5.8 Защита информационной среды от вредоносных программ

В настоящее время массовое применение персональных компьюте­ров омрачается появлением вредоносных программ, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере ин­формации. К ним относятся спам, программы- скиффер, компьютерные самовоспроизводящиеся вирусы и программы-шпионы.

Спам – массово распространяемая корреспонденция рекламного или иного характера (предвыборные данные о кандидатах, приглашение участвовать в конкурсах и т.п.) По этому виду компьютерных нарушений Россия занимает 10 –12 место.

доставляемая по компьютерным сетям без желания пользователям.

Программы-скиффер перехватывают информационные пакеты, перемещающиеся по сети (для расшифровки пароля достаточно перехватить 1500 пакетов).

Несмотря на принятые во многих странах законы о борьбе с компью­терными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов по­стоянно растет. Финансовый баланс вирусологии приведен в табл. 2.

Таблица 2

Год	Потери от вирусов, Млрд. $	Затраты на антивирусную защиту, Млрд. $
2003	12,3	1,4
2008	15,7	2,8
2010	23,7	3,2

Все это требует зна­ний о природе вирусов, способах заражения вирусами и защиты от них как у рядового пользователя, так и у руководителей. Незнание механизма ра­боты компьютерных вирусов может послужить причиной:

- принятия неадекватных мер, связанных с чрезвычайными затра­тами времени и средств;

- ограничения информационных связей из-за боязни заражения вирусами (неоправданная изоляция от внешней среды);

- элементарного обмана (отсутствие четких знаний руководителей о вирусах позволяет работникам списывать на вирусы причины лю­бых задержек и трудностей);

- парализации рабочего процесса.

Что же касается происхождения компьютерных вирусов, то они, как и все программы, создаются человеком. Мотивы этого явления самые разные: от злого умысла (стремление навредить кому-либо) до желания пошутить - например, разыграть знакомых или просто поэкспериментиро­вать, попробовать свои силы, самоутвердиться. Наконец, материальный стимул, существует версия, что распространением вирусов занимаются разработчики антивирусного программного обеспечения, чтобы оправдать необходимость использования своих программ и увели­чить объемы продаж. В настоящее время происходит переход от массового заражения компьютеров к заражению компьютеров отдельных фирм, организаций.

Написание вируса не такая сложная задача, которая вполне доступна даже начинающим программистам. Поэтому основная масса вирусов создаются студентами и школьниками, которые только что изучили язык программирования и еще не полностью овладели искусством программирования, хотят попробовать свои силы, но не смогли найти для них более достойного применения. Такие авторы пишут вирусы для самоутверждения. Из-под пера подобных «умельцев» часто выходят вирусы крайне примитивные и с большим числом ошибок («студенческие» вирусы). Жизнь подобных вирусописателей стала заметно проще с развитием интернета и появлением многочисленных веб-сайтов, содержащих сведения по написанию компьютерных вирусов. Часто в них можно найти готовые исходные тексты, в которые надо всего лишь внести минимальные «авторские» изменения и откомпилировать рекомендуемым способом.

Наиболее опасную группу вирусописателей составляют профессиональные программисты, которые создают и запускают в мир «профессиональные» вирусы. Это тщательно продуманные и отлаженные программы, использующие достаточно оригинальные алгоритмы проникновения в компьютерные системы.

Кроме того, существует группа авторов вирусов – «исследователей», которые занимаются изобретением принципиально новых методов заражения, скрытия, противодействия антивирусам и т.д. Часто авторы подобных вирусов не распространяют свои творения, однако активно пропагандируют свои идеи через многочисленные интернет-ресурсы, посвященные созданию вирусов. При этом опасность, исходящая от таких «исследовательских» вирусов, тоже весьма велика – попав в руки «профессионалов», эти идеи очень быстро появляются в новых вирусах.

Прежде чем дать понятие «компьютерный вирус» попытаемся раскрыть его сущность и свой­ства.

Во-первых, вирус - это программа. Это простое утверждение само по себе способно развеять множество мифов о необыкновенных возможно­стях компьютерных вирусов. Вирус может перевернуть изображение на мониторе, но не может перевернуть сам монитор.

Во-вторых, вирус является программой, обладающей способностью к самовоспроизведению. Но не только вирусы способны к самовоспроизве­дению. Множество программ способно создавать собственные копии. Ко­пии же вируса не только не обязаны полностью совпадать с оригиналом, но и могут вообще с ним не совпадать. Именно это обстоятельство в значительной мере осложняет борьбу с вирусами.

В-третьих, вирус не может существовать в «полной изоляции»: сего­дня нельзя представить себе вирус, который не использует коды других программ, информацию о файловой структуре или даже просто имена других программ. Причина понятна: вирус должен каким-нибудь спосо­бом обеспечить передачу себе управления.

В-четвертых, вирус может испортить, т.е. изменить ненадлежащим образом, какой-либо файл. Так, некоторые виды файлов вирус может «зара­зить», внедриться в эти файлы и при «благоприятных» обстоятельствах начнет свою «работу».

Таким образом, на основании вышеизложенного, можно сформули­ровать определение компьютерного вируса.

Компьютерный вирус — это небольшая, специально созданная программа, кото­рая способна приписывать себя к другим программам (иными словами, заражать их), создавать свои копии и осуществлять различные нежела­тельные действия на компьютере.

К этому можно добавить, что вирус - это, как правило, небольшая программа (так как она должна быть незаметной).

В случае заражения компьютера вирусом очень важно обнаружить его как можно быстрее. Для этого необходимо знать признаки заражения:

- замедление работы компьютера;

- невозможность загрузки операционной системы;

- самопроизвольная перезагрузка компьютера;

- частые «зависания» компьютера и другие сбои в работе компьютера;

- неправильная работа отдельных устройств, пакетов программ;

- изменение размера файла;

- изменение даты и времени модификации файлов;

- появление новых неизвестных файлов, папок, каталогов;

- существенное уменьшение объема свободной оперативной памяти;

- вывод на экран непредусмотренных сообщений и изображений;

- подача непредусмотренных звуковых сигналов;

- исчезновение файлов, каталогов, папок или искажение их содержания;

- вывод из строя отдельных устройств (дисковода, монитора и т.п.).

Хотя вышеуказанные явления могут быть вызваны другими причинами, они должны послужить сигналом пользователю о необходимости диагностики системы с целью выяснения причин таких отклонений в работе компьютера.

Механизм заражения. Заражая файл, вирус записывает себя внутрь этого файла и изменяет его таким образом, чтобы запускался вначале вирус. При запуске этой программы вирус заражает другие файлы, приписывая себя к ним, и выполняет нежелательные действия.

Хотя вряд ли стоит относиться к последней версии всерьез; написание вируса - не такая уж сложная задача, которая вполне доступна даже начинающим изучающим программирование (не говоря уже о написании получивших распространение в последнее время макровиру­сов). Поэтому

В настоящее время ежедневно в мире появляются новые вирусы. Известными являются более 100000 самых разно­образных вирусов, что значительно затрудняет их классификацию. Тем не менее, известные вирусы можно классифицировать по следующим призна­кам:

- по среде обитания;

- по способу заражения среды обитания;

- по характеру воздействия;

- по особенностям алгоритма.

В зависимости от среды обитания вирусы можно разделить на сле­дующие типы: файловые; загрузочные; файлово-загрузочные; системные; сетевые.

Файловые вирусы внедряются главным образом в исполняемые мо­дули, т.е. в файлы, имеющие расширения *.СОМ, *.ЕХЕ и *.ВАТ. Вирус в зараженных исполняемых файлах начинает свою «работу» при запуске той программы, в которой он находится. Наиболее опасными являются те файловые вирусы, которые после своего запуска остаются в памяти рези­дентно - они могут заражать файлы и вредить до следующей перезагрузки компьютера. А если они заразят программу, запускаемую из файла AUTOEXEC.BAT или CONFIG.SYS, то и при перезагрузке с жесткого диска вирус снова проявит себя.

Файловые вирусы могут внедряться и в другие типы файлов, но, в большинстве случаев, записанные в таких файлах, они никогда не полу­чают управление и, следовательно, теряют способность к размножению. Исключения составляют, так называемые макровирусы, способные поражать текстовые файлы, подготовленные с помощью программы Microsoft Word и файлы электронных таблиц Excel. В последнее время макровирусы получили очень широкое распространение - на их долю приходится около 80% случаев заражения компьютера.

Загрузочные вирусы (или как их еще называют, бутовые), внедряют­ся в загрузочный сектор диска (Boot-сектор) или сектор, содержащий про­грамму загрузки системного диска (Master Boot Record). Такой вирус на­чинает действовать при начальной загрузке компьютера и становится ре­зидентным, т.е. постоянно находится в памяти компьютера. Механизм распространения - заражение загрузочных записей вставляемых в компь­ютер дискет. Часто такие вирусы состоят из двух частей, поскольку загру­зочная запись и главная загрузочная запись имеют небольшой размер и в них трудно разместить целиком программу вируса. Часть вируса, не помещающаяся в них, располагается в другом участке диска, например в конце корневого каталога диска, или в кластере в области данных диска (обычно такой кластер объявляется дефектным, чтобы программа вируса не была затерта при записи данных на диск).

Файлово-загузочнье вирусы являются своеоб­разным гибридом файловых и загрузочных вирусов. Они является в неко­тором роде универсальными, так как способны заражать как файлы, так и загрузочные сектора дисков.

Системные вирусы - это вирусы, способные заражать системные программы (имеющие расширение .SYS). Это файлы операционных систем, драйверы уст­ройств, т.е. файлы, указываемые в файле CONFIG.SYS. Вирус, находящийся в них, начинает свою деятельность при каждом обращении к соответствующему устройству. Вирусы, заражаю­щие драйверы устройств, очень мало распространены, поскольку драйве­ры редко переписываются с одного компьютера на другой. То же относит­ся и к системным файлам DOS (MSDOS.SYS, и IO.SYS) - их заражение также возможно, но для распространения вирусов малоэффективно.

Сетевыми называются вирусы, которые в основном осуществляют свое распространение с помощью различных компьютерных сетей (это могут быть как локальные, так и глобальные сети).

Наиболее часто в настоящее время встречаются макровирусы, посе­ляющиеся в текстовых документах и электронных таблицах (их около 80%); за ними идут файловые вирусы, заражающие исполняемые файлы; на третьем месте - загрузочные вирусы, заражающие загрузочные области дисков. И уже за ними следует прочая, но не такая многочисленная группа вирусов.

По способу заражения все многообразие вирусов делится на рези­дентные и нерезидентные.

Резидентные вирусы при получении управления оставляют в опе­ративной памяти свою часть (модуль), которая является активной вплоть до выключения или перезагрузки компьютера, перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным сек­торам дисков и т.п.) и внедряется в них.

Нерезидентный вирус при заражении (инфицировании) компьютера яв­ляется активным ограниченное время (как правило, только во время за­пуска и работы зараженной программы).

По характеру воздействия вирусы можно разделить на следующие виды.

Неопасные. К ним относятся вирусы, не мешающие работе компью­тера, но уменьшающие объем свободной оперативной памяти и памяти на дисках. Действие таких вирусов проявляется в каких-либо графических или звуковых эффектах.

Опасные. К опасным принято относить вирусы, которые способны привести к различным нарушениям в работе компьютера.

Очень опасные. Это компьютерные вирусы, воздействие которых может привести к потере программ, уничтожению данных или стиранию информации в системных областях диска, вывод из строя отдельных устройств.

По особенностям алгоритма вирусы очень трудно классифицировать из-за большого разнообразия, но тем не менее некоторые их группы мож­но выделить и охарактеризовать.

Простейшие вирусы. Эти вирусы являются паразитическими. Их действия сводятся к тому, что они изменяют содержимое файлов и секто­ров диска, такие вирусы могут быть достаточно легко обнаружены по характерной для них сигнатуре (определенная цепочка битов) и уничтожены.

Вирусы-репликаторы. Эти вирусы часто называют «червями». Они распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.

Вирусы-невидимки, или так называемые стелс-вирусы. Такие вирусы достаточно трудно обнаружить и обезвредить. Это объясняется тем, что многие резидентные вирусы (файловые, загрузочные) перехватывают обращения операционной сис­темы (и тем самым прикладных программ) к зараженным файлам и секто­рам дисков и подставляют вместо своего тела незараженные участки дис­ка. Несмотря на это, многие антивирусные программы способны обнару­живать «невидимые» вирусы. Кроме того, некоторые из антивирусных утилит используют для борьбы с вирусами свойство «невидимых» файло­вых вирусов «вылечивать» зараженные файлы. Они считывают (при рабо­тающем диске) информацию из зараженных файлов и записывают их на диск в файл или файлы, где эта информация хранится в неискаженном виде. Затем, уже после загрузки с «чистой» дискеты, исполняемые файлы восстанавливаются в исходном виде.

Наиболее трудно обнаружить вирусы-мутанты, содержащие алго­ритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Эти виру­сы также называют самомодифицирующимися, так как для того чтобы укрыться от обнаружения, они используют необычный способ - модифи­кацию своего тела. Они хранят большую часть своего тела в закодирован­ном виде, так что без помощи дезассемблера нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, и, кроме того, изменя­ют свою стартовую часть, которая служит для раскодировки остальных команд вируса. Это, естественно, затрудняет нахождение таких вирусов.

Существуют и так называемые квазивирусные, или «троянские» про­граммы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загру­зочный сектор и файловую систему дисков.

Логические бомбы–компьютерные вирусы, активизирующиеся при наступлении определенного события (пятница 13-го числа, день рождения Паскаля и т.п.)

Рассмотрим основные пути проникновения вирусов в компьютер.

1. Выполнена зараженная вирусом программа. Вирус, как правило, внедряется в рабочую программу таким образом, чтобы при ее запуске управление сначала передалось ему и только после выполнения всех его команд снова вернулось к рабочей программе. Получив доступ к управле­нию, вирус, прежде всего, переписывает сам себя в другую рабочую про­грамму и заражает ее, а затем выполняет различные нежелательные действия на компьютере. После запуска программы, содержащей вирус, становится возможным заражение других файлов. Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения .EXE, .COM, .SYS, .ВАТ. Крайне редко заражаются текстовые файлы (за исключением файлов .doc).

После заражения программы вирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь внимания. И, нако­нец, не забывает возвратить управление той программе, из которой был запущен. Каждое выполнение зараженной программы переносит вирус в следующую. Так может заразиться все программное обеспечение. Таким образом, одна из причин проникновения вируса - выполнение зараженной программы; особенно часто это бывает в случае использования пиратского программного обеспечения, а также бесплатных и условно-бесплатных программ, поставляемых компьютерными сетями.

2. Компьютер загружался с дискеты, содержащей зараженный загру- зочный сектор. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение мо­- жет быть и случайным, например, если дискету не вынули из дисковода А и перезагрузили компьютер, при этом дискета может быть и не системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, напри­- мер, прочитали ее оглавление).

3. На компьютер была установлена зараженная операционная систе­- ма или драйвер (такое бывает нередко при использовании пиратского про­г- раммного обеспечения).

4. Возможно проникновение вируса из сетей. Очень часто электрон­- ные письма, распространяемые в сети Интернет, содержат выполняемые файлы, которые часто содержат вирусы. Эта причина тоже достаточно часто имеет место при заражении компьютерным вирусом.

Для обнаружения, удаления и защиты от компьютерных вирусов раз­работано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются анти­вирусными. Различают следующие виды антивирусных программ:

- сканеры, или программы-детекторы;

- программы-доктора, или фаги;

- программы-ревизоры; - доктора-ревизоры;

- программы-фильтры;

- программы-вакцины, или иммунизаторы.

Рассмотрим основные принципы действия этих программ.

1. Сканеры, или программы-детекторы, осуществляют поиск харак­терной для конкретного вируса сигнатуры в оперативной памяти и в фай­- лах и при обнаружении выдают соответствующее сообщение. Недостат­- ком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

2. Программы-доктора, или фаги, не только находят зараженные ви­- русами файлы, но и «лечат» их, то есть удаляют из файла тело программы- вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. прог-­ раммы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Из-за того, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регуляр­ного обновление версий.

3. Программы-ревизоры являются достаточно надежным средством защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска незараженного компьютера. Затем периодически или по желанию пользователя сравнивают текущее состоя­- ние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний произходят сразу после загрузки опе­- рационной системы. При сравнении проверяются длина файла, код цикли­- ческого контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые ал­- горитмы, обнаруживают стелс-вирусы и могут даже очистить версии про­- веряемой программы от изменений, внесенных вирусом. К числу прог-­ рамм-ревизоров относится широко распространенная в России программа ADinf, а также Microsoft Antivirus.

4. Доктора-ревизоры - это гибриды ревизоров и докторов, т.е. про­г- раммы, которые не только обнаруживают изменения в файлах и систем­- ных областях дисков, но и могут в случае изменений автоматически вер­- нуть их в исходное состояние.

5. Программы-фильтры, или резидентные сторожа, представляют со­- бой небольшие резидентные программы, предназначенные для обнаруже­- ния подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

- попытки изменения файлов с расширениями .СОМ, .ЕХЕ, .ВАТ;

- изменение атрибутов файла (нарушение связи между отдельными частями файла);

- прямая запись на диск по абсолютному адресу:

- запись в загрузочные сектора диска;

- загрузка резидентной программы (попытка какой-либо программы остаться резидентно).

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма по­лезны, так как способны обнаружить вирус на самой ранней стадии его существовали - до размножения. Однако они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, на­пример фаги. К недостаткам программ-сторожей можно отнести их «назойливостъ» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит MS Windows.

6. Вакцины, или иммунизаторы - это резидентные программы, пре­дотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет восприни­мать их зараженными и поэтому не внедрится. В настоящее время про­граммы-вакцины имеют очень ограниченное применение; причина этого – чрезвычайно низкий эффект данного вида антивирусных программ.

К сожалению, ни один вид антивирусных программ по отдельности не дает полной защиты от вирусов. Поэтому наилучшей стратегией защиты является многоуровневая оборона, включающая несколько антивирус­ных программ, а также соблюдение профилактических мер по защите от заражения компьютерным вирусом.

Для того чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо со­блюдать следующие правилах.

1. Желательно оснастить компьютер несколькими современными ан­- тивирусными программами, например, Kaspersky LAB AVP, Doctor Web, Norton AntiVirus, Adinf и постоянно обновлять их версии.

2. Перед считыванием с дискет и дисков информации, записанной на других компьютерах, всегда проверяйте эти дискеты на наличие вирусов, запус­кая антивирусные программы своего компьютера.

3. Не открывать без проверки выполняемые файлы, присоединенные к электронным письмам.

4. При переносе на свой компьютер файлов в архивированном виде проверять их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами.

5. Периодически проверять на наличие вирусов жесткие диски ком-­ пьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищенной от записи диска, предварительно загрузив операционную систему с защищенного от записи системного диска.

6. Всегда защищать свои диска от записи при работе на других компьютерах, если на них не будет производиться запись информации.

7. Обязательно делать архивные копии ценной информации на дис­- ках, причем выполнять это немедленно после полной проверки на виру­- сы.

8. Не оставлять в кармане дисковода дискеты при включении или пе-­ резагрузке операционной системы, чтобы исключить заражение компью-­ тера загрузочными вирусами.

9. Использовать антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей.

10. Поддерживать актуальность списка сигнатур.

11. Никогда не экспериментировать с вирусами. Нельзя недооцени-­ вать опасность даже старых и известных вирусов.

12. Использовать только лицензионное программное обеспечение.

13. Не допускать к компьютерам сомнительных пользователей.

Действия при заражении вирусом

При заражении компьютера вирусом (или подозрении на это) важно соблюдать следующие правила.

1. Прежде всего, не надо торопиться и не принимать опрометчивых решений, которые могут привести не только к потере части файлов, но и к повторному заражению компьютера.

2. Немедленно выключить компьютер, чтобы вирус не продолжал свою работу. Перезагрузку компьютера нельзя выполнять, используя комбинацию клавиш <Ctrl>+<Alt>+<Delete>, так как некоторые вирусы способны анализировать это прерывание и продолжать работать. Они могут имитировать перезагрузку компьютера и ответить каким-то жестким образом. Кроме того, при выключении компьютера очищается оперативная память и удаляются все находящиеся там вирусы. Для перезагрузки нужно использовать кнопку <REZET> на системном блоке или вообще перезапустить питание.

3. Запустить компьютер с «эталонной», защищенной от записи дискеты, диска. Несоблюдение этого правила может привести к очень тяжелым последствиям, поскольку при загрузке операционной системы или запуске программы с зараженного диска в компьютере может быть активизирован вирус, а при работающем вирусе лечение компьютера будет бессмысленным, так как оно будет сопровождаться дальнейшим заражением дисков и программ.

4. Запустить антивирусную программу с защищенного от записи диска. Сначала необходимо запустить программу-детектор для определения типа вируса и зараженных файлов

5. Если указанные действия не приводят к желаемому результату, можно снять жесткий диск и вылечить его на чистом компьютере.

Таким образом, мероприятия по защите информации должны проводиться на всех стадиях создания ИСУ: проектировании, разработке, подготовке к внедрению и проведении эксплуатации.