1. Форум RCClub объявляет набор в команду ПроТестеров.

    Оплата $5 за трип-репорт, приоритетное получение пробников, официальный статус «ПроТестер» и другое.

    Подробности

    Скрыть объявление
  2. Всем продавцам Форума RCClub бесплатно предоставляется собственный рекламный торговый раздел, веб-сайт автопродаж и неблокируемый Telegram бот!

    Возможность круглосуточно семь дней в неделю принимать оплаты EasyPay, GlobalMoney, WEX, EXMO, BTCU.biz, Qiwi, Bitcoin, Litecoin и выдавать адреса покупателям без участия оператора!

    Как получить статус продавца?

    Скрыть объявление
  3. RCClub первый Форум, который запустил денежное вознаграждение пользователей за общение!

    Мы платим за сообщения, за написание трип-репортов, за публикацию полезной информации и авторского текста, за приглашение новых активных пользователей и магазинов, мы дарим бонус за регистрацию, и не останавливаемся на этом!

    Общайтесь и зарабатывайте!

    Подробности

    Скрыть объявление

 GramRC Школа_Paranoid_a: ВИРУСЫ

Тема в разделе "Безопасность в сети", создана пользователем _Paranoid_, 16 сен 2014.

  1. _Paranoid_

    _Paranoid_ Местный GramRC

    Регистрация:
    28 фев 2014
    Сообщения:
    119
    Симпатии:
    138
    Вирусы

    * Что такое вирус
    Вирус (интернет, не путать с человеческим вирусом!) - это программа с вредоносным кодом. Кто решает что он вредоносный? Начнем копать рунет... Ну и как говорил незабвенный Глеб Жеглов потирая руки в лице Владимира Высоцкого "Ну_с господа дорогие преступнички и уголовнички (ими вы станете если не изучите досконально данную тему) преступим к делу". Как всем известно по статистике большинство компьютерных вирусов пишется не профессионалами, а обыкновенными малолетними долбоёбами и ламерами - "пионерами" в простейших программах с графическим интерфейсом пользователя где простейшим методом "втыкания" нужных этим придуркам функций они просто ставят соответствующие галочки в заданных полях. Ни для кого не секрет что 95% этих программ заражают и самого ламера который их использует (ну не так же ему просто скачать дали, процент альтруизма в этой области минимален)
    P.S. Внимание!!! Пост в начапьной стадии разработки, пожелания и уточнения принимаются (впрочем как и на остальных постах).
    * Как создают вирусы
    Текстовые вирусы
    Начнем с азов - что же собой представляет текстовый вирус и кто его вообще первоначально придумал. Рассмотрим на примере простейшего.

    Рассмотрим на примере стандартной программы подобного типа "Apokalipses 2.5" что же могут сотворить с машиной простого банального пользователя "пионэры" пользующиеся подобного рода программами. Кстати сразу замечу - использование подобных программ попадает под 273 статью уголовного кодекса РФ о создании вредоносных программ для ЭВМ, впрочем подобный контингент это не сильно парит. Итак, основной стандартный набор опций примерно таков:























    * Классификация вирусов
    Поскольку разнообразие компьютерных вирусов слишком велико, то они, как и их биологические прообразы, нуждаются в классификации. Классифицировать вирусы можно по следующим признакам:
    • по среде обитания;
    • по способу заражения среды обитания;
    • по деструктивным возможностям;
    • по особенностям алгоритма вируса.
    Классификация вирусов по среде обитания
    По среде обитания вирусы можно разделить на:
    Файловые вирусы, которые внедряются в выполняемые файлы (*.СОМ, *.ЕХЕ, *.SYS, *.BAT, *.DLL).
    Загрузочные вирусы, которые внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Record).
    Макро-вирусы, которые внедряются в системы, использующие при работе так называемые макросы (например, Word, Excel).
    Существуют и сочетания - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему и их труднее обнаружить.
    Классификация вирусов по способам заражения
    По способам заражения вирусы бывают резидентные и нерезидентные.
    Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными лишь ограниченное время.
    Классификация вирусов по деструктивным возможностям
    По деструктивным возможностям вирусы можно разделить на:
    безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
    неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;
    опасные - вирусы, которые могут привести к серьезным сбоям в работе;
    очень опасные, могущие привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти и т.д.
    Классификация вирусов по особенностям алгоритма
    Здесь можно выделить следующие основные группы вирусов:
    компаньон-вирусы (companion) - Алгоритм работы этих вирусов состоит в том, что они создают для ЕХЕ-файлов файлы-спутники, имеющие то же самое имя, но с расширением СОМ. При запуске такого файла DOS первым обнаружит и выполнит СОМ-файл, т.е. вирус, который затем запустит и ЕХЕ-файл;
    вирусы-«черви» (worm) - вариант компаньон-вирусов. «Черви» не связывают свои копии с какими-то файлами. Они создают свои копии на дисках и в подкаталогах дисков, никаким образом не изменяя других файлов и не используя СОМ-ЕХЕ прием, описанный выше;
    сетевые черви - смотрите ниже «сетевые вирусы»;
    «паразитические» - все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. В эту группу относятся все вирусы, которые не являются «червями» или «компаньон-вирусами»;
    «студенческие» - крайне примитивные вирусы, часто нерезидентные и содержащие большое число ошибок;
    «стелс»-вирусы (вирусы-невидимки, stealth), представляют собой весьма совершенные программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков и «подставляют» вместо себя незараженные участки информации. Кроме того, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные мониторы;
    «полиморфик»-вирусы (самошифрующиеся или вирусы-призраки, polymorphic) - достаточно труднообнаруживаемые вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика;
    макро-вирусы - вирусы этого семейства используют возможности макроязыков (таких как Word Basic), встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время широко распространены макро-вирусы, заражающие документы текстового редактора Microsoft Word и электронные таблицы Microsoft Excel;
    сетевые вирусы (сетевые черви) - вирусы, которые распространяются в компьютерной сети и, так же, как и компаньон-вирусы, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). Сетевых вирусов известно всего несколько штук. Например, XMasTree, Вирус Морриса (Internet Worm).
    На сегодняшний день сетевые вирусы не представляют никакой опасности, так как они нежизнеспособны в современных сетях, как глобальных (Internet), так и локальных (NetWare, NT). Однако это не мешает обычным DOS-вирусам и макро-вирусам поражать компьютерные сети (локальные и глобальные). Делают они это, в отличие от сетевых вирусов, не используя сетевые протоколы и «дыры» в программном обеспечении. Заражению подвергаются файлы на «общих» дисках на серверах и рабочих местах, через которые эти вирусы перебираются и на другие рабочие места, а часто и передаются в Internet.

    Что такое троянский конь

    «Троянский конь» (вирус типа “A Trojan horse”, в дальнейшем троянский конь) это программа, в которой вредоносный код, содержащийся внутри, безвреден, однако имеющий способность программировать или посылать данные таким способом, что он может захватить контроль и нанести ущерб, такой как удаление данных с вашего жесткого диска. Троянский конь может причинить огромный ущерб вам и вашим системам, и, что еще хуже, может настроить вашу систему на уничтожение компьютера! Давайте специально рассмотрим троянский вирус Back Orifice для того, что бы мы могли подчеркнуть причины, по которым программа подобная этой, будучи установленной на вашем компьютере, может быть опасна.
    Back Orifice состоит из двух ключевых частей: клиентского приложения и серверного приложения. Метод работы Back Orifice следующий: клиентское приложение работает на одной машине, а серверное приложение на другой. Клиентская часть подключается к другой машине, используя серверную часть. Смущает здесь то..., что сервер это то, что установлено на машине жертвы. Это смущает многих, так как не кажется логичным. Но вот, как это работает. Единственный путь для серверной части Back Orifice быть установленной на компьютер – это быть установленной сознательно. Очевидно, что троянские вирусы не входят в типичную поставку Windows 2000, поэтому, вы должны найти способ заставить жертву установить его. Это вступление к нашему последнему обсуждению, как Бетти установила новый красивый хранитель экрана (screensaver), который явно (для вас, но не для нее) был BO2K.exe сервером.

    Работа с конфигурацией BO2K сервера



    Более новые версии выполняемых модулей сервера коварней. Эти модули не высвечиваются потому, что они прозрачны. Это развивающийся инструмент, развивающийся в полностью невидимый режим, позволяющий атакующему получить полный контроль над вашей системой. Вы действительно должны быть осведомлены не только об именно этом инструменте, но также о других троянах, таких как этот. Просто так получилось, что BO2K один из самых известных и популярных. На рисунке вверху вы можете видеть, что он крайне конфигурируем и интуитивен. Никакого знания программирования C++ или Shell Scripting здесь не нужно.

    Добавление серверов в список серверов



    Теперь мы знаем, что кто угодно может быть обманут для установки трояна, мы точно знаем, как нарушитель получит код на машине жертвы. Нарушитель должен либо установить серверное приложение на компьютере, который собирается взломать, либо обмануть пользователя этого компьютера, что бы он сделал это. Это причина, по которой серверное приложение (BO2K.exe) обычно маскируется подо что-то другое. После того, как серверное приложение установлено, клиентская машина может передавать и получать файлы с машины-цели, запускать на ней приложения, перезагрузить или заблокировать ее, а также вести журнал нажатий клавиш на ней. Все эти операции очень ценны для хакера.
    Серверное приложение это единственный исполняемый файл, имеющий размер около 122 килобайт. Приложение создает свою копию в системной директории Windows и добавляет параметр, содержащий его имя файла в реестр Windows под разделом (key):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    Специфичный параметр реестра (registry value), который указывает на серверное приложение, может быть изменен. В результате этого серверное приложение запускается каждый раз, когда запускается Windows, следовательно, оно всегда фунционирует. Еще одним преимуществом Back Orifice является то, что приложение не появляется в списке задач Windows (Windows task list), оставаясь невидимым для невооруженного глаза. После первой инициализации оно передает все преимущества своему владельцу и вываливается. Хитро, да?
    Сервер троянский конь Back Orifice может создать ад в любой сети, но он получает очень немного сетевой информации для своего функционирования. Создатели сделали инструмент для использования операционных систем типа Windows, понятных и простых. Многие могут спорить о том, что в момент своего появления это был всего лишь инструмент удаленного доступа, но, если вы подумаете о его функциональности и откуда он взялся, то вы поймете что это был больше чем инструмент удаленного доступа, это было предупреждение Microsoft о том, что их системы восприимчивы к приложениям типа Root Kit Unix систем. Все вместе взятым было маленьким “ноухау”, и инструмент, и вы были в деле. Правда существуют некоторые ограничения... Возможно два критичных ограничения для троянского коня Back Orifice это то, что нарушитель должен знать IP адрес атакуемой машины, и то, что между нарушителем и атакуемой машины не должен находиться firewall. Firewall делает фактически невозможной коммуникацию между двумя компьютерами, в основном благодаря блокировке портов, используемых трояном B02K. Конечно, более новые версии этого продукта работают с более широким диапазоном портов, но все это возвращает к моему изначальному обсуждению вопроса о том, как большинство компаний не инвестируют денег в безопасность своих сетей, либо не имеют на службе людей, обладающих этой информацией. Это и является основой этой проблемы. На рисунке внизу вы можете видеть, что это не продукт низкого качества, это базирующаяся на графическом пользовательском интерфейсе (GUI) хакерский ночной кошмар. Он имеет несколько мастеров (wizards) для начальной конфигурации системы... что может быть проще этого?

    Мастер конфигурации BO2K



    Другой троянский конь удаленного контроля называется Subseven Trojan. Этот троян также посылается по почте в виде присоединенного файла и после запуска может показать какое-нибудь письмо, что часто сбивает жертву с толку. На самом деле это послание предназначено для введения жертвы в заблуждение. Эта программа позволяет кому-нибудь получить практически полный контроль над компьютером жертвы с возможностью удаления папок и/или файлов. Она также предоставляет функцию, которая показывает что-то вроде непрерывной камеры экрана, что позволяет хакеру видеть скриншоты компьютера жертвы.
    В общем, будьте начеку с Malware и тем, как они обрабатываются системой. Для проверки, ознакомьтесь с общей концепцией Malware и принятыми полями, проверьте, что вы очень хорошо понимаете, какой вред может нанести Malware вашей Microsoft системе.
    При желании вы можете посетить TrojanScan.com для бесплатного сканирования на Трояны, чтобы узнать инфицирована ли ваша система.
     
Похожие темы
  1. _Paranoid_
    Ответов:
    0
    Просмотров:
    1.293
Загрузка...
Top