Защита информации от компьютерных вирусов
Компьютерный вирус — это, как правило, небольшая по объему компьютерная программа, обладающая следующими свойствами [52]:
• возможностью создавать свои копии и внедрять их в другие программы;
• скрытость (латентность) существования до определенного момента;
• несанкционированность (со стороны пользователя) производимых ею действий;
• наличие отрицательных последствий от ее функционирования.
Следует отметить, что не все программы, обычно называемые вирусами, обладают всеми из перечисленных свойств.
Компьютерным вирусам, как и биологическим, характерны определенные стадии существования:
• латентная стадия, в которой вирусом никаких действий не предпринимается;
• инкубационная стадия, в которой основная задача вируса — создать как можно больше своих копий и внедрить их в среду обитания;
• активная стадия, в которой вирус, продолжал размножаться, проявляется и выполняет свои деструктивные действия.
Классификация вредоносных программ приведена на рис. 13.1.
По среде обитания вирусы можно разделить на [52]:
• файловые;
• файлово-загрузочные;
• загрузочные;
• сетевые;
• макровирусы.
Рисунок 1 - Классификация вредоносных программ
Файловые вирусы чаще всего внедряются в исполняемые файлы, имеющие расширения .exe и .соm, но могут внедряться я в объектные файлы, библиотеки, в командные пакетные файлы, программные файлы на языках процедурного программирования. Файловые вирусы могут создавать файлы-двойники.
Загрузочные вирусы внедряются в загрузочный сектор дискеты (boot-sector) или в сектор, содержащий программу загрузки системного диска (master boot record). При загрузке ОС с зараженного диска такой вирус изменяет программу начальной загрузки либо модифицирует таблицу размещения файлов на диске, создавал трудности в работе компьютера или даже делая невозможным запуск операционной системы.
Файлово-загрузочные вирусы интегрируют возможности двух предыдущих групп.
Макровирусы заражают и искажают текстовые файлы (.doc) и файлы электронных таблиц некоторых популярных редакторов. Комбинированные сетевые макровирусы не только заражают создаваемые
Документы, но и рассылают копии этих документов по электронной почте (печально известный вирус «I love you»).
Сетевые черви используют для своего распространения команды и протоколы телекоммуникационных систем (электронной почты, компьютерных сетей). Они подразделяются на Internet-черви (распространяются по Интернету), LAN-черви (распространяются по локальной сети), IRC-черви (Internet Relay Chat) — распространяются через чаты. Существуют также смешанные типы, которые совмещают в себе сразу несколько технологий.
В отдельную группу выделяются троянские программы, которые не размножаются и не рассылаются сами.
Троянские программы подразделяют на несколько видов (рисунок 1), которые маскируются под полезные программы и выполняют деструктивные функции. Они могут обеспечить злоумышленнику скрытый несанкционированный доступ к информации на компьютере пользователя и ее похищение (отсюда их название). Такие программы иногда называют утилитами несанкционированного удаленного управления.
Эмуляторы DDoS-атак (Distributed Denial of Service) приводят к атакам на веб-серверы, при которых на веб-сервер из разных мест поступает большое количество пакетов, что и приводит к отказам работы системы.
Дроппер (от англ. drop — бросать) — программа, которая «сбрасывает» в систему вирус или другие вредоносные программы, при этом сама больше ничего не делает.
Скрипт-вирусы — это вирусы, написанные на скрипт-языках, таких как Visual Basis Script, Java Script и др.
По способу заражения среды обитания вирусы делятся на:
• резидентные;
• нерезидентные.
Резидентные вирусы после завершения инфицированной программы остаются в оперативной памяти и продолжают свои деструктивные действия, заражая следующие исполняемые программы и процедуры вплоть до момента выключения компьютера. Нерезидентные вирусы запускаются вместе с зараженной программой и после ее завершения из оперативной памяти удаляются.
По алгоритмам функционирования вирусы делятся на следующие группы [21, 52]:
• паразитические вирусы, изменяющие содержимое файлов или секторов диска. Они достаточно просто могут быть обнаружены и уничтожены;
• вирусы-репликаторы («черви»), саморазмножающиеся и распространяющиеся по компьютерным сетям. Сами деструктивных действий не выполняют;
• вирусы-невидимки способны прятаться при попытках их обнаружения. Они перехватывают запрос антивирусной программы и мгновенно либо удаляют временно свое тело из зараженного файла, либо подставляют вместо своего тела незараженные участки файлов;
• самошифрующиеся вирусы (в режиме простоя зашифрованы и расшифровываются только в момент начала работы вируса);
• мутирующие вирусы (периодически автоматически видоизменяются: копии вируса не имеют ни одной повторяющейся цепочки байт), необходимо каждый раз создавать новые антивирусные базы для обезвреживания этих вирусов;
• «отдыхающие» вирусы (основное время проводят в латентном состоянии и активизируются только при определенных условиях, например, вирус «Чернобыль» функционирует только в день годовщины чернобыльской трагедии).
Для своевременного обнаружения и удаления вирусов важно звать основные признаки появления вируса в компьютере [12, 52]:
• неожиданная неработоспособность компьютера или его компонентов;
• невозможность загрузки операционной системы;
• медленная работа компьютера;
• частые зависания и сбои в компьютере;
• прекращение работы ранее успешно исполнявшихся программ;
• искажение или исчезновение файлов и каталогов;
• непредусмотренное форматирование диска;
• необоснованное увеличение количества файлов на диске;
• необоснованное изменение размера файлов;
• искажение данных в CMOS-памяти;
• существенное уменьшение объема свободной оперативной памяти;
• вывод на экран непредусмотренных сообщений и изображений;
• появление непредусмотренных звуковых сигналов.
Для обнаружения и удаления компьютерных вирусов разработано много различных программ.
Антивирусные программы можно разделить на [52]:
• программы-детекторы;
• программы-ревизоры,
• программы-фильтры;
• программы-доктора, или дезинфекторы, фаги;
• программы-вакцины, или иммунизаторы.
Приведем краткие характеристики антивирусных программ [52].
Программы-детекторы осуществляют поиск компьютерных вирусов памяти машины и при их обнаружении сообщают об этом. детекторы могут искать как уже известные вирусы (ищут, характерную для конкретного уже известного вируса последовательность байтов сигнатуру вируса), так и произвольные вирусы (путем подсчета контрольных сумм для массива файла).
Программы-ревизоры являются развитием детекторов, но выполняют более сложную работу. Они запоминают исходное состояние программ, каталогов, системных областей и периодически или по указанию пользователя сравнивают его с текущим. При сравнении проверяется длина файлов, дата их создания и модификации, контрольные суммы и байты циклического контроля и другие параметры. Ревизоры эффективнее детекторов.
return false">ссылка скрытаПрограммы-фильтры обеспечивают выявление подозрительных, характерных для вирусов действий (коррекция исполняемых .ехе и .соm файлов, запись в загрузочные секторы дисков, изменение атрибутов файлов, прямая запись на диск по прямому адресу и т. д.). При обнаружении таких действий фильтры посылают пользователю запрос о подтверждении правомерности таких процедур.
Программы-доктора — самые распространенные и популярные (например, Kaspersky Antivirus, Doctor Web, Norton Antivirus и т. д.), которые не только обнаруживают, но и лечат зараженные вирусами файлы и загрузочные секторы дисков. Они сначала ищут вирусы в оперативной памяти и уничтожают их там (удаляют тело резидентного файла), а затем лечат файлы и диски. Многие программы-доктора являются полифагами и обновляются достаточно часто.
Программы-вакцины применяются для предотвращения заражения файлов и дисков известными вирусами. Вакцины модифицируют файл или диск таким образом, что он воспринимается программой вирусом уже зараженным, и поэтому вирус не внедряется.
Источниками непреднамеренного вирусного заражения могут явиться съемные носители информации и системы телекоммуникаций. Съемные носители информации — чаще всего это дискеты, съемные жесткие диски, контрафактные компакт-диски.
Для защиты компьютера от вирусов необходимо [12]:
• не использовать нелицензионные или непроверенные программные продукты
• иметь на компьютере один или несколько наборов антивирусных программ и обновлять их еженедельно;
• не пользоваться дискетами с чужих компьютеров, а при необходимости такого использования сразу же проверять их антивирусными программами;
• не запускать программ, назначение которых неизвестно или непонятно;
• использовать антивирусные программы для входного контроля информации, поступающей по сети;
• не раскрывать вложения в электронные письма от неизвестных отправителей;
• при переносе на компьютер архивированных файлов сразу же после разархивирования проверять их антивирусными программами;
• перед открытием текстовых, табличных и иных файлов, содержащих макросы, проверять их на наличие вирусов;
• периодически проверять винчестер на наличие вирусов;
• не оставлять дискеты в дисководе при включении и выключении компьютера во избёжание заражения их загрузочными вирусами
Контрольные вопросы
1. Перечислите группы угроз информационным системам.
2. Перечислите непреднамеренные действия, которые могут быть осуществлены пользователем ИС, представляющие угрозу безопасности информационной системы.
3. Перечислите преднамеренные действия, которые могут быть осуществлены пользователем ИС, представляющие угрозу безопасности информационной системы.
4. В чем заключается сущность модели нарушителя?
5. Дайте понятие системы защиты информации.
6. Перечислите меры по защите информации в информационных системах.
7. В чем состоит сущность криптографического закрытия информации?
8. Дайте понятие компьютерного вируса. Какими свойствами должна обладать программа, чтобы называться компьютерным вирусом?
9. Дайте классификацию компьютерных вирусов, охарактеризуйте виды вирусов
10. Перечислите признаки инфицирования компьютера вирусом.
11. Какие программы используются для борьбы с компьютерными вирусами?
12. Перечислите основные меры по защите компьютеров от вирусов.