Компьютерные вирусы и методы борьбы с ними

Автор работы: Пользователь скрыл имя, 18 Октября 2012 в 14:35, реферат

Краткое описание

Мы живем на стыке двух тысячелетий, когда человечество вступило в эпоху новой научно-технической революции.
К концу двадцатого века люди овладели многими тайнами превращения вещества и энергии и сумели использовать эти знания для улучшения своей жизни. Но кроме вещества и энергии в жизни человека огромную роль играет еще одна составляющая - информация. Это самые разнообразные сведения, сообщения, известия, знания, умения.

Содержание работы

Введение
3
1.История возникновения компьютерных вирусов
4
2.Компьютерные вирусы
4
2.1.Свойства компьютерных вирусов
4
2.2.Классификация вирусов
6
2.2.1.Вирусы-программы (W32)
6
2.2.2.Загрузочные вирусы
7
2.2.3.Файловые вирусы
8
2.2.4.Полиморфные вирусы
10
2.2.5.Стелс-вирусы
11
2.2.6.Макровирусы
11
2.2.7. Скрипт-вирусы
12
2.2.8. «Троянские программы», программные закладки и сетевые черви.
14
Классы троянских программ
15
Сетевые черви
19
Прочие вредоносные программы
21
3.Пути проникновения вирусов в компьютер и механизм распределения вирусных программ
23
3.1.Признаки появления вирусов
23
3.2.Что делать при наличии признаков заражения
24
4. Антивирусные программы
25
4.1. Антивирус Касперского (KAV)
25
4.2.Dr.Web
27
4.3.Norton Antivirus
29

Заключение
32
Список используемых источников
33

Содержимое работы - 1 файл

referat.doc

— 805.50 Кб (Скачать файл)

Trojan-AOL — семейство  троянских программ, «ворующих»  коды доступа к сети AOL (America Online). Выделены в особую группу по  причине своей многочисленности.

Trojan-Clicker — интернет-кликеры

Семейство троянских  программ, основная функция которых  — организация несанкционированных  обращений к интернет-ресурсам (обычно к веб-страницам). Достигается это  либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows).

У злоумышленника могут быть следующие цели для  подобных действий:

  • увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы;
  • организация DoS-атаки (Denial of Service) на какой-либо сервер;
  • привлечение потенциальных жертв для заражения вирусами или троянскими программами.

Trojan-Downloader —  доставка прочих вредоносных  программ

Троянские программы  этого класса предназначены для  загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из Интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.

Информация  об именах и расположении загружаемых  программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» Интернет-ресурса (обычно с веб-страницы).

Trojan-Dropper — инсталляторы  прочих вредоносных программ

Троянские программы  этого класса написаны в целях  скрытной инсталляции других программ и практически всегда используются для «подсовывания» на компьютер-жертву вирусов или других троянских  программ.

Данные троянцы  обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.

Обычно структура  таких программ следующая:

Основной код

Файл 1

Файл 2


 

«Основной код» выделяет из своего файла остальные  компоненты (файл 1, файл 2, ...), записывает их на диск и открывает их (запускает  на выполнение).

Обычно один (или более) компонентов являются троянскими программами, и как минимум один компонент является «обманкой»: программой-шуткой, игрой, картинкой или чем-то подобным. «Обманка» должна отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то «полезное», в то время как троянский компонент инсталлируется в систему.

В результате использования  программ данного класса хакеры достигают  двух целей:

  • скрытная инсталляция троянских программ и/или вирусов;
  • защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.

Trojan-Proxy — троянские  прокси-сервера

Семейство троянских  программ, скрытно осуществляющих анонимный  доступ к различным Интернет-ресурсам. Обычно используются для рассылки спама.

Trojan-Spy — шпионские  программы

Данные троянцы  осуществляют электронный шпионаж  за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.

Троянские программы  этого типа часто используются для  кражи информации пользователей  различных систем онлайновых платежей и банковских систем.

ArcBomb — «бомбы»  в архивах

Представляют  собой архивы, специально оформленные  таким образом, чтобы вызывать нештатное  поведение архиваторов при попытке  разархивировать данные — зависание  или существенное замедление работы компьютера или заполнение диска  большим количеством «пустых» данных. Особенно опасны «архивные бомбы» для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации — «архивная бомба» может просто остановить работу сервера.

Встречаются три  типа подобных «бомб»: некорректный заголовок архива, повторяющиеся данные и одинаковые файлы в архиве.

Некорректный  заголовок архива или испорченные  данные в архиве могут привести к  сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива.

Значительных  размеров файл, содержащий повторяющиеся  данные, позволяет заархивировать такой  файл в архив небольшого размера (например, 5ГБ данных упаковываются в 200КБ RAR или в 480КБ ZIP-архив).

Огромное количество одинаковых файлов в архиве также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10100 одинаковых файлов в 30КБ RAR или 230КБ ZIP-архив).

Trojan-Notifier — оповещение  об успешной атаке

Троянцы данного  типа предназначены для сообщения своему «хозяину» о зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением.

Данные троянские  программы используются в многокомпонентных  троянских наборах для извещения  своего «хозяина» об успешной инсталляции  троянских компонент в атакуемую систему.

  • Сетевые черви

Основным признаком, по которому типы червей различаются  между собой, является способ распространения  червя — каким способом он передает свою копию на удаленные компьютеры. Другими признаками различия СЧ между собой являются способы запуска копии червя на заражаемом компьютере, методы внедрения в систему, а также полиморфизм, «стелс» и прочие характеристики, присущие и другим типам вредоносного программного обеспечения (вирусам и троянским программам).

Email-Worm — почтовые черви

К данной категории  червей относятся те из них, которые  для своего распространения используют электронную почту. При этом червь  отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте). В первом случае код червя активизируется при открытии (запуске) зараженного вложения, во втором — при открытии ссылки на зараженный файл. В обоих случаях эффект одинаков — активизируется код червя.

Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:

  • прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
  • использование сервисов MS Outlook;
  • использование функций Windows MAPI.

Различные методы используются почтовыми червями  для поиска почтовых адресов, на которые  будут рассылаться зараженные письма. Почтовые черви:

  • рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
  • считывает адреса из адресной базы WAB;
  • сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
  • отсылают себя во всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

Многие черви  используют сразу несколько из перечисленных  методов. Встречаются также и  другие способы поиска адресов электронной почты.

IM-Worm — черви, использующие интернет-пейджеры

Известные компьютерные черви данного типа используют единственный способ распространения — рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенные на каком-либо веб-сервере. Данные прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.

IRC-Worm — черви в IRC-каналах

У данного типа червей, как и у почтовых червей, существуют два способа распространения  червя по IRC-каналам, повторяющие  способы, описанные выше. Первый заключается  в отсылке URL-ссылки на копию червя. Второй способ — отсылка зараженного файла какому-либо пользователю сети. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).

Net-Worm — прочие сетевые черви

Существуют  прочие способы заражения удаленных  компьютеров, например:

  • копирование червя на сетевые ресурсы;
  • проникновение червя на компьютер через уязвимости в операционных системах и приложениях;
  • проникновение в сетевые ресурсы публичного использования;
  • паразитирование на других вредоносных программах.

Первый способ заключается в том, что червь  ищет удаленные компьютеры и копирует себя в каталоги, открытые на чтение и запись (если такие обнаружены). При этом черви данного типа или перебирают доступные сетевые каталоги, используя функции операционной системы, и/или случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ.

Для проникновения  вторым способом черви ищут в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения  уязвимых компьютеров червь посылает специально оформленный сетевой  пакет или запрос (эксплойт уязвимости), в результате чего код (или часть кода) червя проникает на компьютер-жертву. Если сетевой пакет содержит только часть кода червя, он затем скачивает основной файл и запускает его на исполнение.

Отдельную категорию  составляют черви, использующие для своего распространения веб- и FTP-сервера. Заражение происходит в два этапа. Сначала червь проникает в компьютер-сервер и необходимым образом модифицирует служебные файлы сервера (например, статические веб-страницы). Затем червь «ждет» посетителей, которые запрашивают информацию с зараженного сервера (например, открывают зараженную веб-страницу), и таким образом проникает на другие компьютеры в сети.

Существуют  сетевые черви, паразитирующие на других червях и/или троянских программах уделенного администрирования (бэкдорах). Данные черви используют тот факт, что многие бэкдоры позволяют по определенной команде скачивать указанный файл и запускать его на локальном диске. То же возможно с некоторыми червями, содержащими бэкдор-процедуры. Для заражения удаленных компьютеров данные черви ищут другие компьютеры в сети и посылают на них команду скачивания и запуска своей копии. Если атакуемый компьютер оказывается уже зараженным «подходящей» троянской программой, червь проникает в него и активизирует свою копию. Следует отметить, что многие компьютерные черви используют более одного способа распространения своих копий по сетям, использующие два и более методов атаки удаленных компьютеров.

P2P-Worm — черви для файлообменных сетей

Механизм работы большинства подобных червей достаточно прост — для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который  обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя — при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера.

Существуют  более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно — при этом червь предлагает для скачивания свою копию.

  • Прочие вредоносные программы

К прочим вредоносным  относятся разнообразные программы, которые не представляют угрозы непосредственно компьютеру, на котором исполняются, а разработаны для создания других вирусов или троянских программ, организации DoS-атак на удаленные сервера, взлома других компьютеров и т. п.

DoS, DDoS — сетевые атаки

Программы данного  типа реализуют атаки на удаленные  сервера, посылая на них многочисленные запросы, что приводит к отказу в  обслуживании, если ресурсы атакуемого сервера недостаточны для обработки всех поступающих запросов (DoS = Denial of Service).

DoS-программы  реализуют атаку с одного компьютера  с ведома пользователя. DDoS-программы  (Distributed DoS) реализуют распределенные  атаки с разных компьютеров,  причем без ведома пользователя зараженного компьютера. Для этого DDoS-программа засылается любым способом на компьютер «жертв-посредников» и после запуска в зависимости от текущей даты или по команде от «хозяина» начинает DoS-атаку на указанный сервер в сети.

Информация о работе Компьютерные вирусы и методы борьбы с ними