Методы и средства защиты информации

Методы и средства защиты информации

Лекция 9

"Я никаким насекомым не радуюсь,

потому что я их боюсь, призналась Алиса. –

– Но я могу вам сказать, как их зовут."

"А они, конечно, идут, когда их зовут?"

– небрежно заметил Комар.

"Нет, кажется, не идут."

"Тогда зачем же их звать, если они не идут?"

"Им это ни к чему, а нам все-таки нужно.

Иначе зачем вообще знать, как что называется"

Льюис Керрол

Компьютерные вирусы и механизмы борьбы с ними

Вредительские программы и, прежде всего, вирусы представляют очень серьезную опасность для информации в КС. Недооценка этой опасности может иметь серьезные последствия для информации пользователей. Вредит использованию всех возможностей КС и чрезмерное преувеличение опасности вирусов. Знание механизмов действия вирусов, методов и средств борьбы с ними позволяет эффективно организовать противодействие вирусам, свести к минимуму вероятность заражения и потерь от их воздействия.

Термин «компьютерный вирус» был введен сравнительно недавно - в середине 80-х годов. Малые размеры, способность быстро распространяться, размножаясь и внедряясь в объекты (заражая их), негативное воздействие на систему - все эти признаки биологических вирусов присущи и вредительским программам, получившим по этой причине название «компьютерные вирусы». Вместе с термином «вирус» при работе с компьютерными вирусами используются и другие медицинские термины: «заражение», «среда обитания», «профилактика» и др.

«Компьютерные вирусы» - это небольшие исполняемые или интерпретируемые программы, обладающие свойством распространения и самовоспроизведения (репликации) в КС. Вирусы могут выполнять изменение или уничтожение программного обеспечения или данных, хранящихся в КС, вывод надписи, замедление работы компьютера и т.д. В процессе распространения вирусы могут себя модифицировать. На сегодняшний день число существующих вирусов перевалило за 50000, причем ежедневно появляется 6-9 новых. Ежегодный ущерб от вирусов составляет миллиарды долларов.

1. Классификация компьютерных вирусов

Стандартная классификация существенно облегчает накопление и распространение знаний в любой области, и компьютерные вирусы не являются исключением. Применительно к компьютерной вирусологии она помогает решению такой важной задачи, как однозначное определение типа обнаруженного вируса. При этом должен использоваться ограниченный набор сравнительно простых и непротиворечивых признаков, не требующих проведения глубокого анализа зараженных программ и элементов операционной системы.

В настоящее время в мире насчитывается более 50 тысяч только зарегистрированных компьютерных вирусов. Так как подавляющее большинство современных вредительских программ обладают способностью к саморазмножению, то часто их относят к компьютерным вирусам. Все компьютерные вирусы могут быть классифицированы по следующим признакам:

• по среде обитания;

• по способу заражения;

• по степени опасности деструктивных (вредительских) воздействий;

• по алгоритму функционирования.

По среде обитания компьютерные вирусы делятся на:

• сетевые;

• файловые;

• загрузочные;

• комбинированные (файлово-загрузочные).

Средой обитания сетевых вирусов являются элементы компьютерных сетей. В локальных и глобальных сетях распространяются как обычные вирусы, так и вирусы, специально разработанные для сетевой среды. Сетевые вирусы способны преодолевать защиту сетевых операционных систем, подсматривая и подбирая пароли.

Файловые вирусы размещаются в исполняемых файлах. Они составляют самую большую группу вирусов. Файловые вирусы могут заражать практически любые файлы, содержащие исполнимый код. В первую очередь – это файлы программ, имеющие расширения COM и ЕХЕ. Но не только они подвергаются нападению вирусов. Файлы оверлеев (расширения OVL, OVI, OVR и др.), драйверов также могут быть инфицированы.

Заражая файл, вирусы тем или иным способом записывают свой код внутрь выполняемого файла и изменяют его таким образом, чтобы после запуска файла управление получил код вируса. Вирус может записать свой код в конец, в середину или в начало файла. Вирус также может разделить свой код на несколько блоков и разместить их в разных местах зараженной программы. Далее вирус отрабатывает свои задачи: заражает другие файлы, устанавливает в памяти собственные резидентные модули и выполняет другие функции. Затем вирус, как правило, передает управление зараженной программе и далее она исполняется как обычно.

Вирусы в драйверах. Драйверы запускаются только на этапе загрузки операционной системы, во время ее инициализации и интерпретации файла конфигурации системы CONFIG.SYS. Файлы драйверов обычно имеют расширение SYS. Вирусы, разработанные специально для заражения драйверов, дописывают свой код к файлу драйвера и модифицируют его таким образом, чтобы вирус остался в оперативной памяти после загрузки драйвера.

Вирусы в пакетных файлах. Существует способ, позволяющий записывать внутрь пакетного файла исполнимый машинный код. Также может быть заражен вирусом файл AUTOEXEC.BAT. Обычно файлы CONFIG.SYS и AUTOEXEC.BAT создаются во время установки операционной системы и модифицируются во время установки различного ПО. Целый ряд вирусов, например, Em, Nocopy, Some, DrWatson, вносят изменения в файлы CONFIG.SYS и AUTOEXEC.BAT. Эти вирусы создают на диске выполнимый файл, содержащий код вируса, а затем просто вставляют команду запуска этого файла в CONFIG.SYS или AUTOEXEC.BAT.

Вирусы в файлах документов. Долгое время мало кто подозревал, что вирусы могут распространяться, текстовые заражая файлы документов. Однако летом в 1995 г. Появился такой вирус. Этот вирус, получивший название WinWord.Concept, распространяется, заражая файлы документов в формате Word 6.0 и 7.0. Вместе с документом могут храниться макрокоманды, созданные с помощью специального языка программирования (WordBasic, Visual Basic) Эти макрокоманды фактически являются самыми настоящими программами.

Вирусы, использующие подобные пути распространения, существуют не только в Word. В качестве примера можно привести вирус WinMacro.Weider, распространяющийся в среде Excel. Excel тоже имеет встроенные средства создания макрокоманд.

Загрузочные вирусы находятся в загрузочных секторах (областях) внешних запоминающих устройств (boot-секторах). Иногда загрузочные вирусы называют бутовыми. При заражении диска загрузочным вирусом последний заменяет загрузочную запись или главную загрузочную запись. Настоящая загрузочная запись обычно не пропадает, вирус копирует их в один из свободных секторов. Некоторые же вирусы не сохраняют исходной загрузочной записи.

Таким образом, вирус получает управление сразу после завершения процедуры инициализации модулей BIOS. Затем он копирует себя в конец оперативной памяти, уменьшая при этом объем свободной оперативной памяти, после этого он перехватывает несколько функций BIOS, так что обращение к ним передает управление вирусу. В конце вирус загружает в оперативную память настоящий загрузочный сектор и передает ему управление. Далее компьютер загружается как обычно, но вирус уже находится в памяти и может контролировать работу всех программ и драйверов.

Теперь даже после выключения питания компьютера вирус удалить нельзя, так как он уже записан на жестком диске.

Комбинированные вирусы размещаются в нескольких средах обитания. Примером таких вирусов служат загрузочно-файловые вирусы. Эти вирусы могут размещаться как в загрузочных секторах накопителей на магнитных дисках, так и в теле загрузочных файлов. Они не ограничиваются заражением файлов одного типа. Файлово-загрузочные вирусы распространяются как через выполнимые файлы, так и через загрузочные секторы. Если такой вирус получен при записи на свой компьютер зараженного выполняемого файла, то вирус, перехватив управление, запишет свою копию в главную загрузочную запись или загрузочный сектор жесткого диска. Дальнейшее распространение вируса происходит двумя путями: при копировании с компьютера зараженных программ и через загрузочные секторы дискет, используемых на компьютере. За счер того, что такой вирус имеет возможность заражать различные объекты, он получает больше возможностей для распространения.

По способу заражения среды обитания компьютерные вирусы делятся на:

• резидентные;

• нерезидентные.

Для смягчения недостатков MS-DOS был создан механизм резидентных программ. При запуске резидентной программы она сразу возвращает управление операционной системе, но оставляет в оперативной памяти резидентный модуль. Механизм резидентных программ был использован авторами вирусов.

Резидентные вирусы после их активизации полностью или частично перемещаются из среды обитания (сеть, загрузочный сектор, файл) в оперативную память ЭВМ. Резидентный модуль вируса остается активным вплоть до перезагрузки компьютера. Эти вирусы, используя, как правило, привилегированные режимы работы, разрешенные только операционной системе, заражают среду обитания и при выполнении определенных условий реализуют деструктивную функцию. Резидентные вирусы могут использоваться для самых различных задач. Обычно они применяются для заражения новых программ. Резидентный модуль отслеживает запуск или открытие файлов программ, проверяет, не были ли они уже заражены, и если нет, то заражает их.

Некоторые разновидности вирусов, называемые стелс-вирусами, используют резидентный модуль, чтобы замаскировать своё присутствие.

В отличие от резидентных нерезидентные вирусы попадают в оперативную память ЭВМ только на время их активности, в течение которого выполняют деструктивную функцию и функцию заражения. Затем вирусы полностью покидают оперативную память, оставаясь в среде обитания. Если вирус помещает в оперативную память программу, которая не заражает среду обитания, то такой вирус считается нерезидентным.

По степени опасности для информационных ресурсов пользователя компьютерные вирусы можно разделить на:

• безвредные вирусы:

• опасные вирусы;

• очень опасные вирусы.

Безвредные компьютерные вирусы создаются авторами, которые не ставят себе цели нанести какой-либо ущерб ресурсам КС. Ими, как правило, движет желание показать свои возможности программиста. Однако при всей кажущейся безобидности таких вирусов они наносят определенный ущерб КС. Во-первых, такие вирусы расходуют ресурсы КС, в той или иной мере снижая эффективность ее функционирования. Во-вторых, компьютерные вирусы могут содержать ошибки, вызывающие опасные последствия для информационных ресурсов КС. Кроме того, при модернизации операционной системы или аппаратных средств КС вирусы, созданные ранее, могут приводить к нарушениям штатного алгоритма работы системы.

К опасным относятся вирусы, которые вызывают существенное снижение эффективности КС, но не приводящие к нарушению целостности и конфиденциальности информации, хранящейся в запоминающих устройствах. Последствия таких вирусов могут быть ликвидированы без особых затрат материальных и временных ресурсов. Примерами таких вирусов являются вирусы, занимающие память ЭВМ и каналы связи, но не блокирующие работу сети; вирусы, вызывающие необходимость повторного выполнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи и т. п.

Очень опасными следует считать вирусы, вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе и шифрование) информации, а также вирусы, блокирующие доступ к информации, приводящие к отказу аппаратных средств и наносящие ущерб здоровью пользователям. Такие вирусы стирают отдельные файлы, системные области памяти, форматируют диски, получают несанкционированный доступ к информации, шифруют данные и т. п.

В соответствии с особенностями алгоритма функционирования вирусы можно разделить на два класса:

• вирусы, не изменяющие среду обитания (файлы и секторы) при распространении;

• вирусы, изменяющие среду обитания при распространении.

В свою очередь, вирусы, не изменяющие среду обитания, могут быть разделены на две группы:

• вирусы-«спутники» (companion);

• вирусы-«черви» (worm).

Вирусы-«спутники» не изменяют файлы. Механизм их действия состоит в создании копий исполняемых файлов. Например, в MS DOS такие вирусы создают копии для файлов, имеющих расширение .ЕХЕ. Копии присваивается то же имя, что и исполняемому файлу, но расширение изменяется на .СОМ, вирус записывает себя в этот файл. При запуске файла с общим именем операционная система первым загружает на выполнение файл с расширением .СОМ, который является программой-вирусом. Файл-вирус запускает затем и файл с расширением .ЕХЕ.

Вирусы-«черви» попадают в рабочую станцию из сети, вычисляют адреса рассылки вируса по другим абонентам сети и осуществляют передачу вируса. Вирус не изменяет файлов и не записывается в загрузочные секторы дисков. Некоторые вирусы-«черви» создают рабочие копии вируса на диске, другие - размещаются только в оперативной памяти ЭВМ. Некоторые специалисты не считают черви вирусами, их относят к классу вредоносных программ.

Червь может быть нацелен автором на выполнение определенной функции, например, на проникновение в систему и модификацию некоторых данных. К примеру, можно создать программу-червь, подсматривающую пароль доступа к банковской системе и изменяющую базу данных таким образом, чтобы на счет программиста была переведена определенная сумма денег.

IRC-черви

IRC (Internet Relay Chat) — это специальный протокол, разработанный для коммуникации пользователей Интернет в реальном времени. Этот протокол предоставляет возможность Итрернет-"разговора" при помощи специально разработанного программного обеспечения. Существует довольно большое количество IRC-команд, при помощи которых пользователь может получить информацию о других пользователях и каналах, изменять некоторые установки IRC-клиента и прочее. Сущетсвует также возможность передавать и принимать файлы - именно на этой возможности и базируются IRC-черви.

IRC-клиенты

На компьютерах с MS Windows самыми распространенными клиентами являются mIRC и PIRCH. Это не очень объемные, но довольно сложные программные продукты, которые кроме предоставления основных услуг IRC (подключение к серверам и каналам) имеют еще и массу дополнительных возможностей.К таким возможностям относятся, например, сценарии работы (скрипты) и задание автоматической реакции на различные события. Например, при появлении во время разговора определенного слова IRC-клиент передает сообщение пользователю, пославшему это слово. Также возможно отключение пользователя от канала; посылка персональных сообщений новым пользователям, подключающимся к каналу; и многое другое. В PIRCH-клиенте, например, событий, на которые предусмотрена реакция, более 50.

Скрипт-черви

Как оказалось, мощная и разветвленная система команд IRC-клиентов позволяет на основе их скриптов создавать компьютерные вирусы, передающие свой код на компьютеры пользователей сетей IRC, так называемые "IRC-черви". Первый инцидент с IRC-червем зафиксирован в конце 1997 года: пользователями mIRC-клиента был обнаружен скрипт (файл SCRIPT.INI), переносивший свой код через каналы IRC и заражавший mIRC-клиентов на компьютерах пользователей, подключавшихся к зараженным каналам. Как оказалось, скрипт-черви являются достаточно простыми программами, и через довольно короткое время на основе первого mIRC-червя были созданы и "выпущены" в сети несколько десятков различных скрипт-червей.

Принцип действия таких IRC-червей примерно одинаков. При помощи IRC-команд файл сценария работы (скрипт) или реакции на IRC-события автоматически посылается с зараженного компьютера каждому вновь присоединившемуся к каналу пользователю. Присланный файл-сценарий замещает стандартный и при следующем сеансе работы уже вновь зараженный клиент будет рассылать червя.

Черви при этом используют особенности конфигурации клиента (всех версий mIRC младше 5.31 и всех версий PIRCH до PIRCH98), благодаря которой принимаемые файлы всех типов помещаются в корневой каталог клиента. Этот каталог также содержит и основные скрипты клиента, включая авто-загружаемые mIRC-скрипты SCRIPT.INI, MIRC.INI и PIRCH-скрипт EVENTS.INI. Данные скрипты автоматически исполняются клиентом при старте и в дальнейшем используются как основной сценарий его работы.

Некоторые IRC-черви также содержат троянский компонент: по заданным ключевым словам производят разрушительные действия на пораженных компьютерах. Например, червь "pIRCH.Events" по определенной команде стирает все файлы на диске пользователя.

В скрипт-языках клиентов mIRC и PIRCH также существуют операторы для запуска обычных команд операционной системы и исполняемых модулей (программ) DOS и Windows. Эта возможность IRC-скриптов послужила основой для появления скрипт-червей нового поколения, которые помимо скриптов заражали компьютеры пользователей EXE-вирусами, устанавливали "троянских коней", и т.п.

mIRC.Acoragil и mIRC.Simpsalapim

Первые известные mIRC-черви. Обнаружены в конце ноября - начале декабря 1997. Названия получили по кодовым словам, которые используются червями: если в тексте, переданном в канал каким-либо пользователем присутствует строка "Acoragil", то все пользователи, зараженные червем "mIRC.Acoragil" автоматически отключаются от канала. То же самое происходит с червем "mIRC.Simpsalapim" - он аналогично реагирует на строку "Simpsalapim".

По сложности, степени совершенства и особенностям маскировки алгоритмов вирусы, изменяющие среду обитания, делятся на:

• студенческие;

• «стелс» - вирусы (вирусы-невидимки);

• полиморфные.

К студенческим относят вирусы, создатели которых имеют низкую квалификацию. Такие вирусы, как правило, являются нерезидентными, часто содержат ошибки, довольно просто обнаруживаются и удаляются.

«Стелс»- вирусы и полиморфные вирусы создаются квалифицированными специалистами, хорошо знающими принцип работы аппаратных средств и операционной системы, а также владеющими навыками работы с машиноориентированными системами программирования.

«Стелс»-вирусы маскируют свое присутствие в среде обитания путем перехвата обращений операционной системы к пораженным файлам, секторам и переадресуют обращения к незараженным участкам информации. Вирус является резидентным, маскируется под программы ОС, может перемещаться в памяти. Такие вирусы активизируются при возникновении прерываний, выполняют определенные действия, в том числе и по маскировке, и только затем управление передается на программы ОС, обрабатывающие эти прерывания. «Стелc»-вирусы обладают способностью противодействовать резидентным антивирусным средствам.

Полиморфные вирусы не имеют постоянных опознавательных групп - сигнатур. Обычные вирусы для распознавания факта заражения среды обитания размещают в зараженном объекте специальную опознавательную двоичную последовательность или последовательность символов (сигнатуру), которая однозначно идентифицирует зараженность файла или сектора. Сигнатуры используются на этапе распространения вирусов для того, чтобы избежать многократного заражения одних и тех же объектов, так как при многократном заражении объекта значительно возрастает вероятность обнаружения вируса. Для устранения демаскирующих признаков полиморфные вирусы используют шифрование тела вируса и модификацию программы шифрования. За счет такого преобразования полиморфные вирусы не имеют совпадений кодов.

Любой вирус, независимо от принадлежности к определенным классам, должен иметь три функциональных блока: блок заражения (распространения), блок маскирования и блок выполнения деструктивных действий. Разделение на функциональные блоки означает, что к определенному блоку относятся команды программы вируса, выполняющие одну из трех функций, независимо от места нахождения команд в теле вируса.

После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки. Например, осуществляется расшифрование тела вируса. Затем вирус осуществляет функцию внедрения в незараженную среду обитания. Если вирусом должны выполняться деструктивные воздействия, то они выполняются либо безусловно, либо при выполнении определенных условий.

Завершает работу вируса всегда блок маскирования. При этом выполняются, например, следующие действия: шифрование вируса (если функция шифрования реализована), восстановление старой даты изменения файла, восстановление атрибутов файла, корректировка таблиц ОС и др.

Последней командой вируса выполняется команда перехода на выполнение зараженных файлов или на выполнение программ ОС.

Для удобства работы с известными вирусами используются каталоги вирусов. В каталог помещаются следующие сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в ОП для резидентных вирусов, вызываемые эффекты, наличие (отсутствие) деструктивной функции и ошибки. Наличие каталогов позволяет при описании вирусов указывать только особые свойства, опуская стандартные свойства и действия.