Зловредное программное обеспечение и средства защиты от него

Федеральное агентство по образованию  РФ

ГОУ ВПО «Сибирский государственный  аэрокосмический университет 

им.академика М.Ф.Решетнева»

 

«Аэрокосмический колледж»

 

 

 

 

 

 

 

 

Семинар №4

по дисциплине:

«БУДИС»

 

 

Тема: «Зловредное программное обеспечение и средства защиты от него»

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Выполнил: студент гр. АСК-17

                                                                                Молотилов В.С.

                                                                Проверил: Преподаватель

                                                Карпачева О.Н.

 

 

 

 

 

 

2009 г.

 

Содержание:

 

1. История развития ЗПО

 

2. Примеры зловредного ПО

              2.1 Макровирусы

              2.2 Вирусы класса «Червь» и полиморфные

              2.3 Вирусы эпидемии и их последствия

 

3. Примеры средств борьбы с ЗПО

              3.1 ПО «Лаборатория Касперского»

              3.2 ПО компании «Symantec»

3. ПО компании «Dr. Web»
4. Собственный пример

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. История развития  ЗПО.

 

Первые вирусы появились в конце  восьмидесятых, и название свое они получили от того, что распространялись путем самореплицирования своего тела в незараженные исполняемые или интерпретируемые файлы. Писали вирусы довольно профессиональные люди (ассемблер халатного подхода к кодированию не приемлет), причем цели их были далеки от меркантильных. Создатель вируса корпел ночами либо ради славы, либо потому, что ему нравился сам процесс написания и отладки довольно-таки сложных программ. Существовал даже негласный конкурс на самый маленький вирус для MS-DOS.

 

Примерно в то же время появились  и первые антивирусные утилиты - относительно простенькие наборы инструментов для  автоматического обнаружения и  удаления (лечения) вирусов. Парадоксально, но появление и развитие антивирусов  в какой-то мере спровоцировало следующий виток антивирусных технологий: вирусы начали прятаться, появились стелсы и полиморфы. Стелс - это вирусная технология перехвата системных вызовов так, чтобы антивирус полагал, что инфицированный файл вовсе не заражен. Полиморфы использовали другой подход - они изменяли собственное бинарное тело от заражения к заражению так, чтобы антивирусные компании, получив образец вируса, не могли бы на основе этого образца построить подходящую модель детектирования и лечения его в других файлах.

 

Но и стелсы, и полиморфы - это  вчерашний день. В Сеть пришли простые  люди. Простые люди с простыми деньгами. Люди, которые совершали покупки  в интернет-магазинах и управляли  банковскими счетами через глобальную сеть. А вслед за ними потянулись искатели быстрой и легкой наживы, благодаря которым понятие зловредного ПО (сокращенно - зловреды, на некоторых интернет -форумах по безопасности такие программы еще называют "зверьками") было существенно расширено. Сегодня под malware (от английского malicious software) понимают adware (ПО, показывающее пользователям рекламу), spyware (ПО, которое шпионит за пользователями), dialers (этот вымирающий класс программ пользуется обычным телефонным модемом для звонков на платные телефонные номера), rootkits (этот класс программ используется для сокрытия присутствия в системе зловредного программного обеспечения, вспоминаем стелс-вирусы!), backdoors (это программы для удаленного управления компьютером), trojans (этот класс программ выдает себя не за то, чем на самом деле является), ransomeware (шифруют данные пользователей и вымогают деньги за дешифровку), worms (черви, делятся на почтовые и сетевые по методу распространения). Все эти программы часто путают с вирусами, хотя к вирусам они не имеют никакого отношения, так как не могут самостоятельно инфицировать файлы.

 

Сегодняшняя индустрия зловредного  ПО - это громадный, многомиллиардный бизнес. Основные методы получения  денег на зловредном ПО - кража банковских данных, реквизитов кредитных карт, показ несанкционированной либо не соответствующей действительности рекламы, сдача в аренду сетей зараженных компьютеров для организации спамрассылок и атак на сайты.

Традиционные же вирусы встречаются  в диком виде (то есть, на компьютерах  пользователей) все реже и реже. Основная причина - нерентабельность: слишком высоки затраты на разработку (требуется высококвалифицированный программист, время которого стоит очень дорого) и отладку по сравнению с обычным зловредным ПО. Более того, теперь можно не разрабатывать зловредов самому, а купить генератор, ткнуть пару раз мышкой - и все готово! Бизнес, однако!

 

Во времена первых вирусов основным средством борьбы с ними был сигнатурный  вирусный сканер. Т.е., брался образец зараженного файла, создавалась сигнатура на основе уникальных последовательностей байтов вирусного кода нем, а по обратному восстановлению логики инфицирования - процедура лечения пораженных файлов. В дальнейшем, когда началась эра полиморфных вирусов, были созданы эвристические методы детектирования и лечения их, основанные на методах эмуляции кода и нечетких вердиктах. Стелс-вирусы породили общие методы их детектирования на основе сравнения данных, полученных через сканирование высокого и низкого уровней и резидентные (постоянно находящиеся в памяти) антивирусные мониторы, проверяющие открываемые и запускаемые файлы на лету.

 

2. Примеры ЗПО:

 

2.1 Макровирусы.

 

       Макро-вирусы (macro viruses) являются программами на языках (макроязыках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.), а также на скрипт-языках, таких как VBA (Visual Basic for Applications), JS (Java Script). Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макро-вирусы для Microsoft Office. Существуют также макро-вирусы, заражающие документы Ami Pro и базы данных. Для существования вирусов в конкретной системе (редакторе) необходимо наличие встроенного в систему макроязыка с возможностями:

     1.Привязки программы на макроязыке к конкретному файлу;

     2.Копирования макропрограмм из одного файла в другой;

     3.Возможность получения управления макропрограммой без вмешательства     пользователя (автоматические или стандартные макросы).

 

       Данным условиям удовлетворяют редакторы Microsoft Word, Office и AmiPro, а также электронная таблица Excel и база данных Microsoft Access. Эти системы содержат в себе макроязыки: Word - Word Basic; Excel, Access - VBA. При этом:

 

1.Макропрограммы привязаны к конкретному файлу (AmiPro) или находятся внутри файла (Word, Excel, Access);

2.Макроязык позволяет копировать файлы (AmiPro) или перемещать макропрограммы в служебные файлы системы и редактируемые файлы (Word, Excel);

3.При работе с файлом при определенных условиях (открытие, закрытие и т.д.) вызываются макропрограммы (если таковые есть), которые определены специальным образом (AmiPro) или имеют стандартные имена (Word, Excel).

 

       Данная особенность макроязыков предназначена для автоматической обработки данных в больших организациях или в глобальных сетях и позволяет организовать так называемый "автоматизированный документооборот". С другой стороны, возможности макроязыков таких систем позволяют вирусу переносить свой код в другие файлы, и таким образом заражать их. Вирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение. По аналогии с MS-DOS можно сказать, что большинство макро-вирусов являются резидентными: они активны не только в момент открытия/закрытия файла, но до тех пор, пока активен сам редактор.

 

 

Word/Excel/Office-вирусы:

 

        Физическое расположение вируса внутри файла зависит от его формата, который в случае продуктов Microsoft чрезвычайно сложен - каждый файл-документ Word, таблица Excel представляют собой последовательность блоков данных (каждый из которых также имеет свой формат), объединенных между собой при помощи большого количества служебных данных. Этот формат носит название OLE2 - Object Linking and Embedding.

 

        Структура файлов Word, Excel и Office (OLE2) напоминает усложненную файловую систему дисков: "корневой каталог" файла-документа или таблицы указывает на основные подкаталоги различных блоков данных, несколько таблиц FAT содержат информацию о расположении блоков данных в документе и т.д. Более того, система Office Binder, поддерживающая стандарты Word и Excel позволяет создавать файлы, одновременно содержащие один или несколько документов в формате Word и одну или несколько таблиц в формате Excel. При этом Word-вирусы способны поражать Word-документы, а Excel-вирусы - Excel-таблицы, и все это возможно в пределах одного дискового файла. То же справедливо и для Office. Большинство известных вирусов для Word несовместимы с национальными (в том числе с русской) версиями Word, или наоборот - рассчитаны только на локализованные версии Word и не работают под английской версией. Однако вирус в документе все равно остается активным и может заражать другие компьютеры с установленной на них соответствующей версией Word. Вирусы для Word могут заражать компьютеры любого класса. Заражение возможно в том случае, если на данном компьютере установлен текстовый редактор, полностью совместимый с Microsoft Word версии 6 или 7 или выше (например, MS Word for Macintosh).

 

        То же справедливо для Excel и Office. Следует также отметить, что сложность форматов документов Word, таблиц Excel и особенно Office имеет следующую особенность: в файлах-документах и таблицах присутствуют "лишние" блоки данных, т.е. данные, которые никак не связаны с редактируемым текстом или таблицами, либо являются случайно оказавшимися там копиями прочих данных файла. Причиной возникновения таких блоков данных является кластерная организация данных в OLE2-документах и таблицах - даже если введен всего один символ текста, то под него выделяется один или даже несколько кластеров данных. При сохранении документов и таблиц в кластерах, не заполненных "полезными" данными, остается "мусор", который попадает в файл вместе с прочими данными. Количество "мусора" в файлах может быть уменьшено отменой пункта настройки Word/Excel "Allow Fast Save", однако это лишь уменьшает общее количество "мусора", но не убирает его полностью. Следствием этого является тот факт, что при редактировании документа его размер изменяется вне зависимости от производимых с ним действий - при добавлении нового текста размер файла может уменьшиться, а при удалении части текста - увеличиться.

 

       То же и с макро-вирусами: при заражении файла его размер может уменьшиться, увеличиться или остаться неизменным. Следует также отметить тот факт, что некоторые версии OLE2.DLL содержат небольшой недочет, в результате которого при работе с документами Word, Excel и особенно Office в блоки "мусора" могут попасть случайные данные с диска, включая конфиденциальные (удаленные файлы, каталоги и т.д.). В эти блоки могут попасть также команды вируса. В результате после лечения зараженных документов активный код вируса удаляется из файла, но в блоках "мусора" могут остаться часть его команд. Такие следы присутствия вируса иногда видимы при помощи текстовых редакторов и даже могут вызвать реакцию некоторых антивирусных программ. Однако эти остатки вируса совершенно безвредны: Word и Excel не обращают на них никакого внимания.

Алгоритм работы Excel макро-вирусов

            Методы размножения Excel-вирусов  в целом аналогичны методам  Word-вирусов. Различия заключаются  в командах копирования макросов (например, Sheets.Copy) и в отсутствии NORMAL.DOT - его функцию (в вирусном смысле) выполняют файлы в STARTUP-каталоге Excel. Следует отметить, что существует два возможных варианта расположения кода макро-вирусов в таблицах Excel. Подавляющее большинство таких вирусов записывают свой код в формате VBA (Visual Basic for Applications), однако существуют вирусы, хранящие свой код в старом формате Excel версии 4.0. Такие вирусы по своей сути ничем не отличаются от VBA-вирусов, за исключением отличий в формате расположения кодов вируса в таблицах Excel. Несмотря на то, что в новых версиях Excel (начиная с версии 5) используются более совершенные технологии, возможность исполнения макросов старых версий Excel была оставлена для поддержания совместимости. По этой причине все макросы, написанные в формате Excel 4, вполне работоспособны во всех последующих версиях, несмотря на то, что Microsoft не рекомендует использовать их и не включает необходимую документацию в комплект поставки Excel.

Алгоритм работы вирусов  для Access

            Поскольку Access является частью пакета Office Pro, то вирусы для Access представляют собой такие же макросы на языке Visual Basic, как и прочие вирусы, заражающие приложения Office. Однако в данном случае вместо авто-макросов в системе присутствуют автоматические скрипты, которые вызываются системой при различных событиях (например, Autoexec). Данные скрипты затем могут вызывать различные макропрограммы. Таким образом, при заражении баз данных Access вирусу необходимо заменить какой-либо авто-скрипт и скопировать в заражаемую базу свои макросы. Заражение скриптов без дополнительных макросов не представляется возможным, поскольку язык скриптов достаточно примитивен и не содержит необходимых для этого функций.

AmiPro-вирусы

            При работе с каким-либо документом редактор AmiPro создает два файла - непосредственно текст документа (с расширением имени SAM) и дополнительный файл, содержащий макросы документа и, возможно, прочую информацию (расширение имени - SMM). Формат обоих файлов достаточно прост - они представляют собой обычный текстовый файл, в котором как редактируемый текст, так и команды управления присутствуют в виде обычных текстовых строк. Документу можно поставить в соответствие какой-либо макрос из SMM-файла (команда AssignMacroToFile). Этот макрос является аналогом AutoOpen и AutoClose в MS Word и вызывается редактором AmiPro при открытии или закрытии файла. Видимо, в AmiPro отсутствует возможность помещать макросы в "общую" область, поэтому вирусы для AmiPro могут заразить систему только при открытии зараженного файла, но не при загрузке системы, как это происходит с MS-Word после заражения файла NORMAL.DOT. Как и MS Word, AmiPro позволяет переопределять системные макросы (например, SaveAs, Save) командой ChangeMenuAction. При вызове переопределенных функций (команд меню) управление получают зараженные макросы, т.е. код вируса.