Компьютерные вирусы и антивирусные программы

Компьютерные вирусы

Термин «компьютерный вирус» впервые употребил сотрудник Ле-хайского университета (США) Ф.Коэн в 1984 г. на 7-й конференции по безопасности информации, проходившей в США.

Компьютерный вирус - это программа, способная к саморазмножению и самоизменению в работающей вычислительной среде, вызывающая нежелательные для пользователей последствия. Они могут выражаться в нарушении работы программ, выводе на экран посторонних сообще­ний или изображений, порче записей, файлов, дисков, замедлении ра­боты машины, отправке не контролируемых пользователем сообщений электронной почты и других деструктивных действиях.

Вирусы можно разделить на классы по нескольким основным при­знакам: по среде обитания; по операционной системе; по особенности алгоритма работы; по деструктивным возможностям.

По среде обитания вирусы делятся на файловые, загрузочные и сетевые.

Файловые вирусы заражают исполняемые файлы (это наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы). Макро-вирусы (разновидность файловых виру­сов) встраивающиеся в документы и электронные таблицы популярных редакторов.

Загрузочные вирусы заражают загрузочные секторы дисков (boot-секторы), либо главную загрузочную запись(Master Boot Record), либо меняют указатель на активный boot-сектор.

Сетевые вирусы используют для своего распространения протоко­лы или команды компьютерных сетей и электронной почты (почтовые вирусы).

Существует большое количество гибридных типов - например, фай-лово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритмработы, часто применяют оригинальные методы проникнове­ния в систему.

Другой пример такого сочетания - сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

Среди особенностей алгоритма работы вирусов выделяют такие, как резидентность, использование стел с-алгоритме в, самошифрование и по-лиморфичность, использование нестандартных приемов.

Резидентный вирус при инфицировании компьютера оставляет в опе­ративной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и со­храняют активность ограниченное время.

В многозадачных операционных системах время жизни резидентного DOS-вируса может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операцион­ных системах нередко ограничивается моментом инсталляции дисковых драйверов ОС.

Использование стаяс-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным из них является перехват запросов ОС на чтение/записьзараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации. В случае макровирусов наиболее популярный способ сокрытия - запрет вызовов меню просмотра макросов.

Самошифрование и пояиморфичностъ используются практически все­ми типами вирусов для того, чтобы максимально усложнить процедуру их детектирования. Полиморфные (polymorphic) вирусы не имеют сигнатур, то есть не содержат ни одного постоянного участка кода. В большинстве случаев два экземпляра одного и того же полиморфного вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.По деструктивным возможностям вирусы можно разделить на: неопасные, влияние которых ограничивается уменьшением свободной

памяти на диске, а также всякого рода графическими, звуковыми и т.п.

эффектами;

опасные, которые могут привести к серьезным сбоям в работе ком­пьютера;

очень опасные, в алгоритмработы которых заведомо заложены про­цедуры, которые могут «подвесить» работающие программы, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.

Меры защиты от компьютерных вирусов

К основными мерам защиты от вирусов относятся: резервирование (ежедневное ведение архивов измененных файлов); профилактика - использование программ, полученных только из проверенных источников, раздельное хранение вновь полученных и эксплуатирующихся программ, хранение неиспользуемых программ в архивах, применение специального диска или тестового компьютера для записи новых программ;

ревизия — анализ вновь полученных программ специальными сред­ствами и их запуск в контролируемой среде, систематическая проверка boot-сектора используемых дискет и содержимого системных файлов (прежде всего command.com) и т.п.;

фильтрация (использование специальных сервисных программ для разбиения диска на зоны с установленным атрибутом read only); вакцинация (специальная обработка файлов, дисков, каталогов); лечение (дезактивация конкретного вируса с помощью специальной программы или восстановление первоначального состояния программ путем удаления всех экземпляров вируса в каждом из зараженных файлов или дисков).

Наиболее важный принцип, которого следует придерживаться по­сле обнаружения вируса во время анализа зараженных им программ, действий по их очистке или восстановлению, состоит в следующем: все операции следует выполнять только с защищенной от записи системной дискеты и использовать антивирусные и другие программные средства, предварительно записанные на ней.

Выполнение подобного рода действий на базе зараженной вирусом операционной системы является грубой ошибкой и может иметь ката­строфические последствия.

Антивирусные программы предназначены для предотвращения за­ражения компьютера вирусом и ликвидации последствий заражения. В зависимости от назначения и принципа действия различают следующие их типы:

сторожа (детекторы) предназначены для обнаружения файлов, зараженных известными вирусами, или признаков, указывающих на возможность заражения;

доктора позволяют обнаруживать и ликвидировать известные им ви­русы, удаляя их из тела программы и возвращая ее в исходное состояние (наиболее известными представители этого класса программ - Dr. Web, AidsTest, Norton AntiVirus);

ревизоры контролируют наиболее уязвимые (и поэтому наиболее часто атакуемые) компоненты компьютера, запоминают состояние служебных областей и файлов, и в случае обнаружения изменений сообщают об этом пользователю;

резидентные мониторы (фильтры) постоянно находятся в памяти компьютера, чтобы отслеживать любые попытки несанкционированных действий. В случае их обнаружения они выводят запрос пользователю на подтверждение этих операций;

вакцины имитируют заражение файлов вирусами (в этом случае вирус, считая их уже зараженными, не будет в них внедряться).

В современных антивирусных программных продуктах A VP, Dr. Web, Dr.Solomon используются различные методики обнаружения вирусов:

сканирование сигнатур (для борьбы с вирусами, использующими неизменный код);

проверка целостности (путем создания и использования базы кон­трольных сумм файлов);

эвристические методы (анализ программы с целью выявления таких действий, как, например, форматированиежесткого диска);

полиморфный анализ (в специальной защищенной области);

анализ на наличие макровирусов (распространяемых, например, с файлами MS Word, Excel, Access).

Наряду с этими средствами ряд пакетов содержат дополнительные функции защиты от почтовых вирусов и вирус-модулей ActiveX и Java-аплетов. Некоторые антивирусные пакеты (например, Panda Antivirus Platinum и PC-cillm) блокируют доступ компьютера к подозрительным Web-страницам.

Определенным недостатком всех антивирусных пакетов является то, что они сильно загружают систему при работе. Это может проявляться в замедлении работы компьютера, в особенности если часть модулей активизируется по умолчанию.

Избежать чрезмерной загрузки процессора и оперативной памяти помогает отключение ряда не слишком необходимых функций сложных мониторингов, оставляя лишь самые простые (например, антивирусный монитор).

Наряду с классическими методами борьбы появляются и принци­пиально новые. К примеру, ряд фирм предлагают проверку на вирусы через Интернетв так называемых «электронных больницах»; из числа последних можно выделить McAfee Clinic. Технология работы следую­щая: компьютер пользователя через Интернет проводит программный модуль ActiveX, который берет сигнатуры со специального сайта. В России также оказываются подобные услуги, но в этом случае следует направить зараженный файлили сектор начальной загрузки на серверкомпании-производителя антивирусного продукта.Другим современным методом обеспечения антивирусной защиты писем электронной почты считается их автоматическая проверка у Ин­тернет-провайдера.

Среди антивирусных программных продуктов можно отметить прежде всего пакеты Norton Antivirus (Symantec), Virus Scan (McAfee), Dr.Solomon AVToolkit (S&SIntL), AntiVirus (IBM), InocuLAN (Computer Associates) и AntiViral Toolkit Pro (Лаборатория Касперского). Данные программные продукты отвечают требованиям ICSA, отслеживая 300 наиболее рас­пространенных и хотя бы 9 из каждых 10 остальных вирусов. В той или иной степени данныеантивирусные программы обладают функциями проверки на вирусы и удаления их в реальном времени, отключения за­раженных рабочих станций от сети, определения источника заражения, проверки сжатых файлов в режимах сканирования и реального времени. Кроме того, эти программы позволяют проводить удаленное сканирование ПК с Windows NT и ведут единый журнал событий, a Norton Antivirus и InocuLAN позволяют также обновлять клиентские программы с сервера и устанавливать уровень загрузки процессора на сервере при фильтрации проходящих сетевых пакетов.

Norton AntiVirus - пакет, предназначенный для защиты компьютера от вирусов во время работы в Интернете, обмена файлами по сети, загрузки файлов с дискет и CD. Программа может автоматически сканировать входящие почтовые сообщения, содержащие различного рода прикре­пленные данные, в таких популярных почтовых программах, как MS Outlook, MS Outlook Express, Eudora Pro, Eudora Lite, Netscape Messenger, Netscape Mail. Программа защищает систему от опасных Active Х-кодов, Java-апплетов и так называемых «троянских коней», а также определяет и удаляет вирусы из сжатых файлов (в том числе из подвергнутых много­кратному сжатию).

Программа имеет вид, сходный с другими продуктами семейства Norton, такими как Norton System Works и NortonUtilities. Как и раньше, Norton AntiVirus дает простые и понятные инструкции о том что делать, когда обнаружен вирус.

Для обнаружения новых и неизвестных вирусов используется пере­довая технология Bloodhound Heuristic: программаисследует структуру файла, программную логику, инструкции, данныефайлов и прочие атрибуты, а затем использует эвристическую логику, чтобы определить вероятность инфицирования. «Чистые» файлы беспрепятственно про­ходят сквозь этот фильтр, а подозрительные задерживаются.

Эта технология обеспечивает очень высокую степень защиты, авто­матически определяя и обезвреживая до 95% всех новых и неизвестных вирусов.

Улучшены проверка архивов и исправление ошибок: автоматически обнаруживаются вирусы, скрытые в многоуровневых архивах (например, в Zip-файле, находящемся внутри другого Zip-файла).

Norton AntiVirus можно сконфигурировать таким образом, чтобы программаавтоматически выдавала сообщение в том случае, когда об­наружен новый вирус или созданы новые методы обезвреживания. Когда

антивирусные базы устаревают, она сама предлагает запустить функцию LiveUpdate.

Программа защищает от вирусов, полученных через Интернет, Int­ranet, e-mail, содержащихся на дискетах, жестких дисках, CD, сетевых дисках. Функция «автозащита» обеспечивает постоянную, не требующую больших системных ресурсов фоновую защиту, которая автоматически сканирует файлы во время загрузки, открытия, создания и модификации (только для NT) и запуска файлов. Функция «карантин» позволяет пере­местить зараженный файлв «безопасную» область. Функция «сканиро­вание и обезвреживание» (Scan and Deliver) дает возможность отправлять подозрительные файлы в Symantec AntiVirus Research Center (S ARC) для изучения. В том случае, если SARC определит, что файл содержит новый, неизвестный ранее вирус, будет создан новый антивирус, и можно будет незамедлительно получить обновление. Технология Striker32 обеспе­чивает обнаружение вирусов и восстановление данных, поврежденных сложными полиморфными вирусами.

Опция LiveUpdate предлагает быстрый и надежный способ для обновления антивирусных баз: достаточно запустить первую сессию LiveUpdate во время инсталляции и составить график, по которому будут автоматически запускаться все последующие сессии. Если учесть, что ежедневно обнаруживается порядка 10-15 новых вирусов, необходимость этой функции становится очевидной. Поддержка микроопределений при обновлении позволяет загружать только новые описания вирусов, что значительно ускоряет процесс обновления. Программа предлагает еже­недельное обновление антивирусных баз, обеспечивая защиту от самых последних вирусов.

Антивирусный пакет АУР является расширенной версией известного антивирусного комплекта «Доктор Касперский». Комплекс содержит про­грамму-фаг, тестирующую и восстанавливающую файлы и загрузочные секторы дисков, поврежденные вирусами. В процессе работы программы производится тестирование на неизвестные вирусы. Также в комплект входит резидентная программа, отслеживающая подозрительные дей­ствия, совершаемые на компьютере, и дающая возможность просматри­вать карту памяти. Специальный набор утилит помогает обнаруживать новые вирусы и разбираться в них.

В стандартную поставку антивирусного комплекта АО «ДиалогНаука» входят три программных продукта:

еженедельно обновляемый полифаг Aidstest; ревизор диска ADinf,

лечащий блок ADinfCure Module, отслеживающий и уничтожающий сложношифрующиеся и полиморфные вирусы.

В расширенный вариант поставки комплекта входит аппаратный ком­плекс Sheriff, гарантированно предотвращающий на аппаратном уровне проникновение вирусов в систему.

В комплект программ «Санкт-Петербургской антивирусной лабора­тории И.Данилова (ООО «СалД»)» входят:

полифаг Dr. Web;резидентный сторож SpIDer Guard;

программаантивирусной проверки всех входящих сообщений, при­нимаемых по e-mail через почтовый протокол РОРЗ — SpIDer Mail;планировщик Dr. Web.

Программа-полифаг обнаруживает и удаляет фиксированный набор известных вирусов в памяти, файлах и системных областях дисков ком­пьютера. Кроме того, Doctor Web может проводить эвристический анализ файлов в целях выявления неизвестных вирусов, в том числе сложно-шифруемых и полиморфных. Успех такого анализа в среднем составляет 82%. Программа может распаковывать и проверять исполняемые файлы, обработанные архиваторами LZEXE, PKLite и Diet.

Резидентный сторож (называемый т-.кже монитором), находясь в памяти компьютера, постоянно контролирует вирусоподобные ситу­ации, производимые различными программами с дисками и памятью. SpIDer Mail производит антивирусную проверку всех входящих сообще­ний, принимаемых по e-mail через почтовый протокол РОРЗ на локальный компьютер через интернет/интранет. Основным преимуществом такого метода антивирусной проверки является независимость от типа исполь­зуемого почтового клиента.тПланировщик Dr.Web позволяет производить запуск антивирусных программ и проверку устройств хранения информации, а также осущест­влять обновление вирусных баз и компонентов программы по графику, задаваемому пользователем.

Контрольные вопросы и задания

1. В чем состоит назначение программ архивации данных?

2. Какие методы сжатия информации используются в программах-архиваторах?

3. Какие функции выполняют файловые менеджеры?

4. Что такое компьютерный вирус?

5. Дайте классификацию компьютерных вирусов.

6. Перечислите основные методы обнаружения компьютерных вирусов.

7. Опишите возможности наиболее известных антивирусных программ.