8.9. Тенденции современных компьютерных вирусов

Рассмотрим характерные черты, которые за последние годы наиболее четко прояви-

лись в современных вирусах:

— наибольшее распространение получили сетевые черви;

— вирусы активно используют уязвимости в различных операционных системах и про-

граммном обеспечении;

— для быстрого распространения вирусов используются спам-технологии;

— один вирус сочетает в себе мноество технологий: полиморфных, стелс, бэкдор;

— вместо пересылки своего тела по электронной почте часто отправляется ссылка на веб-

сайт или на зараженный ранее компьютер;

— увеличивается число вирусов для новых платформ: КПК, сотовых телефонов, смарт-

фонов и коммуникаторов, при этом активно используются беспроводные среды пере-

дачи данных (Bluetooth, Wi-Fi).

8.10. Борьба с вирусами

Для борьбы с вирусами используется специальное программное обеспечение — ан-

тивирусы. По выполняемым ими функциям выделяют следующие виды антивирусов:

—

—

—

—

—

Программы-детекторы осуществляют поиск характерного для вируса кода (сигнату-

ры) в оперативной памяти и в файлах и при обнаружении выдают соответствующее

сообщение.

Программы-доктора или фаги также осуществляют поиск зараженных файлов и «ле-

чат» их, т.е. возвращают в исходное состояние. Среди фагов выделяют полифаги, т.е.

программы-доктора, предназначенные для поиска и уничтожения большого количест-

ва вирусов.

Ревизоры запоминают исходное состояние объектов незараженной системы и перио-

дически сравнивают текущее состояние с исходным.

Программы-фильтры — резидентные (то есть постоянно работающие) программы,

предназначенные для обнаружения при работе компьютера подозрительных действий,

характерных для вирусов.

Вакцины — резидентные программы, предотвращающие заражение файлов.

Современные антивирусы представляют собой многофункциональные программные

комплексы, которые способны обнаруживать, лечить (удалять) вирусы, а также препятст-

вовать их проникновению на компьютер.

Современные антивирусы могут работать в двух режимах. В режиме монитора ан-

тивирус постоянно работает, отслеживая все обращения системы к файлам, вклиниваясь в

этот процесс и проверяя эти файлы на предмет заражения. Таким образом, при первой по-

пытке вируса активироваться антивирус блокирует эту попытку и выдает предупрежде-

ние. При использовании режима монитора работа компьютера замедляется (так как часть

вычислительных ресурсов тратится на работу антивируса, а любое ображение к файлам и

некоторым другим объектам сопровождается процедурой сканирования). Кроме того, если

на компьютере присутствуют зараженные файлы, которые не проявляют активности и об-

ращения к ним не происходит, они останутся незамеченными.

В режиме сканера антивирус проверяет все файлы в заданной области (определен-

ный каталог, раздел жесткого диска или все устройства хранения информации) и удаля-

ет/лечит зараженные (либо просто оповещает о них — в зависимости от настроек скане-

ра). Проверка всех данных на компьютере может занять значительное время (несколько

часов). Кроме того, вирус может попасть в систему сразу после сканирования.

Для надежной защиты рекомендуется применение обоих режимов: постоянная рабо-

та антивируса в режиме монитора и регулярная (раз в неделю) проверка всех данных с

помощью сканера (обычно сканирование запускается на ночь).

Рассмотрим методы обнаружения антивирусом своих жертв.

Обнаружение, основанное на сигнатурах — метод работы антивирусов и систем об-

наружения вторжений, при котором антивирус, просматривая файл (или передаваемый по

сети пакет), обращается к словарю, в котором содержатся сигнатуры известных атак или

вирусов. Под сигнатурой понимается фрагмент кода, однозначно идентифицирующий ви-

рус. Например, вирус Email-Worm.Win32.Happy содержит строку «Happy New Year 1999

!!», которая с низкой вероятностью может встретиться в другой программе.

Основной принцип, по которому выделяются сигнатуры — она должна содержать

только уникальные строки из этого файла, настолько характерные, чтобы гарантиро-

вать минимальную возможность ложного срабатывания. Разработка сигнатур осуществ-

ляется вручную путем кропотливого исследования нескольких файлов, зараженных (или

принадлежащих) одним вирусом. Автоматическая генерация сигнатур (особенно в усло-

виях полиморфных вирусов) пока не дает удовлетворительных результатов.

Каждый современный антивирус имеет обширную (несколько сот тысяч) базу сигна-

тур, которая регулярно обновляется. Проблема обнаружения, основанного на сигнатурах

заключается в том, что новый вирус (сигнатуры которого еще нет в базе) может беспре-

пятственно обойти антивирусную защиту. При этом создание сигнатуры и доставка ее

пользователям занимает от 11 до 97 часов в зависимости от производителя, в то время как

теоретически, вирус может захватить весь интернет меньше, чем за 30 секунд18.

Метод обнаружения подозрительного поведения программы. Антивирус прослежи-

вает поведение всех работающих программ и пытается выявить действия, характерные

для вируса (например, запись данных в exe-файл). Однако этот метод часто вызывает

ложные срабатывания (в результате пользователи перестают обращать внимание на пре-

дупреждения). Разновидность этого метода — эмуляция программы: перед запуском при-

ложения антивирус пытается имитировать его поведение с целью отслеживая подозри-

тельных действий. Данный метод наиболее требователен к ресурсам.

Метод «белого списка». Предотвращается выполнение всех компьютерных кодов

кроме тех, которые были ранее обозначены системным администратором как безопасные.

Эвристическое сканирование — метод, основанный на сигнатурах и эвристике, при-

зван улучшить способность сканеров применять сигнатуры и распознавать модифициро-

ванные версии вирусов в тех случаях, когда сигнатура совпадает с телом неизвестной про-

граммы не на 100 %, но в подозрительной программе налицо более общие признаки виру-

са. Данная технология, однако, применяется в современных программах очень осторожно,

так как может повысить количество ложных срабатываний 19.

Наиболее известные современные антивирусы: антивирус Касперского, Doctor WEB,

NOD32, Norton Antivirus, Panda Antivirus, Avast! Antivirus (последний является бесплат-

ным для домашнего использования).

18

19

http://www.icir.org/vern/papers/cdc-usenix-sec02\, http://ru.wikipedia.org

http://ru.wikipedia.org/wiki/Эвристическое_сканирование