Вирусы и средства борьбы с ними

       

Способы проникновения


Задачу проникновения на компьютер пользователя трояны решают обычно одним из двух следующих методов.

  1. Маскировка — троян выдает себя за полезное приложение, которое пользователь самостоятельно загружает из Интернет и запускает. Иногда пользователь исключается из этого процесса за счет размещения на Web-странице специального скрипта, который используя дыры в браузере автоматически инициирует загрузку и запуск трояна.

    Пример. Trojan.SymbOS.Hobble.a является архивом для операционной системы Symbian (SIS-архивом). При этом он маскируется под антивирус Symantec и носит имя symantec.sis. После запуска на смартфоне троян подменяет оригинальный файл оболочки FExplorer.app на поврежденный файл. В результате при следующей загрузке операционной системы большинство функций смартфона оказываются недоступными

    Одним из вариантов маскировки может быть также внедрение злоумышленником троянского кода в код другого приложения. В этом случае распознать троян еще сложнее, так как зараженное приложение может открыто выполнять какие-либо полезные действия, но при этом тайком наносить ущерб за счет троянских функций.

    Распространен также способ внедрения троянов на компьютеры пользователей через веб-сайты. При этом используется либо вредоносный скрипт, загружающий и запускающий троянскую программу на компьютере пользователя, используя уязвимость в веб-браузере, либо методы социальной инженерии - наполнение и оформление веб-сайта провоцирует пользователя к самостоятельной загрузке трояна. При таком методе внедрения может использоваться не одна копия трояна, а полиморфный генератор, создающий новую копию при каждой загрузке. Применяемые в таких генераторах технологии полиморфизма обычно не отличаются от вирусных полиморфных технологий.

  2. Кооперация с вирусами и червями — троян путешествует вместе с червями или, реже, с вирусами. В принципе, такие пары червь-троян можно рассматривать целиком как составного червя, но в сложившейся практике принято троянскую составляющую червей, если она реализована отдельным файлом, считать независимым трояном с собственным именем.
    Кроме того, троянская составляющая может попадать на компьютер позже, чем файл червя.

    Пример. Используя backdoor-функционал червей семейства Bagle, автор червя проводил скрытую инсталляцию трояна SpamTool.Win32.Small.b, который собирал и отсылал на определенный адрес адреса электронной почты, имевшиеся в файлах на зараженном компьютере.

    Нередко наблюдается кооперация червей с вирусами, когда червь обеспечивает транспортировку вируса между компьютерами, а вирус распространяется по компьютеру, заражая файлы.

    Пример. Известный в прошлом червь Email-Worm.Win32.Klez.h при заражении компьютера также запускал на нем вирус Virus.Win32.Elkern.c. Зачем это было сделано, сказать тяжело, поскольку вирус сам по себе, кроме заражения и связанных с ошибками в коде вредоносных проявлений (явно выраженных вредоносных процедур в нем нет), никаких действий не выполняет, т. е. не является "усилением" червя в каком бы то ни было смысле.




Содержание раздела