Вызываемые вирусом эффекты

По степени разрушительности вирусы можно условно разделить на два типа: “иллюзионисты” и “вандалы”.

“Иллюзионисты” демонстрируют экзотические звуковые и визуальные эффекты: осыпание букв, бегающие рожицы.

У “вандалов” главная задача – как можно более скрытое размножение с последующим разрушением информации (обычно FATи форматирование диска).

Виды наносимого вирусом ущерба:

1. разрушение отдельных файлов, управляющих блоков или файловой системы в целом;

2. блокирование некоторых функций ОС типа загрузки (?) с дискеты;

3. выдача ложных, раздражающих или отвлекающих сообщений (например, “Скажи бебе”);

4. создание звуковых или визуальных эффектов;

5. имитация ошибок или сбоев в программе или операционной системе;

6. имитация сбоев аппаратуры (перевод части кластеров в сбойные на винчестере или на дискете, зависание ПК через некоторое время после включения и т.д.).

Наиболее опасны не катастрофические повреждения винчестера или дискет, а медленные постепенные изменения в файлах данных (например, перестановка цифр в числовых полях файлов DBF(DataBaseFile) = файл базы данных).

Большинство повреждений от вирусов относятся к информации, к данным. Повреждения оборудования почти не бывает. Здесь много слухов и домыслов. Например, ходят слухи о вирусах, вводящих в резонанс головки винчестера, или прожигающих дыры на экранах мониторов.

Эффекты вирусов – червей проявляются при анализе TCP/IPпакетов. Универсальных решений не существует, но кое-какие наметки дать все-таки можно. В частности, применительно к веб-серверам и запросам типа GET характерным признаком shell-кода являются:

а) имена командных интерпретаторов (cmd.exe, sh), системных библиотек типа admin.dll и подобных им файлов;

б) последовательность из трех и более машинных команд NOP, записываемая приблизительно так: %u9090;

в) машинные команды CALL ESP.JMP ESP, INT 80h и другие подобные им (полный список занимает слишком много места и поэтому здесь не приводится);

г) бессмысленные последовательности вроде .\.\.\ или XXX, используемые вирусом для переполнения.

Общая классификация средств защиты от вирусов

Для обеспечения своего функционирования вирусу достаточно лишь нескольких вполне обычных операций, используемых большинством обычных программ. Поэтому принципиально не может существовать универсальный метод, защищающий операционную систему от распространения любого вируса. Тем не менее, можно существенно затруднить задачу создания вируса, применяя специальные методы, как в самой ОС, так и используя дополнительные резидентные и нерезидентные средства защиты.

Простейшим средством защиты от вируса является программа, позволяющая составить список зараженных программ. Такая программа называется детектором. Он может быть и резидентным. В этом случае после загрузки программы он проверяет ее на зараженность и, если вирус не обнаружен, передает ей управление.

Вторым и наиболее распространенным средством защиты от вирусов являются так называемые фаги– программы, “выкусывающие” вирус из зараженной программы.

Полифаги рассчитаны на несколько типов вирусов. Они умеют распознавать и выкусывать вирусы, информация о которых в них уже заложена (SOSиAidstest).

Третьим типом антивирусных программ являются резидентные программы-сторожа, контролирующие подозрительные действия запускаемых программ (например, попытку записи в определенный раздел или файл с расширением .COMили .EXE) и блокирующие их. Здесь наибольший практический интерес представляют дисковые драйверы, обеспечивающие возможность сегментации винчестера и присваивания отдельным разделам статусаREADONLY. Например, драйверADM(AdvancedDiskManager) блокирует доступ к первой дорожке, содержащей загрузочные сектора.

Четвертый тип – это программы-ревизоры, которые подсчитывают контрольные суммы и другие параметры файлов и сравнивают их с эталонными. Этот вид контроля представляется наиболее надежным, так как позволяет выявить даже при наличии в оперативной памяти резидентного КВ, выявить все измененные программы, несмотря на то, что вирус может пытаться эти изменения замаскировать. Ревизоры также могут быть резидентными.

Наиболее изощренным типом антивирусных программ являются так называемые вакцины. Они делают вирус неспособным к размножению. Вакцины могут быть пассивными или активными. Пассивная вакцина представляет собой программу, которая обрабатывает файл или все файлы на диске таким образом, что проставляется признак, который вирус использует, чтобы отличить зараженные файлы. Например, некоторые вирусы дописывают в конец файла строку “MsDos”. Если искусственно дописать в конец всех файлов эту строку, то файлы заражаться не будут.

Активные вакцины являются резидентными программами, действие которых основано на имитации присутствия вируса в оперативной памяти. Поэтому они применяются против резидентных вирусов. Поливакцины имитируют наличие в оперативной памяти нескольких вирусов.

Аппаратные средства защиты– это специальные платы, вставляемые в компьютер. Вместе с соответствующей резидентной программой такая плата аппаратно блокирует пути инфекции. Загрузка с дискеты происходит только по паролю, подозрительные действия с дискетами и винчестером блокируются и на экран выдаются предупреждающие сообщения. Классификация средств защиты от вирусов.

Пользователь ПК должен быть к тому, что завтра его программ и файлов на диске не окажется. Поэтому он должен иметь необходимый минимум средств защиты. Эти средства следующие:

1. Архивирование– это основной метод защиты от вирусов. Архивирование заключается в сжатии файлов с помощью программ-архиваторов. Для резервирования системных областей имеются служебные программы-утилиты, входящие в пакетыMSDOS,PCSHELL,NU.

2. Сегментация – разбиение диска на разделы с атрибутомREADONLY. Использование для хранения ценной информации разделов, отличных отCилиD.

3. Ревизия– ежедневный контроль целостности исполняемых файлов и системных блоков с помощьюAdinfили аналогичного ревизора.

4. Входной контроль– проверка поступающих программ рядом детекторов и фагов, проверка соответствия длины и контрольных сумм приведенным в документации.

5. Профилактика– систематическое использованиеvformatдля разметки дискет; вакцинирование поступающих дискет; защита дискет от записи.

6. Карантин– каждая новая программа, полученная без контрольных сумм, должна проверяться на наличие вирусов, и в течение некоторого времени за ней должно бать организовано наблюдение в специальном разделе для хранения вновь поступивших программ.

7. Фильтрация– применение программ-сторожей для обнаружения попыток выполнить несанкционированные действия.

8. Терапия– проверка дискет и винчестера на вирусы и лечение зараженных программ.

Основной принцип, лежащий в основе разработки технологии защиты от вирусов состоит в создании многоуровневой системы защиты. Например, может использоваться схема:

1. архивирование по схеме неделя-месяц-год;

2. сплошной входной контроль новых программных средств;

3. предварительная вакцинация;

4. сегментация информации на винчестере;

5. систематическое использование ревизоров.

Против вирусов-червей необходимо предпринять следующие действия:

1. Сегментация сети: разделяй и здравствуй. Сегментация сети включает безопасные зоны типа DMZ и физически разделенные сети. DMZ относится к концепту демилитаризированной зоны. В таких случаях сеть делится на интернет и проверенную локальную сеть. Санкционированный трафик из интернета на веб-серверы в DMZ поступает через брандмауэры. Второй брандмауэр, который находится между веб-серверами и конечными серверами, защищает сетевой сервер.

2. Укрепление серверов. Защита хоста — это наиболее сложный этап защиты. От системного администратора требуется практически постоянно обновлять систему: необходимо устанавливать патчи на операционную систему, удалять ненужные сервисы и разрешения по доступу к файлам, и т.п. Любой сервер, вне зависимости от типа ОС, должен быть защищен еще до его подключения к сети.

3. Защита приложений. Защита приложений — это разработка безопасного кода. Кодировка используется для предотвращения переполнения буфера и применения защиты. Подтверждение входных данных по типу и размеру позволит предотвратить переполнение буфера.

4. Пользователь как оперативная боевая единица. Объяснить пользователям компьютеров, что они должны делать для защиты сети. Эту работу нельзя оставлять системным администраторам и аналитикам ИТ-безопасности. Самое эффективное средство повышения бдительности и снижения риска — тренинг для самих пользователей. Они должны понимать риск, связанный с открытием почтовых приложений и вложенных файлов, подсоединением ноутбуков к домашней сети, и назначением «слабых», в том числе общеизвестных паролей.

Средства защиты от вирусов

К программным средствам защиты относят разные антивирусные программы (антивирусы). Антивирус - это программа, выявляющая и обезвреживающая компьютерные вирусы. Следует заметить, что вирусы в своем развитии опережают антивирусные программы, поэтому даже в случае регулярного пользования антивирусов, нет 100% гарантии безопасности. Антивирусные программы могут выявлять и уничтожать лишь известные вирусы, при появлении нового компьютерного вируса защиты от него не существует до тех пор, пока для него не будет разработан свой антивирус.

Однако, много современных антивирусных пакетов имеют в своем составе специальный программный модуль, называемый эвристическим анализатором, который способен исследовать содержимое файлов на наличие кода, характерного для компьютерных вирусов. Это дает возможность своевременно выявлять и предупреждать об опасности заражения новым вирусом.

Различают такие типы антивирусных программ:

1) программы-детекторы: предназначены для нахождения зараженных файлов одним из известных вирусов. Некоторые программы-детекторы могут также лечить файлы от вирусов или уничтожать зараженные файлы. Существуют специализированные, то есть предназначенные для борьбы с одним вирусом детекторы и полифаги, которые могут бороться с многими вирусами;

2) программы-лекари: предназначены для лечения зараженных дисков и программ. Лечение программы состоит в изъятии из зараженной программы тела вируса. Также могут быть как полифагами, так и специализированными;

3) программы-ревизоры: предназначены для выявления заражения вирусом файлов, а также нахождение поврежденных файлов. Эти программы запоминают данные о состоянии программы и системных областей дисков в нормальном состоянии (до заражения) и сравнивают эти данные в процессе работы компьютера. В случае несоответствия данных выводится сообщение о возможности заражения;

4) лекари-ревизоры: предназначены для выявления изменений в файлах и системных областях дисков и, в случае изменений, возвращают их в начальное состояние.

5) программы-фильтры: предназначены для перехвата обращений к операционной системе, которые используются вирусами для размножения и сообщают об этом пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции. Такие программы являются резидентными, то есть они находятся в оперативной памяти компьютера.

6) программы-вакцины: используются для обработки файлов и boot-секторов с целью предупреждения заражения известными вирусами (в последнее время этот метод используется все чаще).

Следует заметить, что выбор одного "наилучшего" антивируса крайне ошибочное решение. Рекомендуется использовать несколько разных антивирусных пакетов одновременно.

Выбирая антивирусную программу следует обратить внимание на такой параметр, как количество распознающих сигнатур (последовательность символов, которые гарантированно распознают вирус). Второй параметр - наличие эвристического анализатора неизвестных вирусов, его присутствие очень полезно, но существенно замедляет время работы программы.