Общая характеристика работы

Замечания руководителя

Содержание

1. Общая характеристика работы…………………………………….…. 5

1.1 Актуальность……………………………………………….................... 5

1.2 Цель работы………………………………………………...................... 6

1.3 Задачи работы………………………………………………................... 7

2. Основное содержание……………………………….………….............. 8

2.1 Компьютерный вирус………………………………………...…………… 8

2.2 Троян………………………………………………..…………………..… 10

2.3 Троянские программы…………………………………….……………….. 11

2.4 FraudTool……………………………………………………………………. 12

2.4.1. «Симптомы» появления…………………………..…………………… 13

2.4.2. FraudTool.Win32.UltimateDefender.cm……………………………… 14

2.4.3. FraudTool.Win32.Reanimator.a……………………............................... 15

3. Моделирование деструктивных воздействий..……………………...... 16

4. Оценка ущербов и рисков…………………………………..……............. 18

5. Меры противодействия………………………………………...........……. 22

6. Анализ средств противодействия…………………………...……...……. 23

7. Основные результаты работы……………..……………………..…........ 25

Список использованных информационных источников……....................... 26

Общая характеристика работы

1.1 Актуальность

В настоящее время все больше и больше стали развиваться компьютерные вирусы. Развитие технологий привело к тому, что по вине вирусов может не просто не работать сайт, а могут быть взломаны объекты, содержащие конфиденциальную информацию, не предназначенную для общего пользования.

В настоящее время, одной из наиболее часто преследуемых целей становится получение финансовой выгоды. Большинство населения стран перешли от наличного расчета к безналичному. Многие в целях сохранности финансов, хранят все денежные средства на банковских картах, считая это более надежным.

Но что делать, если карта потеряна – идти в банк. Там ее восстановят. Но каким образом можно защититься от утечки секретных данных о карте: номера, пин-кода? Что делать, если эти данные попадут в руки злоумышленника? В последние несколько лет этот вопрос является весьма и весьма важным.

В моей работе будет рассмотрена троянская программа FraudTool, которая является одним из наиболее ярких представителей вредоносного ПО для выманивания данных о номерах и пин-кодах кредитных карт у населения.

1.2 Цель работы:

Изучение возможностей использования функционала вредоносных программ на основе оценки возможных ущербов, анализа уязвимостей и средств противодействия, а также организация эффективной защиты систем от вредоносного обеспечения определенного типа и прогнозирование рисков.

1.3 Задачи работы

Основными задачами работы являются:

1. Изучение основы работы вирусов;

2. Анализ вредоносных программ типа FraudTool;

3. Моделирование процесса деструктивных воздействий;

4. Оценка ущербов и рисков;

5. Выработка рекомендаций по противодействию;

6. Анализ средств противодействия для оценки их эффективности;

2. Основное содержание

2.1 Компьютерный вирус

Компьютерный вирус— вид вредоносного программного обеспечения, способный создавать копии самого себя и внедряться в код других программ, системные области памяти, загрузочные секторы, а так же распространять свои копии по разнообразным каналам связи, с целью нарушения работы программно-аппаратных комплексов, удаления файлов, приведения в негодность структур размещения данных, блокирования работы пользователей или же приведение в негодность аппаратных комплексов компьютера.

Даже если автор вируса не программировал вредоносных эффектов, вирус может приводить к сбоям компьютера из-за ошибок, неучтённых тонкостей взаимодействия с операционной системой и другими программами. Кроме того, вирусы обычно занимают некоторое место на накопителях информации и отбирают некоторые другие ресурсы системы. Поэтому вирусы относят к вредоносным программам.

Компьютерный вирус был назван по аналогии с биологическими вирусами за сходный механизм распространения. По-видимому, впервые слово «вирус» по отношению к программе было употреблено Грегори Бенфордом (Gregory Benford) в фантастическом рассказе «Человек в шрамах», опубликованном в журнале Venture в мае 1970 года.

Термин «компьютерный вирус» впоследствии не раз «открывался» и переоткрывался. Так, переменная в подпрограмме PERVADE (1975), от значения которой зависело, будет ли программа ANIMAL распространяться по диску, называлась VIRUS. Также, вирусом назвал свои программы Джо Деллинджер и, вероятно, это и было то, что впервые было правильно обозначено как вирус. [2]

Вирусы распространяются, копируя свое тело и обеспечивая его последующее исполнение: внедряя себя в исполняемый код других программ, заменяя собой другие программы, прописываясь в автозапуск и другое. Вирусом или его носителем могут быть не только программы, содержащие машинный код, но и любая информация, содержащая автоматически исполняемые команды — например, пакетные файлы и документы Microsoft Word и Excel, содержащие макросы. Кроме того, для проникновения на компьютер вирус может использовать уязвимости в популярном программном обеспечении (например, Adobe Flash, Internet Explorer, Outlook), для чего распространители внедряют его в обычные данные (картинки, тексты и т. д.) вместе с эксплоитом, использующим уязвимость.

Рис. 1 Начало исходного кода примитивного вируса для MS-DOS на языке ассемблера

2.2 Троян

Троян (троянская программа, троянец) – вредоносная программа, которая отличается от самопроизвольно распространяющихся вирусов и червей тем, что она распространяется злоумышленниками. Большинство троянских программ маскируется под безвредные или полезные программы, чтобы пользователь загрузил/установил их на свой компьютер.

Злоумышленники помещают троянские программы на открытые или индексируемые ресурсы, носители информации, присылают их предполагаемым жертвам по электронной почте. Трояны также устанавливаются на компьютер через бреши безопасности.

Как и все вредоносные программы трояны обнаруживаются и удаляются антивирусным программным обеспечением.

«Трояны» — самый простой вид вредоносных программ, сложность которых зависит исключительно от сложности истинной задачи и средств маскировки. Самые примитивные «трояны» (например, стирающие содержимое диска при запуске) могут иметь исходный код в несколько строк.

2.3 Троянские программы

Троянская программа — вредоносная программа, распространяемая людьми, в отличие от вирусов и червей, которые распространяются самопроизвольно.

Эти вредоносные программы созданы для осуществления несанкционированных пользователем действий, направленных на уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители данной категории не имеют способности создавать свои копии, обладающие возможностью дальнейшего самовоспроизведения.

Основным признаком, по которому различают типы троянских программ, являются их несанкционированные пользователем действия — те, которые они производят на заражённом компьютере.

2.4 FraudTool

FraudTool-программы, которые выдают себя за другие программы, хотя таковыми не являются. Часто предлагают пользователю перечислить финансовые средства на определенные счета для оплаты «услуг».

В качестве примера таких программ можно привести псевдоантивирусы, которые выводят сообщения об «обнаружении» вредоносных программ, но на самом деле ничего не находят и не лечат.

Исполняемый файл является загрузчиком. Устанавливает программу-обманку, которая, являясь якобы антивирусом, находит массу несуществующих угроз и предлагает вылечить их за деньги. [7]

Стратегия поведения:

1. После установки на компьютере пользователя, программа делает вид, что найден один или несколько компьютерных вирусов и/или вредоносных программ. (Очевидно, что FraudTool не выполняет реальный осмотр, при этом компьютер может быть абсолютно чистыми.)

2. Как только он сообщил о присутствии этих гипотетических вредоносных программ, FraudTool обычно предлагает пользователю купить теоретическую платную версию, чтобы очистить компьютер. (Но никакой платной версии нет).

3. Как только пользователь предоставляет данные своих кредитных карт и завершает сделку, он не имеет доступа к какой-либо платной версии.

Видимые проявления: Появление в системе «антивируса» WinReanimator, пугающего массой несуществующих угроз.

2.4.1. «Симптомы» появление FraudTool

1. Появление раздражающих всплывающих сообщений.

2. Подделка отчета о проверке.

3. Вывод поддельного отчета о проверке.

4. Системные уведомления безопасности.

5. Предложение покупки полной версии.

6. Низкая производительность компьютера.

7. Изменение настроек рабочего стола.

8. Перенаправление веб-браузера

2.4.2. FraudTool.Win32.UltimateDefender.cm

На момент составления описания известно 10 разновидностей данного зловреда, размер варьируется от 58 до 65 кб, дата первого обнаружения ITW образца 4.03.2008. Сама вредоносная программа является дроппером, который в случае запуска создает на диске C:\WINDOWS\system32\dllcache\figaro.sys. Затем он копирует figaro.sys поверх существующего C:\WINDOWS\drivers\beep.sys, причем повторяет эту операцию три раза подряд (в том числе создавая копию в \dllcache).

После этого он создает на диске C:\WINDOWS\system32\braviax.exe, и прописывает его в автозапуск в ключе Windows\CurrentVersion\Run. Затем он запрашивает системную привилегию SeShutdownPrivilege и при помощи системной функции ExitWindowsEx завершает работу системы. Далее он создает файл с именем delself.bat для самоуничтожения, запускает его и завершает работу (предполагается, что завершение работы потребует несколько секунд и BAT файл успеет отработать и стереть дроппер). Дропнутый файл BEEP.SYS имеет размер около 35 кб, отвечает за противодействие антивирусам и антивирусным утилитам. Блокировка по именам, в коде драйвера открытым текстом содержится база с именами файлов (в частности, он блокирует AVP, AVZ, GMER, GureIT, AVG ...).

Удаление: так как блокировка идет по именам, то достаточно переименовать исполняемый файл AVZ скажем в 123.com. Симптомом является тот факт, что AVZ не опознает драйвер beep.sys по базе безопасных. [5]

Не нашли, что искали? Воспользуйтесь поиском по сайту: