Курсы

Компьютерное обучение
Пользователь ПК
Системное администрирование + ремонт ПК
Веб-дизайн
Corel Draw
Adobe Photoshop
ArchiCAD
AutoCAD
3D MAX
Adobe Ilustrator
Курсы SEO
Бухгалтерия
1С: Бухгалтерия
Оператор 1С
Бухгалтерский учет + 1С
Дизайнерское мастерство
Дизайнер оформитель витрин
Дизайнер интерьера и мебели
Дизайнер-полиграфист
Ландшафтный дизайн. Садовник
Менеджмент
Делопроизводство для секретарей
Кадровое дело
Менеджер по организации туризма
Маркетинг и реклама
Администратор широкого профиля
Сметное дело
Психология
Практическая психология
Творческие дисциплины
Вязание спицами
Авторская кукла
Академия живописи
Батик
Декупаж
Скрапбукинг
Мыловарение
Вязание игрушек
Валяние шерсти
Квиллинг
Эко косметика
Тильда
Вязание крючком
Кройка и шитье
Флористика
Школа красоты
Парикмахер-стилист(для начинающих)
Массаж
Младшая медицинская сестра
Наращивание ресниц
Наращивание ногтей
Салонный маникюр и педикюр
Косметолог-визажист
Языковые курсы
Общий курс немецкого языка
Курсы английского, немецкого, итальянского и украинского

бесплатные приколы

шаблоны joomla 1.7

Шкідливі програми, і як їх перемогти

  1. Трішки історії
  2. сучасна класифікація
  3. Тенденції останніх років
  4. Антівірусній захист по всьому фронту

Олександр Прохоров

Трішки історії

сучасна класифікація

Тенденції останніх років

Антивірусний захист по всьому фронту

Трішки історії

рообразом сучасних вірусів можна вважати програму «Дарвін», що з'явилася ще в 1962 році рообразом сучасних вірусів можна вважати програму «Дарвін», що з'явилася ще в 1962 році. Саме тоді інженери з американської компанії Bell Telephone Laboratories В.А.Висотскій, Г.Д.Макілрой і Р. Морріс створили гру під цією назвою, яке символізувало ідею виживання і розвитку програмних кодів, створюваних гравцями. Гра передбачала наявність в пам'яті обчислювальної машини так званого супервізора, що визначав правила і порядок боротьби між собою програм-суперників, що створювалися гравцями. Програми мали функції дослідження простору, розмноження і знищення. Сенс гри полягав у видаленні всіх копій програми супротивника і захопленні поля битви. Можна навести ряд інших подібних ідей, але якщо говорити про програми-віруси яка про проблему для користувачів, то вони виникли двадцять з лишком років.

У Росії такі віруси з'явилися в кінці 90-х років, але спочатку не набули широкого поширення.

Перша серйозна епідемія, яка привернула до проблеми вірусів увагу всієї світової спільноти, відбулася в 1996 році. Її викликав макровірус Cap, що поширювався в документах Microsoft Word. Йому вдалося паралізувати роботу десятків компаній по всьому світу. Поворотною точкою став 2000 рік, коли з'явилися мережеві черв'яки. На відміну від інших комп'ютерних паразитів, вони дуже швидко поширювалися в поштових повідомленнях. Електронна пошта та Інтернет виявилися ідеальним середовищем для передачі шкідливих кодів. Якщо в 1999 році лише 50% вірусів потрапляли на комп'ютери користувачів через електронну пошту, то після 2000 їх частка перевищила 80% (табл. 1), а сьогодні, за різними даними, становить 95-98%. Частка вірусів, що передаються через дискети, зараз незначна.

Частка вірусів, що передаються через дискети, зараз незначна

Таблиця 1. Різні джерела вірусів,%
(Джерело: звіт ICSA Labs Computer Virus Prevalence Survey 2004)

Через електронну пошту поширюються не тільки мережеві черв'яки, але і троянці і файлові віруси. Динаміка зростання світового шкоди від вірусів показана в табл. 2.

2

Таблиця 2. Світовий збиток від вірусів (джерело: Computer Economics)

сучасна класифікація

ьогодні все частіше різні шкідливі коди називають вірусами, однак це не зовсім вірно ьогодні все частіше різні шкідливі коди називають вірусами, однак це не зовсім вірно. За способом розповсюдження шкідливих програм можна розділити на комп'ютерні віруси, мережеві черв'яки і троянські програми.

Комп'ютерні віруси здатні розмножуватися самостійно, додаючи свій код до інших файлів або до службових області диска. Мережеві черв'яки не змінюють файли на дисках, а поширюються в комп'ютерній мережі, проникають в операційну систему комп'ютера, знаходять адреси інших комп'ютерів або користувачів і розсилають за цими адресами свої копії, використовуючи різну середу поширення.

Інтернет-черв'яки поширюються по Інтернету, LAN-черви - по локальній мережі, IRC-черв'яки - через чати Internet Relay Chat.

Троянські програми, або просто троянці, - це шкідливі програми, які самі не розмножуються, а, маскуючись під популярну програму, спонукають користувача переписати і встановити на свій комп'ютер шкідника самостійно. По виконуваних шкідливим діям троянські програми можна умовно розділити на наступні види:

  • утиліти несанкціонованого віддаленого адміністрування - дозволяють зловмисникові віддалено керувати зараженим комп'ютером;
  • утиліти для проведення DDoS-атак (Distributed Denial of Service - розподілені атаки типу «відмова в обслуговуванні») - вичерпують ресурси інформаційної системи жертви, в результаті чого система перестає виконувати свої функції і стає недоступною;
  • шпигунські програми - таємно спостерігають за діями користувача і записують в свій журнал цікавлять зловмисника дані;
  • рекламні програми - дозволяють вбудувати рекламні оголошення в яке-небудь найбільш часто використовуваним додатком;
  • програми дозвону - намагаються за допомогою модему і телефонної лінії додзвонитися до платного сервера і змусити користувача оплатити послуги;
  • сервери розсилки спаму - дають можливість перетворити чужий ПК в сервер розсилки спаму;
  • багатокомпонентні троянці-завантажувачі - переписують з Інтернету і впроваджують в систему інші шкідливі коди або шкідливі додаткові компоненти.

Тенденції останніх років

а прес-конференції «Вірусні підсумки 2005 року», проведеної 24 сiчня «Лабораторією Касперського», пан Касперський так охарактеризував ситуацію, що склалася з розповсюдженням шкідливих програм: «Раніше було погано, зараз стало зовсім погано а прес-конференції «Вірусні підсумки 2005 року», проведеної 24 сiчня «Лабораторією Касперського», пан Касперський так охарактеризував ситуацію, що склалася з розповсюдженням шкідливих програм: «Раніше було погано, зараз стало зовсім погано. Десять років тому віруси писали для задоволення, а сьогодні цим займаються, щоб заробити гроші ».

Таким чином, головною тенденцією останніх років є націленість хакерів на витяг нелегального прибутку з створення і поширення шкідливих програм. Реалізується даний «бізнес» наступними способами:

  • злодійство банківської інформації для отримання доступу до банківських рахунків;
  • злодійство номерів кредитних карт;
  • розподілені мережеві атаки (DDoS-атаки) з подальшим вимогою грошового викупу за їх припинення (комп'ютерний варіант рекету);
  • створення мереж троянських проксі-серверів для розсилки спаму і їх комерційне використання;
  • формування зомбі-мереж для багатофункціонального застосування;
  • створення програм, які скачують і встановлюють системи показу небажаної реклами;
  • впровадження в комп'ютери троянських програм, які телефонують на платні телефонні номери.

За даними Євгена Касперського, за 2005 рік приблизно вдвічі збільшилася кількість троянських програм і на стільки ж виріс розмір антивірусних баз. Тільки 5% всіх шкідливих програм були написані заради задоволення, 75% створені для отримання грошей, а решту 20% - тією і іншою метою.

У будь-якому суспільстві є кримінальні елементи - їх чисельність залежить від економічної ситуації та поведінки поліції. Коли поліція діє активно, а економіка передбачає широкі можливості виходу на легальний ринок, то немає сенсу займатися кримінальним бізнесом. На жаль, поки злочинне співтовариство має тенденцію до зростання. Сьогодні в цьому бізнесі працює кілька тисяч чоловік, і кожен місяць з'являються десятки тисяч шкідливих програм. Масштаби злочинів стають все більше. Навесні 2005 року в Ізраїлі заарештували хакера, який заразив троянської програмою відділення японського банку в Лондоні: зловмисник збирався перевести на свій рахунок 420 млн. Дол.

За даними Євгена Касперського, за минулий рік число злочинів комп'ютерного рекету знизилося, оскільки для зловмисника існує ризик бути взятим на гарячому в момент передачі грошей. Однак з цієї ж причини зросла кількість злочинів, які не виходять за рамки онлайну.

За даними звіту журналу Computer Economics, випущеного в січні 2006 року, фінансовий збиток від вірусів в світі (тільки витрати на відновлення інфраструктури) в 2005 році склав близько 14 млрд. Дол. Це дещо менше, ніж у 2004 році - 16,7 млрд. дол. За оцінкою ФБР, сумарний збиток в 2005 році дорівнював 63 млрд. дол. Однак число великих вірусних епідемій в минулому році істотно знизилася. За даними «Лабораторії Касперського», в 2005 році було зафіксовано 14 великих вірусних епідемій (для порівняння: в 2004-му - 46 епідемій).

Пояснюється це, по-перше, тим що вірусописьменниками невигідно створювати масові епідемії, які, звичайно, можуть прославити вирусописатели, але можливості заробити йому не дадуть: якщо завдати великої шкоди, то замість заробітку доведеться виплатити великий штраф або понести більш серйозне покарання. Випадок, коли Microsoft виплатила 250 тис. Дол. За інформацію про автора однієї з шкідливих програм, свідчить, що заражати мільйони комп'ютерів небезпечно. Набагато краще, з точки зору хакера, використовувати політику цільових атак, при якій заражається не більше тисячі комп'ютерів одночасно. При такій кількості заражених машин можна встигнути заробити гроші без особливого шуму. По-друге, до зниження кількості епідемій призвело збільшення швидкості реакції - антивірусні компанії стали швидше справлятися з епідеміями. За даними «Лабораторії Касперського», середній час виходу оновлення для антивірусної програми сьогодні становить 1 годину 22 хвилини. Більш того, якщо епідемія небезпечна, то urgent-оновлення випускається не більше ніж за 30 хвилин.

Крім того, протягом минулого року спостерігалася значна активізація правоохоронних органів у всьому світі і велика кількість хакерів було заарештовано.

З 14 епідемій, що відбулися в 2005 році, можна виділити чотири найбільші: модифікація поштового хробака Bagle з індексами Ах і .ау, мережевий вірус-хробак Mytob.c і дві модифікації поштового хробака Sober - Sober.p і Sober.y.

Bagle.ax і Bagle.ay з'явилися практично одночасно - в кінці січня «Лабораторія Касперського» зафіксувала масові спам-розсилки цих шкідливих програм. Епідемію не вдалося своєчасно зупинити, так як для розмноження вони використовували нову процедуру - сканували файлову систему ураженого комп'ютера і розсилали себе по всіх знайдених адресах електронної пошти, за винятком адрес, що належать антивірусним компаніям. Цим пояснювалося мала кількість зразків черв'яків, отримане антивірусними компаніями. Крім того, для більш інтенсивного поширення Bagle.ay здійснював пошук каталогів, що містять рядок «shar», і викладав в них своє тіло. В результаті кількість каналів поширення шкідливого коду було суттєво збільшено за рахунок використання поділюваних ресурсів і P2P-мереж.

У березні була зафіксована епідемія мережного хробака Mytob.c, який поширювався через Інтернет у вигляді вкладень в заражені електронні листи, розсилаючи себе по всіх знайдених на зараженому комп'ютері адресами електронної пошти, а також використовував для свого поширення уразливість в сервісі LSASS Microsoft Windows. Протягом трьох тижнів Mytob.c лідирував за показниками активності, займаючи близько 30% всього вірусного трафіку в електронній пошті. Так само як Bagle.ax і Bagle.ay, він виключав з розсилки своїх копій адреси, що належать великим розробникам антивірусного та інших видів програмного забезпечення.

Епідемія поштового хробака Sober.p в травні побила рекорди інших поштових черв'яків за кількістю розсилаються листів і швидкості поширення хробака в західноєвропейському сегменті Інтернету (Голландія, Німеччина, Угорщина та інші країни).

У листопаді було виявлено інший варіант цього поштового хробака - Sober.у. Активно розмножуватися він почав тільки через деякий час після виявлення, оскільки використовував складний алгоритм розмноження, для роботи якого була потрібна участь інших шкідливих програм того ж сімейства.

Десять найпоширеніших шкідливих програм, виявлених в поштовому трафіку в минулому році, наведені в табл. 3.

Таблиця 3. Десятка найпоширеніших шкідливих програм, виявлених
в поштовому трафіку в 2005 році
(Джерело: «Лабораторія Касперського»)

Протягом минулого року в поштовому трафіку превалювали виключно черви - як поштові, так і мережеві (рис. 1). В основному це були представники старих вірусних сімейств, таких як Bagle, NetSky, Sober, Zafi і Mydoom. Однак безсумнівним лідером стали черв'яки Mytob, чиї високі показники багато в чому були обумовлені подвійним способом розмноження - через пошту і безпосередньо по Мережі за допомогою вразливостей в ОС Windows.

Рис 1. Типи шкідливих програм, які спостерігалися в поштовому трафіку в 2005 році (джерело: щомісячні звіти «Лабораторії Касперського» про вірусну активність)

На другому місці опинилися різні троянські програми, в основному відносяться до класів Trojan-Downloader і Trojan-Spy, а також численні фішингові атаки, які в минулому році досягли піку своєї активності. Традиційні віруси і макровіруси практично повністю зникли з статистики «Лабораторії Касперського».

У минулому році намітилася тенденція до застосування більш витончених способів заробляння грошей на користувачах. Вірусописьменники активно включилися в створення Adware, використовуючи для цього весь досвід вірусної індустрії. Відбувся відхід від грубих атак на користувачів і компанії (DoS-атаки, епідемії черв'яків) до точкових атак на корпоративних і приватних користувачів (targeting) і способам вимагання шляхом шифрування файлів користувача. Неприємною тенденцією стала підвищена увага «андеграунду» до пошуку і зловмисному використанню вразливостей в програмних продуктах.

За даними «Лабораторії Касперського», основні тенденції 2005 року висловилися:

  • в появі великої кількості черв'яків для Інтернет-пейджерів (MSN Messenger, AOL Messenger, ICQ);
  • загостренні проблеми ботнетів;
  • заході епохи поштових черв'яків;
  • зростанні кількості мережевих і поштових черв'яків з троянським функціоналом;
  • розвитку методів соціальної інженерії;
  • погрози користувачам онлайн-ігор;
  • стирання межі між рекламними програмами (Adware) і традиційними шкідливими програмами (вірусами і троянами);
  • збільшенні кількості шкідливих програм для мобільних пристроїв;
  • зміні вектора хакерських атак (від атак на окремих користувачів до нападу на великі компанії і банки);
  • використанні Rootkit-технологій (Термін Rootkit відбувається з середовища UNIX. Так називається збірник програм, який хакер встановлює на зламаному комп'ютері, щоб приховати своє вторгнення в систему, хакерський інструментарій та троянські програми, які заміщають основні утиліти UNIX. В середовищі Windows під Rootkit увазі програму, яка впроваджується в систему і перехоплює системні функції API. Перехоплення і модифікація низькорівневих API-функцій дозволяють такій програмі маскувати свою присутність)
  • появі політичних мотивів в діяльності вірусів.

Швидше за все, відмічені тенденції отримають розвиток в поточному році. Ризик глобальних епідемій, здатних на час вивести з ладу окремі сегменти Інтернету і охопити мільйони користувачів, зберігається. Незважаючи на те що основна маса шкідливих програм створюється зараз з кримінальними цілями, залишається ще великий прошарок тих, хто пише віруси виключно з хуліганських спонукань. Саме вони відповідальні за найбільші вірусні епідемії останніх років - Lovesan, Sasser, NetSky, Mydoom і Sober.

«Лабораторія Касперського» передбачає два основні сценарії серйозних вірусних епідемій 2006 року. Перший - це поява мережевого черв'яка, що використовує чергову критичну уразливість в Windows, яка дозволяє атакуючому виконати довільний код у вразливою системі (аналогічно уязвимостям RPC DCOM, LSASS, PnP і MSDTC). Другий сценарій - це поява поштового хробака, який застосовує один з методів соціальної інженерії (трюки з текстом листа, який буде складено таким чином, щоб переконати / змусити одержувача добровільно відкрити вкладення).

Як і в минулому році, найбільш масовим видом троянських програм залишаться представники класу Trojan-Downloader, які мають маленький розмір і здатні довгий час функціонувати в системі, не проявляючи своєї присутності. Набір шкідливих програм, що завантажуються цими троянцями, не зміниться - як і раніше це будуть різні програми-шпигуни, які крадуть інформацію користувача, і різні програми класу Adware.

Все більше шкідливих програм будуть використовувати Rootkit-технології для приховування своєї присутності в системі.

Крім того, збережеться тенденція до зараження / зміни коду системних файлів Windows, щоб максимально ускладнити видалення шкідливих програм з системи.

Однією з головних проблем залишатимуться уразливості в популярних браузерах - Internet Explorer, Opera і Firefox. Слід очікувати як мінімум однієї серйозної епідемії хробака, що поширюється через один з популярних клієнтів Instant Messaging.

За півтора року шкідливі програми для мобільних телефонів стали однією з найактуальніших проблем сучасної вірусології. З двох способів їх поширення - Bluetooth і MMS - перший і надалі залишиться найбільш популярним. MMS, однак, більш небезпечний і здатний викликати масову епідемію за короткий час, хоча існує надійний спосіб боротьби з ним - перевірка на сервері мобільного оператора за все MMS-трафіку. У випадку ж з Bluetooth такої можливості немає.

Троянських програм для операційної системи Symbian стане ще більше. Суттєво розшириться і спектр шкідливих програм - він, за рідкісним винятком, практично повністю повторить існуючі класи вірусів для персональних комп'ютерів. Крім того, увагу вірусописьменників в поточному році приверне зростання популярності платформи Windows Mobile і кількості користувачів смартфонів на її основі. В цілому шкідливі програми для Windows Mobile будуть з технологічної точки зору набагато складніше, ніж існуючі зараз для Symbian.

Антівірусній захист по всьому фронту

волюція антівірусніх програм идет Слідом за розвитку вірусів волюція антівірусніх програм идет Слідом за розвитку вірусів. У міру з'явилися вірусів під Нові Платформи з'являються и відповідні антівірусі. Сучасне Тлумачення терміна «антівірусній захист» стало набагато ширше, чем десять лет назад. У ряді випадків антивірусне комплексне рішення включає не тільки антивірусні програми, засоби проти програм-шпигунів і програм-реклам, але і міжмережеві екрани, антиспамовий програми і системи попередження вторгнень (Intrusion Detection Systems, IDS).

Найбільшим попитом користуються продукти для захисту робочих станцій. На російському ринку пропонується безліч додатків даного класу від різних виробників (табл. 4 і 5).

Таблиця 4. Функціональність антивірусних програм для захисту робочих станцій (джерело: Антивірусний центр ( www.AntivirusPro.ru ), 2005)

Таблиця 5. Функціональність коштів централізованого управління антивірусним захистом робочих станцій
(Джерело: Антивірусний центр ( www.AntivirusPro.ru ), 2005)

Примітки:
(1) У Symantec Client Security для управління настройками клієнтського брандмауера застосовується окрема консоль.
(2) NOD32 Enterprise Edition використовує систему оновлень з локальних дзеркал сервера оновлень, які створюються засобами антивірусного клієнта.

Якщо мова йде про безпеку корпоративної мережі, то недостатньо захистити тільки робочі станції. Шляхів потрапляння вірусів в корпоративну мережу і способів їх поширення може бути безліч (рис. 2), і для того, щоб успішно боротися з вірусами, необхідний захист по всьому фронту.

2), і для того, щоб успішно боротися з вірусами, необхідний захист по всьому фронту

Мал. 2. Можливі шляхи потрапляння вірусів в корпоративну мережу

Для захисту корпоративної мережі від вірусів необхідно застосовувати комплексний підхід і враховувати наявність різних операційних систем. Як приклад на рис. 3 показаний набір рішень, пропонований компанією «Лабораторія Касперського» для захисту корпоративної мережі.

3 показаний набір рішень, пропонований компанією «Лабораторія Касперського» для захисту корпоративної мережі

Мал. 3. Набір рішень, пропонований компанією «Лабораторія Касперського» для захисту корпоративної мережі

Порівняльний аналіз антивірусних програм для захисту корпоративної мережі від різних виробників представлений в табл. 6.

6

Таблиця 6. Функціональність антивірусних програм від різних виробників (джерело: Антивірусний центр (www.AntivirusPro.ru), 2005)

У статті використано «Огляд вірусної активності за 2005 рік» від «Лабораторії Касперського».

КомпьютерПресс 3'2006


Дополнительная информация

rss
Карта