Классификация вредоносного ПО
Внаше время даже человек, не связанный с компьютерами, приблизительнознает, что такое компьютерный вирус. Однако не каждый знает, чтокомпьютерные вирусы — только часть вредоносного программногообеспечения. На самом деле не каждая программа, которая может негативноповлиять на работу компьютера, является вирусом. Именно на этом я ихотел бы остановиться в данной статье. Мы займемся тем, что разделимвредоносное ПО как таковое на классы и виды.
Как правило у каждой антивирусной корпорации есть своя классификациясогласно, которой эксперты ее лаборатории определяют принадлежностьнового вредоносного кода. Я думаю, многие замечали, что у разнахкорпораций один и тот же код будет иметь разные названия. Именноразность классификаций тому виной. Но не будем ходить вокруг да около,а приступим сразу к делу. Сегодня мы воспользуемся классификациейлаборатории Евгения Касперского (думаю, объяснять, кто это такой, ненадо;)). Вредоносное программное обеспечение делится на четыре большиегруппы, которые, в свою очередь, разделяются на классы. Итак, начнем попорядку.
Сетевые черви
В последнее время сетевые черви, пожалуй, потеряли свою популярностьсреди вирусописателей. Да и можно ли вообще активистов данного«движения» назвать настоящими создателями вирусов? Я думаю, что нет.Большинство этих людей — школьники или студенты, к которым в руки темили иным путем попадают конструкторы троянских программ. А случаипоявления по-настоящему достойных экземпляров червей, которыедействительно исправно выполняли бы свои вредоносные функции, сведены кминимуму. Взять хотя бы бюллетень безопасности Лаборатории Касперскогоза первое полугодие 2006 г. (см. рис. 1). Из диаграммы хорошо видно,какая из групп вредоносного ПО преобладает. Ну да ладно, речь идет осетевых червях. Сетевой червь — это вредоносный программный код,распространяющий свои копии по локальным или/и глобальным сетям с цельюпроникновения на компьютер-жертву, запуска своей копии на этомкомпьютере и дальнейшего распространения. Для распространения червииспользуют электронную почту, isq, p2p- и irc-сети, lan, сети обменаданными между мобильными устройствами. Большинство червейраспространяются в файлах (вложение в письмо, ссылка на файл и т.д.).Но существуют и черви, которые распространяются в виде сетевых пакетов.Такие разновидности проникают непосредственно в память компьютера исразу начинают действовать резидентно. Для проникновения накомпьютер-жертву используются несколько путей: самостоятельный(пакетные черви), пользовательский (социальный инжиниринг), а такжеразличные бреши в системах безопасности операционной системы иприложений. Некоторые черви обладают свойствами других типоввредоносного программного обеспечения (чаще всего это троянскиепрограммы). Теперь, пожалуй, поподробней на классах сетевых червей:
Почтовые черви (email-worm). Данный класс сетевых червейиспользует для распространения электронную почту. При этом червьотправляет жертве письмо с прикрепленным телом кода либо в письмеприсутствует ссылка на ресурс (естественно, зараженный). Для отправкисообщений червями используются следующие способы: прямое подключение кsmtp-серверу, используя встроенную в код червя почтовую библиотеку;использование сервисов ms outlook; использование функций windows mapi.
Для поиска адресов жертв чаще всего используется адресная книга msoutlook, но может использоваться также адресная база wab. Червь можетпросканировать файлы, хранящиеся на дисках, и выделить из них строки,относящиеся к адресам электронной почты. Черви могут отсылать своикопии по всем адресам, обнаруженным в почтовом ящике (некоторыеобладают способностью отвечать на письма в ящике). Встречаютсяэкземпляры, которые могут комбинировать способы.
Черви, использующие интернет-пейджеры (im-worm). Известныекомпьютерные черви данного типа используют единственный способраспространения — рассылку на обнаруженные контакты (из контакт-листа)сообщений, содержащих url на файл, расположенный на каком-либо веб-сервере. Данный прием практически полностью повторяет аналогичныйспособ рассылки, использующийся почтовыми червями.
Черви в irc-каналах (irc-worm). Черви этого класса используютдва вида распространения: посылание пользователю url-ссылки нафайл-тело; отсылку пользователю файла (при этом пользователь долженподтвердить прием).
Черви для файлообменных сетей (p2p-worm). Механизм работыбольшинства подобных червей достаточно прост: для внедрения в p2p-сетьчервю достаточно скопировать себя в каталог обмена файлами, которыйобычно расположен на локальной машине. Всю остальную работу по егораспространению p2p-сеть берет на себя — при поиске файлов в сети онасообщит удаленным пользователям о данном файле и предоставит весьнеобходимый сервис для его скачивания с зараженного компьютера.
Существуют более сложные p2p-черви, которые имитируют сетевойпротокол конкретной файлообменной системы и положительно отвечают напоисковые запросы (при этом червь предлагает для скачивания свою копию).
Прочие сетевые черви (net-worm). Существуют прочие способызаражения удаленных компьютеров — например: копирование червя насетевые ресурсы; проникновение червя на компьютер через уязвимости воперационных системах и приложениях; проникновение в сетевые ресурсыпубличного использования; паразитирование на других вредоносныхпрограммах.
Используя первый способ, червь ищет в сети машины с ресурсами,открытыми на запись, и копирует. При этом он может случайным образомнаходить компьютеры и пытаться открыть доступ к ресурсам. Дляпроникновения вторым способом червь ищет компьютеры с установленнымпрограммным обеспечением, в котором имеются критические уязвимости.Таким образом, червь отсылает специально сформированный пакет (запрос),и часть червя проникает на компьютер, после чего загружает полныйфайл-тело и запускает на исполнение.
Классические вирусы
Когда профессионал говорит «вирус», он имеет в виду именно этот типвредоносных программ. Вирусы, в отличие от червей, не пользуютсясетевыми сервисами для распространения своих копий. Компьютерный вирус,как правило, попадает на компьютер-жертву по причинам, не зависящим отфункционала кода. Обычно виноват пользователь, который не проверяетантивирусной программой информацию, попадающую на компьютер, врезультате чего, собственно, и происходит заражение. Способов«подцепить» классический вирус довольно много:
внешние носители информации;
интернет ресурсы;
файлы, распространяющиеся по сети (lan, internet).
Классический компьютерный вирус может иметь свойства других типоввредоносного ПО (например, троянскую процедуру удаления информации надиске). Вирусы делятся на классы по среде обитания, а эти классы, всвою очередь, делятся на подклассы по способу заражения. Итак, по средеобитания вирусы делятся на файловые, загрузочные, макро- и скриптовые.Файловые вирусы для заражения пользуются файловой системой ОС. Ониразличными способами внедряются в исполняемые файлы, создаютфайлы-двойники и т.д.
Перезаписывающие вирусы (overwriting). Самый распространенныйспособ заражения. Вирус переписывает код программы (заменяет егосвоим), после чего, естественно, файл перестает работать. Файл,зараженный данным способом, восстановлению не подлежит.Перезаписывающий вирус быстро обнаруживает себя, так как зараженнаясистема (или программа) перестает функционировать.
Паразитические вирусы (parasitic). К таковым относятся всевирусы, которые изменяют содержимое файла, но при этом оставляют егоработоспособным. Основными типами таких вирусов являются вирусы,записывающиеся в начало файлов (prepending), в конец файлов (appending)и в середину файлов (inserting). В свою очередь, внедрение вирусов всередину файлов происходит различными методами — путем переноса частифайла в его конец или копирования своего кода в заведомо неиспользуемыеданные файла (cavity-вирусы). При записывании кода в начало файла вирусможет воспользоваться двумя способами. Первый — это перенос началафайла в конец и дописывание собственного кода в освободившееся место.Второй — дописывание кода файла к своему коду. В обоих случаях призапуске файла управление получает вирус, а потом во избежаниеподозрений управление передается обратно файлу-жертве. При внедрениикода вируса в конец файла используется способ дописывания. Код вирусадописывается в конец файла- жертвы, при этом головная часть файлаизменяется таким образом, что управление, опять же, первым получаетвирус, ну, а потом файл. При внедрении в середину файла вирус можетвоспользоваться несколькими вариантами. Первый — перенос части файла,вместо которой предполагается расположить код вируса, в конец. Второй —так называемое «раздвижение» кода файла. Третий — замещениенеисполняемых областей файла кодом вируса. Но каким бы из способоввирус ни воспользовался, ему опять придется изменять головную частьфайла-жертвы. Изменение головной части кода файла происходит двумяспособами. Наиболее распространен способ, при котором вирус точкувхода, «перенося» ее на принадлежащий ему участок. Но некоторые могутпросто добавить команду передачи управления — таким образом, файлстартует с оригинальной точки входа, а потом (по дописанной команде)передает управление коду вируса.
Вирусы-компаньоны (companion). Данный способ подразумеваетсоздание файла-двойника, при этом код файла-жертвы не изменяется.Обычно вирус изменяет расширение файла (например, с .exe на .com),потом создает свою копию с именем, идентичным имени файла-жертвы, идает ему расширение, тоже идентичное. Ничего не подозревающийпользователь запускает любимую программу и не подозревает, что этовирус. Вирус, в свою очередь, заражает еще несколько файлов и запускаетпрограмму, затребованную пользователем.
Существуют и еще способы заражения, но они настолько редковстречаются, что мы остановимся только на их перечислении: вирусы,заражающие объектные модули (obj); вирусы, заражающие библиотекикомпиляторов (lib); вирусы, заражающие исходные тексты программ.Известные на текущий момент загрузочные вирусы заражают загрузочныйсектор гибкого диска и boot-сектор или master boot record (mbr)винчестера. Принцип действия загрузочных вирусов основан на алгоритмахзапуска операционной системы при включении или перезагрузке компьютера— после необходимых тестов установленного оборудования (памяти, дискови т.д.) программа системной загрузки считывает первый физический секторзагрузочного диска (a:, c: или cd-rom в зависимости от параметров,установленных в bios setup) и передает на него управление. Призаражении дисков загрузочные вирусы «подставляют» свой код вместокакой-либо программы, получающей управление при загрузке системы.Принцип заражения, таким образом, одинаков во всех вышеописанныхспособах: вирус «заставляет» систему при ее перезапуске считать впамять и отдать управление не оригинальному коду загрузчика, а кодувируса. Заражение дискет производится единственным известным способом —вирус записывает свой код вместо оригинального кода boot-секторадискеты. Винчестер заражается тремя возможными способами: вирусзаписывается либо вместо кода mbr, либо вместо кода boot-секторазагрузочного диска (обычно диска c:), либо модифицирует адрес активногоboot-сектора в таблице разделов диска (disk partition table),расположенной в mbr винчестера. При инфицировании диска вирус вбольшинстве случаев переносит оригинальный boot-сектор (или mbr) вкакой-либо другой сектор диска (например, в первый свободный). Еслидлина вируса больше длины сектора, то в заражаемый сектор помещаетсяпервая часть вируса, остальные части размещаются в других секторах(например, в первых свободных). Макровирусы в основном заражаютдокументы ms office. При этом вирус добавляет свой код в областьмакросов документа. Расположение кода вируса в документах разныхприложений вышеописанного пакета разное, поэтому представить его можнотолько лишь схематично (см. рис. 2). Скрипт-вирусы — это вирусы,написанные на скрипт-языках (vbs, js, bat, php и т.д.). Заражают онифайлы довольно большого диапазона расширений: от .exe до .html.
Троянские программы
Троянская программа — это вредоносный код, совершающий несанкционированные пользователем действия (например, кража информации,уничтожение или модификация информации, использование ресурсов машины взлонамеренных целях и т.д.). Троянские программы являются наиболеераспространенными в киберсреде, так как существует множествоконструкторов, позволяющих даже неопытному пользователю создаватьсобственные программы данного типа.
Троянские утилиты удаленного администрирования (backdoor).Троянские программы этого класса являются утилитами удаленногоадминистрирования (управления) компьютеров. В общем, они очень похожина «легальные» утилиты того же направления. Единственное, чтоопределяет их как вредоносные программы, — это их действия без ведомапользователя. Данная программа при установке и\или загрузке не выдаетникаких уведомлений. Таким образом, обладатель конкретной копии данногоПО может без ведома пользователя осуществлять операции разного рода (отвыключения компьютера до манипуляций с файлами). Таким образом,троянские программы данного класса являются одними из наиболее опасных.Некоторые backdoor’ы, также могут распространяться по сети, как сетевыечерви, но не самостоятельно, а после соответствующей команды владельцакопии.
Похитители паролей (trojan-psw).Эти занимаются тем, что воруют пароли. Проникнув на компьютер иинсталлировавшись, троянец сразу приступает к поиску файлов, содержащихсоответствующую информацию. Кража паролей — не основная спецификацияпрограмм этого класса — они также могут красть информацию о системе,файлы, номера счетов, коды активации другого ПО и т.д.
Интернет-кликеры (trojan-clicker).Данное семейство троянских программ занимается организациейнесанкционированных обращений к интернет- ресурсам путем отправлениякоманд интернет-браузерам или подмены системных адресов ресурсов.Злоумышленники используют данные программы для следующих целей:увеличение посещаемости каких-либо сайтов (с целью увеличенияколичества показов рекламы); организация атаки на сервис; привлечениепотенциальных жертв для заражения вредоносным программным обеспечением.
Загрузчики (trojan-downloader).Эти трояны занимаются несанкционированной загрузкой программногообеспечения (вредоносного) на компьютер ничего не подозревающегопользователя. После загрузки программа либо инсталлируется, либозаписывается трояном в автозагрузку (это в зависимости от возможностейоперационной системы).
Установщики (trojan-dropper).Эти устанавливают на компьютер-жертву программы — как правиловредоносные. Анатомия троянцев этого класса следующая: основной код,файлы. Основной код собственно и является троянцем. Файлы — этопрограмма/ы, которая/ые он должен установить. Троянец записывает ее/ихв каталог (обычно временных файлов) и устанавливает. Установкапроисходит либо незаметно для пользователя, либо с выбросом сообщенияоб ошибке.
Троянские прокси-серверы (trojan-proxy). Семейство троянских программ, скрытно осуществляющих доступ к различным интернет-ресурсам — обычно с целью рассылки спама.
Шпионские программы (trojan-spy).Данные трояны осуществляют шпионаж за пользователем: записываниеинформации, набранной с клавиатуры, снимки экрана и т.д. В даннойкатегории также присутствуют «многоцелевые» троянские программы —например, те из них, которые одновременно шпионят за пользователем ипредоставляют proxy-сервис удаленному злоумышленнику.
Сокрытие присутствия в операционной системе (rootkit).Понятие rootkit пришло к нам из unix. Первоначально это понятиеиспользовалось для обозначения набора инструментов, применяемых дляполучения прав root. Так как инструменты типа rootkit на сегодняшнийдень «прижились» и на других ОС (в том числе на windows), следуетпризнать подобное определение rootkit морально устаревшим и неотвечающим реальному положению дел. Таким образом, rootkit —программный код или техника, направленная на сокрытие присутствия всистеме заданных объектов (процессов, файлов, ключей реестра и т.д.).Для поведения rootkit в классификации «Лаборатории Касперского»действуют правила поглощения: rootkit — самое младшее поведение средивредоносных программ. То есть, если rootkit-программа имеет троянскуюсоставляющую, то она детектируется как trojan.
Архивные бомбы (arcbomb). Вотэто интересная штука... дело в том, что такого рода архив при попыткеархиватора его обработать вызывает «нестандартные» действия последнего.Компьютер может просто зависнуть или его работа существенно замедлится.Также жесткий диск может заполниться бальшим колличесвом «пустой»информации. Встречаются три типа подобных «бомб»: некорректныйзаголовок архива, повторяющиеся данные и одинаковые файлы в архиве.Некорректный заголовок архива или испорченные данные в архиве могутпривести к сбою в работе конкретного архиватора или алгоритмаразархивирования при разборе содержимого архива. Значительных размеровфайл, содержащий повторяющиеся данные, позволяет заархивировать такойфайл в архив небольшого размера (например, 5 Гб данных упаковываются в200 Кб rar- или в 480 Кб zip-архив). Огромное количество одинаковыхфайлов в архиве также практически не сказывается на размере архива прииспользовании специальных методов (например, существуют приемы упаковки10100 одинаковых файлов в 30 Кб rar- или 230 Кб zip-архив).
Оповещение об атаке, увенчавшейся успехом (trojan-notifier).Троянцы данного типа предназначены для сообщения своему «хозяину» озараженном компьютере. При этом на адрес «хозяина» отправляетсяинформация о компьютере — например, его ip-адрес, номер открытогопорта, адрес электронной почты и т.п. Отсылка осуществляется различнымиспособами: электронным письмом, специально оформленным обращением квеб-странице «хозяина», icq-сообщением. Данные троянские программыиспользуются в многокомпонентных троянских наборах для оповещения«хозяина» об успешной инсталляции троянских компонент в атакуемуюсистему.
Прочие вредоносные программы
К прочим вредоносным относятся разнообразные программы, непредставляющие угрозы непосредственно компьютеру, на которомисполняются, а разработанные для создания других вирусов или троянскихпрограмм, организации dos-атак на удаленные серверы, взлома другихкомпьютеров и т.п. . Сетевые атаки (dos, ddos). Эти «утилиты»используются нарушителями для организации атак на отказ в обслуживании.При выполнении атаки в адрес жертвы отправляется большое количествопакетов, в результате оборудование не справляется, и наступает такназываемый «висюк». Программы данного класса бывают двух видов: первый— атака производится с компьютера злоумышленника по его приказу; второй— осуществляется распределительная атака путем заражения компьютеров(такой компьютер называется компьютером-зомби), пользователь работает всети и при этом не подозревает, что его компьютер — учасникраспределительной атаки, направленной на отказ в обслуживании.
Взломщики удаленных компьютеров (exploit, hacktool). Этипрограммы используются хакерами для удаленного взлома компьютеров сцелью дальнейшего управления ими. При этом эксплойты направленынепосредственно на работу с уязвимостями.
«Замусоривание» сети (flood). Забивание интернет-каналов бесполезной информацией.
Конструкторы (constructor). Софт,использующийся, как правило, малограмотными людьми, т.к. позволяютнаиболее просто создавать троянские программы и т.д. Люди знающиеобычно пишут свои;)).
Фатальные сетевые атаки (nuker).Утилиты, отправляющие специально оформленные запросы на атакуемыекомпьютеры в сети, в результате чего атакуемая система прекращаетработу. Используют уязвимости в программном обеспечении и операционныхсистемах, в результате чего сетевой запрос специального вида вызываеткритическую ошибку в атакуемом приложении.
Введение пользователя в заблуждение (bad-joke, hoax).Это, в общем-то, и вредоносной программой назвать нельзя. Этопрограммка, которая заставляет пользователя испытать страх,эквивалентный тому, который он ощущает при виде надписи типа: «warning!system has bin delete», ну, или что-то в этом роде.
Шифровальщики вредоносного ПО (filecryptor, polycryptor). Это хакерские утилиты, которые занимаются тем, что скрывают другое вредоносное ПО от антивирусных программ.
«Полиморфы» (polyengine).Этих вирусами можно назвать тоже с натяжкой, ведь, в принципе, в ихкоде не заложены действия на размножение, порчу информации и т.д. Новсе же...
Вот так и выглядит современная классификация вредоносногопрограммного обеспечения. Достаточно далеко от «стандартного» пониманиятого, что такое компьютерный вирус. Но теперь, видя в тревожномсообщении антивируса название обнаруженного кода, вы сможете осмысленноего прочитать и понять, что же этот конкретный код мог сделать с вашейсистемой или информацией. И еще: не думайте, что вредоносная программа— обязательно ужасно опасная вещь, ведь среди них встречаются и вполнебезобидные;).