Вредоносные программы

К вредоносному программному обеспечению относятся:

• «классические» компьютерные вирусы;

• троянские программы;

• сетевые черви;

• спам и др.

В настоящее время известно более 120 тысяч вредоносных программ, и каждый день появляются десятки новых.

Подробные сведения о вирусах и других вредоносных про­граммах можно получить из размещенной в Интернете Вирусной энциклопедии (Viruslist)

Классические компьютерные вирусы

Компьютерный вирус — специально написанная программа, способная самопроизвольно распространяться, «заражать» дру­гие программы и осуществлять разрушительные и другие нега­тивные воздействия на компьютере.

К категории классических компьютерных вирусов относятся программы, распространяющие свои копии по ресурсам локаль­ного компьютера. Они подразделяются на следующие основные виды:

• программные (файловые) вирусы, которые внедряются главным образом в исполняемые модули — файлы с расширением сот, ехе и т. п.;

• загрузочные, которые внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки сис­ темного диска;

• макровирусы, которые заражают файлы-документы и шаб­лоны документов Microsoft office (\Уогс1, Ехсе1, Ро^егРош!).

Компьютерные вирусы обладают способностью присоеди­няться к другим программам, -создавать свои копии, внедрять их в файлы, системные области компьютера и вычислительные сети с целью нарушения работы программ, порчи файлов и катало­гов, создания всевозможных помех в работе на компьютере. Способы распространения и действия вирусов крайне разнооб­разны — от выдачи безобидных сообщений, картинок или зву­ков до вывода из строя всей компьютерной системы и потери информации на жестком диске.

По особенностям алгоритма воздействия вирусы различают­ся большим разнообразием. Известны вирусы-паразиты, виру­сы-черви, вирусы-невидимки (стелс-вирусы), вирусы-призраки (полиморфные самошифрующиеся вирусы или вирусы-мутан­ты), компаньон-вирусы и др.

Некоторые вирусы могут иметь свойства других разновидно­стей вредоносных программ, например, могут содержать троян­скую компоненту для полного уничтожения информации на же­стком диске.

Троянские программы

Троянские программы (троянские кони, шпионы и др.) хотя и не способны к самораспространению, но являются очень опас­ными, так как маскируются под полезные программы и осуще­ствляют различные несанкционированные действия, о которых пользователь может и не догадываться, — собирают информа­цию об именах и паролях и передают ее злоумышленникам для использования ресурсов компьютера в неблаговидных целях, либо нарушают работоспособность компьютера и его файловую систему и т. п.

Троянские программы могут обновлять свои версии, полу­чать инструкции с заранее подготовленных сайтов или каналов, рассылать спам, осуществлять вирусные атаки и т. п.

Логические бомбы — это программы, безвредные до наступле­ния определенного события, после которого реализуется их вре­доносное действие.

6 - 7624

Сетевые вредоносные программы-черви

С началом нового тысячелетия вирусные технологии заметно усложнились, существенно увеличилось количество вредонос­ных программ и вырос масштаб потерь от их злонамеренных действий.

Сетевые черви впервые появились в 1998 г. и к настоящему времени захватили лидерство среди всех вредоносных программ, а их способность к массовым заражениям за короткое время привела к росту киберпреступного бизнеса.

Сетевые вредоносные программы (сетевые черви, почтовые email-черви) используют для своего размножения как уязвимо­сти в программном обеспечении, так и человеческий фактор. Они распространяют свои копии по локальным и/или глобаль­ным сетям с целью:

• проникновения на удаленные компьютеры;

• запуска своей копии на удаленном компьютере;

• дальнейшего распространения на другие компьютеры в сети.

Для своего распространения сетевые черви используют элек­тронную почту, системы обмена мгновенными сообщениями, сети обмена данными между мобильными устройствами (теле­фонами, карманными компьютерами) и т. д.

Вирус Чернобыль 26 апреля 1999 г. вызвал уничтожение ин­формации на сотнях тысяч компьютеров, подключенных к сети Интернет.

Ущерб от «эпидемии» сетевого червя МуВоот в начале 2004 г. превысил 4 млрд долл.

Спам

Спамом иногда называют всю незапрошенную корреспон­денцию из Интернета. Это не совсем верно, так как в число не­прошенных сообщений могут входить поздравления, деловые письма, коммерческие предложения, приглашения к сотрудни­честву или участию в конференциях и т. п., которые не являются спамом — вредоносным сообщением, требующим удаления без ознакомления с его содержанием. Более точным является сле­дующее определение.

Спим — это анонимная массовая незапрошенная рассылка.

Анонимная корреспонденция и реклама забивают каналы связи и почтовые ящики. Ущерб от спама возрастает с каждым годом, так как с непрошеной корреспонденцией часто рассыла­ются вирусы, троянские программы и сетевые черви.

Подсчитано, что ущерб от потери рабочего времени на раз­бор и чтение спама в расчете на одного сотрудника составляет 50—200 долл. в год, и эти потери продолжают расти. Российские предприятия только из-за простоев персонала, связанных с приемом и удалением спама, теряют до 30 млн долл. в год.

В большинстве случаев спам содержит рекламные предложе­ния, относящиеся к сфере товаров и услуг.

Часть спама представляет собой откровенное мошенничест­во, как, например, «нигерийские письма» или «фишинг» — предло­жения переслать (по неизвестному адресу) логин и пароль от почтового ящика или даже номер банковского счета.

Авторы «нигерийских писем», как правило, сообщают, что они располагают крупными суммами, приобретенными ими не совсем законными способами, и не могут открыто разместить деньги на счете в банке, поэтому им срочно требуется счет в за­рубежном банке, куда можно перечислить эти «грязные» деньги. В качестве вознаграждения за помощь предлагают от 10 до 30 % заявленной суммы. Если доверчивый пользователь предоставит автору письма доступ к своему счету, то он лишится всех нахо­дящихся на нем средств.

Источники и основные признаки заражения. Способы защиты

Чаще всего источниками заражения компьютеров являются нелицензионные программы и компьютерные игры, приобре­тенные неофициальным путем (у других пользователей или на рынке), а также информация, полученная из Интернета при по­сещении зараженных Web-сайтов, открытии сообщений элек­тронной почты, особенно вложенных файлов, спама и т. п.

При заражении компьютера вирусом очень важно своевре­менно его обнаружить, так как вредоносные программы искусно маскируются и редко проявляют себя сразу. Основные призна­ки, которые могут свидетельствовать о заражении:

• прекращение работы или неправильная работа ранее успешно функционировавших программ;

• невозможность загрузки операционной системы;

• исчезновение файлов и каталогов или искажение их содержимого;

• изменение даты и времени модификации файлов;

• изменение размеров файлов;

• неожиданное значительное увеличение количества файлов;

• существенное уменьшение размера свободной оперативной памяти;

• вывод на экран непредусмотренных сообщений, изображений или подача звуковых сигналов;

• существенное замедление работы, частые зависания и сбои в работе компьютера и т. п.

Одним из основных методов борьбы с вредоносными про­граммами является своевременная профилактика их появления и распространения. Наилучшей защитой компьютера, особенно если он не подключен к сети, являются аккуратность и внима­тельность пользователя и соблюдение следующих правил.

1. Использовать только лицензионное программное обеспечение,приобретенное у официальных продавцов.

2. Не допускать к компьютеру посторонних лиц.

3. Размещать наиболее ценную информацию на защищенных от записи дисках, которые не могут быть заражены вирусами.

4. При работе на других компьютерах всегда защищать свои дискеты от записи в тех случаях, когда на них не планируется за­пись информации.

5. Отслеживать любые изменения в работе компьютера для возможно более быстрого обнаружения вирусов.

6. Не оставлять дискеты в кармане дисководов при включении и перезагрузке операционной системы, чтобы исключить за­ражение компьютера загрузочными вирусами.

7. Периодически проверять жесткий диск компьютера путем запуска антивирусной программы с защищенной от записи дис­ кеты.

8. Использовать современные эффективные антивирусные и антиспамовые программы для автоматической проверки записы­ваемой информации, особенно для входного контроля всех фай­ лов, получаемых из Интернета.

10. Постоянно обновлять пакет антивирусных программ из-за появления новых неизвестных ранее вредоносных программ.

Средства защиты от вредоносных программ. Антивирусные и антиспамовые программы

Для обнаружения, удаления и защиты от вредоносных про­грамм разработаны и постоянно обновляются специальные ан­тивирусные и антиспамовые программы, которые могут исполь­зоваться двумя основными способами:

• запускаться автоматически после включения компьютера и загрузки ОС — эффективный метод, но при его использова­нии увеличивается время начальной загрузки компьютера;

• запускаться пользователем вручную только тогда, когда это необходимо.

В табл. 3.1 приведены наиболее популярные антивирусные средства, названия фирм-производителей и адреса в Интернете, по которым можно получить подробную информацию об этих программах.

Наиболее популярными антивирусными средствами в Рос­сии являются продукты фирм Лаборатория Касперского, Диа-логНаука и Санкт-Петербургской антивирусной лаборатории Данилова Доктор Веб.

Компании — разработчики антивирусного программного обеспечения создают продукты как для домашних пользовате­лей, так и для крупных корпораций, используют комплексный ттодход и современные антивирусные технологии.

Существующие комплекты антивирусных программ реализу­ют следующие функции:

• защищают персональные компьютеры и корпоративные сети от всех типов вредоносных программ; обнаруживают и уничтожают вирусы, троянские программы, программы-шпионы, сетевые черви, а также макровирусы для документов

• подключаются к почтовым программам и проверяют всю почту в момент ее приема;

• выполняют проверку и лечение архивированных файлов;

• контролируют выполнение опасных макрокоманд в доку­ментах

• выполняют фильтрацию спама и удаляют нежелательную корреспонденцию;

• автоматически обновляются при подключении к (антивирусные базы обновляются, как правило, несколько раз в сутки, а иногда и ежечасно);

• обнаруживают ранее неизвестные вредоносные программ и обезвреживают их действие;

• отменяют нежелательные изменения на защищаемом ком­пьютере и др.

Принцип достаточности защиты

Обеспечение надежной системы защиты информации требу­ет значительных материальных и финансовых затрат. Слишком большая концентрация защитных средств может привести тому, что в системе произойдет существенное снижение произ­водительности и она окажется нерентабельной и неконкуренто­способной. Скорость работы пользователей в системе може-упасть до нуля, если ее ресурсы будут постоянно тратиться на работу антивирусных программ, шифрование, резервное архиви­рование, протоколирование и т. п.

Поэтому при выборе мер и способов защиты информации необходимо тщательно оценивать степень важности защищае­мой информации, ущерб от ее возможной потери и находить ра­зумный компромисс между ценностью информации, стоимость защитных мероприятий и затрат на поддержание системы в ра­ботоспособном состоянии, а также оценивать неудобства в рабо­те, возникающие при использовании средств защиты.

Считается, что защита является достаточной, если затрать, на ее преодоление превышают ценность самой информации, а время, необходимое для взлома защиты и доступа к конфиден­циальной информации, превышает время, в течение которого эта информация является актуальной и секретной.