Документ содержит информацию о различных типах вредоносных программ, включая вирусы, трояны и черви, и их характеристики. Он описывает историю развития компьютерных вирусов, методы их защиты и распространения, а также влияет на мобильные устройства. Различные примеры вирусов и их поведение подчеркивают необходимость защиты информации и осведомленности пользователей.

1. Malware:
Virus – 16.02%
Trojan – 68.34%
Adware – 2.58%
Worm – 11.69%
Others – 1.37%

2. Кизько Б.А. ноябрь 2013

3. ВПО – программа, которая загружается без
уведомления пользователя, выполняется без его
разрешения и преследует цели создателя.
 Виды:
1.
Компьютерные вирусы (КВ).
2.
Троянские кони (ТК).
3.
Потайные ходы (ПХ).
4.
Сетевые черви (СЧ).
5.
Rootkits (РК).
6.
Средства удаленных атак (СУА).
7.
Потенциально опасные программы (ПОП) – adware,
riskware, spam...


4. 
Несанкционированное:
уничтожение,
блокирование,
модификация,
копирование информации.

Нарушение работы ЭВМ, систем ЭВМ или их
сети.

5. 

Конспект
Книги на русском языке
Платонов В.В. Программно-аппаратные средства защиты
информации /В.В. Платонов. – Москва: Издательский центр
«Академия», 2013г. – 336 с. – (Сер. Бакалавриат)



Книги на английском языке
Основные сайты по безопасности
Интернет 

7. 1959 г. – статья Л. Пенроуза о
самовоспроизводящихся механизмах в «Scientific
American»
1972 г. – игра «Darwin» М. Макилроя из AT&T Bell
Laboritories. Игровая программа «Animal»
1975 г. – J. Brunne «The Shockware Rider»
<Tapeworm, распределѐнные программы, защита от
обнаружения, заражение программ…>
1977 г . – T.R. Ryan «The Adolescence of P-1»
<заражение сети, стирание информации>

8. 4.10.1957 г. – 1ый искусственный спутник Земли
7.10.1957 г. – DARPA. Цель: обеспечить
выживаемость инфраструктуры после ядерного
удара.
1980 г. – в ARPANET появилась программа,
перепутывающая адреса эл. почты.
Около 1966 г. – Robert Morris, Sr. Разработал идею
программы, которую запрограммировали его
друзья, Dennis Ritchie и Victor Vyssotsky. -> игра
«Darwin»

9. 1982 г. – первый вирус для Apple II, автор – Rich
Skrenta. Вирус писал «ELK CLONER».
1985 г. – «пакистанский вирус»
Ноябрь 1976 г. – Диффи и Хеллман
1977 г. – RSA

10. Elk Cloner:
It will get on all your disks
It will infiltrate your chips
Yes, it’s Cloner!
It will stick to you like glue
It will modify RAM too
Send in the Cloner!

11. 1984 г. – Ф. Коэн (F. Cohen) разработал формальную
модель КВ: «A virus is a program, that is able to infect
other programs by modifying them to include a
possibly evolved copy of itself».
Adleman: «A computer virus is a program that
recursively and explicitly copies a possible evolved
version of itself».

12. 1987 г. – первая статья, посвященная КВ. А.А.
Чижов, ВЦ АН СССР.
Август 1988 г. – первый КВ обнаружен в
лаборатории Института программных систем,
Переславль-Залесский
1989 г. – семинар «Системное программирование»,
Безруков Н.Н.
1991 г. – Безруков Н.Н. «Компьютерная
вирусология» – 1я «хорошая» книга

14. Исходные
коды с комментариями
Появление
ПК
Появление
книг по программированию
Интернет
www.phrack.org

15. Компьютерный вирус – «программа, способная
создавать свои копии (необязательно совпадающие
с оригиналом) и внедрять их в файлы, системные
области компьютера, компьютерных сетей, а также
осуществлять иные деструктивные действия. При
этом копии сохраняют способность дальнейшего
распространения. Компьютерный вирус относится к
вредоносным программам.» ГОСТ 51188-98

16. Степень опасности
Опасные, неопасные, чрезвычайно опасные
Наличие маскировки
Защита от просмотра, защита от обнаружения
Среда обитания
Аппаратная, программная
Стратегия инфицирования (условия
инфицирования и объект заражения)

17. Многократные попытки унификации
Поход Symantec:
Префикс.Имя.Суффикс
Префикс – платформа распространения (или тип
вируса).
Имя извлекается из тела вируса
Суффикс – для определения вирусов одного
семейства.

18. Префиксы
Java
W32 (Win32)
Trojan (Troj)
PWSteal
O2KM
O97KM
OM
VBS
W2KM

19. Суффиксы
@m
@mm
Family
Worm
Gen

20. Неоднозначность именования вирусов у
различных исследователей!
www.wildlist.org

21. Внедрение
Инкубационный период
Саморазмножение
Выполнение спец. Функций
Проявление

22. Файловые
Загрузочные
Сетевые
Макровирусы
Файловые КВ поражают почти все типы
исполняемых файлов.

23. EXE- и COM-файлы
.dll
.drv – драйверы устройств
.scr – оконные заставки
.chm – компилируемые HTML-файлы
.cpl – расширение панели управления
.bpl – библиотеки Borland
.pif – информация о программе
.vxd – драйверы вирт. устройств
Elf-файлы в *Nix-системах

24. Перезаписывающие КВ
Паразитические КВ
Компаньон-вирусы
Вирусы-черви
Link-вирусы
Вирусы, заражающие объектные (OBJ) модули,
библиотеки компиляторов и исходные коды
программ

25. Носителем вируса становится файл, получаемый в
процессе компоновки зараженного obj/lib-файла с
другими объектными модулями и библиотеками.
Примеры: SrcVir, Urphin
Кен Томсон, 1981 г:
«Не доверяйте кодам, которые писали не Вы»
Некоторые подвиды используют
сжатие заражаемого файла

26. Записывают свой код в инфицируемый файл,
уничтожая его содержимое.

27. Исходный файл – target.com
Вирус – virus.com
Target.com
Virus.com
Зараженный файл:
Virus.com
Target.com
Возможно внедрение в начало или конец файла

28. Внедрение в начало файла (актуально для DOS)
COM
EXE
JMP
JMP
Вирус
Программа
Программа

29. 1. Переименование заражаемого файла
До заражения
Target.exe
Virus.com
После заражения
Target.exe
Target.exd
Пользователь запустит файл Target.exe, который
содержит вирус, а уже тот запустит исходный файл

30. 2. Использование особенностей DOS
Пусть в директории C:x лежат файлы:
Target.bat, Target.com, Target.exe
Пользователь из командной строки выполняет
команду C:xtarget (т.е. без указания расширения
файла), и в этом случае DOS запустит файл Target.bat.
Приоритеты выполнения: .bat -> .com -> .exe

31. Armored Viruses
Методы защиты вирусов:
- Защита от AV-средств;
- Защита от дизассемблеров (antidisassembly);
- Защита от отладчиков (antidebugging);
- Защита от эвристик (antiheuristics);
- Защита от эмуляции (antiemulation);
-Защита от мишеней (antigoat).

32. Доступность AV привела к эволюции кода вирусов:
- Использование шифрования;
- Использование упаковщиков.
AV средства для обнаружения используют структуры
(команды)
модуля
шифрования/расшифрования
вируса.

33. Oligomorphic viruses (Олигоморфные вирусы)
(гр. oligos – незначительный)
Изменение модуля и/или ключей шифрования от
копии к копии
Использование набора модулей (W95/Memorial,
WordSwap)

34. Полиморфизм – изменение модуля для каждой копии.
Полиморфные вирусы.
1990 г. – первый полиморфный вирус, «1260».
Автор – Mark Washburn.
Перестановка блоков внутри модуля, вставка команд
«мусора».

35. 1991(1992) г. – MtE (Mutation Engine). Автор – Dark
Avenger, из Болгарии. Объектный модуль с подробной
инструкцией.
MtE – первый известный полиморфный генератор для
MS-DOS.

36. Полиморфные генераторы обеспечивают шифрование
тела вируса случайным ключом и генерацию
соответствующего
случайного
работающего
расшифровщика.
В
итоге
копии
вирусов,
зашифрованные полиморфными генераторами, могут
не совпадать ни в одном байте и иметь разную длину.
Сам полиморфный генератор не является вирусом,
поскольку не имеет алгоритма заражения файлов или
иного способа размножения.

37. Известные полиморфные генераторы для MS-DOS:
MtE (Mutation Engine)
TPE (Trident Polymorphic Engine)
NED (NuKE Encryption Device)
SMEG
TCE
VICE
DAME (Dark Avenger`s Mutation Engine)

38. Использование «мусорных команд»
Код без «мусора»:
mov esi, start_of_virus_body
mov ebx, decryption_key
mov ecx, virus_size
decryption_loop:
xor [esi], ebx
inc esi
loop decryption_loop
Код, содержащий «мусор»
mov esi, start_of_virus_body
nop
mov ebx, decryption_key
add edx, 105
mov ecx, virus_size
xchg ebp, edx
jc decryption_loop:
decryption_loop:
xor [esi], ebx
push ebx
pop eax
inc esi
dec eax
loop decryption_loop
jcxz next
next:

39. Метаморфизм – мутация кода вируса при каждой
инфекции,
приводящая
к
изменениям
функциональности.
Вставка мусора
Варианты:
1) вставка кода, который
предыдущей команды:
Xchg eax, ebx
Xchg ebx, eax
аннулирует
эффект

40. Вставка мусора
Варианты:
2) вставка кода, который производит вычисления,
которые далее не используются:
Mov eax, 0
Mov eax, ebx

41. 2. Переименование переменных:
Mov eax,0
Push eax
Push ebx
3. Перестановка команд, не зависящих от данных.

42. 4. Перестановка блоков команд (BadBoy).
5. Замена эквивалентных последовательностей
Add eax, 5
Sub eax, -5
6. Вставка псевдоусловных переходов
7. Вставка безусловных переходов.
8.Мутация
полезной
нагрузки
срабатывания.
и
условий

43. ГОСТ 51188-98:
Программные и программно-аппаратные методы.
Программно-аппаратные – с помощью спец.
технических устройств. Пример: технологии NX-Bit
(AMD Athlon 64), XD-Bit (Intel Pentium 4), Microsoft
DEP. (защита оперативной памяти на уровне страниц)

44. Программные.
1. Сигнатурный метод. Поиск по базе сигнатур.
30 дней от запуска вируса до выпуска AVсигнатуры.
2. Резидентные «сторожа».
3. Эвристический анализ.
4. Обнаружение изменений.
5. Вакцинирование программных средств
6.Honeypot.
7. HIPS и виртуализация.
8. Blacklisting. «Чѐрные списки» программ.
9. Whitelisting. Bit9, 2008 г.

45. Основные принципы
1. Контролируем то, что известно.
2. Контролируем на самом низком уровне («lowlevel»).
3. Контролируем «прозрачно» для запущенной
программы.

47. Появление многофункциональных операционных
систем для мобильных телефонов и КПК: Symbian,
Windows Mobile, Android, iOs, Windows Phone.
Массовое распространение телефонов, смартфонов и
КПК с указанными выше ОС.
Наличие у устройств нескольких коммуникационных
интерфейсов (GSM/CDMA и др., Bluetooth, WiFi,
IrDa).
Неосторожность и пренебрежительное отношение со
стороны пользователей устройств.
Некоторые другие причины.

48. 2000г.
–
распространение
наборов
команд,
исполняемые телефоном, передавался через SMS.
Сообщения с командами забивали ячейки памяти и
при удалении блокировали работу телефона.
Наибольшее распространение получили команды для
телефонов Siemens и Nokia.

49. Название – Cabir (Caribe)
Дата появления – июнь 2004 г.
Авторы – команда 29A, Vallez
Целевая платформа – SymbianOS
Канал распространения – Bluetooth
Функционал вируса: самораспространение по BT,
расход заряда аккумулятора.
Цель появления вируса – доказательство актуальности
проблем инф. безопасности для мобильных устройств

50. Исходный код Cabir вскоре (2004 г.) стал доступен в
результате утечки, что привело к массовому
распространению по всему миру.
Чемпионат мира по легкой атлетикe, Хельсинки.
Моментальное распространение по стадиону. На
стадионе в специальном месте F-Secure удаляли Cabir
из памяти смартфонов зрителей.
За всѐ время Cabir поразил смартфоны из (примерно)
20 стран.

51. Принцип действия: Cabir доставляется на телефон в
виде SIS-файла, маскируясь под утилиту управления
безопасностью,
Caribe
Security
Manager.
«Зараженный» смартфон начинает поиск других
уязвимых аппаратов и пересылает на них файл,
содержавший
червя.
Вирус
не
уничтожает
пользовательские
данные,
но
блокирует
санкционированные
Bluetooth-соединения
и
потребляет ресурсы аккумулятора (заряда хватало
примерно на 2 часа).

52. 2004 г. – вирус Duts, первый вирус для Windows
Mobile. Duts заражал исполняемые файлы, однако
перед заражением спрашивал разрешения у
пользователя КПК или коммуникатора.
Brador - первый в мире backdoor для телефонов.
Brador ожидал подключения зараженного устройства к
Сети, и как только оно было установлено, отправлял
IP-адрес устройства "хозяину" по e-mail и открывал
особый порт. "Хозяин", подключившись через этот
порт к инфицированному устройству, мог получить
доступ к его файлам, самому отправлять ему те или
иные файлы и выводить на его экран текстовые
сообщения.

53. Март 2005 г. – червь CommWarrior-A.
CommWarrior атаковал Symbian-аппараты на S60 и
распространялся через Bluetooth или MMS. Вирус
проникал в трубку и сразу начинал рассылать
заражѐнные MMS всем контактам из адресной книги.
CommWarrior оказался зловреднее Cabir, так как не
только выводил аппарат из строя, но и подрывал
финансовое положение пользователей
несанкционированной рассылкой MMS.

54. Шпион Flexispy (50 долларов США) – устанавливал
контроль над смартфоном, отсылал информацию о
звонках и SMS.
Cxover
–
первый
мобильный
вирус,
распространявшийся в различных ОС. При запуске он
определяет ОС, проникает в компьютер и ищет
доступные мобильные устройства через ActiveSync.
Затем вирус копирует себя на найденное устройство.
Попав в смартфон, программа пытается проделать
обратную процедуру – скопировать себя на
персональный компьютер. Вирус может удалять
пользовательские файлы на мобильном устройстве.

55. Вирус-троян RedBrowser – платформа Java ME. Троян
маскируется под программу, позволяющую посещать
WAP-сайты без настройки WAP-подключения. Авторы
программы сообщают, что такая возможность
достигается за счѐт бесплатных SMS. На деле вирус
начинает рассылать SMS на платные мобильные
сервисы. Стоимость одного сообщения может
достигать 5-6 долларов США, а отправляются они
непрерывно. Таким образом, RedBrowser может за
несколько минут разорить абонента. После атаки
вируса счѐт пользователя обнуляется, а в случае
кредитной системы оплаты даже уходит в глубокий
минус.

56. Вирус-троян Webster
Январь 2008 г. – первый вирус для iPhone. Удалял
файлы из /bin, где лежат исполняемые файлы всех
приложений.
11.04.2011 – вирус для iOs4, автор – s7ranger. Удаляет
всю информацию с устройства (iPhone 3GS, iPhone 4,
iPad, iPad 2 и iPod Touch), в том числе и все контакты с
SIM-карты.
http://newapples.ru/news/ostorozhno-poyavilsya-virusdlya-ios-4.html

57. 1. Кража персональной информации. Контакты
владельца, пароли от программ, параметры учетных
записей (Google Play, AppStore). Пример –
Android.Gemini.
Попадая в систему, Android.Gemini определяет
местоположение смартфона, загружает файлы из
Интернета, считывает и записывает закладки браузера,
получает доступ к контактам, совершает звонки,
отправляет, читает и редактирует SMS-сообщения.
2. Отправка платных SMS. Android.SmsSend, Webster,
RedBrowser и др.
3. Мошенничество. Использование интернет-банка.
Пример – Trojan-Spy.SymbOS.Zbot.a.

59. 1. Не получать файлы от недоверенных лиц.
2. Не переходить по ссылкам от недоверенных лиц.
3. Открывать файлы, полученные от третьих лиц
(даже от доверенных), с осторожностью.
4. Не устанавливать фальшивые антивирусные
средства.
5. Иметь в наличии AV.
6. Общее усиление системы (установка обновлений и
др.)
7. Резервное копирование всей важной информации.
8. Не хранить в плохо защищѐнных системах важную
информацию.