13. Антивирусная зашита
13.1 Основные типы компьютерных вирусов
Очень часто прекращение работы ПК или неустойчивая работа его устройств вызывается компьютерными вирусами. Вирус, как правило, состоит из двух частей - программного кода для распространения и особого кода для выполняемого действия, - и воспроизводит сам себя. При этом вирусы манипулируют файлами и их удалением, переписывают каталоги, удаляют связи, публикуют документы в онлайновом режиме или форматируют жесткий диск.
Компьютерные вирусы можно разделить на классы по следующим основным признакам:
- среда обитания (файловые, загрузочные, макро и сетевые);
- операционная система;
- особенности алгоритма работы;
- деструктивные возможности.
Файловые вирусызаражают исполняемые файлы (это наиболее распространенный тип вирусов) либо создают файлы-двойники, либо используют особенности организации файловой системы.
Загрузочные вирусызаражают загрузочные сектора дисков (boot-сектор), либо главную загрузочную запись (MasterBootRecord), либо меняют указатель на активный загрузочный сектор.
Макро-вирусы- это разновидность файловых вирусов, встраивающихся в документы и электронные таблицы популярных редакторов.
Сетевые вирусыиспользуют для своего распространения протоколы или команды компьютерных сетей и электронной почты.
Существует большое количество сочетаний перечисленных выше типов вирусов, например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков.
Кроме того, существует еще несколько типов вирусов, на которые необходимо обратить внимание:
- браузеры-вредители- зловредные Java-апплеты (программы, написанные на языке Java) и элементы управления ActiveX, которые могут удалять файлы;
- компьютерные червине требуют «программы-носителя» и копируют себя на компьютеры, связанные через сеть с зараженным ПК;
- троянские кони - это программы, которые совершают действия, отличные от тех, о которых они сообщают. Например, они маскируются под полезную утилиту, а вместо этого наносят вред - однако без того, чтобы по примеру вируса размножаться;
- HTML-вирусынаписаны на VisualBasicScript (VBS) и инфицируют HTML-файлы. Сам по себе HTML ни в коем случае не содержит команд, которые открывают возможность доступа к файлам. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких ОС - DOS, Windows, OS/2 и т. д. Макро-вирусы заражают файлы форматов приложений офисных пакетов.
Среди особенности алгоритма работы вирусов выделяют рези-дентность, стелс-алгоритм, полиморфичность, а также использование нестандартных приемов.
Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения ОС к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными все время, а нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время.
Использование стелс-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс -алгоритмом является перехват запросов ОС на чтение/запись зараженных объектов. Стелс-вирусы (вирусы-невидимки) при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации.
Полиморфныевирусы - это трудно обнаружимые вирусы, не имеющие сигнатур, т. е. не содержащие ни одного постоянного участка кода. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
По деструктивным возможностям вирусы можно разделить на:
- безвредные, не влияющие на работу компьютера;
- неопасные,влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми эффектами;
- опасные, которые могут привести к серьезным сбоям в работе компьютера;
- очень опасные,в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.
13.2 Наиболее опасные троянские кони
Троянцы Remofe-Access.
Это такие программы, как, например, Back 1 Orifice или Netbus. Они позволяют осуществлять полный контроль чужого компьютера, вплоть до нового запуска и манипуляций с системой.
Mail-троянцы.
Программы, которые протоколируют деятельность на инфицированном ПК (например, ввод паролей) и даже посылают эту информацию через свою собственную почтовую программу. Mail-троянцы без этой функции называются также Keylogger-троянцами.
Telnet-троянцы.
Открывают доступ через Telnet. Через него хакер попадает в оболочку операционной системы (например, в DOS) и прямо оттуда может выполнять системные команды. Telnet используется, например, для удаленного управления сетевыми серверами и центральным компьютером.
FTP-троянцы.
Программы, которые незаметно запускают свой собственный FTP-сервер, через который хакер может загрузить файлы с пораженного ПК.
Программы, моделирующие нажатие клавиши (Keystroke-Simulator). Переводят команды хакера в смоделированное управление клавиатурой. Операционная система не может выявить различия между удаленным управлением и действиями пользователя.
13.3 Типы антивирусных программ
Для предотвращения заражения компьютера вирусом и ликвидации последствий заражения применяются антивирусные программы (антивирусы). В зависимости от назначения и принципа действия различают следующие антивирусные программы:
- сторожа (детекторы).Предназначены для обнаружения файлов, зараженных известными вирусами, или признаков, указывающих на возможность заражения;
- доктора.Предназначены для обнаружения и устранения известных им вирусов, удаляя их из тела программы и возвращая ее в исходное состояние;
- ревизоры.Контролируют уязвимые и поэтому наиболее атакуемые компоненты компьютера, запоминают состояние служебных областей и файлов, а в случае обнаружения изменений сообщают пользователю;
- резидентные мониторы (фильтры).Постоянно находятся в памяти компьютера для обнаружения попыток выполнить несанкционированные действия. В случае обнаружения подозрительного действия выводят запрос пользователю на подтверждение операций;
- вакцины.Имитируют заражение файлов вирусами.
13.3 Принцип работы антивирусных программ
Первоначальной формой антивирусной программы (проще называемой антивирусом) является сканер вирусов.Он обследует все программы, документы и системные области памяти на предмет наличия характерных признаков вирусов. Правда, он распознает лишь заранее известные ему вирусы, признаки которые имеются в его базе данных.
Наряду с функциями поиска, и очистки путем сканирования жесткого диска антивирусные программы располагают, как правило, и работающей в фоновом режиме программой, которую называют резидентным сканером (монитором). Она проверяет систему на предмет подозрительных действий и выдает сообщение, если пользователь хочет запустить зараженную программу или открыть документ с макровирусами.
Сканер вирусов осуществляет поиск характерной последовательности байтов, так называемой сигнатуры вируса.Антивирусные программы используют также и эвристический метод, позволяющий выявлять характерный для вирусов программный код типа незадокументированных функций MSDOS, а также другие подозрительные признаки. Для этого программа применяет статистические методы оценки вероятности того, что программа нанесет ущерб в результате выполнения кода, который хранится в ней.
Проблема эвристического поиска состоит в том, что программа не должна выдавать ложных сообщений о вирусном заражении, но она и не должна пропустить вирусы. Кроме того, она не в состоянии идентифицировать найденный вирус. Эвристика важна при «выслеживании» новых вирусов. Некоторые антивирусные программы позволяют послать «отловленные» вирусы разработчику программы, чтобы он добавил сигнатуру и указания по противодействию новым вирусам в следующем обновлении антивирусной программы.
Обновлениясигнатур вирусов просто необходимы, так как ежедневно появляются десятки новых вирусов, с которыми нужно вести борьбу. Многие антивирусные программы обновляются через Интернет.
13.4 Коммерческие антивирусы
NortonAntivirus(www.symantec.com) - пакет, предназначенный для защиты компьютера от вирусов во время работы в Интернете, обмена файлами по сети, загрузки файлов с дискет и компакт-дисков. Программа может автоматически сканировать входящие почтовые сообщения, содержащие различного рода прикрепленные данные, в таких популярных почтовых программах, как MSOutlook, MSOutlookExpress, EudoraPro, EudoraLite, NetscapeMessenger, NetscapeMail. Она защищает систему от опасных ActiveX-кодов, Java-апплетов и так называемых «троянов», а также определяет и удаляет вирусы из сжатых файлов (в том числе и из многократно сжатых файлов).
Для обнаружения новых и неизвестных вирусов используется технология BloodhoundHeuristic: программы-анализаторы изучают структуру файла, программную логику, инструкции, данные файлов и прочие атрибуты, а затем используют эвристическую логику, чтобы определить вероятность инфицирования.
Программу можно сконфигурировать таким образом, чтобы она автоматически выдавала сообщение в том случае, когда обнаружен новый вирус или когда созданы новые методы обезвреживания.
Антивирусный пакет AVP от Лаборатории Касперского (www.avp.ru) содержит несколько утилит, каждая из которых выполняет свои задачи:
- KasperskyAnti-VirusMonitor (KasperskyAVMonitor) (рис. 3) - это программа, которая постоянно находится в оперативной памяти компьютера и контролирует обращения к файлам. При обнаружении вируса она предлагает вылечить зараженный объект, либо удалить его, либо заблокировать доступ к объекту (это зависит от ее настроек). Таким образом, антивирусный монитор позволяет обнаружить и удалить вирус до момента реального заражения системы;