Читаем Кибероружие и кибербезопасность. О сложных вещах простыми словами полностью

Полиморфные вирусы. Специфической Особенностью этих вирусов является умение изменять собственный код. Это сделано для того, чтобы ввести в заблуждение известные антивирусные программы, часто использующие так называемые «маски» (отрывки основного кода, типичные для таких вирусов). Полиморфные вирусы бывают двух типов. Первые просто шифруют собственное «тело» с непостоянным ключом и случайным набором команд дешифратора. Вторая группа сложнее. Поскольку вирусы, относящиеся к ней, могут «переписывать» свой код, то есть, по сути, они сами являются программистами.

Очень сложно обнаружить в системе вирусы, основанные на применении алгоритмов полиморфичности, поскольку такие вирусы не содержат ни одного постоянного участка кода, что достигается за счет шифрования кода вируса и модификации программы-расшифровщика. Как правило, два образца одного и того же вируса не будут иметь ни одного совпадения в коде.

Этот вид компьютерных вирусов представляется на сегодняшний день наиболее опасным. Объясним же, что это такое.

Полиморфные вирусы — вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.

Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.

Полиморфные вирусы — это вирусы с самомодифицирующими-ся расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы, вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса.

Троянский конь — это весьма распространенная злонамеренная программа, обычно содержащая в себе некоторую заранее заданную разрушающую функцию, которая активизируется только при наступлении некоторого условия срабатывания. Обычно такие программы всегда маскируются под какие-нибудь полезные утилиты.

В общем случае «троянские кони» представляют собой атакующие программы, реализующие помимо их основные функций, описанных в технической документации, и некоторые другие специфические функции, связанные с опасным нарушением общепринятых правил безопасности и деструктивными действиями. Из литературных источников и экспертных наблюдений отмечены случаи создания таких программ специально с целью облегчения процессов распространения вирусов. Конечно, периодически списки таких программ широко публикуются в зарубежной печати. Как следует из аналитической статей специалистов по безопасности компьютерных систем, которые занимаются этой непростой проблемы, обычно подобные паразитные программы маскируются под игровые или развлекательные программы и наносят вред (решают свои преступные задачи) под красивые картинки или музыку.

Очевидно, что если подобные компьютерные вирусы и «троянские кони» наносят ущерб посредством лавинообразного саморазмножения или явного саморазрушения, то основная функция вирусов типа «червь», действующих в компьютерных сетях, — взлом атакуемой системы, т. е. преодоление защиты с целью нарушения безопасности и целостности.

Троянский конь — это программа, содержащая в себе некоторую разрушающую функцию, которая активизируется при наступлении некоторого условия срабатывания. Обычно такие программы маскируются под какие-нибудь полезные утилиты. Вирусы могут нести в себе троянских коней или «троянизировать» другие программы — вносить в них разрушающие функции.

«Троянские кони» представляют собой программы, реализующие помимо функций, описанных в документации, и некоторые другие функции, связанные с нарушением безопасности и деструктивными действиями. Отмечены случаи создания таких программ с целью облегчения распространения вирусов. Списки таких программ широко публикуются в зарубежной печати.

В более 80 % компьютерных преступлений, расследуемых ФБР, «взломщики» проникают в атакуемую систему через глобальную сеть Internet. Когда такая попытка удается, будущее компании, на создание которой ушли годы, может быть поставлено под угрозу за какие-то секунды.

Этот процесс может быть автоматизирован с помощью вируса, называемого сетевой червь.