100% Захисту від всіх шкідливих програм не існує. Щоб понизити ризик втрат від дії шкідливих програм рекомендується:

використовувати сучасні операційні системи, що мають серйозний рівень захисту від шкідливих програм;

використовувати виключно ліцензійне програмне забезпечення (операційна система і додатки), зі встановленим режимом автоматичного оновлення, що дозволяє підтримувати серйозний рівень протидії шкідливим програмам;

постійно працювати на персональному комп'ютері виключно під правами користувача, а не адміністратора, що не дозволить більшості шкідливих програм інсталюватися на персональному комп'ютері;

використовувати спеціалізовані програмні продукти, які для протидії шкідливим програмам використовують, так звані, евристичні (поведінкові) аналізатори, тобто не вимагаюча наявність сигнатурної бази;

використовувати анті-вірусниє програмні продукти відомих виробників, з автоматичним оновленням сигнатурних баз;

використовувати персональний Firewall, контролюючий вихід в мережу Інтернет з персонального комп'ютера на підставі політик, які встановлює сам користувач.

[ред.]

Юридичні аспекти

За створення, використання і розповсюдження шкідливих програм передбачена різна відповідальність, у тому числі і кримінальна, в законодавстві багатьох країн світу.

У Кримінальному Кодексі України термін «шкідливий програмний засіб» детально не визначений. Але незважаючи на це Стаття 361-1 КК України передбачає покарання за «Створення з метою використання, розповсюдження або збуту, а також розповсюдження або збут шкідливих програмних чи технічних засобів, призначених для несанкціонованого втручання в роботу електронно-обчислювальних машин (комп'ютерів), автоматизованих систем, комп'ютерних мереж чи мереж електрозв'язку.»

Критерії, по яких програмні продукти можуть бути віднесені до категорії «шкідливих програмних засобів» до теперішнього часу ніде чітко не обумовлені. Відповідно, для того, щоб твердження про шкідливість програмного засобу мало юридичну силу, необхідне проведення програмно-технічної експертизи з дотриманням всіх встановлених чинним законодавством формальностей.

Віруси – хробаки

На жаль, визначення хробака відсутній у державних стандартах і розпорядницьких документах, тому тут наведено лише інтуїтивне визначення, що дає подання про принципи роботи й виконуваних функцій цього типу шкідливих програм.

Хробак (мережний хробак) — тип шкідливих програм, що поширюються по мережних каналах, здатних до автономного подолання систем захисту автоматизованих і комп'ютерних мереж, а також до створення й подальшого поширення своїх копій, що не завжди збігаються з оригіналом, і здійсненню іншого шкідливого впливу.

Життєвий цикл

Так само як для вірусів, життєвий цикл хробаків можна розділити на певні стадії:

Проникнення в систему

Активація

Пошук "жертв"

Підготовка копій

Поширення копій

Стадії 1 й 5, загалом кажучи, симетричні й характеризуються в першу чергу використовуваними протоколами й додатками.

Стадія 4 - Підготовка копій - практично нічим не відрізняється від аналогічної стадії в процесі розмноження вірусів. Сказане про підготовку копій вірусів без змін застосовно й до чирв.

Канали поширення

На етапі проникнення в систему чирви діляться переважно по типах використовуваних протоколів:

Мережні хробаки - чирви, що використають для поширення протоколи Інтернет і локальні мережі. Звичайно цей тип хробаків поширюється з використанням неправильної обробки деякими додатками базових пакетів стека протоколів tcp/ip

Поштові хробаки - чирви, що поширюються у форматі повідомлень електронної пошти

IRC-хробаки - хробаки, що поширюються по каналах IRC (Internet Relay Chat)

P2P-хробаки - чирви, що поширюються за допомогою пірінгових (peer-to-peer) файлообміних мереж

IM-хробаки - хробаки, що використають для поширення системи миттєвого обміну повідомленнями (IM, Instant Messenger - ICQ, MSN Messenger, AIM й ін.)

Приклади. Класичними мережними хробаками є представники сімейства Net-Worm.Win32.Sasser. Ці хробаки використають уразливість у службі LSASS Microsoft Windows. При розмноженні, хробак запускає FTP-службу на TCP-порту 5554, після чого вибирає IP-адресу для атаки й відсилає запит на порт 445 по цій адресі, перевіряючи, чи запущена служба LSASS. Якщо атакується комп’ютер, що відповідає на запит, хробак посилає на цей же порт експлойт уразливості в службі LSASS, у результаті успішного виконання якого на вилученому комп'ютері запускається командна оболонка на TCP-порту 9996. Через цю оболонку хробак віддалено виконує завантаження копії хробака по протоколі FTP із запущеного раніше сервера й віддалено ж запускає себе, завершуючи процес проникнення й активації.

Як приклад поштового хробака можна розглянути Email-Worm.Win32.Zafi.d. Заражене повідомлення містить у собі обирані з деякого списку тему й текст, змістом яких є поздоровлення зі святом (більша частина - з Різдвом) і пропозиція ознайомитися з вітальною листівкою у вкладенні. Поздоровлення можуть бути на різних мовах. Ім'я файлу, що перебуває у вкладенні, хробака складається зі слова postcard мовою, що відповідає поздоровленню, і довільного набору символів. Розширення файлу хробака випадковим образом вибирається зі списку .BAT, .COM, .EXE, .PIF, .ZIP. Для розсилання хробак використає адреси електронної пошти, знайдені на зараженому комп'ютері. Щоб одержати керування, хробак повинен бути запущений користувачем.

IRC-Worm.Win32.Golember.a є, як треба з назви IRC-хробаком. При запуску він зберігає себе в каталозі Windows під ім'ям trlmsn.exe і додає в розділ автозапуску реєстру Windows параметр із рядком запуску цього файлу. Крім цього хробак зберігає на диск свою копію у вигляді архіву Janey2002.zip і зображення Janey.jpg. Потім хробак підключається до довільних IRC-каналів під різними іменами й починає слати певні текстові рядки, імітуючи активність звичайного користувача. Паралельно всім користувачам цих каналів відсилається заархівована копія хробака.

Функціональністю поширення через P2P-канали володіють багато мережних і поштових хробаків. Наприклад, Email-Worm.Win32.Netsky.q для розмноження через файлообмінні мережі шукає на локальному диску каталоги, що містять назви найбільш популярних мереж або ж слово "shared", після чого кладе в ці каталоги свої копії під різними назвами.

IM-хробаки рідко пересилають заражені файли безпосередньо між клієнтами. Замість цього вони розсилають посилання на заражені веб-сторінки. Так хробак IM-Worm.Win32.Kelvir.k посилає через MSN Messenger повідомлення, що містять текст "its you" і посилання "http://www.malignancy.us/[removed]/pictures.php?email=[email]", по зазначеному в якій адресі розташований файл хробака.

Сьогодні найбільш численну групу становлять поштові чирви. Мережні хробаки також є помітним явищем, але не стільки через кількість, скільки через якість: епідемії, викликані мережними хробаками найчастіше відрізняються високою швидкістю поширення й більших масштабів. IRC-, P2P- і IM-хробаки зустрічаються досить рідко, частіше IRC, P2P й IM служать альтернативними каналами поширення для поштових і мережних хробаків.

Способи активації

На етапі активації хробаки діляться на дві більші групи, що відрізняються як за технологіями, так і по строках життя:

Для активації необхідно активна участь користувача

Для активації участь користувача не потрібно зовсім або досить лише пасивної участі

Під пасивною участю користувача в другій групі розуміється, наприклад, перегляд листів у поштовому клієнті, при якому користувач не відкриває вкладені файли, але його комп'ютер, проте, виявляється зараженим.

Відмінність у цих підходах глибше, ніж може здатися на перший погляд. Активація мережного хробака без участі користувача завжди означає, що хробак використає проломи в безпеці програмного забезпеченні комп'ютера. Це приводить до дуже швидкого поширення хробака усередині корпоративної мережі з більшим числом станцій, істотно збільшує завантаження каналів зв'язку й може повністю паралізувати мережа. Саме цей метод активації використали чирви Lovesan й Sasser. У результаті викликаної таким мережним хробаком епідемії, використовувана пролом закривається адміністраторами або користувачами, і в міру зменшення комп'ютерів з відкритим проломом епідемія завершується. Для повторення епідемії розроблювачам вірусів доводиться експлуатувати інший пролом. У підсумку, епідемії, викликані активними хробаками, істотніше впливають на роботу мережі в цілому, однак трапляються значно рідше, ніж епідемії пасивних мережних хробаків. Обов'язковою мірою захисту від таких епідемій є своєчасна установка латок безпеки. Відзначимо також, що особливо уразливими для цього типу хробаків є операційні системи із закладеними можливостями вилученого керування або запуску програм - це сімейство Microsoft Windows NT/2000/XP/2003.

Приклад. Уразливість у службі LSASS, уперше використана в хробаку MyDoom на початку 2004 року, продовжувала успішно застосовуватися й через півтора року. Так Net-Worm.Win32.Mytob.be виявлений у червні 2005 усе ще використав цю уразливість як один зі способів поширення, на додаток до поширення через електронну пошту.

З іншого боку, активна участь користувача в активації хробака означає, що користувач був уведений в оману методами соціальної інженерії. У більшості випадків основним фактором служить форма подачі інфікованого повідомлення: воно може імітувати лист від знайомої людини (включаючи електронну адресу, якщо знайомий уже заражений), службове повідомлення від поштової системи або ж що-небудь подібне, настільки ж що часто зустрічається в потоці звичайної кореспонденції. Користувач у метушні просто не відрізняє звичайний лист від зараженого й робить запуск автоматично.

Захиститися латками від такого роду хробаків неможливо. Навіть внесення сигнатури мережного хробака у вірусну базу даних не вирішує проблему до кінця. Розроблювачам вірусу досить змінити виконує файл, що, так, щоб антивірус його не виявляв, і незначно поміняти текст повідомлення, використовуючи в тому числі й технології спам-разсиланнь, що застосовуються для обходу фільтрів.

У результаті, епідемії, викликані пасивними мережними хробаками, можуть бути набагато триваліше й породжувати цілі сімейства однотипних мережних хробаків.

Останнім часом намітилася тенденція до сполучення в хробаках обох способів поширення. Багато представників сімейства Mytob мають функції поширення через електронну пошту й через уразливість у службі LSASS.

Пошук "жертв"

Спосіб пошуку комп'ютера-жертви повністю базується на використовуваних протоколах і додатках. Зокрема, якщо мова йде про поштового хробака, виробляється сканування файлів комп'ютера на предмет наявності в них адрес електронної пошти, по яких у результаті й виробляється розсилання копій хробака.

Точно так само Інтернет-хробаки сканують діапазон IP адрес у пошуках уразливих комп'ютерів, а P2P хробаки кладуть свої копії в загальнодоступні каталоги клієнтів пірінгових мереж. Деякі хробаки здатні експлуатувати списки контактів інтернет-пейджерів, таких як ICQ, AIM, MSN Messenger, Yahoo! Messenger й ін.

Підготовка копій для поширення

Найбільше часто серед хробаків зустрічаються спрощені реалізації метаморфізму. Деякі хробаки здатні розсилати свої копії в листах, як із впровадженням скріпта хробака, що приводить до автоматичної активації, так і без впровадження. Таке поводження хробака обумовлене двома факторами: скриіпт автоматичної активації підвищує ймовірність запуску хробака на комп'ютері користувача, але при цьому зменшує ймовірність проскочити антивірусні фільтри на поштових серверах.

Аналогічно, хробаки можуть міняти тему й текст інфікованого повідомлення, ім'я, розширення й навіть формат вкладеного файлу - виконує модуль, що, може бути прикладений як є або в заархівованому виді.