Цифровая иммунная система

Цифровая иммунная система представляет собой комплексный подход к защите от вирусов, разработанный компанией IBM [КЕРН97а, КЕРН97b]. Эта разработка появилась в связи с постоянно возрастающей угрозой распростране­ния вирусов через Internet. Сначала скажем несколько слов об этой угрозе, а за­тем кратко изложим подход компании IBM.

В настоящее время вирусная угроза характеризуется сравнительно неболь­шими скоростями распространения новых вирусов и их новых разновидностей. Антивирусные программы обычно ежемесячно обновляются, что позволяет обес­печить достаточный контроль над ситуацией. Кроме того, в наши дни Internet играет сравнительно малую роль в распространении вирусов. Однако в [CHES97] отмечается, что две приведенные ниже основные тенденции развития технологии сети Internet будут оказывать все более возрастающее влияние на скорость рас­пространения вирусов в будущем.

• Интегрированные почтовые системы. Такие системы, как Lotus Notes и Microsoft Outlook, существенно упрощают процедуру пересылки чего угодно кому угодно, а также работу с полученными объектами.

• Системы мобильных программ. Возможности Java и ActiveX позволяют программам самостоятельно переходить из одной системы в другую.

В связи с угрозой, связанной с возможностями Internet, фирма IBM разра­ботала прообраз цифровой иммунной системы. Она основана на использовании эмуляции программ, которая обсуждалась в предыдущем подразделе, и предос­тавляет возможность общей эмуляции и систему обнаружения вирусов. Цель этой системы — обеспечить малое время отклика, чтобы можно было удалить вирусы вскоре после их появления. При появлении в организации нового вируса иммунная система автоматически захватывает его, анализирует, пополняется со­ответствующими средствами обнаружения и противодействия, удаляет этот ви­рус и передает информацию о нем в системы, на которых работает программа IBM AntiVirus. После этого данный вирус, где бы он ни появился, будет выяв­лен еще до того, как он сможет активизироваться.

На рис. 15.8 проиллюстрированы типичные действия, выполняемые в ходе работы цифровой иммунной системы.

1. Управляющая программа на каждом персональном компьютере использует разнообразные эвристические методы, основанные на наблюдении за пове­дением системы, подозрительными изменениями программ или сигнатур, свидетельствующими о возможном присутствии вируса. Копию любой про­ граммы, которую она сочтет зараженной, управляющая программа пересы­лает на административную машину организации.

2. Административная машина шифрует полученный образец и отправляет его на центральную машину, где проводится анализ на наличие вирусов.

3. При анализе используются такие методы, как эмуляция или создание за­ щищенной среды, в которой можно запустить и проконтролировать подоз­рительную программу. Затем машина, на которой анализируется вирус, создает рекомендации по идентификации и удалению данного вируса.

4. Результирующее предписание отправляется обратно на административную машину.

5. Административная машина пересылает это предписание инфицированному

клиенту.

6. Кроме того, предписание пересылается другим клиентам организации.

7. Подписчики, разбросанные по всему миру, получают очередное антивирусное обновление, защищающее их от нового вируса.

Успешность работы цифровой иммунной системы зависит от возможностей анализирующей машины, выявляющей черты новых и модифицированных ви­русов. Постоянно анализируя и отслеживая вирусы, найденные в их естественной среде обитания, машина должна быть в состоянии постоянно обновлять цифровые иммунные программы, чтобы сдержать угрозу.

Вирусы, распространяющиеся по электронной почте

Последними разработками в области зловредного программного обеспечения являются вирусы, распространяющиеся по электронной почте. Первые быстро распространяющиеся по электронной почте вирусы, такие, как Melissa, исполь­зовали вложенный в сообщение макрос Microsoft Word. Если абонент открывает вложение, макрос активизируется. Затем происходит следующее.

1. Вирус рассылает себя всем, кого найдет в списке подписчиков, имеющемся в пакете программ электронной почты, который содержится на машине пользователя.

1. Вирус причиняет вред на локальной машине.

В конце 1999 года появилась более мощная версия вируса, распространяю­щегося по электронной почте. Чтобы активизировать эту версию, не обязательно открывать вложение; достаточно открыть само сообщение, которое содержит ви­рус. Этот вирус использует язык сценариев Visual Basic, который поддерживает­ся пакетами электронной почты.

Таким образом, мы стали свидетелями возникновения зловредных про­грамм нового поколения, которые прибывают по электронной почте и ис­пользуют особенности ее программного обеспечения, чтобы распространяться по сети Internet. Как только вирус активизируется, он распространяется (либо при открытии вложения электронной почты, либо при открытии само­го сообщения) по всем электронным адресам, которые известны на заражен­ном узле. В результате скорость распространения вирусов возрастает от не­скольких месяцев или лет до нескольких часов (табл. 15.4), В связи с этим авторам антивирусного программного обеспечения становится очень трудно среагировать прежде, чем будет причинен значительный ущерб. В качестве альтернативных мер, направленных против возрастающей угрозы [SCHN99], необходимо встроить в утилиты, предназначенные для работы в Internet, и программные приложения персональных компьютеров более надежные сред­ства безопасности.

Таблица 15.4. Время распространения вирусов (по данным www.isca.net)

Вирус	Год запуска	Тип	Время достижения пика численности	Оцениваемый ущерб
Jerusalem, Cascade, Form	1990	. ехе файл	3 года	$50 млн. (все вирусы за 5 лет)
Concept	1995	Макрос Word	4 месяца	$50 млн.
Melissa Любовное Письме (love letter)	1999-2000	Использует электронную почту, макрос Word Использует электронную почту, основан на VBS	4 дня 5 часов	До $385 млн. До $15 млрд.