Вредоносные программы: классификация, методы предупреждения внедрения, обнаружения и удаления вредоносных программ.

o К вредоносным программам (иначе называемым разрушающими программными воздействиями, malware) относятся компьютерные вирусы и программные закладки.

o Впервые термин компьютерный вирус ввел в употребление специалист из США Ф.Коэн в 1984 г.

Компьютерный вирус

Автономно функционирующая программа, обладающая одновременно тремя свойствами:

o способностью к включению своего кода в тела других файлов и системных областей памяти компьютера;

o последующему самостоятельному выполнению;

o самостоятельному распространению в компьютерных системах.

Программная закладка

Внешняя или внутренняя по отношению к атакуемой компьютерной системе программа, обладающая определенными разрушительными функциями по отношению к этой системе.

Классификация компьютерных вирусов

  1. По способу распространения в компьютерной системе:

n файловые вирусы, заражающие файлы одного или нескольких типов;

n загрузочные вирусы, заражающие загрузочные сектора жестких дисков и дискет;

n комбинированные вирусы, способные заражать и файлы, и загрузочные сектора дисков.

  1. По способу заражения других объектов компьютерной системы:

n резидентные вирусы, часть кода которых постоянно находится в оперативной памяти компьютера и заражает другие объекты;

n нерезидентные вирусы, которые заражают другие объекты в момент открытия уже зараженных ими объектов.

  1. По деструктивным возможностям:

n безвредные вирусы, созданные в целях «обучения», однако снижающие эффективность работы компьютерной системы за счет потребления ее ресурсов;

n неопасные вирусы, создающие различные звуковые и видеоэффекты;

n опасные и очень опасные вирусы, вызывающие сбои в работе программного и (или) аппаратного обеспечения компьютера, потерю программ и данных, а потенциально – вывод из строя аппаратуры КС и нанесение вреда здоровью пользователей.

  1. По особенностям реализуемого алгоритма:

n вирусы-спутники, создающие для заражаемых файлов одноименные файлы с кодом вируса и переименовывающие исходные файлы (при открытии зараженного файла фактически открывается файл с кодом вируса, в котором после выполнения предусмотренных автором действий открывается исходный файл);

n паразитические вирусы, которые обязательно изменяют содержимое заражаемых объектов;

n вирусы-невидимки («стелс»-вирусы), в которых путем перехвата обращений операционной системы к зараженным объектам скрывается факт присутствия вируса в компьютерной системе (при собственном обращении к дисковой памяти вирусы-невидимки также используют нестандартные средства для обхода средств антивирусной защиты);

n вирусы-призраки (полиморфные вирусы), каждая следующая копия которых в зараженных объектах отличается от предыдущих (не содержит одинаковых цепочек команд за счет применения шифрования на различных ключах базового кода вируса).

Защита от руткитов

o Существующие сегодня специализированные программы, предназначенные для обнаружения руткитов, и традиционные антивирусы не дают стопроцентной гарантии безопасности.

o Обладая исходным кодом этих программ, можно создать любые модификации руткитов или включить часть кода в любую шпионскую программу.

o Главная цель руткитов не прочно закрепиться в системе, а проникнуть в нее.

Предотвращение внедрения программных закладок

Организационные меры:

o Минимизация времени работы в системе с полномочиями администратора.

o Создание отдельной учетной записи для работы в Интернете (с минимальными правами: запуск браузера и сохранение файлов в выделенной папке).

o Осмотрительная работа с почтовыми и офисными программами и др.

Методы предупреждения вирусного заражения

o физическое или логическое (для отдельных учетных записей) отключение накопителей для съемных дисков;

o разграничение прав отдельных пользователей и групп на доступ к папкам и файлам операционной системы и других пользователей;

o ограничение времени работы в компьютерной системе привилегированных пользователей;

o использование, как правило, только лицензионного программного обеспечения, приобретенного у официальных представителей фирм-правообладателей;

o выделение не подсоединенного к локальной сети компьютера для тестирования полученного из ненадежных источников программного обеспечения;

o использование встроенной в Microsoft Office защиты от потенциально опасных макросов, разрешающей в зависимости от установленного уровня выполнение макросов, содержащихся в документах из надежных расположений, подписанных доверенными издателями или разрешенных пользователем после получения соответствующего предупреждения.

Методы обнаружения компьютерных вирусов

  1. Просмотр (сканирование) проверяемых объектов (системных областей дисковой и оперативной памяти, а также файлов заданных типов) в поиске сигнатур (уникальных последовательностей байтов) известных вирусов. Недостатки: необходимость постоянного обновления баз данных сигнатур известных вирусов, неспособность обнаружить новые компьютерные вирусы.
  2. Инспекция (обнаружение изменений в объектах компьютерной системы) путем сравнения их вычисленных при проверке хеш-значений с эталонными (или проверки ЭЦП для этих объектов). Недостатки: не все изменения проверяемых объектов вызываются вирусным заражением, не может помочь при записи на жесткий диск компьютера пользователя уже зараженного файла.
  3. Эвристический анализ – проверка системных областей памяти и файлов с целью обнаружения фрагментов исполнимого кода, характерного для компьютерных вирусов. Анализируются тысячи различных характеристик каждого файла. Недостатки: длительность процедуры проверки, возможность ложных сообщений о найденных вирусах.
  4. Мониторинг − постоянное присутствие в оперативной памяти компьютера с целью сканирования всех открываемых или получаемых извне файлов и контроля всех «подозрительных» действий других программ (например, обнаружение и блокирование потенциально опасных результатов web-поиска, ссылок на URL). Недостатки: снижение эффективности работы системы, возможность выполнения контролируемых действий незараженными программами.
  5. Вакцинирование – присоединение к защищаемому файлу специального модуля контроля, следящего за целостностью данного файла с помощью вычисления его хеш-значения и сравнения с эталоном. Недостатки: возможность обхода вирусами-невидимками , неприменимость для защиты файлов документов.
  6. Блокирование потенциально опасных действий пользователя:
    1. Установка параметров безопасности и конфиденциальности в обозревателе Интернета.
    2. Установка защиты от записи в загрузочные сектора с помощью программы BIOS Setup.
    3. Определение недоступных для изменения областей дисковой памяти с помощью драйвера PCI-контроллера.

Удаление обнаруженных вирусов

  1. Автоматическое − с помощью заранее разработанного алгоритма «лечения» зараженных известным вирусом объектов.
  2. Автоматическое или «ручное» удаление зараженного объекта (с его последующим восстановлением по сохраненной незараженной резервной копии). Иногда возможно автоматическое восстановление объекта соответствующей программой (например, файла normal.dot программой Microsoft Office Word).
  3. Полная переустановка системы, включая форматирование дисковой памяти, восстановление главного загрузочного сектора, установку операционной системы и прикладного программного обеспечения, восстановление файлов данных с резервных носителей информации.