Смекни!
smekni.com

Информационная безопасность (стр. 4 из 6)

13. Антивирусная зашита

13.1 Основные типы компьютерных вирусов

Очень часто прекращение работы ПК или неустойчивая работа его устройств вызывается компьютерными вирусами. Вирус, как правило, состоит из двух частей - программного кода для распространения и особого кода для выполняемого действия, - и воспроизводит сам себя. При этом вирусы манипулируют файлами и их удалением, переписывают каталоги, удаляют связи, публикуют документы в онлайновом режиме или форматируют жесткий диск.

Компьютерные вирусы можно разделить на классы по следующим основным признакам:

- среда обитания (файловые, загрузочные, макро и сетевые);

- операционная система;

- особенности алгоритма работы;

- деструктивные возможности.

Файловые вирусызаражают исполняемые файлы (это наиболее распространенный тип вирусов) либо создают файлы-двойники, либо используют особенности организации файловой системы.

Загрузочные вирусызаражают загрузочные сектора дисков (boot-сектор), либо главную загрузочную запись (MasterBootRecord), либо меняют указатель на активный загрузочный сектор.

Макро-вирусы- это разновидность файловых вирусов, встраивающихся в документы и электронные таблицы популярных редакторов.

Сетевые вирусыиспользуют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Существует большое количество сочетаний перечисленных выше типов вирусов, например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков.

Кроме того, существует еще несколько типов вирусов, на которые необходимо обратить внимание:

- браузеры-вредители- зловредные Java-апплеты (программы, написанные на языке Java) и элементы управления ActiveX, которые могут удалять файлы;

- компьютерные червине требуют «программы-носителя» и копируют себя на компьютеры, связанные через сеть с зараженным ПК;

- троянские кони - это программы, которые совершают действия, отличные от тех, о которых они сообщают. Например, они маскируются под полезную утилиту, а вместо этого наносят вред - однако без того, чтобы по примеру вируса размножаться;

- HTML-вирусынаписаны на VisualBasicScript (VBS) и инфицируют HTML-файлы. Сам по себе HTML ни в коем случае не содержит команд, которые открывают возможность доступа к файлам. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких ОС - DOS, Windows, OS/2 и т. д. Макро-вирусы заражают файлы форматов приложений офисных пакетов.

Среди особенности алгоритма работы вирусов выделяют рези-дентность, стелс-алгоритм, полиморфичность, а также использование нестандартных приемов.

Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения ОС к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными все время, а нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время.

Использование стелс-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс -алгоритмом является перехват запросов ОС на чтение/запись зараженных объектов. Стелс-вирусы (вирусы-невидимки) при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации.

Полиморфныевирусы - это трудно обнаружимые вирусы, не имеющие сигнатур, т. е. не содержащие ни одного постоянного участка кода. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

По деструктивным возможностям вирусы можно разделить на:

- безвредные, не влияющие на работу компьютера;

- неопасные,влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми эффектами;

- опасные, которые могут привести к серьезным сбоям в работе компьютера;

- очень опасные,в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.

13.2 Наиболее опасные троянские кони

Троянцы Remofe-Access.

Это такие программы, как, например, Back 1 Orifice или Netbus. Они позволяют осуществлять полный контроль чужого компьютера, вплоть до нового запуска и манипуляций с системой.

Mail-троянцы.

Программы, которые протоколируют деятельность на инфицированном ПК (например, ввод паролей) и даже посылают эту информацию через свою собственную почтовую программу. Mail-троянцы без этой функции называются также Keylogger-троянцами.

Telnet-троянцы.

Открывают доступ через Telnet. Через него хакер попадает в оболочку операционной системы (например, в DOS) и прямо оттуда может выполнять системные команды. Telnet используется, например, для удаленного управления сетевыми серверами и центральным компьютером.

FTP-троянцы.

Программы, которые незаметно запускают свой собственный FTP-сервер, через который хакер может загрузить файлы с пораженного ПК.

Программы, моделирующие нажатие клавиши (Keystroke-Simulator). Переводят команды хакера в смоделированное управление клавиатурой. Операционная система не может выявить различия между удаленным управлением и действиями пользователя.

13.3 Типы антивирусных программ

Для предотвращения заражения компьютера вирусом и ликвидации последствий заражения применяются антивирусные программы (антивирусы). В зависимости от назначения и принципа действия различают следующие антивирусные программы:

- сторожа (детекторы).Предназначены для обнаружения файлов, зараженных известными вирусами, или признаков, указывающих на возможность заражения;

- доктора.Предназначены для обнаружения и устранения известных им вирусов, удаляя их из тела программы и возвращая ее в исходное состояние;

- ревизоры.Контролируют уязвимые и поэтому наиболее атакуемые компоненты компьютера, запоминают состояние служебных областей и файлов, а в случае обнаружения изменений сообщают пользователю;

- резидентные мониторы (фильтры).Постоянно находятся в памяти компьютера для обнаружения попыток выполнить несанкционированные действия. В случае обнаружения подозрительного действия выводят запрос пользователю на подтверждение операций;

- вакцины.Имитируют заражение файлов вирусами.


13.3 Принцип работы антивирусных программ

Первоначальной формой антивирусной программы (проще называемой антивирусом) является сканер вирусов.Он обследует все программы, документы и системные области памяти на предмет наличия характерных признаков вирусов. Правда, он распознает лишь заранее известные ему вирусы, признаки которые имеются в его базе данных.

Наряду с функциями поиска, и очистки путем сканирования жесткого диска антивирусные программы располагают, как правило, и работающей в фоновом режиме программой, которую называют резидентным сканером (монитором). Она проверяет систему на предмет подозрительных действий и выдает сообщение, если пользователь хочет запустить зараженную программу или открыть документ с макровирусами.

Сканер вирусов осуществляет поиск характерной последовательности байтов, так называемой сигнатуры вируса.Антивирусные программы используют также и эвристический метод, позволяющий выявлять характерный для вирусов программный код типа незадокументированных функций MSDOS, а также другие подозрительные признаки. Для этого программа применяет статистические методы оценки вероятности того, что программа нанесет ущерб в результате выполнения кода, который хранится в ней.

Проблема эвристического поиска состоит в том, что программа не должна выдавать ложных сообщений о вирусном заражении, но она и не должна пропустить вирусы. Кроме того, она не в состоянии идентифицировать найденный вирус. Эвристика важна при «выслеживании» новых вирусов. Некоторые антивирусные программы позволяют послать «отловленные» вирусы разработчику программы, чтобы он добавил сигнатуру и указания по противодействию новым вирусам в следующем обновлении антивирусной программы.

Обновлениясигнатур вирусов просто необходимы, так как ежедневно появляются десятки новых вирусов, с которыми нужно вести борьбу. Многие антивирусные программы обновляются через Интернет.

13.4 Коммерческие антивирусы

NortonAntivirus(www.symantec.com) - пакет, предназначенный для защиты компьютера от вирусов во время работы в Интернете, обмена файлами по сети, загрузки файлов с дискет и компакт-дисков. Программа может автоматически сканировать входящие почтовые сообщения, содержащие различного рода прикрепленные данные, в таких популярных почтовых программах, как MSOutlook, MSOutlookExpress, EudoraPro, EudoraLite, NetscapeMessenger, NetscapeMail. Она защищает систему от опасных ActiveX-кодов, Java-апплетов и так называемых «троянов», а также определяет и удаляет вирусы из сжатых файлов (в том числе и из многократно сжатых файлов).

Для обнаружения новых и неизвестных вирусов используется технология BloodhoundHeuristic: программы-анализаторы изучают структуру файла, программную логику, инструкции, данные файлов и прочие атрибуты, а затем используют эвристическую логику, чтобы определить вероятность инфицирования.

Программу можно сконфигурировать таким образом, чтобы она автоматически выдавала сообщение в том случае, когда обнаружен новый вирус или когда созданы новые методы обезвреживания.

Антивирусный пакет AVP от Лаборатории Касперского (www.avp.ru) содержит несколько утилит, каждая из которых выполняет свои задачи:

- KasperskyAnti-VirusMonitor (KasperskyAVMonitor) (рис. 3) - это программа, которая постоянно находится в оперативной памяти компьютера и контролирует обращения к файлам. При обнаружении вируса она предлагает вылечить зараженный объект, либо удалить его, либо заблокировать доступ к объекту (это зависит от ее настроек). Таким образом, антивирусный монитор позволяет обнаружить и удалить вирус до момента реального заражения системы;