Вредоносное программное обеспечение. Классификация, принципы работы, способы выявления и противодействия.

Под вредоносным программным обеспечением (программой) согласно ГОСТ Р 51275 – 2006 принято понимать программу, используемую для осуществления НСД к информации и (или) воздействия на ресурсы АС.

Классификация вредоносных программ (лаб. Касперского):
1. Сетевые черви
К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью:
- проникновения на удаленные компьютеры;
- запуска своей копии на удаленном компьютере;
- дальнейшего распространения на другие компьютеры в сети.
К ним относятся:
- Email-Worm - почтовые черви
- IM-Worm - черви, использующие интернет-пейджеры
- IRC-Worm - черви в IRC-каналах
- Net-Worm - прочие сетевые черви
- P2P-Worm - черви для файлообменных сетей
2. Классические компьютерные вирусы
К данной категории относятся программы, распространяющие свои копии по ресурсам локального компьютера с целью:
- последующего запуска своего кода при каких-либо действиях пользователя;
- дальнейшего внедрения в другие ресурсы компьютера.
В отличие от червей, вирусы не используют сетевых сервисов для проникновения на другие компьютеры.
Типы компьютерных вирусов различаются между собой по следующим основным признакам:
- среда обитания;
- способ заражения.
К ним относятся:
1) Среда обитания.
По среде обитания вирусы можно разделить на:
- файловые;
- загрузочные;
- макро;
- скриптовые.
2) Способ заражения.
- Файловые вирусы:
По способу заражения файлов вирусы делятся на:
Перезаписывающие (overwriting).
Паразитические (parasitic):
внедрение вируса в начало файла,
внедрение вируса в конец файла,
внедрение вируса в середину файла,
вирусы без точки входа.
Вирусы-компаньоны (companion).
Вирусы-ссылки (link).
Вирусы, заражающие объектные модули (OBJ).
Вирусы, заражающие библиотеки компиляторов (LIB).
Вирусы, заражающие исходные тексты программ.
- Загрузочные вирусы:
Вирусы заражают загрузочный (boot) сектор гибкого диска.
Вирусы заражают boot-сектор винчестера.
Вирусы заражают Master Boot Record (MBR) винчестера.
- Макро-вирусы:
В вирусе присутствует авто-макрос (авто-функция).
В вирусе переопределен один из стандартных системных макросов (ассоциированный с каким-либо пунктом меню).
В вирусе макрос вируса вызывается автоматически при нажатии на какую-либо клавишу или комбинацию клавиш.
- Скрипт-вирусы
Вирусы заражают другие скрипт-программы (командные и служебные файлы MS Windows или Linux).
Вирусы являются частями многокомпонентных вирусов.
Вирусы заражают файлы других форматов (например, HTML), если в них возможно выполнение скриптов.

3. Троянские программы
В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях.
Троянские программы различаются между собой по тем действиям, которые они производят на зараженном компьютере.
К ним относятся:
- Backdoor - троянские утилиты удаленного администрирования
- Trojan-PSW - воровство паролей
- Trojan-Clicker - интернет-кликеры
- Trojan-Downloader - доставка прочих вредоносных программ
- Trojan-Dropper - инсталляторы прочих вредоносных программ
- Trojan-Proxy - троянские прокси-сервера
- Trojan-Spy - шпионские программы
- Trojan - прочие троянские программы
- Rootkit - сокрытие присутствия в операционной системе
- ArcBomb - «бомбы» в архивах
- Trojan-Notifier - оповещение об успешной атаке
4. Хакерские утилиты и прочие вредоносные программы
К данной категории относятся:
- утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы);
- программные библиотеки, разработанные для создания вредоносного ПО;
- хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов);
- «злые шутки», затрудняющие работу с компьютером;
- программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе;
- прочие программы, тем или иным способом намеренно наносящие прямой или косвенный ущерб данному или удалённым компьютерам.
К ним относятся:
- DoS, DDoS - сетевые атаки
- Exploit, HackTool - взломщики удаленных компьютеров
- Flooder - "замусоривание" сети
- Constructor - конструкторы вирусов и троянских программ
- Nuker - фатальные сетевые атаки
- Bad-Joke, Hoax - злые шутки, введение пользователя в заблуждение
- FileCryptor, PolyCryptor - скрытие от антивирусных программ
- PolyEngine - полиморфные генераторы
- VirTool - утилиты, предназначенные для облегчения написания компьютерных вирусов.
Существует и альтернативная классификация вредоносных объектов (выдвинута в 2007 году в рамках 6-го саммита вирусных аналитиков):

1. Malware:
вредоносные программы, созданные специально для не санкционированного пользователем уничтожения, блокирования, модификации или копирования информации, нарушения работы компьютеров или компьютерных сетей.
К данной категории относятся вирусы, черви, троянские программы и иной инструментарий, созданный для автоматизации деятельности злоумышленников (инструменты для взлома, конструкторы полиморфного вредоносного кода и т.д.).
2. PUPs (Potentially Unwanted Programs) - потенциально-нежелательные программы:
программы, которые разрабатываются и распространяются легальными компаниями, могут использоваться в повседневной работе, например, системных администраторов, но они обладают набором функций, которые могут причинить вред пользователю при выполнении некоторых условий. ( по сути программная закладка)

Способы выявления и противодействия:

На данный момент существует ряд методов «детектирования» (выявления) и противодействия компьютерным вирусам это:

1. Сигнатурный метод – основанный на сравнении бинарного кода исследуемого объекта с базой данных, в которой хранятся все известные сигнатуры (штаммы) вируса;

2. Эмуляция – метод, в основе которого лежит имитация выполнения кода вируса, в тщательно замкнутой программной среде («песочница»). Современные эмуляторы эмулируют не только команды процессора, но и вызовы операционной системы.Таким методом приходится именно эмулировать работу инструкций вируса, а не трассировать их, поскольку при трассировке вируса слишком велика вероятность вызова деструктивных инструкций или кодов, отвечающих за распространение вируса.

3. Эвристический анализ – Этот метод основан на сравнении и выявлении алгоритмов, присущих вредоносному коду. Данный метод, основанный на распознании структуры и алгоритма исполнения файлов, такой метод позволяет обнаружить ещё неизвестные вирусы и распознаёт модификации уже известных.

4. HIPS (Host-based Intrusion Prevention System, англ. система предотвращения вторжений) — проактивная технология защиты, построенная на анализе поведения.. В основе HIPSметода лежит анализ активности программного обеспечения и всех модулей системы и блокирование потенциально опасных действий в системе пользователя.

5.Замкнутая программная среда – в основе данной методики лежит блокирование исполнения всех программных кодов за исключением тех, которые были ранее обозначены как безопасные.