Rodzaje szkodliwego oprogramowania
52
Rodzaje szkodliwego oprogramowania \ w i r u s y / r o b a k i / k o n i e t r o j a ń s k i e/ k e y l l o g e r y / k e y l l o g e r y / w i r u s y / k o n i e t r o j a ń s k i e / \ b o m b y l o g i c z n e/ z a r a z k i / e x p l o i t y / d o w n l o a d e r y / d i a l e r y / d r o p p e r y / i n i e k t o r y / \ k i t y / s p a m / f l o o d e r y / r o o t k i t y / w i r u s y / r o b a k i / k o n i e t r o j a ń s k i e / k e y l l o g e r y / \ k e y l l o g e r y / d i a l e r y / d r o p p e r y / i n i e k t o r y / k i t y / s p a m / f l o o d e r y / r o o t k i t y / \ w i r u s y / r o b a k i / k o n i e t r o j a ń s k i e/ k e y l l o g e r y / k e y l l o g e r y / w i r u s y / k o n i e t r o j a ń s k i e / \ b o m b y l o g i c z n e/ z a r a z k i / e x p l o i t y / d o w n l o a d e r y / d i a l e r y / d r o p p e r y / i n i e k t o r y / \ k i t y / s p a m / f l o o d e r y / r o o t k i t y / w i r u s y / r o b a k i / k o n i e t r o j a ń s k i e / k e y l l o g e r y / \ k e y l l o g e r y / d i a l e r y / d r o p p e r y / i n i e k t o r y / k i t y / s p a m / f l o o d e r y / r o o t k i t y /
description
Rodzaje szkodliwego oprogramowania. \ w i r u s y / r o b a k i / k o n i e t r o j a ń s k i e/ k e y l l o g e r y / k e y l l o g e r y / w i r u s y / k o n i e t r o j a ń s k i e / - PowerPoint PPT Presentation
Transcript of Rodzaje szkodliwego oprogramowania
Rodzaje szkodliwego oprogramowania
\ w i r u s y / r o b a k i / k o n i e t r o j a ń s k i e/ k e y l l o g e r y / k e y l l o g e r y / w i r u s y / k o n i e t r o j a ń s k i e /
\ b o m b y l o g i c z n e/ z a r a z k i / e x p l o i t y / d o w n l o a d e r y / d i a l e r y / d r o p p e r y / i n i e k t o r y /
\ k i t y / s p a m / f l o o d e r y / r o o t k i t y / w i r u s y / r o b a k i / k o n i e t r o j a ń s k i e / k e y l l o g e r y /
\ k e y l l o g e r y / d i a l e r y / d r o p p e r y / i n i e k t o r y / k i t y / s p a m / f l o o d e r y / r o o t k i t y /
\ w i r u s y / r o b a k i / k o n i e t r o j a ń s k i e/ k e y l l o g e r y / k e y l l o g e r y / w i r u s y / k o n i e t r o j a ń s k i e /
\ b o m b y l o g i c z n e/ z a r a z k i / e x p l o i t y / d o w n l o a d e r y / d i a l e r y / d r o p p e r y / i n i e k t o r y /
\ k i t y / s p a m / f l o o d e r y / r o o t k i t y / w i r u s y / r o b a k i / k o n i e t r o j a ń s k i e / k e y l l o g e r y /
\ k e y l l o g e r y / d i a l e r y / d r o p p e r y / i n i e k t o r y / k i t y / s p a m / f l o o d e r y / r o o t k i t y /
Terminologia złośliwego oprogramowania
Potrzeba zdefiniowania jednolitej nomenklatury dotyczącej złośliwych programów jest niemal tak stara jak same wirusy. Oczywiście, w każdej klasyfikacji tkwią pułapki. Poszczególne klasy bowiem pokrywają się i często pozostają w bezpośredniej bliskości z podklasami innych klas.
Terminologia złośliwego oprogramowania
Nazwa szkodliwe oprogramowanie dotyczy wielu zagrożeń. Większości z nich można zaradzić w pewnym stopniu za pomocą oprogramowania antywirusowego. Większość programów antywirusowych wykrywa więcej niż tylko wirusy. Nawet programy przystosowane do rozpoznawania tylko jednego rodzaju wirusa muszą rozróżniać zainfekowane i nie zainfekowane obiekty. Z drugiej strony żaden program antywirusowy nie wykrywa wszystkich znanych wirusów (chociażby ze względu na czas od momentu wykrycia nowego zagrożenia do przygotowania uaktualnienia dla programu).
Klasyfikacja szkodliwego oprogramowania
M E N U wirusy iniektory robaki kity konie trojańskie programy spamujące bomby logiczne floodery zarazki keyllogery exploity rootkity dowlnoadery inne dialery droppery
Kliknij aby wybrać
Wirusy
Wirus komputerowy – to najczęściej prosty program komputerowy, który w sposób celowy powiela się bez zgody użytkownika. Wirus komputerowy w przeciwieństwie do robaka komputerowego do swojej działalności wymaga nosiciela w postaci programu komputerowego, poczty elektronicznej itp.
Wirusy wykorzystują słabość zabezpieczeń systemów komputerowych lub właściwości systemów oraz niedoświadczenie i beztroskę użytkowników.
Często wirusami komputerowymi mylnie nazywane są wszystkie złośliwe programy.
Rodzaje wirusów komputerowych
Wirusy można podzielić według wielu kryteriów. Przykładowy podział ze względu na infekowany obiekt:
wirusy dyskowe, infekujące sektory startowe dyskietek i dysków twardych
wirusy plikowe, które infekują pliki wykonywalne danego systemu operacyjnego
wirusy skryptowe makrowirusy, których kod składa się z instrukcji w języku
wysokiego poziomu, wykonywane przez interpreter. wirusy komórkowe, na razie dość rzadkie ale być może w
przyszłości mogą stanowić istotne zagrożenie w związku z rozwojem oprogramowania dla telefonów komórkowych i dostępnych usług.
Rodzaje wirusów komputerowych
Makrowirusy
Towarzyszące
Plików wsadowych
Pasożytnicze
Makrowirusy
Makrowirusy są wirusami, które nie zarażają programów uruchamialnych lecz dokonują destrukcji dzięki wykonywaniu swojego kodu zapisanego w plikach dokumentów Microsoft Office (doc, xls). W programie Microsoft Word jest to język WordBasic, a w programie Microsoft Excel jest to Visual Basic for Applications. Są to wirusy bardzo łatwo wykrywalne, a ponadto ich działanie może zostać zablokowane przez macierzyste aplikacje. Od chwili, gdy aplikacje Microsoft Office ostrzegają o istnieniu makr, wirusy tego typu nie są bardzo groźne, nie powstają także nowe. Wirusy tego typu mogą działać w programach Microsoft Office w środowisku Macintosh, pojawiały się jeszcze w pierwszych latach XXI wieku, ale nie były szczególnie groźne ani powszechne.
Towarzyszące
Wirusy towarzyszące to rodzaj klasycznych wirusów plikowych, które nie modyfikują atakowanego pliku. Zamiast tego tworzą jego kopię zawierającą wirusa. Podczas uruchamiania zainfekowanego pliku, pierwsza aktywowana zostanie kopia zawierająca wirusa. Przykładowo wirus może zmienić nazwę pliku notepad.exe na notepad.exd i dopisać swój własny kod do pliku z oryginalną nazwą. Przy każdym uruchomieniu pliku notepad.exe przez użytkownika, najpierw aktywowany będzie kod wirusa, a dopiero potem oryginalny plik Notatnika - notepad.exd.
Pasożytnicze
Większość z istniejących wirusów to tzw. wirusy pasożytnicze. Charakteryzują się one tym, że wykorzystują swoje ofiary do transportu. Modyfikują ich strukturę wewnętrzną i oczywiście nie naprawiają jej. Plik użyty do transportu jest uszkodzony. Jedynym dla niego ratunkiem może być użycie szczepionki lub kopii zapasowych dla zainfekowanych plików.
Ze względu na miejsce zajmowane w zainfekowanych plikach wirusy pasożytnicze dzielimy na:
Wirusy lokujące się na końcu pliku (ang. end of file infectors). Dopisują kod wirusa na koniec pliku, a następnie modyfikują początek pliku tak, aby wskazywał na wirusa.
Wirusy nadpisujące. Lokują się na początku pliku, zwykle nie zapamiętują poprzednich danych w pliku i nieodwracalnie go niszczą.
Pasozytnicze cd.
Wirusy nagłówkowe (ang. header infectors). Lokują się w nagłówkach plików EXE przeznaczonych dla systemu DOS. Ich nagłówek jest zawsze standardowo ustawiany przez programy linkujące na wielokrotność jednego sektora (512 bajtów). Wirusy te nie przekraczają rozmiaru jednego sektora.
Wirusy lokujące się w pliku w miejscach gdzie jest jakiś pusty obszar. Obszar ten wypełniony jest ciągiem zer i można go nadpisać nie niszcząc pliku. Są to cave infectors.
Wirusy lokujące się w dowolnym miejscu pliku. Są bardzo rzadkie i trudne do napisania, to tzw. surface infectors.
Wirusy wykorzystujące część ostatniej JAP (Jednostki Alokacji Pliku). Korzystają z faktu, iż plik rzadko zajmuje dokładnie wielokrotność jednej JAP. Są to tzw. slack space infector.
Plików wsadowych
Są to tzw. batchviruses, gdyż pliki wsadowe to pliki o rozszerzeniu BAT. Wirusy te wykorzystują do transportu właśnie pliki BAT. Potrafią wbrew pozorom być bardzo niebezpieczne i infekować również pliki COM oraz EXE, a nawet tablice partycji dysku. Po uruchomieniu zainfekowanego pliku wsadowego tworzony jest plik uruchamialny COM lub EXE, który zawiera właściwy kod infekujący pliki BAT. Plik BAT jest następnie kasowany, a plik wykonywalny jest uruchamiany.
Robaki
Robaki uważane są za podzbiór wirusów. Są to programy komputerowe, które rozprzestrzeniają się samodzielnie, ale nie infekują jednak innych plików: instalują się na komputerze ofiary oraz wypatrują sposobu rozprzestrzeniania.
Użytkownik z łatwością może zauważyć różnice. Im dłużej wirus pozostaje niewykryty tym bardziej zainfekowane są pliki na komputerze ofiary. W przypadku robaka wyróżnia się tylko pojedynczy przykład kodu robaka. Ponadto kod robaka jest "samodzielny", a nie dodawany do istniejących plików na dysku.
Można przyjąć następująca klasyfikacje:
Według mechanizmu
Transportu Uruchamiania
Robaki
Według mechanizmu transportu: Robaki pocztowe rozpowszechniane poprzez pocztę email. Robaki rozpowszechniane przy użyciu innych protokołów
(nie pocztowych) – np. TCP/IP.
Według mechanizmu uruchamiania: Robaki uruchamiające się samodzielnie, takie jak na przykład
Morris/ Internet Worm, nie wymagające interakcji z ofiarą. Są one obecnie rzadko spotykane, ale można do nich zaliczyć KAK, BubblBoy i inne wirusy skryptowe korzystające z luki domyślnego (nie poprawionego) środowiska Micfosoft Outlook. Luka ta pozwala im ma uruchomienie się bez interakcji użytkownika.
Robaki uruchamiane przez użytkownika potrzebują interakcji z użytkownikiem i stosują w tym celu różne techniki inżynierii społecznej.
Robaki hybrydowe używają obu tych mechanizmów.
Konie trojańskie
Nazwa trojan pochodzi od drewnianego konia, którym posłużyli się Grecy, aby podstępem wtargnąć do miasta Troi i je zdobyć.
Pierwsze trojany, które pojawiły się pod koniec lat 80, miały postać nieszkodliwych programów. Po uruchomieniu przez niczego nie podejrzewającego użytkownika trojan aktywował swoją szkodliwą funkcję. Stąd powstała książkowa definicja trojana jako pozornie legalnego programu, który nie potrafi się samodzielnie rozprzestrzeniać, a jego celem jest wykonanie jakiejś szkodliwej czynności na komputerze ofiary.
Konie trojańskie
Jednym z kluczowych cech odróżniających trojany od wirusów i robaków jest to, że konie trojańskie nie potrafią się samodzielnie rozprzestrzeniać. Upowszechnienie się Internetu i rozwój Sieci WWW zapewniły łatwy mechanizm dystrybucji trojanów.
Obecnie trojany są bardzo powszechne. Zazwyczaj instalują się niepostrzeżenie i wykonują swoje funkcje w sposób niezauważalny dla użytkownika.
Konie trojańskie
Podobnie jak wirusy i robaki, trojany można sklasyfikować do różnych kategorii na podstawie ich funkcji.
PSW
Notifier
Archive Bomb
Dropper
Downloader
Proxy
Spy
Clicker
Backdoor
Trojany
Konie trojańskie
Trojan backdoor – zapewnia swojemu autorowi lub osobie, która go kontroluje, zdalne "zarządzanie" komputerami ofiar.
Konie trojańskie
Trojan notifier – informuje swojego autora lub osobę, która go kontroluje, o tym, że złośliwy kod został zainstalowany na komputerze ofiary, i przekazuje informacje o adresie IP, otwartych portach, adresach IP itd.
Trojany typu Archive Bomb – mają na celu sabotowanie programów antywirusowych. Przybierają postać specjalnie skonstruowanego zarchiwizowanego pliku, który "eksploduje", kiedy dekompresor programu antywirusowego otwiera archiwum w celu skanowania. W rezultacie, następuje awaria komputera, jego działanie ulega spowolnieniu lub komputer wypełnia się niepotrzebnymi danymi
Konie trojańskie
Trojan PSW – kradnie hasła z komputerów ofiar (niektóre trojany tego typu kradną również inne rodzaje informacji: adresy IP, dane potrzebne do rejestracji, informacje o kliencie poczty elektronicznej itd.).
Fragment trojana Trojan-PSW.Win32.OnLineGames.fs, kradnącego hasła, głównie do gry MapleStory
Konie trojańskie
Trojan spy – śledzi aktywność użytkownika, zapisuje zebrane informacje na jego dysku twardym, a następnie przesyła je autorowi trojana lub osobie, która go kontroluje.
Downloadery
Downloadery – to kolejna grupa szkodliwych programów zaliczanych do trojanów, które instalują w atakowanym systemie zestawy innych elementów.Zazwyczaj przesyłane są w listach elektronicznych i po uruchomieniu (czasami wspomaganym przez exploita) ładują szkodliwą zawartość ze strony internetowej bądź innej lokalizacji, po czym wypakowują ją i uruchamiają.
Droppery
Celem trojana droppera, jest zainstalowanie złośliwego kodu na komputerze ofiary. Szkodniki te instalują na komputerze inny złośliwy program lub nową wersję wcześniej zainstalowanego szkodnika.Droppery często wykorzystywane są do przenoszenia znanych trojanów, ponieważ znacznie łatwiej jest napisać droppera niż zupełnie nowego trojana, którego program antywirusowy nie będzie w stanie wykryć. Najczęściej pisane są przy użyciu języka: VBS JavaScript,
Dlatego można je łatwo stworzyć i mogą być wykorzystywane do wykonywania licznych zadań.
Konie trojańskie
Trojan clicker – przekierowuje komputery ofiar na określoną stronę internetową, aby zwiększyć "liczbę odwiedzin" strony, w celach reklamowych, w celu przeprowadzenia ataku DoS na określoną stronę lub skierowania ofiary na stronę internetową zawierającą inny złośliwy kod.
Bomby logiczne
Bomba logiczna - (ang. logic bomb) to fragment kodu programu komputerowego (często wirusa zawartego w zwykłym programie lub robaka), umieszczony w nim bez wiedzy użytkownika. Przykładowe warunki zaktywizowania bomby logicznej:
określona data/godzina/dzień tygodnia utworzenie/usunięcie danego pliku uruchomienie programu zalogowanie się danego użytkownika połączenie z internetem dana liczba uruchomień programu ilości danych
Bomby logiczne
Aktywowana bomba logiczna może mieć dowolne działanie, np.: skasowanie danych, zmiana haseł, zawieszenie systemu, dokonanie ataku typu DoS, czy umożliwienie autorowi przejęcia kontroli nad komputerem. Najczęściej spotykanym typem bomb logicznych są bomby czasowe (ang. time bomb), wykonujące się o określonym czasie. Działały w ten sposób m.in. sławne wirusy Michał Anioł oraz Czarnobyl, które przed kilkoma laty spowodowały ogromne straty, atakując komputery na całym świecie.
Zarazki
Zarazki - (ang.germs) to wirusy w formie pierwszej generacji, która nie pozwala uruchamiać zwykłych procesów infekcyjnych. Zazwyczaj, gdy wirus kompilowany jest po raz pierwszy, ma on postać specjalną i zwykle nie ma przyłączonego programu gospodarza. Zarazki nie mają zakodowanych oznaczeń, których większośc wirusów w drugiej generacji używa do oflagowania zainfekowanych plików, zapobiegajacych ponowieniu infekowaniu już zarażonych obiektów.
Zarazek wirusa zaszyfrowanego lub polimorficznego nie jest zaszyfrowany i występuje w prostym, czytelnym kodzie. Wykrywanie zarazków może więc przebiegać inaczej niż detekcja infekcji wywoływanych przez wirusy grugiej i kolejnych generacji.
Exploity
Celem exploita jest automatyczne uruchomienie programu (o ile to możliwe, zdalnie, poprzez sieć) w systemie lub tez zapewnienie atakującemu wyższych uprawnień dostępu do systemu. Kod exploita jest specyficzny dla pojedynczej luki lub zestawu luk w zabezpieczeniach.
Dialery
Dialer – to wyspecjalizowany rodzaj programu komputerowego do łączenia się z Internetem za pomocą modemu. Niekiedy program tego rodzaju, instalowany w komputerze bez wiedzy i zgody użytkownika, jest wykorzystywany do nawiązywania połączenia z siecią.
Nieświadoma instalacja dialera ma najczęściej miejsce przy wchodzeniu na strony pornograficzne lub z nielegalnym oprogramowaniem i plikami mp3.
Programy zagrażają użytkownikowi tylko wtedy, kiedy używa modemu podłączonego do linii telefonicznej.
Dialery - cechy
Cechy charakterystyczne szkodliwego dialera:
podczas otwierania żądanej strony internetowej pojawiają się wyskakujące okienka,
informacja o cenie, jeśli w ogóle się pojawia, jest prawie niewidoczna,
okienko nie znika nawet po wciśnięciu komendy „anuluj”,
w trakcie połączenia poprzez dialer nie pokazuje się na ten temat żadna informacja,
dialer dokonuje połączenia niezależnie od woli i reakcji użytkownika,
dialera nie da się odinstalować w konwencjonalny sposób.
Kity (generatory wirusów)
Kity to zestawy programistyczne dla twórców wirusów, które służą do automatycznego generowania wirusów.
Najbardziej znane generatory wirusów :
IVP – Instant Virus Production Kit VCL – Virus Construction Laboratory PS-MPC – Phalcon-Skism Mass Produced Code Generator G2 – G Squared NRLG – Nuke Randomic Life Generator
Programy spamujące
Programy spamujące – służą do rozsyłania niechcianych wiadomości do grup użytkowników komunikatorów, do grup dyskusyjnych oraz wszelkiego rodzaju urządzeń w formie listów elektronicznych czy komórkowych wiadomości SMS.
Programy spamujące
Aby określić wiadomość mianem spamu, musi ona spełnić trzy następujące warunki jednocześnie:
1. Treść wiadomości jest niezależna od tożsamości odbiorcy. 2. Odbiorca nie wyraził uprzedniej, zamierzonej zgody na
otrzymanie tej wiadomości. 3. Treść wiadomości daje podstawę do przypuszczeń, iż
nadawca wskutek jej wysłania może odnieść zyski
nieproporcjonalne w stosunku do korzyści odbiorcy.
Szkodliwość spamu
Spam jest szkodliwy z kilku przyczyn:
Powoduje zatykanie się łączy i blokuje miejsce na twardych dyskach.
Przetworzenie spamu zabiera czas serwerom, spowalniając ich działanie.
Powoduje również stratę czasu poszczególnych użytkowników Internetu,
Utrudnia czytanie „normalnej” poczty i stwarza ryzyko jej utraty (z powodu blokad antyspamowych albo przepełnienia skrzynki) lub niezauważenia (z powodu „przysypania” przychodzącym spamem). Zwiększa w ten sposób koszty pracy osób zawodowo korzystających z poczty elektronicznej.
Szkodliwość spamu
Spam jest szkodliwy z kilku przyczyn:
Naraża operatorów internetowych i użytkowników na dodatkowe koszty ponoszone na przeciwdziałanie pladze.
Narusza prywatność i bezpieczeństwo odbiorców, ponieważ często zawiera treści, których nie życzyliby sobie oglądać, np. obraźliwe, pornograficzne, nieodpowiednie dla dzieci.
Spam wiąże się często z różnego rodzaju wirusami i innymi złośliwymi programami.
Floodery
Floodery są wykorzystywane do atakowania sieciowych systemów komputerowych.
Można wyróżnić kilka rodzajów ataku:Dos – (Denial of Service) polega na nadmiernym obciążeniu ruchu w sieci.DDoS – gdy DoS przeprowadzany jest jednoczesnie z wielu komputerów, nad którymi przejął kontrolę (zombie) SYN – przepełnienie bufora pakietów
Istnieją także inne bardziej złożone formy ataku jak: ataki z fragmentacją pakietów, ataki sekwencyjne, niesekwencyjne, wzmocnienie ruchu odchylenie ruchu i inne.
Flooder gg
Flooder gg
Keyloogery
Zadaniem keyllogera jest przechwytywanie wpisywanych za pomocą klawiatury zaatakowanego komputera i zdobywanie informacji tą drogą ważnych informacji. Informacjami tymi mogą być:
nazwy, hasła, numery PIN, daty urodzin, numery kont bankowych, numery kart kredytowych.
Ghost
Keyloogery
Keylooger jest instalowany w systemie i może pozostawać w nim, niezauważalny dla użytkownika, przez długie tygodnie. Atakujący często wykorzystują keyloggery do kradzieży tożsamości.
Rootkity
Rootkit – to narzędzie pomocne we włamaniach do systemów informatycznych. Ukrywa on niebezpieczne pliki i procesy, które umożliwiają utrzymanie kontroli nad systemem.
Rootkity - cechy
Infekuje jądro i usuwa ukrywane programy z listy procesów oraz plików zwracanych do programów.
Może ukryć siebie oraz trojana przed administratorem oraz oprogramowaniem antywirusowym.
Ukrywanie odbywa się najczęściej przez przejęcie wybranych funkcji systemu operacyjnego, służących np. listowaniu procesów lub plików w katalogu, a następnie "cenzurowaniu" zwracanych przez te funkcje wyników tak, by ukrywane przez rootkit nazwy nie znajdowały się na wynikowej liście.
Pozostałe kategorie
Dowcipy
AdwareI spyware
Łańcuszki
Łańcuszki
Dowcipy
Adware i spyware
Źródła zagrożeń roku 2008
Surfowanie po Internecie bez zainstalowanych zabezpieczeń ma niebezpieczne konsekwencje, szczególnie gdy liczba zagrożeń internetowych zwiększyła się o 2000% w porównaniu z 2005 r. Z badań Trend Micro wynika, że ponad 50% spośród 100 najbardziej szkodliwych programów istniejących w 2008 r. pochodzi z Internetu. Są one nieświadomie pobierane przez użytkowników odwiedzających nieznane i złośliwe witryny.
Źródła zagrożeń roku 2008
Najczęstsze źródła infekcji :
Wirusy i robaki XI 2008
Kaspersky Lab, producent rozwiązań do ochrony danych, zaprezentował listę szkodliwych programów, które najczęściej atakowały użytkowników w listopadzie 2008 r. Szkodliwe programy, wykrywane na komputerach użytkowników przez produkty antywirusowe z linii 2009.
Wirusy i robaki XI 2008
Podział najpopularniejszych szkodliwych programów na kategorie, listopad 2008
Wirusy i robaki XI 2008
Drugie zestawienie pokazuje statystyki dotyczące szkodliwych programów, które najczęściej infekują obiekty na atakowanych maszynach. Większość programów w tym rankingu potrafi infekować pliki.
Literatura:
- Fascynacja analizą szkodliwego oprogramowania- Szkodliwe programy- http://www.wikipedia.pl- http://viruslist.pl
WYKONAŁ:
Łukasz Nowak
EB3Sem. VII
