Главная страница
qrcode

ОС_лк12_Вирусы. Лекция 12 2016 Тема лекции Вирусы и борьба с ними учебные вопросы Вирусы. Основы вирусологии 1


Скачать 339.25 Kb.
НазваниеЛекция 12 2016 Тема лекции Вирусы и борьба с ними учебные вопросы Вирусы. Основы вирусологии 1
Дата19.11.2019
Размер339.25 Kb.
Формат файлаpptx
Имя файлаОС_лк12_Вирусы.pptx
ТипЛекция
#65239
Каталог

Л е к ц и я № 12

©2016

Тема лекции:

Вирусы и

борьба с ними

УЧЕБНЫЕ ВОПРОСЫ:

Вирусы. Основы вирусологии

1.

Защита компьютеров от вирусов

2.
Вирусы.
Основы вирусологии


Троянский конь

Логические бомбы

Вирусы

Репликаторы

Атакующее программное обеспечение

Программные закладки

1. Операционная система

2. Сетевое программное обеспечение

3. Прикладное программное обеспечение

4. Системы управления базами данных

Программно-математическое обеспечение ИС

Информацион-ная система

Несанкционированный доступ (НСД) – доступ к информации, осуществляемый с нарушением установленных в информационной системе правил разграничения доступа



Программные закладки (programs bug) – несанкционированно внедренная программа, осуществляющая угрозу информации

Программные закладки

(programm bug)

По характеру воздействия

По методу внедрения

По времени пребывания в памяти


Вирус (virus) – небольшая программа, которая вставляет саму себя в другие программы при выполнении.

Вирус – программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам (ГОСТ Р 51188-98)

ОБЯЗАТЕЛЬНЫМ (НЕОБХОДИМЫМ) СВОЙСТВОМ КОМПЬЮТЕРНОГО

ВИРУСА является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты.

При этом дубликаты сохраняют способность к дальнейшему распространению (Определение Е.Касперского)

Вредоносная программа – компьютерная программа или переносной код, предназначенный для реализации угроз информации, хранящейся в КС, либо для скрытого нецелевого использования ресурсов КС, либо иного воздействия, препятствующего нормальному функционированию КС.

История вирусов

1983 - американский ученый Фред Кохен (Fred Cohen) ввел термин “компьютерный вирус”

1940-е - John von Neumann заложил основы теории самораспространяющихся программ

нач.1970 - первый сетевой вирус Creeper в ArpaNet. Выдавал сообщение:

"I’M THE CREEPER: CATCH ME IF YOU CAN"



1986. Ральф Бюргер (Ralf Burger) открыл возможность создания программой своих копий путем добавления своего кода к выполняемым DOS-файлам формата COM. Опытный образец программы, получившей название Virdem , был продемонстрирован на форуме компьютерного андеграунда — Chaos Computer Club.

История вирусов

Elk Cloner (1981 год)

Платформа: MS-DOS

Заражаемые объекты: загрузочный сектор дискеты

Вредоносный функционал:
Переворачивание изображения на экране и вывод информационного сообщения о заражении вирусом. Распространялся на дискетах с пиратскими копиями игр.

Первые антивирусные утилиты (1984 год) были написаны Анди Хопкинсом (Andy Hopkins). Программы CHK4BOMB и BOMBSQAD позволяли производить анализ загрузочного модуля с помощью контекстного поиска и перехватывать операции записи и форматирования, выполняемые через BIOS. На то время они были очень эффективны и быстро завоевали популярность.

История вирусов

Brain (1984 год)

Платформа: IBM-совместимые компьютеры

Заражаемые объекты: вирус заражал загрузочные сектора, менял метку диска на «(c) Brain » и оставлял сообщение с именами, адресом и телефоном авторов. Отличительной чертой его была функция подмены в момент обращения к нему зараженного сектора незараженным оригиналом.

Вредоносный функционал:
В течение нескольких месяцев программа вышла за пределы Пакистана и к лету 1987 года эпидемия достигла глобальных масштабов. Ничего деструктивного вирус не делал.

1987 – «Lehigh» эпидемия в Лехайском

Университете.

Заражаемые объекты: COMMAND.COM

Вредоносный функционал:

Удаление всей информации на текущем диске!

История вирусов

Ноябрь 1988 – Червь Морриса

Платформа: VAX и Sun (ОС Unix)

Заражаемые объекты: COMMAND.COM

Вредоносный функционал:
Подбор паролей для проникновения в систему

Рассылка своих копий и запуск их на выполнение

Последствия:
Заражено от 6000 до 9000 компьютеров в США (центр NASA)

Убытки составили 8 млн часов потери доступа

Общая стоимость – 96 млн $

Роберт Моррис приговорен к 3 годам условно, 400 часам общественных работ и штрафу в 10 тыс. $



История вирусов

1988 – создание CERT


Dr.Solomon's Anti-Virus Toolkit (1988) — первая широко известная антивирусная программа. Созданная английским программистом Аланом Соломоном (Alan Solomon), она завоевала огромную популярность и просуществовала до 1998 года, когда компания Dr. Solomon была поглощена другим производителем антивирусов — американской Network Associates (NAI).



История вирусов

Aids Information Diskette (декабрь 1989) — первая эпидемия троянской программы. Ее автор разослал около 20000 дискет с вирусом по адресам в Европе, Африке и Австралии.

После запуска вредоносная программа автоматически внедрялась в систему, создавала свои собственные скрытые файлы и директории и модифицировала системные файлы. Через 90 загрузок операционной системы все файлы на диске становились недоступными, кроме одного — с сообщением, предлагавшим прислать $189 на указанный адрес.

Автор троянца, Джозеф Попп (Joseph Popp), был задержан в момент обналичивания чека и осужден за вымогательство.

Cascade (1989) — резидентный зашифрованный вирус, вызывающий характерный видеоэффект — осыпание букв на экране.



вирус Vacsina (1989) был закрыт при помощи первой версии антивируса --V , созданной Евгением Касперским, позже был переименован в AVPAntiViral Toolkit Pro .

История вирусов

DiskKiller (январь 1989 года — июль 1990 года) — этим вирусом была заражена дискета бесплатного приложения к английскому компьютерному журналу PC Today. В июле 1990 года подписчикам разошлось около 50000 экземпляров. Действие DiskKiller сводилось к уничтожению всей информации на жестком диске.

июль1992 года появился первый конструкторов вирусов VCL (Virus Creation Laboratory), представляющий собой графическую среду для разработки вирусов и различных троянских программ для Microsoft DOS. Начиная с этого момента, любой человек мог легко сформировать и написать вирус.



EICAR (European Institute for Computer Anti-virus Research) — в декабре 1990 года в Гамбурге (Германия) был основан Европейский институт компьютерных антивирусных исследований. .

История вирусов

OneHalf (июнь 1994) — очень сложный резидентный файлово-загрузочный полиморфный вирус, вызвавший глобальную эпидемию во всем мире.

OneHalf заражал загрузочные сектора дисков и COM / EXE-файлы. При каждой перезагрузке зараженного компьютера зашифровывались два последних незашифрованных ранее цилиндра жесткого диска. Это продолжалось до тех пор, пока весь винчестер не оказывался зашифрованным. Встроенная стелс-процедура позволяла вирусу при запросе зашифрованной информации производить расшифровку на лету — следовательно, пользователь долгое время пребывал в неведении. Единственным визуальным проявлением вируса было сообщение «Dis is one half. Press any key to continue...», выводившееся в момент достижения количеством зашифрованных цилиндров диска половины от их общего числа. Однако при первой же попытке лечения, после вылечивания загрузочных секторов диска, вся информация на винчестере становилась недоступной, без возможности восстановления.



История вирусов

В июне 1998 года был обнаружен вирус тайваньского происхождения Win95.CIH (Чернобыль (Chernobyl)), содержащий логическую бомбу на уничтожение всей информации на жестких дисках и порчу содержимого BIOS на некоторых материнских платах. Дата срабатывания программы (26 апреля) совпадала с датой аварии на Чернобыльской атомной электростанции.

Масштабность эпидемии выяснилась 26 апреля 1999 года, когда по различным оценкам пострадало около полумиллиона компьютеров по всему миру, а общий ущерб составил сотни миллионов долларов США.

BackOrifice , Backdoor.BO (август 1998) — первая известная утилита скрытого администрирования удаленных компьютеров. Единственное отличие этого трояна от обычных программ для удаленного управления — несанкционированная установка и запуск.



История вирусов

Сентябрь 2001– червь «Nimda»

Втечении 12 часов поразивший до 450000 компьютеров. 5 методов распространения:
Открывала локальные диски для удаленного администрирования
Октябрь 2001– червь «Klez».

Вредоносный функционал:


История вирусов

Август 2003 - червь "Lovesan/Blaster"

8 млн зараженных компьютеров!!!

Использовалась уязвимость в DCOM RPC

Осуществлял DDoS атаку на сервер обновлений MS Windows.

Январь 2004 – червь "Bagle"

Вредоносный функционал:
Февраль 2004 – червь "MyDoom"

Осуществил 12-дневную DoS-атаку на сервер SCO

Вредоносный функционал:


арестован американский школьник Джеффри Ли Парсон

Эволюция во времени

любопытство

преступление

1986

2008

Вирус

Разрушительный вирус

Макровирус

Открыто обсуждаемые Уязвимости

Черви массовой рассылки

Сетевые черви

Спам

Tracking

Cookies

Взрывной рост спама

Боты и бот-сети

Атаки DDoS

Взрывной рост спама

Платные исследования в области уязвимостей

Шпионское ПО

Рекламное ПО

Руткиты на подъеме

Взрыв шпионского и рекламного ПО

Фишинг

Вредоносное ПО

Взрывной рост фишинга

Эксплойты и угрозы «нуль-день»



Пути распространения вредоносов

1. Механизм распространения вирусов через flash-накопители

Имена каталогов могут носить различные имена, отвлекающие внимание, и иметь атрибуты "Скрытый" и/или "Системный":


Пути распространения вредоносов

2. Использование схожих имен для названия процесса либо имен похожих на системные

3. Инжектирование вредоносного кода в доверенное приложение с последующим перехватом управления ("explorer.exe");

4. Изменение в реестре или правка конфигурационных файлов для обеспечения автоматической загрузки, загрузка вредоноса перед запуском ОС.



Отключение автозапуска

1. Пуск – Выполнить ― "regedit " – OK.

2. Открыть

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies.

3. Создать новый раздел

4. Переименовать созданный раздел в Explorer

5. В этом разделе создать ключ NoDriveTypeAutoRun

Возможные значения ключа:

0x1 - отключить автозапуск на приводах неизвестных типов

0x4 - отключить автозапуск съемных устройств

0x40 - отключить автозапуск RAM-дисков


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]

"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun]

"NoDriveTypeAutoRun"=dword:000000b5

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000b5

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]

"*.*"=""



Правила именования вирусов

Behaviour.OS.Name[.Variant..]

Behaviour
- определяет поведение детектируемого объекта.
OS
- операционная система, под которой выполняется вредоносный или потенциально-нежелательный программный код.

Name
- имя детектируемого объекта, позволяет выделять семейства детектируемых объектов.

Variant- модификация детектируемого объекта. Может содержать как цифровое обозначение версии программы, так и буквенное обозначение, начиная с '.a': 'a' - 'z', 'aa' - 'zz', … Variant не является обязательным в имени и может отсутствовать
Например

Trojan.Win32.BHO.bd

P2P-Worm.Win32.Secorm

Virus.Win32.AutoRun.ah

Пример именования вредоносного объекта


Email-Worm.Win32.Bagle.a

Другие версии: .aa, .ah, .ai, .al, .an, .ao, .as, .at, .au, .ax, .ay, .b, .ba, .bb, .bi, .bj, .bn, .bo, .c, .cc, .ch, .cl, .cr, .cs, .cy, .d, .da, .dx, .e, .eb, .ef, .eg, .ek, .f, .fb, .fj, .fm, .fy, .gm, .gt, .i, .j, .k, .l, .m, .n, .p, .q, .r, .s, .t, .y, .z


Классификация вирусов

Malware

Viruses and Worms

Trojan programs

Malicious tools

Net Worms

E-mail Worms

Worms

IM-Worms

P2P-Worms

IRC-Worms

Virus

Backdoor

Trojan

Trojan-ArcBomb

Trojan-Downloader

Trojan-Dropper

Trojan-PSW

Trojan-DDoS

Trojan-Spy

Trojan-Ransom

Trojan-Notifier

Trojan-Proxy

Trojan-GarneThief

Trojan-IM

Trojan-Banker

Trojan-Mailfinder

Trojan-SMS

Trojan-Clicker

Rootkit

Exploit

Constructor

DoS

Spoofer

Hoax

SMS-Flooder

E-mail-Flooder

IM-Flooder

Flooder

VirTool

HackTool



Шкідливе програмне забезпечення (Malware)

Черв'яки

Комп’ютерні віруси

файлові

завантажувальні

макро-віруси

скриптові

Поштові (E-mail Worm)

Черв'яки в IRC каналах

(IRC-Worm)

Черв'яки, які використовують Інтернет

(IM-Worm)

Решта мережних черв'яків (Net-Worm)

Черв'яки для мереж обміну файлами

(P2P-Worm)

Троянські програми

Віддалене адміністрування (Backdoor)

Крадіжка паролів

(Trojan-PSW)

Інтернет-клікери

(Trojan-Clicker)

Доставка шкідливих програм (Trojan-Downloader)

Інсталятори шкідливих програм (Trojan-Dropper)

Троянські проксі-сервера (Trojan-Proxy)

Шпигунські програми (Trojan-Spy)

Логічні бомби в архівах (ArcBomb)

Ховання присутності в ОС (Rootkit)

Умовно-небезпечні програми (PUPs – Potentially Unwanted Programs)

Легальні потенційно небезпечні програми (RiskWare)

Показ інформації порнографічного характеру (PornWare)

Рекламне програмне забезпечення

(Adware)



Классификация вирусов

перейти в каталог файлов


связь с админом