Понятие зловредного программного обеспечения

Вероятно, наиболее изощренные угрозы для компьютерных систем представляют программы, которые предназначены для того, чтобы причинить вред или использовать ресурсы компьютера, выбранного в качестве мишени. Общее название угроз такого вида – зловредные программы (malicious softwareилиmalware).

Зловредные программы разделяются на такие, которые не воспроизводят себя, и такие, которые делают это. К программному обеспечению первого вида относятся фрагменты программ, которые должны активизироваться во время, определенных действий главной программы. В программное обеспечение второго вида входят либо фрагменты программ (вирусы), либо независимые программы (черви), способные при запуске создавать одну или несколько копий самих себя; эти копии позже активизируются в этой же или в какой-то другой системе.

Рассмотрим некоторые виды зловредного программного обеспечения [8, 19, 23].

Люк – это скрытая точка входа в программу, которая позволяет каждому, кто о ней знает, получать доступ к программе в обход обычных процедур, предназначенных для обеспечения безопасности. Часто люки используются программистами для отладки и тестирования программ. Меры безопасности должны предприниматься в основном на этапах разработки и обновления программ.

Логическая бомба – это код, помещенный в какую-то легальную программу и устроенный так, что при определенных условиях он «взрывается». Условием, используемым для включения логической бомбы, может быть наличие или отсутствие определенных файлов, определенный день недели или дата, а также запуск приложения определенным пользователем.

Троянский конь– это полезная или кажущаяся таковой программа или процедура, в которой спрятан код, способный в случае срабатывания выполнить некоторую нежелательную или вредную функцию. Например, для получения злоумышленником доступа к файлам другого пользователя. Примером трудно обнаруживаемого троянского коня является компилятор, измененный таким образом, чтобы при компиляции он вставлял в определенные программы (например, программы регистрации в системе) дополнительный код. С помощью такого кода в программе регистрации можно создать люк, позволяющий автору входить в систему с помощью специального пароля. Такого троянского коня нельзя обнаружить в исходном коде программы регистрации.

Вирус – это программа, которая может «заражать» другие программы, изменяя их; к числу изменений относится копирование программы-вируса в программу, которая затем может заразить другие программы.

Сетевая среда, предоставляющая возможность получать доступ к приложениям и системным сервисам, которые находятся на других компьютерах, создает идеальные условия для распространения вирусов.

Сетевые черви используют сетевые соединения, чтобы переходить из одной системы в другую. Однажды активизировавшись в системе, сетевой червь может вести себя как компьютерный вирус, порождать троянских коней или выполнять любые другие разрушительные или деструктивные действия. Для самовоспроизведения сетевой червь использует некоторое транспортное средство, которыми могут быть:

– электронная почта;

– средства удаленного запуска программ;

– средства удаленной регистрации.

Перед тем как копировать себя на какую-то систему, сетевой червь может также попытаться определить, инфицирована ли эта система. Кроме того, в многозадачной системе он может маскироваться, присваивая своим копиям имена системных процессов или какие-то другие имена, которые будет трудно заметить системному оператору.

Сетевым червям так же трудно противостоять, как и вирусам. Однако продуманные и правильно реализованные меры безопасности, предусматривающие как безопасность сетей, так и безопасность отдельных систем, сводят угрозу проникновения червей к минимуму.

Зомби – это программа, которая скрытно соединяется с другим подключенным в сеть Интернет компьютером, а затем использует этот компьютер для запуска атак на информационные системы, что усложняет отслеживание пути к создателю программы-зомби.