Компьютерные вирусы
Общие сведения
Пользователи ПК наиболее часто сталкиваются с одной из разновидностей компьютерной преступности – компьютерными вирусами. Последние являются особого типа вредоносными программами, доставляющими пользователям и обслуживающему ПК персоналу немало неприятностей.
Компьютерным вирусом называется способная к самовоспроизводству и размножению программа, внедряющаяся в другие программы.
Очевидна аналогия понятий компьютерного и биологического вирусов. Однако не всякая могущая саморазмножаться программа является компьютерным вирусом. Вирусы всегда наносят ущерб – препятствуют нормальной работе ПК, разрушают файловую структуру и т.д., поэтому их относят к разряду так называемых вредоносных программ.
Исторически появление компьютерных вирусов связано с идеей создания самовоспроизводящихся механизмов, в частности программ, которая возникла в 50-х гг. Дж.фон Нейман еще в 1951 г. предложил метод создания таких механизмов, и его соображения получили дальнейшее развитие в работах других исследователей. Первыми появились игровые программы, использующие элементы будущей вирусной технологии, а затем уже на базе накопленных научных и практических результатов некоторые лица стали разрабатывать самовоспроизводящиеся программы с целью нанесения ущерба пользователям компьютера.
Основными каналами проникновения вирусов в персональный компьютер являются накопители на сменных носителях информации и средства сетевой коммуникации, в частности сеть Internet.
В настоящее время в мире насчитывается более 20 тысяч вирусов, включая штаммы, т.е. разновидности вирусов одного типа. Вирусы не признают границ, поэтому большинство из них курсирует и по России. Более того, проявилась тенденция увеличения числа вирусов, разработанных отечественными программистами. Если ситуация не изменится, то в будущем Россия сможет претендовать на роль лидера в области создания вирусов.
Классификация вирусов
Жизненный цикл компьютерных вирусов, как правило, включает следующие фазы:
· латентный период, в течение которого вирусом никаких действий не предпринимается;
· инкубационный период, в пределах которого вирус только размножается;
· активный период, в течение которого наряду с размножением выполняются несанкционированные действия, заложенные в алгоритме вируса.
Первые две фазы служат для того, чтобы скрыть источник вируса, канал его проникновения и инфицировать как можно больше файлов до выявления вируса. Длительность этих фаз может определяться предусмотренным в алгоритме временным интервалом, наступлением какого-либо события в системе, наличием определенной конфигурации аппаратных средств ПК (в частности, наличием НЖМД) и т.д.
Компьютерные вирусы классифицируются в соответствии со следующими признаками:
· среда обитания;
· способ заражения среды обитания;
· способ активизации;
· способ проявления (деструктивные действия или вызываемые эффекты);
· способ маскировки.
Вирусы могут внедряться только в программы, которые, в свою очередь, могут содержаться или в файлах, или в некоторых компонентах системной области диска, участвующих в процессе загрузки операционной системы. В соответствии со средой обитания различают:
· файловые вирусы, инфицирующие исполняемые файлы;
· загрузочные вирусы, заражающие компоненты системной области, используемые при загрузке ОС;
· файлово-загрузочные вирусы, интегрирующие черты первых двух групп.
Файловые вирусы могут инфицировать:
· позиционно-независимые перемещаемые машинные программы находящиеся в COM-файлах;
· позиционно-зависимые перемещаемые машинные программы, размещаемые в EXE-файлах;
· драйверы устройств (SYS- и BIN-файлы);
· файлы с компонентами DOS;
· объектные модули (OBJ-файлы);
· файлы с программами на языках программирования (в расчете на компиляцию этих программ);
· командные файлы (BAT-файлы);
· объектные и символические библиотеки (LIB- и др. файлы);
· оверлейные файлы (OVL-, PIF- и др. файлы).
Наиболее часто файловые вирусы способны внедряться в COM и/или EXE-файлы.
Загрузочные вирусы могут заражать:
· загрузочный сектор на дискетах;
· загрузочный сектор системного логического диска, созданного на винчестере;
· внесистемный загрузчик на жестком диске.
Загрузочные вирусы распространяются на дискетах в расчете на то, что с них будет осуществлена попытка загрузиться, что происходит не так часто. У файловых вирусов инфицирующая способность выше.
Файлово-загрузочные вирусы обладают еще большей инфицирующей способностью, так как могут распространяться как в программных файлах, так и на дискетах с данными.
Способы заражения среды обитания, зависят от типа последней. Зараженная вирусом среда называется вирусоносителем. При имплантации тело файлового вируса может размещаться:
· в конце файла;
· в начале файла;
· в середине файла;
· в хвостовой (свободной) части последнего кластера, занимаемого файлом.
Наиболее легко реализуется внедрение вируса в конец COM-файла. При получении управления вирус выбирает файл-жертву и модифицирует его следующим образом:
1. дописывает к файлу собственную копию (тело вируса);
2. сохраняет в этой копии оригинальное начало файла;
3. заменяет оригинальное начало файла на команду передачи управления на тело вируса.
При запуске инфицированной описанным способом программы первоначально инициируется выполнение тела вируса, в результате чего:
1. восстанавливается оригинальное начало программы (но не в файле, а в памяти!);
2. возможно, отыскивается и заражается очередная жертва;
3. возможно, осуществляются несанкционированные пользователем действия;
4. производится передача управления на начало программы-вирусоносителя, в результате чего она выполняется обычным образом.
Имплантация вируса в начало COM-файла производится иначе: создается новый файл, являющийся объединением тела вируса и содержимого оригинального файла. Два описанных способа внедрения вируса ведут к увеличению длины оригинального файла.
Имплантация вируса в середину файла наиболее сложна и специализирована. Сложность состоит в том, что в этом случае вирус должен "знать" структуру файла-жертвы (например, COMMAND.COM), чтобы можно было внедриться, в частности, в область стека. Описанный способ имплантации не ведет к увеличению длины файла.
Проявлением (деструктивными действиями) вирусов могут быть:
· влияние на работу ПК;
· искажение программных файлов;
· искажение файлов с данными;
· форматирование диска или его части;
· замена информации на диске или его части;
· искажения системного или несистемного загрузчика диска;
· разрушение связности файлов путем искажения таблицы FAT;
· искажение данных в CMOS-памяти.
Большую часть вирусов первой группы, вызывающих визуальные или звуковые эффекты, неформально называют "иллюзионистами". Другие вирусы этой же группы могут замедлять работу ПК или препятствовать нормальной работе пользователя, модифицируя и блокируя функции выполняемых программ, а также операционной системы. Вирусы всех остальных групп часто называют "вандалами" из-за наносимого ими, как правило, непоправимого ущерба.
При повседневной работе пользователь в состоянии обнаружить вирус по его симптомам. Естественно, что симптомы вируса непосредственно определяются реализованными в нем способами проявления, а также др. характеристиками вируса. В качестве симптомов вирусов выделяют следующие:
· увеличение числа файлов на диске;
· уменьшение объема свободной оперативной памяти;
· изменения времени и даты создания файла;
· увеличение размера программного файла;
· появление на диске зарегистрированных дефектных кластеров;
· ненормальная работа программы;
· замедление работы программы;
· загорание лампочки дисковода в то время, когда к диску не должны происходить обращения;
· заметное возрастание времени доступа к жесткому диску;
· сбои в работе операционной системы, в частности, ее зависание;
· невозможность загрузки операционной системы
· разрушение файловой структуры (исчезновение файлов, искажение каталогов).
Наряду с компьютерными вирусами существуют и другие опасные программы, например, так называемые "черви", формально именуемые репликаторами. Их основная особенность состоит в способности к размножению без внедрения в другие программы. Репликаторы создаются с целью распространения по узлам вычислительной сети и могут иметь начинку, состоящую, в частности, из вирусов. В этом отношении можно провести аналогию между "червем" и шариковой бомбой.
Примером репликатора является программа Christmas Tree, рисующая на экране дисплея рождественскую елку, а затем рассылающая свои копии по всем адресам, зарегистрированным средствами электронной почты.
Классификация антивирусных средств
В настоящие время имеется большое количество антивирусных средств. Однако все они не обладают свойствами универсальности: каждое рассчитано на конкретные вирусы, либо перекрывает некоторые каналы заражения ПК или распространения вирусов. В связи с этим перспективной областью исследований можно считать применение методов искусственного интеллекта к проблеме создания антивирусных средств.
Антивирусным средством, называют программный продукт, выполняющий одну или несколько из следующих функций:
1. защиту файловой структуры от разрушения;
2. обнаружение вирусов;
3. нейтрализацию вирусов;
Вирус-фильтром (сторожем) называется резидентная программа, обеспечивающая контроль выполнения характерных для вирусов действий и требующая от пользователя потверждения на производство действий. Контроль осуществляется путем подмены обработчиков соответствующих прерываний. В качестве контролируемых действий могут выступать:
· обновление программных файлов;
· прямая запись на диск (по физическому адресу);
· форматирование диска;
· резидентное размещение программы в ОЗУ.
Детектором называется программа, осуществляющая поиск вирусов как на внешних носителях информации, так и в ОЗУ. Результатом работы детектора является список инфицированных файлов и/или областей, возможно, с указанием конкретных вирусов, их заразивших.
Детекторы делятся на универсальные (ревизоры) и специализированные. Универсальные детекторы проверяют целостность файлов путем подсчета контрольной суммы и ее сравнения с эталоном. Эталон либо указывается в документации на программный продукт, либо может быть определен в самом начале его эксплуатации.
Специализированные детекторы настроены на конкретные вирусы, один или несколько. Если детектор способен обнаруживать несколько различных вирусов , то его называют полидетектором. Работа специализированного детектора основывается на поиске строки кода, принадлежащей тому или иному вирусу, возможно заданной регулярным выражением. Такой детектор не способен обнаружить все возможные вирусы.
Дезинфектором (доктором, фагом) называется программа, осуществляющая удаление вируса как с восстановлением, так и без восстановления среды обитания. Ряд вирусов искажает среду обитания таким образом, что ее исходное состояние не может быть восстановлено.
Наиболее известными полидетекторами-фагами являются программные пакеты Antiviral Toolkit Pro Евгения Касперского и DrWeb фирмы Диалог.
Иммунизатором (вакциной) называют программу, предотвращающую заражение среды обитания или памяти конкретными вирусами. Иммунизаторы решают проблему нейтрализации вируса не посредством его уничтожения, а путем блокирования его способности к размножению. Такие программы в настоящее время практически не используются.
Методы защиты от компьютерных вирусов
При защите от компьютерных вирусов как никогда важна комплексность проводимых мероприятий как организационного, так и технического характера. На переднем ее крае “обороны” целесообразно разместить средства защиты данных от разрушения, за ними – средства обнаружения вирусов и, наконец, средства нейтрализации вирусов.
Средства защиты данных от возможной потери и разрушения должны использоваться всегда и регулярно. Дополнительно к этому следует придерживаться следующих рекомендаций организационного характера, чтобы избавиться от заражения вирусами:
· гибкие диски использовать всегда, когда это возможно, с заклеенной прорезью защиты от записи,
· без крайней необходимости не пользоваться неизвестными дискетами;
· не передавать свои дискеты другим лицам;
· не запускать на выполнение программы, назначение которых не понятно; использовать только лицензионные программные продукты;
· ограничить доступ к ПК посторонних лиц.
При необходимости использования программного продукта, полученного из неизвестного источника, рекомендуется:
· протестировать программный продукт специализированными детекторами на предмет наличия известных вирусов. Нежелательно размещать детекторы на жестком диске – для этого нужно использовать защищенную от записи дискету.
· осуществить резервирование файлов нового программного продукта;
· провести резервирование тех своих файлов, наличие которых требуется для работы нового программного обеспечения;
· организовать опытную эксплуатацию нового программного продукта на фоне вирус-фильтра с обдуманными ответами на его сообщения.
Защита от компьютерных вирусов должна стать частью комплекса мер по защите информации как в отдельных компьютерах, так и в автоматизированных информационных системах в целом.
Антивирус Касперского
Антивирус Касперского обеспечивает качественно новый уровень защиты вашего компьютера благодаря оптимальному сочетанию традиционных антивирусных технологий и современных проактивных методов.
Продукт легко установить и настроить, он предусматривает широкие возможности адаптации работы под индивидуальные потребности пользователей.
Программа отличается не только безупречной интеграцией с операционными системами семейства Microsoft Windows (в том числе Microsoft Windows x64), но и совместимостью с другими программными продуктами для защиты персональных компьютеров (например, сетевыми экранами).
Основные преимущества
· Высокая эффективность антивирусной защиты. Наряду с признанными «сигнатурными» технологиями, обеспечивающими традиционно высокое качество распознавания и лечения вирусов, в Антивирусе Касперского 6.0 применяются и новые проактивные технологии. Они обеспечивают защиту от вирусов на основе анализа процессов и поведения приложений на компьютере пользователя, а также позволяют полностью восстановить систему после вредоносного воздействия.
· Оптимизация для работы на мобильных ПК. Продукт позволяет использовать все основные преимущества ноутбуков, работающих на базе технологии Intel® Centrino™ для мобильных ПК: снижение энергопотребления при сохранении высокой производительности компьютера, использование беспроводных сетей Wi-Fi для автоматического обновления антивирусных баз. Также программа оптимизирована для работы на компьютерах с процессорами Intel®, поддерживающими технологию HT.
· Простота и удобство использования. Установка и первоначальная настройка Антивируса Касперского 6.0 занимают считаные минуты, а контекстная справочная система содержит исчерпывающую информацию по тонкой настройке приложения. Кроме этого, программа регулярно информирует пользователя о текущем статусе защищенности компьютера и дает рекомендации в случае неоднозначных ситуаций.
Ключевые характеристики
Антивирусная защита
· Защита электронной почты. Программа осуществляет антивирусную проверку почтового трафика на уровне протокола передачи данных (POP3, IMAP и NNTP для входящих сообщений и SMTP для исходящих) независимо от используемой почтовой программы. Для популярных почтовых программ – Microsoft Outlook, Microsoft Outlook Express и The Bat! – предусмотрены плагины и лечение вирусов в почтовых базах.
· Проверка интернет-трафика. Антивирус Касперского 6.0 обеспечивает антивирусную проверку интернет-трафика, поступающего по HTTP-протоколу, в режиме реального времени, позволяя таким образом предотвратить заражение ещё до момента сохранения файлов на жестком диске компьютера.
· Защита файловой системы. Антивирусной проверке могут быть подвергнуты любые отдельные файлы, каталоги и диски. Кроме этого, используя предустановленную задачу сканирования, можно запустить проверку только критических областей операционной системы и объектов, загружаемых при старте Windows. Это позволит сэкономить время, уделив внимание в первую очередь областям и объектам, которые обычно больше всего подвержены заражению.
Проактивная защита
· Контроль изменений в файловой системе. Антивирус Касперского 6.0 позволяет создать список приложений, компонентный состав которых будет контролироваться, что помогает предотвратить нарушение целостности приложений вредоносными программами.
· Наблюдение за процессами в оперативной памяти. Программа ведет наблюдение за деятельностью программ и процессов, запущенных в оперативной памяти компьютера и своевременно предупреждает пользователя в случае появления опасных, подозрительных или скрытых (rootkits) процессов, а также в случае несанкционированного изменения нормальных процессов.
· Мониторинг изменений в реестре операционной системы. Приложение контролирует состояние системного реестра и информирует пользователя при обнаружении подозрительных или попытках создания скрытых ключей в реестре.
· Блокирование опасных макросов Проактивная защита позволяет контролировать работу макросов Visual Basic for Applications в документах Microsoft Office и блокировать выполнение опасных макрокоманд.
· Восстановление системы. В приложении реализована новая технология восстановления системы после вредоносного воздействия программ класса spyware: Антивирус Касперского 6.0 фиксирует все изменения реестра и файловой системы компьютера и может отменить их по решению пользователя.
Высокая скорость работы
· Технологии ускорения антивирусной проверки. Антивирус Касперского 6.0 отличается высокой скоростью работы благодаря заложенной в нем возможности проверять только новые и измененные файлы. Механизм приостановки антивирусного сканирования при увеличении пользовательской активности способствует оптимальному использованию вычислительных ресурсов компьютера.
· Уменьшенный размер обновлений. По сравнению с предыдущей версией программы размер скачиваемых обновлений антивирусных баз уменьшился почти в 10 раз и обычно составляет несколько десятков килобайт, что обеспечивает практически мгновенное получение обновлений.
Системные требования
|
Использование Антивируса Касперского на практике представлено на ниже перечисленных рисунках.