§ 1. Данные о способах совершения преступления
Под способом совершения преступления понимается система объединенных единым замыслом действий преступника (и связанных с ними лиц) по подготовке, совершению и сокрытию преступления, детерминированных объективными и субъективными факторами и сопряженных с использованием соответствующих орудий и средств.
На сегодняшний день в криминалистике нет единой классификации способов совершения преступлений в сфере компьютерной информации. Одна из классификаций предложена А.Н.Родионовым и А.В.Кузнецовым. Согласно ей, способы совершения компьютерных преступлений можно подразделить: 1) на «изъятие средств компьютерной техники; 2) неправомерный доступ к компьютерной информации: преступления, совершенные в отношении компьютерной информации, находящейся в глобальных компьютерных сетях; преступления, совершенные в отношении компьютерной информации, находящейся в ЭВМ, не являющихся компьютером в классическом понимании этого слова (пейджер, сотовый телефон, кассовый аппарат и т.п.); 3) изготовление или распространение вредоносных программ (вирусы, программы - взломщики и т.п.); 4) перехват информации: электромагнитный; непосредственный; 5) нарушение авторских прав (компьютерное пиратство); 6) комплексные методы.
Данная классификация не лишена недостатков. Во-первых, фактически авторами за основу классификации взят непосредственный объект преступного посягательства, а не способ совершения преступления. Во-вторых, неправомерный доступ к компьютерной информации, как показано нами выше, совершается гораздо большим количеством способов, чем отметили авторы (в частности, ими не отмечены непосредственные способы). В-третьих, способы перехвата информации относятся к способам неправомерного доступа к ней, и выделение их в качестве самостоятельной группы необоснованно. И в-четвертых, изъятие средств компьютерной техники представляет собой преступление против собственности, а не в сфере компьютерной информации.
Поэтому представляется более целесообразным рассмотреть отдельно способы совершения неправомерного доступа к компьютерной информации; создания, использования и распространения вредоносных программ для ЭВМ и нарушения правил эксплуатации ЭВМ, их системы или сети.
Способы совершения неправомерного доступа к компьютерной информации
Способы совершения неправомерного доступа компьютерной информации можно объединить в три основные группы.
Первая группа – это способы непосредственного доступа. При их реализации информация уничтожается, блокируется, модифицируется, копируется, а также может нарушаться работа ЭВМ, системы ЭВМ или их сети путем отдачи соответствующих команд с компьютера, на котором информация находится. Непосредственный доступ может осуществляться как лицами, работающими с информацией (имеющими отношение к этой работе), так и лицами, специально проникающими в закрытые зоны и помещения, где производится обработка информации. Например, человек, имеющий умысел на противоправный доступ к компьютерной информации, держа в руках определенные предметы, указывающие на его «принадлежность» к работе на компьютере (дискеты, распечатки и пр.), прохаживается около запертой двери помещения, где расположен терминал. Дождавшись, когда в названное помещение войдет работающий в нем сотрудник, он входит туда вслед за ним, а потом через определенный промежуток времени при благоприятной для этого обстановке совершает неправомерный доступ к компьютерной информации.
Необходимо отметить, что описанный способ в настоящее время менее распространен по причине децентрализации обработки информации. Практика показывает, что преступники компьютерную информацию чаще перехватывают при ее передаче по телекоммуникационным каналам и компьютерным сетям. Сделать это им и проще, и безопаснее, чем при непосредственном проникновении в помещение. Примером совершения неправомерного доступа к компьютерной информации может являться дело по обвинению К. по ч.1 ст. 272 УК РФ. В ходе расследования было установлено, что он, находясь на работе в качестве электромеханика Переяславского районного узла электрической связи, на принесенную с собой дискету скопировал с компьютера готовящийся к изданию телефонный справочник района им. Лазо. Эту дискету он принес домой и скопировал полученную информацию на жесткий диск своего компьютера, а затем на принтере отпечатал 4 экземпляра названного справочника. Таким образом, К. умышленно, незаконно скопировал информацию, хранившуюся в электронно-вычислительной машине.
Другой способ непосредственного доступа к компьютерной информации заключается в неправомочном использовании преступником технических отходов информационного процесса, оставленных пользователем после работы с компьютерной техникой. Он осуществляется в двух формах: физической и электронной.
Физический поиск отходов сводится к обследованию рабочих мест программистов, содержимого мусорных баков, емкостей для технологических отходов для сбора оставленных или выброшенных физических носителей информации, а также обследованию различной документации, оставленной на рабочем месте: ежедневников, книг рабочих записей, перекидных календарей и т.п. в целях поиска черновых записей, паролей доступа в систему и пр.
Электронный вариант требует просмотра и последующего исследования данных, находящихся в памяти компьютера. Он основан на некоторых технологических особенностях функционирования средств компьютерной техники. Например, данные, записанные в последний момент работы, не всегда стираются из оперативной памяти компьютерной системы.
В названных целях могут просматриваться и восстанавливаться стертые файлы. В данном случае предполагается обязательное использование в качестве орудия преступления различных программных средств специального назначения. Одним из них является программный комплекс PC Tools Deluxe, содержащий универсальную программу восстановления стертых файлов.
Вторая группа способов совершения рассматриваемого преступления включает способы опосредованного (удаленного) доступа к компьютерной информации. При этом неправомерный доступ к определенному компьютеру и находящейся на нем информации осуществляется с другого компьютера, находящегося на определенном расстоянии, через компьютерные сети. Способы опосредованного доступа к компьютерной информации, в свою очередь, можно разделить на две подгруппы: способы преодоления парольной а также иной программной или технической защиты и последующего подключения к чужой системе; способы перехвата информации.
К способам первой подгруппы относятся:
Подключение к линии связи законного пользователя (например, к телефонной линии) и получение тем самым доступа к его системе. Подключившись, преступник дожидается сигнала, означающего окончание работы, перехватывает его «на себя», а потом, когда законный пользователь закончил сеанс работы, осуществляет доступ к его системе. Данный способ сравним с работой двух параллельных телефонных аппаратов, подключенных к одному абонентскому номеру: если один телефон находится в активном режиме (ведется разговор с абонентом) и на другом аппарате поднимается трубка, то когда разговор по первому телефону закончен и трубка положена, он может быть продолжен по второму.
Проникновение в чужие информационные сети путем автоматического перебора абонентских номеров с последующим соединением с тем или иным компьютером (перебор осуществляется до тех пор, пока на другом конце линии не «отзовется чужой» компьютер). Поскольку в подобном случае один несанкционированный пользователь может быть легко обнаружен, подобный «электронный взлом» осуществляется одновременно с нескольких рабочих мест: в заданное время несколько (более десяти) персональных компьютеров одновременно предпринимают попытку несанкционированного доступа. Это может привести к тому, что несколько «атакующих» компьютеров отсекаются системой защиты, а остальные получают требуемый доступ. Один из «прорвавшихся» компьютеров блокирует систему статистики сети, которая фиксирует все попытки доступа. В результате этого другие «прорвавшиеся» компьютеры не могут быть обнаружены и зафиксированы. Часть из них приступает к «взлому» нужного сектора сети, а остальные занимаются фиктивными операциями в целях дезорганизации работы предприятия, организации, учреждения и сокрытия преступления.
3. Проникновение в компьютерную систему с использованием чужих паролей, выдавая себя за законного пользователя. При подобном способе незаконный пользователь осуществляет подбор пароля для доступа к чужому компьютеру. Подбор паролей может осуществляться двумя методами.
Первый: подбор паролей путем простого перебора всех возможных сочетаний символов до тех пор, пока не будет установлена нужная комбинация. Для реализации такого подбора существуют уже специально разработанные программы, которые можно приобрести на «черном» компьютерном рынке. Алгоритм их действия основан на использовании быстродействия современных компьютеров при переборе всех возможных комбинаций букв, цифр и автоматического соединения специальных символов, имеющихся на стандартной клавиатуре персонального компьютера, и в случае совпадения комбинации символов с оригиналом произведения.
Второй: «интеллектуальный» подбор паролей на основе имеющихся «словарей» наиболее распространенных паролей, систематизированных по определенным тематическим группам. Практика показывает, что данным методом вручную вскрываются более 40% паролей. При этом наиболее распространенными тематическими группами паролей являются следующие: имена, фамилии и производные от них (22%); последовательность клавиш компьютера, повтор символов (14%); даты рождения пользователя и его близких, а также их комбинации (12%); интересы, хобби (9,5%); адрес, место рождения (5%); номера телефонов или документов: паспортов, удостоверений личности и пр.(3,5%).
Подобрав необходимый пароль (для подбора восьмизначного пароля требуется несколько часов), незаконный пользователь получает доступ к компьютерной информации и может проводить с ней любые действия под видом законного пользователя: копировать ее, модифицировать, удалять, заставлять программы производить требуемые операции, например, по переводу денежных средств на свои счета, фальсификации платежных документов и пр.
Примером анализируемого способа неправомерного доступа к компьютерной информации может являться деятельность гр. У., который, находясь в помещении ТОО «Тройка»,-под предлогом проверки технического состояния ЭВМ дал указание сотруднику З. произвести копирование компьютерной информации с ЭВМ неизвестной гр. З. фирмы. С этой целью У. продиктовал гр. З. номер телефона, к которому была подключена принадлежащая ЗАО «Вокс» ЭВМ. Гр. З., выполняя указание своего непосредственного начальника У. и в его присутствии, посредством находившегося в помещении ТОО «Тройка» компьютера и подключенного к нему модема, а также данного гр. У телефонного номера, установил компьютерную связь между ЭВМ ТОО «Тройка» и компьютером ЗАО «Вокс». После этого гр. у, руководя действиями гр. З., передал ему так называемый универсальный пароль, позволяющий осуществить доступ к компьютерной информации. Используя этот пароль, гр. З. произвел копирование содержащейся в компьютере ЗАО «Вокс» информации в виде базы данных системных параметров 1-го транкового радиоканала ЗАО «Вокс». В результате произошло копирование и блокирование этой информации, повлекшее нарушение работы ЭВМ ЗАО «Вокс».
4. Разновидностью способа получения пароля для последующего незаконного вхождения в компьютерную систему является так называемый социальный инжиниринг («обратный социальный инжиниринг»). Это метод основан на недостаточной бдительности пользователей, когда информация получается в процессе беседы (телефонной, посредством обмена электронными сообщениями) правонарушителями с пользователями системы. При этом способе правонарушитель представляется либо системным администратором, либо сотрудником обслуживающей компьютерной фирмы, либо сотрудником, вновь поступившим на работу, и запрашивает у собеседника данные о паролях доступа к системе. Данный способ широко применяется для получения данных (имя, пароль) в целях подключения к компьютерной сети Интернет за счет законных пользователей.
Интересен пример из зарубежной практики: преступник, являющийся законным пользователем компьютерной сети, с рабочей станции передал сообщение всем пользователям сервера о том, что его номер якобы изменен. В качестве нового номера был назван номер собственного персонального компьютера преступника, запрограммированный таким образом, чтобы ответить аналогично серверу. Пользователи, посылавшие вызов, набирали при этом свой личный код, что позволило преступнику получить исчерпывающий список личных кодов пользователей.
Ко второй подгруппе способов опосредованного (удаленного) доступа к компьютерной информации относятся способы ее непосредственного, электромагнитного и других видов перехвата.
Непосредственный перехват осуществляется либо прямо через внешние коммуникационные каналы системы, либо путем непосредственного подключения к линиям периферийных устройств. При этом объектами непосредственного «подслушивания» являются кабельные и проводные системы, наземные микроволновые системы, системы спутниковой связи, а также специальные системы правительственной связи.
Электромагнитный перехват. Современные технические средства позволяют получить информацию без непосредственного подключения к компьютерной системе: за счет перехвата излучений центрального процессора, дисплея, коммуникационных каналов, принтера и т.д. Все это можно осуществить, находясь на достаточном удалении от объекта перехвата. Например, используя специальную аппаратуру, можно «снимать» информацию с компьютера, расположенного в соседнем помещении, здании.
Впервые дистанционный перехват информации с монитора компьютера был открыто продемонстрирован в марте 1985 г. в Каннах на международном конгрессе по вопросам безопасности ЭВМ. Сотрудник голландской телекоммуникационной РТТ Вим Ван Эк шокировал специалистов тем, что с помощью разработанного им устройства из своего автомобиля, находящегося на улице, «снял» данные с экрана монитора персонального компьютера, установленного на 8-м этаже здания, расположенного в 100 м. от автомобиля.
Отечественным примером совершения неправомерного доступа к компьютерной информации подобным способом является дело по обвинению Л. и М. по п. «а» ч.2 ст. 272 УК РФ. В ходе расследования было установлено, что М. собственноручно у себя дома произвел демонтаж и переоборудовал заранее приобретенные им сотовые телефоны фирмы «Моторолла» под микропроцессоры со специальной программой. Изготовив таким образом два аппарата с режимом автосканирования и шесть аппаратов с возможностями ввода с клавиатуры скопированных номеров в электронные записные книжки, он осуществлял неправомерный доступ к сети ЭВМ компании сотовой телефонной связи «Вотек-Мобайл». Путем модернизации телефонного аппарата «Моторолла» гр. М. была получена возможность фиксации в радиусе до 200 м. абонентского и серийного номера аппарата законного пользователя сотовой телефонной сети с последующим занесением его в память электронной записной книжки. Это позволяло производить телефонные звонки с переделанных таким образом сотовых телефонных аппаратов бесплатно, за счет законных клиентов сотовой сети.
К методам перехвата информации относится также аудиоперехват и видеооптический перехват.
Аудиоперехват, или снятие информации по вибро-акустическому каналу, имеет две разновидности: заходовую (заносную) и беззаходовую.
Первая заключается в установке инфинитивного телефона (подслушивающего устройства - «таблетки», «клопа», «жучка» и т.п.) в аппаратуру средств обработки информации: в различные технические устройства, на проводные коммуникационные линии (радио, телефон, телевизионный кабель, кабель охранно-пожарной сигнализации или электросеть и т.п.), а также в различные конструкции инженерно-технических сооружений и бытовых приборов, находящихся на объекте. Делается все это в целях перехвата разговоров работающего персонала и звуковых сигналов технических устройств (определение номера вызываемого абонента АТС и т.п.).
Установка «клопа» или иной разведывательной аппаратуры на объект возможна тремя способами.
При первом необходимо скрытное или легендированное проникновение в помещение, при втором требуется радиопередающая и звукозаписываю-щая аппаратура, которая устанавливается во время постройки или ремонта помещения, при третьем - специальная техника приобретается или заносится самой потерпевшей стороной, даже не подозревающей об этом, например монтируется в приобретаемые предметы.
К специальной технике, используемой для этого, относятся: спецмикрофоны с возможным дистанционным управлением, диктофоны с длительной записью, цифровые адаптивные фильтры типа АО-512, ОАС-256 и ОАС-1024, позволяющие проводить обработку зашумленных речевых сигналов.
Обнаружить аппаратуру съема информации крайне трудно, так как она обычно очень хорошо камуфлируется преступником (под микросхему, зажигалку, булавочную головку и т. д.).
Вторая разновидность аудиоперехвата - беззаходовая - наиболее опасна. Заключается она в следующем. Акустические и вибрационные датчики съема информации устанавливают на инженерно-технические конструкции, находящиеся за пределами охраняемого помещения, из которого необходимо принимать речевые сигналы. Выделяют следующие типовые конструкции инженерно-технических сооружений: несущие стены зданий, перегородки, перекрытия, окна, оконные рамы, двери и дверные коробки, вентиляционные воздуховоды, трубопроводы. При этом необязательно проникать в помещение, достаточно приблизиться к нему снаружи. Датчик устанавливается либо непосредственно, либо дистанционно. В последнем случае используются различные выстреливающие устройства, предназначенные для дистанционного снятия речевой информации через открытые окна, двери и т.п.
Видеооптический перехват заключается в действиях преступника, направленных на получение информации путем использования различной видеооптической техники. Этот способ осуществляется как физически, так и электронно. Физически перехват информации производится с помощью применения преступником различной бытовой видеооптической аппаратуры - например подзорной трубы, бинокля, прибора ночного видения, оптического прицела и т.п. При этом преступник проводит отдаленное наблюдение за объектом (жертвой) в целях получения необходимой информации, которую в отдельных случаях фиксирует на физический носитель. В рассматриваемом случае орудие преступления находится непосредственно в руках преступника.
Электронный процесс получения информации осуществляется с использованием преступником специальной техники. В данном случае передающее устройство находится непосредственно на объекте наблюдения, а приемное - в руках преступника Может использоваться следующая спецтехника: спецвидеомагнитофоны с длительной записью; оборудование для скрытой видеосъемки; цифровые электронные видеокамеры; приборы ночного видения и т. п.
Третью группу способов совершения анализируемого преступления составляют смешанные способы, которые могут осуществляться как путем непосредственного, так и опосредованного (удаленного) доступа. К числу таких способов относятся:
1. Тайное введение в чужую программу таких команд, которые помогают ей осуществить новые, незапланированные разработчиком функции при одновременном сохранении прежней ее работоспособности. Данный способ может иметь две разновидности. В первом случае программные модули-фрагменты, которые создают так называемого троянского коня, то есть не запланированного разработчиком программного блока, самоликвидируются по окончании исполнения своей задачи. Найти после этого данные программные модули практически невозможно. Во втором случае в алгоритм программы, наряду с ее основными функциями, закладывается алгоритм действий, осуществляющих саморазмножение, автоматическое самовоспроизводство указанного «троянского коня». В результате подобные «программы-черви» автоматически копируют себя в памяти одного или нескольких компьютеров (при наличии компьютерной сети). Из зарубежной следственной практики интересен факт использования «троянского коня» одним американским программистом. Он вставил в программное обеспечение персонального компьютера по месту своей работы команды, которые позволяли не отражать в итоговом отчете определенные поступления денежных средств. Эти суммы особым образом шифровались и циркулировали только в информационной среде компьютера. Похитив бланки выдачи денег, преступник заполнял их с указанием своего шифра, а затем проставлял в них определенные суммы денег. Поскольку соответствующие операции по их выдаче также не отражались в отчетности, то они не могли быть подвергнуты документальной ревизии.
Модификация программ путем тайного встраивания в программу набора команд, которые должны сработать при определенных условиях через определенное время. Например, как только программа незаконно перечислит денежные средства на так называемый подставной счет, она самоуничтожится и при этом уничтожит всю информацию о проделанной операции.
Осуществление доступа к базам данных и файлам законного пользователя путем нахождения слабых мест в системах защиты. При их обнаружении появляется возможность читать и анализировать содержащуюся в системе информацию, копировать ее, возвращаться к ней по мере необходимости. Таким образом, можно обращаться к базам данных конкурирующей фирмы с тем, чтобы не только иметь возможность анализировать ее финансовое положение, но и получать упреждающую информацию о перспективах ее развития. Получение такой информации дает несомненное преимущество в конкурентной борьбе.
Использование ошибок в логике построения программы и обнаружение «брешей». При этом программа «разрывается» и в нее вводится необходимое число определенных команд, которые помогают ей осуществлять новые, незапланированные функции при одновременном сохранении прежней ее работоспособности. Именно таким образом можно переводить деньги на подставные счета, получать информацию о недвижимости, о персональных данных личности и пр.
Если первая и вторая группа способов более характерна исключительно для неправомерного доступа к компьютерной информации, то третья группа способов может быть характерна и для создания, использования и распространения вредоносных программ для ЭВМ.
Преступники могут получить пароли, коды и идентифицирующие шифры законных пользователей (путем получения списка пользователей со всей необходимой информацией, обнаружение документа в организациях, где не налажен контроль за их хранением, прослушивание телефонных переговоров) и проникнуть в компьютерную систему, выдавая себя за законного пользователя. Особенно уязвимы в этом отношении системы, которые не обладают средствами аутентичной идентификации (например, по физиологическим характеристикам: по отпечаткам пальцев, по рисунку сетчатки глаза, голосу и т.п.).
Также следует отметить, что неправомерный доступ к компьютерной информации может быть связан и с насилием над личностью либо угрозой его применения в целях получения преступниками сведений о способах преодоления средств защиты компьютерной информации и иных данных.
Проиллюстрируем способ и механизм совершения неправомерного доступа к компьютерной информации случаем, описанным в литературе: преступники подбирали лиц (вербовали путем подкупа или шантажа) из числа сотрудников определенного банка. Один из них впоследствии и стал потерпевшей стороной, другие - получателями похищенной суммы, а третьи - сотрудниками банков, в которых похищенные суммы были обналичены и сняты со счетов. Для подстраховки преступники завербовали специалиста телефонной станции того населенного пункта, из которого осуществлялось общее управление криминальной операцией. В этом населенном пункте на подставное лицо была снята квартира, в которой преступники установили необходимое оборудование, включающее в себя сам компьютер, средства связи и источники бесперебойного питания. В данной квартире работал главный исполнитель. Помимо него, в разных районах населенного пункта было задействовано еще примерно 10-12 компьютеров с операторами, так как один компьютер не обеспечит эффективного проведения операции. Таким образом, общее число участников преступления составило 30 человек. Однако об ее истинной цели знали не более 5 человек - главный исполнитель и его непосредственные помощники. Остальные участники использовались «втемную» - каждый из них знал лишь о своей конкретной задаче.
Проникновение в компьютерную сеть банка осуществлялось путем опосредованного доступа, рассмотренного нами выше.
При осуществлении преступной деятельности главный исполнитель в период прохождения фиктивных платежных поручений ввел через свой компьютер основное платежное поручение и поставил его первоочередным на обработку и отправку по указанным адресам. После этого он ввел фиктивные поручения в целях сокрытия основной проводки. Сразу же после оплаты основного платежного поручения, была дезорганизована система взаиморасчетов банка со своими клиентами, что на некоторое время полностью парализовало ее.
В целях более глубокого понимания механизма совершения преступления в сети Интернет, рассмотрим его на примере входа в сеть с использованием сетевых реквизитов (имени и пароля), принадлежащих другим лицам. Преступление совершается следующим образом. Прежде всего, преступнику необходимо завладеть чужими сетевыми реквизитами. Обычно это происходит по одной из следующих схем.
Путем распространения либо предоставления доступа к вредоносной программе типа «троянский конь», замаскированной под другую программу либо документ. Пользователь, переписавший и запустивший данный файл, активизирует «вирус», который самостоятельно собирает информацию о реквизитах данного пользователя и пересылает на компьютер злоумышленника.
Злоумышленник сам, либо используя одну из программ (например, Legion), находит компьютер, работающий в сети, подключается к нему и копирует к себе на диск файл с расширением pwl, содержащий все используемые данным компьютером коды доступа в зашифрованном виде, после чего дешифрует их (например, с помощью программы pwlview.exe).
Приобретает у третьих лиц полученные одним из перечисленных ранее способов нужные сетевые реквизиты.
Способы совершения создания, использования и распространения вредоносных программ для ЭВМ
Способы и механизм совершения создания, использования и распространения вредоносных программ для ЭВМ обладает определенной спецификой, которая определяется, прежде всего, особенностями вредоносных программ, которые рассмотрены нами в уголовно-правовой характеристике преступления, предусмотренного ст. 273 УК РФ.
Для более глубокого анализ способов совершения данного преступления рассмотрим классификацию вредоносных программ для ЭВМ.
Напомним, что в зависимости от способности самовоспроизводиться, вредоносные программы подразделяются на программы-вирусы (самовоспроизводящиеся) и вредоносные программы в узком понимании (не самовоспроизводящиеся.
Представляется практически значимой классификация вредоносных программ по способу их действия. По данному основанию они делятся на резидентные и нерезидентные. Резидентные вредоносные программы при заражении (инфицировании) компьютера оставляют в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вредоносные программы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вредоносные программы не заражают память компьютера и являются активными только во время их непосредственной работы.
Н.Н.Безруков проводит классификацию компьютерных вирусов по следующим основаниям: среде обитания; способу заражения среды обитания; воздействию; особенностям алгоритма.
В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные.
Сетевые вирусы распространяются по различным компьютерным сетям.
Файловые вирусы внедряются главным образом в исполняемые модули программ, т.е. в файлы, имеющие расширения СОМ и ЕХЕ. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению.
Рассмотрим схему работы нерезидентного файлового вируса. При запуске исполняемого файла, содержащего вирус, последний получает управление, производит некоторые действия и передает управление основной программе. При этом он ищет новый объект для заражения -подходящий по типу файл, который еще не заражен. Заражая файл, вирус внедряется в его код, чтобы получить управление при запуске этого файла.
Если файловый вирус резидентный, то он установится в память и получит возможность заражать другие файлы и выполнять прочие предусмотренные создателем действия не только во время работы зараженного файла, а вообще пока работает компьютер. Заражая исполняемый файл, вирус всегда изменяет его код, что помогает его обнаружить. При этом не обязательно вносятся изменения в размер (длину) файла, поскольку им используются неиспользуемые участки кода, а также не обязательно меняется начало файла.
Таким образом, при запуске любого файла, вирус получает управление (операционная система запускает его сама), резидентно устанавливается в память и передает управление вызванному файлу.
Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record). Механизм действия загрузочного вируса выглядит следующим образом.
При включении компьютера управление передается программе начальной загрузки, которая хранится в постоянном запоминающем устройстве (ПЗУ) компьютера. Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету в дисководе А.
Всякая дискета размечена на секторы и дорожки. Среди секторов есть несколько служебных, используемых для нужд операционной системы (в этих секторах не могут размещаться данные), в том числе и сектор начальной загрузки (boot-sector). В нем хранится информация о дискете - количество поверхностей, количество дорожек, количество секторов и пр.
Как только активный резидентный вирусом, действующий в «зараженном» компьютере, обнаружит, что в дисководе появилась не защищенная от записи дискета, он производит следующие действия:
выделяет некоторую область диска и помечает ее как недоступную операционной системе, например помечает занятые вирусом секторы как сбойные (bad);
копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор;
замещает программу начальной загрузки в загрузочном секторе (настоящем) дискеты;
передает управление операционной системе.
Таким образом, при последующем обращении к дискете на «незараженном» компьютере вирусная программа первой получает управление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору.
Следует отметить, что, как правило, вирусы способны заражать не только загрузочные секторы дискет, но и загрузочные секторы жестких дисков компьютеров («винчестеров»). При этом в отличие от дискет на винчестере имеются два типа загрузочных секторов, содержащих программы начальной загрузки, которые получают управление. При загрузке компьютера с винчестера первой берет на себя управление программа начальной загрузки MBR (Master Boot Record - главная загрузочная запись). Если жесткий диск разбит на несколько разделов, то лишь один из них помечен как загрузоч-ный (boot). Программа начальной загрузки MBR находит загрузочный раздел винчестера и передает управление на программу начальной загрузки этого раздела. Код последней совпадает с кодом программы начальной загрузки, содержащейся на обычных дискетах, а соответствующие загрузочные секторы отличаются только таблицами параметров. Таким образом, на винчестере имеются два объекта атаки загрузочных вирусов - программа начальной загрузки в MBR и программа начальной загрузки в бут секторе загрузочного диска.
Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков. В качестве примера данного вида вирусом, рассмотрим широко распространенный в последнее время загрузочно-файловый вирус OneHalf, заражающий главный загрузочный сектор (MBR) и исполняемые файлы. Основное разрушительное действие - шифрование секторов винчестера. При каждом запуске вирус шифрует очередную порцию секторов, а зашифровав половину жесткого диска, сообщает об этом пользователю. Основная проблема при лечении данного вируса состоит в том, что недостаточно просто удалить вирус из MBR и файлов, надо расшифровать зашифрованную им информацию, или сделать новую запись в главный загрузочный сектор.
По степени воздействия вирусы можно разделить на следующие виды:
неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;
опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;
очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.
По особенностям алгоритма вирусы можно классифицировать на следующие.
Простейшие вирусы паразитического характера, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.
Вирусы-решикаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.
Вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска.
Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов.
Существуют и так называемые квазивирусные или «троянские» программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.
Следует особо выделить «полиморфный вирус». Этот вид компьютерных вирусов представляется на сегодняшний день наиболее опасным. Полиморфные вирусы - вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.
Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.
Полиморфные вирусы - это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы, вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса.
Представляется, что рассмотренные классификации вирусов применимы и к вредоносным программам в узком понимании.
Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не извлекли из дисковода или вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.
Вирус, как правило, внедряется в рабочую программу таким образом, чтобы при ее запуске управление сначала передалось ему, и только после выполнения всех его команд снова вернулось к рабочей программе. Получив доступ к управлению, вирус прежде всего переписывает сам себя в другую рабочую программу и заражает ее. После запуска программы, содержащей вирус, становится возможным заражение других файлов. Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения EXE, COM, SYS, ВАТ. Крайне редко заражаются текстовые файлы.
После заражения программы вирус может выполнить какую-нибудь незапланированную законным пользователем операцию, как правило, делая это скрытно, чтобы не привлечь внимания. Затем, вредоносная программа передает управление той программе, из которой была запущен. Каждое выполнение зараженной программы переносит вирус дальше. Таким образом, заразится все программное обеспечение.
В настоящее время в сети Интернет и на компакт-дисках, имеющихся в свободной продаже получил определенное распространение программный пакет «Legion - Open Share Scaner» (производства фирмы «RhinoQ Incorporated»). Данный программный продукт, как следует из файла-описания, предназначен для поиска в глобальной компьютерной сети Интернет компьютеров, имеющих ресурсы (в частности, жесткие диски), предназначенные для совместного использования (shared) и осуществления доступа к ним. При этом перебираются заданные IP-адреса компьютеров, у каждого из них проверяются все доступные TCP-порты. Кроме сканера в составе пакета имеется программа для подбора паролей с использованием словаря. Поиск ресурсов и доступ к ним происходит без уведомления об этом обладателя данных ресурсов. Поиск может производиться по диапазону IP-адресов, то есть без конкретной цели. Все это свидетельствует об ориентированности данного пакета на осуществление несанкционированного доступа к информации на ЭВМ или сети ЭВМ. Таким образом, данную программу можно отнести к категории вредоносных программ.
«все книги «к разделу «содержание Глав: 35 Главы: < 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. >