2.Файлові віруси -віруси, що заражають файли. Ця група додатково ділиться на три, залежно від середовища в якій виконується код:

Властиво файлові віруси - ті, які безпосередньо працюють із ресурсами операційної системи.

Приклади. Найвідоміший файловий вірус всіх часів і народів - Virus.Win9x.CIH, відомий також як "Чорнобиль".

Маючи невеликий розмір - близько 1 кб - вірус заражає PE-файли (Portable Executable) на комп'ютерах під керуванням операційних систем Windows 95/98 таким чином, що розмір заражених файлів не міняється. Для досягнення цього ефекту вірус шукає у файлах "порожні" ділянки, що виникають через вирівнювання початки кожної секції файлу під кратні значення байт. Після одержання керування вірус перехоплює IFS API, відслідковуючи виклики функції звертання до файлів і виконують заражання файлу. 26 квітня спрацьовує деструктивна функція вірусу, що полягає в стиранні Flash BIOS і початкових секторів жорстких дисків. Результатом є нездатність комп'ютера завантажуватися взагалі (у випадку успішної спроби стерти Flash BIOS) або втрата даних на всіх жорстких дисках комп'ютера.

З останніх шкідливих програм, що володіють вірусною функціональністю, можна відзначити Email-Worm.Win32.Bagle.p (а також його модифікації .q й .r). Будучи в першу чергу хробаком з основним каналом поширення через електронну пошту, Bagle.p містить також функцію зараження EXE-файлів шляхом дописування в їхній кінець поліморфного коду вірусу.

Макровіруси - віруси, написані мовою макрокоманд й, що виконують у середовищі якого-небудь додатка. У переважній більшості випадків мова йде про макроси в документах Microsoft Office.

Приклади. Одними з найбільш руйнівних макровірусів є представники сімейства Macro.Word97.Thus. Ці віруси містять три процедури Document_Open, Document_Close й Document_New, якими підмінює стандартні макроси, що виконуються при відкритті, закритті й створенні документа, тим самим забезпечуючи зараження інших документів. 13 грудня спрацьовує деструктивна функція вірусу - він видаляє всі файли на диску C:, включаючи каталоги й підкаталоги.

Модифікація Macro.Word97.Thus.aa крім зазначених дій при відкритті кожного зараженого документа вибирає на локальному диску випадковий файл і шифрує перші 32 байта цього файлу, поступово приводячи систему в непрацездатний стан.

Макровіруси здатні заражати не тільки документи Microsoft Word й Excel. Існують шкідливі програми орієнтовані й на інші типи документів: Macro.Visio.Radiant заражає файли відомої програми для побудови діаграм -Visio, Virus.Acad.Pobresito - документи AutoCAD, Macro.AmiPro.Green - документи популярного раніше текстового процесора Ami Pro.

Скріпт-віруси - віруси, що виконують у середовищі певної командної оболонки: раніше - bat-файли в командній оболонці DOS, зараз частіше VBS й JS - скріпти в командній оболонці Windows Scripting Host (WSH). Приклади. Virus.VBS.Sling написаний мовою VBScript (Visual Basic Script). При запуску він шукає файли з розширеннями .VBS або .VBE і заражає їх. При настанні 16-го червня або липня вірус при запуску видаляє всі файли з розширеннями .VBS й .VBE, включаючи самого себе.

Virus.WinHLP.Pluma.a - вірус, що заражає файли допомоги Windows. При відкритті зараженого файлу допомоги виконується вірусний скрипт, що використовуючи нетривіальний метод (по суті, уразливість в обробці скріптів) запускає на виконання вже як звичайний файл Windows певний рядок коду, що міститься у скрипті. Запущений код робить пошук файлів довідки на диску й впроваджує в їхню область System скріпт автозапуску.

Пошук жертв

На стадії пошуку об'єктів для зараження зустрічається два способи поводження вірусів.

1. Одержавши керування, вірус робить разовий пошук жертв, після чого передає керування асоційованому з ним об'єкту (зараженому об'єкту).

Приклад. Звичайно при освоєнні нової платформи спочатку з'являються віруси саме цього типу. Так було з появою вірусів під DOS, під Windows 9x, під Windows NT, під Linux. Наприклад, таким вірусом є Virus.Multi.Pelf.2132 - один з деяких представників мультиплатформових вірусів. Цей вірус здатний заражати як PE-файли, так і файли у форматі ELF (формат файлів, що виконують, під Linux). При запуску вірус робить у поточному (під обома операційними системами) і вищестоящих каталогах (під Windows) файлів форматів, що заражають, (PE й ELF), визначаючи дійсний формат файлу по його структурі. Після зараження знайдених файлів вірус завершує роботу й повертає керування запущеному файлу. 2. Одержавши керування, вірус так чи інакше залишається в пам'яті й робить пошук жертв безупинно, до завершення роботи середовища, у якій він виконується

Приклад. Virus.DOS.Anarchy.6093 також є мультиплатформенным у тому розумінні, що він здатний заражати DOS COM- і EXE-файли, а також документи Microsoft Word 6/7. При цьому вірус може активуватися при запуску як у середовищі DOS, так й у середовищі Windows 95. Після запуску вірус перехоплює переривання INT 21h, а в середовищі Windows додатково вносить зміни в драйвер VMM32.VXD (Virtual Memory Manager) з метою перехоплення звертань до файлів. При запуску або відкритті COM-, EXE й DOC -файлу вірус заражає його. Крім цього, у файловому варіанті вірус є поліморфним (див. нижче), і в будь-якому варіанті має stealth-функціональність (див. нижче)

Віруси другого типу в часи однозадачной DOS було прийнято називати резидентними. З переходом на Windows проблема залишитися в пам'яті перестала бути актуальної: практично всі віруси, що виконують у середовищі Windows, так само як й у середовищі додатків MS Office, є вірусами другого типу. І навпроти, скрипт-вирусы є вірусами першого типу. Відповідно, атрибут резидентний застосуємо тільки до файлових DOS вірусам. Існування нерезидентних Windows вірусів можливо, але на практиці вони є рідкісним винятком. Окремо має сенс розглянути так називані stealth-віруси - віруси, які перебуваючи постійно в пам'яті, перехоплюють звертання до зараженого файлу й на ходу видаляють із нього вірусний код, передаючи у відповідь на запит незмінену версію файлу. У такий спосіб ці віруси маскують своя присутність у системі. Для їхнього виявлення антивірусним засобам потрібна можливість прямого звертання до диска в обхід засобів операційної системи. Найбільше поширення Stealth-віруси одержали в часи DOS.

Підготовка вірусних копій

Процес підготовки копій для поширення може істотно відрізнятися від простого копіювання. Автори найбільш складних у технологічному плані вірусів намагаються зробити різні копії максимально несхожими для ускладнення їхнього виявлення антивірусними засобами. Як наслідок, складання сигнатури для такого вірусу вкрай утруднене або зовсім неможливо.

При створенні копій для маскування можуть застосовуватися наступні технології:

• Шифрування — вірус складається із двох функціональних шматків: властиво вірус і шифратор. Кожна копія вірусу складається із шифратора, випадкового ключа й властиво вірусу, зашифрованого цим ключем. • Метаморфізм — створення різних копій вірусу шляхом заміни блоків команд на еквівалентні, перестановки місцями шматків коду, вставки між значущими шматками коду "сміттєвих" команд, які практично нічого не роблять. Сполучення цих двох технологій приводить до появи наступних типів вірусів.

• Шифрований вірус - вірус, що використає просте шифрування з випадковим ключем і незмінний шифратор. Такі віруси легко виявляються по сигнатурі шифратора.

• Метаморфний вірус - вірус, що застосовує метаморфізм до всього свого тіла для створення нових копій.

• Поліморфний вірус - вірус, що використає метаморфний шифратор для шифрування основного тіла вірусу з випадковим ключем. При цьому частина інформації, використовуваної для одержання нових копій шифратора також може бути зашифрована. Наприклад, вірус може реалізовувати кілька алгоритмів шифрування й при створенні нової копії міняти не тільки команди шифратора, але й сам алгоритм.

Поліморфні віруси можна ділити на класи за рівнем поліморфізму, що бажають докладніше познайомитися із цим питанням можуть знайти корисну інформацію в [1].

Пік популярності поліморфних вірусів довівся на часи DOS, проте, і пізніше поліморфізм використався в безлічі вірусів, продовжує використатися поліморфізм і сьогодні.

Приклади. Згаданий вище Email-Worm.Win32.Bagle.p є поліморфним вірусом.

Одним з найбільш складних і щодо пізніх поліморфних вірусів є Virus.Win32.Etap. При зараженні файлу вірус перебудовує й шифрує власний код, записує його в одну із секцій файлу, що заражає, після чого шукає в коді файлу виклик функції ExitProcess і заміняє його на виклик вірусного коду. Таким чином, вірус одержує керування не перед виконанням вихідного коду зараженого файлу, а після нього.

Впровадження

Впровадження вірусних копій може здійснюватися двома принципово різними методами:

• Впровадження вірусного коду безпосередньо в заражає об’єкт

• Заміна об'єкта на вірусну копію. Об'єкт, що заміщає, як правило, перейменовується

Для вірусів характерним є переважно перший метод. Другий метод набагато частіше використається хробаками й троянами, а точніше троянськими компонентами хробаків, оскільки трояни самі по собі не поширюються.

Приклад. Один з деяких поштових хробаків, що поширюються по поштовій книзі The Bat! - Email-Worm.Win32.Stator.a, крім усього іншого заражає деякі файли Windows за принципом вірусу-компаньйона. Зокрема, до заражають файлам, що, ставляться: mplayer.exe, winhlp32.exe, notepad.exe, control.exe, scanregw.exe. При зараженні файли перейменовуються в розширення .VXD, а вірус створює свої копії під оригінальними іменами файлів, що заражають. Після одержання керування вірус запускає відповідний перейменований оригінальний файл.

Як варіант другого методу, у часи DOS застосовувався наступний прийом. При наборі імені файлу, що виконує, без вказівки розширення, DOS шукає один по одному спершу BAT, потім COM, і зрештою EXE-файл. Відповідно, вірусна копія створювалася в одному каталозі з EXE-файлом, дублюючи його ім'я й приймаючи розширення COM. Таким чином, при спробі запустити даний EXE-файл без явної вказівки розширення спочатку запускався вірус. Аналогічний прийом може використатися й в Windows-системах, але оскільки основна маса користувачів Windows рідко користуються запуском файлів з командного рядка, ефективність цього методу буде низкою.

Віруси – хробаки

На жаль, визначення хробака відсутній у державних стандартах і розпорядницьких документах, тому тут наведено лише інтуїтивне визначення, що дає подання про принципи роботи й виконуваних функцій цього типу шкідливих програм.

Хробак (мережний хробак) — тип шкідливих програм, що поширюються по мережних каналах, здатних до автономного подолання систем захисту автоматизованих і комп'ютерних мереж, а також до створення й подальшого поширення своїх копій, що не завжди збігаються з оригіналом, і здійсненню іншого шкідливого впливу.

Життєвий цикл

Так само як для вірусів, життєвий цикл хробаків можна розділити на певні стадії:

1. Проникнення в систему

2. Активація

3. Пошук "жертв"

4. Підготовка копій

5. Поширення копій

Стадії 1 й 5, загалом кажучи, симетричні й характеризуються в першу чергу використовуваними протоколами й додатками.

Стадія 4 - Підготовка копій - практично нічим не відрізняється від аналогічної стадії в процесі розмноження вірусів. Сказане про підготовку копій вірусів без змін застосовно й до чирв.

Канали поширення

На етапі проникнення в систему чирви діляться переважно по типах використовуваних протоколів:

• Мережні хробаки - чирви, що використають для поширення протоколи Інтернет і локальні мережі. Звичайно цей тип хробаків поширюється з використанням неправильної обробки деякими додатками базових пакетів стека протоколів tcp/ip

• Поштові хробаки - чирви, що поширюються у форматі повідомлень електронної пошти

• IRC-хробаки - хробаки, що поширюються по каналах IRC (Internet Relay Chat)

• P2P-хробаки - чирви, що поширюються за допомогою пірінгових (peer-to-peer) файлообміних мереж

• IM-хробаки - хробаки, що використають для поширення системи миттєвого обміну повідомленнями (IM, Instant Messenger - ICQ, MSN Messenger, AIM й ін.)

Приклади. Класичними мережними хробаками є представники сімейства Net-Worm.Win32.Sasser. Ці хробаки використають уразливість у службі LSASS Microsoft Windows. При розмноженні, хробак запускає FTP-службу на TCP-порту 5554, після чого вибирає IP-адресу для атаки й відсилає запит на порт 445 по цій адресі, перевіряючи, чи запущена служба LSASS. Якщо атакується комп’ютер, що відповідає на запит, хробак посилає на цей же порт експлойт уразливості в службі LSASS, у результаті успішного виконання якого на вилученому комп'ютері запускається командна оболонка на TCP-порту 9996. Через цю оболонку хробак віддалено виконує завантаження копії хробака по протоколі FTP із запущеного раніше сервера й віддалено ж запускає себе, завершуючи процес проникнення й активації.

Як приклад поштового хробака можна розглянути Email-Worm.Win32.Zafi.d. Заражене повідомлення містить у собі обирані з деякого списку тему й текст, змістом яких є поздоровлення зі святом (більша частина - з Різдвом) і пропозиція ознайомитися з вітальною листівкою у вкладенні. Поздоровлення можуть бути на різних мовах. Ім'я файлу, що перебуває у вкладенні, хробака складається зі слова postcard мовою, що відповідає поздоровленню, і довільного набору символів. Розширення файлу хробака випадковим образом вибирається зі списку .BAT, .COM, .EXE, .PIF, .ZIP. Для розсилання хробак використає адреси електронної пошти, знайдені на зараженому комп'ютері. Щоб одержати керування, хробак повинен бути запущений користувачем. IRC-Worm.Win32.Golember.a є, як треба з назви IRC-хробаком. При запуску він зберігає себе в каталозі Windows під ім'ям trlmsn.exe і додає в розділ автозапуску реєстру Windows параметр із рядком запуску цього файлу. Крім цього хробак зберігає на диск свою копію у вигляді архіву Janey2002.zip і зображення Janey.jpg. Потім хробак підключається до довільних IRC-каналів під різними іменами й починає слати певні текстові рядки, імітуючи активність звичайного користувача. Паралельно всім користувачам цих каналів відсилається заархівована копія хробака.

Функціональністю поширення через P2P-канали володіють багато мережних і поштових хробаків. Наприклад, Email-Worm.Win32.Netsky.q для розмноження через файлообмінні мережі шукає на локальному диску каталоги, що містять назви найбільш популярних мереж або ж слово "shared", після чого кладе в ці каталоги свої копії під різними назвами.

IM-хробаки рідко пересилають заражені файли безпосередньо між клієнтами. Замість цього вони розсилають посилання на заражені веб-сторінки. Так хробак IM-Worm.Win32.Kelvir.k посилає через MSN Messenger повідомлення, що містять текст "its you" і посилання "http://www.malignancy.us/[removed]/pictures.php?email=[email]", по зазначеному в якій адресі розташований файл хробака.

Сьогодні найбільш численну групу становлять поштові чирви. Мережні хробаки також є помітним явищем, але не стільки через кількість, скільки через якість: епідемії, викликані мережними хробаками найчастіше відрізняються високою швидкістю поширення й більших масштабів. IRC-, P2P- і IM-хробаки зустрічаються досить рідко, частіше IRC, P2P й IM служать альтернативними каналами поширення для поштових і мережних хробаків.

Способи активації

На етапі активації хробаки діляться на дві більші групи, що відрізняються як за технологіями, так і по строках життя:

1. Для активації необхідно активна участь користувача

2. Для активації участь користувача не потрібно зовсім або досить лише пасивної участі

Під пасивною участю користувача в другій групі розуміється, наприклад, перегляд листів у поштовому клієнті, при якому користувач не відкриває вкладені файли, але його комп'ютер, проте, виявляється зараженим.

Відмінність у цих підходах глибше, ніж може здатися на перший погляд. Активація мережного хробака без участі користувача завжди означає, що хробак використає проломи в безпеці програмного забезпеченні комп'ютера. Це приводить до дуже швидкого поширення хробака усередині корпоративної мережі з більшим числом станцій, істотно збільшує завантаження каналів зв'язку й може повністю паралізувати мережа. Саме цей метод активації використали чирви Lovesan й Sasser. У результаті викликаної таким мережним хробаком епідемії, використовувана пролом закривається адміністраторами або користувачами, і в міру зменшення комп'ютерів з відкритим проломом епідемія завершується. Для повторення епідемії розроблювачам вірусів доводиться експлуатувати інший пролом. У підсумку, епідемії, викликані активними хробаками, істотніше впливають на роботу мережі в цілому, однак трапляються значно рідше, ніж епідемії пасивних мережних хробаків. Обов'язковою мірою захисту від таких епідемій є своєчасна установка латок безпеки. Відзначимо також, що особливо уразливими для цього типу хробаків є операційні системи із закладеними можливостями вилученого керування або запуску програм - це сімейство Microsoft Windows NT/2000/XP/2003.

Приклад. Уразливість у службі LSASS, уперше використана в хробаку MyDoom на початку 2004 року, продовжувала успішно застосовуватися й через півтора року. Так Net-Worm.Win32.Mytob.be виявлений у червні 2005 усе ще використав цю уразливість як один зі способів поширення, на додаток до поширення через електронну пошту.

З іншого боку, активна участь користувача в активації хробака означає, що користувач був уведений в оману методами соціальної інженерії. У більшості випадків основним фактором служить форма подачі інфікованого повідомлення: воно може імітувати лист від знайомої людини (включаючи електронну адресу, якщо знайомий уже заражений), службове повідомлення від поштової системи або ж що-небудь подібне, настільки ж що часто зустрічається в потоці звичайної кореспонденції. Користувач у метушні просто не відрізняє звичайний лист від зараженого й робить запуск автоматично.

Захиститися латками від такого роду хробаків неможливо. Навіть внесення сигнатури мережного хробака у вірусну базу даних не вирішує проблему до кінця. Розроблювачам вірусу досить змінити виконує файл, що, так, щоб антивірус його не виявляв, і незначно поміняти текст повідомлення, використовуючи в тому числі й технології спам-разсиланнь, що застосовуються для обходу фільтрів.

У результаті, епідемії, викликані пасивними мережними хробаками, можуть бути набагато триваліше й породжувати цілі сімейства однотипних мережних хробаків.

Останнім часом намітилася тенденція до сполучення в хробаках обох способів поширення. Багато представників сімейства Mytob мають функції поширення через електронну пошту й через уразливість у службі LSASS.

Пошук "жертв"

Спосіб пошуку комп'ютера-жертви повністю базується на використовуваних протоколах і додатках. Зокрема, якщо мова йде про поштового хробака, виробляється сканування файлів комп'ютера на предмет наявності в них адрес електронної пошти, по яких у результаті й виробляється розсилання копій хробака. Точно так само Інтернет-хробаки сканують діапазон IP адрес у пошуках уразливих комп'ютерів, а P2P хробаки кладуть свої копії в загальнодоступні каталоги клієнтів пірінгових мереж. Деякі хробаки здатні експлуатувати списки контактів інтернет-пейджерів, таких як ICQ, AIM, MSN Messenger, Yahoo! Messenger й ін.

Підготовка копій для поширення

Найбільше часто серед хробаків зустрічаються спрощені реалізації метаморфізму. Деякі хробаки здатні розсилати свої копії в листах, як із впровадженням скріпта хробака, що приводить до автоматичної активації, так і без впровадження. Таке поводження хробака обумовлене двома факторами: скриіпт автоматичної активації підвищує ймовірність запуску хробака на комп'ютері користувача, але при цьому зменшує ймовірність проскочити антивірусні фільтри на поштових серверах.

Аналогічно, хробаки можуть міняти тему й текст інфікованого повідомлення, ім'я, розширення й навіть формат вкладеного файлу - виконує модуль, що, може бути прикладений як є або в заархівованому виді.

Віруси – трояни

Троян (троянський кінь) — тип шкідливих програм, основною метою яких є шкідливий вплив стосовно комп'ютерної системи. Трояни відрізняються відсутністю механізму створення власних копій. Деякі трояни здатні до автономного подолання систем захисту КС, з метою проникнення й зараження системи. У загальному випадку, троян попадає в систему разом з вірусом або хробаком, у результаті необачних дій користувача або ж активних дій зловмисника.

Життєвий цикл

У силу відсутності в троянів функцій розмноження й поширення, їхній життєвий цикл украй короткий - усього три стадії:

• Проникнення на комп'ютер

• Активація

• Виконання закладених функцій

Це, саме собою, не означає малого часу життя троянів. Навпроти, троян може тривалий час непомітно перебувати в пам'яті комп'ютера, ніяк не видаючи своєї присутності, доти, поки не буде виявлений антивірусними засобами.

Способи проникнення

Завдання проникнення на комп'ютер користувача трояни вирішують звичайно одним із двох наступних методів.

1.Маскування — троян видає себе за корисний додаток, що користувач самостійно завантажує з Інтернет і запускає. Іноді користувач виключається із цього процесу за рахунок розміщення на Web-сторінці спеціального скріпта, що використовуючи діри в браузері автоматично ініціює завантаження й запуск трояна.

Приклад. Trojan.SymbOS.Hobble.a є архівом для операційної системи Symbian (SIS-архівом). При цьому він маскується під антивірус Symantec і має ім'я symantec.sis. Після запуску на смартфоні троян підмінює оригінальний файл оболонки FExplorer.app на ушкоджений файл. У результаті при наступному завантаженні операційної системи більшість функцій смартфона виявляються недоступними .

Одним з варіантів маскування може бути також впровадження зловмисником троянського коду в код іншого додатка. У цьому випадку розпізнати троян ще складніше, тому що заражений додаток може відкрито виконувати які-небудь корисні дії, але при цьому тайкома завдавати шкоди за рахунок троянських функцій. Розповсюджений також спосіб впровадження троянів на комп'ютери користувачів через веб-сайти. При цьому використається або шкідливий скріпт, що завантажує й запускає троянську програму на комп'ютері користувача, використовуючи уразливість у веб-браузері, або методи соціальної інженерії - наповнення й оформлення веб-сайту провокує користувача до самостійного завантаження трояна. При такому методі впровадження може використатися не одна копія трояна, а поліморфний генератор, що створює нову копію при кожнім завантаженні. Застосовувані в таких генераторах технології поліморфізму звичайно не відрізняються від вірусних поліморфних технологій.

2. Кооперація з вірусами й хробаками — троян подорожує разом із хробаками або, рідше, з вірусами. У принципі, такі пари хробак-троян можна розглядати цілком як складеного хробака, але в сформованій практиці прийнято троянську складову хробаків, якщо вона реалізована окремим файлом, уважати незалежним трояном із власним ім'ям. Крім того, троянська складова може попадати на комп'ютер пізніше, ніж файл хробака.

Приклад. Використовуючи backdoor-функціонала хробаків сімейства Bagle, автор хробака проводив сховану інсталяцію трояна SpamTool.Win32.Small.b, що збирав і відсилав на певну адресу адреси електронної пошти, що були у файлах на зараженому комп'ютері.

Нерідко спостерігається кооперація хробаків з вірусами, коли хробак забезпечує транспортування вірусу між комп'ютерами, а вірус поширюється по комп'ютері, заражаючи файли.

Приклад. Відомий у минулому хробак Email-Worm.Win32.Klez.h при зараженні комп'ютера також запускав на ньому вірус Virus.Win32.Elkern.c. Навіщо це було зроблено, сказати важко, оскільки вірус сам по собі, крім зараження й пов'язаних з помилками в коді шкідливих проявів (явно виражених шкідливих процедур у ньому немає), ніяких дій не виконує, тобто не є "посиленням" хробака в якому б те не було змісті.

Активація

Тут прийоми ті ж, що й у хробаків: очікування запуску файлу користувачем, або використання автоматичного запуску.

Виконувані функції

На відміну від вірусів і хробаків, розподіл яких на типи виробляється по способах розмноження/поширення, трояни діляться на типи по характері виконуваних ними шкідливих дій. Найпоширеніші наступні види троянів.

•Клавіатурні шпигуни - трояни, що постійно перебувають у пам'яті й дані, що зберігають всі, вступники від клавіатури з метою наступної передачі цих даних зловмисникові. Звичайно в такий спосіб зловмисник намагається довідатися паролі або іншу конфіденційну інформацію.

Приклад. У минулому, буквально пари років тому ще зустрічалися клавіатурні шпигуни, які фіксували всі натискання клавіш і записували їх в окремий файл. Trojan-Spy.Win32.Small.b, наприклад, у нескінченному циклі зчитував коди клавіш, що натискають, і зберігав їх у файлі C:\SYS Сучасні програми-шпигуни оптимізиовані для збору інформації, переданої користувачем в Інтернет, оскільки серед цих даних можуть зустрічатися логіни й паролі до банківських рахунків, PIN-коди кредитних карт й інша конфіденційна інформація, що ставиться до фінансової діяльності користувача. Trojan-Spy.Win32.Agent.fa відслідковує відкриті вікна Internet Explorer і зберігає інформацію з відвідуваних користувачем сайтів, уведення клавіатури в спеціально створений файл servms.dll із системному каталозі Windows.

•Викрадачі паролів - трояни, також призначені для одержання паролів, але не використають спостереження за клавіатурою. У таких троянах реалізовані способи добування паролів з файлів, у яких ці паролі зберігаються різними додатками.

Приклад. Trojan-PSW.Win32.LdPinch.kw збирає відомості про систему, а також логіни й паролі для різних сервісів і прикладних програм - месенджерів, поштових клієнтів, програм дозвонуи. Часто ці дані виявляються слабко захищені, що дозволяє трояну їх одержати й відправити зловмисникові по електронній пошті.

•Утиліти вилученого керування - трояни, що забезпечують повний вилучений контроль над комп'ютером користувача. ' Існують легальні утиліти такої ж властивості, але вони відрізняються тим, що повідомляють про своє призначення при установці або ж постачені документацією, у якій описані їхні функції. Троянські утиліти вилученого керування, навпроти, ніяк не видають свого реального призначення, так що користувач і не підозрює про те, що його комп'ютер підконтрольний зловмисникові. Найбільш популярна утиліта вилученого керування - Back Orifice.

Приклад. Backdoor.Win32.Netbus.170 надає повний контроль над комп'ютером користувача, включаючи виконання будь-яких файлових операцій, завантаження й запуск інших програм, одержання знімків екрана й т.д.

•Люки (backdoor) - трояни які надають зловмисникові обмежений контроль над комп'ютером користувача. Від утиліт вилученого керування відрізняються більше простим пристроєм й, як наслідок, невеликою кількістю доступних дій. Проте, звичайно одними з дій є можливість завантаження й запуску будь-яких файлів по команді зловмисника, що дозволяє при необхідності перетворити обмежений контроль у повен.

Приклад. Останнім часом backdoor-функціонал став характерною рисою хробаків. Наприклад, Email-Worm.Win32.Bagle.at використає порт 81 для одержання вилучених команд або завантаження троянів, що розширюють функціонала хробака.

Є й окремі трояни типу backdoor. Троян Backdoor.win32.Wootbot.gen використає IRC-канал для одержання команд від "хазяїна". По команді троян може завантажувати й запускати на виконання інші програми, сканувати інші комп'ютери на наявність вразливостей і встановлювати себе на комп'ютери через виявлені вразливості.

•Анонімні smtp-сервера й проксі - трояни, що виконують функції поштових серверів або проксі й, що використаються в першому випадку для спам-розсилань, а в другому для замітання слідів хакерами.

Приклад. Трояни із сімейства Trojan-Proxy.Win32.Mitglieder поширюються з різними версіями хробаків Bagle. Троян запускається хробаком, відкриває на комп'ютері порт і відправляє авторові вірусу інформацію про IP-адресу зараженого комп'ютера. Після цього комп'ютер може використатися для розсилання спаму.

•Утиліти дозвону - порівняно новий тип троянів, що представляє собою утиліти dial-up доступу в Інтернет через дорогі поштові служби. Такі трояни прописуються в системі як утиліти дозвону за замовчуванням і спричиняють величезні рахунки за користування Інтернетом.

Приклад. Trojan.Win32.Dialer.a при запуску здійснює дозвон в Інтернет через платні поштові служби. Ніяких інших дій не робить, у тому числі не створює ключів у реєстрі, тобто навіть не реєструється як стандартна програма дозвону й не забезпечує автозапуск.

•Модифікатори настроювань браузера - трояни, які міняють стартову сторінку в браузері, сторінку пошуку або ще які-небудь настроювання, відкривають додаткові вікна браузера, імітують натискання на банери й т.п.

Приклад. Trojan-Clicker.JS.Pretty звичайно втримується в html-сторінках. Він відкриває додаткові вікна з певними веб-сторінками й обновляє їх із заданим інтервалом.

•Логічні бомби - частіше не стільки трояни, скільки троянські складових хробаків і вірусів, суть роботи яких полягає в тому, щоб за певних умов (дата, час доби, дії користувача, команда ззовні) зробити певну дію: наприклад, знищення даних.

Приклад. Virus.Win9x.CIH, Macro.Word97.Thus

Збиток від вірусів

Хробаки й віруси можуть здійснювати всі ті ж дії, що й трояни. На рівні реалізації це можуть бути як окремі троянські компоненти, так й убудовані функції. Крім цього, за рахунок масовості, для вірусів і хробаків характерні також інші форми шкідливих дій:

• Перевантаження каналів зв'язку — властивий чирвам вид збитку, пов'язаний з тим, що під час масштабних епідемій по Інтернет-каналах передаються величезні кількості запитів, заражених листів або безпосередньо копій хробака. У ряді випадків, користування послугами Інтернет під час епідемії стає скрутним. Приклади: Net-Worm.Win32.Slammer

• DDo атаки — завдяки масовості, хробаки можуть ефективно використатися для реалізації розподілених атак на відмову в обслуговуванні (DDo атак). У розпал епідемії, коли зараженими є мільйони й навіть десятка мільйонів комп'ютерів, обіг всіх інфікованих систем до певного Інтернет ресурсу приводить до повного блокування цього ресурсу. Так, під час атаки хробака MyDoom сайт компанії SCO був недоступний протягом місяця.

• Втрата даних — більше характерне для вірусів, чим для троянів і хробаків, поводження, пов'язане з навмисним знищенням певних даних на комп'ютері користувача. Приклади: Virus.Win9x.CIH - видалення стартових секторів дисків і вмісту Flash BIOS, Macro.Word97.Thus - видалення всіх файлів на диску C:, Email-Worm.Win32.Mydoom.e - видалення файлів з певними розширеннями залежно від показника лічильника випадкових чисел.

• Порушення роботи — також більше властивого вірусамам чорта. Через помилки в коді вірусу, заражені додатки можуть працювати з помилками або не працювати зовсім. Приклади: Net-Worm.Win32.Sasser.a - перезавантаження зараженого комп'ютера. • Завантаження ресурсів комп'ютера — інтенсивне використання ресурсів комп'ютера шкідливими програмами веде до зниження продуктивності як системи в цілому, так й окремих додатків. Приклади: у різному ступені - будь-які шкідливі програми.

Наявність деструктивних дій зовсім не є обов'язковим критерієм для класифікації програмного коду як вірусного. Слід також зазначити, що одним тільки процесом саморозмноження вірус здатний завдати колосальної шкоди. Найбільш яскравий приклад - Net-Worm.Win32.Slammer.

Погрози безпеки інформації

Розглянемо погрози безпеки інформації з погляду вірусів. З огляду на той факт, що загальне число вірусів за станом на сьогодні перевершує 100000, проаналізувати погрози з боку кожного з них є занадто трудомістким і марним завданням, оскільки щодня зростає кількість вірусів, а виходить, необхідно щодня модифікувати отриманий список. У цій роботі ми будемо вважати, що вірус здатний реалізувати кожну з погроз безпеки інформації. Існує безліч способів класифікації погроз безпеки інформації, що обробляється в автоматизованій системі. Найбільше часто використається класифікація погроз по результаті їхнього впливу на інформацію, а саме - порушення конфіденційності, цілісності й доступності.

Для кожної погрози існує кілька способів її реалізації з боку вірусів.

Погроза порушення конфіденційності

• Крадіжка інформації і її поширення за допомогою штатних засобів зв'язку або схованих каналів передачі: Email-Worm.Win32.Sircam - розсилав разом з вірусними копіями довільні документи, знайдені на зараженому комп'ютері • Крадіжка паролів доступу, ключів шифрування й ін.: будь-які трояны, що крадуть паролі, Trojan-PSW.Win32.LdPinch.gen

• Вилучене керування: Backdoor.Win32.NetBus, Email-Worm.Win32.Bagle (backdoor-функціональність)

Погроза порушення цілісності

• Модифікація без знищення (зміна інформації): будь-який паразитуючий вірус

• Модифікація за допомогою знищення або шифрації (видалення деяких типів документів): Virus.DOS.OneHalf - шифрування вмісту диска, Virus.Win32.Gpcode.f - шифрує файли з певними розширеннями, після чого самознищується, залишаючи поруч із зашифрованими файлами координати для зв'язку з питань розшифровки файлів.

• модифікація шляхом низькорівневого знищення носія (форматування носія, знищення таблиць розподілу файлів): Virus.MSWord.Melissa.w - 25 грудня форматує диск C:

Погроза порушення доступності

• Завантаження каналів передачі даних більшим числом пакетів: Net-Worm.Win32.Slammer - безперервне розсилання інфікованих пакетів у нескінченному циклі

• Будь-яка діяльність, результатом якої є неможливість доступу до інформації; різні звукові й візуальні ефекти: Email-Worm.Win32.Bagle.p - блокування доступу до сайтів антивірусних компаній

• Вивід комп'ютера з ладу шляхом знищення або псування критичних складових (знищення Flash BIOS): Virus.Win9x.CIH - псування Flash BIOS

Як нескладно було переконатися, для кожного з наведених вище способів реалізації погроз можна привести конкретний приклад вірусу, що реалізує один або одночасно кілька способів.

Висновок

Шкідливі програми відрізняються умовами існування, застосовуваними технологіями на різних етапах життєвого циклу, властиво шкідливим впливом - всі ці фактори і є основою для класифікації. У результаті по основному (з історичної точки зору) ознаці - розмноженню, шкідливі програми діляться на три типи: властиво віруси, хробаки й трояни.

Незалежно від типу, шкідливі програми здатні завдавати значної шкоди, реалізуючи будь-які погрози інформації - погрози порушення цілісності, конфіденційності, доступності. У зв'язку із цим при проектуванні комплексних систем антивірусного захисту, і навіть у більше загальному випадку - комплексні системи захисту інформації, необхідно проводити градацію й класифікувати об'єкти мережі по важливості оброблюваної на них інформації й по ймовірності зараження цих вузлів вірусами.

Універсальний клавіатурний шпигун (PUBLIC)

Універсальний клавіатурний шпигун (PUBLIC) - програма, яка фіксує всі натиснуті на ПК клавіші, і посилає їх на гейт.

Була написана спеціально для користувачів-новачків, які не бажають купувати платні аналоги і т.п.

[+] Фіксує всі вікна, в яких було введено текст

[+] Автозавантаження при запуску системи

[+] Відключений повторний запуск білда. (зазвичай, при запуску більше двох разів, логи йшли "криво" - були нечитабельні)

[-] Розмір упакованого UPX’‘ом білду - 160 кб.

[-] Логи йдуть в англійській розкладці

Технічна підтримка даної версії (Public) - не передбачена, розвиватися/дороблятися програма не буде.

"Ідеальна" версія, "без мінусів" - незабаром буде продаватися.

Програми реєстрації натиснутих клавіш, які перехоплюють паролі та іншої вводиться вручну текст, стають все більш поширеними.

"Клавіатурні шпигуни" користуються все більшою популярністю у викрадачів персональної інформації, стверджує сек'юріті-фірма iDefense (підрозділ VeriSign) в опублікованому у вівторок звіті. Отримані нею повідомлення і її власні дослідження показують, що в поточному році число виявлених варіантів шпигунських програм цього типу в порівнянні з минулим роком збільшиться на 65%, досягнувши майже 6200.

Кожен варіант заражає від декількох до кількох тисяч комп'ютерів, говорить старший інженер iDefense Кен Данем (Ken Dunham). Зазвичай клавіатурні шпигуни спостерігають за що вводиться з клавіатури текстом і таємно передають дані зловмисникові. Вони використовуються для крадіжки конфіденційної інформації, такої як реєстраційні дані і дані кредитних карт.

Найбільша проблема боротьби з цими програмами полягає в тому, що часто вони легко проникають за міжмережеві екрани і обходять антивірусне ПЗ, залишаючись непоміченими, відзначає iDefense. "Так багато жертв тому, що про ризик зараження або про його ранніх симптомах мало хто знає, – йдеться в заяві віце-президента VeriSign iDefense Security Intelligence Services. – Неможливо знищити те, що не можна побачити".

У число ранніх симптомів входять уповільнення роботи комп'ютера, збільшення числа спливаючих повідомлень і інші проблеми. Клавіатурні шпигуни потрапляють у комп'ютер різними способами – при завантаженні ПЗ, через вкладення в e-mail, чатрум або просто з нехорошого веб-сайту. Зазвичай ці програми використовують уразливості веб-браузера, у тому числі Microsoft Internet Explorer.

IDefense стверджує, що кілоггери зазвичай поширюються бандами організованою кіберзлочинність, які в минулому застосовували їх для переказів великих грошових сум з метою фінансування злочинної діяльності. З 2001 року, коли фірма виявила всього 275 таких програм, їх кількість зростає експоненціально.

Шпигунські програмні продукти

Шпигу́нський програ́мний проду́кт — це програмний продукт особливого виду, що встановлений і вживається без належного сповіщення користувача, його згоди і контролю з боку користувача, тобто несанкціоновано встановлений. Саме у цьому вузькому сенсі термін шпигунський програмний продукт є дослівним перекладом англійського терміну Spyware (англ. Spy — шпигун і англ. (Soft)ware — програмне забезпечення).

Але слід зазначити, що термін Spyware має як вузьке, так і широке тлумачення.

У даній статті за основу прийняті сталі визначення, вживані Anti-Spyware Coalition (коаліції, в якій полягають багато крупних виробників анти-шпигунського і антивірусного програмного забезпечення).

Класифікація

за видом

Шпигунські програмні продукти підрозділяються на декілька основних видів:

несанкціоновано вживані моніторингові програмні продукти (англ. Tracking Software);

несанкціоновано вживані програмні продукти, призначені для контролю натискань клавіш на клавіатурі комп'ютера (англ. Keyloggers);

несанкціоновано вживані програмні продукти, призначені для контролю скриншотів екрану монітора комп'ютера (англ. Screen Scraper);

за метою розробки

Програмні продукти або модулі, які спочатку розроблялися спеціально для несанкціонованого проникнення в комп'ютерну систему і спочатку призначалися для крадіжки інформації користувача розробником даного програмного продукту.

Програмні продукти або модулі, які спочатку не розроблялися спеціально для несанкціонованого проникнення в комп'ютерну систему і спочатку не призначалися для крадіжки інформації користувача розробником даного програмного продукту.

за наявністю сигнатури в сигнатурних базах

Відомі шпигунські програмні продукти. До даної категорії відносяться шпигунські програмні продукти, сигнатура яких вже включена в сигнатурні бази основних відомих фірм-виробників анти- шпигунських програмних продуктів і/або анти-вірусних програмних продуктів.

Невідомі шпигунські програмні продукти. До даної категорії відносяться шпигунські програмні продукти, сигнатура яких не включена в сигнатурні бази основних відомих фірм-виробників анти- шпигунських програмних продуктів і/або анти-вірусних програмних продуктів і, можливо, ніколи не буде в них включена з різних причин, а саме:

моніторингові програмні продукти (модулі), які можуть створюватися розробниками різних закритих операційних систем і включатися ними до складу ядра операційної системи, без належного сповіщення користувача, його згоди і контролю ;

шпигунські програмні продукти, які розроблені в обмеженій кількості (часто тільки в одній або декількох копіях) для вирішення конкретного завдання, пов'язаного з викраданням критичної інформації з комп'ютера користувача (наприклад, програмні продукти, що вживаються зловмисниками-професіоналами). Дані програмні продукти можуть бути трохи видозміненими відкритими початковими кодами моніторингових програмних продуктів, узятими з мережі Інтернет і скомпільовані самим зловмисником, що дозволяє змінити сигнатуру моніторингового програмного продукту;

комерційні, особливо, корпоративні моніторингові програмні продукти, які дуже рідко вносяться до сигнатурних баз відомих фірм-виробників анти-шпигунських програмних продуктів і/або анти-вірусних програмних продуктів. Це призводить до того, що публікація зловмисниками в мережі Інтернет повнофункціональної версії такого комерційного моніторингового програмного продукту може перетворити останній в потенційний невідомий шпигунський програмний продукт, який не виявляється анти- шпигунськими програмними продуктами і/або анти-вірусними програмними продуктами;

шпигунські програмні продукти, що включаються до складу програм-вірусів. До моменту внесення сигнатурних даних до вірусної бази дані модулі є невідомими. Приклад — всесвітньо відомі віруси, що натворили багато бід останніми роками, мають в своєму складі модуль перехоплення натиснень клавіатури і відправки отриманої інформації в мережу Інтернет.

[ред.]

Термінологія

Порушник (англ. user violator) — користувач, що здійснює несанкціонований доступ до інформації.

Санкціонований доступ до інформації (англ. authorized access to information) — доступ до інформації, що не порушує правила розмежування доступу.

Несанкціонований доступ до інформації (англ. unauthorized access to information) — доступ до інформації, що здійснюється з порушенням правил розмежування доступу.

Правила розмежування доступу (англ. access mediation rules) — частина політики безпеки, що регламентує правила доступу користувачів і процесів до пасивних об'єктів.

Політика безпеки інформації (англ. information security policy) — сукупність законів, правил, обмежень, рекомендацій, інструкцій і так далі, що регламентують порядок обробки інформації.

[ред.]

Цілі застосування

Застосування шпигунських програмних продуктів дозволяє зловмисникові дістати практично повний доступ до комп'ютера користувача та до інформації, що на ньому що зберігається.

[ред.]

Методи захисту від шпигунських програмних продуктів

Захист від «відомих» шпигунських програмних продуктів:

використання анти- шпигунських програмних продуктів і/або анти-вірусних програмних продуктів відомих виробників з автоматичним оновленням сигнатурних баз.

Захист від «невідомих» шпигунських програмних продуктів:

використання анти-шпигунських програмних продуктів і/або анти-вірусних програмних продуктів відомих виробників, які для протидії шпигунським програмним продуктам використовують так звані евристичні (поведінкові) аналізатори, тобто не вимагають сигнатурної бази.

Захист від «відомих» і «невідомих» шпигунських програмних продуктів включає використання анти-шпигунських програмних продуктів і/або анти-вірусних програмних продуктів відомих виробників, які для протидії шпигунським програмним продуктам використовують:

сигнатурні бази шпигунських програмних продуктів, що постійно оновлюються;

евристичні (поведінкові) аналізатори, що не вимагають наявності сигнатурної бази.

Шпигунські програми

Ця категорія охоплює всі програми, які відправляють приватну інформацію без згоди і відома користувачів. Вони використовують функції стеження, щоб відправити різні статистичні дані, такі як список відвіданих вебсайтів, адреси електронної пошти зі списку контактів користувача або список натиснутих клавіш.

Автори шпигунських програм заявляють, що ці технічні прийоми служать меті, дізнатися більше про потреби та інтереси користувачів та зробити можливою більш цілеспрямовану рекламу. Проблема полягає в тому, що немає чіткої відмінності між корисними та шкідливими програмами, і ніхто не може бути впевненим, що зібрана інформація не буде використана не за призначенням. Дані, отримані шпигунськими програмами, можуть містити коди захисту, ПІН-коди, номери банківських рахунків і т.п. Шпигунську програму автори часто прив’язують до безплатної версії якоїсь програми для того, щоб стимулювати придбання цієї програми і отримати прибуток. Часто користувачів інформують про присутність шпигунської програми під час інсталяції безплатної програми, даючи їм стимул придбати платну версію без “шпигуна”.

Прикладами добре відомих безплатних продуктів, зв’язаних зі шпигунськими програмами, є клієнтські програми однорангових (P2P) мереж. Spyfalcon або Spy Sheriff (та багато інших) належать до особливої підкатегорії шпигунських програм – вони видають себе за антишпигунські програми, але насправді самі є шпигунськими програмами.

Якщо на комп’ютері виявлено файл шпигунської програми, рекомендується його видалити, оскільки він, найвірогідніше, може містити шкідливий код.

DoS-атака

[править]

Материал из Википедии — свободной энциклопедии

Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 20 октября 2011; проверки требуют 6 правок.

DoS-атака (от англ. Denial of Service, отказ в обслуживании) — атака на компьютерную систему с целью довести её до отказа, то есть, до такого состояния, что легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам (серверам, сервисам), либо этот доступ затруднён. Отказ «вражеской» системы может быть как самоцелью (например, сделать недоступным популярный сайт), так и одним из шагов к захвату контроля над системой (если во внештатной ситуации ПО выдаёт какую-либо критическую информацию — например, версию, часть программного кода и т. д.).

Если атака выполняется одновременно с большого числа компьютеров, говорят о DDoS-атаке (от англ. Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»). В некоторых случаях к фактической DDoS-атаке приводит легитимное действие, например, размещение на популярном интернет-ресурсе ссылки на сайт, размещённый на не очень производительном сервере (слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер и, следовательно, отказу в обслуживании части из них.Содержание [убрать]

1 Виды DoS-атак

1.1 Эксплуатация ошибок

1.2 Флуд

1.2.1 Флуд канала связи и TCP-подсистемы

1.2.2 Флуд прикладного уровня

2 Выявление DoS-атак

3 Защита от DoS-атак

4 Примечания

5 См. также

6 Литература

7 Ссылки

[править]

Виды DoS-атак

Существуют различные причины, по которым может возникнуть DoS-условие:

Ошибка в программном коде, приводящая к обращению к неиспользуемому фрагменту адресного пространства, выполнению недопустимой инструкции или другой необрабатываемой исключительной ситуации, когда происходит аварийное завершение программы-сервера — серверной программы. Классическим примером является обращение по нулевому (англ. null) адресу.

Недостаточная проверка данных пользователя, приводящая к бесконечному либо длительному циклу или повышенному длительному потреблению процессорных ресурсов (вплоть до исчерпания процессорных ресурсов) либо выделению большого объёма оперативной памяти (вплоть до исчерпания доступной памяти).

Флуд (англ. flood — «наводнение», «переполнение») — атака, связанная с большим количеством обычно бессмысленных или сформированных в неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы из-за исчерпания системных ресурсов — процессора, памяти или каналов связи.

Атака второго рода — атака, которая стремится вызвать ложное срабатывание системы защиты и таким образом привести к недоступности ресурса.

Если атака (обычно флуд) производится одновременно с большого количества IP-адресов — с нескольких рассредоточенных в сети компьютеров — то в этом случае она называется распределённой атакой на отказ в обслуживании (DDoS).

[править]

Эксплуатация ошибок

Основная статья: Эксплойт

Эксплойтом называют программу, фрагмент программного кода или последовательность програмных команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на киберсистему. Из эксплойтов, ведущих к DoS-атаке, но непригодных, например, для захвата контроля над «вражеской» системой, наиболее известны WinNuke и Ping of death (Пинг смерти).

[править]

Флуд

О флуде как нарушении сетевого этикета см. Флуд.

Флудом называют огромный поток бессмысленных запросов с разных компьютеров с целью занять «вражескую» систему (процессор, ОЗУ или канал связи) работой и этим временно вывести её из строя. Понятие «DDoS-атака» практически равносильно понятию «флуд», и в обиходе и тот и другой часто взаимозаменяемы как синонимы («зафлудить сервер» == «заDDoS’ить сервер»).

Для создания флуда могут применяться как обычные сетевые утилиты вроде ping (этим известно, например, интернет-сообщество «Упячка»), так и особые программы. Возможность DDoS’а часто «зашивают» в ботнеты. Если на сайте с высокой посещаемостью будет обнаружена уязвимость типа «межсайтовый скриптинг» или возможность включения картинок с других ресурсов, этот сайт также можно применить для DDoS-атаки.

[править]

Флуд канала связи и TCP-подсистемы

Любой компьютер, имеющий связь с внешним миром по протоколу TCP/IP, подвержен таким типам флуда:

SYN-флуд — при данном виде флуд-атаки на атакуемый узел направляется большое количество SYN-пакетов по протоколу TCP (запросов на открытие соединения). При этом на атакуемом компьютере через короткое время исчерпывается количество доступных для открытыя сокетов (програмных сетевых гнезд, портов) и сервер перестаёт отвечать.

UDP-флуд — этот тип флуда атакует не компьютер-цель, а его канал связи. Естественно используется протокол UDP. Провайдеры резонно предполагают, что UDP, как сетевой протокол, обладает высшим приоритетом, чем TCP. Большим количеством UDP-пакетов разного размера забивают канал связи, и сервер, работающий по протоколу TCP, перестаёт отвечать.