Классификация компьютерных вирусов

В зависимости от среды обитания вирусы классифицируются на:

Сетевые вирусыиспользуют для своего распространения команды и протоколы телекоммуникационных сетей (обитают в компью­терных се­тях). Загрузочные вирусы внедряются в загрузочный сектор дискеты или в главную загрузочную запись жесткого диска (со­дер­жащую программу за­грузки системного диска). Такой вирус изменяет программу начальной за­грузки операционной системы, запуская необходимые для нарушения кон­фиденциальности программы или подменяя, для этой же цели, системные файлы (в основном это относится к файлам, обеспечивающим доступ поль­зователей в систему). Файловые вирусы внедряются в ос­новном в испол­няемые фай­лы с расшире­нием .СОМ и .ЕХЕ, но могут внедряться и в файлы с компонентами операционной системы, драйверы внешних устройств, объ­ектные файлы и библиотеки, в командные пакетные файлы. При запуске за­раженных программ вирус на некоторое время получает управление и в этот момент производит запланированные деструктивные действия и внедрение в другие файлы программ. Документные вирусы (макровирусы) заражают текстовые файлы редакторов или электронных таблиц, используя макросы, которые сопровождают такие документы. Вирус активизируется, когда доку­мент загружается в соответствующее приложение.

По степени действия на ресурсы компьютерных систем и сетей выде­ляют:

Безвредные вирусы не оказывают разрушительного влияния на работу ПК, но могут переполнять оперативную память в резуль­тате своего размноже­ния. Неопасные ви­русы не разрушают файлы, но уменьшают сво­бодную диско­вую память, выводят на экран графические эффек­ты, создают звуко­вые эф­фекты и т.д. Опасные вирусы не­редко при­водят к различным серьез­ным нару­шениям в ра­боте компьютера. Разру­шительные - к стира­нию ин­формации, полному или частич­ному на­руше­нию ра­боты прикладных про­грамм.

По способу заражения среды обитания вирусы подразделяют­:

Резидентные вирусы после завершения инфицированной программы остаются в оперативной памяти и продолжают свои деструктивные действия, заражая другие исполняемые программы, вплоть до выключения компью­тера.Нерези­дентные вирусы запускаются вместе с зараженной программой и удаляются из оперативной памяти вместе с ней (являются ак­тивными огра­ниченное время).

Алгоритмическая особенностьпостроения вирусов различают:

Репликаторные (копи­рующие сами себя) программы - благодаря своему бы­строму воспроизводству приводят к переполнению основной памяти. Про­граммы-черви - вычис­ляют адреса сетевых ком­пьютеров и рассылают по этим адресам свои копии. «Троянский конь» - программа, которая, маски­руясь под полезную (наряду с полезными функциями, соответствую­щими устанавливаемой программе) выпол­няет до­полнительные функции, о чем пользова­тель и не догады­вается (на­пример, собирает информацию обра­ба­тываемые этой программой, записывает ее в специ­альный файл, до­ступный лишь создателю дан­ного вируса), либо разру­шает фай­ловую систему. Логи­ческая бомба - про­грамма, которая безвредна до наступления определенного события, по­сле которого реализуется ее логи­чес­кий механизм (например, под Новый год). Про­граммы-мутанты, само­воспроизводясь, воссоздают свои ко­пии, кото­рые явно от­личаются от ори­гинала (их очень трудно обнару­жить). Вирусы-невидимки (стелс-вирусы), перехватывают обраще­ния опе­раци­он­ной сис­темы к пораженным файлам и секторам дисков и подставляют вместо сво­его тела незараженные объекты. Макро­вирусы используют воз­можности макроязыков, встро­енных в офис­ные программы обработки дан­ных.

Антивирусные средства

Для защиты от проникновения вирусов необходимо проводить меро­приятия, исключающие заражение программ и данных компьютерной сис­темы. Основными источниками проникновения вирусов являются коммуни­кационные сети и съемные носители информации. Для исключения проник­новения вирусов через коммуникационную сеть необходимо осущест­влять автоматический входной контроль всех данных, поступающих по сети, кото­рый выполняется сетевым экраном (брандмауэром), принимающим па­кеты из сети только от надежных источников. Рекомендуется проверять всю элек­тронную почту на наличие вирусов, а почту, полученную от неизвестных ис­точников, удалять не читая. Для исключения проникновения вирусов через съемные носители необходимо ограничить число пользователей, которые мо­гут записывать на жесткий диск файлы и запускать программы со съемных носителей (обычно это право дается только администратору системы). В обя­зательном порядке при подключении съемного носителя его следует про­ве­рять специальной антивирусной программой.

Для обнаружения и удаления компьютерных вирусов разработано много различных программ, которые позволяют обнаруживать их и уничтожать («ле­чить» зараженные ресурсы). Антивирусные программы, выявляю­щие известные компью­терные ви­русы, на­зываются сканерами или детекто­рами. Эти программы проверяют, имеется ли в файлах на указанном пользо­вателем диске специфическая для данного вируса комбинация байтов (выяв­ляют компьютерный вирус по уникальному фрагменту программного кода - «сиг­натуры ви­руса»). При этом про­граммы, включающие функции восста­новле­ния заражен­ных файлов, называют фагами и полифагами (по­следние служат для об­на­ру­жения и уничтожения большого количества разнообраз­ных виру­сов). При­мером сканера-полифага является знакомая программа Aidstest. Сканеры принято разделять на:

· транзитные, периодически запускаемые для выявления и ликвидации виру­сов, т.е. «сканирование по запросу» («on-demand»);

· резидентные (постоянно находящиеся в оперативной па­мяти), проверяю­щие за­данные области памяти системы при возникновении некоторых со­бы­тий (на­при­мер, проверка файла при его копировании или переиме­нова­нии). Эти про­граммы осущест­вляют так называемое «сканирование на лету» - посто­ян­ную проверку на вирусы объек­тов, к ко­торым происхо­дит обращение. В этом ре­жиме антивирус посто­янно активен, он присут­ствует в памяти «резидентно» и про­веряет объ­екты без за­проса пользователя.

Недостатком сканеров является то, что они позво­ляют обнаружить из­вест­ные ви­русы (для их эффективной работы надо оперативно попол­нять базу данных сканирования). Некоторые вирусы (например, му­танты) видо­изме­няют свой про­граммный код. Это затрудняет или исклю­чает воз­мож­ность об­наружения вирусов методом скани­рования.

Наиболее эффективным методом выявления и лик­видации неизвестных виру­сов является контроль целостно­сти системы (обнаружение изменений). Данный ме­тод заключа­ется в проверке и сравнении текущих параметров вы­числитель­ной сис­темы с эталонным, соответствующим ее незараженно­му со­стоянию. Для реализации указанных функций используются програм­мы, на­зы­ваемые ревизорами. Работа ре­визора состоит из двух этапов: фиксирова­ние эталонных характеристик вычисли­тельной системы (в основном диска) и пе­риодическое сравнение их с те­кущими ха­рактеристиками (к ним отно­сятся: контрольная сумма, длина, время, ат­рибут «только для чтения» файлов, де­рево каталогов, сбойные класте­ры, за­грузоч­ные сектора дисков). Ревизоры, как и сканеры, делятся на транзитные и рези­дентные.

К недос­таткам ревизоров (в первую очередь резидентных) от­носят соз­давае­мые ими всякие неудобства в работе пользователя (многие изме­нения пара­метров системы, например, могут быть вызваны не вирусами, а рабо­той систем­ных программ или дейст­виями пользователя-програм­миста). Ре­ви­зоры обеспечи­вают высокий уро­вень выявления неиз­вестных компьютер­ных ви­русов, однако они не всегда обеспечи­вают корректное лечение зара­жен­ных файлов (примером ре­визора явля­ется программа ADinf фир­мы «Диа­лог­Наука»).

Разновидностью контроля целостности системы является ме­тод про­грамм­ного самоконтроля, именуемый вакцинацией (антивирусные про­граммы вакцины). Идея метода состоит в модифи­кации за­щищаемой про­граммы таким образом, что это не отража­ется на ее ра­боте, но ви­рус, от ко­торого производится вакцина­ция, считает ее уже зара­жен­ной и не внедря­ется.

Помимо статистических методов контроля целостности, для выявле­ния неиз­вестных и маскирующихся вирусов используют­ся эвристические ме­тоды. Они по­зволяют выявить (по характерным для вирусов кодовым по­сле­дователь­ностям, оп­ределенным в базе знаний системы) неизвестные ви­русы. Про­граммный мо­дуль, реализующий эвристический метод обнару­же­ния виру­сов, называют эвристическим анализатором (примером сканера с эв­ри­стиче­ским анализатором является про­грамма DrWeb фирмы «Диа­лог­Наука»). К не­дос­таткам эвристических анализаторов можно отнести ложные срабатывания и пропуск вирусов. Соотношение указанных ошибок зависит от уровня эври­стики. Понятно, что если для обнаруженного эври­стическим ана­лизато­ром компьютерного вируса сигнатура в базе данных сканирова­ния от­сутствует, то лечение зараженных данных может быть не­корректным.

Блокировкапроявления ви­русов предназначена для защиты от деструк­тив­ных действий и размножения компьютерных вирусов, которым удалось преодо­леть первые два уровня защиты (поиск и уничтожение из­вестных и не­извест­ных виру­сов). Методы блокировки основаны на перехвате характер­ных для вирусов функ­ций. Известны два вида указан­ных антивирус­ных сред­ства:

· программы-фильтры;

· аппаратные средства контроля.

Программы-фильтры (называемые также резидентными сто­рожами и мо­ниторами) постоянно находятся в оперативной па­мяти и перехватывают за­данные прерывания с целью контроля подозрительных действий. При этом они могут бло­кировать «опасные» действия или выдавать запрос пользова­телю (как и ревизоры, фильтры часто создают определенные неудобства в работе поль­зователя).

Встроенные аппаратные средства ПК обеспечивают контроль модифи­кации системного загрузчика и таблицы разделов жест­кого диска, находя­щихся в главном загрузочном секторе диска. Включение указанных возмож­ностей в ПК осуществля­ется с помощью программы Setup, расположенной в ПЗУ.

Наиболее полная защита от вирусов может быть обеспечена с помо­щью специ­аль­ных контроллеров аппаратной защиты. Такой контроллер подключа­ется к ISA-шине ПК и на аппаратном уров­не контролирует все об­ращения к дисковой подсис­теме компью­тера. Это не позволяет вирусам мас­кировать себя. Контроллер может быть сконфигурирован так, чтобы контро­лировать отдель­ные файлы, логические разделы, «опасные» опера­ции и т.д. Примером специ­альных контроллеров аппарат­ной за­щиты явля­ется плата Sheriff предприятия Фом-Софт.

Одним из наиболее популярных у российских пользователей (и распро­страненных) антивирусных средств является сис­тема AVP, соз­данная в Рос­сии «Лабораторией Касперского», первоначально представлявшая тандем двух программ: сканера и ревизора. В настоя­щее время AVP пре­тер­пела су­щественные усовершенствова­ния и включает все основные элементы анти­вирусной программной защиты компьютера и ло­каль­ной сети (неодно­кратно вхо­дила в тройку наилучших в мире антиви­русных про­дуктов поиска и уда­ления ком­пьютерных вирусов в автономном компьютере). Сис­тема AVP со­четает уникальную функциональность, добротный пользовательский интер­фейс и высокий уровень защиты от вирусов. Она охватывает все возможные источники проникновения вирусной угрозы – съемные и постоянные файло­вые носители, электронную почту и Интернет. Использование «Антивируса Касперского» обеспечивает полное восстановление работоспособности сис­темы при вирусной атаке.

Весьма популярным также является антивирусный пакет Doctor Web для Windows 2000/XP, который представляет собой комбинацию антивирусного сканера Doctor Web (одного из самых совершенных в мире эвристических анализаторов) и резидентного сторожа Spider Guard (интегрированного в ОС компьютера). Этот пакет (в сочетании с ежедневно обновляющимися вирус­ными базами), является надежной защитой от вирусов всех классов.

Другие меры безопасности

Основной задачей защиты информации в компьютерных системах явля­ется предотвращение несанкционированного доступа к аппаратным и про­граммным средствам. Он может быть реализован при выполнении следую­щего комплекса мероприятий:

· идентификации и аутентификации пользователей;

· разграничение доступа к компьютерным системам;

· мониторинга несанкционированных действий;

· криптографические методы сокрытия информации;

При входе в компьютерную систему (при получении доступа к програм­мам и кон­фиденциальным данным) пользователь должен быть идентифици­ровани аутентифицирован. Эти две операции обычно выполняются вместе, т.е. пользователь сначала сообщает сведения, позволяющие выделить его из множества субъектов (идентификация), а затем сообщает сек­ретные сведе­ния, подтверждающие, что он тот, за кого себя выдает (аутентификация).

Для аутентификации субъекта чаще всего используются атрибу­тивные идентификаторы, которые делятся на следующие категории:

· пароли;

· съемные носители информации (гибкий диск, флэш-память);

· электронные жетоны (специальные переносные электронные устройства, подключаемые к стандартным входам);

· пластиковые карты (предполагают наличие технических средств, храня­щих идентификационную информацию);

· механические ключи.

Для идентификации и аутентификации часто используется стан­дартный гибкий диск или флэш-память. Достоинства такого иден­тификатора заклю­чаются в том, что не требуется использования до­полнительных аппаратных средств и кроме идентификационного кода на носителе может храниться и другая информация, например, контроля целостности информации, атрибуты шифрования и др. К недостатку способа идентификации и аутентификации с помощью дополнительного съемного устройства можно отнести воз­мож­ность его потери или хищения.

Одним из надежных способов аутентификации является биомет­риче­ский принцип, использующий некоторые стабильные биометри­ческие пока­затели пользователя, например, отпечатки пальцев, ри­сунок хрусталика глаза и др., однако для этого требуются специальные устройства, которые устанав­лива­ются на компьютерной системе высших уровней защи­ты.

Возможность доступа к программно-аппаратным средствам обычно вы­ясняется на уровне операционной системы (определяется архитектурой опе­рационной системы) и текущей политикой безопасности (определяется со­вокупностью правил о наличии или отсутствии пра­в доступа). Существует несколько моделей разграничения доступа. Наиболее распространенными являются дискреционная модель разграничения доступа и полномочная (мандатная) модель разграничения доступа.

В дискреционной модели для определения прав доступа используется мат­рица доступа, в каждой ячейке которой хранится набор прав доступа дан­ного субъекта к данному объекту (типичный объем матрицы доступа для современ­ной операционной системы составляет десятки мегабайт).

Допуск субъекта к объекту в полномочной модели разрешен только в том случае, если субъект имеет значение уровня допуска не менее, чем зна­чение грифа секретности объекта. Достоинством этой модели яв­ляется отсут­ствие необходимости хранить большие объемы инфор­мации о разграничении доступа. Каждый субъект хранит только зна­чение своего уровня доступа, а каждый объект - значение своего грифа секретности.

Политика безопасности предполагает мониторинг (контроль) за рабо­той компьютер­ной системы и ее компонентов, который заключается в фик­сировании и по­следую­щим анализе событий в специальных журналах - жур­налах аудита. Периодически журнал просматривается администратором опе­раци­онной сис­темы или специальным пользователем - аудитором, кото­рые анализируют сведения, накопленные в нем. Для обеспечения надежной за­щиты операци­онной системы в журнале должны регистрироваться следую­щие события:

· попытки входа/выхода пользователей из системы;

· попытки изменения списка пользователей;

· попытки изменения политики безопасности.

Окончательный выбор набора событий, фиксируемых в журна­ле, возла­гается на аудитора и зависит от специфики информации, обрабатываемой системой. Слишком большой набор регистрируемых событий не повышает безопасность, а уменьшает, так как среди мно­жества записей можно про­смотреть записи, представляющие угрозы безопасности.

Криптографические методы являются наиболее эффективными средст­вами защиты информации в компьютерных системах (при передаче же по протя­женным линиям связи они являются единственным реальным сред­ст­вом предотвращения несанкционированного доступа к ней). Метод шифро­вания характеризуется показателями надежности и трудоем­кости. Важней­шим показателем надежности криптографического зак­рытия информации яв­ляется его стойкость - тот минимальный объем зашифрованного текста, ко­торый можно вскрыть статистичес­ким анализом (стойкость шифра опреде­ляет допус­тимый объем информации, зашифровываемый при использовании одного ключа). Трудоемкость метода шифрования определяется числом эле­мен­тарных операций, необходимых для шифрования одного символа исход­ного текста.

Шифрование заменой. Символы шифруемого текста заменяются дру­гими символами, взятыми из одного или нескольких алфавитов. Наиболее простой метод - прямая замена символов шифруемо­го сообщения другими буквами того же самого или другого алфави­та. Однако такой шифр имеет низкую стойкость. Зашифрованный текст имеет те же самые статистические характеристики, что и ис­ходный, поэтому, используя частотный словарь по­явления символов в том языке, на котором написано сообщение, и подбирая по часто­там появления символы в зашифрованном сообщении, можно вос­становить таблицу замены. Для этого требуется лишь достаточно длинный зашифрованный текст. Поэтому простую замену используют лишь в том слу­чае, когда шифруемое сообщение доста­точно коротко. Использование не­скольких алфавитов для подстановок повышает стой­кость шифра, причем смена алфавитов проводится последовательно и цик­лически: первый символ заменяется соот­ветствующим символом первого алфавита, второй - из вто­рого алфавита и т.д., пока не бу­дут исчерпаны все алфавиты. После этого ис­пользование ал­фавитов повторяется.

Шифрование методом перестановки. Этот метод заключается в том, что символы шифруемого текста переставляются по определенным правилам внутри шифруемого бло­ка символов. Этот метод более стоек.

Методы шифрования, использующие ключи. Эти методы предпола­гают знание ключа при шифровании и де­шифровании. При этом важной за­дачей является безопасная пере­дача ключа, который тоже шифруется. Учи­тывая короткую длину фразы, содержащей ключ, стойкость шифра ключа значительно выше, чем у основного текста. Методы, которые используют для шифрования и дешифрования один и тот же ключ, называ­ются симметрич­ными. Методы же, которые используют для шифрования один ключ, а для дешифрования – другой, называют асимметричными мето­дами криптоза­щиты или системы защиты с открытымключом.

Для шифрования паролей пользователей и при создании электронной под­писи широко используются хэш-функции. Они отображают сообщение лю­бой длины в строку фиксированного размера. Особенностью ее примене­ния является тот факт, что не су­ществует функции, которая могла бы по сжа­тому отображению вос­становить исходное сообщение, - это односторонняя хэш-функция.

При обмене электронными документами очень важным являет­ся уста­новление авторства, подлинности и целостности информации в полученном документе. Решение этих задач возлагается на цифро­вую подпись, сопрово­ждающую электронный документ. Функцио­нально она аналогична обычной рукописной подписи и обладает ее основными достоинствами:

· удостоверяет, что подписанный текст исходит от лица, поставив­шего под­пись; .

· не дает лицу, подписавшему текст, отказаться от обязательств, связанных с подписанным текстом;

· гарантирует целостность подписанного текста.

Электронная цифровая подпись представляет собой относитель­но не­большое количество дополнительной информации, передавае­мой вместе с документом. Обычно цифровая подпись шифруется с применением методов открытого ключа и связывает содержимое до­кумента, самой подписи и пары ключей. Изменение хотя бы одного из этих элементов делает невозможным подтверждение подлинно­сти цифровой подписи.

На этапе формирования цифровой подписи генерируются два ключа: секретный и открытый. Открытый ключ рассылается всем абонентам, кото­рым будет направлен электронный документ. Под­пись, добавляемая к доку­менту, содержит такие параметры отправи­теля, как дату подписи, информа­цию об отправителе письма и имя открытого ключа. С помощью хэш-функ­ции, примененной ко всему документу, вычисляется небольшое число, ха­рактеризующее весь текст в целом. Это число, которое затем шифруется за­крытым клю­чом, и является электронной цифровой подписью. Получателю пе­ресылается сам документ в открытом виде и электронная подпись. При проверке цифровая подпись расшифровывается открытым клю­чом, извест­ным получателю. К полученному открытому документу применяется преоб­разование хэш-функцией. Результат ее работы сравнивается с присланной электронной подписью. Если оба числа совпадают, то полученный документ - подлинный.