Сетевые вирусы – это чрезвычайная опасность со стороны локальных сетей и Интернета включительно. Вирусы, проникая на компьютер через сеть, могут привести не только к повреждению важной информации, но и самой системы в целом. Сетевые вирусы для распространения используют возможности и протоколы глобальных и локальных сетей. Самым главным принципом работы такого вируса является уникальная возможность передать свой код без сторонней помощи на рабочую станцию или удаленный сервер. Большинство сетевых вирусов, кроме возможности самостоятельно проникать через сеть на удаленные компьютеры, могут там же запустить на выполнение свой программный код, или, в некоторых случаях, немного «подтолкнуть» пользователя, что бы тот запустил инфицированный файл.

Многие думают, что сетевым является абсолютно любой вирус, который распространяется в компьютерной сети. Но если следовать такому утверждению, то практически все современные вирусы были бы сетевыми. Ведь самый обычный нерезидентный вирус во время заражения файлов абсолютно не разбирается – локальный это диск или сетевой (удаленный). Как результат, этот вирус будет заражать файлы в пределах сети, но при этом он не будет являться сетевым вирусом.

Многие пользователи встречались с названиями сетевой червь. Это одни из самых популярных сетевых вирусов, появились они в далеком 1980 году. Для своего распространения такие вирусы использовали различные недокументированные функции и ошибки глобальных сетей – они передавали свои зараженные копии с сервера на сервер и по прибытию запускали их на выполнение.

В прошлом, сетевые вирусы распространялись в сети и, обычно, так же как и компаньон-вирусы, во время заражения не изменяли сектора или файлы на дисках. Сетевые вирусы проникали в память компьютера из сети. По прибытию они моментально вычисляли сетевые адреса остальных компьютеров и моментально рассылали по найденным адресам свои копии. Иногда эти вирусы одновременно создавали на дисках системы рабочие файлы, но так же могли не обращаться вообще к системным ресурсам компьютера (оперативная память является исключением из правил).

После громадных затрат, вызванных несколькими сетевыми вирусами, всевозможные ошибки в программном обеспечении и сетевых протоколах были исправлены, а так называемые «задние двери» надежно закрыты. Как результат таких действий – за последние несколько лет их активность спала. Так же за этот период не было зафиксировано ни единого случая успешной атаки сетевым вирусом. Так же нужно отметить, что за этот период не появилось ни одного нового сетевого вируса.

Вновь актуальной проблемой атак сетевых вирусов стала в начале 1997-го года. Именно тогда появился «Win.Homer» и «Macro.Word.ShareFun». Последний из них использует все современные возможности электронной почты под названием Microsoft Mail. Этот вирус создает новое письмо, в состав которого входит сам код вируса, а результатом является файл-документ. После этого он выбирает из доступного списка адресов программы MS-Mail три абсолютно случайных адреса и после этого рассылает по ним только что созданное зараженное письмо. Сегодня очень много пользователей устанавливают параметры MS-Mail таким образом, что запуск MS Word происходит в автоматическом режиме, при получении письма. Таким образом, вирус в автоматическом режиме внедряется в компьютер. После чего он выполняет то, что заложено у него в исходном коде.

Этот вирус ярко демонстрирует первый тип сетевого вируса нашего времени, который объединяет в себе все возможности встроенного в редакторы Excel и Word языка Basic, все особенности и главные протоколы электронной почты и специальные функции авто-запуска, которые крайне необходимы для последующего распространения самого вируса.

В отличии от первого, вирус «Homer» для своего распространения использует протокол под названием FTP и передает свою зараженную копию в каталог Incoming на удаленный ftp-сервер. Так как сетевой протокол FTP полностью исключает возможность автоматического запуска файла на удаленном сервере, то Homer можно назвать как «полу-сетевой».

Сетевые вирусы в качестве среды обитания используют глобальную или локальные компьютерные сети. Они не сохраняют свой код на жестком диске компьютера, а проникают напрямую в оперативную память ПК. Вирусы этого типа за способность вычислять сетевые адреса других машин, находясь в памяти компьютера, и самостоятельно рассылать по этим адресам свои копии называют сетевыми червями. Такой вирус может находиться одновременно в памяти нескольких компьютеров. Сетевые вирусы обнаружить сложнее, чем файловые. Сетевые вирусы распространяются с большой скоростью и могут сильно замедлить работу аппаратного обеспечения компьютерной сети.

Червь (сетевой червь) - тип вредоносных программ, распространяющихся по сетевым каналам, способных к автономному преодолению систем защиты автоматизированных и компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом, и осуществлению иного вредоносного воздействия.

Так же как для вирусов, жизненный цикл червей можно разделить на определенные стадии:

1. Проникновение в систему.
2. Активация.
3. Поиск «жертв».
4. Подготовка копий.
5. Распространение копий.

Стадии 1 и 5, вообще говоря, симметричны и характеризуются в первую очередь используемыми протоколами и приложениями.

Стадия 4 - подготовка копий - практически ничем не отличается от аналогичной стадии в процессе размножения вирусов. Сказанное о подготовке копий вирусов без изменений применимо и к червям.

На этапе проникновения в систему черви делятся преимущественно по типам используемых протоколов:

• Сетевые черви - черви, использующие для распространения протоколы Интернет и локальных сетей. Обычно этот тип червей распространяется с использованием неправильной обработки некоторыми приложениями базовых пакетов стека протоколов tcp/ip.
• Почтовые черви - черви, распространяющиеся в формате сообщений электронной почты.
• IRC-черви - черви, распространяющиеся по каналам IRC (Internet Relay Chat).
• P2P-черви - черви, распространяющиеся при помощи пиринговых (peer-to-peer) файлообменных сетей.
• IM-черви - черви, использующие для распространения системы мгновенного обмена сообщениями (IM, Instant Messenger - ICQ, MSN Messenger, AIM и др.)

Примеры. Классическими сетевыми червями являются представители семейства Net-Worm.Win32.Sasser. Эти черви используют уязвимость в службе LSASS Microsoft Windows. При размножении, червь запускает FTP-службу на TCP-порту 5554, после чего выбирает IP-адрес для атаки и отсылает запрос на порт 445 по этому адресу, проверяя, запущена ли служба LSASS. Если атакуемый компьютер отвечает на запрос, червь посылает на этот же порт эксплойт уязвимости в службе LSASS, в результате успешного выполнения которого на удаленном компьютере запускается командная оболочка на TCP-порту 9996. Через эту оболочку червь удаленно выполняет загрузку копии червя по протоколу FTP с запущенного ранее сервера и удаленно же запускает себя, завершая процесс проникновения и активации.

В качестве примера почтового червя можно рассмотреть Email-Worm.Win32.Zafi.d. Зараженное сообщение включает в себя выбираемые из некоторого списка тему и текст, содержанием которых является поздравление с праздником (большая часть - с Рождеством) и предложение ознакомиться с поздравительной открыткой во вложении. Поздравления могут быть на разных языках. Имя находящегося во вложении файла червя состоит из слова postcard на языке, соответствующем поздравлению, и произвольного набора символов. Расширение файла червя случайным образом выбирается из списка.BAT, .COM, .EXE, .PIF, .ZIP. Для рассылки червь использует адреса электронной почты, найденные на зараженном компьютере. Чтобы получить управление, червь должен быть запущен пользователем.

IRC-Worm.Win32.Golember.a является, как следует из названия IRC-червем. При запуске он сохраняет себя в каталоге Windows под именем trlmsn.exe и добавляет в раздел автозапуска реестра Windows параметр со строкой запуска этого файла. Кроме этого червь сохраняет на диск свою копию в виде архива Janey2002.zip и файл-изображение Janey.jpg. Затем червь подключается к произвольным IRC-каналам под различными именами и начинает слать определенные текстовые строки, имитируя активность обычного пользователя. Параллельно всем пользователям этих каналов отсылается заархивированная копия червя.

Функциональностью распространения через P2P-каналы обладают многие сетевые и почтовые черви. Например, Email-Worm.Win32.Netsky.q для размножения через файлообменные сети ищет на локальном диске каталоги, содержащие названия наиболее популярных сетей или же слово «shared», после чего кладет в эти каталоги свои копии под различными названиями

IM-черви редко пересылают зараженные файлы непосредственно между клиентами. Вместо этого они рассылают ссылки на зараженные веб-страницы. Так червь IM-Worm.Win32.Kelvir.k посылает через MSN Messenger сообщения, содержащие текст «its you» и ссылку «http://www.malignancy.us// pictures.php?email=», по указанному в которой адресу расположен файл червя.

Сегодня наиболее многочисленную группу составляют почтовые черви. Сетевые черви также являются заметным явлением, но не столько из-за количества, сколько из-за качества: эпидемии, вызванные сетевыми червями зачастую отличаются высокой скоростью распространения и большими масштабами. IRC-, P2P- и IM-черви встречаются достаточно редко, чаще IRC, P2P и IM служат альтернативными каналами распространения для почтовых и сетевых червей.

На этапе активации черви делятся на две большие группы, отличающиеся как по технологиям, так и по срокам жизни:

1. Для активации необходимо активное участие пользователя.
2. Для активации участие пользователя не требуется вовсе либо достаточно лишь пассивного участия.

Под пассивным участием пользователя во второй группе понимается, например, просмотр писем в почтовом клиенте, при котором пользователь не открывает вложенные файлы, но его компьютер, тем не менее, оказывается зараженным.

Отличие в этих подходах глубже, чем может показаться на первый взгляд. Активация сетевого червя без участия пользователя всегда означает, что червь использует бреши в безопасности программного обеспечении компьютера. Это приводит к очень быстрому распространению червя внутри корпоративной сети с большим числом станций, существенно увеличивает загрузку каналов связи и может полностью парализовать сеть. Именно этот метод активации использовали черви Lovesan и Sasser. В результате вызванной таким сетевым червем эпидемии, используемая брешь закрывается администраторами либо пользователями, и по мере уменьшения компьютеров с открытой брешью эпидемия завершается. Для повторения эпидемии разработчикам вирусов приходится эксплуатировать другую брешь. В итоге, эпидемии, вызванные активными червями, существеннее влияют на работу сети в целом, однако случаются значительно реже, чем эпидемии пассивных сетевых червей. Обязательной мерой защиты от таких эпидемий является своевременная установка заплат безопасности. Отметим также, что особенно уязвимыми для этого типа червей являются операционные системы с заложенными возможностями удаленного управления или запуска программ - это семейство Microsoft Windows NT/2000/XP/2003.

Пример. Уязвимость в службе LSASS, впервые использованная в черве MyDoom в начале 2004 года, продолжала успешно применяться и спустя полтора года. Так Net-Worm.Win32.Mytob.be обнаруженный в июне 2005 все еще использовал эту уязвимость как один из способов распространения, в дополнение к распространению через электронную почту

С другой стороны, активное участие пользователя в активации червя означает, что пользователь был введен в заблуждение методами социальной инженерии . В большинстве случаев основным фактором служит форма подачи инфицированного сообщения: оно может имитировать письмо от знакомого человека (включая электронный адрес, если знакомый уже заражен), служебное сообщение от почтовой системы или же что-либо подобное, столь же часто встречающееся в потоке обычной корреспонденции. Пользователь в суматохе просто не отличает обычное письмо от зараженного и производит запуск автоматически.

Защититься заплатами от такого рода червей невозможно. Даже внесение сигнатуры сетевого червя в вирусную базу данных не решает проблему до конца. Разработчикам вируса достаточно исполняемый файл так, чтобы антивирус его не обнаруживал, и незначительно поменять текст сообщения, используя в том числе и технологии спам-рассылок, применяемые для обхода фильтров.

В результате, эпидемии, вызванные пассивными сетевыми червями, могут быть гораздо продолжительнее и порождать целые семейства однотипных сетевых червей.

В последнее время наметилась тенденция к совмещению в червях обоих способов распространения. Многие представители семейства Mytob обладают функциями распространения через электронную почту и через уязвимость в службе LSASS.

Способ поиска компьютера-жертвы полностью базируется на используемых протоколах и приложениях. В частности, если речь идет о почтовом черве, производится сканирование файлов компьютера на предмет наличия в них адресов электронной почты, по которым в результате и производится рассылка копий червя.

Точно так же интернет-черви сканируют диапазон IP адресов в поисках уязвимых компьютеров, а P2P черви кладут свои копии в общедоступные каталоги клиентов пиринговых сетей. Некоторые черви способны эксплуатировать списки контактов интернет-пейджеров, таких как ICQ, AIM, MSN Messenger, Yahoo! Messenger и др.

Сказанное ранее о подготовке копий для распространения вирусов, применимо и для червей.

Наиболее часто среди червей встречаются упрощенные реализации метаморфизма. Некоторые черви способны рассылать свои копии в письмах, как с внедрением скрипта приводящего к автоматической активации червя, так и без внедрения. Такое поведение червя обусловлено двумя факторами: скрипт автоматической активации повышает вероятность запуска червя на компьютере пользователя, но при этом уменьшает вероятность проскочить антивирусные фильтры на почтовых серверах.

Аналогично, черви могут менять тему и текст инфицированного сообщения, имя, расширение и даже формат вложенного файла - исполняемый модуль может быть приложен как есть или в заархивированном виде. Все это нельзя считать мета- или полиморфизмом, но определенной долей изменчивости черви, безусловно, обладают.

Пример вируса на моем компьютере: Email-Worm.Win32. Brontok.a.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл). Написан на Visual Basic. Размер известных зараженных файлов данной версии червя значительно варьируется. Ниже приведена функциональность наиболее часто встречаемых вариантов данного червя.

Далее червь получает путь к каталогу приложений Windows для текущего пользователя (%UserProfile%\Local Settings\Application Data) и копирует свое тело в этот каталог. Также червь копирует себя в каталог автозагрузки программ меню «Пуск» под именем Empty.pif:

Червь рассылает свои копии со следующими именами во вложении к зараженным письмам. Выбирается из списка Также червь изменяет содержимое файла autoexec.bat в корневом каталоге диска C:, добавляя в него строку «pause».

Наличие деструктивных действий вовсе не является обязательным критерием для классификации программного кода как вирусного. Следует также отметить, что одним только процессом саморазмножения вирус способен причинить колоссальный ущерб. Наиболее яркий пример - Net-Worm.Win32.Slammer.

Copyright МБОУ "Гимназия №75" г. Казань 2014

«Мне кажется, компьютерные вирусы стоит рассматривать, как форму жизни. Это многое говорит о природе человека: единственная форма жизни, которую мы создали к настоящему моменту, несёт только разрушения. Мы создаём жизнь по образу и подобию своему.» Стивен Хокинг

Исследование

Цели исследования:

выявить уровень знаний преподавателей и учащихся гимназии о биологических и компьютерных вирусах, о способах профилактики и борьбы с компьютерными и биологическими вирусами.

Факты

Одним из классов вредоносных компьютерных программ являются так называемые зип-бомбы. Это архивные файлы формата.zip, которые при распаковке многократно увеличиваются в размере. Например, одна из самых известных зип-бомб под названием 42.zip имеет размер всего 42 КБ, при этом внутри архива содержится 5 слоёв вложенных архивов по 16 файлов на уровень. Размер каждого файла на последнем уровне - 4,3 ГБ, а весь архив в распакованном виде занимает 4,5 Петабайта. Вредоносное действие таких архивов заключается в переполнении системных ресурсов, когда их пытаются просканировать антивирусы или другие системные программы, хотя в настоящее время все приличные антивирусы распознают бомбы заранее и не пытаются вскрывать их до конца.

Вирус «I Love You» (именно так он назывался) был занесен в Книгу Рекордов Гиннесса как самый разрушительный компьютерный вирус в мире. Он поразил более 3 миллионов компьютеров на планете, став ещё и самым дорогим за всю историю.

По статистике, компьютер каждого третьего пользователя Интернета в развитых странах хотя бы раз в течение года подвергается атакам компьютерных вирусов.

В Израиле действует забавный компьютерный вирус, который создан якобы для справедливости. Он находит в компьютере фильмы, музыку и фотографии, незаконно скачанные из Интернета, и уничтожает их. Что интересно, когда пользователь хочет удалить этот вирус из компьютера, его просят заплатить за эту услугу деньги.

К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. "Полноценные" сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, "подтолкнуть" пользователя к запуску зараженного файла.

Бытует ошибочное мнение, что сетевым является любой вирус, распространяющийся в компьютерной сети. Но в таком случае практически все вирусы были бы сетевыми, даже наиболее примитивные из них: ведь самый обычный нерезидентный вирус при заражении файлов не разбирается, сетевой (удаленный) это диск или локальный. В результате такой вирус способен заражать файлы в пределах сети, но отнести его к сетевым никак нельзя.

Наибольшую известность приобрели сетевые вирусы конца 80-х, их также называют сетевыми червями (worms). К ним относятся вирус Морриса, вирусы Cristmas Tree и Wank Worm. Для своего распространения они использовали ошибки и недокументированные функции глобальных сетей того времени. Вирусы передавали свои копии с сервера на сервер и запускали их на выполнение. Эпидемия вируса Морриса захватила в свое время несколько глобальных сетей в США

Сетевые вирусы прошлого распространялись в компьютерной сети и, как правило, так же как и компаньон-вирусы, не изменяли файлы или сектора на дисках. Они проникали в память компьютера из компьютерной сети, вычисляли сетевые адреса других компьютеров и рассылали по этим адресам свои копии. Эти вирусы иногда также создавали рабочие файлы на дисках системы, но могли вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).

После нескольких эпидемий сетевых вирусов ошибки в сетевых протоколах и программном обеспечении были исправлены, а "задние двери" закрыты. В результате за последние десять лет не было зафиксировано ни одного случая заражения сетевым вирусом и не появилось ни одного нового сетевого вируса.

Вновь проблема сетевых вирусов возникла лишь в начале 1997 г. с появлением вирусов Macro.Word.ShareFun и Win.Homer. Первый из них использует возможности электронной почты Microsoft Mail. Он создает новое письмо, содержащее зараженный файл-документ (ShareFun является макровирусом), затем выбирает из списка адресов MS-Mail три случайных адреса и рассылает по ним зараженное письмо. Поскольку многие пользователи устанавливают параметры MS-Mail таким образом, что при получении письма автоматически запускается MS Word, то вирус "автоматически" внедряется в компьютер адресата зараженного письма.

Этот вирус иллюстрирует первый тип современных сетевых вирусов, которые объединяют возможности встроенного в Word и Excel языка Бейсик, протоколы и особенности электронной почты и функции автозапуска, необходимые для распространения вируса.

Второй вирус (Homer) использует для распространения протокол FTP (File Transfer Protocol) и передает свою копию на удаленный ftp-сервер в каталог Incoming. Поскольку сетевой протокол FTP не позволяет запускать файлы на удаленном сервере, этот вирус можно охарактеризовать как полусетевой, однако это реальный пример возможностей вирусов по использованию современных сетевых протоколов и поражению глобальных сетей.

Конечно же возможны и другие способы проникновения вирусов в современные сети, однако мне не хотелось бы излагать их здесь, поскольку это подтолкнет вирусописателей на реализацию этих идей.

Компьютерные вирусы, вредоносное ПО - все это губительно для операционной системы. Что же делать? Как победить ненавистные вирусные программы? Начинающие пользователи скажут, что достаточно установить антивирус. Но не все так просто. Ведь чтобы победить вирус, необходимо знать к какому виду он относится.

Одна из самых распространенных вредоносных программ - вирус-червь. Как обезопасить свой компьютер от проникновения этого незваного гостя, и что он вообще собой представляет?

Что такое «вирус-червь»?

Разновидностей вредоносного компьютерного ПО огромное количество. Один из тех вирусов, от которых после заражения избавиться довольно проблематично - вирус «сетевой червь». Это самовоспроизводящаяся компьютерная программа, проникающая в локальные и глобальные сети. При этом существенное различие между обычным вирусом и этой вредоносной программой - то, что вторая полностью самостоятельна.

Виды сетевых червей

Компьютерный вирус-червьподразделяется на три категории, которые существенно отличаются по своим характеристикам и наносимому устройству вреду.

• Первая категория - почтовые черви. Они обычно распространяются одним файлом через электронную почту. Пользователю на ящик приходит письмо от неизвестного адресата с вложением. Естественно, поддавшись любопытству, он сам открывает вложение, которое уже содержит сетевого червя, после чего и происходит заражение.
• Вторая категория, являющаяся наиболее распространенной среди вредоносного ПО - резидентные черви ОЗУ. Этот вирус заражает не жесткие диски, а внедряется в оперативную память, тем самым нанося вред работающим программам. Чтобы такой вирус-червь «отправился восвояси», достаточно перезагрузить компьютер.
• Третья и самая опасная категория - черви, сохраняющие код на жестком диске устройства. Их чаще всего используют, чтобы нанести какой-либо информационный вред, например, осуществить атаку DoS. И тут перезагрузкой компьютера проблему уже не решить. Здесь помогут только высококачественные антивирусные системы, да и то не все. Начать лечение зараженного диска следует как можно раньше, иначе придется попрощаться со всей операционной системой.

Как и с какой целью распространяются сетевые черви?

Подобные вирусы распространяются хакерами для достижения разных целей. Некоторые программы созданы для перехвата управления устройством. При этом сам пользователь никогда не заметит то, что делает вирус-червь. Другие же используют зараженный компьютер как способ распространения вируса через все доступные сети, как локальные, так и глобальные.

Для распространения червя хакеры придумали достаточно много разных способов. Чаще всего встречается вирус, который изначально пользователь должен сам запустить на своем компьютере. Это может быть электронное вложение или какая-нибудь мини-программа, скачанная из Интернета. Однако есть и те, которым для заражения устройства не требуется чужого вмешательства, они самостоятельно осуществляют проникновение.

Как защититься?

Чтобы не допустить заражения компьютера вирусом, необходимо знать о средствах защиты. Многие скажут, что достаточно будет любой антивирусной программы, ведь она сразу же блокирует вирусы при попадании в систему. На самом деле это не так. Антивирусная программа не сможет вовремя предотвратить попадание червя на устройство, так как она просто предупреждает об обнаружении вредоносной программы на том или ином сайте. Большинство пользователей не придают этому значения, запуская или скачивая зараженный файл себе на компьютер.

Отличным вариантом для защиты от подобного рода ПО является проактивная технология. В отличие от обычных антивирусных программ, такая технология будет предотвращать заражение системы, а не осуществлять поиск уже известных вирусов на жестких дисках. При этом вирус будет заблокирован, только если он представляет собой реальную угрозу ОС.

Сетевой червь: как удалить вирус?

Если вредоносное ПО все-таки попало на компьютер, необходимо немедленно его удалить. Но как удалить вирус так, чтобы не повредить операционную систему? В такой ситуации на помощь неопытным пользователям придут антивирусы. К счастью, их установка не займет много времени.

• Kaspersky Rescue Disk - программа, позволяющая очистить жесткие диски от вирусов путем управления системой. Чтобы начать работу с программой, нужно записать загрузочный диск через ISO-образ. А после просто запустить операционную систему в BIOS через него.
• Kaspersky Virus Removal Tool больше подойдет для начинающих пользователей и тех, кто еще не разобрался в тонкостях системы. Он осуществляет поиск вредоносных программ на компьютере и удаляет их из системы. Однако справиться он может не со всеми видами вирусов.

• Dr.Web CureIt вполне может заменить предыдущую антивирусную программу. Его огромный минус в том, что сканирование жестких дисков осуществляется очень долго. Порой это может занять около десяти часов. Конечно, такая долгая проверка является знаком того, что программа тщательно сканирует каждый файл. Однако найдется не много желающих потратить весь день на поиск одного вируса.

Меры предосторожности

Чтобы оградить себя от нападений хакеров через вирусы, необязательно устанавливать на компьютере кучу специальных защитных программ. Достаточно соблюдать меры предосторожности в сети, тогда ни один вредоносный файл не попадет на устройство.

• Если на электронную почту пришло важное сообщение с вложением, не стоит спешить его открывать. Сначала необходимо сохранить вложение на диск, а потом запустить его, используя какой-либо браузер. Возможно, вместо текстового документа или фотографии на компьютер поступил исполняемый файл.
• Ни в коем случае нельзя запускать какую-либо программу, которая поступила на электронную почту с незнакомого адреса. Скорее всего, на устройство пришел хакерский файл.
• Даже если вложение пришло с уже знакомого e-mail, не стоит спешить его открывать. Прежде всего, необходимо просканировать его антивирусом. Не исключено, что электронный адрес, с которого пришло письмо, уже заражен вредоносным ПО и теперь просто отправляет рассылку по всем сохраненным контактам.
• Признаком того, что в присланном вложении будет вирус, может послужить какая-либо сенсационная новость в сообщении. Это просто приманка для того, чтобы пользователь заинтересовался содержанием и из любопытства открыл зараженный файл.

Компьютерный вирус – это своеобразная программа, которая содержит вредоносный код для операционной системы. В случае заражения вирусом, Вашему компьютеру может быть нанесён вред (файлам или операционной системе) и (или) другим компьютерам в локальной сети. Вирус способен повредить или уничтожить важные для Вас фотографии, документы, базы данных, а также другие файлы. Поэтому удаление и лечение вирусов очень важно. Проверка компьютера на вирусы должна производиться регулярно для профилактики

Классификация вредоносного ПО

Сетевой червь - это вредоносный программный код, распространяющий свои копии по локальным или/и глобальным сетям с целью проникновения на компьютер-жертву, запуска своей копии на этом компьютере и дальнейшего распространения.

Для распространения черви используют электронную почту, ISQ, P2P- и IRC-сети, LAN, сети обмена данными между мобильными устройствами.

Большинство червей распространяются в файлах (вложение в письмо, ссылка на файл и т.д.).

Но существуют и черви, которые распространяются в виде сетевых пакетов. Такие разновидности проникают непосредственно в память компьютера и сразу начинают действовать резидентно.

Для проникновения на компьютер-жертву используются несколько путей:

- самостоятельный (пакетные черви), -

- пользовательский (социальный инжиниринг),

- различные бреши в системах безопасности операционной системы и приложений.

- некоторые черви обладают свойствами других типов вредоносного программного обеспечения (чаще всего это троянские программы).

Почтовые черви (Email-Worm)

Использует для распространения электронную почту. Отправляет жертве письмо с прикрепленным телом кода либо в письме присутствует ссылка на ресурс (естественно, зараженный).

Для отправки сообщений червями используются следующие способы: прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку; использование сервисов MS Outlook

Для поиска адресов жертв чаще всего используется адресная книга MS Outlook.

Червь может просканировать файлы, хранящиеся на дисках, и выделить из них строки, относящиеся к адресам электронной почты.

Черви могут отсылать свои копии по всем адресам, обнаруженным в почтовом ящике (некоторые обладают способностью отвечать на письма в ящике).

Черви, использующие интернет-пейджеры

(IM-Worm).

черви данного типа используют единственный способ распространения - рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенный на каком-либо веб- сервере.

Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.

Черви в IRC-каналах (IRC-Worm)

используют два вида распространения: посылание пользователю URL-ссылки на файл-тело; отсылку пользователю файла (при этом пользователь должен подтвердить прием).

Черви для файлообменных сетей (P2P-Worm)

Механизм работы:

Всю остальную работу по его распространению P2P-сеть берет на себя - при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для его скачивания с зараженного компьютера.

Черви файлообменных сетей (P2P-Worm)

Механизм работы:

для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине.

работу по его распространению P2P-сеть берет на себя - при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для его скачивания с зараженного компьютера.

P2P-черви, имитируют сетевой протокол конкретной файлообменной системы и положительно отвечают на поисковые запросы (при этом червь предлагает для скачивания свою копию).

Прочие сетевые черви (NET-Worm)

Способы заражения удаленных компьютеров:

Копирование червя на сетевые ресурсы;

Проникновение червя на компьютер через уязвимости в операционных системах и приложениях;

Проникновение в сетевые ресурсы публичного использования;

Копирование червя на сетевые ресурсы

червь ищет в сети машины с ресурсами, открытыми на запись, и копирует.

он может случайным образом находить компьютеры и пытаться открыть доступ к ресурсам.

Проникновение червя через уязвимости в операционных системах и приложениях

Червь ищет компьютеры с установленным программным обеспечением, в котором имеются критические уязвимости.

Таким образом, червь отсылает специально сформированный пакет (запрос), и часть червя проникает на компьютер, после чего загружает полный файл-тело и запускает на исполнение.

Классические вирусы

Вирусы, в отличие от червей, не пользуются сетевыми сервисами для распространения своих копий.

Компьютерный вирус, как правило, попадает на компьютер-жертву по причинам, не зависящим от функционала кода.

Обычно виноват пользователь, который не проверяет антивирусной программой информацию, попадающую на компьютер, в результате чего, собственно, и происходит заражение.

Способы «подцепить» классический вирус:

Внешние носители информации;

Интернет ресурсы;

Файлы, распространяющиеся по сети (LAN, Internet).

Классический компьютерный вирус может иметь свойства других типов вредоносного ПО (например, троянскую процедуру удаления информации на диске).

Вирусы делятся на классы по среде обитания, а эти классы, в свою очередь, делятся на подклассы по способу заражения.

По среде обитания вирусы делятся на

Файловые,

Загрузочные,

Макро-

Скриптовые.

Перезаписывающие вирусы (Overwriting)

Вирус переписывает код программы (заменяет его своим), после чего, естественно, файл перестает работать.

Файл, зараженный данным способом, восстановлению не подлежит.

Перезаписывающий вирус быстро обнаруживает себя, так как зараженная система (или программа) перестает функционировать.

К таковым относятся все вирусы, которые изменяют содержимое файла, но при этом оставляют его работоспособным.

Основными типами таких вирусов являются:

Вирусы, записывающиеся в начало файлов (prepending),

Вирусы, записывающиеся в конец файлов (appending)

Вирусы, записывающиеся в середину файлов (inserting).

При записывании кода в начало файла вирус может воспользоваться двумя способами:

Первый - это перенос начала файла в конец и дописывание собственного кода в освободившееся место.

Второй - дописывание кода файла к своему коду.

В обоих случаях при запуске файла управление получает вирус, а потом во избежание подозрений управление передается обратно файлу-жертве

Внедрение вирусов в середину файлов происходит различными методами

-

Внедрение вирусов в середину файлов происходит различными методами

Путем переноса части файла в его конец

- копирования своего кода в заведомо неиспользуемые данные файла (cavity-вирусы).

- При внедрении кода вируса в конец файла используется способ дописывания.

- Код вируса дописывается в конец файла- жертвы, при этом головная часть файла изменяется таким образом, что управление, опять же, первым получает вирус, ну, а потом файл.

Вирусы-компаньоны (Companion)

Данный способ подразумевает создание файла-двойника, при этом код файла-жертвы не изменяется.

Обычно вирус изменяет расширение файла (например, с.exe на.com), потом создает свою копию с именем, идентичным имени файла-жертвы, и дает ему расширение, тоже идентичное.

Ничего не подозревающий пользователь запускает любимую программу и не подозревает, что это вирус. Вирус, в свою очередь, заражает еще несколько файлов и запускает программу, затребованную пользователем.

Троянская программа

Это вредоносный код, совершающий не санкционированные пользователем действия (например, кража информации, уничтожение или модификация информации, использование ресурсов машины в злонамеренных целях и т.д.).

Похитители паролей (Trojan-PSW)

Занимаются тем, что воруют пароли. Проникнув на компьютер и инсталлировавшись, троянец сразу приступает к поиску файлов, содержащих соответствующую информацию.

Кража паролей - не основная спецификация программ этого класса - они также могут красть информацию о системе, файлы, номера счетов, коды активации другого ПО и т.д.

Интернет-кликеры (Trojan-clicker)

Данное семейство троянских программ занимается организацией несанкционированных обращений к интернет- ресурсам путем отправления команд интернет-браузерам или подмены системных адресов ресурсов.

Используют данные программы для следующих целей :

Увеличение посещаемости каких-либо сайтов (с целью увеличения количества показов рекламы);

Организация атаки на сервис;

Привлечение потенциальных жертв для заражения вредоносным программным обеспечением.

Загрузчики (Trojan-Downloader)

Эти трояны занимаются несанкционированной загрузкой программного обеспечения (вредоносного) на компьютер ничего не подозревающего пользователя.

После загрузки программа либо инсталлируется, либо записывается трояном в автозагрузку (это в зависимости от возможностей операционной системы).

Установщики (Trojan-Dropper)

Устанавливают на компьютер-жертву программы - как правило вредоносные.

Анатомия троянцев этого класса: основной код, файлы.

Основной код собственно и является троянцем.

Файлы - это программа/ы, которая/ые он должен установить.

Троянец записывает ее/их в каталог (обычно временных файлов) и устанавливает. Установка происходит либо незаметно для пользователя, либо с выбросом сообщения об ошибке.

Шпионские программы (Trojan-Spy)

Данные трояны осуществляют шпионаж за пользователем: записывание информации, набранной с клавиатуры, снимки экрана и т.д.

В данной категории также присутствуют «многоцелевые» троянские программы - например, те из них, которые одновременно шпионят за пользователем и предоставляют proxy-сервис удаленному злоумышленнику.

Архивные бомбы (ArcBomb)

при попытке архиватора обработать архив вызывает «нестандартные» действия последнего.

Компьютер может просто зависнуть или его работа существенно замедлится. Также жесткий диск может заполниться бальшим колличесвом «пустой» информации.

Встречаются три типа подобных «бомб»:

Некорректный заголовок архива,

Повторяющиеся данные

Одинаковые файлы в архиве.

Прочие вредоносные программы

Разнообразные программы, не представляющие угрозы непосредственно компьютеру, на котором исполняются, а разработанные для

Создания других вирусов,

Создания троянских программ,

Организации DoS-атак на удаленные серверы,

Взлома других компьютеров и т.п.

Взломщики удаленных компьютеров (Exploit, Hacktool)

Эти программы используются хакерами для удаленного взлома компьютеров с целью дальнейшего управления ими. При этом эксплойты направлены непосредственно на работу с уязвимостями.

Фатальные сетевые атаки (Nuker)

Утилиты, отправляющие специально оформленные запросы на атакуемые компьютеры в сети, в результате чего атакуемая система прекращает работу.

Используют уязвимости в программном обеспечении и операционных системах, в результате чего сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении.

Введение пользователя в заблуждение (Bad-Joke, Hoax)

Это программа, которая заставляет пользователя испытать страх, эквивалентный тому, который он ощущает при виде надписи типа: «Warning! System has bin delete», ну, или что-то в этом роде

Шифровальщики вредоносного ПО

(FileCryptor, PolyCryptor)

Это хакерские утилиты, которые занимаются тем, что скрывают другое вредоносное ПО от антивирусных программ.