Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Оглавление

Введение

1. Вредоносные программы: понятие, признаки, классификация

2. Каким образом компьютер заражается и как распознать, что он заражен

3. Разнообразие компьютерных вирусов

4. Методы борьбы с вредоносными программами

5. Классификация антивирусных программ

Заключение

Список использованной литературы



Введение

Актуальность данной темы. Вредоносная программа - это специально разработанная программа, способная делать собственные копии и запускающая их в ресурсы систем. Пользователь замечает это, когда нарушается работа его техники, не запускаются какие-то приложения, перестает работать компьютер. Мир этих вредоносных программ до сих пор еще не изучен. Постоянно появляются новые и более совершенные вредители. Даже опытные сисадмины часто не знают, как они распространяются и что собой представляют. Антивирусные программы пытаются с ними бороться, их тоже постоянно улучшают. Каждый новый вирус - это новая работа для тех программистов, которые помогают защищать наши компьютеры.

В настоящее время имеется около тысячи видов вредоносных программ. Учитывая тот факт, что каждый из них существует в нескольких модификациях, нужно увеличить это число в 5--10 раз Большинство распространяется одним из двух методов: заражая файлы или загрузочные сектора.

Файлы данных не могут быть заражены вирусом. Однако существуют так называемые макровирусы, которые распространяются с помощью файлов шаблонов.

В Internet существует значительное количество «мнимых» вирусов.

Защититься от вирусов не так уж сложно. Для этого создано огромное количество антивирусных программ, в основном с одинаковыми функциями.

Целью данной курсовой работы является анализ вредоносных программ компьютера.

Для достижения поставленной цели необходимо решить следующие задачи:

1 Дать определение понятию вредоносной программы;

2 Определить признаки компьютерной вредоносной программы;

3 Проанализировать разнообразие вредоносных программ;

4 Выявить методы борьбы с вредоносными программами;

5 Показать классификацию антивирусных программ.



1. Вредоносные программы: понятие, признаки, классификация

Вредоносные программы (Malware -- сокращение от «malicious software») - любое программное обеспечение, специально созданное для того, чтобы причинять ущерб компьютеру, серверу или компьютерной сети, хранящимся на них данным, независимо от того, является ли оно вирусом, трояном, сетевым червем и т. д.

Ботнеты Ботнет (от анг. botnet) - обозначения группы программ, или ботов, способных работать самостоятельно в автономном режиме. Термин часто ассоциируется с вредоносными программами, но может применяться и для вполне легитимных распределенных вычислений.

Бэкдоры Бэкдор (backdoor от англ. back door, чёрный ход) -- программа или набор программ, которые устанавливает взломщик на компьютере жертвы после получения первоначального доступа к ней.

Руткиты Rootkit (руткит, от англ. root kit, то есть «набор root'а») - это программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

Сетевые черви Сетевые черви -- разновидность вредоносных программ, самостоятельно распространяющихся через локальные и глобальные компьютерные сети.

Трояны Троянская программа (также -- троян, троянец, в анг. - trojan) -- программа, используемая злоумышленником для сбора информации, её разрушения или модификации, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях.

Эксплоит (Exploit), HackTool. К данной категории относят утилиты, предназначенные (особенно касается эксплоитов) для выполнения произвольного кода либо DOS (Denial of Service - отказ в обслуживании) на удаленной системе. Эксплоит - как правило, программа на C++, PHP либо Perl-сценарий, использующий уязвимость операционной системы либо приложения, установленного на атакуемом компьютере.

HackTool - более широкое понятие, подразумевающее какой-либо инструмент, используемый хакером для взлома. Constructor - конструкторы вирусов и троянских коней. Программы подобного типа способны генерировать как исходные тексты вирусов, так и непосредственно сами исполняемые файлы. Как правило, инструменты подобного рода включают в себя модули самошифровки, противодействия отладчику и другие инструменты против обнаружения антивирусной программой.

FileCryptor, PolyCryptor - сокрытие от антивирусных программ. К данной категории относят утилиты, способные шифровать вирусный код, делая его неузнаваемым со стороны антивирусных программ (более подробно о сокрытии вирусного кода смотрите в категории «Анталогия сокрытия вирусного кода»).

Nuker - фатальные сетевые атаки. Утилиты данного типа способны организовать удаленный отказ в обслуживании системы (DOS) путем отправки на удаленный хост специальным образом сформированного запроса (серии запросов). Как пример - SMBDie, реализующий уязвимость службы NetBios.

Bad-Joke, Hoax - злые шутки, введение пользователя в заблуждение. К данной категории относят, по сути, безвредные программы, способные выводить различного рода неординарные сообщения (например, о форматировании диска, хотя никакого форматирования на самом деле не происходит). Заключение Распространение вирусов нынче стало большим бизнесом. Зачастую вирусы пишут на заказ под лозунгом «Вирусы на любой вкус и цвет уничтожат целый Свет!».

Вирусы. Компьютерный вирус -- разновидность компьютерной программы, отличительной особенностью которой является способность к размножению (саморепликация). Вирус может повреждать или полностью уничтожать данные на компьютере жертвы, от имени которого он был запущен.

Полиморфные вирусы - Полиморфные вирусы представляют собой определённые вредоносные программные продукты, которые после очередного «заражения» ПК жертвы образует свой новый алгоритм, т.е полностью перевоплощается в «новую версию» самого себя же. Поэтому данный вид из-за этого своего свойства получило такое наименование, заимствованное из химической терминологии, и поэтому данный вид вирусов стал очень трудным для обнаружения для многих антивирусных систем и программных продуктов. Что бы эффективно бороться с такими вирусами у антивирусных средств должны быть некоторые эмуляторы и специальные алгоритмы, написанные специально под эти вирусы и ограничивающие их действия Что такое компьютерные вирусы, и как они работают [Электронный ресурс]: http://www.frolov-lib.ru/books/step/v05/ch1.htm#_Toc152503451..

Хорошие и свежие вирусы, которые не определяются антивирусами и способны обходит системы превентивного контроля (IDS/NIDS/IPS) стоят очень дорого и направлены на кражу исключительно корпоративной (тайной) коммерческой информации. Все же остальные вирусы циркулирующие в сети пишутся в основном пакостниками-энтузиастами, целью которых также является цель наживы, но, в большинстве случаев такое вредоносное ПО несёт больше разрушительный характер нежели коммерческий и при условии наличия в системе вменяемого администратора с прямыми руками можно защитится от любых вирусов, в том числе и от вирусов, написанных на заказ. Главное, что следует помнить в любой системе не должно быть сразу несколько администраторов! Администратор может быть только один и если к системе имеет доступ сразу несколько администраторов, то система заранее считается скомпрометированной!

Исторически вирусом называется любая программа, заражающая выполняемые или объектные файлы. Программу, воспроизводящую себя без ведома пользователя, также можно отнести к вирусам. Чаще всего вирус помещает свое тело в программном файле так, чтобы он активизировался при каждом запуске программы. Кроме того, вирусы могут поражать загрузочный сектор жесткого или флоппи-диска, помещенного в дисковод зараженного компьютера. Перенос своего тела на дискеты и жесткие диски является для вируса гарантией того, что он будет запущен при каждом включении системы. Ниже я расскажу о некоторых других способах распространения вирусов.

2. Каким образом компьютер заражается и как распознать, что он заражен

Большинство вирусов инфицируют файлы путем переноса своего тела внутрь жертвы. Однако в связи с созданием все более искусных антивирусных программ, разработчики вирусов изменили стратегию. Теперь, прежде чем заразить очередной файл, вирус изменяет свое тело. Выбрав жертву, вирус копирует себя из памяти компьютера внутрь заражаемого файла. Процесс заражения файла практически одинаков у всех вирусов.

Например, простейшие вирусы заражают файлы следующим образом:

1. Прежде всего пользователь должен загрузить зараженный файл в память компьютера. Этот файл может попасть в компьютер с помощью флоппидиска, локальной сети или через Internet. После его запуска вирус копирует себя в память компьютера

2. Разместившись в памяти, вирус ожидает загрузки следующей программы. Не правда ли, это очень напоминает поведение живых микроорганизмов, ожидающих появления нового «хозяина».

3. После запуска следующей программы вирус помещает свое тело внутрь жертвы. Кроме того, вирус помещает свое тело и внутри копии программы, хранящейся на диске.

4. Вирус продолжает заражать программы до тех пор, пока не заразит их все или пока пользователь не выключит компьютер. Тогда расположенный в его памяти вирус пропадает. Однако для него это не так уж и страшно -- ведь он расположен внутри зараженных файлов, хранимых на диске.

5. После включения компьютера и загрузки зараженной программы вирус снова начинает свою «невидимую» жизнь в памяти системы. И так до бесконечности. Приведенная выше модель работы вируса упрощена. На самом деле существуют и такие вирусы, которые сохраняются на жестком диске так, чтобы быть загруженными в память при каждом запуске операционной системы. Некоторые вирусы умеют прятаться внутри сжатых файлов. Более того, некоторые вирусы умеют заражать системы с помощью текстового процессора. Однако важно уяснить, что вирус заражает машину только в том случае, если вы запускаете инфицированную программу. Даже вирусы, паразитирующие на текстовых процессорах, для своей активизации требуют выполнения специальной программы -- макрокоманды Точки входа вируса [Электронный ресурс]: http://www.viruslab.ru/security/types_malware/virus/technical_data/date_1.php.

Как будет сказано далее, некоторые вирусы не могут быть обнаружены даже самыми лучшими антивирусными программами. В качестве дополнительных средств защиты нужно поставить грамотность пользователя. Далее приводится список общих признаков заражения:

1. Программы стали загружаться медленнее.

2. Файлы появляются или исчезают.

3. Размерь программы или объекта изменяются по непонятным причинам.

4. На экране появляется необычный текст или изображения.

5. Элементы экрана выглядят нечеткими, размытыми.

6. Сам по себе уменьшается объем свободного места на жестком диске.

7. Команды CHKPSK и SCANDISK возвращают некорректные значения.

8. Имена файлов изменяются без видимых причин.

9. Нажатия клавиш сопровождаются странными звуками.

10. Доступ к жесткому диску запрещен.

Существует несколько различных классов (или типов) вирусов.

Вирусы каждого из классов используют различные методы воспроизведения. К наиболее известным классам относятся троянские кони, полиморфные вирусы и неполиморфные шифрующиеся вирусы, стелс-вирусы, медленные вирусы, ретро-вирусы, составные вирусы, вооруженные вирусы, вирусы-фаги и макровирусы «Глюки», сбои и ошибки компьютера. Решаем проблемы сами (Д. М. Жуховцев, Р. Г. Прокди, М. А. Финкова) [2013, Компьютерная литература, DjVu, Отсканированные страницы].

Компьютерные вирусы -- это не выдумка. Специалисты утверждают, что только пять процентов всех вирусов могут вызвать серьезные неполадки в аппаратном обеспечении или крах операционной системы. Но несмотря на это они все же могут представлять очень серьезную опасность для компьютера. Большинство «электронных инфекций» только тем и занимается, что воспроизводит себя. Их главная задача-выжить, а не нанести вред системе. Однако это совсем не значит, что нужно забыть об их существовании. Запомните: «безобидных» вирусов не существует.

3. Разнообразие компьютерных вирусов

Подобно комарам, компьютерные вирусы, кажется, будут досаждать нам вечно. Поэтому стоит познакомиться с ними поближе и научиться отличать настоящий вирус от неполадок в системе. Запомните одну несложную истину: с вирусами можно и нужно бороться. Большая часть литературы, посвященной антивирусному программному обеспечению, запугивает простых пользователей «десятками тысяч» компьютерных вирусов, странствующих по Internet. На самом деле их количество не превышает тысячи. Дело в том, что разработчики считают каждую модификацию одного и того же вируса новым вирусом. Благодаря этому наша тысяча разрастается до «десятков тысяч». Дополним все вышесказанное одним небольшим примером. Компьютерный; -вирус Marijuana первоначально выводил на экране слово «legalise». (В английском языке это узаконивать, легализировать.) Затем автор вируса исправил свою ошибку, и вирус начал выводить на экран слово «legalize». При этом текст вируса абсолютно не изменялся. Однако разработчики антивирусов посчитали исправленный вирус за абсолютно новый. Благодаря этому они могут смело говорить о «тысячах и тысячах» существующих вирусов.

В Web расположено несколько сайтов с прекрасной информацией о компьютерных вирусах. Одним из них является сайт Joe Wells' WildLists, расположенный по адресу http://www.virusbtn.com/WildLists/. Бывший работник корпорации Symantec Джо Уэллс (сейчас он работает консультантом в компании IBM) включил в эти списки Все наиболее распространенные в настоящее время вирусы. Ассоциация NCSA (National Computer Security Association) использует списки Уэллса для оценки качества антивирусных программ. Чтобы удовлетворить запросам NCSA, программа должна обнаруживать все перечисленные в этом списке вирусы. Отметим, что этот список обновляется каждый месяц.

При разработке антивирусной стратегии компании следует помнить, что большинство вирусов не распространяется с помощью Internet. Наоборот, основными путями распространения вирусов являются продаваемое программное обеспечение, системы электронной почты в изолированных и университетских локальных сетях, а также дискеты, используемые служащими в их домашних компьютерах. Многие компании, предоставляющие пробные версии своих программ, тщательно проверяют копии на наличие вирусов. Мне редко приходилось встречаться со случаями заражения компьютеров через загруженные пробные версии программ или другое профессиональное программное обеспечение. С другой стороны, известны сотни случаев, когда продавцы-посредники поставляли своим клиентам зараженные диски. Если учесть все типы программ, которые могут быть заражены вирусами, то количество пострадавших таким образом покупателей составляет сотни тысяч. Кроме того, существует опасность заражения машины через программное обеспечение, поставляемое вашим местным продавцом ПО. Такие продавцы обычно не проверяют дискеты на наличие вирусов. Вся их работа заключается в перемещении дискет основного поставщика в свои фирменные упаковки. Если же кто-то уже использовал эти дискеты на зараженном компьютере, то с большой долей вероятности можно утверждать, что эти диски уже заражены. Чтобы избежать подобных проблем, многие компании (включая и Microsoft) начали запаковывать отдельные дискеты и только затем помещать их в коробки.

Хозяева сайтов, электронных досок объявлений, а также авторы программного обеспечения не желают потерять свое место под солнцем из-за каких-то вирусов. Поэтому любой разработчик Web-сайта (Web-master), желающий и дальше иметь прибыль от своей работы, должен тщательно проверять каждый файл на наличие троянских коней, стелс-вирусов и т. д. Конечно же, это ни в коей мере не освобождает вас от проверки программ, загружаемых с помощью Internet. Однако еще раз напомним, что большинство вирусов поступает через дискеты, поэтому вы должны уделять основное внимание их проверке. Стоит все же отметить, что в последнее время возросло количество вирусов, распространяемых с помощью Internet. Немалую роль в этом сыграло и открытие макровирусов.

Корпоративные системы электронной почты доставляют много хлопот системным администраторам. Приведу следующий пример. Не так давно появился один из самых известных «мнимых» вирусов -- вирус Good Times. Предполагалось, что он распространяется с помощью сообщений электронной почты. Вирусу приписывались самые невероятные способности. В частности, указывалось, что он «…разрушает центральный процессор с помощью использования бесконечного цикла n-ой степени сложности». Так как многие пользователи не понимают, как распространяются вирусы, то вирус Good Times довольно скоро стал известен во всем мире. На самом деле обычные текстовые сообщения электронной почты не могут содержать никаких вирусов. Дело в том, что текстовые сообщения относятся к файлам данных, которые не являются программами и не могут выполняться на машине. Как мы помним, вирусы могут заражать только исполняемые программы (не считая макровирусов). То же самое можно сказать практически обо всех сообщениях электронной почты. Однако у вас, наверное, уже случались такие ситуации, когда файл с данными на самом деле оказывался исполняемым файлом. Некоторые Web-броузеры и диалоговые служебные программы (вроде America Online) выполняют программы сразу после их загрузки.

Гораздо чаще пользователям приходится иметь дело с пересылкой файлов данных текстовых процессоров (например, документы Microsoft Word). Однако благодаря недавним разработкам в области текстовых процессоров эти файлы перестали быть просто файлами данных. В большинстве случаев такие файлы содержат внедренные макрокоманды, с помощью которых можно существенно ускорить работу. На самом деле макрокоманда является некоторой разновидностью программ. Благодаря этому стало возможным создание макровирусов. Макровирус -это макрокоманда, которая воспроизводит себя в каждом новом документе. Большинство современных макровирусов не представляют собой большой опасности. Однако потенциально они обладают огромными возможностями. Дело в том, что макрокоманды обладают доступом к набору операций, с помощью которых можно производить различные (в том числе и разрушительные) действия в системе. Например, с помощью макрокоманды можно удалить с жесткого диска системные файлы.

Примерная схема заражения пользователей сайта:

Вирус - эксплойт внедряется в браузер пользователя(находит уязвимость).

На компьютер «жертвы» (компьютер пользователя на который происходит атака) устанавливается троянская программа-загрузчик.

Троянская программа-загрузчик подгружает основное вредоносное ПО (может состоять из нескольких троянских программ разных классов).

При заражении сайта, вирус наносит серьёзнейший ущерб репутации сайта и его владельцам.

Как избежать заражения сайта:

- Существенно снизить риск заражения вирусами можно, соблюдая простые правила безопасности;

- Не передавайте пароли посторонним лицам;

- Если Вы по необходимости передали пароль постороннему лицу (например, разработчику сайта), немедленно после окончания работ измените пароль;

- Меняйте пароли на ftp и к панели управления, даже если не было признаков компрометации пароля и каждый раз в случае компрометации пароля (то есть в ситуации, когда пароль стал известен или мог стать, известен посторонним лицам, в том числе - при увольнении работника);

- Никогда не вводите пароль с чужих компьютеров, особенно - с компьютеров в Интернет-кафе и в других публичных местах доступа;

- Установите на своих компьютерах антивирусное программное обеспечение (Антивирус), регулярно обновляйте его, ограничьте число компьютеров, с которых осуществляется работа с сайтом;

- Ограничьте права доступа к файлам Вашего сайта: нормальный режим доступа к файлам - в обозначениях unix, то есть полный доступ только для владельца, всем остальным - только чтение;

- Установка таких прав снизит опасность заражения через уязвимости.



1. Схема заражения пользователей сайта

«Глюки», сбои и ошибки компьютера. Решаем проблемы сами (Д. М. Жуховцев, Р. Г. Прокди, М. А. Финкова) [2013, Компьютерная литература, DjVu, Отсканированные страницы]

Наилучшим методом защиты от вирусов, передаваемых с помощью электронной почты, является установка на каждом компьютере надежного антивирусного программного обеспечения. Для защиты от макровирусов вам, возможно, понадобится пересмотреть свою стратегию защиты. В частности, вы должны будете рассказать всем своим пользователям о том, что такое макровирус, и попросить их проверять все приходящие документы.

Практически у каждого создателя вирусов есть свой собственный, оригинальный метод заражения ЕХЕ-файлов. Здесь я расскажу о наиболее простом методе. Прежде всего вирус создает в памяти дополнительную область для своего размещения. После этого он прочитывает заголовок ЕХЕ-файла и переделывает его так, чтобы он содержал информацию и о месте в памяти, занимаемом вирусом. С этого момента и начинается процесс заражения программы.

Далее приводятся действия вируса, проникшего в ЕХЕ-файл:

1. Вирус считывает текущий заголовок файла и сохраняет его для дальнейшего использования. В этом заголовке хранится информация о длине файла, значении контрольной суммы и т.д.

2. После этого вирус определяет, какое количество памяти он должен прибавить к текущему размеру файла, чтобы разместить там свое тело.

3. Вирус копирует свое тело в файл. Размер вируса и внесенных им изменений в заголовок файла составляют сигнатуру вируса.

4. Вирус снова записывает информацию заголовка в программу. Теперь заголовок содержит информацию о месте, занимаемом вирусом.

5. Вирус сохраняет измененную программу на диске,

Описанный выше тип вирусов называется вирусом-паразитом. Вирус-паразит добавляет свое тело к программе и после этого продолжает свою жизнь наравне с программой. Если же вы удалите инфицированный файл, то вместе с ним исчезнет и вирус. Кроме вирусов-паразитов существуют так называемые загрузочные вирусы, размещающие свое тело в подпрограмме загрузки операционной системы. Этот тип вирусов совершенно отличен от вирусов-паразитов. Дело в том, что загрузочные вирусы паразитируют не на исполняемых программах, а на самой операционной системе.

4. Методы борьбы с вредоносными программами

Для того, чтобы как-то противодействовать вирусу, в первую очередь необходимо отыскать его. Проблема заключается в том, что с точки зрения рядового пользователя он (вирус) ничем не отличается от обычной программы (если речь идет о трояне или черве), ну, а если речь идет о файловом вирусе, который заражает исполняемый файл? Тут даже опытный пользователь окажется бессилен (хотя, стоит заметить, подобные вирусы утратили свою актуальность на сегодняшний день и встречаются все реже, но об этом позже).

А теперь, собственно, попытаюсь изложить суть этого старого, но достаточно действенного метода обнаружения вирусов. Представьте, что вы являетесь следователем, прибывшим на место преступления. С чего начинается каждое расследование? Правильно, с поиска отпечатков пальцев! Думаю, для вас не является секретом, что отпечатки пальцев каждого человека уникальны, и шансы встретить подобные отпечатки пальцев у других людей стремятся к нулю. Зная, кому принадлежат эти отпечатки, мы с легкостью можем вычислить преступника. На схожем принципе и основан так называемый «сигнатурный» поиск вирусов.

Когда новый вирус попадает в руки исследователей, в первую очередь они выделяют «сигнатуру» -- определенную последовательность байт, соответствующую конкретному вирусу (или семейству вирусов), после чего добавляют ее в антивирусную базу (конечно, не забывая добавить способ лечения и ли просто удаления зараженного файла) и с успехом начинают использовать для детектирования/удаления зловреда путем проверки всех файлов, хранящихся на жестком диске. Как вы могли понять, все достаточно просто, но именно эта методика остается одной из основных применяемых в антивирусах. В итоге мы имеем механизм, позволяющий отловить довольно большую долю вирусов. Но несмотря на это у нее все же есть недостатки. Одним из основных является необходимость постоянного обновления баз сигнатур -- думаю здесь все очевидно. Как уже ранее говорилось, сигнатура -- это последовательность байт, характерная для конкретного файла. А что будет, если несколько байт из этой последовательности будут изменены или вообще исключены? Как поведет себя антивирус? В такой ситуации все зависит от совести тех людей, которые разрабатывали движок антивируса. Если они подошли к этому процессу с умом и не халтурили, то, по идее, нас должны предупредить, что файл является подозрительным или же является модификацией какого-либо вируса. Но, к сожалению, такое бывает достаточно редко, и большинство современных продуктов, нацеленных на защиту от данного вида угрозы, не справляются с подобной задачей, что грозит заражением компьютера. Имена тех продуктов, которые подвержены данной «болезни», в целях антирекламы называть не буду, но, поверьте, это одни из самых популярных продуктов в России/Европе/Америке.

С ростом числа вирусов росло число антивирусов -- таким образом, рано или поздно новые вариации вредоносных программ попадали во все антивирусные базы! Одним из переходных моментов стало появление первых полиморфных вирусов -- вредоносных программ, способных при своем размножении частично изменять(в различной степени) свое тело (ну, это не совсем точно сказано -- на самом деле речь идет о полиморфизме дескриптора). Это означало, что "старый добрый" сигнатурный поиск оказывался бесполезным. Раз вирус не обладает четкой структурой -- значит, нельзя выделить четкую сигнатуру... Думаю, теперь все стало ясно. Кстати, стоит отметить, что полиморфики появились не сразу -- этой технологии предшествовали так называемые «самошифрующиеся» вирусы.

По сути, они состояли из 2-х частей: тело самого вируса и шифратора/дешифратора. Основное тело при размножении шифровалось разными ключами (иногда разными алгоритмами), и добавлялся код расшифровки. При запуске зараженного файла(забегаю чуть вперед, скажу, что эта технология приобрела свою новую вариацию в наши дни) дешифратор восстанавливает основное тело вируса и передает ему управление. На выходе получалась почти полностью отличающаяся от оригинала копия. Опять же, для детектирования использовался усложненный сигнатурный подход! Т.е. в качестве изначальной сигнатуры брались постоянные участки дешифровщика, если сигнатура совпадала, то в ход шла заранее заложенная процедура дешифровки, и уже к расшифрованному коду применяли общую сигнатурную базу! Сразу можно сделать вывод, что такой подход не очень эффективен, а в первую очередь трудоемок (написание процедур расшифровки -- длительный процесс, требующий детального изучения кода вирусов). Но давайте вернемся вновь к полиморфным вирусам. Они работали на схожих принципах и, к примеру, могли быть также самошифрующимися, а для своей защиты генерировать полиморфный дешифратор!

С их появлением умерла большая доля существовавших на тот момент антивирусных продуктов, ибо те не могли предоставить от них защиту. Конечно, их тоже можно обнаружить, использовав процедурно-сигнатурный подход, но ситуация осложнялась тем, что число полиморфиков росло в геометрической прогрессии! У разработчиков чисто физически не хватало времени для написания процедуры детектирования для каждого. И все же решение было найдено... Изначально им оказалась обычная трассировка программы!

Трассировка -- это пошаговое исполнение программы. Детали реализации рассматривать не стоит -- отмечу лишь то, что на этом принципе основаны все отладчики. Таким образом мы можем определить некую логику программы, выделить характерные признаки, которые справедливы при исполнении конкретного вируса, и вынести свой вердикт. Но, увы, противодействовать ей очень легко -- существует огромное число способов узнать, находимся ли мы под трассировкой. В лучшем случае вирус может завершить себя, заблокировав работу антивируса, а в худшем -- запустить на исполнение деструктивный код Технологии борьбы с вредоносным ПО [Электронный ресурс]: http://www.nestor.minsk.by/kg/2008/14/kg81409.html.

Идеологическим продолжением стало создание эмулятора кода. В этом случае непосредственно кусок кода помещается в специальную среду (буфер), в которой разбирается на инструкции и запускается на псевдоисполнение! Но везде есть свои нюансы, и правильно обработать любую ситуацию достаточно сложно, поэтому к разработке эмуляторов прилагают очень много усилий. Еще одним недостатком является такое понятие, как время эмуляции -- предельное время, по истечении которого процесс псевдоисполнения будет прекращен. Грубо говоря, эмулятор может зависнуть, или уйти в бесконечный цикл, да и если тратить много времени на эмуляцию каждого файла, процесс сканирования может затянуться на несколько суток.

Также существует проблема, связанная с тем, что, если эмулятор не знает какой-либо инструкции или неправильно воспринимает логику участка кода, он либо прекращает свою работу, либо начинает неправильный процесс эмуляции, в результате чего будет прекращен через некоторое время (время эмуляции). Именно этими недостатками пользуются разработчики вирусов -- они часто в свои творения вставляют подобные ловушки. Но, несмотря на это, эмуляторы достаточно часто выходят из сложных ситуаций «с чистой совестью».

И в конце хотелось бы сказать о достойном наследнике полиморфизма -- метаморфизме. Суть этого метода заключается в полном изменении тела вируса без изменения его функциональности. Здесь уже нет никаких общих решений для детектирования подобного семейства вирусов -- подход индивидуальный. Единственным вариантом, который можно применить в общих ситуациях, является построение графа потока исполнения. Имея один (несколько) экземпляров, мы, грубо говоря, запоминаем его логику и сравниваем его с логикой проверяемой программы, т.е. оцениваем их семантически, а не синтаксически! Данные методы достаточно сложны в реализации, а других внятных решений подобной проблемы мне отыскать не удалось.

Достаточно загадочное, но часто употребляемое в рекламных акциях слово греческого происхождения. Обычно его употребляют, когда речь идет о детектировании неизвестных вирусов. Ну что ж, давайте разберемся с самого начала. На мой взгляд, данная технология является скорее попыткой выделиться на рынке антивирусных продуктов, нежели действительно придумать технологию по борьбе с неизвестными вредоносными программами. Вирус хоть и очень сложно отличить от обычной программы, но существует ряд признаков, которые в совокупности дают возможность полагать, что перед нами зловред или зараженная программа. Ну, для начала рассмотрим файловые вирусы -- при заражении исполняемого файла они должны каким-то образом добавить в него свой код.

Существует три основных техники: создание новой секции либо увеличение размера последней в исполняемом файле с последующим помещением кода в новое пространство, либо внедрение в пустые участки файла (например, пространство между секциями файла). При этом у каждого исполняемого файла (дальше для простоты будем называть его PE-файлом) есть строго определенная структура и свой заголовок, при помощи которого можно ориентироваться в этой структуре. Так вот, одним из полей заголовка является поле, указывавшее на Точку Входа (Entery Point -- EP). EP - место (адрес), с которого начинается исполнение программы. При заражении он правит это поле и меняет адрес на тот, откуда начинается его собственный код. После запуска зараженной программы сначала исполнится тело вируса, а потом он передаст управление на оригинальную EP программы. Таким образом, мы имеем зараженный файл, при этом он сохраняет свою работоспособность. Так как же нам в таком случаи поможет эвристика?

Очень редко точка входа незараженного файла находится в последней секции и уж тем более не может (с точки зрения правильной программы) находиться между другими секциями. Пользуясь этим, антивирус делает вывод, что перед нами Unknown_WIN32_Virus. В набор подобных правил также входят списки подозрительных команд (или, опять же, их сочетание), подозрительные строки внутри бинарного файла, API-функции, которые использует приложение, и т.д. Данный метод -- это попытка имитировать процесс человеческого мышления. Но, на мой взгляд, это не совсем удачная попытка, т.к. часты случаи ложных срабатываний, и порой они по количеству превышают верные.

Довольно изобретательная техника, появившаяся совсем недавно. Не все антивирусы успели обзавестись ей, но многие уже к этому стремятся. Начнем, как всегда, с самого начала. Когда вирус (в качестве примера будем рассматривать троянскую программу) попадает на компьютер, первым делам он должен закрепиться в системе: поместить свою копию в каком-либо системном каталоге, т.к. обычно рядовые пользователи туда не заглядывают. Следующим этапом закрепления становится запись в автозагрузку (существует уйма способов это сделать, поэтому чем больше подобных мест знакомо проактивной защите, тем лучше), ну, а дальше идет полезная нагрузка/установка вспомогательных драйверов в ситему (достаточно популярная техника), изменение памяти других процессов (в частности, внедрение dll-библиотеки в адресное пространство доверенного процесса -- например, интернет-браузера), кража конфиденциальных данных. Как же нам поможет эта самая проактивная защита? Ее основная задача заключается в том, чтобы предотвратить потенциально опасные действия, производимые в системе, но есть один недостаток. Система не может принимать решений самостоятельно, выбор действия предоставляется самому пользователю (собственно, он либо разрешает потенциально опасное действие, либо нет). В большинстве случаев он способен выбрать адекватное действие для данной ситуации, но, как всегда, свою роль играет человеческий фактор, поэтому даже наличие подобной системы не способно полностью оградить нас от угрозы.

Но существуют и более основательные решения, обладающие серьезным аналитическим компонентом, который уже сам может принимать часть решений без вмешательства пользователя. Возьму на себя смелость отнести часть функций файрволла к проативной защите(а в большинстве случаев они в полной мере обладают таковой). Как вы могли догадаться, это доступ интернет-приложений -- даже если антивирус не смог обнаружить трояна, данная возможность просто-напросто заблокирует его работу с сетью, поэтому вся украденная информация не будет передана. В технологию создания проактивной защиты углубляться не буду -- скажу лишь ключевую фразу, которую стоит ввести в поисковик, и он вам выдаст целую кучу статей по этому поводу. Перехват API-функций -- на этот запрос вы получите нужные результаты. А теперь, как всегда, небольшая ложка дегтя в бочке меда. Т.к. технология относительно молода, в ее реализации очень часто допускаются грубые ошибки, что приводит к зависанию системы, или появлению BSOD (Blue Screen Of Dead), или даже порой встраиваются механизмы, способные отключить данный вид защиты. Как уже было сказано, подобную технику принято еще называть словом HIPS. Также существует некоторое ответвление этой технологии -- Sandbox (от англ. «песочница») -- хотя это является скорее логическим продолжением эмулятора, но полноценную реализацию подобной «песочницы» я встречал всего в одном антивирусе. Его разработчики пошли намного дальше остальных. Можно сказать, что они смогли сэмулировать работу операционной системы в защищенной среде, помещая в нее вирус и анализируя его поведение (копирование в системные папки, запись в реестр, попытка доступа к сети, активная запись в файлы и многое другое). Это способно не только пометить его как потенциальный вирус (не только трояны, но и все остальные классификации), но и даже определить его тип.

Для людей, не знакомых с данным термином, попытаюсь доходчиво объяснить, что же из собой представляют руткиты. Как таковым вирусом их называть нельзя, т.к. они не обладают никакими деструктивными действиями, не размножаются, не крадут конфиденциальную информацию. Это лишь техника, применяемая для скрытого присутствия в системе. Как ни странно, но все HIPS'ы основаны именно на той технологии, которая изначально была заложена в руткиты. Так что же они делают? В первую очередь они способны скрывать файлы на жестком диске, ключи реестра, загруженные драйверы, процессы, сетевые подключения, входящий/исходящий трафик. Уже, наверно, стало очевидно, чем это грозит. Без специальных программ невозможно определить присутствие вирусов, использующих данный метод сокрытия, в системе (Rku, AVZ, GMER).

Каждый уважающий себя антивирус просто обязан иметь способы противодействия руткитам. Еще одним важным моментом является то, что обычно руткит-компонент находится в драйвере (об использовании драйверов я упоминал ранее), что позволяет ему работать в Ring0 (нулевое кольцо) - в этом режиме ему дозволено все... Конечно, антивирусы тоже прибегают к выходу в этот режим для противодействия руткитам, но, т.к. в этом режиме нет ограничений, то охота на руткит напоминает игру «кошки-мышки» - вирусописатели прибегают к недокументированным возможностям ОС, что прибавляет головной боли разработчикам антивирусов. Сами методы поиска никто не раскрывает, но, если хорошо поискать в интернете, можно обнаружить парочку способов. Обсуждать их все -- тема отдельной статьи. Могу лишь сказать, что антивирусы с уверенностью справляются только с теми руткитами, которые используют стандартные технологии (на текущий момент существует очень много способов реализации этой техники), а ведь попадаются очень сложные случаи, которые гуляли в интернете очень долгое время, и при этом никем не были обнаружены (пример: семейство руткитов Rustok) Безруков Н. Компьютерная вирусология: Учебник [Электронный ресурс]: http://vx.netlux.org/lib/anb00.html..

В последнее время вся индустрия создания вирусов перешла на коммерческую основу. Если раньше вирусы разрабатывались только за счет чистого энтузиазма, то теперь ситуация изменилась в корни. Файловые вирусы стали совсем невостребованными, т.к., кроме эстетического удовольствия и деструкции, ничего не несут. Поэтому возможность подхватить подобную разновидность вируса очень мала. Большую же популярность получили трояны. Их основная функция -- кража каких-либо данных -- например, паролей. На особом положении находятся DdoS- и Spam-боты. Это тоже целая индустрия, приносящая огромные доходы владельцам ботнет-сетей. В настоящее время обязанности в этой сфере строго распределены -- те люди, которые создают троянов\ботов, сами ими не пользуются, а продают их. И цена зависит от полезной нагрузки. Также встречаются случаи разработки на заказ. А сейчас перейду к главному.

Представьте: нехороший человек заказал создание индивидуального троянам и некоторое время начинает использовать его в своих корыстных целях. В скором времени вирус попадает на анализ в антивирусные лаборатории, и его уже начинают поголовно обнаруживать. И как поступает в таком случае обладатель этого трояна? Разумеется, отдавать N-ную сумму (которая может достигать нескольких тысяч долларов) за создание нового трояна он не хочет. Ну, в принципе, он может обратиться с просьбой «очистки» к тому, кто его разрабатывал, но иногда либо возникают какие-то проблемы, либо стоимость этой услуги превышает допустимую. Вот тут-то ему на помощь и приходят крипторы\упаковщики. Изначально они использовались для защиты от дизассемблирования и сжатия исполняемого файла, но при этом возникает, так сказать, побочное действие, а именно меняется полностью код трояна (т.к. он шифруется и\или сжимается). При этом крипторы основаны на технике «самошифрующихя» вирусов -- как говорится, «все новое -- это хорошо забытое старое». Да и упаковщики не многим отличаются. Из-за этого сигнатуры становятся бесполезными, и вирус снова не детектируется. Но это лишь минимальная нагрузка, которую они могут нести -- почти все современные крипторы используют полиморфизм, во-вторых, в них также включаются компоненты для обхода проактивных защит и файрволлов, разные техники для усложнения его анализа, антиэмуляционные и антиотладочные трюки. В общем, полный букет. При этом стоимость подобных утилит находится в приемлемом диапазоне цен (если речь идет о покупке самого криптора).

Также существуют «крипт-сервисы», которые за очень малые деньги способны затереть сигнатуру трояна -- цена их обычно варьируется в диапазоне от 10 центов до нескольких долларов! Именно поэтому эта услуга так популярна -- она требует минимальных затрат и времени.

Также хотелось бы отметить джоинеры (Joiners). Единственная их задача -- склеить файл вируса с какой-нибудь безвредной программой. На входе имеем 2 или более файлов, на выходе -- 1. Если запустить этот файл, одновременно запустятся обе программы, которые изначально были подготовлены. Пользователь думает, что все в порядке, т.к. действительно запустилась программка с красочным интерфейсом и радующая глаз, а в это время вирус уже закрепился в системе и начал свое дело. Ну, а теперь перейдем к самим методам борьбы с ними. Если вы внимательно читали предыдущие части статьи, то могли догадаться, что одним из способов обнаружения является эмулятор кода -- собственно, именно для этого он был и создан. Но помогает он не всегда, поэтому многие разработчики антивирусного ПО пошли более простым путем (и более небезопасным с точки зрения защиты). Они создают еще одну базу, в которой хранятся сигнатуры крипторов\упаковщиков, ну, или алгоритмы, которые способны их детектировать (если речь идет о полиморфных гибридах), и базу процедур распаковки. Но распаковывают они не полностью, а только ту часть программы, к которой можно было бы применить уже обычное сигнатурное сканирование. Но иногда они поступают еще проще: если к ним попадает вирус, защищенный криптором, причем этот криптор специально нацелен на сокрытие сигнатур вирусов, то они не мучаются с написанием распакованных процедур, а просто выделяют сигнатуру расшифровщика и добавляют его в базу как вирус. Достаточно интересным моментом является то, что антивирус все равно умудряются обмануть путем совмещения нескольких крипторов и\или упаковщика -- не всегда это получается, но многие антивирусы неадекватно реагируют на подобные симбиозы и пропускают файл как чистый.

5. Классификация антивирусных программ

вредоносный программа антивирусный заражение

Для своей успешной работы вирусам необходимо проверять, не является ли файл уже зараженным (этим же вирусом). Так они избегают самоуничтожения. Для этого вирусы используют сигнатуру. Большинство обычных вирусов (включая и макровирусы) использует символьные сигнатуры. Более сложные вирусы (полиморфные) используют сигнатуры алгоритмов. Независимо от типа сигнатуры вируса антивирусные программы используют их для обнаружения «компьютерных инфекций». После этого антивирусная программа пытается уничтожить обнаруженный вирус. Однако этот процесс зависит от сложности вируса и качества антивирусной программы. Как уже говорилось, наиболее сложно обнаружить троянских коней и полиморфные вирусы. Первые из них не добавляют свое тело к программе, а внедряют внутрь нее. С другой стороны, антивирусные программы должны потратить достаточно много времени, чтобы определить сигнатуру полиморфных вирусов. Дело в том, что их сигнатуры меняются с каждой новой копией.

Для обнаружения, удаления и защиты от компьютерных вирусов существуют специальные программы, которые называются антивирусными. Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как профилактические средства, так и средства лечения вирусов и восстановления данных.

Количество и разнообразие вирусов велико, и чтобы их быстро и эффективно обнаружить, антивирусная программа должна отвечать некоторым параметрам:

1. Стабильность и надежность работы.

2. Размеры вирусной базы программы (количество вирусов, которые правильно определяются программой): с учетом постоянного появления новых вирусов база данных должна регулярно обновляться.

3. Возможность программы определять разнообразные типы вирусов, и умение работать с файлами различных типов (архивы, документы).

4. Наличие резидентного монитора, осуществляющего проверку всех новых файлов «на лету» (то есть автоматически, по мере их записи на диск).

5. Скорость работы программы, наличие дополнительных возможностей типа алгоритмов определения даже неизвестных программе вирусов (эвристическое сканирование).

6. Возможность восстанавливать зараженные файлы, не стирая их с жесткого диска, а только удалив из них вирусы.

7. Процент ложных срабатываний программы (ошибочное определение вируса в «чистом» файле).

8. Кроссплатформенность (наличие версий программы под различные операционные системы).

Классификация антивирусных программ:

1. Программы-детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях, и при обнаружении выдают соответствующее сообщение. Различают детекторы:

- универсальные - используют в своей работе проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы;

- специализированные - выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода).

2. Программы-доктора (фаги) не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.

3. Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора.

4. Программы-фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

- попытки коррекции файлов с расширениями СОМ и ЕХЕ;

- изменение атрибутов файлов;

- прямая запись на диск по абсолютному адресу;

- запись в загрузочные сектора диска;

- загрузка резидентной программы.

5.Программы-вакцины (иммунизаторы) - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов Безруков Н. Компьютерная вирусология: Учебник [Электронный ресурс]: http://vx.netlux.org/lib/anb00.html..

На самом деле архитектура антивирусных программ намного сложнее и зависит от конкретного разработчика. Но один факт неоспорим: все технологии, о которых я рассказывал, настолько тесно переплелись друг в друге, что порой невозможно понять, когда в ход пускаются одни и начинают работать другие. Подобное взаимодействие антивирусных технологий позволяет наиболее эффективно их использовать в борьбе с вирусами. Но не стоит забывать, что не существует идеальной защиты, и единственный способ предостеречь себя от подобных проблем -- постоянные обновления ОС, хорошо настроенный файрволл, часто обновляемый антивирус, и -- главное -- не запускать/загружать подозрительные файлы из интернета.



Заключение

Вредоносные программа - это специально разработанная программа, способная делать собственные копии и запускающая их в ресурсы систем. Пользователь замечает это, когда нарушается работа его техники, не запускаются какие-то приложения, перестает работать компьютер. Мир этих вредоносных программ до сих пор еще не изучен. Постоянно появляются новые и более совершенные вредители. Даже опытные сисадмины часто не знают, как они распространяются и что собой представляют. Антивирусные программы пытаются с ними бороться, их тоже постоянно улучшают. Каждый новый вирус - это новая работа для тех программистов, которые помогают защищать наши компьютеры.

Любой вирус внедряет свой код в тело программы, благодаря чему он будет выполняться при каждом ее запуске. Большинство вирусов распространяется с помощью дискет. В настоящее время имеется около тысячи видов вирусов. Учитывая тот факт, что каждый из них существует в нескольких модификациях, нужно увеличить это число в 5-10 раз.

Большинство вирусов распространяется одним из двух методов: заражая файлы или загрузочные сектора. Файлы данных не могут быть заражены вирусом. Однако существуют так называемые макровирусы, которые распространяются с помощью файлов шаблонов. В Internet существует значительное количество «мнимых» вирусов. Защититься от вирусов не так уж сложно.

И в конце концов архитектура антивирусных программ намного сложнее и зависит от конкретного разработчика. Но один факт неоспорим: все технологии, о которых я рассказывал, настолько тесно переплелись друг в друге, что порой невозможно понять, когда в ход пускаются одни и начинают работать другие. Подобное взаимодействие антивирусных технологий позволяет наиболее эффективно их использовать в борьбе с вирусами. Но не стоит забывать, что не существует идеальной защиты, и единственный способ предостеречь себя от подобных проблем -- постоянные обновления ОС, хорошо настроенный файрволл, часто обновляемый антивирус, и -- главное -- не запускать/загружать подозрительные файлы из интернета.



Список использованной литературы:

1 Безруков Н. Компьютерная вирусология: Учебник [Электронный ресурс]: http://vx.netlux.org/lib/anb00.html.

2 «Глюки», сбои и ошибки компьютера. Решаем проблемы сами (Д.М. Жуховцев, Р.Г. Прокди, М.А. Финкова) [2013, Компьютерная литература, DjVu, Отсканированные страницы].

3 Информатика и ИКТ. Практикум. 8-9 класс / Под ред. проф. Н.В, Макаровой. - СПб.: Питер, 2007.-384 с.: ил.

4 Особенности алгоритма работы вирусов [Электронный ресурс]: http://virussid.narod.ru/alg.htm.

5 Таненбаум Э. Современные операционные системы. - СПб.: Питер, 2004.

6 Точки входа вируса [Электронный ресурс]: http://www.viruslab.ru/security/types_malware/virus/technical_data/date_1.php

7 Фролов А., Фролов Г. Осторожно: компьютерные вирусы. - М.: Диалог-МИФИ, 2002. - 256 с.

8 Что такое компьютерные вирусы, и как они работают [Электронный ресурс]: http://www.frolov-lib.ru/books/step/v05/ch1.htm#_Toc152503451.