книги / Основы информационной безопасности

–вирус имеет недеструктивную фазу проявления, из-за ошибок он может некорректно заразить и тем самым испортить некоторые программы;

–фаза проявления вируса связана с воздействием на систему (эффект замедления, блокировка клавиатуры), никакие файлы преднамеренно не портятся;

–фаза проявления (помимо выше названных эффектов) связана

спреднамеренной порчей или стиранием программных или других файлов, файловая система остается работоспособной;

–вирусчастичнопортитнекоторыеважныечастифайловойсистемы на гибком или жестком диске, возможно их восстановление вручную;

–вирус полностью портит файловую систему на жестком диске, форматирует винчестер и т. п.;

–вирус физически портит аппаратуру (прожигание экрана монитора, вывод из строя микросхем за счет нарушения теплового режима и т. п.).

14.2.Классификация компьютерных вирусов

14.2.1. Классификация компьютерных вирусов по среде обитания

По среде обитания вирусы делятся:

–на файловые;

–загрузочные;

–макровирусы;

–сетевые.

Файловые вирусы либо внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойни- ки (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).

Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик жесткого диска (Master Boot Record), либо меняют указатель на активный boot-сектор.

Макровирусы заражают файлы-документы и электронные таблицы популярных офисных приложений.

431

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Существует большое количество сочетаний – например, файло- во-загрузочныевирусы, заражающие какфайлы, такизагрузочные секторадисков. Такиевирусы, какправило, имеютдовольносложныйалгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс- и полиморфик-технологии. Другой пример такого сочетания – сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

Заражаемая операционная система является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OС – DOS, Windows и т. д. Макровирусы заражают файлы форматов Word, Excel, пакета Office. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.

14.2.2. Классификация компьютерных вирусов по особенностям алгоритма работы

По особенностям алгоритма работы вирусы делятся:

–на резидентные;

–стелс-вирусы;

–полиморфик-вирусы;

–вирусы, использующие нестандартные приемы.

Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. К резидентным относятся макровирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие «перезагрузка операционной системы» трактуется как выход из редактора.

Вмногозадачныхоперационныхсистемахвремя«жизни» резидентного DOS-вируса также может быть ограничено моментом закрытия за-

432

раженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов OC.

Использование стелс-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов операционной системы на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации. В случае макровирусов наиболее популярный способ – запрет вызовов меню просмотра макросов.

Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования (обнаружения) вируса. Полиморфик-ви- русы (polymorphic) – это достаточно труднообнаруживаемые вирусы, не имеющие сигнатур, то есть не содержащие ни одного постоянного участка кода. Вбольшинстве случаев дваобразца одногоитогожеполи- морфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованиемосновноготелавирусаимодификациями программы-рас- шифровщика.

Различные нестандартные приемы часто используются ввирусахдля того, чтобы как можно глубже спрятать себя в ядре операционной системы, защититьотобнаружениясвоюрезидентнуюкопию, затруднитьлечение от вируса (например, поместив свою копию в Flash-BIOS) и т.д.

14.2.3. Классификация компьютерных вирусов по деструктивным возможностям

По деструктивным возможностям вирусы можно разделить:

–набезвредные, тоестьникакневлияющиенаработукомпьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

–неопасные, влияние которых ограничивается уменьшением свободной памяти на диске;

–опасные, которые могут привести к серьезным сбоям в работе компьютера;

–очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, унич-

433

тожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже повредить аппаратные средства компьютера.

Нодажеесливалгоритмевирусаненайденоветвей,наносящихущерб системе, этот вирус нельзя с полной уверенностью назвать безвредным, таккакпроникновениееговкомпьютерможетвызватьнепредсказуемые и порой катастрофические последствия, поскольку вирус, как и всякая программа, имеет ошибки, в результате которых могут быть испорчены как файлы, так и сектора дисков.

14.3.Характеристика «вирусоподобных» программ

14.3.1.Виды «вирусоподобных» программ

К«вредным программам», помимо вирусов, относятся:

–«троянские» программы (логические бомбы);

–утилиты скрытого администрирования удаленных компьютеров;

–«intended»-вирусы;

–конструкторы вирусов;

–полиморфик-генераторы.

14.3.2. Характеристика «вирусоподобных» программ

«Троянские» программы (логические бомбы). К «троянским» программам относятся программы, наносящие какие-либо разрушительные действия в зависимости от различных условий. Например, уничтожение информации на дисках при каждом запуске или по определенному графику и т. д. Большинство известных «троянских» программ являются программами, которые маскируются под какие-либо полезные программы, новые версии популярных утилит или дополнения к ним. Очень часто они рассылаются по электронным конференциям. По сравнению с вирусами «троянские» программы не получают широкого распространенияподостаточнопростымпричинам– онилибоуничтожают себя вместе с остальными данными на диске, либо демаскируют свое присутствие и уничтожаются пострадавшим пользователем. К «троянским» программам также относятся так называемые «дропперы» вирусов – зараженные файлы, код которых подправлен таким образом, что известные версии антивирусов не определяют присутствие вируса

434

в файле. Например, файл шифруется или упаковывается неизвестным архиватором, что не позволяет антивирусу «увидеть» заражение.

Отметим еще один тип программ (программы – «злые шутки»), которые используются для устрашения пользователя, ложно сообщая

озаражении вирусом или о каких-либо предстоящих действиях с этим связанных, то есть сообщают о несуществующих опасностях, вынуждая пользователя к активным действиям. Например, к «злым шуткам» относятся программы, которые «пугают» пользователя сообщениями

оформатировании диска (хотя никакого форматирования на самом деле не происходит), детектируют вирусы в незараженных файлах, выводят странные вирусоподобные сообщения и т. д. К категории «злых шуток» можноотнеститакжезаведомоложныесообщенияоновых«супер-виру- сах». Такие сообщения периодически появляются в Интернете и обычно вызывают панику среди пользователей.

14.3.3. Утилиты скрытого администрирования

Утилиты скрытого администрирования являются разновидностью «логических бомб» («троянских» программ), которые используются злоумышленниками для удаленного администрирования компьютеров

всети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые различными фирмами-производителями программных продуктов. Единственнаяособенностьэтихпрограммзаставляетклассифицировать их как вредные «троянские» программы: отсутствие предупреждения об инсталляции и запуске. При запуске такая программа устанавливает себя в систему и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях программы в системе. Чаще всего ссылканатакуюпрограммуотсутствуетвспискеактивныхприложений. В результате пользователь может и не знать о ее присутствии в системе,

вто время как его компьютер открыт для удаленного управления. Внедренные в операционную систему утилиты скрытого управле-

ния позволяют делать с компьютером все, что в них заложил их автор: принимать/отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. В результате эти программы могут быть использованы для обнаружения и пере-

435

дачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п.

14.3.4.«Intended»-вирусы

Ктаким вирусам относятся программы, которые, на первый взгляд, являются стопроцентными вирусами, но не способны размножаться по причине ошибок. Например, вирус, который при заражении не помещает в начало файла команду передачи управления на код вируса либо записывает в нее неверный адрес своего кода, либо неправильно устанавливает адрес перехватываемого прерывания (в большинстве случаев это приводит к «зависанию» компьютера) и т. д. К категории «intended» также относятся вирусы, которые по приведенным выше причинам размножаются только один раз – из «авторской» копии. Заразив какой-либо файл, они теряют способность к дальнейшему размножению. Появляются «intended»-вирусы чаще всего из-за неумелой перекомпиляции ка- кого-либо уже существующего вируса либо по причине недостаточного знания языка программирования, либо по причине незнания технических тонкостей операционной системы.

14.3.5.Конструкторы вирусов

Кданному виду «вредных» программ относятся утилиты, предназначенные для изготовления новых компьютерных вирусов. Известны конструкторы вирусов для DOS, Windows и макровирусов. Они позволяют генерировать исходные тексты вирусов, объектные модули, и/или непосредственно зараженные файлы. Некоторые конструкторы снабжены стандартным оконным интерфейсом, где при помощи системы меню можно выбрать тип вируса, поражаемые объекты (COM и/или EXE), наличие или отсутствие самошифровки, противодействие отладчику, внутренние текстовые строки, эффекты, сопровождающие работу вируса и т. п.

14.3.6.Полиморфные генераторы

Полиморфик-генераторы, как и конструкторы вирусов, не являются вирусами в прямом смысле этого слова, поскольку в их алгоритм не закладываются функции размножения, то есть открытия, закрытия и записи в файлы, чтения и записи секторов и т. д. Главной функцией подобногородапрограммявляетсяшифрованиетелавирусаигенерация

436

соответствующего расшифровщика. Обычно полиморфные генераторы распространяются ввиде файла-архива. Основным файлом вархиве любого генератора является объектный модуль, содержащий этот генератор.

14.4. Средства антивирусной защиты

Для борьбы с программами-вирусами широко используются антивирусные программы. Разработке таких программ в настоящее время уделяется чрезвычайно серьезное внимание как у нас в стране, так

иза рубежом. Ярким примером является Национальный институт науки

итехнологии США, который сформировал целый консорциум для борьбы с программами-вирусами в коммерческих ЭВМ и вычислительных системах. Денежные средства, поступающие в консорциум, затрачиваются на сбор и распространение информации, необходимой для обнаружения и ликвидации вирусов. Кроме того, продается множество антивирусных программ, разработанных для различных ЭВМ.

Рассмотрим основные классы антивирусных программ.

Программы проверки целостности программного обеспечения.

Этоткласс позволяет подсчитать контрольнуюсумму (названную сигнатурой) каждой программы пользователя. Перед выполнением программы расчетное значение контрольной суммы сравнивается с записанным для защищенных копий программы. Такие программы не могут препятствовать заражению, однако дают пользователю ценную информацию о зараженных или измененных программах.

Программы контроля. Программы этого класса используют режим прерывания работы ЭВМ. Если, по мнению автора антивирусной программы, они замечают что-либо подозрительное, то прерывают работу ЭВМ и выдают оператору рекомендацию о дальнейших действиях.

Программы удаления вирусов. Такие программы проверяют наличие на магнитном диске только известных вирусов. Обнаружив вирус, они сообщают об этом оператору или удаляют вирус.

Копии. Копирование программ является методом защиты, однако оно не гарантирует отсутствие вирусов.

Существуют смешанные антивирусные программы, сочетающие свойства программ перечисленных выше классов. В качестве примера можно привести пакет программ «Eliminator», разработанный в 1990 г.

437

английской фирмой «PC Security». Данный пакет распознает и удаляет все известные вирусы в персональных ЭВМ фирмы IBM и совместимых с ними. Пакет состоит из двух программ: Virus Monitor и Virus Clean. Первая при загрузке ЭВМ проверяет резидентные в памяти программы на наличие вирусов. Она сообщает оператору о найденных вирусах, проверяет каждую программу перед ее выполнением ипрепятствует выполнениюзараженныхпрограмм. Программасообщаеттакжеоператору о зараженных дискетах. Virus Clean подготавливает отчет о зараженных файлах или магнитных дисках. Она может также удалять вирусы из зараженных файлов. Если пакет Eliminator найдет новый вирус, который он не может распознать, то он запрашивает копию зараженной дискеты. В обмен на эту копию фирма PC Security поставляет в дальнейшем бесплатно программу, разрешающую проблему.

В целях предотвращения заражения ЭВМ и вычислительных систем вирусами можно рекомендовать пользователям следующие меры:

– вводить в ЭВМ минимальное число новых программ;

– копировать новые программы прежде, чем они будут запущены в работу;

– по возможности не пользоваться сетями ЭВМ.

В качестве методов защиты информации в ЭВМ от вирусов можно рассматривать применение всех известных схем контроля доступа, о которых мы достаточно подробно говорили в главе 2.

Наконец, специфическим средством борьбы с заражением вычислительных систем и сетей вирусами являются меры юридического и административного характера. Юридические средства защиты сводятся в основном к административной и уголовной ответственности за умышленное создание и распространение вируса с целью нанесения ущерба. Трудность их применения состоит в доказательстве авторства и умышленности создания таких программ.

Специалисты по защите информации исследуют в настоящее время различныеновыеметоды«лечения» ЭВМотвирусов. Однакодосихпор не найдено метода, дающего полную гарантию защиты. Среди разрабатываемых перспективных методов можно отметить следующие:

– адаптивные и самообучающиеся;

– интеллектуальные;

– аппаратные.

438

Адаптивные и самообучающиеся средства – это средства, автоматически расширяющие список вирусов, которым они противостоят. К ним, в первую очередь, относятся средства, содержащие постоянно пополняемые базы вирусов. Наиболее привлекательной выглядит идея создания самообучающейся системы, которая при встрече с неизвестным ей вирусом автоматически анализирует его и добавляет в свой арсенал.

Интеллектуальные методы – методы, базирующиеся на системах логического вывода. Их суть сводится к определению алгоритма, реализуемого программой, по ее коду и выявлению таким образом программ, осуществляющих несанкционированные действия. Это перспективный метод, но он требует огромных затрат.

Аппаратные средства – это дополнительное усиление системы защиты. Применяются в специальных приложениях, однако широкого распространения пока не получили, так как их применение ограничивает возможности систем.

Анализ разработанных на сегодня теоретических основ борьбы с компьютерными вирусами позволяет заключить, что абсолютная защита может быть достигнута только абсолютным же изоляционизмом, что, естественно, на практике является неприемлемым решением. Для ограниченной защиты от вирусов могут быть использованы те или иные из описанных выше форм обнаружения программ-вирусов и предупреждения их разрушительного воздействия.

Анализ показывает, что в настоящее время любая используемая автоматизированная система общего назначения открыта по крайней мере для ограниченной вирусной атаки, причем вирусы легко создаются ибыстро распространяются намножестве операционных систем. Вэтих условиях как достаточно надежная предпосылка безопасности любой компьютерной системы должен рассматриваться контроль ее целостности. Чтобы быть наверняка устойчивой к вирусным атакам, система должна защищаться по входному потоку информации. В то же время, чтобы не допустить несанкционированной утечки информации, система должна защищать выходной поток. При этом для обмена информацией должен существовать хоть какой-нибудь информационный поток, через который и может быть осуществлено заражение системы вирусами даже приналичииуказанныхзащитныхмеханизмовповходномуивыходному потокам. Следовательно, для предотвращения вирусной атаки в системе

439