Основные пути проникновения в систему и активации

Существует утверждение - любую вредоносную программу пользователь может победить самостоятельно, т. е. не прибегая к использованию антивирусных программ. Это действительно так, за успешными действия любой антивирусной программы стоит труд вирусных аналитиков, которые по сути дела вручную разбираются с алгоритмами работы новых вирусов, выделяют сигнатуры, описывают алгоритм работы вируса.

Сигнатура вируса - в широком смысле, информация, позволяющая однозначно определить наличие данного вируса в файле или ином коде

Примерами сигнатур являются: уникальная последовательность байт, присутствующая в данном вирусе и не встречающаяся в других программах; контрольная сумма такой последовательности

Таким образом, антивирусную программу можно рассматривать как средство автоматизации борьбы с вирусами. Следует заметить, что анализ вирусов требует от пользователя владения большим объемом специфических знаний в области программирования, работы операционных систем и т. д. Современные вредоносные программы используют сложные технологии маскировки и защиты своих копий, которые обуславливают необходимость применение специальных средств для их анализа.

Процесс подготовки вредоносной программой своих копий для распространения может существенно отличаться от простого копирования. Авторы наиболее сложных в технологическом плане вирусов стараются сделать разные копии максимально непохожими для усложнения их обнаружения антивирусными средствами. Как следствие, составление сигнатуры для такого вируса крайне затруднено.

При создании копий для маскировки могут применяться следующие технологии:

· Шифрование - вирус состоит из двух функциональных блоков: собственно вируса и шифратора. Каждая копия вируса состоит из шифратора, случайного ключа и вирусного блока, зашифрованного этим ключом

· Метаморфизм - создание различных копий вируса путем замены групп команд на эквивалентные, перестановки местами блоков кода, вставки между значащими кусками кода "мусорных" команд, которые практически ничего не делают

Сочетание этих двух технологий приводит к появлению следующих типов вирусов.

· Шифрованный вирус - вирус, использующий простое шифрование со случайным ключом и неизменный шифратор. Такие вирусы легко обнаруживаются по сигнатуре шифратора

· Метаморфный вирус - вирус, применяющий метаморфизм ко всему своему телу для создания новых копий

· Полиморфный вирус - вирус, использующий метаморфный шифратор для шифрования основного тела вируса со случайным ключом. При этом часть информации, используемой для получения новых копий шифратора также может быть зашифрована. Например, вирус может реализовывать несколько алгоритмов шифрования и при создании новой копии менять не только команды шифратора, но и сам алгоритм

Рассматривая современные вирусные угрозы необходимо отметить, что более 90% процентов вирусных угроз в последнее время связаны с червями. Наиболее многочисленную группу в этом классе вредоносных программ составляют почтовые черви. Интернет-черви также являются заметным явлением, но не столько из-за количества, сколько из-за качества: эпидемии, вызванные Интернет-червями зачастую отличаются высокой скоростью распространения и большими масштабами. IRC и P2P черви встречаются достаточно редко, чаще IRC и P2P служат альтернативными каналами распространения для почтовых и Интернет-червей. Распространение через LAN также используется преимущественно как дополнительный способ распространения.

Кроме того, на этапе активации червей можно разделить на две большие группы отличающиеся как по технологиям активации, так и по срокам жизни:

· Для активации необходимо активное участие пользователя

· Для активации участие пользователя не требуется вовсе либо достаточно лишь пассивного участия

Активация сетевого червя без участия пользователя всегда означает, что червь использует бреши в безопасности программного обеспечении компьютера. Это приводит к очень быстрому распространению червя внутри корпоративной сети с большим числом станций, существенно увеличивает загрузку каналов связи и может полностью парализовать сеть. Именно этот метод активации использовали черви Lovesan и Sasser. Под пассивным участием пользователя понимается, например, просмотр писем в почтовом клиенте, при котором пользователь не открывает вложенные файлы, но его компьютер тем не менее оказывается зараженным.

Активное участие пользователя в активации червя означает, что пользователь был введен в заблуждение методами социальной инженерии. В большинстве случаев основным фактором служит форма подачи инфицированного сообщения: оно может имитировать письмо от знакомого человека (включая электронный адрес, если знакомый уже заражен), служебное сообщение от почтовой системы или же что-либо подобное, столь же часто встречающееся в потоке обычной корреспонденции.

При заражении компьютера черви обычно производят следующие действия:

· Создают исполняемый файл с расширением.exe с произвольным именем или именем очень похожим на имя системных файлов Windows. В некоторых червях могут использоваться технологии присущие вирусам, в таком случае черви инфицируют уже существующий файл приложения (например WSOCK32.DLL) или заменяют его на свой файл (например I-Worm.MTX записывает одну из своих процедур в файл WSOCK32.DLL таким образом, что она перехватывает отсылку данных в Интернет (процедура send). В результате червь в зараженной библиотеке WSOCK32.DLL получал управление каждый раз, когда данные отправляются в Интернет).

· Кроме этого, вместе с добавлением в систему исполняемых файлов, в ряде случаев черви помещают в систему файлы библиотек, которые обычно выполняют функции Backdoor компонентов (например один из клонов червя MyDoom - I-Worm.Mydoom.aa создавал системном каталоге Windows файл tcp5424.dll, являющийся Backdoor-компонентом и регистрировал его в системном реестре: HKCR\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32 {Default} = "%SysDir%\tcp5424.dll")

· Вредоносная программа может вносить изменения в системные файлы win.ini и system.ini. Например Email-Worm.Win32.Toil при установке в заражаемой системе копирует себя в папку Windows со случайным именем и записывает в файл system.ini следующие значения:

[boot]

shell=Explorer.exe %имя червя%

что обеспечивает ему автозапуск при каждой перезагрузке Windows (но только под Win9x/Me).

Email-Worm.Win32.Atak.h в процессе инсталляции копирует себя с именем dec25.exe в системный каталог Windows и модифицирует файл win.ini для своего последующего запуска - добавляет полный путь к файлу dec25.exe в ключ run секции [windows]:

[windows]

run=%SystemDir%\dec25.exe)

Следует так же отметить, что в файле system.ini кроме секции [boot] вредоносные программы могут использовать секцию [Drivers]

· Вредоносные программы могут вносить изменения в следующие ветки реестра:

· HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion в ключи Run, RunOnce, RunOnceEx, RunServices, RunServicesOnce - для того чтобы система запускала созданные червем файлы

· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion в ключ Run.

Например, Email-Worm.Win32.Bagle.ax после запуска копирует себя в системный каталог Windows, после чего регистрирует в реестре скопированный файл: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run "Sysformat"="%System%\sysformat.exe

· HKEY_CLASSES_ROOT\exefile\shell\open\command

Например вирус I-Worm.Navidad. вносил следующие изменения:

HKEY_CLASSES_ROOT\exefile\shell\open\command {Default} = %SystemDir%\wintask.exe %1 %*)

Таким образом запуск всех ехе-файлов проходил через обращение к инфицированному файлу wintask.exe. В результате, если файл wintask.exe удалялся до правки реестра, операционная система теряла возможность запускать файлы с расширением.exe.

· HKEY_CLASSES_ROOT\txtfile\shell\open\command

Например Email-Worm.Win32.LovGate.ad изменяет ключ системного реестра HKCR\txtfile\shell\open\command {default}="Update_OB.exe %1", таким образом, чтобы при открытии текстовых файлов получать управление.

Кроме выше перечисленных ветвей и ключей реестра вредоносные программы могут вносить изменения и в другие ветки и ключи реестра, например:

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WOW\boot

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32

· HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon

· HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug