Вредоносные программы
К вредоносному программному обеспечению относятся:
«классические» компьютерные вирусы;
троянские программы;
сетевые черви;
спам и др.
В настоящее время известно более 120 тысяч вредоносных программ, и каждый день появляются десятки новых.
Подробные сведения о вирусах и других вредоносных программах можно получить из размещенной в Интернете Вирусной энциклопедии (Viruslist)
Классические компьютерные вирусы
Компьютерный вирус — специально написанная программа, способная самопроизвольно распространяться, «заражать» другие программы и осуществлять разрушительные и другие негативные воздействия на компьютере.
К категории классических компьютерных вирусов относятся программы, распространяющие свои копии по ресурсам локального компьютера. Они подразделяются на следующие основные виды:
программные (файловые) вирусы, которые внедряются главным образом в исполняемые модули — файлы с расширением сот, ехе и т. п.;
загрузочные, которые внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки сис темного диска;
• макровирусы, которые заражают файлы-документы и шаблоны документов Microsoft office (\Уогс1, Ехсе1, Ро^егРош!).
Компьютерные вирусы обладают способностью присоединяться к другим программам, -создавать свои копии, внедрять их в файлы, системные области компьютера и вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе на компьютере. Способы распространения и действия вирусов крайне разнообразны — от выдачи безобидных сообщений, картинок или звуков до вывода из строя всей компьютерной системы и потери информации на жестком диске.
По особенностям алгоритма воздействия вирусы различаются большим разнообразием. Известны вирусы-паразиты, вирусы-черви, вирусы-невидимки (стелс-вирусы), вирусы-призраки (полиморфные самошифрующиеся вирусы или вирусы-мутанты), компаньон-вирусы и др.
Некоторые вирусы могут иметь свойства других разновидностей вредоносных программ, например, могут содержать троянскую компоненту для полного уничтожения информации на жестком диске.
Троянские программы
Троянские программы (троянские кони, шпионы и др.) хотя и не способны к самораспространению, но являются очень опасными, так как маскируются под полезные программы и осуществляют различные несанкционированные действия, о которых пользователь может и не догадываться, — собирают информацию об именах и паролях и передают ее злоумышленникам для использования ресурсов компьютера в неблаговидных целях, либо нарушают работоспособность компьютера и его файловую систему и т. п.
Троянские программы могут обновлять свои версии, получать инструкции с заранее подготовленных сайтов или каналов, рассылать спам, осуществлять вирусные атаки и т. п.
Логические бомбы — это программы, безвредные до наступления определенного события, после которого реализуется их вредоносное действие.
6 - 7624
Сетевые вредоносные программы-черви
С началом нового тысячелетия вирусные технологии заметно усложнились, существенно увеличилось количество вредоносных программ и вырос масштаб потерь от их злонамеренных действий.
Сетевые черви впервые появились в 1998 г. и к настоящему времени захватили лидерство среди всех вредоносных программ, а их способность к массовым заражениям за короткое время привела к росту киберпреступного бизнеса.
Сетевые вредоносные программы (сетевые черви, почтовые email-черви) используют для своего размножения как уязвимости в программном обеспечении, так и человеческий фактор. Они распространяют свои копии по локальным и/или глобальным сетям с целью:
проникновения на удаленные компьютеры;
запуска своей копии на удаленном компьютере;
дальнейшего распространения на другие компьютеры в сети.
Для своего распространения сетевые черви используют электронную почту, системы обмена мгновенными сообщениями, сети обмена данными между мобильными устройствами (телефонами, карманными компьютерами) и т. д.
Вирус Чернобыль 26 апреля 1999 г. вызвал уничтожение информации на сотнях тысяч компьютеров, подключенных к сети Интернет.
Ущерб от «эпидемии» сетевого червя МуВоот в начале 2004 г. превысил 4 млрд долл.
Спам
Спамом иногда называют всю незапрошенную корреспонденцию из Интернета. Это не совсем верно, так как в число непрошенных сообщений могут входить поздравления, деловые письма, коммерческие предложения, приглашения к сотрудничеству или участию в конференциях и т. п., которые не являются спамом — вредоносным сообщением, требующим удаления без ознакомления с его содержанием. Более точным является следующее определение.
Спим — это анонимная массовая незапрошенная рассылка.
Анонимная корреспонденция и реклама забивают каналы связи и почтовые ящики. Ущерб от спама возрастает с каждым годом, так как с непрошеной корреспонденцией часто рассылаются вирусы, троянские программы и сетевые черви.
Подсчитано, что ущерб от потери рабочего времени на разбор и чтение спама в расчете на одного сотрудника составляет 50—200 долл. в год, и эти потери продолжают расти. Российские предприятия только из-за простоев персонала, связанных с приемом и удалением спама, теряют до 30 млн долл. в год.
В большинстве случаев спам содержит рекламные предложения, относящиеся к сфере товаров и услуг.
Часть спама представляет собой откровенное мошенничество, как, например, «нигерийские письма» или «фишинг» — предложения переслать (по неизвестному адресу) логин и пароль от почтового ящика или даже номер банковского счета.
Авторы «нигерийских писем», как правило, сообщают, что они располагают крупными суммами, приобретенными ими не совсем законными способами, и не могут открыто разместить деньги на счете в банке, поэтому им срочно требуется счет в зарубежном банке, куда можно перечислить эти «грязные» деньги. В качестве вознаграждения за помощь предлагают от 10 до 30 % заявленной суммы. Если доверчивый пользователь предоставит автору письма доступ к своему счету, то он лишится всех находящихся на нем средств.
Источники и основные признаки заражения. Способы защиты
Чаще всего источниками заражения компьютеров являются нелицензионные программы и компьютерные игры, приобретенные неофициальным путем (у других пользователей или на рынке), а также информация, полученная из Интернета при посещении зараженных Web-сайтов, открытии сообщений электронной почты, особенно вложенных файлов, спама и т. п.
При заражении компьютера вирусом очень важно своевременно его обнаружить, так как вредоносные программы искусно маскируются и редко проявляют себя сразу. Основные признаки, которые могут свидетельствовать о заражении:
прекращение работы или неправильная работа ранее успешно функционировавших программ;
невозможность загрузки операционной системы;
исчезновение файлов и каталогов или искажение их содержимого;
изменение даты и времени модификации файлов;
изменение размеров файлов;
неожиданное значительное увеличение количества файлов;
существенное уменьшение размера свободной оперативной памяти;
вывод на экран непредусмотренных сообщений, изображений или подача звуковых сигналов;
существенное замедление работы, частые зависания и сбои в работе компьютера и т. п.
Одним из основных методов борьбы с вредоносными программами является своевременная профилактика их появления и распространения. Наилучшей защитой компьютера, особенно если он не подключен к сети, являются аккуратность и внимательность пользователя и соблюдение следующих правил.
Использовать только лицензионное программное обеспечение,приобретенное у официальных продавцов.
Не допускать к компьютеру посторонних лиц.
Размещать наиболее ценную информацию на защищенных от записи дисках, которые не могут быть заражены вирусами.
При работе на других компьютерах всегда защищать свои дискеты от записи в тех случаях, когда на них не планируется запись информации.
Отслеживать любые изменения в работе компьютера для возможно более быстрого обнаружения вирусов.
Не оставлять дискеты в кармане дисководов при включении и перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами.
Периодически проверять жесткий диск компьютера путем запуска антивирусной программы с защищенной от записи дис кеты.
Использовать современные эффективные антивирусные и антиспамовые программы для автоматической проверки записываемой информации, особенно для входного контроля всех фай лов, получаемых из Интернета.
10. Постоянно обновлять пакет антивирусных программ из-за появления новых неизвестных ранее вредоносных программ.
Средства защиты от вредоносных программ. Антивирусные и антиспамовые программы
Для обнаружения, удаления и защиты от вредоносных программ разработаны и постоянно обновляются специальные антивирусные и антиспамовые программы, которые могут использоваться двумя основными способами:
запускаться автоматически после включения компьютера и загрузки ОС — эффективный метод, но при его использовании увеличивается время начальной загрузки компьютера;
запускаться пользователем вручную только тогда, когда это необходимо.
В табл. 3.1 приведены наиболее популярные антивирусные средства, названия фирм-производителей и адреса в Интернете, по которым можно получить подробную информацию об этих программах.
Наиболее популярными антивирусными средствами в России являются продукты фирм Лаборатория Касперского, Диа-логНаука и Санкт-Петербургской антивирусной лаборатории Данилова Доктор Веб.
Компании — разработчики антивирусного программного обеспечения создают продукты как для домашних пользователей, так и для крупных корпораций, используют комплексный ттодход и современные антивирусные технологии.
Существующие комплекты антивирусных программ реализуют следующие функции:
защищают персональные компьютеры и корпоративные сети от всех типов вредоносных программ; обнаруживают и уничтожают вирусы, троянские программы, программы-шпионы, сетевые черви, а также макровирусы для документов
подключаются к почтовым программам и проверяют всю почту в момент ее приема;
выполняют проверку и лечение архивированных файлов;
контролируют выполнение опасных макрокоманд в документах
выполняют фильтрацию спама и удаляют нежелательную корреспонденцию;
автоматически обновляются при подключении к (антивирусные базы обновляются, как правило, несколько раз в сутки, а иногда и ежечасно);
обнаруживают ранее неизвестные вредоносные программ и обезвреживают их действие;
отменяют нежелательные изменения на защищаемом компьютере и др.
Принцип достаточности защиты
Обеспечение надежной системы защиты информации требует значительных материальных и финансовых затрат. Слишком большая концентрация защитных средств может привести тому, что в системе произойдет существенное снижение производительности и она окажется нерентабельной и неконкурентоспособной. Скорость работы пользователей в системе може-упасть до нуля, если ее ресурсы будут постоянно тратиться на работу антивирусных программ, шифрование, резервное архивирование, протоколирование и т. п.
Поэтому при выборе мер и способов защиты информации необходимо тщательно оценивать степень важности защищаемой информации, ущерб от ее возможной потери и находить разумный компромисс между ценностью информации, стоимость защитных мероприятий и затрат на поддержание системы в работоспособном состоянии, а также оценивать неудобства в работе, возникающие при использовании средств защиты.
Считается, что защита является достаточной, если затрать, на ее преодоление превышают ценность самой информации, а время, необходимое для взлома защиты и доступа к конфиденциальной информации, превышает время, в течение которого эта информация является актуальной и секретной.