- •1.История вопроса
- •1. Лекция: История вопроса
- •Первые вирусы
- •Первые вирусные эпидемии
- •Заключение
- •2. Лекция: Теоретические сведения о компьютерных вирусах Введение
- •Результат Фреда Коэна
- •Результат д. Чесса и с. Вайта Основные положения
- •Обнаружение вирусов
- •Слабое определение обнаружения
- •Сравнение с результатом ф. Коэна
- •Практические следствия
- •Формализм ф. Лейтольда
- •Вычислительные модели Вычислительная машина с произвольной выборкой
- •Вычислительная машина с хранением программ в памяти с произвольной выборкой
- •Машина Тьюринга
- •Raspm с присоединенным вспомогательным хранилищем
- •Моделирование операционных систем
- •Вирусы в raspm с abs
- •Способы размножения вирусов
- •Олигоморфные и полиморфные вирусы
- •Проблема обнаружения вирусов
- •Общая проблема обнаружения вирусов
- •Оценка сложности сигнатурного метода
- •Результат Леонарда Адельмана
- •Принятые обозначения
- •Классификация вирусов
- •Обнаружение компьютерных вирусов
- •Заключение
- •3. Лекция: Классификация вирусов Общие сведения
- •Практическое определение вируса
- •Жизненный цикл
- •Проникновение
- •Активация
- •Поиск жертв
- •Подготовка вирусных копий
- •Внедрение
- •Жизненный цикл
- •Каналы распространения
- •Способы активации
- •Поиск "жертв"
- •Подготовка копий для распространения
- •Жизненный цикл
- •Способы проникновения
- •Активация
- •Выполняемые функции
- •Ущерб от вредоносных программ
- •Угрозы безопасности информации
- •Угроза нарушения конфиденциальности
- •Угроза нарушения целостности
- •Угроза нарушения доступности
- •Заключение
- •4. Лекция: Что такое антивирусы
- •Технологии обнаружения вирусов
- •Режимы работы антивирусов
- •Антивирусный комплекс
- •Антивирусный комплекс для защиты рабочих станций
- •Антивирусный комплекс для защиты файловых серверов
- •Антивирусный комплекс для защиты почтовых систем
- •Антивирусный комплекс для защиты шлюзов
- •Комплексная система защиты информации
- •Организационные меры
- •Правовые меры
- •Глава 28 ук рф содержит следующие статьи, относящиеся к компьютерным вирусам:
- •Программные средства
- •Этапность работ
- •Выбор антивирусных комплексов
- •Преимущества и недостатки одновендорных систем Преимущества
- •Недостатки
- •Преимущества и недостатки мультивендорных систем
- •Преимущества
- •Недостатки
- •5. Лекция: Защита шлюзов Общие сведения
- •Возможные схемы защиты
- •Универсальные антивирусы для шлюзов
- •Проверка протоколов Интернет
- •Проверка почты smtp
- •Антивирусы для шлюзов, основанные на интеграции
- •Антивирусы для Microsoft isa Server
- •Антивирусы для CheckPoint Firewall
- •Другие реализации
- •Требования к антивирусам для шлюзов
- •Угрозы и методы защиты от них Особенности архитектуры
- •Предотвращаемые угрозы
- •Эксплуатационные характеристики
- •Управление
- •Обновление
- •Диагностика
- •Производительность
- •Заключение
- •6. Лабораторная работа: Антивирус Касперского для Microsoft isa Server. Установка, настройка, управление
- •Методические указания к лабораторной работе
- •Состав приложения
- •Поддерживаемые операционные системы
- •Установка
- •Результат установки
- •Принципы работы
- •Управление группами клиентов
- •Внедрение политик антивирусной проверки
- •Настройка диагностики работы приложения
- •Обновление антивирусных баз
- •Настройка уведомлений пользователей
- •Сбор и просмотр статистической информации
- •Уведомление администратора посредством isa Server Alerts
- •Управление лицензионными ключами
- •Задание
- •Контрольные вопросы
- •Рекомендуемая литература
- •7. Лекция: Защита почтовых систем Общие сведения
- •Возможные схемы защиты
- •Требования к антивирусному комплексу для проверки почтового потока
- •Требования к управлению
- •Требования к диагностике
- •Заключение
- •Unix-системы
- •Методические указания к лабораторной работе
- •Состав и принцип работы
- •Архитектура Сервера безопасности
- •Поддерживаемые операционные системы
- •Заключение
- •8. Лабораторная работа: Антивирус Касперского 5.5 для ms Exchange Server. Установка, настройка, управление
- •Методические указания к лабораторной работе
- •Состав и принцип работы
- •Архитектура Сервера безопасности
- •Поддерживаемые операционные системы
- •Установка
- •Результаты установки
- •Принципы работы Производительность антивирусной защиты
- •Фоновая проверка
- •Уровни защиты
- •Настройка диагностики работы приложения
- •Обновления антивирусных баз. Источники обновлений
- •Работа с инфицированными и подозрительными объектами
- •Уведомления
- •Контроль вирусной активности
- •Отчеты об антивирусной проверке
- •Задание
- •9. Лекция: Защита серверов и рабочих станций
- •Структура уровня
- •Защита рабочих станций Классы рабочих станций
- •Специфические угрозы и технологии противодействия
- •Рабочие станции Windows
- •Файловая система
- •Интернет
- •Рабочие станции под управлением других ос
- •Эксплуатационные требования и соответствующие им решения
- •Обновление
- •Управление
- •Диагностика
- •Надежность
- •Защита от вредоносного кода
- •Защита от действий пользователя
- •Недопущение потери данных
- •Производительность
- •Требования к антивирусам для рабочих станций
- •Требования к антивирусам для рабочих станций Windows
- •Требования к управлению
- •Требования к обновлению
- •Требования к диагностике
- •Требования к антивирусам для рабочих станций Linux/Unix
- •Требования к управлению
- •Требования к диагностике
- •Защита серверов
- •Специфические угрозы и способы противодействия
- •Сервера Microsoft Windows
- •Сервера Novell Netware
- •Сервера Unix
- •Эксплуатационные требования и характеристики
- •Управление
- •Обновление
- •Диагностика
- •Надежность
- •Производительность
- •Требование к антивирусам для серверов
- •Основные требования
- •Требования к управлению
- •Требования к обновлению
- •Требования к диагностике
- •Требования к производительности
- •Система администрирования
- •Цели и задачи
- •Структура системы администрирования
- •Основные требования к системе администрирования
- •Подсистема управления
- •Подсистема обновления
- •Подсистема диагностики
- •Средства внедрения
- •Заключение
- •10. Лабораторная работа: Антивирус Касперского 6.0 для Windows Workstations. Локальная установка и управление
- •Методические указания к лабораторной работе
- •Установка
- •Результат установки
- •Принципы работы программы
- •Компоненты
- •Системные задачи проверки по требованию (5 задач)
- •Системные задачи обновления
- •Пользовательские задачи
- •Проверка по требованию
- •Файловый антивирус
- •Почтовый антивирус
- •Проактивная защита
- •Анти-Шпион
- •Анти-Хакер
- •Анти-Спам
- •Технологии iChecker(tm) и iSwift(tm)
- •Обновления сигнатур угроз и модулей приложения
- •Источник обновлений
- •Обновляемые компоненты
- •Откат обновления антивирусных баз
- •Работа с инфицированными и подозрительными объектами
- •Задание
- •Контрольные вопросы
- •Рекомендуемая литература
- •11. Лабораторная работа: Kaspersky Administration Kit. Развертывание системы управления антивирусными средствами Лаборатории Касперского
- •Методические указания к лабораторной работе
- •Состав и структурная схема
- •Установка Сервера администрирования
- •Подключение к Серверу Администрирования
- •Разграничение полномочий администраторов
- •Первое подключение к Серверу администрирования
- •Выбор способа формирования логической сети
- •Логическая сеть
- •Структура логической сети, объекты управления
- •Контейнеры узла Сервера администрирования
- •Структура контейнера Сеть
- •Процедура добавления группы
- •Добавление нового инсталляционного пакета
- •Выбор лицензионного ключа
- •Создание задачи удаленной установки
- •Выбор метода установки
- •Выбор учетной записи
- •Создание задачи проверки по требованию
- •Выбор настроек проверки по требованию
- •Выполнение задачи проверки по требованию
- •Создание задачи получения обновлений Сервером администрирования
- •Задача обновления клиентов
- •Контейнер Обновления
- •Автоматическое проталкивание обновлений антивирусных баз
- •Смена Сервера администрирования
- •Задание
- •Контрольные вопросы
- •Рекомендуемая литература
- •12. Лабораторная работа: Kaspersky Administration Kit. Особенности работы с иерархической структурой Серверов администрирования
- •Методические указания к лабораторной работе
- •Узел Сервера администрирования
- •Добавление подчиненного Сервера администрирования
- •Политики Антивируса Касперского
- •Влияние политики на настройки клиентов
- •Влияние политик на глобальные и групповые задачи
- •Наследование политик
- •Создание политик
- •Настройка уровня защиты для задач постоянной защиты объектов
- •Иерархическое действие групповых задач
- •Получение сведений о лицензионных ключах
- •Установка лицензионного ключа
- •Резервное копирование базы Сервера администрирования
- •Синтаксис утилиты
- •Задание
- •Контрольные вопросы
- •Рекомендуемая литература
- •13. Лабораторная работа: Основные признаки присутствия вредоносных программ и методы по устранению последствий вирусных заражений
- •Методические указания к лабораторной работе
- •Сетевые черви
- •Жизненный цикл вредоносных программ
- •Основные пути проникновения в систему и активации
- •Устранение последствий заражения
- •Задание
- •Контрольные вопросы
- •Рекомендуемая литература
Поиск "жертв"
Способ поиска компьютера-жертвы полностью базируется на используемых протоколах и приложениях. В частности, если речь идет о почтовом черве, производится сканирование файлов компьютера на предмет наличия в них адресов электронной почты, по которым в результате и производится рассылка копий червя.
Точно так же Интернет-черви сканируют диапазон IP адресов в поисках уязвимых компьютеров, а P2P черви кладут свои копии в общедоступные каталоги клиентов пиринговых сетей. Некоторые черви способны эксплуатировать списки контактов интернет-пейджеров, таких как ICQ, AIM, MSN Messenger, Yahoo! Messenger и др.
Подготовка копий для распространения
Сказанное ранее о подготовке копий для распространения вирусов, применимо и для червей.
Наиболее часто среди червей встречаются упрощенные реализации метаморфизма. Некоторые черви способны рассылать свои копии в письмах, как с внедрением скрипта приводящего к автоматической активации червя, так и без внедрения. Такое поведение червя обусловлено двумя факторами: скрипт автоматической активации повышает вероятность запуска червя на компьютере пользователя, но при этом уменьшает вероятность проскочить антивирусные фильтры на почтовых серверах.
Аналогично, черви могут менять тему и текст инфицированного сообщения, имя, расширение и даже формат вложенного файла - исполняемый модуль может быть приложен как есть или в заархивированном виде. Все это нельзя считать мета- или полиморфизмом, но определенной долей изменчивости черви, безусловно, обладают.
Трояны
Приведем интуитивное определение троянской программы или трояна.
Определение 3.6. Троян (троянский конь) — тип вредоносных программ, основной целью которых является вредоносное воздействие по отношению к компьютерной системе. Трояны отличаются отсутствием механизма создания собственных копий. Некоторые трояны способны к автономному преодолению систем защиты КС, с целью проникновения и заражения системы. В общем случае, троян попадает в систему вместе с вирусом либо червем, в результате неосмотрительных действий пользователя или же активных действий злоумышленника.
Жизненный цикл
В силу отсутствия у троянов функций размножения и распространения, их жизненный цикл крайне короток - всего три стадии:
Проникновение на компьютер
Активация
Выполнение заложенных функций
Это, само собой, не означает малого времени жизни троянов. Напротив, троян может длительное время незаметно находиться в памяти компьютера, никак не выдавая своего присутствия, до тех пор, пока не будет обнаружен антивирусными средствами.
Способы проникновения
Задачу проникновения на компьютер пользователя трояны решают обычно одним из двух следующих методов.
Маскировка — троян выдает себя за полезное приложение, которое пользователь самостоятельно загружает из Интернет и запускает. Иногда пользователь исключается из этого процесса за счет размещения на Web-странице специального скрипта, который используя дыры в браузере автоматически инициирует загрузку и запуск трояна.
Пример. Trojan.SymbOS.Hobble.a является архивом для операционной системы Symbian (SIS-архивом). При этом он маскируется под антивирус Symantec и носит имя symantec.sis. После запуска на смартфоне троян подменяет оригинальный файл оболочки FExplorer.app на поврежденный файл. В результате при следующей загрузке операционной системы большинство функций смартфона оказываются недоступными
Одним из вариантов маскировки может быть также внедрение злоумышленником троянского кода в код другого приложения. В этом случае распознать троян еще сложнее, так как зараженное приложение может открыто выполнять какие-либо полезные действия, но при этом тайком наносить ущерб за счет троянских функций.
Распространен также способ внедрения троянов на компьютеры пользователей через веб-сайты. При этом используется либо вредоносный скрипт, загружающий и запускающий троянскую программу на компьютере пользователя, используя уязвимость в веб-браузере, либо методы социальной инженерии - наполнение и оформление веб-сайта провоцирует пользователя к самостоятельной загрузке трояна. При таком методе внедрения может использоваться не одна копия трояна, а полиморфный генератор, создающий новую копию при каждой загрузке. Применяемые в таких генераторах технологии полиморфизма обычно не отличаются от вирусных полиморфных технологий.
Кооперация с вирусами и червями — троян путешествует вместе с червями или, реже, с вирусами. В принципе, такие пары червь-троян можно рассматривать целиком как составного червя, но в сложившейся практике принято троянскую составляющую червей, если она реализована отдельным файлом, считать независимым трояном с собственным именем. Кроме того, троянская составляющая может попадать на компьютер позже, чем файл червя.
Пример. Используя backdoor-функционал червей семейства Bagle, автор червя проводил скрытую инсталляцию трояна SpamTool.Win32.Small.b, который собирал и отсылал на определенный адрес адреса электронной почты, имевшиеся в файлах на зараженном компьютере.
Нередко наблюдается кооперация червей с вирусами, когда червь обеспечивает транспортировку вируса между компьютерами, а вирус распространяется по компьютеру, заражая файлы.
Пример. Известный в прошлом червь Email-Worm.Win32.Klez.h при заражении компьютера также запускал на нем вирус Virus.Win32.Elkern.c. Зачем это было сделано, сказать тяжело, поскольку вирус сам по себе, кроме заражения и связанных с ошибками в коде вредоносных проявлений (явно выраженных вредоносных процедур в нем нет), никаких действий не выполняет, т. е. не является "усилением" червя в каком бы то ни было смысле.