Проявления компьютерных вирусов

Антивирусные программы

 

Безопасность информации — это один из основных показателей качества информационной системы. На вирусные атаки приходит­ся около 57% инцидентов, связанных с безопасностью информации и около 60% реализованных угроз из числа зафиксированных и по­павших в статистические обзоры.

Поэтому одной из основных задач защиты информации являет­ся организация эффективной антивирусной защиты автономных рабочих станций, локальных и корпоративных компьютерных се­тей, обрабатывающих информацию ограниченного доступа, в том числе содержащую государственную и служебную тайну.

Компьютерный вирус — это программа, скрывающаяся внутри других программ или на специальных участках диска и способная воспроизводиться («размножаться»), приписывая себя к другим программам («заражать» их), или переноситься на другие диски без ведома и согласия пользователя. Большинство компьютерных виру­сов выполняют разрушительную работу, повреждая информацию, хранимую на магнитных дисках. Последствия от действий компью­терных вирусов могут быть разнообразными.

Термин «вирус» заимствован из биологии. Особенности поведе­ния компьютерных вирусов сходны с поведением обычных вирусов: они представляют опасность для той системы, в которой паразитиру­ют, быстро размножаются, легко распространяются, разрушают ин­формацию, содержащуюся в коде программы, и повреждают систем­ные области дисков. Внешним проявлением «болезни» компьютера являются различные нарушения его работоспособности. Но в отличие от биологических систем, обладающих огромными возможностями самозащиты, компьютерные системы беззащитны, поэтому достаточ­но одного вируса, чтобы вывести их из строя.

Зараженные программы или дискеты сами становятся носите­лями вируса и поражают другие объекты. В начальной стадии дейст­вие вируса может быть практически незаметно для пользователя.

В деятельности компьютерных вирусов можно выделить два пе­риода: «инкубационный» (период спячки) и активный. В «инкуба­ционный» период вирус создает собственные копии на диске и «заражает» другие программы, а также выполняет какие-либо вредные действия, например портит файлы, таблицу размещения файлов на диске и т. п.

Длительность этого периода зависит от многих факторов, напри­мер от интенсивности работы пользователей (вирус может подсчи­тывать число произведенных им заражений) или наступления какой-либо определенной даты (например, вирус Black Friday, или Изра­ильский, производит проверку системной даты, и если она оказыва­ется 13-м числом и пятницей, то вирус активизируется и портит диск и программы).

Авторы вирусных программ стараются предусмотреть все воз­можные ситуации, чтобы их «произведение» не раскрыло себя рань­ше времени: запрещают повторное заражение одного и того же фай­ла для избежания конфликта разных копий вируса; шифруют текст самого вируса, маскируют вирус при попытке просмотреть зара­женную программу в редакторе, сохраняют работоспособность инфицированных программ.

Однако вирус можно обнаружить и в этот скрытый период. Основными признаками заражения могут быть следующие: изменение длины программ; потеря работоспособности программного обеспечения; заметное замедление выполнения компьютером некоторых операций, особенно с диском; подозрительные «зависания» компь­ютера, приводящие к необходимости перезагрузки; появление большого количества «плохих» секторов на дискетах или винчестере и уменьшение их емкости и др.

О наступлении активного периода пользователь узнает из раз­личных сообщений, звуковых сигналов, экранных эффектов или по отказам компьютера.

Учитывая алгоритмы работы и способы воздействия вирусов на программное обеспечение их можно условно классифициро­вать по следующим признакам (рис. 11.1)

Рис. 11.1. Классификация компьютерных вирусов

 

По среде обитания:

- файловыевирусы, поражающие исполняемые файлы, т. е. файлы с расширением .com, .exe, sys, .bat;

- вирусы, поражающие загрузочные секторы (загрузочные вирусы). Они поражают определенные системные области магнитных носителей (гибких и жестких дисков). Кроме того, на включенном компьютере они могут временно располагаться в оперативной памяти. Обычно заражение происходит при попытке загрузки компьютера с магнитного носителя, системная область которого содержит загрузочный вирус. Так, например, при попытке загрузить компьютер с гибкого диска происходит сначала проникновение вируса в оперативную память, а затем в загрузочный сектор жестких дисков. Далее этот компьютер сам становится источником распространения загрузочного вируса;

- сетевые, распространяющиеся по компьютерным сетям;

- драйверные, порождающие драйвера устройств.

По особенностям алгоритма:

- простейшие вирусы(паразитические), они изменяют содер­жимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены;

- вирусы-репликаторы (черви)— распространяются по компь­ютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии;

- вирусы-невидимки (стелс-вирусы) — перехватывают обра­щения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска;

- вирусы-мутанты, содержат алгоритмы шифровки-расшиф­ровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов;

- макровирусы. Эта особая разновидность вирусов поражает документы, выполненные в некоторых прикладных программах, имеющих средства для исполнения так называемых макрокоманд. В частности, к таким документам относятся документы текстового процессора Microsoft Word (они имеют расширение .DOC). Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд. Как и для других типов вирусов, результат атаки может быть как относительно безобидным, так и разрушительным;

- квазивирусные или «троянские» программы,маскируются под полезную программу и разрушают загрузочный сектор и файловую систему дисков. Не способны к самораспрост­ранению, но очень опасны.

По способу заражения:

- резидентный вирус— при заражении (инфицировании) ком­пьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операцион­ной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.

- нерезидентные вирусыне заражают память компьютера и являются активными ограниченное время.

По деструктивным особенностям (степени воздействия):

- неопасные, не мешающие работе компьютера, но умень­шающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в ка­ких-либо графических или звуковых эффектах;

- опасные вирусы, которые могут привести к различным на­рушениям в работе компьютера;

- очень опасные (разрушительные), воздействие которых может привести к по­тере программ, уничтожению данных, стиранию информа­ции в системных областях диска.

Каким бы не был вирус, пользователю необходимо знать ос­новные методы защиты от компьютерных вирусов:

- общие средства защиты информации, которые полезны так­же и как страховка от физической порчи дисков, непра­вильно работающих программ или ошибочных действий пользователя. К ним относится копирование информа­ции — создание копий файлов и системных областей дис­ков, и разграничение доступа;

- профилактические меры, позволяющие уменьшить вероят­ность заражения вирусом: работа с дискетами, защищен­ными от записи, минимизация периодов доступности дис­кетки для записи, раздельное хранение вновь полученных и эксплуатировавшихся ранее программ, хранение про­грамм на «винчестере» в архивированном виде;

- организационные меры, состоящие в обучении персонала; обеспечение физической безопасности компьютера и маг­нитных носителей; создание и отработка плана восстанов­ления «винчестера» и др;

- специализированные программы для зашиты от вирусов.

Для решения задач антивирусной защиты должен быть реализо­ван комплекс известных и хорошо отработанных организационно-технических мероприятий:

- использование сертифицированного программного обеспече­ния;

- организация автономного испытательного стенда для провер­ки на вирусы нового программного обеспечения и данных. Это ме­роприятие эффективно для систем, обрабатывающих особо ценную информацию;

- ограничение пользователей системы на ввод программ и дан­ных с посторонних носителей информации — отключение пользо­вательских дисководов для магнитных и оптических носителей ин­формации. Особенно эффективным это становится при переходе на технологию электронного документооборота;

- запрет на использование инструментальных средств для соз­дания программ в самой системе;

- резервное копирование рабочего программного обеспечения и данных. Для критических систем рекомендуется циклическая схе­ма тройного копирования данных, когда рабочая копия файла хра­нится на диске рабочей станции, одна архивная копия в защищенной области на сервере и еще одна архивная копия на съемном носителе информации. При этом периодичность и порядок обновления архив­ных копий регламентируются специальной инструкцией;

- подготовка администраторов безопасности и пользователей по вопросам антивирусной защиты. Низкая квалификация админи­страторов безопасности и пользователей по вопросам антивирусной защиты приводит к ошибочным действиям при настройке системы и в случае возникновения нештатных ситуаций.

Использование антивирусных программ является основным средством зашиты информации от компьютерных вирусов.

Выделяют следующие виды антивирусных программ:детекто­ры, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

Программы-детекторыпозволяют обнаруживать файлы, зара­женные одним из нескольких известных вирусов. Эти програм­мы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчерк­нуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей «известны». Некоторые программы-детекто­ры, например Norton AntiVirus или AVSP фирмы «Диалог-МГУ», могут настраивать на новые типы вирусов, им необходимо лишь указать комбинации байтов, присущие этим вирусам. Тем не мнение невозможно разработать такую программу, которая мог­ла бы обнаруживать любой заранее неизвестный вирус.

Большинство программ-детекторов имеют функцию «докто­ра», т. е. они пытаются вернуть зараженные файлы или области диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.

Программы-ревизорыимеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных облас­тей дисков (загрузочного сектора и сектора с таблицей разбие­ния жесткого диска). Предполагается, что в этот момент про­граммы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо вклю­чить команду запуска программы-ревизора в командный файл autoexec.bat. Это позволяет обнаружить заражение компьютер­ным вирусом, когда он еще не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти поврежден­ные вирусом файлы.

Многие программы-ревизоры являются довольно «интеллек­туальными» — они могут отличать изменения в файлах, вызван­ные, например, переходом к новой версии программы, от изме­нений, вносимых вирусом, и не поднимают ложной тревоги. Другие программы часто используют различные полумеры — пытаются обнаружить вирус в оперативной памяти, требуют вы­зовы из первой строки файла autoexec.bat, надеясь работать на «чистом» компьютере, и т. д. Увы, против некоторых «хитрых» вирусов все это бесполезно.

В последнее время появились очень полезные гибриды реви­зоров и докторов, т. е. доктора-ревизоры,— программы, которые не только обнаруживают изменения в файлах и системных об­ластях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными, чем программы-доктора, по­скольку при лечении они используют заранее сохраненную ин­формацию о состоянии файлов и областей дисков. Это позволя­ет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы.

Существуют также программы-фильтры,которые располага­ются резидентно в оперативной памяти компьютера и перехва­тывают те обращения к операционной системе, которые исполь­зуются вирусами для размножения и нанесения вреда, и сообща­ют о них пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции.

Программы-вакцины,илииммунизаторы,модифицируют про­граммы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти про­граммы крайне неэффективны.

В настоящее время разделение антивирусных программ на виды не является жестким, многие антивирусные программы со­вмещают различные функции. Производители антивирусных программ начали создавать не просто программы антивирусы, а комплексные средства для борьбы с вирусами.Одна из наиболее популярных и наиболее универсальных антивирусных про­грамм — DoctorWeb, антивирус Касперского Personal Pro, Norton AntiVirus Professional Edition.Это универсальные и перспектив­ные антивирусные программы, сочетающие функции антивирус­ного сканера, резидентного сторожа и доктора.

В качестве перспективного подхода к защите от компьютер­ных вирусов в последние годы все чаще применяется сочетание программных и аппаратных методов защиты. Среди аппаратных устройств такого плана можно отметить специальные антивирус­ные платы, которые вставляются в стандартные слоты расшире­ния компьютера.