Вредоносные программы и их классификация
К вредоносным программам относятся компьютерные вирусы и программные закладки.
Компьютерным вирусом называют автономно функционирующую программу, обладающую одновременно тремя свойствами:
способностью к включению своего кода в тела других файлов и системных областей памяти компьютера;
последующему самостоятельному выполнению;
самостоятельному распространению в компьютерных системах.
Программной закладкой называют внешнюю или внутреннюю по отношению к атакуемой компьютерной системе программу, обладающую определенными разрушительными функциями по отношению к этой системе.
Разрушительные функции могут быть следующими:
уничтожение или внесение изменений в функционирование программного обеспечения КС, уничтожение или изменение обрабатываемых в ней данных после выполнения некоторого условия или получения некоторого сообщения извне КС;
превышение полномочий пользователя с целью несанкционированного копирования конфиденциальной информации других пользователей КС или создание условий для такого копирования;
подмена отдельных функций подсистемы защиты КС или создание люков в ней для реализации угроз безопасности информации в КС (например, подмена средств шифрования путем эмуляции работы установленной в КС платы аппаратного шифрования);
перехват паролей пользователей КС с помощью имитации приглашения к его вводу или перехват всего ввода пользователя с клавиатуры;
перехват потока информации, передаваемой между объектами распределенной КС ;
распространение в распределенных КС с целью реализации той или иной угрозы безопасности информации .
Компьютерные вирусы классифицируются по следующим признакам.
1. По способу распространения в КС:
а) файловые вирусы, заражающие файлы одного или нескольких типов;
б) загрузочные вирусы, заражающие загрузочные сектора дисков;
в) комбинированные вирусы, способные заражать и файлы, и загрузочные сектора дисков.
2. По способу заражения других объектов КС:
а) резидентные вирусы, часть кода которых постоянно находится в оперативной памяти компьютера и заражает другие объекты КС;
б) нерезидентные вирусы, которые заражают другие объекты КС в момент открытия уже зараженных ими объектов.
3. По деструктивным возможностям:
а) безвредные вирусы, созданные в целях обучения, однако снижающие эффективность работы КС за счет потребления ее ресурсов (времени работы центрального процессора, оперативной и внешней памяти и др.);
б) неопасные вирусы, создающие различные звуковые и видеоэффекты;
в) опасные и очень опасные вирусы, вызывающие сбои в работе программного и (или) аппаратного обеспечения компьютера, потерю программ и данных, а потенциально – вывод из строя аппаратуры КС и нанесение вреда здоровью пользователей (с помощью, например, эффекта двадцать пятого кадра).
4. По особенностям реализуемого алгоритма:
а) вирусы-спутники, создающие для заражаемых файлов одноименные фалы с кодом вируса и переименовывающие исходные файлы (при открытии зараженного файла фактически открывается файл с кодом вируса, в котором после выполнения предусмотренных автором действий открывается исходный файл);
б) паразитические вирусы, которые обязательно изменяют содержимое заражаемых объектов;
в) вирусы-невидимки («стелс» - вирусы), в которых путем перехвата обращений операционной системы к зараженным объектам и возврата вместо них оригинальных незараженных данных скрывается факт присутствия вируса в КС (при собственном обращении к дисковой памяти вирусы-невидимки также используют нестандартные средства для обхода средств антивирусной защиты);
г) вирусы-призраки (полиморфные вирусы), каждая следующая копия которых в зараженных объектах отличается от предыдущих (не содержит одинаковых цепочек команд за счет применения шифрования на различных ключах базового кода вируса).
5. По наличию дополнительных возможностей:
а) по обработке атрибута «только чтение» заражаемых файлов;
б) сохранению времени последнего изменения зараженного файла;
в) обработке прерывания, вызванного неисправимой ошибкой устройства ввода-вывода (например, для подавления сообщения операционной системы об ошибке при попытке заражения объекта на защищенном от записи устройстве или объекта, доступ к которому по записи для текущего пользователя запрещен; вывод подобного сообщения может обнаружить присутствие вируса в КС);
г) распространению в КС не только при открытии уже зараженного объекта, но и при выполнении любой операции с ним.
Для отнесения конкретной программы к разряду программных закладок достаточно, чтобы данная программа обладала хотя бы одним из следующих свойств:
скрытие признаков своего присутствия в КС;
реализация самодублирования, перенос своего кода в не занимаемые ранее области оперативной или внешней памяти;
искажение кода других программ в оперативной памяти компьютера;
сохранение данных, размещенных в оперативной памяти, в других ее областях;
искажение, блокировка, подмена сохраняемых (передаваемых) данных, полученных в результате работы других программ или уже находящихся во внешней памяти.
В соответствии с методами внедрения программных закладок в КС и возможным местам их размещения в системе закладки могут быть разделены на следующие группы:
программные закладки, ассоциированные с BIOS;
закладки, ассоциированные с программами начальной загрузки и загрузки операционной системы;
закладки, ассоциированные с драйверами операционной системы и другими системными модулями;
закладки, ассоциированные с прикладным программным обеспечением общего назначения (например, архиваторами);
программные файлы, содержащие только код закладки и внедряемые с помощью пакетных командных файлов;
закладки, маскируемые под прикладное программное обеспечение общего назначения;
закладки, маскируемые под игровое и образовательное программное обеспечение (для облегчения их первоначального внедрения в КС).
Дата добавления: 2017-08-01; просмотров: 1105;