Технологии защиты от вирусов

Содержание:

 

 

1. Введение

Компьютерный вирус – это своеобразное явление, возникшее в процессе развития компьютерной техники и информационных технологий. Суть этого явления состоит и в том, что программы-вирусы обладают рядом свойств, присущих живым организмам, - они рождаются, размножаются и умирают. Термин «компьютерный вирус» впервые употребил сотрудник Университета Южной калифорнии Фрэд Коэн в 1984 году на 7-й конференции по безопасности информации, проходящей в США. Этим термином был назван вредоносный фрагмент кода. Конечно, это была всего лишь метафора. Фрагмент программного кода похож на настоящий вирус не больше, чем человек на робота. И тем не менее это один из тех редких случаев, когда значение метафоры становилось со временем все менее метафорическим и все более буквальным.

Компьютерные вирусы теперь способны делать практически все то же, что и настоящие вирусы: переходить с одного объекта на другой, изменять способы атаки и мутировать, чтобы проникнуть мимо выставленных против них защитных кордонов. Проникнув в информационную систему, компьютерный вирус может ограничиться безобидными визуальными или звуковыми эффектами, но может и вызвать потерю или искажение данных, утечку личной и конфиденциальной информации. В худшем случае информационная система, пораженная вирусом, окажется под полным контролем злоумышленника. Сегодня компьютерам доверяют решение многих критических задач. Поэтому выход из строя информационных систем может иметь весьма тяжелые последствия, вплоть до человеческих жертв.

Как в повторяющейся каждый год истории, когда эпидемиологическим центрам приходится гадать, от какой разновидности вируса гриппа надо готовить вакцины к середине зимы, появление новых компьютерных вирусов и их «лечение» поставщиками антивирусных средств разделяется интервалом времени. Поэтому организациям и пользователям необходимо знать, что происходит, когда новый, не идентифицированный вирус попадает в сеть организации и персональный компьютер, как быстро антивирусное решение способно оказать помощь и как не допустить распространения этого компьютерного вируса.

Существует много определений компьютерного вируса. Исторически первое определение было дано в 1984 году Фредом Коэном: «Компьютерный вирус –это программа, которая может заражать другие программы, модифицируя их посредством включения в них своей, возможно, измененной копии, причем последняя сохраняет способность к дальнейшему размножению». Ключевыми понятиями в этом определении компьютерного вируса являются способность вируса к саморазмножению и способность к модификации вычислительного процесса. Указанные свойства компьютерного вируса аналогичны паразитированию биологического вируса в живой природе. С тех пор острота проблемы вирусов многократно возросла – к конца XX века в мире насчитывалось более 14300 модификаций вирусов. Разнообразие вирусов столь велико, что просто невозможно указать достаточное условие (перечислить набор признаков, при выполнении которых программу можно однозначно отнести к вирусам) – всегда найдутся программы с данными признаками, не являющиеся вирусами.

Под компьютерным вирусом принято понимать программы или элементы программ, несанкционированно проникшие в компьютер с целью нанесения вреда, отличительной особенностью которых является способность самотиражирования.  Наибольшая опасность таких вирусов заключается в том, что прежде чем нанести вред компьютеру и самообнаружиться, они копируются в другие программные файлы.

 

 

 

 

 

 

 

 

 

 

 

2. Классификация вредоносных программ

Вредоносные программы классифицируют по способу проникновения, размножения и типу вредоносной нагрузки.

На сегодняшний день известны десятки тысяч различных компьютерных вирусов. Несмотря на такое множество число типов вирусов, отличающихся друг от друга механизмом распространения и принципом действия, достаточно ограничено. Не редко встречаются комбинированные вирусы, которые можно отнести сразу к нескольким типам. Вирусы можно разделить на классы по следующим основным признакам:

• по поражаемым объектам (файловые вирусы, загрузочные вирусы, скриптовые вирусы, макровирусы, вирусы, поражающие исходный код);
• по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, Linux);
• по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы, руткиты);
• по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.);
• по дополнительной вредоносной функциональности (бэкдоры, кейлоггеры, шпионы, ботнеты и др.).

Наиболее распространенной являются классификация по среде обитания :

В свою очередь по среде обитания вирусы делятся на:

• файловые вирусы либо внедряются в выполняемые файлы различными способами, либо создают файлы-двойники, либо используют особенности организации файловой системы;
• загрузочные вирусы записывают себя либо в загрузочный сектор диска, либо в сектор, содержащий загрузчик жесткого диска;
• макровирусы заражают макропрограммы и файлы документов современных систем обработки информации (в основном страдают файлы-документы Microsoft Word, Microsoft Excel и др.);
• сетевые вирусы используют для своего распространения протоколы глобальных и локальных сетей. Самым главным принципом работы такого вируса является уникальная возможность передать свой код без сторонней помощи на рабочую станцию или удаленный сервер. Большинство сетевых вирусов, кроме возможности самостоятельно проникать через сеть на удаленные компьютеры, могут там же запустить на выполнение свой программный код, или, в некоторых случаях, немного «подтолкнуть» пользователя, что бы тот запустил инфицированный файл;

При подготовке своих копий вирусы могут применять для маскировки разные технологии:

• шифрование – в этом случае вирус состоит из двух частей: сам вирус и шифратор;
• метаморфизм – при применении этого метода вирусные копии создаются путем замены некоторых команд на аналогичные, перестановки местами частей кода, вставки между ними дополнительных, обычно бессмысленных команд.

Соответственно, в зависимости от используемых методов маскировки вирусы можно делить на шифрованные, метаморфные и полиморфные, использующие комбинацию двух типов маскировки.

Данные классификации не являются стандартом, существует много различных схем типизации вирусов.

По мере развития компьютерных технологий совершенствуется и компьютерные вирусы, приспосабливаясь к новым для себя сферам обитания. В любой момент может появится компьютерный вирус, «троянская» программа или червь нового, неизвестного ранее типа, либо известного типа но направленного на новое оборудование или программное обеспечение. Новые вирусы могут использовать не известные или не существовавшие ранее каналы распространения,  а также новые технологии внедрения в компьютерные системы. Чтобы исключить угрозу  вирусного заражения, системный администратор корпоративной сети должен не только внедрять  методики антивирусной защиты, но и постоянно отслеживать новости в мире компьютерных вирусов.

 

 

 

3. Основы работы антивирусных программ

 

Самыми эффективными средствами защиты от вирусов являются специализированные программы, способные распознать и обезвредить вирусы в файлах, письмах и других объектах. Такие программы называются антивирусами, и для того, чтобы обезопасить себя от вредоносных программ, необходимо использовать их обязательно.

В современных антивирусных продуктах используется два основных подхода к обнаружению вирусов:

• Сигнатурные методы – точные методы обнаружения вредоносного кода, основанные на сравнении файла с известными образцами вирусов;
• Проактивные / эвристические методы – приблизительные методы обнаружения, которые позволяют с определенной уверенностью сказать, что файл заражен.

Сигнатурные методы (метод сравнения с эталоном). Принцип работы – это поиск известных вирусов по маске. Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Антивирусная программа последовательно просматривает проверяемые файлы в поиске масок известных вирусов. Антивирусные сканеры способны найти только уже известные вирусы. Для шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора, невозможно выделить маску, поэтому антивирусные сканеры их не обнаруживают.

Эвристический анализ. Для того чтобы размножаться, компьютерный вирус должен совершать какие-то конкретные действия: копирование в память, запись в сектора и т.д.. Эвристический анализатор (который является частью антивирусного ядра) содержит список таких действий и проверяет программы и загрузочные сектора дисков и дискет на наличие в них кода, характерного для вирусов. Первый эвристический анализатор появился в начале 90-х годов прошлого века. Практически все современные антивирусные программы реализуют собственные методы эвристического анализа.

Также надо отметить такие методы как:

• Антивирусный мониторинг. Суть данного метода состоит в том, что в памяти компьютера постоянно находятся антивирусная программа, осуществляющая мониторинг всех подозрительных действий, выполняемых другими программами. Антивирусный мониторинг отслеживает все запускаемые программы, создаваемые, открываемые и сохраняемые документы, файлы программ и документов полученные через Интернет или скопированные на жесткий диск с компакт-диска либо флэш-накопителей.
• Метод обнаружения изменений. При реализации метода обнаружения изменений антивирусные программы, называемые ревизорами диска, запоминают первоначальные характеристики всех областей диска, которые могут подвергнуться нападению, а затем переолически проверяют их. При сопоставлении значений характеристик областей, антивирусная программа может обнаружить изменения, сделанные как известным, так и неизвестным вирусом.
• Встраивание антивирусов в BIOS компьютера. В материнские платы компьютеров тоже встраивают простейшие средства защиты от вредоносного ПО. Эти средства позволяют контролировать все обращения к главной загрузочной записи жестких дисков.

 

 

 

 

 

 

 

 

 

 

 

 

 

4. Виды антивирусных программ

 

Различают следующие виды антивирусных программ:

• программы-фаги (сканеры);
• программы-ревизоры (CRC - сканеры);
• программы-блокировщики;
• программы-иммунизаторы.

Программы-фаги используют для обнаружения вирусов метод сравнения с эталоном, метод эвристического анализа и некоторые другие методы. В начале своей работы программы-фаги сканируют оперативную память, обнаруживают вирусы и уничтожают их и только затем переходят к лечению файлов.

Программы-ревизоры используют для поиска вирусов метод обнаружения изменений. Принцип работы основан на подсчете CRC-сумм (кодов циклического контроля) для присутствующих на диске файлов/системных секторов. Затем в базе данных антивируса сохраняются эти CRC-сумма, а также некоторая другая информация: длины файлов, даты их последней модификации и другие параметры. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

Но даже при высокой эффективности, CRC-сканеры имеют недостаток. Они не могут определить вирус в новых файлах (в электронной почте, на дисках, в файлах, восстановленных из резервных копий или распаковываемых из архива), так как в их базах отсутствует информация об этих файлах.

Программы-блокировщики реализуют метод антивирусного мониторинга. Антивирусные блокировщики – это резидентные программы, перехватывающие вирусоопасные ситуации и сообщающие об этом пользователю. К вирусоопасным ситуациям относятся запросы на открытие для записи в выполняемые файлы, запись в загрузочные сектора дисков или MBR(Master Boot Record) жесткого диска, попытки программ остаться в памяти резидентно и т.п., то есть вызовы, характерные для вирусов в момент их размножения.

Программы-иммунизаторы – это программы, предотвращающие заражение файлов. Иммунизаторы делятся на два типа: сообщение о заражении и блокирующие заражение каким-либо типом вируса. Имунизаторы первого типа обычно записываются в конец файлов и при запуске файла каждый разз проверяют его на изменение (в настоящие время практичски не используется).  Иммунизатор второго типа защищает систему от поражения вирусом определенного вида. Этот иммунизатор модифицирует программу или диск таким образом, чтобы это не отражалось на их работе,  а вирус будет воспринимать их зараженными и поэтому не внедрится.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

5. Критерии качества антивирусной программы

 

Качество антивирусной программы можно оценить по нескольким критериям. Эти критерии, перечисленные в порядке убывания их важности, приводятся ниже:

• надежность и удобство работы – отсутствие «зависаний» антивируса и прочих технических проблем, требующих от пользователя специальной подготовки;
• качество обнаружения вирусов всех распространенных типов, сканирование внутри файлов-документов/таблиц (MS Word? Excel и других приложений из пакета Office), архивированных файлов. Возможность лечения зараженных объектов;
• существование версий антивируса под все известные платформы (DOS, Windows, Novell NetWare, OS/2, Alpha, Linux и т.д.); наличие режимов сканирования по запросу и сканирования «на лету@? Существование серверных версий с возможностью администрирования сети;
• скорость работы и другие полезные особенности.