Вирусы.

Вирус представляет собой программу, которая может "заражать" другие программы путем их модификации. В модифицированный код включается код вируса, в результате чего код вируса может продолжать заражать другие программы.

Внесенный в компьютерную систему, типичный вирус временно захватывает управление дисковой операционной системой компьютера. Затем, при каждом контакте зараженного компьютера с незараженным программным обеспечением очередная копия вируса помещается в новую программу. Таким образом инфекция может передаваться от компьютера к компьютеру ничего не подозревающими пользователями, обменивающимися содержимым магнитных дисков или пересылающими программы по сети. Сеть, с ее возможностями доступа к приложениям и системным службам других компьютеров, является прекрасной средой для распространения вируса.

«Черви»

Сетевые программы-"черви" используют сетевые соединения для распространения от одной системы к другой. Во время работы на отдельном компьютере сетевой "червь" может вести себя как компьютерный вирус или внедрять "троянских коней", либо выполнять какие-то другие разрушительные или подрывные операции. Для размножения сетевой "червь" использует какое-нибудь из сетевых средств доставки информации. Примерами таких средств могут быть следующие службы.

· Электронная почта. "Червь" отправляет свою копию по почте в другую систему.

· Удаленный вызов программ. "Червь" запускает свою копию на выполнение в другой системе.

· Доступ к удаленной системе. "Червь" входит в удаленную систему как пользователь, а затем использует команду копирования себя из одной системы в другую.

Новая копия программы-"червя" в результате оказывается запущенной в удаленной системе, где в дополнение ко всем другим предусмотренным операциям "червь" продолжает размножаться указанным выше способом.

Сетевой "червь" во многом подобен компьютерному вирусу: у него тоже есть инкубационный период, фаза распространения, фаза активизации и фаза выполнения. В фазе распространения обычно выполняются следующие функции.

· Поиск других систем, которые можно заразить, путем проверки списков известных данному компьютеру узлов или других подобных объектов, хранящих информацию об адресах удаленных систем.

· Установление соединения с удаленной системой.

· Копирование своего кода в удаленную систему и инициирование ее запуска там.

Перед тем как копировать себя в другую систему, сетевой "червь" может также пытаться проверить, не была ли система уже инфицирована ранее. В многозадачной среде он может также скрывать свое присутствие с помощью назначения себе названия, соответствующего системному процессу, или с помощью использования какого-либо другого имени, не вызывающего подозрения у системного оператора.

Так же как и вирусам, сетевым "червям" трудно противостоять. Однако меры сетевой защиты в совокупности с мерами по защите отдельных компьютерных систем при условии их правильной разработки и применения значительно уменьшают опасность, которую представляют собой "черви".

Природа вирусов.

Вирусы могут делать все, что могут делать обычные программы. Единственное различие состоит в том, что вирус присоединяется к другой программе и выполняется скрытно в процессе работы программы-носителя. Во время своего выполнения вирус может выполнить любую операцию, например стереть файлы документов и программы.

Жизненный цикл типичного вируса состоит из четырех этапов [6].

Инкубационный период. Вирус никак не проявляется. В конце концов вирус будет активизирован некоторым событием, например наступлением определенной даты, присутствием другой программы или файла, появлением достаточного места на диске. Инкубационный период имеют не все вирусы.

Фаза распространения. Вирус помещает свою копию в другие программы или в определенные системные области на диске. Теперь все инфицированные программы будут содержать копию вируса, каждая их которых тоже должна будет когда-нибудь пройти свою фазу распространения.

Фаза активизации. Вирус активизируется для выполнения функции, с которой он создавался. Фаза активизации может быть инициирована самыми разными системными событиями, например наличием определенного числа копий данного вируса в системе.

Фаза выполнения. Выполняется содержащаяся в вирусе функция. Эта функция может быть как вполне безобидной (например, вывод сообщения на экран), так и совершенно деструктивной (например, уничтожение программ и файлов с данными).

Работа большинства вирусов построена в соответствии с архитектурными принципами конкретной операционной системы и в некоторых случаях даже конкретных аппаратных средств. Таким образом, в их основе лежит использование недостатков и нюансов тех или иных систем.

Типы вирусов

С тех пор как появились вирусы, началась и бесконечная борьба между авторами вирусов и авторами антивирусных программ. Как только вырабатывались эффективные методы противодействия уже известным вирусам, появлялись новые типы вирусов. В [22] предлагается следующая классификация наиболее важных типов вирусов.

· Паразитный вирус. Традиционная и до сих пор самая распространенная форма вируса. Паразитный вирус добавляет свой код к исполняемым файлам и размножается при каждом запуске инфицированной программы, находя другие файлы, которые можно было бы инфицировать.

· Резидентный вирус. Размещается в оперативной памяти как часть резидентной системной программы. С момента размещения в памяти инфицирует любую запускаемую программу.

· Загрузочный вирус. Инфицирует главную загрузочную запись или загрузочный сектор и распространяется, когда система загружается с зараженного диска.

· Вирус-невидимка. Разновидность вируса, имеющего специально предусмотренное свойство, защищающее вирус от обнаружения антивирусным программным обеспечением.

· Полиморфный (мимикрирующий) вирус. Вирус, код которого изменяется при каждом новом заражении, что делает практически невозможным обнаружить его по "сигнатуре".

Существуют и другие, гораздо более хитроумные решения. Например, вирус может перехватывать обращения к функциям ввода-вывода и при попытках прочитать подозрительные части диска с помощью этих функций возвращать оригинальные неинфицированные версии программ. Таким образом, применяемая в данном случае характеристика стелс (скрытный) относится не столько к вирусам, сколько к технологии, обеспечивающей вирусу защиту от обнаружения.

Полиморфный вирус создает при размножении копии, эквивалентные по функциональности, но существенно различающиеся по двоичному представлению кода [6]. Как и в случае с вирусами-невидимками, это делается с целью противостоять программам, обнаруживающим вирусы. Для таких вариаций представления кода вирус может вставлять в свой код генерируемые случайным образом избыточные команды или же изменять порядок следования не зависящих друг от друга команд. Более эффективным подходом является шифрование. Часть вируса, называемая механизмом управления мутациями (mutation engine), генерирует случайное значение ключа, с помощью которого шифрует остальной код вируса. Ключ сохраняется вместе с вирусом, а механизм управления мутациями видоизменяется. Во время запуска инфицированной программы вирус с помощью сохраненного ключа расшифровывается. При новом инфицировании генерируется новый ключ.

Еще одним оружием в арсенале авторов вирусов является пакет инструментальных средств для разработки вирусов. Такой пакет позволяет даже относительному новичку быстро создать целый набор вирусов разных типов. Хотя вирусы, созданные с помощью пакета инструментальных средств разработки, обычно оказываются менее изощренными в сравнении с вирусами, созданными "с нуля", неограниченное число новых вирусов, которые можно генерировать с помощью пакета, представляет собой достаточно серьезную проблему для схем антивирусной защиты.

Макровирусы.

За последние годы число вирусов, регистрируемых на корпоративных узлах, стремительно возросло [23]. Практически весь этот прирост связан с распространением нового типа вирусов, называемых макровирусами. Согласно информации NCSA (National Computer Security Agency -- Национальное агентство компьютерной безопасности США) макровирусы сегодня составляют две трети от общего количества вирусов [24].

Макровирусы особенно опасны по следующим причинам.

· Макровирусы независимы от платформы. Так, практически все макровирусы поражают документы Microsoft Word. Поэтому любая аппаратно-программная система, поддерживающая Word, может быть заражена таким вирусом.

· Макровирусы инфицируют документы, а не выполняемый код. А информация, вводимая в компьютерную систему, по большей части представлена в форме документов, а не программ.

· Макровирусы быстро распространяются. Чаще всего распространение происходит по электронной почте.

Существование макровирусов построено на использовании средств поддержки макросов, предлагаемых в Word и других офисных приложениях (например, Microsoft Excel). По сути, макрос представляет собой программу, встроенную в документ текстового процессора или файл какого-то другого типа. Обычно пользователи используют макросы для того, чтобы автоматизировать выполнение часто выполняемых действий, что позволяет сэкономить время. Язык макросов чаще всего является каким-нибудь вариантом языка программирования Basic. Пользователь может записать последовательность нажатий клавиш в виде макроса, а затем настроить программу так, чтобы записанный макрос вызывался нажатием функциональной клавиши или какой-то специальной комбинацией клавиш.

Создание макровирусов оказывается возможным благодаря существованию автоматических макросов. Это макросы, которые выполняются автоматически, без явной активизации их пользователем. Типичными автоматически происходящими событиями являются открытие, закрытие файла, а также запуск приложения. Во время своего выполнения макрос может копировать себя в другой документ, удалять файлы и выполнять любые другие действия, разрушающие систему пользователя. В Microsoft Word имеется три типа автоматических макросов.

· AutoExec. Макрос, названный зарезервированным именем AutoExec, находится в шаблоне normal.dot или в глобальном шаблоне, хранящемся в каталоге запуска (startup directory) Word, и автоматически выполняется при запуске Word.

· Автомакрос. Выполняется, когда происходит определенное событие, например открытие или закрытие документа, создание нового документа шп завершение работы Word.

· Командный макрос. Если находящийся в глобальном файле макросов ил;связанный с текущим документом макрос имеет имя, совпадающее с названием команды Word, он будет выполняться при каждом вызове этойкоманды (например, команды FileSave) пользователем.

Обычно распространение макровируса происходит следующим образом. Автомакрос или командный макрос вставляется в документ Word, который передается в компьютерную систему по электронной почте или с внешнего носителя информации. В какой-то момент после открытия документа макровирус начинает выполняться. Он копирует свой код в глобальный файл макросов. При следующем запуске Word становится активным инфицированный глобальный файл макросов. При выполнении макрос может размножаться и выполнять действия, наносящие вред системе.

В современные версии Word встроена защита от макровирусов. Microsoft предоставляет в распоряжение пользователя средство защиты от макровирусов, выявляющее подозрительные файлы Word и предупреждающее пользователя об опасности, связанной с открытием файлов, содержащих макросы. Ведущие разработчики антивирусных программ тоже создали средства для обнаружения и удаления опасных макровирусов. Однако, как и в случае любых других вирусов, борьба в области макровирусов продолжается и не всегда в лучшую сторону.

2.3.3 Виды антивирусной защиты

Идеальным решением проблемы вирусов является предотвращение инфицирования: не следует допускать начального проникновения вируса в компьютерную систему. Этой цели в общем достичь невозможно, хотя предпринятые превентивные меры могут снизить число успешно завершенных вирусами атак. Почти идеальный подход должен обеспечивать выполнение следующих требований.

· Обнаружение. Если заражение произошло, оно должно быть немедленно обнаружено с установлением места обитания вируса.

· Идентификация. Как только заражение вирусом обнаружено, необходимо идентифицировать тип вируса, инфицировавшего программу.

· Удаление. Как только вирус идентифицирован, следует удалить все следы вируса из инфицированных программ и восстановить программы в их исходный вид. Важно удалить вирус из всех инфицированных систем, чтобы болезнь не распространялась дальше.

Если вирус обнаружен, но его не удается идентифицировать или удалить из системы, альтернативой является удаление инфицированной программы с последующей ее новой загрузкой с резервной копии.

Технологии разработки вирусов и антивирусов идут рука об руку. Первые вирусы представляли собой сравнительно простые фрагменты кода и могли быть удалены с помощью относительно простых антивирусных программ. По мере усложнения вирусов антивирусное программное обеспечение тоже становилось все сложнее и изощреннее.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11