logo
СС ЭВМ лекция

1.3.3 Компьютерные вирусы

Повышение ценности информации в современном мире, естественно, привело к появлению угрозы разрушения информации со стороны злоумышленников. Компьютерные данные могут быть:

  1. рассекречены, т.е. доведены до сведения тех, кому они не были предназначены;

  2. частично или полностью изменены вопреки желанию их владельца;

  3. частично или полностью уничтожены, что сделает невозможной их дальнейшую обработку.

К проблеме третьего типа относится также нарушение идентификации пользователя путём удаления файлов, утраты или подмены пароля, преднамеренного разрушения жёсткого диска.

Иногда опасности для сохранения компьютерных данных связаны со случайными сбоями и нарушениями режима работы технических средств. Их называют случайными угрозами.

Нарушения функционирования компьютерных систем, связанные с преднамеренными действиями злоумышленников, называются умышленными угрозами.

Для реализации умышленных угроз могут применяться самые разнообразные средства: агентурная работа; визуальное наблюдение; перехват электромагнитного излучения, возникающего при работе; подслушивание телефонных переговоров; радиозакладки; физическое разрушение аппаратуры; несанкционированный доступ к информации.

Среди угроз случайного характера можно выделить:

  1. ошибки операторов;

  2. потери информации, вызванные её неправильным хранением;

  3. случайные ошибки, повлёкшие уничтожение или изменение данных;

  4. сбои и отказы аппаратных средств;

  5. нарушения электропитания;

  6. сбои в работе программных средств;

  7. случайное заражение системы компьютерными вирусами.

Компьютерные вирусы существуют в самых разных видах, но единой классификации для них пока не создано.

Устоялось определение, согласно которому вирусом называют вредоносные программы, способные к саморазмножению, т. е. к созданию собственной копии и к внедрению её в тело файла пользователя или в системную область диска.

Программы или отдельные модули программ, которые могут нарушать целостность, доступность или конфиденциальность данных, называются программными закладками. Программные закладки делятся на программы-шпионы (Spy Ware) и логические бомбы. Программы-шпионы выполняют вредоносные функции до тех пор, пока присутствуют в компьютере. К ним относятся также программы Ad Ware, включающие дополнительный код и выводящие на экран «всплывающие окна» с рекламной информацией. Иногда они отслеживают личные данные пользователя (адреса электронной почты, выбор Web-сайтов, возраст и т.п.) для передачи в источник распространения Ad Ware.

Разновидность вируса, которая распространяется вместе с вложением к электронным письмам, называется почтовым червем (mail worms). Распространяются эти вирусы по адресам рассылки, указанным в адресной книге пользователя. Некоторые черви способны генерировать текст отправляемого письма и наименование темы, а вирус прикрепляется к письму как вложение. За редким исключением черви не уничтожают локальные данные.

Одна из возможных классификаций вирусов включает следующие признаки для деления на классы.

  1. Среда обитания.

  2. Способ заражения.

  3. Разрушающие способности.

  4. Характеристики алгоритма вирусной программы.

По среде обитания вирусы делятся на загрузочные вирусы, файловые и сетевые.

Загрузочные вирусы инфицируют загрузочный (boot) сектор диска или сектор, в котором расположен системный загрузчик винчестера.

Файловые вирусы заражают файлы с расширением .com, .bat, .exe. Такие вирусы можно писать на языке Visual Basic Application, или в виде скриптов, входящих в HTML страницы (VBScript, Java Script). Их называют сценарными или скриптовыми.

Сетевые вирусы распространяются по компьютерным сетям и могут принудительно выполнять свой код на любом удалённом компьютере.

Возможны комбинированные варианты вирусов.

По способу заражения вирусы делятся на резидентные вирусы и нерезидентные.

Резидентный вирус инфицирует компьютер и вставляет в оперативную память резидентную часть, которая заражает те объекты, к которым обращается операционная система. Резидентные вирусы активны до выключения или перезагрузки компьютера. Макросы относятся к резидентным вирусам, так как присутствуют в памяти компьютера вместе с работающим приложением.

Нерезидентные вирусы не заражают оперативную память, не остаются в памяти после выполнения заражённой программы. Они активны ограниченное время и перед передачей управления исходной программе ищут незаражённый файл для внедрения.

По разрушающим способностям вирусы делятся на безвредные вирусы, неопасные, опасные и очень опасные.

Безвредные вирусы проявляются через уменьшение свободной памяти на диске.

Неопасные вирусы помимо влияния на память вызывают графические, звуковые и другие эффекты.

Опасные вирусы вызывают серьёзные нарушения в работе компьютера, уничтожают программы, данные, могут разрушить BIOS.

Очень опасные вирусы приводят к разнообразным разрушениям. Они включают: изменение данных в файлах; изменение данных, передаваемых через последовательные и параллельные порты; изменение адреса пересылки; переименование файлов; форматирование части или всего жёсткого диска; уничтожение, изменение, перемещение загрузочного сектора диска; снижение производительности системы; отказы типа блокирования клавиатуры; блокирование загрузки программы с защищенной от записи дискеты и т.п.

Алгоритмы работы программы вируса можно разделить на следующие разновидности:

  1. с использованием стеллс-алгоритмов;

  2. с включением самошифрования и полиморфизма;

  3. с применением нестандартных приёмов.

Программы-шпионы внедряются через файлы аналогично вирусам.

Часто они сопровождают дистрибутивы полезных программ и устанавливаются на компьютер с соблюдением всех существующих правил. Антишпионские базы данных содержат сведения о более чем 300 Spy Ware.

Среди сетевых программ-шпионов наиболее вредоносны бекдоры (Backdoor), управляющие компьютером на расстоянии. Они изменяют параметры рабочего стола, права доступа пользователей, удаляют и устанавливают программные средства и т.п.

Для защиты от вредоносных программ создаются программы контроля целостности данных, антивирусные программы, средства контроля и разграничения доступа, средства сетевой защиты, криптографической защиты, программы для работы с жёсткими дисками и сменными носителями, имеющие защитные функции.

За время борьбы с вредоносными программами создано большое количество антивирусных средств. Они значительно различаются и по цене, и по выполняемым функциям. Рассмотрим наиболее интересные с точки зрения индивидуального пользователя антивирусные программы. К наиболее эффективным антивирусным пакетам можно отнести Doctor Web (компания «Диалог-Наука»), антивирус Касперского AVP («Лаборатория Касперского»), Norton AntiVirus (корпорация Symantec), McAfeeVirus Scan (компания Network Associates), Panda Antivirus.

Среди алгоритмов, основанных на современных технологиях выявления и нейтрализации компьютерных вирусов, можно выделить сканеры, мониторы, ревизоры изменений, иммунизаторы, поведенческие блокираторы.

Антивирусные сканеры просматривают оперативную память, загрузочные секторы дисков и файлы, разыскивая уникальные программные коды вирусов (вирусные маски). Возможности этих алгоритмов ограничены тем, что они выявляют только известные коды вирусов и не способны бороться с полиморфными вирусами, которые изменяют свой код при копировании.

Мониторы имеют тот же образ действия, что и сканеры. Работают как резидентные программы. Они позволяют избежать запуска заражённых программ и предотвратить распространение вируса. Обычно мониторы устанавливаются в процессе инсталляции антивирусного пакета. Они лечат файл, перемещают заражённые файлы в «карантин» или удаляют согласно начальным настройкам. Мониторы специализируются как файловые, мониторы почтовых программ, мониторы специальных приложений.

Ревизоры изменений выполняют контрольные вычисления, называемые контрольными свёртками (CRC), для файлов, системных секторов и системного реестра. Эти значения сохраняются в базе данных и сравниваются при следующем запуске программы с текущими значениями. Лечение основано на представлении об исходном файле. Любые отклонения от исходного файла выявляются при проверке. Ревизоры не определяют вирусы в новых файлах до определения CRC и не выявляют вирусы в момент появления до заражения файлов компьютера.

Иммунизаторы или вакцины делятся на информирующие вакцины и блокирующие. Информирующие вакцины записываются в конце файла и проверяют при запуске, не изменился ли файл. Вирусы-невидимки они не выявляют. Блокирующие иммунизаторы добавляют в файл метки, определённые для известных вирусов. При появлении вируса файл не заражается, т.к. вирус считает его заражённым. Большого распространения иммунизаторы не получили.

Поведенческие блокираторы выполняют эвристический анализ программ на основе базы знаний. Их можно применять как против вирусов, так и против программ-шпионов. Удаление вирусов они не выполняют и должны сопровождаться антивирусным сканированием для уничтожения выявленных вирусов.

Работа в сети и интенсивное использование Internet-а повышают опасность заражения компьютера. Среди средств сетевой защиты наибольшее внимание уделяется предупредительным средствам, т.е. препятствующим инфицированию компьютера. Они делятся на межсетевые экраны, системы обнаружения атак, сетевые сканеры, «антиспамеры».

Межсетевые экраны или брандмауэры (fire wall) представляют собой аппаратно-программную систему, разбивающую вычислительную сеть на части и устанавливающую жёсткие правила прохождения информационных пакетов из одной части в другую.

В состав Windows XP входит персональный брандмауэр ICF (Internet Connection Firewall), предназначенный для защиты отдельного компьютера. Он позволяет настроить параметры защиты для каждого сетевого подключения в отдельности. Для включения функционирования ICF необходимо в меню Пуск выбрать через пункт Настройка/Сетевые подключения нужное сетевое подключение, щёлкнуть на его имени правой кнопкой мыши. В контекстном меню подключения выбрать пункт Свойства. Перейти на вкладку Дополнительно и включить опцию «Защитить моё подключение к Internet-у».

Включённый межсетевой экран проверяет пакеты на соответствие записям в Nat-таблице потоков (Network Address Translation). Пакет пропускается, если задано разрешение. Список разрешений можно открыть через окно настроек на вкладке Параметры. Затем необходимо нажать на кнопку ICMP. В других персональных брандмауэрах можно найти и другие возможности. Например, брандмауэр Agnitum Outpost Firewall (Agnitum Ltd.) контролирует входящий и исходящий трафики на основе правил, заданных заранее или установленных в процессе обучения. Он способен работать в режиме невидимки (Stealth), блокировать загружаемые Web-страницы по HTML коду, блокировать загружаемые Web-сайты по адресам, блокировать активные элементы Web-страниц, такие как сценарии, Java-апплеты, элементы ActivX, запоминать серверы DNS для ускорения запуска Web-страниц при последующем подключении.

Системы обнаружения атак (IDEIntrusion Detection System) обнаруживают некорректную деятельность, выраженную в увеличении интенсивности поступления пакетов данных, поступающих извне или циркулирующих в локальной сети. Основная цель таких атак обычно скрыта. Это может быть исчерпание ресурсов, приводящее к тому, что атакуемый компьютер перестаёт обслуживать обычные запросы (DoS – Denied of Service), поиск незащищённых точек входа в систему, анализ сетевого трафика и т.п.

Для обнаружения атак выявляют аномальное поведение (anomaly detection) или злоупотребления (misuse detection), которые определяют в виде шаблонов по описанию в сетевом трафике или журнале регистрации.

В составе брандмауэров присутствуют модули, выполняющие обнаружение атак. Например, в Agnitum Outpost Firewall функционирует модуль Детектор атак, который обнаруживает атаки. Существует, кроме того, ряд специализированных пакетов.

Сетевые сканеры просматривают узлы в сети и формируют рекомендации по изменению параметров защиты. При обнаружении незарегистрированных устройств сообщают администратору сети.

«Антиспамеры» фильтруют сообщения, поступающие по электронной почте, для отсечения писем, исходящих с серверов, замеченных в распространении спама.