|
КЛАССИФИКАЦИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ |
|
Классификация компьютерных вирусов. Меры по их профилактике. Методология защиты автоматизированных информационных систем. Безопасность компьютерных сетей. |
|
Классификация компьютерных вирусов: Загрузочные вирусы Макро-вирусы Полиморфик-вирусы Прочие “вредные программы” Intended-вирусы Конструкторы вирусов Полиморфные генераторы Троянские кони (логические бомбы) Утилиты скрытого администрирования (backdoor) Резидентные вирусы Сетевые вирусы Стелс-вирусы Файловые вирусы IRC-черви Вирусы можно разделить на классы по следующим основным признакам: среда обитания; операционная система (OC); особенности алгоритма работы; деструктивные возможности. По СРЕДЕ ОБИТАНИЯ вирусы можно разделить на: файловые; загрузочные; макро; сетевые. Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы). Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор. Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов. Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты. Существует большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс и полиморфик-технологии. Другой пример такого сочетания - сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
Заражаемая ОПЕРАЦИОННАЯ СИСТЕМА (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS - DOS, Windows, Win95/NT, OS/2 и т.д. Макро-вирусы заражают файлы форматов Word, Excel, Office97. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков. Среди ОСОБЕННОСТЕЙ АЛГОРИТМА РАБОТЫ вирусов выделяются следующие пункты: резидентность; использование стелс-алгоритмов; самошифрование и полиморфичность; использование нестандартных приемов. РЕЗИДЕНТНЫЙ вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными. Резидентными можно считать макро-вирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие “перезагрузка операционной системы” трактуется как выход из редактора. В многозадачных операционных системах время “жизни” резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов OC. Использование СТЕЛС-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо “подставляют” вместо себя незараженные участки информации. В случае макро-вирусов наиболее популярный способ — запрет вызовов меню просмотра макросов. Один из первых файловых стелс-вирусов — вирус “Frodo”, первый загрузочный стелс-вирус — “Brain”. САМОШИФРОВАНИЕ и ПОЛИМОРФИЧНОСТЬ используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. Различные НЕСТАНДАРТНЫЕ ПРИЕМЫ часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре OC (как это делает вирус “3APA3A”), защитить от обнаружения свою резидентную копию (вирусы “TPVO”, “Trout2”), затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и т.д.
По ДЕСТРУКТИВНЫМ ВОЗМОЖНОСТЯМ вирусы можно разделить на: безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения); неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами; опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера; очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов - вводить в резонанс и разрушать головки некоторых типов винчестеров. Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе, этот вирус нельзя с полной уверенностью назвать безвредным, так как проникновение его в компьютер может вызвать непредсказуемые и порой катастрофические последствия. Ведь вирус, как и всякая программа, имеет ошибки, в результате которых могут быть испорчены как файлы, так и сектора дисков (например, вполне безобидный на первый взгляд вирус “DenZuk” довольно корректно работает с 360K дискетами, но может уничтожить информацию на дискетах большего объема). До сих пор попадаются вирусы, определяющие “COM или EXE” не по внутреннему формату файла, а по его расширению. Естественно, что при несовпадении формата и расширения имени файл после заражения оказывается неработоспособным. Возможно также “заклинивание” резидентного вируса и системы при использовании новых версий DOS, при работе в Windows или с другими мощными программными системами. И так далее. Правила “личной
гигиены” ПК: Для обеспечения защиты от несанкционированного использования рекомендуется применять архивирование с паролированием и хранение на внешних носителях. Более общий и надежный подход состоит в использовании сетевых распределенных файловых систем под управлением серверов с многопользовательскими ОС типа UNIX или MS-Windows NT. Такой подход дает возможность персонализировать используемые файлы как для каждого пользователя в отдельности, так и для рабочих групп из нескольких пользователей с регулированием отношений и прав доступа к конкретным файлам. Многие
программные
комплексы
осуществляют
некоторые
сервисные
возможности
по
ограничению
доступа к
данным или
файлам при
помощи
паролирования
входов (сессий)
работы в
данных
системах.
Однако,
необходимо
помнить, что
такая защита
никак не
может спасти
информацию
от удаления
путем
уничтожения
файлов. Основные правила защиты. Правило первое. Крайне осторожно относитесь к программам и документам Word/Excel, которые получаете из глобальных сетей. Перед тем, как запустить файл на выполнение или открыть документ/таблицу, обязательно проверьте их на наличие вирусов. Используйте специализированные антивирусы - для проверки "на-лету" всех файлов, приходящих по электронной почте (и по Internet в целом). К сожалению, на сегодняшний день мне неизвестны антивирусы, которые достаточно надежно ловят вирусы в приходящих из Internet файлах, но не исключено, что такие антивирусы появятся в ближайшем будущем. Правило
второе -
защита
локальных
сетей. Для
уменьшения
риска
заразить
файл на
сервере
администраторам
сетей
следует
активно
использовать
стандартные
возможности
защиты сети:
ограничение
прав
пользователей;
установку
атрибутов "только
на чтение"
или даже "только
на запуск"
для всех
выполняемых
файлов (к
сожалению,
это не всегда
оказывается
возможным) и т.д. Правило третье. Лучше покупать дистрибутивные копии программного обеспечения у официальных продавцов, чем бесплатно или почти бесплатно копировать их из других источников или покупать пиратские копии. При этом значительно снижается вероятность заражения, хотя известны случаи покупки инфицированных дистрибутивов. Как следствие из этого правила вытекает необходимость хранения дистрибутивных копий программного обеспечения (в том числе копий операционной системы), причем копии желательно хранить на защищенных от записи дискетах. Пользуйтесь только хорошо зарекомендовавшими себя источниками программ и прочих файлов, хотя это не всегда спасает (например, на WWW-сервере Microsoft довольно долгое время находился документ, зараженный макро-вирусом "Wazzu"). По-видимому, единственными надежными с точки зрения защиты от вирусов являются BBS/ftp/WWW антивирусных фирм-разработчиков. Правило
четвертое.
Старайтесь
не запускать
непроверенные
файлы, в том
числе
полученные
из
компьютерной
сети.
Желательно
использовать
только
программы,
полученные
из надежных
источников.
Перед
запуском
новых
программ
обязательно
проверьте их
одним или
несколькими
антивирусами. Правило пятое. Пользуйтесь утилитами проверки целостности информации. Такие утилиты сохраняют в специальных базах данных информацию о системных областях дисков (или целиком системные области) и информацию о файлах (контрольные суммы, размеры, атрибуты, даты последней модификации файлов и т.д.). Периодически сравнивайте информацию, хранящуюся в подобной базе данных, с реальным содержимым винчестера, так как практически любое несоответствие может служить сигналом о появлении вируса или "троянской" программы. Правило
шестое.
Периодически
сохраняйте
на внешнем
носителе
файлы, с
которыми
ведется
работа. Такие
резервные
копии носят
название backup-копий.
Затраты на
копирование
файлов,
содержащих
исходные
тексты
программ,
базы данных,
документацию,
значительно
меньше
затрат на
восстановление
этих файлов
при
проявлении
вирусом
агрессивных
свойств или
при сбое
компьютера. Прочие
правила. Если
нет нужды
каждый день
грузить
систему с
дискеты,
поставьте в BIOS
Setup порядок
загрузки "сначала
- С:, потом - A:".
Это надежно
защитит
компьютер от
загрузочных
вирусов. Не
обольщайтесь
встроенной в
BIOS защитой от
вирусов,
многие
вирусы "обходят"
ее при помощи
различных
приемов. Проблема защиты от макро-вирусов. Поскольку проблема макро-вирусов в последнее время перекрывает все остальные проблемы, связанные с прочими вирусами, на ней следует остановиться подробнее. Существует несколько приемов и встроенных в Word/Excel функций, направленных на предотвращение запуска вируса. Наиболее действенной из них является защита от вирусов, встроенная в Word и Excel (начиная с версий 7.0a). Эта защита при открытии файла, содержащего любой макрос, сообщает о его присутствии и предлагает запретить этот макрос. В результате макрос не только не выполняется, но и не виден средствами Word/Excel. Такая защита является достаточно надежной, однако абсолютно бесполезна, если пользователь работает с макросами (любыми): она не отличает макросы вируса от не-вируса и выводит предупреждающее сообщение при открытии практически любого файла. По этой причине защита в большинстве случаев оказывается отключенной, что дает возможность вирусу проникнуть в систему. К тому же включение защиты от вирусов в уже зараженной системе не во всех случаях помогает - некоторые вирусы, однажды получив управление, при каждом запуске отключают защиту от вирусов и таким образом полностью блокируют ее. Существуют другие методы противодействия вирусам, например функция DisableAutoMacros, однако она не запрещает выполнение прочих макросов и блокирует только те вирусы, которые для своего распространения используют один из авто-макросов. Запуск Word с опцией /M (или с нажатой клавишей Shift) отключает только один макрос AutoExec и таким образом также не может служить надежной защитой от вируса. Основным источником вирусов на сегодняшний день является глобальная сеть Internet. Наибольшее число заражений вирусом происходит при обмене письмами в форматах Word/Office97. Пользователь зараженного макро-вирусом редактора, сам того не подозревая, рассылает зараженные письма адресатам, которые в свою очередь отправляют новые зараженные письма и т.д. В случае
массовой
рассылки
вируса по
файл-серверам
ftp/BBS
пораженными
практически
одновременно
могут
оказаться
тысячи
компьютеров,
однако в
большинстве
случаев "закладываются"
DOS- или Windows-вирусы,
скорость
распространения
которых в
современных
условиях
значительно
ниже, чем
макро-вирусов.
По этой
причине
подобные
инциденты
практически
никогда не
кончаются
массовыми
эпидемиями,
чего нельзя
сказать про
макро-вирусы. Пиратское программное обеспечение. Нелегальные копии программного обеспечения, как это было всегда, являются одной из основных "зон риска". Часто пиратские копии на дискетах и даже на CD-дисках содержат файлы, зараженные самыми разнообразными типами вирусов. Персональные компьютеры "общего пользования". Опасность представляют также компьютеры, установленные в учебных заведениях. Если один из студентов принес на своих дискетах вирус и заразил какой-либо учебный компьютер, то очередную "заразу" получат и дискеты всех остальных студентов, работающих на этом компьютере. То же относится и к домашним компьютерам, если на них работает более одного человека. Нередки ситуации, когда сын-студент (или дочь), работая на многопользовательском компьютере в институте, перетаскивают оттуда вирус на домашний компьютер, в результате чего вирус попадает в компьютерную сеть фирмы папы или мамы. Ремонтные
службы.
Достаточно
редко, но до
сих пор
вполне
реально
заражение
компьютера
вирусом при
его ремонте
или
профилактическом
осмотре.
Ремонтники -
тоже люди, и
некоторым из
них
свойственно
наплевательское
отношение к
элементарным
правилам
компьютерной
безопасности.
Однажды
забыв
закрыть
защиту от
записи на
одном из
своих флоппи-дисков,
такой "маэстро"
довольно
быстро
разнесет
заразу по
машинам
своей
клиентуры и
скорее всего
потеряет ее (клиентуру). Периодически тестируйте компьютер на вирусы, причем проверяйте не только исполняемые файлы (СОМ, EXE), но и пакетные файлы BAT, и системные области дисков. Лучше всего встроить вызов антивирусной программы в файл конфигурации autoexec.bat, чтобы проверка осуществлялась при каждом включении компьютера. Если на диске записано много файлов, и их проверка антивирусами-полифагами отнимает много времени, используйте для повседневной проверки программы-ревизоры, а новые и изменившиеся файлы проверяйте полифагами. Практически все ревизоры в случае изменения системных областей диска (обеих загрузочных записей) позволяют восстановить их, даже если не известно, какой именно вирус их заразил. Лечащий модуль ADinf Cure Module позволяет удалять неизвестные файловые вирусы. Но не спешите воспользоваться этой возможностью. Во-первых, изменение файла и системных областей может быть вызвано не нападением вируса, а гораздо более прозаическими причинами. Во-вторых, некоторые вирусы могут так внедриться в компьютер, что простое их удаление приведет к безвозвратной потере информации. В частности, весьма коварен вирус OneHalf - 'одна половина'. Назван он был так потому, что зашифровывает информацию на винчестере и после заражения половины диска при очередном запуске компьютера выводит на экран соответствующее сообщение. При обращении какой-либо программы к зашифрованным данным он их расшифровывает, то есть создает видимость нормальной работы. Если же его удалить, не узнав шифра, то все оставшиеся на диске закодированные данные окажутся грудой бесполезного мусора. В любом случае перед удалением вируса с помощью ревизора попробуйте удалить его программа- ми-полифагами. Более подробные рекомендации вы можете получить только из документации на используемые антивирусные средства защиты. Вы можете посоветоваться со специалистом по компьютерной технике или обратиться на фирму, которая занимается антивирусным обслуживанием. Практически все современные антивирусы могут правильно работать даже на зараженном компьютере, при наличии активного вируса в его оперативной памяти. Однако перед удалением вируса все же рекомендуется предварительно загрузить компьютер с системной дискеты, дабы вирус не смог препятствовать лечению. В последнем случае следует обратить внимание на два важных момента. Во-первых, перезагружать компьютер надо с помощью кнопки Reset или даже посредством выключения и повторного включения питания. Не используйте для перезагрузки комбинацию клавиш 'Ctrl-Alt-Del': после такой процедуры некоторые вирусы все же остаются в памяти. Во-вторых, перед загрузкой ПК с дискеты проверьте конфигурацию дисковой подсистемы компьютера и особенно параметры дисководов и порядок загрузки операционной системы (должна быть установлена приоритетная загрузка с дискеты), записанные в энергонезависимой памяти BIOS. Существуют вирусы, ловко меняющие параметры BIOS: компьютер загружается с зараженного жесткого диска, в то время как пользователь думает, что загрузка происходит с чистой системной дискеты. Обязательно проверяйте с помощью антивирусных программ все дискеты и все программы, поступающие к вам от ваших знакомых или через модем, в том числе и текстовые и табличные документы; убедитесь, что ваше антивирусное ПО способно обнаруживать макрокомандные вирусы. Если ваш компьютер подключен к локальной сети, проверяйте файлы, полученные через сеть от других пользователей. Следите за выходом новых версий применяемых вами антивирусных средств и своевременно обновляйте их на системной дискете и своем компьютере. Используйте для восстановления зараженных файлов и системных областей диска только самые последние версии антивирусов. Неплохой результат может дать одновременное использование нескольких антивирусных средств. Отечественное антивирусное программное обеспечение успешно конкурирует с ПО зарубежных фирм, а хорошая поддержка пользователей отечественных антивирусных программ со стороны фирм 'Диалог Наука' и 'Ками' позволяет своевременно получать новые версии антивирусов и консультации по их использованию. |