Реферат Компютърни вируси и борбата с тях - Банка с резюмета, есета, доклади, курсови работи и
И ето списък с безусловно опасни типове файлове:
| asx | com | инф | msi |
| бас | кап | инс | pif |
| прилеп | crt | js | рег |
| cmd | екз | магистър | vbs |
В интерес на истината списъкът с потенциални "носители на вируси" включва повече от дузина видове файлове. Но те са по-често срещани от други.
2.2.8 "Троянски коне", софтуерни отметки и мрежови червеи.
Троянският кон е програма, която съдържа някаква разрушителна функция, която се активира, когато възникне определено условие за задействане. Обикновено такива програми са маскирани като някои полезни помощни програми. Вирусите могат да пренасят троянски коне или да "троянизират" други програми - да въвеждат деструктивни функции в тях.
„Троянски коне“ са програми, които изпълняват, в допълнение към функциите, описани в документацията, някои други функции, свързани с пробиви в сигурността и разрушителни действия. Забелязани са случаи на създаване на такива програми с цел улесняване на разпространението на вируси. Списъци с такива програми са широко публикувани в чуждестранната преса. Те обикновено се маскират като игри или развлекателни програми и причиняват вреда с красиви снимки или музика.
Софтуерните отметки също съдържат някои функции, които увреждат самолета, но тази функция, напротив, се опитва да бъде възможно най-незабележима, т.к. колкото по-дълго програмата не предизвиква подозрение, толкова по-дълго отметката ще може да работи.
Като пример, ето възможните разрушителни функции, изпълнявани от "троянски коне" и програмни раздели:
2. Прихващане и предаване на информация. Като пример можетепредоставят реализация на отметка за маркиране на пароли, въведени на клавиатурата.
3. Целенасочена модификация на кода на програмата, представляваща интерес за нарушителя. По правило това са програми, които изпълняват функции за сигурност и защита.
Докато вирусите и троянските коне нанасят щети чрез саморазмножаване или директно унищожаване, основната функция на вирусите от типа червей, работещи в компютърни мрежи, е да хакнат атакуваната система, т.е. нарушаване на сигурността за компрометиране на сигурността и целостта.
При повече от 80% от компютърните престъпления, разследвани от ФБР, "кракерите" проникват в атакуваната система през глобалния интернет. Когато такъв опит е успешен, бъдещето на компания, чието изграждане отне години, може да бъде застрашено за секунди.
Този процес може да бъде автоматизиран от вирус, наречен мрежов червей.
Червеите са вируси, които се разпространяват в глобалните мрежи, заразявайки цели системи, а не отделни програми. Това е най-опасният вид вирус, тъй като обект на атака в този случай са информационни системи от национален мащаб. С навлизането на глобалния интернет този вид пробив в сигурността представлява най-голямата заплаха, тъй като всеки от 80-те милиона компютъра, свързани към тази мрежа, може да бъде изложен на него по всяко време.
Троянски класове:
Backdoor - троянски помощни програми за отдалечено администриране
Троянските коне от този клас са помощни програми за отдалечено администриране на компютри в мрежа. По своята функционалност те в много отношения напомнят различни административни системи, разработени и разпространявани от производителите на софтуерни продукти.
По този начин троянски коне от този типса един от най-опасните видове злонамерен софтуер, тъй като съдържат възможността за голямо разнообразие от злонамерени дейности, присъщи на други видове троянски коне.
Отделно трябва да се отбележи група от задни врати, които могат да се разпространяват в мрежата и да проникват в други компютри, както правят компютърните червеи. Това, което отличава такива "троянски коне" от червеите е фактът, че те не се разпространяват в мрежата спонтанно (както червеите), а само по специална команда на "главния", който управлява това копие на троянската програма.
Trojan-PSW - кражба на пароли
Trojan-AOL е семейство троянски коне, които "крадат" кодове за достъп до мрежата AOL (America Online). Те са обособени в специална група поради големия си брой.
Нападателят може да има следните цели за такива действия:
организиране на DoS атака (Denial of Service) на произволен сървър;
привличане на потенциални жертви за заразяване с вируси или троянски коне.
Trojan-Downloader - Доставка на друг зловреден софтуер
Информацията за имената и местоположението на изтеглените програми се съдържа в кода и данните на троянския кон или се изтегля от троянския кон от „контролиращ“ интернет ресурс (обикновено от уеб страница).
Trojan-Dropper — инсталатори за друг зловреден софтуер
Троянските коне от този клас са написани с цел тайно инсталиране на други програми и почти винаги се използват за „подхлъзване“ на вируси или други троянски коне на компютъра жертва.
Тези троянски коне обикновено изпускат други файлове истартирайте ги за изпълнение.
Обикновено структурата на такива програми е следната:
| Основен код |
| Файл 1 |
| Файл 2 |
| … |
„Основният код“ извлича останалите компоненти от своя файл (файл 1, файл 2, .), записва ги на диска и ги отваря (стартира ги за изпълнение).
Обикновено един (или повече) от компонентите са троянски коне и поне един компонент е "трик": програма-шега, игра, картина или нещо подобно. „Номерът“ е да се отвлече вниманието на потребителя и/или да се демонстрира, че изпълнимият файл всъщност прави нещо „полезно“, докато троянският компонент се инсталира в системата.
В резултат на използването на програми от този клас хакерите постигат две цели:
скрито инсталиране на троянски коне и/или вируси;
защита от антивирусни програми, тъй като не всички от тях могат да проверяват всички компоненти във файлове от този тип.
Trojan-Proxy - Троянски прокси сървъри
Семейство троянски коне, които тайно предоставят анонимен достъп до различни интернет ресурси. Обикновено се използва за изпращане на спам.
Trojan-Spy - шпионски софтуер
Тези троянски коне шпионират по електронен път потребителя на заразения компютър: информацията, въведена от клавиатурата, екранните снимки, списъкът с активни приложения и действията на потребителя с тях се записват във файл на диска и периодично се изпращат на атакуващия.
Троянски коне от този тип често се използват за кражба на информация от потребители на различни онлайн разплащателни и банкови системи.
ArcBomb - "бомби" в архивите
Те са архиви, специално проектирани по такъв начин, чепричиняват необичайно поведение на архиваторите при опит за разархивиране на данни - замръзване или значително забавяне на компютъра или запълване на диска с голямо количество "празни" данни. Архивните бомби са особено опасни за файловите и пощенските сървъри, ако сървърът използва някакъв вид автоматична обработка на входящата информация - архивна бомба може просто да спре сървъра.
Има три вида такива "бомби": неправилна заглавка на архива, дублирани данни и идентични файлове в архива.
Неправилна заглавка на архив или повредени данни в архива може да доведе до повреда на конкретен архиватор или алгоритъм за разархивиране при анализиране на съдържанието на архива.
Голям файл, съдържащ повтарящи се данни, ви позволява да архивирате такъв файл в малък архив (например 5 GB данни са пакетирани в 200 KB RAR или 480 KB ZIP архив).
Огромният брой идентични файлове в архива също практически не влияе на размера на архива при използване на специални методи (например има методи за опаковане на 10100 идентични файла в 30KB RAR или 230KB ZIP архив).
Trojan-Notifier - известие за успешна атака
Тези троянски коне се използват в многокомпонентни троянски комплекти, за да уведомят своя „собственик“ за успешното инсталиране на троянски компоненти в атакуваната система.
Мрежови червеи
Основната разлика между видовете червеи е как се разпространява червеят – как предава своето копие на отдалечени компютри. Други признаци на разлики в SC са методите за стартиране на копие на червея на заразения компютър, методите за въвеждане в системата, както и полиморфизъм, "стелт" и други характеристики,присъщи на други видове зловреден софтуер (вируси и троянски коне).
Имейл-червей
Пощенските червеи използват различни методи за изпращане на заразени съобщения. Най-често:
директна връзка към SMTP сървъра, използвайки пощенската библиотека, вградена в кода на червея;
използване на услуги на MS Outlook;
използвайки функциите на Windows MAPI.
IM-Worm - червеи, които използват интернет пейджъри
Известните компютърни червеи от този тип използват единствения метод за разпространение - изпращане на съобщения, съдържащи URL към файл, разположен на уеб сървър, до открити контакти (от списъка с контакти). Този прием почти напълно повтаря подобен метод на разпространение, използван от пощенските червеи.
IRC-червей - червеи в IRC канали
Този тип червей, подобно на пощенските червеи, има два начина за разпространение на червея чрез IRC канали, повтаряйки методите, описани по-горе. Първият е да изпратите URL към копие на червея. Вторият начин е да изпратите заразен файл до мрежов потребител. В този случай атакуваният потребител трябва да потвърди получаването на файла, след което да го запише на диска и да го отвори (изпълни за изпълнение).
Net-Worm - други мрежови червеи
Има и други начини за заразяване на отдалечени компютри, например:
проникване на червея в компютъра чрез уязвимости в операционни системи и приложения;
проникване в мрежови ресурси за обществено ползване;
паразитиране върху други злонамерени програми.
Първият начин е, че червеят търси отдалечени компютри и се копира в директории, които са отворени за четене и запис (ако има такива).В същото време червеите от този тип или изброяват наличните мрежови директории, като използват функциите на операционната система и/или произволно търсят компютри в глобалната мрежа, свързват се с тях и се опитват да отворят дисковете им за пълен достъп.
За да проникнат по втория начин, червеите търсят в мрежата компютри, работещи със софтуер, съдържащ критични уязвимости. За да зарази уязвими компютри, червеят изпраща специално създаден мрежов пакет или заявка (уязвимост експлойт), в резултат на което кодът (или част от кода) на червея прониква в компютъра жертва. Ако мрежовият пакет съдържа само част от кода на червея, той изтегля главния файл и го изпълнява.
Има мрежови червеи, които паразитират върху други червеи и/или троянски коне за отдалечено администриране (бекдори). Тези червеи се възползват от факта, че много задни вратички позволяват специфична команда да изтегли посочения файл и да го стартира на локалния диск. Същото е възможно с някои червеи, съдържащи задни вратички. За да заразят отдалечени компютри, тези червеи търсят други компютри в мрежата и им изпращат команди за изтегляне и стартиране на тяхното копие. Ако атакуваният компютър вече е заразен с "подходящ" троянски кон, червеят прониква в него и активира неговото копие. Трябва да се отбележи, че много компютърни червеи използват повече от един метод за разпространение на своите копия в мрежи, като използват два или повече метода за атака на отдалечени компютри.
P2P-Worm - червеи за мрежи за споделяне на файлове
Механизмът на работа на повечето от тези червеи е доста прост - за да проникне в P2P мрежа, червеят просто трябва да се копира в директория за обмен на файлове, която обикновено се намира на локалната машина. Всички други работи поP2P мрежата поема разпространението на вируса - когато търси файлове в мрежата, тя ще информира отдалечените потребители за този файл и ще предостави всички необходими услуги за изтегляне на файла от заразения компютър.
Има по-сложни P2P червеи, които имитират мрежовия протокол на конкретна система за споделяне на файлове и отговарят положително на заявки за търсене - докато червеят предлага свое копие за изтегляне.
Друг зловреден софтуер
Други злонамерени програми включват различни програми, които не представляват пряка заплаха за компютъра, на който се изпълняват, но са предназначени да създават други вируси или троянски коне, да организират DoS атаки на отдалечени сървъри, да хакват други компютри и т.н.
DoS, DDoS - мрежови атаки
Програмите от този тип осъществяват атаки към отдалечени сървъри, като изпращат множество заявки към тях, което води до отказ на услуга, ако ресурсите на атакувания сървър са недостатъчни за обработка на всички входящи заявки (DoS = Denial of Service).
DoS програмите реализират атака от един компютър