Malware:

Virus – 16.02%Trojan – 68.34%Adware – 2.58% Worm – 11.69%Others – 1.37%

Кизько Б.А. ноябрь 2013

ВПО – программа, которая загружается без уведомления пользователя, выполняется без его разрешения и преследует цели создателя.

Виды:1. Компьютерные вирусы (КВ).2. Троянские кони (ТК).3. Потайные ходы (ПХ).4. Сетевые черви (СЧ).5. Rootkits (РК).6. Средства удаленных атак (СУА).7. Потенциально опасные программы (ПОП) – adware,

riskware, spam...

Несанкционированное:уничтожение, блокирование, модификация, копирование информации.

Нарушение работы ЭВМ, систем ЭВМ или их сети.

Конспект Книги на русском языкеПлатонов В.В. Программно-аппаратные средства защиты

информации /В.В. Платонов. – Москва: Издательский центр «Академия», 2013г. – 336 с. – (Сер. Бакалавриат)

Книги на английском языке Основные сайты по безопасности Интернет

1959 г. – статья Л. Пенроуза о самовоспроизводящихся механизмах в «Scientific American»1972 г. – игра «Darwin» М. Макилроя из AT&T Bell Laboritories. Игровая программа «Animal»1975 г. – J. Brunne «The Shockware Rider» <Tapeworm, распределённые программы, защита от обнаружения, заражение программ…>1977 г . – T.R. Ryan «The Adolescence of P-1» <заражение сети, стирание информации>

4.10.1957 г. – 1ый искусственный спутник Земли7.10.1957 г. – DARPA. Цель: обеспечить выживаемость инфраструктуры после ядерного удара.1980 г. – в ARPANET появилась программа, перепутывающая адреса эл. почты.Около 1966 г. – Robert Morris, Sr. Разработал идею программы, которую запрограммировали его друзья, Dennis Ritchie и Victor Vyssotsky. -> игра «Darwin»

1982 г. – первый вирус для Apple II, автор – Rich Skrenta. Вирус писал «ELK CLONER».

1985 г. – «пакистанский вирус»

Ноябрь 1976 г. – Диффи и Хеллман

1977 г. – RSA

Elk Cloner:

It will get on all your disksIt will infiltrate your chipsYes, it’s Cloner!

It will stick to you like glueIt will modify RAM tooSend in the Cloner!

1984 г. – Ф. Коэн (F. Cohen) разработал формальную модель КВ: «A virus is a program, that is able to infect other programs by modifying them to include a possibly evolved copy of itself».

Adleman: «A computer virus is a program that recursively and explicitly copies a possible evolved version of itself».

1987 г. – первая статья, посвященная КВ. А.А. Чижов, ВЦ АН СССР.Август 1988 г. – первый КВ обнаружен в лаборатории Института программных систем, Переславль-Залесский1989 г. – семинар «Системное программирование», Безруков Н.Н.1991 г. – Безруков Н.Н. «Компьютерная вирусология» – 1я «хорошая» книга

Исходные коды с комментариями

Появление ПК

Появление книг по программированию

Интернетwww.phrack.org

Компьютерный вирус – «программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам.» ГОСТ 51188-98

Степень опасностиОпасные, неопасные, чрезвычайно опасныеНаличие маскировкиЗащита от просмотра, защита от обнаруженияСреда обитанияАппаратная, программнаяСтратегия инфицирования (условия инфицирования и объект заражения)

Многократные попытки унификацииПоход Symantec:

Префикс.Имя.СуффиксПрефикс – платформа распространения (или тип вируса).Имя извлекается из тела вирусаСуффикс – для определения вирусов одного семейства.

ПрефиксыJavaW32 (Win32)Trojan (Troj)PWStealO2KMO97KMOMVBSW2KM

Суффиксы@m@mmFamilyWormGen

Неоднозначность именования вирусов у различных исследователей!

www.wildlist.org

Внедрение

Инкубационный период

Саморазмножение

Выполнение спец. Функций

Проявление

ФайловыеЗагрузочные

СетевыеМакровирусы

Файловые КВ поражают почти все типы исполняемых файлов.

EXE- и COM-файлы.dll

.drv – драйверы устройств.scr – оконные заставки

.chm – компилируемые HTML-файлы

.cpl – расширение панели управления.bpl – библиотеки Borland

.pif – информация о программе.vxd – драйверы вирт. устройств

Elf-файлы в *Nix-системах

Перезаписывающие КВПаразитические КВКомпаньон-вирусы

Вирусы-червиLink-вирусы

Вирусы, заражающие объектные (OBJ) модули, библиотеки компиляторов и исходные коды

программ

Носителем вируса становится файл, получаемый в процессе компоновки зараженного obj/lib-файла с другими объектными модулями и библиотеками.

Примеры: SrcVir, Urphin

Кен Томсон, 1981 г: «Не доверяйте кодам, которые писали не Вы»

Некоторые подвиды используют сжатие заражаемого файла

Записывают свой код в инфицируемый файл, уничтожая его содержимое.

Исходный файл – target.comВирус – virus.com

Зараженный файл:

Возможно внедрение в начало или конец файла

Target.com

Virus.com

Virus.com Target.com

Внедрение в начало файла (актуально для DOS)COM EXE

JMP

Программа

JMP

Программа

Вирус

1. Переименование заражаемого файлаДо заражения

После заражения

Пользователь запустит файл Target.exe, который содержит вирус, а уже тот запустит исходный файл

Target.exe Virus.com

Target.exdTarget.exe

2. Использование особенностей DOS

Пусть в директории C:\x\ лежат файлы:Target.bat, Target.com, Target.exe

Пользователь из командной строки выполняет команду C:\x\target (т.е. без указания расширения файла), и в этом случае DOS запустит файл Target.bat.

Приоритеты выполнения: .bat -> .com -> .exe

Armored VirusesМетоды защиты вирусов:- Защита от AV-средств;- Защита от дизассемблеров (antidisassembly);- Защита от отладчиков (antidebugging);- Защита от эвристик (antiheuristics);- Защита от эмуляции (antiemulation);-Защита от мишеней (antigoat).

Доступность AV привела к эволюции кода вирусов:- Использование шифрования;- Использование упаковщиков.

AV средства для обнаружения используют структуры (команды) модуля шифрования/расшифрования вируса.

Oligomorphic viruses (Олигоморфные вирусы)(гр. oligos – незначительный)

Изменение модуля и/или ключей шифрования от копии к копииИспользование набора модулей (W95/Memorial, WordSwap)

Полиморфизм – изменение модуля для каждой копии. Полиморфные вирусы.

1990 г. – первый полиморфный вирус, «1260». Автор – Mark Washburn.

Перестановка блоков внутри модуля, вставка команд «мусора».

1991(1992) г. – MtE (Mutation Engine). Автор – Dark Avenger, из Болгарии. Объектный модуль с подробной инструкцией.

MtE – первый известный полиморфный генератор для MS-DOS.

Полиморфные генераторы обеспечивают шифрование тела вируса случайным ключом и генерацию соответствующего случайного работающего расшифровщика. В итоге копии вирусов, зашифрованные полиморфными генераторами, могут не совпадать ни в одном байте и иметь разную длину.

Сам полиморфный генератор не является вирусом, поскольку не имеет алгоритма заражения файлов или иного способа размножения.

Известные полиморфные генераторы для MS-DOS:MtE (Mutation Engine)TPE (Trident Polymorphic Engine)NED (NuKE Encryption Device)SMEGTCEVICEDAME (Dark Avenger`s Mutation Engine)

Использование «мусорных команд»Код без «мусора»: Код, содержащий «мусор»

mov esi, start_of_virus_body mov esi, start_of_virus_body

mov ebx, decryption_key nop

mov ecx, virus_size mov ebx, decryption_key

decryption_loop: add edx, 105

xor [esi], ebx mov ecx, virus_size

inc esi xchg ebp, edx

loop decryption_loop jc decryption_loop:

decryption_loop:

xor [esi], ebx

push ebx

pop eax

inc esi

dec eax

loop decryption_loop

jcxz next

next:

Метаморфизм – мутация кода вируса при каждой инфекции, приводящая к изменениям функциональности.

Вставка мусораВарианты:

1) вставка кода, который аннулирует эффект предыдущей команды:Xchg eax, ebxXchg ebx, eax

Вставка мусора

Варианты:

2) вставка кода, который производит вычисления, которые далее не используются:Mov eax, 0Mov eax, ebx

2. Переименование переменных:Mov eax,0Push eaxPush ebx

3. Перестановка команд, не зависящих от данных.

4. Перестановка блоков команд (BadBoy).5. Замена эквивалентных последовательностейAdd eax, 5 Sub eax, -5

6. Вставка псевдоусловных переходов

7. Вставка безусловных переходов.8.Мутация полезной нагрузки и условий срабатывания.

ГОСТ 51188-98:Программные и программно-аппаратные методы.

Программно-аппаратные – с помощью спец. технических устройств. Пример: технологии NX-Bit (AMD Athlon 64), XD-Bit (Intel Pentium 4), Microsoft DEP. (защита оперативной памяти на уровне страниц)

Программные.1. Сигнатурный метод. Поиск по базе сигнатур.30 дней от запуска вируса до выпуска AV-сигнатуры.2. Резидентные «сторожа».3. Эвристический анализ.4. Обнаружение изменений.5. Вакцинирование программных средств6.Honeypot.7. HIPS и виртуализация.8. Blacklisting. «Чёрные списки» программ.9. Whitelisting. Bit9, 2008 г.

Основные принципы1. Контролируем то, что известно.2. Контролируем на самом низком уровне («low-level»).3. Контролируем «прозрачно» для запущенной программы.

Появление многофункциональных операционных систем для мобильных телефонов и КПК: Symbian, Windows Mobile, Android, iOs, Windows Phone.Массовое распространение телефонов, смартфонов и КПК с указанными выше ОС.Наличие у устройств нескольких коммуникационных интерфейсов (GSM/CDMA и др., Bluetooth, WiFi, IrDa).Неосторожность и пренебрежительное отношение со стороны пользователей устройств.Некоторые другие причины.

2000г. – распространение наборов команд, исполняемые телефоном, передавался через SMS.

Сообщения с командами забивали ячейки памяти и при удалении блокировали работу телефона. Наибольшее распространение получили команды для телефонов Siemens и Nokia.

Название – Cabir (Caribe)Дата появления – июнь 2004 г.Авторы – команда 29A, VallezЦелевая платформа – SymbianOSКанал распространения – BluetoothФункционал вируса: самораспространение по BT, расход заряда аккумулятора.Цель появления вируса – доказательство актуальности проблем инф. безопасности для мобильных устройств

Исходный код Cabir вскоре (2004 г.) стал доступен в результате утечки, что привело к массовому распространению по всему миру.Чемпионат мира по легкой атлетикe, Хельсинки. Моментальное распространение по стадиону. На стадионе в специальном месте F-Secure удаляли Cabir из памяти смартфонов зрителей.За всё время Cabir поразил смартфоны из (примерно) 20 стран.

Принцип действия: Cabir доставляется на телефон в виде SIS-файла, маскируясь под утилиту управления безопасностью, Caribe Security Manager. «Зараженный» смартфон начинает поиск других уязвимых аппаратов и пересылает на них файл, содержавший червя. Вирус не уничтожает пользовательские данные, но блокирует санкционированные Bluetooth-соединения и потребляет ресурсы аккумулятора (заряда хватало примерно на 2 часа).

2004 г. – вирус Duts, первый вирус для Windows Mobile. Duts заражал исполняемые файлы, однако перед заражением спрашивал разрешения у пользователя КПК или коммуникатора. Brador - первый в мире backdoor для телефонов. Brador ожидал подключения зараженного устройства к Сети, и как только оно было установлено, отправлял IP-адрес устройства "хозяину" по e-mail и открывал особый порт. "Хозяин", подключившись через этот порт к инфицированному устройству, мог получить доступ к его файлам, самому отправлять ему те или иные файлы и выводить на его экран текстовые сообщения.

Март 2005 г. – червь CommWarrior-A. CommWarrior атаковал Symbian-аппараты на S60 и распространялся через Bluetooth или MMS. Вирус проникал в трубку и сразу начинал рассылать заражённые MMS всем контактам из адресной книги. CommWarrior оказался зловреднее Cabir, так как не только выводил аппарат из строя, но и подрывал финансовое положение пользователей несанкционированной рассылкой MMS.

Шпион Flexispy (50 долларов США) – устанавливал контроль над смартфоном, отсылал информацию о звонках и SMS.Cxover – первый мобильный вирус, распространявшийся в различных ОС. При запуске он определяет ОС, проникает в компьютер и ищет доступные мобильные устройства через ActiveSync. Затем вирус копирует себя на найденное устройство. Попав в смартфон, программа пытается проделать обратную процедуру – скопировать себя на персональный компьютер. Вирус может удалять пользовательские файлы на мобильном устройстве.

Вирус-троян RedBrowser – платформа Java ME. Троян маскируется под программу, позволяющую посещать WAP-сайты без настройки WAP-подключения. Авторы программы сообщают, что такая возможность достигается за счёт бесплатных SMS. На деле вирус начинает рассылать SMS на платные мобильные сервисы. Стоимость одного сообщения может достигать 5-6 долларов США, а отправляются они непрерывно. Таким образом, RedBrowser может за несколько минут разорить абонента. После атаки вируса счёт пользователя обнуляется, а в случае кредитной системы оплаты даже уходит в глубокий минус.

Вирус-троян Webster

Январь 2008 г. – первый вирус для iPhone. Удалял файлы из /bin, где лежат исполняемые файлы всех приложений.11.04.2011 – вирус для iOs4, автор – s7ranger. Удаляет всю информацию с устройства (iPhone 3GS, iPhone 4, iPad, iPad 2 и iPod Touch), в том числе и все контакты с SIM-карты.http://newapples.ru/news/ostorozhno-poyavilsya-virus-dlya-ios-4.html

1. Кража персональной информации. Контакты владельца, пароли от программ, параметры учетных записей (Google Play, AppStore). Пример – Android.Gemini. Попадая в систему, Android.Gemini определяет местоположение смартфона, загружает файлы из Интернета, считывает и записывает закладки браузера, получает доступ к контактам, совершает звонки, отправляет, читает и редактирует SMS-сообщения.2. Отправка платных SMS. Android.SmsSend, Webster, RedBrowser и др.3. Мошенничество. Использование интернет-банка.Пример – Trojan-Spy.SymbOS.Zbot.a.

1. Не получать файлы от недоверенных лиц.2. Не переходить по ссылкам от недоверенных лиц.3. Открывать файлы, полученные от третьих лиц (даже от доверенных), с осторожностью.4. Не устанавливать фальшивые антивирусные средства.5. Иметь в наличии AV.6. Общее усиление системы (установка обновлений и др.)7. Резервное копирование всей важной информации.8. Не хранить в плохо защищённых системах важную информацию.