| Назва: | Особливості алгоритмів роботи вірусів |
| Тип: | Реферати |
| Мова: | Українська |
| Розмiр: | 10,28 KB |
| Скачувань: | 85 |
• Викрадачі паролів (Trojan-PSW) - трояни, також призначені для одержання паролів, але не використають спостереження за клавіатурою. Звичайно в таких троянах реалізовані способи добування паролів з файлів, у яких ці паролі зберігаються різними додатками;
• Утиліти вилученого керування (Backdoor) - трояни, що забезпечують повний контроль над комп'ютером користувача. Існують легальні утиліти такої ж властивості, але вони відрізняються тим, що повідомляють про своє призначення при установці або ж постачені документацією, у якій описані їхні функції. Троянські утиліти вилученого керування, навпроти, ніяк не видають свого реального призначення, так що користувач і не підозрює про те, що його комп'ютер підконтрольний зловмисникові. Найбільш популярна утиліта вилученого керування - Back Orifice;
• Анонімні smtp-сервера й проксі (Trojan-Proxy) - трояни, що виконують функції поштових серверів або проксі й, що використаються в першому випадку для спам-розссилок, а в другому для замітання слідів хакерами
• Модифікатори настроювань браузера (Trojan-Cliker) - трояни, які міняють стартову сторінку в браузері, сторінку пошуку або ще які-небудь настроювання, для організації несанкціонованих звертань до Інтернет-ресурсів;
• Інсталятори інших шкідливих програм (Trojan-Dropper) - трояни, що представляють можливість зловмисникові робити сховану установку інших програм;
• Завантажники шкідливих програм (Trojan Downloader) - трояни, призначені для завантаження на комп'ютер-жертву нових версій шкідливих програм, або рекламних систем;
• Повідомлення про успішну атаку (Trojan-Notifier) - трояни даного типу призначені для повідомлення своєго "хазяїна" про заражений комп'ютер;
• "Бомби" в архівах (ARCBomb) - трояни, що представляють собою архіви, спеціально оформлені таким чином, щоб викликати позаштатне поводження архіваторів при спробі раз архівувати дані - зависання або істотного повыльнення роботи комп'ютера, заповнення диска кількістю "порожніх" даних;
• Логічні бомби - частіше не стільки трояни, скільки троянські складових черв’яків і вірусів, суть роботи яких полягає в тому, щоб за певних умов (дата, час доби, дії користувача, команда ззовні) зробити певну дію: наприклад, знищення даних;
• Утиліти дозвона - порівняно новий тип троянів, що представляє собою утиліти dial-up доступу в Інтернет через платні поштові служби. Такі трояни прописуються в системі як утиліти дозвона за замовчуванням і спричиняють великі рахунки за користування Інтернетом.
Процес розмноження вірусів може бути умовно розділений на кілька стадій:
1. Активація вірусу;
2. Пошук об'єктів для зараження;
3. Підготовка вірусних копій;
4. Впровадження вірусних копій.
Так само як для вірусів, життєвий цикл черв’яків можна розділити на певні стадії:
1. Проникнення в систему;
2. Активація;
3. Пошук "жертв";
4. Підготовка копій;
5. Поширення копій;
У троянів внаслідок відсутності функцій розмноження й поширення, їхній життєвий цикл менше ніж у вірусів - усього три стадії:
1. Проникнення на комп'ютер
2. Активація
3. Виконання закладених функцій
Це, саме собою, не означає малого часу життя троянів. Навпроти, троян може непомітно перебувати в пам'яті комп'ютера тривалий час, ніяк не видаючи своєї присутності, доти, поки не виконає свою шкідливу функцію буде виявлений антивірусними засобами.
Існує твердження - будь-яку шкідливу програму користувач може перемогти самостійно, тобто не прибігаючи до використання антивірусних програм. Це дійсно так, за успішними дії будь-якої антивірусної програми коштує праця вірусних аналітиків, які по суті справи вручну розбираються з алгоритмами роботи нових вірусів, виділяють сигнатури, описують алгоритм роботи вірусу.
Сигнатура вірусу - у широкому змісті, інформація, що дозволяє однозначно визначити наявність даного вірусу у файлі або іншому коді.
Прикладами сигнатур є: унікальна послідовність байт, що є присутнім у даному вірусі й не зустрічається в інших програмах; контрольна сума такої послідовності.
Таким чином, антивірусну програму можна розглядати як засіб автоматизації боротьби з вірусами. Варто помітити, що аналіз вірусів жадає від користувача володіння більшим обсягом специфічних знань в області програмування, роботи операційних систем і т.д. Сучасні шкідливі програми використають складні технології маскування й захисту своїх копій, які спричиняються необхідність застосування спеціальних засобів для їхнього аналізу.
Процес підготовки шкідливою програмою своїх копій для поширення може істотно відрізнятися від простого копіювання. Автори найбільш складних у технологічному плані вірусів намагаються зробити різні копії максимально несхожими для ускладнення їхнього виявлення антивірусними засобами. Як наслідок, складання сигнатури для такого вірусу вкрай утруднено.
При створенні копій для маскування можуть застосовуватися наступні технології:
• Утиліти вилученого керування (Backdoor) - трояни, що забезпечують повний контроль над комп'ютером користувача. Існують легальні утиліти такої ж властивості, але вони відрізняються тим, що повідомляють про своє призначення при установці або ж постачені документацією, у якій описані їхні функції. Троянські утиліти вилученого керування, навпроти, ніяк не видають свого реального призначення, так що користувач і не підозрює про те, що його комп'ютер підконтрольний зловмисникові. Найбільш популярна утиліта вилученого керування - Back Orifice;
• Анонімні smtp-сервера й проксі (Trojan-Proxy) - трояни, що виконують функції поштових серверів або проксі й, що використаються в першому випадку для спам-розссилок, а в другому для замітання слідів хакерами
• Модифікатори настроювань браузера (Trojan-Cliker) - трояни, які міняють стартову сторінку в браузері, сторінку пошуку або ще які-небудь настроювання, для організації несанкціонованих звертань до Інтернет-ресурсів;
• Інсталятори інших шкідливих програм (Trojan-Dropper) - трояни, що представляють можливість зловмисникові робити сховану установку інших програм;
• Завантажники шкідливих програм (Trojan Downloader) - трояни, призначені для завантаження на комп'ютер-жертву нових версій шкідливих програм, або рекламних систем;
• Повідомлення про успішну атаку (Trojan-Notifier) - трояни даного типу призначені для повідомлення своєго "хазяїна" про заражений комп'ютер;
• "Бомби" в архівах (ARCBomb) - трояни, що представляють собою архіви, спеціально оформлені таким чином, щоб викликати позаштатне поводження архіваторів при спробі раз архівувати дані - зависання або істотного повыльнення роботи комп'ютера, заповнення диска кількістю "порожніх" даних;
• Логічні бомби - частіше не стільки трояни, скільки троянські складових черв’яків і вірусів, суть роботи яких полягає в тому, щоб за певних умов (дата, час доби, дії користувача, команда ззовні) зробити певну дію: наприклад, знищення даних;
• Утиліти дозвона - порівняно новий тип троянів, що представляє собою утиліти dial-up доступу в Інтернет через платні поштові служби. Такі трояни прописуються в системі як утиліти дозвона за замовчуванням і спричиняють великі рахунки за користування Інтернетом.
Процес розмноження вірусів може бути умовно розділений на кілька стадій:
1. Активація вірусу;
2. Пошук об'єктів для зараження;
3. Підготовка вірусних копій;
4. Впровадження вірусних копій.
Так само як для вірусів, життєвий цикл черв’яків можна розділити на певні стадії:
1. Проникнення в систему;
2. Активація;
3. Пошук "жертв";
4. Підготовка копій;
5. Поширення копій;
У троянів внаслідок відсутності функцій розмноження й поширення, їхній життєвий цикл менше ніж у вірусів - усього три стадії:
1. Проникнення на комп'ютер
2. Активація
3. Виконання закладених функцій
Це, саме собою, не означає малого часу життя троянів. Навпроти, троян може непомітно перебувати в пам'яті комп'ютера тривалий час, ніяк не видаючи своєї присутності, доти, поки не виконає свою шкідливу функцію буде виявлений антивірусними засобами.
Існує твердження - будь-яку шкідливу програму користувач може перемогти самостійно, тобто не прибігаючи до використання антивірусних програм. Це дійсно так, за успішними дії будь-якої антивірусної програми коштує праця вірусних аналітиків, які по суті справи вручну розбираються з алгоритмами роботи нових вірусів, виділяють сигнатури, описують алгоритм роботи вірусу.
Сигнатура вірусу - у широкому змісті, інформація, що дозволяє однозначно визначити наявність даного вірусу у файлі або іншому коді.
Прикладами сигнатур є: унікальна послідовність байт, що є присутнім у даному вірусі й не зустрічається в інших програмах; контрольна сума такої послідовності.
Таким чином, антивірусну програму можна розглядати як засіб автоматизації боротьби з вірусами. Варто помітити, що аналіз вірусів жадає від користувача володіння більшим обсягом специфічних знань в області програмування, роботи операційних систем і т.д. Сучасні шкідливі програми використають складні технології маскування й захисту своїх копій, які спричиняються необхідність застосування спеціальних засобів для їхнього аналізу.
Процес підготовки шкідливою програмою своїх копій для поширення може істотно відрізнятися від простого копіювання. Автори найбільш складних у технологічному плані вірусів намагаються зробити різні копії максимально несхожими для ускладнення їхнього виявлення антивірусними засобами. Як наслідок, складання сигнатури для такого вірусу вкрай утруднено.
При створенні копій для маскування можуть застосовуватися наступні технології: