Меню
Главная
Авторизация/Регистрация
 
Главная arrow Информатика arrow Информатика 2015

5.3. Вирусы и антивирусные программы

Дареному коню гляди в зубы - а вдруг он троянский?

Кароль Корд

Компьютерный вирус — это программа, способная самостоятельно создавать свои копии (не обязательно полностью совпадающие с оригиналом), внедрять их в различные объекты (приложения, файлы) или ресурсы ЭВМ, вычислительных систем, сетей и производить определенные действия без ведома пользователя. Распространение вируса происходит незаметно, скрытно.

Свое название компьютерный вирус получил за некоторое сходство с биологическим вирусом. Например, к заражённой программе прикрепляется другая программа-вирус. Причём инфицированная программа может длительное время работать платно, без ошибок.

Программа, внутри которой находится вирус, называется заражённой (инфицированной) программой.

Когда инфицированная программа начинает работу, то управление получает вирус. Вирус заражает другие программы, а также выполняет запланированные разработчиком вируса действия. Для маскировки своих действий вирус активизируется не всегда, а лишь при выполнении определенных условий (истечение некоторого времени, выполнение определенного числа операций, наступление некоторой даты или дня недели и т. д.).

После того как вирус выполнит нужные ему действия, он передает управление гой программе, в которой он находится. Внешне заражённая программа может работать гак же, как и обычная неинфицированная про- грамма. Подобно настоящим вирусам, компьютерные вирусы действуют незаметно, размножаются и ищут возможность перейти на другие ЭВМ. Такими возможностями их наделяют программисты.

Таким образом, вирусы должны инфицировать ЭВМ скрытно, а активизироваться лишь через определенное время (время инкубации). Это необходимо для того, чтобы скрыть источник заражения. Вирусы не могут распространяться в полной изоляции от других программ. Они прикрепляются к телу полезных (нужных) программ. Постоянно появляются новые виды вирусов. Естественно, что они возникают не самостоятельно, а их создают нро- 1раммисты — вандалы.

Следующая таблица показывает динамику изменения числа вирусов.

Год

1990

1994

1998

2002

2006

2013

Число

вирусов

500

4000

более

14000

более

60000

более

200000

более 1,8 млн.

Вирусы выполняют различные действия:

  • • выводят на экран мешающие текстовые сообщения (поздравления, политические лозунги, фразы с претензией на юмор, высказывания обиды от неразделенной любви, нецензурные выражения, рекламу, прославление любимых певцов, названия городов);
  • • создают звуковые эффекты (проигрывают гимн, гамму или популярную мелодию);
  • • создают видеоэффекты (переворачивают или сдвигают экран, имитируют землетрясение, вызывают опадание букв в тексте или симулируют снегопад, имитируют скачущий шарик, прыгающую точку, выводят на экран рисунки);
  • • увеличивают износ оборудования (например, головок дисководов);
  • • вызывают отказ отдельных устройств, зависание или перезагрузку компьютера и крах работы всей ЭВМ;
  • • имитируют повторяющиеся ошибки работы операционной системы (например, с целью заключения договора на гарантированное обслуживание ЭВМ);
  • • уничтожают FAT-таблицу, форматируют жесткий диск, стирают в ПЗУ BIOS, уничтожают или изменяют установки в CMOS, стирают секторы на диске, уничтожают или искажают данные, стирают антивирусные программы;
  • шифруют данные на жёстком диске с целью получения выкупа;
  • • осуществляют научный, технический, промышленный, военный или финансовый шпионаж;
  • • выводят из строя системы защиты информации, дают злоумышленникам тайный доступ к вычислительной машине;
  • • делают незаконные отчисления с каждой финансовой операции;
  • • обманным способом заманивают на заражённые Web-страницы и выманивают личные данные пользователя;
  • • автоматически рассылают письма по адресам, указанным в адресной книге пользователя и т. д.
  • • заражают не только отдельные ЭВМ, но и большие труппы компьютеров, из которых злоумышленники создают гак называемую bot-сеть. Эта сеть заражённых компьютеров используется злоумышленниками по своему усмотрению.

Вирусы представляют собой программы (скрипты), написанные на языках программирования высокого уровня, ассемблере или с применением макрокоманд (макросов).

Большая опасность вирусов состоит в том, что после инфицирования объекта они начинают жить собст венной жизнью. Оборвать цепочку распространения вирусов достаточно сложно.

Основные симптомы вирусного заражения ЭВМ следующие.

  • • Замедление работы некоторых программ.
  • • Увеличение размеров файлов (особенно выполняемых).
  • • Появление не существовавших ранее «странных» файлов.
  • • Уменьшение объема доступной оперативной памяти (но сравнению с обычным режимом работы).
  • • Превращение всех значков на Рабочем столе в иное изображение, например, панды.
  • • Внезапно возникающие разнообразные видео- и звуковые эффекты.
  • • Появление сбоев в работе операционной системы (в том числе зависание).
  • • Запись информации на жесткий диск в моменты времени, когда этого не должно происходить.
  • • Прекращение работы или неправильная работа ранее нормально функционировавших программ.
  • • Прерывание связи мобильных телефонов.

Первые исследования саморазмножающихся искусственных конструкций проводились в середине XX столетия. В работах фон Неймана, Винера и других учёных проведён математический анализ конечных автоматов, в том числе и самовосироизводящихся.

Первый эксперимент но распространению вируса Ф. Коэн провёл 10 ноября 1983 г. в Университете Южной Калифорнии в рамках семинара но безопасности.

Большой общественный резонанс вызвало первое неконтролируемое распространение вируса в сети. Так 2 ноября 1988 г. двадцатитрехлетний сгуденг последнего курса Корнельского университета Роберт Тэппэн Моррис запустил в сеть свою программу, которая из-за ошибки начала бесконтрольное распространение и многократное инфицирование узлов сети. В результате было заражено около 6200 машин, что составило 7,3% общей численности машин в сети. Впоследствии Моррис стал первым человеком, обвинённым в компьютерном мошенничестве.

Рассмотрим основные виды вирусов. Существует большое число различных классификаций вирусов.

По среде обитания они делятся на сетевые, файловые, загрузочные и файлово-загрузочные вирусы.

По способу заражения — на резидентные и нерезидентные вирусы.

По степени опасности — на неопасные, опасные и очень опасные вирусы.

По особенностям алгоритма — на вирусы-компаньоны, паразитические вирусы, репликаторы (черви), невидимки (стеле), мутанты (призраки, полиморфные вирусы, полиморфики), макровирусы, троянские программы.

По целостности — на монолитные и распределенные вирусы.

Сетевые вирусы распространяются по различным компьютерным сетям. Примером является вирус Melissa.

Загрузочные вирусы внедряются в загрузочный сектор диска (Boot- сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record— MBR). Некоторые вирусы записывают своё тело в свободные секторы диска, помечая их в FAT-таблице как «плохие» (Bad cluster).

Файловые вирусы инфицируют исполняемые файлы компьютера, имеющие расширения сот и ехе. К этому же классу относятся и макровирусы, написанные помощью макрокоманд. Они заражают неиснолнясмые файлы (например, в текстовом редакторе MS Word или в электронных таблицах MS Excel).

Загрузочно-файловые вирусы способны заражать и загрузочные секторы, и файлы.

Резидентные вирусы оставляют в оперативной памяти компьютера свою резидентную часть, которая затем перехватывает обращения неинфи- цированных программ к ОС, и внедряются в них. Свои действия по заражению других файлов резидентные вирусы могут выполнять многократно.

Нерезидентные вирусы нс заражают оперативную намять компьютера и проявляют свою активность лишь однократно нри запуске инфицированной программы.

Действия вирусов могут быть не опасными, например, на экране появляется сообщение: «Хочу чучу». Если с клавиатуры набрать слово «чуча», то вирус временно «успокаивается». Значительно опаснее последствия действия вируса, который уничтожает файлы на диске.

Очень опасные вирусы самостоятельно форматируют жесткий диск и этим уничтожают- всю имеющуюся информацию. Примером такого вируса может служить вирус CIH «Чернобыль», активизирующийся 26-го числа каждого месяца и способный уничтожать данные на жестком диске и в BIOS.

Вирусы компаньоны — это вирусы, не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, что они создают для ЕХЕ-файлов новые файлы-спутники (дубликаты), имеющие то же самое имя, но с расширением СОМ, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет одноименный ЕХЕ-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, т. е. вирус, который затем запустит и ЕХЕ-файл.

Паразитические вирусы при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. Например, они дописывают тело вируса в конец исполняемого файла. В эту группу относятся все вирусы, которые не являются «червями» или «компаньонами».

Вирусы-черви (worm) распространяются в компьютерной сети и, так же, как и вирусы-компаньоны, не изменяют файлы или секторы на дисках. Они проникают в намять компьютера из компьютерной сети, находят сетевые адреса других компьютеров и рассылают но этим адресам свои копии. Черви уменьшают пропускную способность сети, замедляют работу серверов.

Репликаторы могут размножаться без внедрения в другие программы и иметь «начинку» из компьютерных вирусов.

Вирусы-невидимки (стеле — Stealth) используют некоторый набор средств для маскировки своего присутствия в ЭВМ. Название вируса аналогично названию американского самолета-невидимки.

Стеле-вирусы трудно обнаружить, так как они перехватывают обращения операционной системы к пораженным файлам или секторам дисков и «подставляют» для проверки лишь незаряженные участки файлов.

Вирусы, которые шифруют собственное тело различными способами, называются полиморфными (polymorphic). Полиморфные вирусы (или вирусы-призраки, вирусы-мутанты, полиморфики) достаточно трудно обнаружить, так как их копии практически не содержат полностью совпадающих участков кода. Это достигается тем, что в программы вирусов добавляются пустые команды (мусор), которые нс изменяют алгоритм работы вируса, но затрудняют их выявление (путем изменения своего портрета, сигнатуры).

Наиболее «прославленный» из полиморфных вирусов — OneHalf.

Макровирусы используют возможности макроязыков, встроенных в системы обработки данных (текстовые редакторы и электронные таблицы). В настоящее время широко распространяются макровирусы, заражающие документы MS Word и MS Excel.

Ниже приводится пример действия макровируса, который исказил текст документа.

Троянская нро1рамма маскируется иод полезную или интересную программу (например, игру), выполняя во время своего функционирования еще и разрушительную работу (например, стирает FAT-таблицу) или собирает на компьютере информацию, не подлежащую разглашению. В отличие от вирусов, троянские программы не обладают свойством самовоспроизвод- ства.

Троянская программа маскируется, как правило, иод коммерческий продукт. Ее другое название «троянский конь».

Программа монолитного вируса представляет собой единый блок, который можно обнаружить после инфицирования.

Программа распределенного вируса разделена на части. Эти части содержат инструкции, которые указывают' компьютеру, как собрать их воедино, чтобы воссоздать вирус. Таким образом, вирус почти все время находится в распределенном состоянии и лишь на короткое время собирается в единое целое. В этот момент времени вирус производит вредоносное действие.

Есть вирусы, которые осуществляют фишинг.

Фишинг — выманивание ложным путём данных пользователей (логинов, паролей, номеров кредитных карт, банковских счетов, PIN-кодов). Ки- бенреступники создают сайт, внешне сходный с каким-либо популярным сайтом и обманным путём заманивают на него пользователей. На сайге мошенники стараются вымани ть у пользователей секретные данные. В переводе с английского языка слово «фишинг» означает «рыбалка». Мошенники терпеливо «ловят» доверчивых людей.

Вирус Viras.Win32.Gpcode.ak шифрует пользовательские файлы различных типов (.doc, .txt, .pdf, .xls, .jpg, .png и др.) при помощи криитостойко- го алгоритма шифрования RSA с длиной ключа 1024 бит. Затем злоумышленники шантажируют жертву, требуя вознаграждения за дешифрование.

Программы кейлоггеры используются для записи информации о нажатиях клавиш клавиатуры. Записанная информация отправляется по сети на FTP-ссрвер, в почтовый ящик и т. д. Современные кейлоггеры осуществляют перехват звука с микрофона и изображения с веб-камеры.

Для борьбы с вирусами разрабатываются антивирусные программы. Говоря медицинским языком, эти программы могут выявлять (диагностировать), лечить (уничтожать) вирусы и даже делать прививку «здоровым» программам.

Различают следующие виды антивирусных программ:

  • • программы-детекторы (сканеры);
  • • программы-доктора (или фаги, дезинфекторы);
  • • программы-ревизоры;
  • • программы-фильтры (сторожа, мониторы);
  • • профаммы-иммунизаторы.

Программы-детекторы рассчитаны на обнаружение конкретных вирусов. Принцип их действия основан на сравнении характерной (специфической) последовательности байтов (сигнатур, портретов или масок вирусов), содержащихся в теле вируса, с текстом проверяемых программ. Программы- детекторы нужно регулярно обновлять, так как они быстро устаревают и не могут выявлят ь новые виды вирусов.

Следует подчеркнуть, что программы-детекторы могут обнаружить только те вирусы, которые ей «известны», т. е., если сигнатуры этих вирусов заранее помещены в базу данных антивирусных программ.

Таким образом, если проверяемая программа не опознается детектором как заражённая, то ещё не следует считать, что она «здорова». Она может быть инфицирована новым вирусом, который не занесен в базу данных детектора.

Для устранения этого недостатка программы-детекторы стали снабжаться блоками эвристическою анализа программ. В этом режиме делается попытка обнаружить новые или неизвестные вирусы по характерным для всех вирусов кодовым последовательностям (фрагментам программы). Наиболее развитые эвристические механизмы позволяют с вероятностью около 80% обнаружить новый вирус.

Программы-доктора не только находят файлы, зараженные вирусами, но и лечат их, удаляя из ([тайла тело профаммы-вируса. Программы-доктора, которые позволяет лечить большое число вирусов, называются полифагами.

В России получили широкое расиросфанение программы-детекторы, одновременно выполняющие и функции программ-докторов. Наиболее известные представители этого класса— AVP (AntiViral Toolkit Pro, автор — Е. Касперский), Aidstest (автор— Д. Лозинский), Doctor Web (авторы — И. Данилов, В. Лутовинов, Д. Белоусов), AVZ (автор — О.Зайцев).

Ревизоры — это профам.мы, которые анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохраненной ранее в одном из файлов ревизора. При этом проверяется состояние Boot-секторов, FAT-таблицы, а также длина файлов, их время создания, атрибуты, контрольные суммы.

Контрольная сумма является интефальной оценкой всего файла (его слепком). Получается контрольная сумма путем суммирования по модулю два (Исключающее ИЛИ) всех байтов файла. Практически всякое изменение кода протраммы приводит к изменению контрольной суммы файла.

Ревизоры сначала запоминают сведения о состоянии протрамм и системных областей дисков (зафузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью ревизора можно в любой момент времени сравнить состояние профамм и системных областей дисков с их исходными состояниями. О выявленных несоответствиях ревизор сообщает пользователю. Ревизоры кошролируют файловую систему, отслеживая перемещение, переименование, создание и удаление файлов и папок (каталогов). Доктора-ревизоры не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае обнаружения изменений вернуть их в исходное состояние.

Антивирусная программа ADinf (Advanced Diskinfoscope, автор — Д. Мостовой) относится к классу ревизоров. Антивирус имеет высокую скорость работы, способен с успехом противостоять вирусам, находящимся в памяти.

В отличие от полифагов, ADinf не использует в своей работе «портреты» (сигнатуры) конкретных вирусов. Поэтому ADinf особенно эффективен при обнаружении новых вирусов, противоядие для которых еще не придумано.

Антивирусы-фильтры — это резидентные программы (мониторы), которые оповещают пользователя обо всех попытках какой-либо программы выполнить подозрительные действия. Фильтры контролируют следующие операции:

  • • обновление программных файлов и системной области диска;
  • • форматирование диска;
  • • резидентное размещение программ в ОЗУ.

Обнаружив попытку выполнения таких действий, сторож (монитор) сообщает об этом пользователю, который принимает окончательное решение но выполнению данной операции. В качестве примера такой антивирусной программы можно назвать V Safe. Заметим, что она неспособна обезвредить даже известные вирусы. Для «лечения» обнаруженных фильтром вирусов нужно использовать программу - доктор.

К последней группе относятся наименее эффективные антивирусы — вакцинаторы (иммунизаторы). Они записывают в вакцинируемую нро- грамму признаки конкрегного вируса так, что вирус считает ее уже зараженной, и поэтому не производит повторное инфицирование. Нужно отметить, что этот вид антивирусных программ морально устарел.

Среди зарубежных антивирусных программ чаще других упоминаются в печати программы Norton AntiVirus (фирма Symantec), McAfee (США), EsetNOD32 (Словакия), Panda (Испания), AVG Antivirus (США).

Рассмотрим основные меры но защите ЭВМ от заражения вирусами.

  • • Необходимо оснастить ЭВМ современными антивирусными программами и регулярно обновлять их версии.
  • • При работе в глобальной сети обязательно должна быть установлена программа-фильтр (сторож, монитор).
  • • Перед считыванием информации с оптических дисков, Flash- памяти, записанной на других ЭВМ, следует всегда проверять эти носители на наличие вирусов.
  • • При переносе на свой компьютер файлов в архивированном виде необходимо их проверять сразу же после разархивации.
  • • Целесообразно делать архивные копии ценной информации на других носителях информации.
  • • Следует иметь ввиду, что невозможно заразиться вирусом, просто подключившись к Интернету. Чтобы вирус активизировался, программа, полученная из сети, должна быть запущена на компьютере-клиенте на выполнение. Не используйте гиперссылки, которые находятся в письмах от неизвестных пользователей.
  • • При считывании информации с Flash-памяти целесообразно включить защиту от записи. Это создаст препятствие для размножения вирусов.
  • • Получив электронное письмо, к которому приложен исполняемый файл, не следует запускать этот файл без предварительной проверки. По электронной почте часто распространяются троянские программы. Заражёнными могут быть фогофафии и музыкальные файлы.
  • • Последняя — не совсем серьёзная мера. Если вы хотите полностью исключить вероятность попадания вирусов в ваш компьютер, то не набирайте на клавиатуре непонятных для вас программ, не используйте лазерные диски, Flash-память, фотоаппараты, видеокамеры, мобильные телефоны для ввода программ и документов. Отключитесь от локальной и глобальной сетей. Не включайте питание компьютера, так как возможно, что вирус уже зашит в ПЗУ или проник в CMOS.

Во всякой шутке есть доля шутки, а остальное - серьёзная часть. Так недавно было сообщение, что мобильные телефоны одной фирмы продавались с ПЗУ, в котором был зашит вирус.

Нужно иметь в виду, что не существует антивирусных профамм, которые могут выявлять все типы вирусов. Но принципиальная возможность их создания всегда имеется. Проблема состоит в том, что некоторое время новые типы вирусов могут не обнаруживаться антивирусными профаммами. Это время требуется разработчикам антивирусных программ для создания нужного «противоядия». Поэтому пользователям необходимо постоянно обновлять базы своих антивирусных программ.

Как и всякие автоматические средства, антивирусные программы могут совершать ошибки первого и второго родов: пропускать имеющиеся вирусы и давать ложные сигналы даже при отсутствии вирусов.

В ряде программ используется гак называемое эвристическое сканирование, основанное на вероятностном методе выявления вирусов. При эвристическом сканировании антивирусная профамма отыскивает характерные для вирусов комбинации команд (перезапись, удаление и т. п.). Для таких программ не требуется обновления портретов вирусов (сигнатур), и они способны обнаружить новые разновидности вирусов.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ ОРИГИНАЛ   След >
 

Популярные страницы