logo
Классификация вирусов

3.1.2 Вредоносные программы

Наиболее изощренную угрозу для компьютерных систем представляют собой программы, использующие уязвимые места защиты систем вредоносные программы. На рис. 3.1 показана общая схема классификации вредоносных программ. Такие программы можно разделить на две категории: программы, нуждающиеся в программе-носителе, и независимые программы. К первой категории относится программный код, который не может работать независимо от некоторой реальной прикладной программы или утилиты. Ко второй категории относятся самостоятельные программы, которые могут быть запущены стандартными средствами операционной системы, как любая другая программа.

Рис. 3.1 Классификация вредоносных программ

Классификация, приведенная на рис. 3.1, позволяет систематизировать ин­ формацию, но она не дает полного описания реальной картины. В частности, логические бомбы и "троянские кони" могут быть частями вируса или "червя". Кроме того вредоносные программы делятся на обычные и размножающиеся. К размножающимся относятся вирусы, бактерии и черви.

ЛЮК или лазейка, — это секретная точка входа в программу, позволяющая тому, кто знает о существовании люка, получить доступ в обход стандартных процедур защиты. Люки уже много лет совершенно законно используются в программистской практике для ускорения отладки и тестирования программ. Эта возможность обычно применяется программистом при создании приложе­ ния, в состав которого входит процедура аутентификации или слишком долгая программа установки, требующая от пользователя ввода множества различных параметров для запуска программы. Чтобы ускорить процесс отладки, разработ чик может воспользоваться специальным уровнем привилегий или обойти про цедуру установки или аутентификации. Для программиста удобно иметь возможность запустить программу тогда, когда по причине каких-то неполадок встроенная процедура аутентификации не позволяет этого сделать. Люк пред ставляет собой программный код, реагирующий на специальную последователь ность введенных с клавиатуры символов, либо активизирующийся в ответ ввод определенного идентификатора пользователя или последовательность каких-то маловероятных событий. Люки представляют собой угрозу, когда они позволяют недобросовестным программистам получить несанкционированный доступ.

ЛОГИЧЕСКИЕ БОМБЫ – представляют собой программный код, внедренный в какую-то полезную программу, который должен "взорваться" при выполнении определенных условий.Примером условий, которые запускают логическую бомбу, могут быть присутствие или от сутствие каких-то файлов, наступление определенного дня недели или определен­ной даты, имя конкретного пользователя, инициировавшего запуск приложения. После запуска бомба может изменять или удалять данные файлов, вызывать зависание машины или выполнять какие-то другие раз­рушительные действия.

ТРОЯНСКИЕ КОНИ - представляют собой полезную или кажущуюся полезной программу, содержащую скрытый код, который после запуска программы- носителя выполняет нежелательные или разрушительные функции.Программа этого типа может использоваться для опосредованного выполнения операций, которые несанкционированный пользователь не может выполнить непосредственно. Например, для получения доступа к файлам другого пользова­ теля на компьютере, находящемся в совместном пользовании нескольких чело­ век, злоумышленник может создать программу "троянского коня", которая при выполнении изменит параметры доступа к файлам этого пользователя, сделав их открытыми для всех. Создав такую программу, автор может спровоцировать других пользователей запустить ее, поместив программу в общедоступный каталог и присвоив ей имя, которое большинству пользователей покажется именем полезной программы или утилиты. Побудительным мотивом создания "троянских коней" является раз­рушение данных. В этом случае программа, выполняющая какие-то полезные функции (например программа-калькулятор), может без каких бы то ни было внешних проявлений удалить все файлы пользователя.

ВИРУСЫ - представляют собой программу, которая может "инфицировать" другие программы путем их модификации. В модифицированный код включается код вируса, с помощью которого вирус может "заразить" другие программы. Биологические вирусы являются небольшими фрагментами генетического кода — ДНК или РНК, — использующими механизм жизнедеятельности живой клетки для создания тысяч абсолютных копий оригинального вируса. Подобно своему биологическому двойнику, компьютерный вирус несет в своем программном коде рецепт создания совершенных копий самого себя. Внесенный в компьютерную систему, типичный вирус временно захватывает управление дисковой операционной системой компьютера.Затем при каждом контакте зараженного компьютера с незараженным программным обеспечением очередная копия вируса помещается в новую программу. Таким образом, инфекция может передаваться от компьютера к компьютеру ничего не подозревающими пользователями, обменивающимися содержимым магнитных дисков или пересылающими программы по сети.

"ЧЕРВИ" - используют сетевые соединения для распространения от одной системы к другой.Во время работы на отдельном компьютере сетевой "червь" может вести себя как компьютерный вирус или "бактерия", внедрять "троянских коней", или же выполнять какие-то другие разрушительные или подрывные действия. Для размножения сетевой "червь" использует сетевые средства доставки информации. Сетевой "червь" во многом подобен компьютерному вирусу — у него тоже есть инкубационный период, фаза распространения, фаза активизации и фаза выполнения. В фазе распространения обычно выполняются следующие функции:

Перед тем как копировать себя в другую систему, сетевой "червь" может также пытаться проверить, не была ли система уже инфицирована ранее. В многозадачной среде он может скрывать свое присутствие с помощью назначения себе имени, соответствующего системному процессу, или с помощью использования какого-то друго­го имени, не вызывающего подозрения у системного оператора. Так же как и вирусам, сетевым "червям" трудно противостоять. Однако меры сетевой защиты в совокупности с мерами по защите отдельных компьютерных систем при условии их правильной разработки и применения значительно уменьшают опасность, которую несут с собой "черви".

БАКТЕРИИ являются программами, не повреждающими сами по себе никаких файлов. Единственной целью "бактерии" является воспроизведение себе подобных. Типичная "бактерия" может просто запустить две собственные копии в многозадачной среде или создать два новых файла, содержащих по копии оригинальной программы - "бактерии". Затем каждая из копий может создать еще две копии и т.д. Скорость размножения "бактерий" растет экспоненциально, что в конце концов приводит к быстрому захвату всех ресурсов процессора, памяти или дискового пространства, а результатом является отказ пользователям в доступе к этим ресурсам.