Исследовательскаяработа
На тему:«Киберпреступность. Троянский конь»
Выполнил: ученик9 А класса
Мухтаруллин А.А.
Научныйруководитель:
учительинформатики,
Шульц Н.Г.
г. Муравленко, 2009 г.
СОДЕРЖАНИЕ
Введение
Глава1. Условия существования киберпреступлений.
1.1. Киберпреступностькак бизнес.
1.2.Принципы реализации атак.
Глава2. «Троянского конь» в современных киберпреступлениях.
2.1.Сущность и классификация троянских программ.
2.2.Основные тенденции развития троянских программ.
Заключение
Списокиспользованной литературы
ВВЕДЕНИЕ
В наши дни большинстволюдей значительную часть своего времени проводят в Интернете. Этот виртуальныймир во многом отражает мир реальный: преступность, являющаяся, к сожалению,неотъемлемой частью социума, существует и в виртуальном мире. Растущий обменинформационными данными в Интернете и электронные платежи – это именно тотлакомый кусок, который более всего привлекает злоумышленников. Структурасовременной киберпреступности практически сформирована: уже существуют четко определённыевзаимоотношения и бизнес-модели.
Криминальнаядеятельность всегда была зеркальным отражением легального бизнеса: образ финансиста-мафиози — первое, что приходит вголову. Однако современная киберпреступность – это не одна-две мафиозныхорганизации во главе с предводителем. Скорее, это мир, состоящий извзаимодополняющих и взаимодействующих друг с другом групп.
Современнаякиберпреступность развивается так же, как и любой другой бизнес. Прибыльность,управление рисками, освоение новых рынков тоже являются важными составляющимиэтого бизнеса
Цель исследования:изучение вредоносных программ, с целью предотвращения их воздействия.
Для достижения поставленнойцели, были выбраны следующие задачи:
Рассмотреть условиясуществования киберпреступности.
Изучить сущность иклассификацию троянских программ.
Выявить ипроанализировать наиболее опасные троянские программы.
Гипотеза: знаниесущности и оказываемого вреда вредоносными программами, поможет уменьшить ихвоздействие.
Предмет исследования: компьютернаяпреступность.
Объект исследования:троянские программы.
При написании работыприменялись монографический и аналитический методы исследования.
Информационной базойдля исследования являются нормативные документы в области компьютернойвирусологии, учебная литература, периодические издания, Интернет.
Глава1. Условия существования киберпреступлений
1.1Киберпреступность как бизнес
Важнейшей критериемоценки любого бизнеса является прибыльность, и киберпреступность здесь неисключение. Киберпреступность невероятно прибыльна! Огромные суммы денегоказываются в карманах преступников в результате отдельных крупных афер, неговоря уже о небольших суммах, которые идут просто потоком. Например, только в2007 году практически каждый месяц совершалось одно серьезное преступление сиспользованием современной вычислительной и электронной техники.
Январь 2007.Российские хакеры с помощью своих шведских «коллег» украли 800 000 ЕВРО изшведского банка Nordea
Февраль 2007.Бразильская полиция арестовала 41 хакера за использование троянской программыдля кражи банковской информации, которая позволила им заработать 4,74 миллионадолларов.
Февраль 2007.В Турции арестованы 17 членов банды интернет-мошенников, которым удалосьукрасть почти 500 000 долларов
Февраль 2007.Арестован Ли Чжун, создатель вируса “Панда” (Panda burning Incense),нацеленного на кражу паролей к онлайн-играм и учетным записям системинтернет-пейджинга. Предполагается, что на продаже своей вредоносной программыон заработал около 13 000 долларов.
Март 2007.Пять граждан восточно-европейских государств посажены в тюрьму в Великобританииза мошенничество с кредитными картами, их добыча составила порядка 1,7миллионов фунтов стерлингов.
Июнь 2007.В Италии арестованы 150 киберпреступников, которые забрасывали итальянскихпользователей мошенническими сообщениями. Их доход составил почти 1,25миллионов евро.
Июль 2007.По неподтвержденным данным российские киберворы, используя троянскую программу,похитили 500 000 долларов у турецких банков
Август 2007.Украинец Максим Ястремский, известный также как Maksik, задержан в Турции закибермошенничество с использованием электронных систем и незаконное присвоениедесятков миллионов долларов.
Сентябрь 2007.Грегори Копилофф (Gregory Kopiloff) обвинен властями США в краже персональныхданных с помощью файлообменных сетей Limewire и Soulseek. Полученную информациюон использовал для реализации мошеннических схем и выручил на этом тысячидолларов.
Октябрь 2007.В США арестован Грег Кинг (Greg King) за участие в организации февральскойDDoS-атаки на сайт Castle Cops. Его приговорили к десяти годам тюремногозаключения и штрафу 250 000 долларов.
Ноябрь 2007.ФБР арестовало восемь человек в ходе второй части операции Operation Bot Roastпо борьбе с ботсетями. По результатам операции была названа суммаэкономического ущерба, составившая более 20 млн. долларов, и выявлено болеемиллиона компьютеров-жертв.
Декабрь 2007.Киберпреступники взломали компьютеры департамента энергетики Национальнойлаборатории Оак Риджа (ORNL), Теннесси, США. По имеющимся данным атакеподверглись также Национальная лаборатория в Лос Аламосе и Национальнаялаборатория Лоуренса в Ливерморе, Калифорния. Были украдены более 12 000номеров карт социального страхования и дат рождения посетителей ONRL за периодс 1999 до 2004. Этот инцидент – из ряда проблем национальной безопасности,поскольку демонстрирует незащищенность отдельной личности в случае кражиидентификационных данных и финансового мошенничества.
Эти случаи – лишьвершина айсберга: сами потерпевшие и правоохранительные органы потрудилисьпривлечь к ним внимание общественности. Но чаще всего организации, подвергшиесяатаке, сами проводят расследование, или этим занимаются правоохранительныеорганы – но без огласки. Результаты практически никогда не обнародуются. Вдиаграмме, взятой из отчета Института защиты информации в компьютерныхсистемах, приведены причины, по которым организации предпочитают не сообщать ослучаях компьютерного вторжения.
1.2Принципы реализации атак
У каждого поколенияпреступников свои инструменты. Современные киберпреступники выбрали своиморужием троянские программы, с помощью которых они строят ботнеты для кражипаролей и конфиденциальной информации, проводят DoS атаки и шифруют данные,чтобы затем шантажировать своих жертв. Характерной и опасной чертой сегодняшнихвредоносных программ является то, что они стремятся сохранить свое присутствиена инфицированной машине. Для достижения этой цели киберпреступники используютразличные технологии.
В настоящее времянекоторые преступники предпочитают проводить отдельные атаки, нацеленные наконкретные организации. Само по себе написание специальной программы для однойцелевой атаки – задача трудоемкая, но важно еще обеспечить этой программеработоспособность на зараженном компьютере в течение долгого времени. Однако ужесли эти целевые атаки удается запустить, успех им практически обеспечен:киберпреступники не только компенсируют себе все затраты на разработку и запускатаки, но и получают солидную прибыль.
Современныекиберпреступники для получения желаемого результата должны правильноорганизовать два важных момента: доставку и обеспечение работоспособностипрограммы.
Первый шаг любогокиберпреступления – доставка и установка вредоносной программы. Преступникииспользуют несколько технологий для достижения этой цели. Основные современныеспособы распространения вредоносных программ (так называемые векторы заражения)– это спам-рассылки и зараженные веб-страницы. Идеальным для преступниковявляется компьютер-жертва, который имеет уязвимость. Уязвимость позволяетпреступникам установить вредоносную программу, как только она доставлена соспам-рассылкой, или с помощью так называемых технологий drive by download припосещении пользователем инфицированных интернет-сайтов.
Следующая задачакиберпреступников после доставки вредоносной программы – как можно дольшесохранить ее необнаруженной. Вирусописатели используют несколько технологий длятого, чтобы увеличить «срок службы» каждой части вредоносной программы.
Первостепеннаястратегическая задача, стоящая перед любым вирусописателем, – сделать своювредоносную программу невидимой не только для того, чтобы успешно ее доставить,но и для того, чтобы она «выжила». Чем менее видима программа для системантивирусных радаров раннего оповещения, тем дольше ее можно будет использоватьдля получения доступа к зараженным компьютерам и сбора информации. Стандартныетехнологии сокрытия программы на компьютере включают применение руткитов,блокирование системы извещений об ошибках и окон предупреждений, выдаваемыхантивирусом, сокрытие увеличения размеров файлов, использование множестваразнообразных упаковщиков.
Во избежаниеобнаружения вредоносных программ вирусописатели широко используют технологиюумышленного запутывания. Полиморфизм – одна из таких технологий, он былпопулярен в 90-х годах, но затем фактически исчез. Сегодня вирусописателивернулись к полиморфизму, но они редко предпринимают попытки изменять код накомпьютерах жертв. Вместо этого применяется так называемый «серверныйполиморфизм» — изменение кода на веб-серверах с включением в него «пустых»инструкций, изменяющихся с течением времени, что существенно затрудняетобнаружение новых вредоносных программ, размещенных на веб-сервере.
Глава2. «Троянского конь» в современных киберпреступлениях
2.1Сущность и классификация троянских программ
Троянская программа(также — троя́н, троя́нец, троя́нский конь, тро́й) —программа, используемая злоумышленником для сбора информации, её разрушения илимодификации, нарушения работоспособности компьютера или использования егоресурсов в неблаговидных целях. По принципу распространения и действия троян неявляется вирусом, так как не способен распространяться саморазмножением.
Троянская программазапускается пользователем вручную или автоматически — программой или частьюоперационной системы, выполняемой на компьютере-жертве (как модуль илислужебная программа). Для этого файл программы (его название, иконку программы)называют служебным именем, маскируют под другую программу (например, установкидругой программы), файл другого типа или просто дают привлекательное длязапуска название, иконку и т. п.
Схожие вредоносные имаскировочные функции также используются компьютерными вирусами, но в отличиеот них, троянские программы не умеют распространяться самостоятельно. Вместе стем, троянская программа может быть модулем вируса.
Троянские программыразличаются между собой по тем действиям, которые они производят на зараженномкомпьютере.
/>Backdoor— троянские утилиты удаленного администрирования
Утилиты скрытогоуправления позволяют делать с компьютером все, что в них заложил автор:принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения,стирать информацию, перезагружать компьютер и т. д./>
Trojan-PSW — воровствопаролей
При запуске PSW-троянцыищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычнономера телефонов и пароли доступа к интернету) и отсылают ее по указанному вкоде «троянца» электронному адресу или адресам.
/>Trojan-Clicker— интернет-кликеры
Семейство троянскихпрограмм, основная функция которых — организация несанкционированных обращенийк интернет-ресурсам.
/>Trojan-Downloader— доставка прочих вредоносных программ
Троянские программыэтого класса предназначены для загрузки и установки на компьютер-жертву новыхверсий вредоносных программ, установки «троянцев» или рекламных систем.
/>Trojan-Dropper— инсталляторы прочих вредоносных программ
В результатеиспользования программ данного класса хакеры достигают двух целей: скрытнаяинсталляция троянских программ и/или вирусов; защита от антивирусных программ,поскольку не все из них в состоянии проверить все компоненты внутри файловэтого типа.
/>Trojan-Proxy— троянские прокси-сервера
Семейство троянскихпрограмм, скрытно осуществляющих анонимный доступ к различныминтернет-ресурсам. Обычно используются для рассылки спама.
/>Trojan-Spy— шпионские программы
Данные троянцыосуществляют электронный шпионаж за пользователем зараженного компьютера:вводимая с клавиатуры информация, снимки экрана, список активных приложений идействия пользователя с ними сохраняются в какой-либо файл на диске ипериодически отправляются злоумышленнику.
/>Trojan-Notifier— оповещение об успешной атаке
Троянцы данного типапредназначены для сообщения своему «хозяину» о зараженном компьютере.
2.2Основные тенденции развития троянских программ
В программах,относящихся к классу троянских, на сегодняшний день можно выделить следующиеосновные тенденции:
Значительный рост числапрограмм-шпионов, крадущих конфиденциальную банковскую информацию. Новыеварианты подобных программ появляются десятками за неделю и отличаются большимразнообразием и принципами работы. Некоторые из них ограничиваются простымсбором всех вводимых с клавиатуры данных и отправкой их по электронной почтезлоумышленнику. Наиболее мощные могут предоставлять автору полный контроль надзараженной машиной, отсылать мегабайты собранных данных на удаленные сервера,получать оттуда команды для дальнейшей работы.
Стремление к получениютотального контроля над зараженными компьютерами. Это выражается в объединенииих в зомби-сети, управляемые из единого центра.
Использованиезараженных машин для рассылки через них спама или организации атак.
Отдельного рассмотрениятребуют такие классы программ, как Trojan-Dropper и Trojan-Downloader. Конечныецели у них абсолютно идентичны — установка на компьютер другой вредоноснойпрограммы, которая может быть как червем, так и «троянцем». Отличается толькопринцип их действия. «Дропперы» могут содержать в себе уже известнуювредоносную программу или наоборот — устанавливать новую ее версию. Также«дропперы» могут устанавливать не одну, а сразу несколько вредоносных программ,принципиально отличающихся по поведению и даже написанных разными людьми.
Оба эти классавредоносных программ используются для установки на компьютеры не толькотроянских программ, но и различных рекламных (advware) или порнографических(pornware) программ.
По итогам работыантивирусных служб в 2008 году зафиксировано 23 680 646 атак на российскихпользователей, которые были успешно отражены.
Таблица 1.
Рейтинг троянскихпрограмм в 2008 году
№ п/п
Название
Количество
Процент 1 Heur.Trojan.Generic 248857 7,08% 2 Trojan-Downloader.Win32.Small.aacq 228539 6,50% 3 Trojan-Clicker.HTML.IFrame.wq 177247 5,04% 4 Trojan-Downloader.SWF.Small.ev 135035 3,84% 5 Trojan-Clicker.HTML.IFrame.yo 121693 3,46% 6 Trojan-Downloader.HTML.IFrame.wf 107093 3,05% 7 Trojan-Downloader.Win32.Small.abst 78014 2,22% 8 Trojan-Downloader.JS.Agent.dau 73777 2,10% 9 Trojan-Downloader.JS.IstBar.cx 68078 1,94% 10 Trojan-GameThief.Win32.Magania.gen 66136 1,88% 11 Trojan-Downloader.JS.Iframe.yv 62334 1,77% 12 Trojan.HTML.Agent.ai 60461 1,72% 13 Trojan-Downloader.JS.Agent.czf 41995 1,20%
Наиболеераспространенной и активной вредоносной программой 2008 года являетсяTrojan-Downloader.Win32.Small.aacq.
По итогам работы антивирусныхслужб в январе 2009 года мы сформировали главную вирусную двадцатку.
В этой таблицезафиксированы те вредоносные, рекламные и потенциально опасные программы,которые были детектированы на компьютерах пользователей.
Таблица 2.
Рейтинг вредоносныхпрограмм в январе 2009 года.
Позиция
Изменение позиции
Вредоносная программа 1 Virus.Win32.Sality.aa 2 Packed.Win32.Krap.b 3 1 Worm.Win32.AutoRun.dui 4 -1 Trojan-Downloader.Win32.VB.eql 5 3 Trojan.Win32.Autoit.ci 6 Trojan-Downloader.WMA.GetCodec.c 7 2 Packed.Win32.Black.a 8 -1 Virus.Win32.Alman.b 9 5 Trojan.Win32.Obfuscated.gen 10 10 Trojan-Downloader.WMA.GetCodec.r 11 новинка Exploit.JS.Agent.aak 12 -1 Worm.Win32.Mabezat.b 13 -3 Worm.Win32.AutoIt.ar 14 1 Email-Worm.Win32.Brontok.q 15 новинка Virus.Win32.Sality.z 16 новинка Net-Worm.Win32.Kido.ih 17 появление вновь Trojan-Downloader.WMA.Wimad.n 18 -2 Virus.Win32.VB.bu 19 -2 Trojan.Win32.Agent.abt 20 новинка Worm.Win32.AutoRun.vnq
Появившиеся в декабрьскомрейтинге Trojan.HTML.Agent.ai и Trojan-Downloader.JS.Agent.czm в этом месяценашли себе замену в виде Exploit.JS.Agent.aak. Исчезнувшего из рейтинга червяAutoRun.eee заменяет теперь Worm.Win32.AutoRun.vnq. Это вполне закономерно, таккак частые смены модификаций характерны для этих классов зловредных программ.
Выбывший из рейтинга вноябре Trojan-Downloader.WMA.Wimad.n вернулся в игру. Таким образом, в рейтингемы имеем сразу три нестандартных загрузчика, что свидетельствует о массовомраспространении такого типа троянских программ и доверии пользователей файламмультимедиа. Более того, схема распространения зловредных программ сиспользованием мультимедийных загрузчиков оказалась весьма эффективной. Этоподтверждается скачком Trojan-Downloader.WMA.GetCodec.r сразу на 10 пунктоввверх.
ЗАКЛЮЧЕНИЕ
Скорее всего, мировойфинансовый кризис никак не затронет игровую индустрию, и в 2009 году развитиеигровых миров продолжится.
Атаки злоумышленниковстановятся все масштабнее и изощреннее. А действия игроков способствуют ростучерного рынка виртуальных ценностей, на чем зарабатывают деньги хакеры ивирусописатели.
«Троянский конь»является наиболее опасной из всех вредоносных программ, поскольку:
Во-первых, кризисзаставляет интернет-пользователей более нервно реагировать на любые события,связанные с платежными системами, онлайн-банкингом, электронными деньгами. Впериод, когда банки разоряются, меняют владельцев или испытывают проблемы свыплатами, появляется много новых возможностей для атак на пользователей.
Во-вторых, учитывая,что современные вредоносные программы требуют все больше ресурсов для ихразработки, распространения и использования, для множества злоумышленников напервый план выходят более простые, дешевые и грубые методы атак. Троянскиепрограммы могут стать для киберпреступников одним из наиболее привлекательныхрешений.
Для того чтобысправиться с киберпреступностью, необходимо создавать и внедрять защитныестратегии. На самом деле программное обеспечение для борьбы с вредоноснымипрограммами и стратегии по управлению рисками важны на всех уровнях.
По моему мнению помимосоответствующих стратегий защиты успешная борьба с киберпреступностью требуетсовместных усилий. Должен действовать интернет-Интерпол, должна вестисьпостоянная разъяснительная работа, подобная той, которая ведется по поводунеобходимости использовать ремни безопасности в автомобиле. Должны существоватьправила, соблюдение которых будет обязательно при нахождении в интернете. Этиже правила должны поддерживать действия правоохранительных органов. Как и вслучае с ремнями безопасности, требуется длительная и упорная воспитательнаяработа для того, чтобы пользователи осознали необходимость таких мер.
РЕКОМЕНДАЦИИ
Результаты данногоисследования могут стать полезными всем пользователям персональных компьютеров,заботящихся о сохранности своих документов и об информационной безопасности.
Также их можноприменить на уроках информатики, для ознакомления учеников с вредоноснымипрограммами. Важно еще со школы осознавать наносимый вред киберпреступлениями.
СПИСОКИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. ФридландА.Я. Информатика и компьютерные технологии: Основные термины: Толков. Слов.:Более 1000 базовых понятий и терминов. – 3-е изд. испр. и доп./ А.Я. Фридланд,Л.С. Ханамирова, И.А. Фридланд. – М.: ООО «Издательство Астрель», 2003. – 272с.
2. ШафринЮ.А. 1500 основных понятий, терминов и практических советов для пользователейперсональным компьютером. – М.: Дрофа, 2001. – 272 с.
3. ПервинЮ.А. Информатика дома и в школе. Книга для ученика. – СПб.: БХВ – Петербург,2003. – 352 с.
4. Интернетсайт www.metod-kopilka.ru
5. Интернетсайт ru.wikipedia.org/wiki/троянские_программы
6. Интернетсайт www.viruslist.com/ru/analysis?pubid=204007644
7. Интернетсайт www.viruslist.com/ru/analysis?pubid=204007643
Приложение1
Типоваяархитектура системы выявления атак.
/>
Приложение2
/>