Для анализа и исследования поведения такого вида вредоносного программного обеспечения как сетевые черви в данной статье предлагается использовать эпидимическую модель. Почему именно в эпидемической модели будут рассматриватся сетевые черви, да просто потому, что на сегодняшний день это один из наиболее популярных классов вредоносного программного обеспечения, которое используется злоумышленником для проведения сетевого заражения информационной системы.
Рассмотрим простую эпидемическую модель, в которой предполагается, что произвольный узел сети, состоящей из постоянного количества (N) компьютеров, может находиться только в двух состояниях: уязвимом (S) и инфицированном (I). S + I = N. Предположим, что на каждом инфицированном узле может существовать только одна копия червя, которая случайным образом выбирает в доступном адресном пространстве потенциальную жертву с опять-таки средней постоянной скоростью b в единицу времени (на поиск и заражение одной жертвы в среднем тратится 1/b секунд). В простейшем случае b определяется средней скоростью сканирования червем сети (Vs) и размером её адресного пространства (Nip): … Читать далее
Макровирусы являются программами на макроязыках, встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Они заражают документы и электронные таблицы ряда офисных редакторов. Для размножения они используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла в другие. Наибольшее распространение получили макровирусы для Microsoft Word, Excel и Office 97. На данный момент практически не встречаются. Вирусы этого типа получают управление при открытии зараженного файла и инфицируют файлы, к которым впоследствии идет обращение из соответствующего офисного приложения — Word, Excel и другие.
OBJ, LIB и вирусы в исходных текстах — это вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ. Вирусы, заражающие OBJ- и LIB-файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл не является выполняемым и не способен на дальнейшее распространение вируса в текущем состоянии. Носителем же «живого» вируса становится COM- или EXE-файл, получаемый в процессе линковки зараженного OBJ/LIB-файла с другими объектными модулями и библиотеками. Таким образом, вирус распространяется в два этапа: на первом заражаются OBJ/LIB-файлы, на втором этапе (линковка) получается работоспособный вирус.
В современном мире информационные ресурсы и данные в электронном виде играют очень важную роль в успешном развитии и конкурентоспособности любой структуры: начиная от государства на мировой арене и заканчивая небольшой коммерческой организации в узком сегменте регионального рынка. Поэтому защита информации, как любого стратегического ресурса, в современных условиях становится все более сложной проблемой, что обусловлено рядом обстоятельств, основными из которых являются: массовое распространение информационных технологий и средств электронной вычислительной техники (ЭВТ); усложнение шифровальных технологий; необходимость защиты не только государственной и военной тайны, но и промышленной, коммерческой и финансовой тайн, персональных данных; расширяющиеся возможности проведения злоумышленником несанкционированных действий над информацией.
Кроме того, в настоящее время получили широкое распространение средства и методы несанкционированного и негласного добывания информации. Они находят все большее применение не только в деятельности государственных правоохранительных органов, но и в деятельности разного рода преступных группировок, инсайдеров и злоумышленников-одиночек. … Читать далее
Файловые черви (worms) являются разновидностью companion-вирусов, однако не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем системы.
Link-вирусы используют особенности организации файловой системы. Они, как и companion-вирусы, не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» ОС выполнить свой код за счет модификации необходимых полей файловой системы.
Overwriting-вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое, после чего файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживаются, так как операционная система и приложения быстро перестают работать.
Parasitic-вирусы изменяют содержимое файлов, оставляя при этом сами файлы полностью или частично работоспособными. Такие вирусы подразделяются на вирусы, записывающиеся в начало, в конец и в середину файлов.
Companion-вирусы не изменяют заражаемых файлов, а создают для заражаемого файла файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, то есть вирус.
