Главная: Рефераты

Рефераты. Информационная безопасность

13. Антивирусная зашита

13.1 Основные типы компьютерных вирусов

Очень часто прекращение работы ПК или неустойчивая работа его устройств вызывается компьютерными вирусами. Вирус, как правило, состоит из двух частей - программного кода для распространения и особого кода для выполняемого действия, - и воспроизводит сам себя. При этом вирусы манипулируют файлами и их удалением, переписывают каталоги, удаляют связи, публикуют документы в онлайновом режиме или форматируют жесткий диск.

Компьютерные вирусы можно разделить на классы по следующим основным признакам:

- среда обитания (файловые, загрузочные, макро и сетевые);

- операционная система;

- особенности алгоритма работы;

- деструктивные возможности.

Файловые вирусы заражают исполняемые файлы (это наиболее распространенный тип вирусов) либо создают файлы-двойники, либо используют особенности организации файловой системы.

Загрузочные вирусы заражают загрузочные сектора дисков (boot-сектор), либо главную загрузочную запись (Master Boot Record), либо меняют указатель на активный загрузочный сектор.

Макро-вирусы - это разновидность файловых вирусов, встраивающихся в документы и электронные таблицы популярных редакторов.

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Существует большое количество сочетаний перечисленных выше типов вирусов, например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков.

Кроме того, существует еще несколько типов вирусов, на которые необходимо обратить внимание:

- браузеры-вредители- зловредные Java-апплеты (программы, написанные на языке Java) и элементы управления ActiveX, которые могут удалять файлы;

- компьютерные черви не требуют «программы-носителя» и копируют себя на компьютеры, связанные через сеть с зараженным ПК;

- троянские кони - это программы, которые совершают действия, отличные от тех, о которых они сообщают. Например, они маскируются под полезную утилиту, а вместо этого наносят вред - однако без того, чтобы по примеру вируса размножаться;

- HTML-вирусы написаны на Visual Basic Script (VBS) и инфицируют HTML-файлы. Сам по себе HTML ни в коем случае не содержит команд, которые открывают возможность доступа к файлам. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких ОС - DOS, Windows, OS/2 и т. д. Макро-вирусы заражают файлы форматов приложений офисных пакетов.

Среди особенности алгоритма работы вирусов выделяют рези-дентность, стелс-алгоритм, полиморфичность, а также использование нестандартных приемов.

Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения ОС к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными все время, а нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время.

Использование стелс-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс -алгоритмом является перехват запросов ОС на чтение/запись зараженных объектов. Стелс-вирусы (вирусы-невидимки) при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации.

Полиморфные вирусы - это трудно обнаружимые вирусы, не имеющие сигнатур, т. е. не содержащие ни одного постоянного участка кода. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

По деструктивным возможностям вирусы можно разделить на:

- безвредные, не влияющие на работу компьютера;

- неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми эффектами;

- опасные, которые могут привести к серьезным сбоям в работе компьютера;

- очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.

13.2 Наиболее опасные троянские кони

Троянцы Remofe-Access.

Это такие программы, как, например, Back 1 Orifice или Netbus. Они позволяют осуществлять полный контроль чужого компьютера, вплоть до нового запуска и манипуляций с системой.

Mail-троянцы.

Программы, которые протоколируют деятельность на инфицированном ПК (например, ввод паролей) и даже посылают эту информацию через свою собственную почтовую программу. Mail-троянцы без этой функции называются также Keylogger-троянцами.

Telnet-троянцы.

Открывают доступ через Telnet. Через него хакер попадает в оболочку операционной системы (например, в DOS) и прямо оттуда может выполнять системные команды. Telnet используется, например, для удаленного управления сетевыми серверами и центральным компьютером.

FTP-троянцы.

Программы, которые незаметно запускают свой собственный FTP-сервер, через который хакер может загрузить файлы с пораженного ПК.

Программы, моделирующие нажатие клавиши (Keystroke-Simulator). Переводят команды хакера в смоделированное управление клавиатурой. Операционная система не может выявить различия между удаленным управлением и действиями пользователя.

13.3 Типы антивирусных программ

Для предотвращения заражения компьютера вирусом и ликвидации последствий заражения применяются антивирусные программы (антивирусы). В зависимости от назначения и принципа действия различают следующие антивирусные программы:

- сторожа (детекторы). Предназначены для обнаружения файлов, зараженных известными вирусами, или признаков, указывающих на возможность заражения;

- доктора. Предназначены для обнаружения и устранения известных им вирусов, удаляя их из тела программы и возвращая ее в исходное состояние;

- ревизоры. Контролируют уязвимые и поэтому наиболее атакуемые компоненты компьютера, запоминают состояние служебных областей и файлов, а в случае обнаружения изменений сообщают пользователю;

- резидентные мониторы (фильтры). Постоянно находятся в памяти компьютера для обнаружения попыток выполнить несанкционированные действия. В случае обнаружения подозрительного действия выводят запрос пользователю на подтверждение операций;

- вакцины. Имитируют заражение файлов вирусами.

13.3 Принцип работы антивирусных программ

Первоначальной формой антивирусной программы (проще называемой антивирусом) является сканер вирусов. Он обследует все программы, документы и системные области памяти на предмет наличия характерных признаков вирусов. Правда, он распознает лишь заранее известные ему вирусы, признаки которые имеются в его базе данных.

Наряду с функциями поиска, и очистки путем сканирования жесткого диска антивирусные программы располагают, как правило, и работающей в фоновом режиме программой, которую называют резидентным сканером (монитором). Она проверяет систему на предмет подозрительных действий и выдает сообщение, если пользователь хочет запустить зараженную программу или открыть документ с макровирусами.

Сканер вирусов осуществляет поиск характерной последовательности байтов, так называемой сигнатуры вируса. Антивирусные программы используют также и эвристический метод, позволяющий выявлять характерный для вирусов программный код типа незадокументированных функций MS DOS, а также другие подозрительные признаки. Для этого программа применяет статистические методы оценки вероятности того, что программа нанесет ущерб в результате выполнения кода, который хранится в ней.

Проблема эвристического поиска состоит в том, что программа не должна выдавать ложных сообщений о вирусном заражении, но она и не должна пропустить вирусы. Кроме того, она не в состоянии идентифицировать найденный вирус. Эвристика важна при «выслеживании» новых вирусов. Некоторые антивирусные программы позволяют послать «отловленные» вирусы разработчику программы, чтобы он добавил сигнатуру и указания по противодействию новым вирусам в следующем обновлении антивирусной программы.

Обновления сигнатур вирусов просто необходимы, так как ежедневно появляются десятки новых вирусов, с которыми нужно вести борьбу. Многие антивирусные программы обновляются через Интернет.

13.4 Коммерческие антивирусы

Norton Antivirus (www.symantec.com) - пакет, предназначенный для защиты компьютера от вирусов во время работы в Интернете, обмена файлами по сети, загрузки файлов с дискет и компакт-дисков. Программа может автоматически сканировать входящие почтовые сообщения, содержащие различного рода прикрепленные данные, в таких популярных почтовых программах, как MS Outlook, MS Outlook Express, Eudora Pro, Eudora Lite, Netscape Messenger, Netscape Mail. Она защищает систему от опасных ActiveX-кодов, Java-апплетов и так называемых «троянов», а также определяет и удаляет вирусы из сжатых файлов (в том числе и из многократно сжатых файлов).

Для обнаружения новых и неизвестных вирусов используется технология Bloodhound Heuristic: программы-анализаторы изучают структуру файла, программную логику, инструкции, данные файлов и прочие атрибуты, а затем используют эвристическую логику, чтобы определить вероятность инфицирования.

Программу можно сконфигурировать таким образом, чтобы она автоматически выдавала сообщение в том случае, когда обнаружен новый вирус или когда созданы новые методы обезвреживания.

Антивирусный пакет AVP от Лаборатории Касперского (www.avp.ru) содержит несколько утилит, каждая из которых выполняет свои задачи:

- Kaspersky Anti-Virus Monitor (Kaspersky AV Monitor) (рис. 3) - это программа, которая постоянно находится в оперативной памяти компьютера и контролирует обращения к файлам. При обнаружении вируса она предлагает вылечить зараженный объект, либо удалить его, либо заблокировать доступ к объекту (это зависит от ее настроек). Таким образом, антивирусный монитор позволяет обнаружить и удалить вирус до момента реального заражения системы;

Страницы: 1, 2, 3, 4, 5, 6
2012 © Все права защищены
При использовании материалов активная ссылка на источник обязательна.