2. План семинара
Вступление. Из истории компьютерных вирусов.
Злоумышленники.
Сценарии нанесения ущерба вирусами.
Как работает вирус. Разновидности вирусов.
Как распространяются вирусы?
Антивирусные программы и антивирусные
технологии.
Вывод. Предохранение от вирусов.
3. Из истории компьютерных
вирусов.
1.
2.
3.
Опубликование в 40-х годах работ Джона фон
Неймана по изучению самовоспроизводящихся
математических автоматов.
Модели структур, способных к активации,
размножению, мутациям и пр., впервые были
реализованы в машинном коде на IBM 650.
Появление персональных компьютеров Apple в
1977 г. и развитие сетевой инфраструктуры.
4. Из истории компьютерных
вирусов.
4.
5.
Начало 80-х - исследовательские работы в
области самовоспроизводящегося ПО и
создание первых загрузочных вирусов для Apple
II. Вирусы стали выходить за пределы
отдельных лабораторий. Появление
простейших антивирусных программ.
В 1986 г., созданный в Пакистане вирус Brain
вырвался за пределы этой страны и вызвал
первую в мире эпидемию. Так компьютерный
мир вступил в новую эпоху, которая
продолжается и по сей день.
7. Злоумышленники
Злоумышленники делятся на два вида.
1.
2.
Пассивные злоумышленники просто пытаются
прочитать файлы, которые им не разрешено
читать.
Активные злоумышленники пытаются незаконно
изменить данные.
8. Категории злоумышленников
1.
2.
3.
4.
5.
Случайные любопытные пользователи, не
применяющие специальных технических
средств.
Члены организации, занимающиеся шпионажем.
Пользователи, совершающие решительные
попытки для личного обогащения.
Пользователи, занимающиеся коммерческим и
военным шпионажем.
Вирус
9. Сценарии нанесения ущерба
вирусами
Вирус — это, как правило, небольшая по объему
последовательность программных кодов,
обладающая следующими свойствами:
1. Возможность создавать свои копии и внедрять их
в другие программные объекты.
2. Обеспечение скрытости до определенного
момента ее существования и распространения.
3. Несанкционированность производимых ею
действий.
4. Наличие отрицательных последствий от ее
функционирования.
10. Пример нанесения ущерба
вирусом
Генератор кодов пополнения к мобильным компаниям Kyivstar, Djuice,
Life:), Jeans, Mobi, Beeline и UMC
Сенсация! Украинскими хакерами был написан генератор кодов
пополнения счета. Для практически всех мобильных компаний Украины.
Вы пользовались, когда ни будь программами, генерирующими коды к
лицензионным программам? Все это то же самое только для вашего
мобильного телефона! В программе три поля. В первом поле вы
выбираете название своей компании предоставляющей вам услуги
мобильной связи. Во втором поле вы выбираете сумму пополнения,
которую вы хотите сгенерировать, (она фиксированная для каждой из
компаний) и в третьем поле получаете сгенерированный код пополнения
счета. Поскольку нам удалось найти связь серийных номеров и кодов
пополнения. Программа работает на 100%. Для всех перечисленных
компаний. (Проверенно)
Поддерживаемые системы Windows 95,98, ME, 2000, ХР и 2003 Server.
Скачать генератор можно отсюда
www.free-gam sludio (с) 2006
11. Примерные схемы заражения
компьютера:
1.
2.
3.
Посещение веб-страницы, которая содержит
вредоносный скрипт и как следствие загрузка
на компьютер.
Открытие писем, пришедших от неизвестных
отправителей, и запуск вложений.
Переход по ссылкам, приводимым в ICQсообщениях от неизвестных адресатов.
14. Вирусы, заражающие
исполняемые файлы.
Простейший вид таких вирусов просто записывает
себя поверх исполняемой программы. Такие
вирусы называются перезаписывающими
вирусами.
Недостаток перезаписывающего вируса
заключается в том, что его очень легко
обнаружить.
15. Вирусы, заражающие исполняемые файлы.
Листинг 1. Рекурсивная процедура, ищущая исполняемые файлы в системе UNIX
#include <sys/types.h> / * стандартные заголовки POSIX * /
#include <sys/stat.h>
#include <dirent.h>
#include <unistd.h>
struct stat sbuf;
/* для вызова lstat, чтобы убедиться, что файл
/* представляет собой символьную связь * /
search(char * dir_name)
{
/* рекурсивный поиск исполняемых файлов * /
DIR * dirp;
/* указатель на открытый каталог * /
struct dirent * dp;
/* указатель на запись каталога * /
dirp = opendir(dir_name); /* открыть этот каталог * /
if (dirp == NULL) return; /* каталог не открывается * /
while (TRUE) {
dp = readdir(dirp);
/* прочитать следующую запись каталога * /
if (dp == NULL) {
/* NULL означает, что достигнут конец каталога */
chdir ("..");
/* вернуться в родительский каталог * /
break;
/* выход из цикла * /
}
if (dp->d_name[0] == '.') continue:
/* пропустить каталоги . и .. * /
lstat(dp->d_name, &sbuf);
/* является ли запись символьной ссылкой?*/
if (S_ISLNK(sbuf.st_mode)) continue; /* пропустить символьные ссылки * /
if (chdir(dp->d_name) == 0) {
/* если chdir завершится успешно,
/* то это должен быть каталог * /
search(".");
/* да. войти в него и продолжить поиск в нем * /
} else {
/* нет (файл), заразить его * /
if (access(dp->d_name.X_OK) ==0)
/ * если файл исполняемый, заразить его*/
infect(dp->d_name);}
closedir(dirp);
/ * каталог обработан; закрыть его * /
}
16. Вирусы, заражающие
исполняемые файлы.
Большинство вирусов прицепляются к
программам, позволяя им нормально
выполняться после того, как вирус выполнит свое
назначение. Такие вирусы называют
паразитическими вирусами .
Паразитические вирусы могут присоединяться в
начало, конец или в середину исполняемого
файла.
18. Резидентные вирусы
Резидентные вирусы, загруженные в память,
остаются там навсегда, либо, прячась на самом
верху памяти, либо прижимаясь «к земле» среди
векторов прерываний, в которых последние
несколько сот байт, как правило, не используются.
19. Резидентные вирусы
Типичный резидентный вирус перехватывает один
из векторов прерываний, сохраняя старое
значение в своей переменной, и подменяет его
адресом своей процедуры. Это может быть
прерывание от внешнего устройства вводавывода или эмулированное прерывание.
20. Загрузочные вирусы
Загрузочные вирусы внедряются в
загрузочные области носителей (начальные
сектора (boot - сектора) накопителей,
предназначенные для хранения загрузчика ОС).
Если зараженным окажется системный диск, с
которого происходит загрузка системы, то
управление получает не обычная программа
загрузки, а замещающий его код вируса. При
заражении вирус считывает необходимую
информацию из первоначального загрузчика и
сохраняет ее в своем коде.
22. Вирусы драйверов устройств
Вирусы драйверов устройств инфицируют
драйверы устройств.
В системе Windows драйверы устройств
представляют собой просто исполняемые файлы
на диске, загружаемые вместе с операционной
системой.
23. Макровирусы
Макровирусы — это файловые вирусы,
использующие особенности файлов документов
популярных редакторов и электронных таблиц.
В этих файлах размещаются программы на
макроязыках, возможности которых позволяют
создавать программы-вирусы.
24. Вирусы, заражающие исходные
тексты программ
Паразитические вирусы и вирусы, заражающие
загрузочные секторы, в высокой степени
привязаны к определенной платформе.
Документные вирусы в меньшей степени зависят
от платформ. Самыми переносимыми вирусами
являются вирусы, заражающие исходные
тексты программ.
25. Вирусы, заражающие исходные
тексты программ
Вирус, показанный в листинге 1, вместо
исполняемых двоичных файлов ищет программы
на языке С (для этого требуется изменить в
листинге всего одну строку: обращение к
процедуре access). Процедура infect должна
вставлять в начало каждого заражаемого файла
строку
#include <virus.h>
Кроме того, требуется поместить куда-либо в
середину программы еще одну строку
run_virus( );
чтобы активировать вирус.
26. Вирусы, заражающие исходные
тексты программ
При запуске программы произойдет обращение к
вирусу. Вирус может выполнять при этом самые
различные действия, например искать другие
программы на языке С, чтобы их заразить. Если
он найдет новый файл, он может заразить его,
добавив всего две приведенные выше строки, но
это будет работать только на локальной машине,
на которой уже установлен файл virus.h.
27. Интернет - черви
Червь - саморазмножающаяся программа,
использующая ошибки ОС и в течение секунд
реплицирующую себя на каждой машине, к
которой ей удается получить доступ.
28. Для инфицирования новых машин
применялись три метода.
Метод 1 заключался в попытке запустить удаленную оболочку при
помощи команды rsh. Некоторые компьютеры доверяют другим
компьютерам и позволяют запускать rsh, не требуя никакой
аутентификации.
Метод 2 использовал программу, присутствующую на всех
системах BSD, называемую finger. Она позволяет пользователю в
Интернете ввести команду
finger name@site
чтобы отобразить информацию о владельце или администраторе
конкретного компьютера.
Метод 3 использовал ошибку в почтовой системе sendmail,
позволявшей червю послать по почте копию начального загрузчика
и запустить его.
29. Интернет - черви
Одним из результатов этого инцидента было
создание группы компьютерной «скорой помощи»
CERT (Computer Emergency Rresponse Team),
основными задачами которой являются доклады о
попытках взлома в Интернете, а также анализ
проблем безопасности и разработка методов их
решения. При необходимости эта группа
рассылает свою информацию тысячам системных
администраторов по Интернету.
30. Распространение вирусов
1.
2.
3.
Классический вариант. Когда вирус создан, он
помещается в какую-либо программу, после чего
зараженная программа распространяется, например,
помещается на web-сайте бесплатных или оплачиваемых
после скачивания программ.
Вирус может проверять, подключена ли машина, на
которой он работает, к локальной сети. Затем вирус
может начать заражать незащищенные файлы на
серверах этой локальной сети.
Публикация зараженной вирусом программы в одной из
конференций USENET или на BBS. Автор вируса может
создать web-страницу, для просмотра которой требуется
специальный плагин (plug-in, сменный программный
модуль), и тут же предложить загрузить этот плагин,
который будет заражен вирусом.
31. Распространение вирусов
4.
Вирусы, распространяемые вместе с документами
(например, редактора Word). Эти документы рассылаются
по электронной почте или публикуются в конференциях
USENET, BBS и на web-страницах Интернета, как
правило, в виде файловых дополнении к письму.
Вирус может заглянуть в адресную книгу пользователя и
разослать самого себя по всем адресам из этой книги. В
строке Subject при этом, как правило, вирус указывает
нечто интересное и правдоподобное, например:
Subject: Изменения планов
Subject: Re: то последнее письмо
Subject: Собака умерла прошлой ночью
Subject: Я серьезно болен
Subject: Я тебя люблю
33. Где прячутся вирусы?
1.
2.
3.
4.
5.
Чтобы вируса не было видно в каталоге,
вирусы, хранящие свои данные в отдельном
файле должны устанавливать у файла бит
HIDDEN (скрытый) в системе Windows.
Модификация Проводника системы Windows,
чтобы он не отображал файлов, начинающихся
с определенной последовательности символов.
Использует дефектные секторы и списки
дефектных секторов, а также реестр Windows.
Флэш-ПЗУ и энергонезависимая память CMOS.
Исполняемые файлы и документы.
34. Сканеры вирусов
1.
2.
Исследование новых вирусов проводится в
несколько этапов:
Необходимо заразить вирусом программу, не
выполняющую никаких функций и получить
вирус в его чистейшей форме.
Получить точный листинг кода вируса и
поместить его в базу данных известных
вирусов.
35. Сканеры вирусов
Антивирусная лаборатория должна найти
в вирусе некое неизменное ядро и
использовать его для идентификации
вируса.
Антивирусная программа для обнаружения
изменения файлов может сохранять в
своем файле на диске длины всех файлов.
Если размер файла увеличился с момента
последней проверки, это может означать,
что он заражен.
36. Сканеры вирусов
Вирус может перехитрить антивирусную
программу, сжав инфицированный файл и
добавив к сжатому файлу самого себя и дополнив
длину файла до оригинального значения.
Другой метод избежать обнаружения заключается
в попытке сделать так, чтобы внешний вид вируса
отличался от его представления в базе данных.
Один из способов достижения этой цели
заключается в том, что вирус, заражая файл,
зашифровывает сам себя в этом файле, причем
каждый раз используется новый ключ.
37. Сканеры вирусов
Программа (а); инфицированная программа (б);
сжатая инфицированная программа (в); зашифрованный вирус (г);
сжатый вирус с зашифрованной программой компрессии (д)
38. Сканеры вирусов
Вирус, который мутирует при каждой операции
копирования, называется полиморфным
вирусом.
Часть вируса, занимающаяся изменением
внешнего вида последовательности команд
процессора, не меняя при этом их
функциональности, называется мутационным
движущим механизмом .
39. Проверка целостности
Принципиально другой метод обнаружения
вирусов заключается в проверке целостности .
Антивирусная программа, работающая
подобным образом, сначала сканирует жесткий
диск в поисках вирусов. Убедившись, что диск
чист, она считает контрольную сумму для каждого
исполняемого файла и сохраняет список
контрольных сумм для всех исполняемых файлов
каталога в том же каталоге в файле checksum.
При следующем запуске она пересчитывает все
контрольные суммы и проверяет их соответствие
данным, хранящимся в файле checksum.
Зараженный файл будет тут же обнаружен по
несовпадению контрольной суммы.
40. Проверка поведения
Идея проверки поведения программ состоит в
том, что антивирусная программа может
отслеживать всю активность системы и
перехватывать все, что кажется ей
подозрительным.
При этом антивирусная программа резидентно
находится в памяти во время работы компьютера
и сама перехватывает все системные вызовы.
41. Предохранение от вирусов
Что могут сделать пользователи, чтобы избежать
заражения вирусом?
1.
Выбрать ОС, предоставляющую определенный
уровень защиты, со строгим разграничением
режимов работы ядра и пользователя, а также
раздельными паролями регистрации для
каждого пользователя и системного
администратора.
2.
Устанавливать только архивированное
программное обеспечение, приобретенное у
надежного производителя.
42. Предохранение от вирусов
3.
4.
5.
Приобретать хорошее антивирусное
программное обеспечение и использовать его
так, как написано в инструкции. Обязательно
получать регулярные обновления с web-сайтов
производителя.
Не щелкать мышью на присоединенных к
электронным письмам файлах.
Архивировать чаще ключевые файлы на
внешних носителях.
