютер
пользователя
незаметно
устанавливаются
вредоносные
программные
компоненты.
Сообщения
электронной
почты
могут
использоваться для переноса вредоносных программных объектов. Такие
объекты присоединяются к телу сообщения в виде файлов, или встраиваются
непосредственно в текст сообщения, имеющего формат HTML. Внешне
сообщение электронной почты, содержащее в том или ином виде
вредоносный программный код, может выглядеть как обычное,
информационное. Однако стоит открыть такое сообщение для просмотра, и
вредоносный код получит управление.
Большинство
троянских
программ
предназначено
для
сбора
конфиденциальной информации. Остальные троянцы создаются для
причинения прямого ущерба компьютерной системе, приводя ее в
неработоспособное состояние.
Чтобы программная закладка могла произвести какие-либо действия по
отношению к другим программам или по отношению к данным, процессор
должен приступить к исполнению команд, входящих в состав кода
программной закладки. Это возможно только при одновременном соблюдении
следующих условий:
- программная закладка должна попасть в оперативную память
компьютера (если закладка относится к первому типу, то она должна быть
загружена до начала работы другой программы, которая является целью
воздействия закладки, или во время работы этой программы);
- работа закладки, находящейся в оперативной памяти, начинается при
выполнении ряда условий, которые называются активизирующими.
Утилиты скрытого администрирования (backdoor).
Троянские кони этого класса по своей сути является достаточно
мощными утилитами удаленного администрирования компьютеров в сети. По
своей функциональности они во многом напоминают различные системы
администрирования, разрабатываемые и распространяемые различными
фирмами-производителями программных продуктов.
24
Единственная особенность этих программ заставляет классифицировать
их как вредные троянские программы: отсутствие предупреждения об
инсталляции и запуске. При запуске троянец устанавливает себя в системе и
затем следит за ней, при этом пользователю не выдается никаких сообщений о
действиях троянца в системе. Более того, ссылка на троянца может
отсутствовать в списке активных приложений. В результате "пользователь"
этой троянской программы может и не знать о ее присутствии в системе, в то
время как его компьютер открыт для удаленного управления.
Функции Backdoor могут быть заложены в программу ее разработчиком,
например, с целью получения в дальнейшем несанкционированного доступа к
функциям программы или ко всей компьютерной системе пользователя
программы. Возможность получения несанкционированного доступа может
также образоваться в результате наличия ошибок в программах или
операционных системах.
Техника Phishing.
Техника с названием phishing используется с целью выманить у
пользователя Интернета персональную информацию (пароли, пин-коды и
т.д.). При этом злоумышленники могут направлять ему поддельные
сообщения электронной почты. В этих сообщениях, отправленных, например,
от имени популярного Web-сайта или банка, может говориться о том, что по
той или иной причине пользователь должен выслать банку пароль или пин-
код.
Для ввода пароля пользователь заманивается на поддельный сайт,
повторяющий по своему дизайну сайт банка, другой компании или
организации. Пользователю могут демонстрироваться всплывающие окна,
копирующие сайт.
Программы Spyware.
Вредоносные программы Spyware устанавливаются на компьютер
пользователя и собирают различную информацию о действиях пользователя.
Обычно это информация, ценная для маркетологов, которая после сбора
отсылается разработчику программы через Интернет.
Программы Adware.
Программы adware отображают рекламную информацию на
компьютере. Эти программы могут отображать на экране всплывающие окна с
рекламными баннерами и текстом, даже при отсутствии подключения к
Интернету.
Клавиатурные шпионы.
Одна из наиболее распространенных разновидностей программных
закладок — клавиатурные шпионы (кейлоггеры). Такие программные
закладки нацелены на перехват паролей пользователей операционной
системы, а также на определение их легальных полномочий и прав доступа к
компьютерным ресурсам.
Поведение клавиатурных шпионов в общем случае является довольно
традиционным: типовой клавиатурный шпион обманным путем завладевает
пользовательскими паролями, а затем переписывает эти пароли туда, откуда
их может без особого труда извлечь злоумышленник. Различия между
25
клавиатурными шпионами касаются только способа, который применяется
ими для перехвата пользовательских паролей. Соответственно все
клавиатурные шпионы делятся на три типа — имитаторы, фильтры и
заместители.
Парольные взломщики.
Эффективным методом взлома парольной защиты операционной
системы является метод, при котором атаке подвергается системный файл,
содержащий информацию о ее легальных пользователях и их паролях. Однако
любая современная операционная система надежно защищает при помощи
шифрования пользовательские пароли, которые хранятся в этом файле.
Доступ к таким файлам, как правило, по умолчанию запрещен даже для
системных администраторов. Тем не менее, в ряде случаев злоумышленнику
удается путем различных ухищрений получить в свое распоряжение файл с
именами пользователей и их зашифрованными паролями. В этом случае
используются так называемые парольные взломщики — специализированные
программы, которые служат для взлома паролей операционных систем.
Криптографические алгоритмы, применяемые для шифрования паролей
пользователей в современных операционных системах, в подавляющем
большинстве случаев являются слишком стойкими, чтобы можно было
надеяться отыскать методы их дешифрования, которые окажутся более
эффективными, чем тривиальный перебор возможных вариантов. Поэтому
парольные взломщики иногда просто шифруют все пароли с использованием
того же самого криптографического алгоритма, который применяется для их
засекречивания в атакуемой операционной системе, и сравнивают результаты
шифрования с тем, что записано в системном файле, где находятся
шифрованные пароли ее пользователей. При этом в качестве вариантов
паролей парольные взломщики используют символьные последовательности,
автоматически генерируемые из некоторого набора символов. Данный способ
позволяет взломать все пароли, если известно их представление в
зашифрованном виде и они содержат только символы из данного набора.
Для более эффективного подбора паролей парольные взломщики
обычно используют так называемые словари, представляющие собой заранее
сформированный список слов, наиболее часто применяемых на практике в
качестве паролей.
Достарыңызбен бөлісу: |