А. Белоус - Кибероружие и кибербезопасность. О сложных вещах простыми словами

Сетевые вирусы, которые ещё называют сетевыми червями, имеют своим основным местом «проживания» и функционирования локальную сеть. Сетевой вирус, попадая на компьютер пользователя, самостоятельно копирует себя и распространяется по другим компьютерам, входящим в сеть. Они используют для своего распространения электронную почту, системы обмена мгновенными сообщениями (например, ICQ), сети обмена данными, а также недостатки в конфигурации сети и ошибки в работе сетевых протоколов.

Еще одним классификационным признаком является вид операционной системы, так как любой вирус ориентирован на заражение файлов или выполнение несанкционированных действий в определенной операционной системе.

По алгоритмам работы выделяют резидентные вирусы и вирусы, использующие стелс-алгоритмы или полиморфичность.

По «особенностям алгоритмов» вирусы сложно четко классифицировать из-за их большого разнообразия, но специалисты по компьютерной безопасности обычно используют следующие основные градации (термины).

Простейшие вирусы — так называемые паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Здесь можно отметить их основную разновидность — вирусы-репликаторы, называемые червями, которые мгновенно распространяются по компьютерным сетям по команде злоумышленника, безошибочно вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.

Стелс-вирусы (stealth — невидимка). Это вирусы, которые умеют очень хорошо скрывать свое присутствие в атакуемой системе. Обнаружить их очень сложно, поскольку стелс-вирусы используют различные способы обеспечения «невидимости». Наиболее распространен следующий вариант: атакующий вирус состоит из двух частей. Одна из которых резидентная (постоянная) и постоянно находится в памяти компьютера. В этом случае если атакуемая операционная система обращается к зараженному файлу, то этот условный «резидент» перехватывает это обращение и просто удаляет из файла код вируса. Таким образом, приложение оказывается «чистым». Но после того как это конкретное приложение завершает свою работу, «резидент» снова «заражает» его.

Применение стелс-алгоритмов базируется на перехвате запросов ОС на чтение или запись зараженных объектов. При этом происходит временное лечение этих объектов, либо замена их незаряженными участками информации. Это позволяет вирусам скрыть себя в системе.

Стелс-вирусы обманывают антивирусные программы и в результате остаются незамеченными. Тем не менее, существует простой способ отключить механизм маскировки стелс-вирусов. Достаточно загрузить компьютер с не зараженной системной дискеты и сразу, не запуская других программ с диска компьютера (которые также могут оказаться зараженными), проверить компьютер антивирусной программой.

Полиморфные вирусы. Специфической Особенностью этих вирусов является умение изменять собственный код. Это сделано для того, чтобы ввести в заблуждение известные антивирусные программы, часто использующие так называемые «маски» (отрывки основного кода, типичные для таких вирусов). Полиморфные вирусы бывают двух типов. Первые просто шифруют собственное «тело» с непостоянным ключом и случайным набором команд дешифратора. Вторая группа сложнее. Поскольку вирусы, относящиеся к ней, могут «переписывать» свой код, то есть, по сути, они сами являются программистами.

Очень сложно обнаружить в системе вирусы, основанные на применении алгоритмов полиморфичности, поскольку такие вирусы не содержат ни одного постоянного участка кода, что достигается за счет шифрования кода вируса и модификации программы-расшифровщика. Как правило, два образца одного и того же вируса не будут иметь ни одного совпадения в коде.

Этот вид компьютерных вирусов представляется на сегодняшний день наиболее опасным. Объясним же, что это такое.

Полиморфные вирусы — вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.

Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.

Полиморфные вирусы — это вирусы с самомодифицирующими-ся расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы, вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса.

Троянский конь — это весьма распространенная злонамеренная программа, обычно содержащая в себе некоторую заранее заданную разрушающую функцию, которая активизируется только при наступлении некоторого условия срабатывания. Обычно такие программы всегда маскируются под какие-нибудь полезные утилиты.

В общем случае «троянские кони» представляют собой атакующие программы, реализующие помимо их основные функций, описанных в технической документации, и некоторые другие специфические функции, связанные с опасным нарушением общепринятых правил безопасности и деструктивными действиями. Из литературных источников и экспертных наблюдений отмечены случаи создания таких программ специально с целью облегчения процессов распространения вирусов. Конечно, периодически списки таких программ широко публикуются в зарубежной печати. Как следует из аналитической статей специалистов по безопасности компьютерных систем, которые занимаются этой непростой проблемы, обычно подобные паразитные программы маскируются под игровые или развлекательные программы и наносят вред (решают свои преступные задачи) под красивые картинки или музыку.

Очевидно, что если подобные компьютерные вирусы и «троянские кони» наносят ущерб посредством лавинообразного саморазмножения или явного саморазрушения, то основная функция вирусов типа «червь», действующих в компьютерных сетях, — взлом атакуемой системы, т. е. преодоление защиты с целью нарушения безопасности и целостности.