ОС_лк12_Вирусы. Лекция 12 2016 Тема лекции Вирусы и борьба с ними учебные вопросы Вирусы. Основы вирусологии 1
 Скачать 339.25 Kb.
| Образовательный портал Как узнать результаты егэ Стихи про летний лагерь 3агадки для детей |
Л е к ц и я № 12 ©2016 Тема лекции: Вирусы и борьба с ними УЧЕБНЫЕ ВОПРОСЫ: Вирусы. Основы вирусологии 1. Защита компьютеров от вирусов 2. Троянский конь Логические бомбы Вирусы Репликаторы Атакующее программное обеспечение Программные закладки 1. Операционная система 2. Сетевое программное обеспечение 3. Прикладное программное обеспечение 4. Системы управления базами данных Программно-математическое обеспечение ИС Информацион-ная система Несанкционированный доступ (НСД) – доступ к информации, осуществляемый с нарушением установленных в информационной системе правил разграничения доступа Программные закладки (programs bug) – несанкционированно внедренная программа, осуществляющая угрозу информации Программные закладки (programm bug) По характеру воздействия По методу внедрения По времени пребывания в памяти Вирус (virus) – небольшая программа, которая вставляет саму себя в другие программы при выполнении. Вирус – программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам (ГОСТ Р 51188-98) ОБЯЗАТЕЛЬНЫМ (НЕОБХОДИМЫМ) СВОЙСТВОМ КОМПЬЮТЕРНОГО ВИРУСА является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению (Определение Е.Касперского) Вредоносная программа – компьютерная программа или переносной код, предназначенный для реализации угроз информации, хранящейся в КС, либо для скрытого нецелевого использования ресурсов КС, либо иного воздействия, препятствующего нормальному функционированию КС. История вирусов 1983 - американский ученый Фред Кохен (Fred Cohen) ввел термин “компьютерный вирус” 1940-е - John von Neumann заложил основы теории самораспространяющихся программ нач.1970 - первый сетевой вирус Creeper в ArpaNet. Выдавал сообщение: "I’M THE CREEPER: CATCH ME IF YOU CAN" 1986. Ральф Бюргер (Ralf Burger) открыл возможность создания программой своих копий путем добавления своего кода к выполняемым DOS-файлам формата COM. Опытный образец программы, получившей название Virdem , был продемонстрирован на форуме компьютерного андеграунда — Chaos Computer Club. История вирусов Elk Cloner (1981 год) Переворачивание изображения на экране и вывод информационного сообщения о заражении вирусом. Распространялся на дискетах с пиратскими копиями игр. Первые антивирусные утилиты (1984 год) были написаны Анди Хопкинсом (Andy Hopkins). Программы CHK4BOMB и BOMBSQAD позволяли производить анализ загрузочного модуля с помощью контекстного поиска и перехватывать операции записи и форматирования, выполняемые через BIOS. На то время они были очень эффективны и быстро завоевали популярность. История вирусов Brain (1984 год) В течение нескольких месяцев программа вышла за пределы Пакистана и к лету 1987 года эпидемия достигла глобальных масштабов. Ничего деструктивного вирус не делал. 1987 – «Lehigh» эпидемия в Лехайском Университете. Заражаемые объекты: COMMAND.COM Вредоносный функционал: Удаление всей информации на текущем диске! История вирусов Ноябрь 1988 – Червь Морриса Подбор паролей для проникновения в систему Рассылка своих копий и запуск их на выполнение Заражено от 6000 до 9000 компьютеров в США (центр NASA) Убытки составили 8 млн часов потери доступа Общая стоимость – 96 млн $ Роберт Моррис приговорен к 3 годам условно, 400 часам общественных работ и штрафу в 10 тыс. $ История вирусов 1988 – создание Dr.Solomon's Anti-Virus Toolkit (1988) — первая широко известная антивирусная программа. Созданная английским программистом Аланом Соломоном (Alan Solomon), она завоевала огромную популярность и просуществовала до 1998 года, когда компания Dr. Solomon была поглощена другим производителем антивирусов — американской Network Associates (NAI). История вирусов Aids Information Diskette (декабрь 1989) — первая эпидемия троянской программы. Ее автор разослал около 20000 дискет с вирусом по адресам в Европе, Африке и Австралии. После запуска вредоносная программа автоматически внедрялась в систему, создавала свои собственные скрытые файлы и директории и модифицировала системные файлы. Через 90 загрузок операционной системы все файлы на диске становились недоступными, кроме одного — с сообщением, предлагавшим прислать $189 на указанный адрес. Автор троянца, Джозеф Попп (Joseph Popp), был задержан в момент обналичивания чека и осужден за вымогательство. Cascade (1989) — резидентный зашифрованный вирус, вызывающий характерный видеоэффект — осыпание букв на экране. вирус Vacsina (1989) был закрыт при помощи первой версии антивируса --V , созданной Евгением Касперским, позже был переименован в AVP — AntiViral Toolkit Pro . История вирусов DiskKiller (январь 1989 года — июль 1990 года) — этим вирусом была заражена дискета бесплатного приложения к английскому компьютерному журналу PC Today. В июле 1990 года подписчикам разошлось около 50000 экземпляров. Действие DiskKiller сводилось к уничтожению всей информации на жестком диске. июль1992 года появился первый конструкторов вирусов VCL (Virus Creation Laboratory), представляющий собой графическую среду для разработки вирусов и различных троянских программ для Microsoft DOS. Начиная с этого момента, любой человек мог легко сформировать и написать вирус. EICAR (European Institute for Computer Anti-virus Research) — в декабре 1990 года в Гамбурге (Германия) был основан Европейский институт компьютерных антивирусных исследований. . История вирусов OneHalf (июнь 1994) — очень сложный резидентный файлово-загрузочный полиморфный вирус, вызвавший глобальную эпидемию во всем мире. OneHalf заражал загрузочные сектора дисков и COM / EXE-файлы. При каждой перезагрузке зараженного компьютера зашифровывались два последних незашифрованных ранее цилиндра жесткого диска. Это продолжалось до тех пор, пока весь винчестер не оказывался зашифрованным. Встроенная стелс-процедура позволяла вирусу при запросе зашифрованной информации производить расшифровку на лету — следовательно, пользователь долгое время пребывал в неведении. Единственным визуальным проявлением вируса было сообщение «Dis is one half. Press any key to continue...», выводившееся в момент достижения количеством зашифрованных цилиндров диска половины от их общего числа. Однако при первой же попытке лечения, после вылечивания загрузочных секторов диска, вся информация на винчестере становилась недоступной, без возможности восстановления. История вирусов В июне 1998 года был обнаружен вирус тайваньского происхождения Win95.CIH (Чернобыль (Chernobyl)), содержащий логическую бомбу на уничтожение всей информации на жестких дисках и порчу содержимого BIOS на некоторых материнских платах. Дата срабатывания программы (26 апреля) совпадала с датой аварии на Чернобыльской атомной электростанции. Масштабность эпидемии выяснилась 26 апреля 1999 года, когда по различным оценкам пострадало около полумиллиона компьютеров по всему миру, а общий ущерб составил сотни миллионов долларов США. BackOrifice , Backdoor.BO (август 1998) — первая известная утилита скрытого администрирования удаленных компьютеров. Единственное отличие этого трояна от обычных программ для удаленного управления — несанкционированная установка и запуск. История вирусов Сентябрь 2001– червь «Nimda» Втечении 12 часов поразивший до 450000 компьютеров. 5 методов распространения: Октябрь 2001– червь «Klez». Вредоносный функционал: История вирусов Август 2003 - червь "Lovesan/Blaster" 8 млн зараженных компьютеров!!! Использовалась уязвимость в DCOM RPC Осуществлял DDoS атаку на сервер обновлений MS Windows. Январь 2004 – червь "Bagle" Вредоносный функционал: Осуществил 12-дневную DoS-атаку на сервер SCO Вредоносный функционал: арестован американский школьник Джеффри Ли Парсон Эволюция во времени любопытство преступление 1986 2008 Вирус Разрушительный вирус Макровирус Открыто обсуждаемые Уязвимости Черви массовой рассылки Сетевые черви Спам Tracking Cookies Взрывной рост спама Боты и бот-сети Атаки DDoS Взрывной рост спама Платные исследования в области уязвимостей Шпионское ПО Рекламное ПО Руткиты на подъеме Взрыв шпионского и рекламного ПО Фишинг Вредоносное ПО Взрывной рост фишинга Эксплойты и угрозы «нуль-день» Пути распространения вредоносов 1. Механизм распространения вирусов через flash-накопители Имена каталогов могут носить различные имена, отвлекающие внимание, и иметь атрибуты "Скрытый" и/или "Системный": Пути распространения вредоносов 2. Использование схожих имен для названия процесса либо имен похожих на системные 3. Инжектирование вредоносного кода в доверенное приложение с последующим перехватом управления ("explorer.exe"); 4. Изменение в реестре или правка конфигурационных файлов для обеспечения автоматической загрузки, загрузка вредоноса перед запуском ОС. Отключение автозапуска 1. Пуск – Выполнить ― "regedit " – OK. 2. Открыть HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies. 3. Создать новый раздел 4. Переименовать созданный раздел в Explorer 5. В этом разделе создать ключ NoDriveTypeAutoRun Возможные значения ключа: 0x1 - отключить автозапуск на приводах неизвестных типов 0x4 - отключить автозапуск съемных устройств 0x40 - отключить автозапуск RAM-дисков Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom] "AutoRun"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun] "NoDriveTypeAutoRun"=dword:000000b5 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun"=dword:000000b5 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files] "*.*"="" Правила именования вирусов Behaviour.OS.Name[.Variant..] Например Trojan.Win32.BHO.bd P2P-Worm.Win32.Secorm Virus.Win32.AutoRun.ah Пример именования вредоносного объектаEmail-Worm.Win32.Bagle.a Другие версии: .aa, .ah, .ai, .al, .an, .ao, .as, .at, .au, .ax, .ay, .b, .ba, .bb, .bi, .bj, .bn, .bo, .c, .cc, .ch, .cl, .cr, .cs, .cy, .d, .da, .dx, .e, .eb, .ef, .eg, .ek, .f, .fb, .fj, .fm, .fy, .gm, .gt, .i, .j, .k, .l, .m, .n, .p, .q, .r, .s, .t, .y, .z Классификация вирусов Malware Viruses and Worms Trojan programs Malicious tools Net Worms E-mail Worms Worms IM-Worms P2P-Worms IRC-Worms Virus Backdoor Trojan Trojan-ArcBomb Trojan-Downloader Trojan-Dropper Trojan-PSW Trojan-DDoS Trojan-Spy Trojan-Ransom Trojan-Notifier Trojan-Proxy Trojan-GarneThief Trojan-IM Trojan-Banker Trojan-Mailfinder Trojan-SMS Trojan-Clicker Rootkit Exploit Constructor DoS Spoofer Hoax SMS-Flooder E-mail-Flooder IM-Flooder Flooder VirTool HackTool Шкідливе програмне забезпечення (Malware) Черв'яки Комп’ютерні віруси файлові завантажувальні макро-віруси скриптові Поштові (E-mail Worm) Черв'яки в IRC каналах (IRC-Worm) Черв'яки, які використовують Інтернет (IM-Worm) Решта мережних черв'яків (Net-Worm) Черв'яки для мереж обміну файлами (P2P-Worm) Троянські програми Віддалене адміністрування (Backdoor) Крадіжка паролів (Trojan-PSW) Інтернет-клікери (Trojan-Clicker) Доставка шкідливих програм (Trojan-Downloader) Інсталятори шкідливих програм (Trojan-Dropper) Троянські проксі-сервера (Trojan-Proxy) Шпигунські програми (Trojan-Spy) Логічні бомби в архівах (ArcBomb) Ховання присутності в ОС (Rootkit) Умовно-небезпечні програми (PUPs – Potentially Unwanted Programs) Легальні потенційно небезпечні програми (RiskWare) Показ інформації порнографічного характеру (PornWare) Рекламне програмне забезпечення (Adware) Классификация вирусов  перейти в каталог файлов | Образовательный портал Как узнать результаты егэ Стихи про летний лагерь 3агадки для детей |