 |
Компьютер в бухгалтерском учете и аудите 2001'4
|
|
|
Лаборатория Касперского
Компьютерные вирусы: происхождение, правда о реальной угрозе
и методах защиты
Эпидемия компьютерного вируса «Любовные Письма», произошедшая
в мае прошлого года и последовавшие за этим многочисленные инциденты с более чем
30 его мутациями еще раз подтвердили опасность, которую таит в себе эта
«компьютерная фауна». Сотни тысяч компьютеров по всему миру подверглись
разрушительному воздействию вируса, уничтожив огромное количество важной
информации и буквально парализовав работу крупнейших коммерческих и
государственных организаций по всему миру.
К сожалению, до сих пор феномен «компьютерного вируса»
вызывает больше полурелигиозного трепета, нежели трезвой, научно обоснованной
оценки. Несмотря на повальную компьютеризацию практически каждого рабочего места
на Западе и победное шествие информационных технологий в России, большинство
пользователей по всему миру все еще воспринимают вирусы как некое демоническое
нашествие внеземных цивилизаций. Так ли опасны и непобедимы компьютерные вирусы?
Достойны ли они того ужаса, который мы испытываем при их упоминании? Какие они –
эти вирусы? Если Вас заинтересовали эти проблемы – обязательно прочитайте эту
статью. Она безусловно поможет Вам получить представление по данной
проблематике. Даже если Вы профессиональный пользователь и понимаете многие
тонкости борьбы с вирусами – этот материал даст Вам бесценную информацию о самых
последних достижениях в области антивирусной защиты!
Что такое компьютерный вирус?
Как ни странно, но на этот достаточно простой вопрос до сих
пор не найдено однозначного ответа. В специализированной литературе можно найти
сотни различных определений понятия «компьютерный вирус» и многие из них будут
различаться чуть ли ни диаметрально. Несмотря на это отечественная вирусология
все же пришла к более менее однозначной трактовке этого явления.
Компьютерным вирусом называется программа, без ведома
пользователя внедряющаяся на компьютеры и производящая различные
несанкционированные действия.
Данное определение было бы неполным, если бы мы не упомянули
главное обязательное свойство компьютерного вируса. Таковым является возможность
создавать свои дубликаты (не всегда совпадающие с оригиналом) и внедрять их в
вычислительные сети и/или файлы, системные области компьютера и прочие
выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему
распространению.
Понятие «создание дубликатов» или, попросту говоря,
«размножение» вирусов могут, в некоторой степени, обескуражить почтенного
читателя. Эти слова сообщают вирусам оттенок потусторонней демоничности и
свидетельствуют, как минимум, о наличии злого интеллекта, способного на самые
мерзкие выходки ради достижения поставленной цели. Так вот – это миф и вымысел.
Более точная тому характеристика – буйство фантазии. Подобное восприятие события
весьма напоминает средневековое представление о злых духах и ведьмах, которых
никто не видел, но которых боялись. «Размножение» вирусов ничем не отличается
от, допустим, копирования программой файлов из одной директории в другую.
Отличие лишь в том, что все это происходит без ведома пользователя, т.е. на
экран не выводится никаких сообщений. В остальном вирус остается самой обычной
программой, которая использует те или иные команды компьютера.
Компьютерные вирусы являются одним из подвидов большого
класса компьютерных программ, которые называются вредоносными кодами. К
сожалению, в ущерб научному подходу, сегодня вирусами называют все вредоносные
коды. Хотя, с точки зрения строгого понятийного аппарата это не совсем (точнее
совсем) некорректно, но в целях популяризации данной статьи мы все же согласимся
с устоявшимся мнением.
В группу вредоносных кодов также входят так называемые
сетевые «черви» и «Троянские кони». Для правильного восприятия понятия «вирусы»
необходимо четко понимать разницу между ними.
В отличие от вирусов, ни «черви», ни «троянцы» не имеют
способности размножаться. «Черви» — это те же вирусы, но которые обладают
способностью лишь автоматически рассылать по сетям свои оригиналы. «Троянские»
программы вообще лишены каких-либо встроенных функций распространения: они
попадают на компьютеры исключительно «с помощью» их авторов или лиц, незаконно
их использующих.
Троянский конь – именно такое название так из-за сходства в
проникновении в стан противника, использованного в ходе осады Трои, получили эти
программы. Подобно грекам вирусописатели засылают эти программы на компьютеры
других пользователей под видом полезных, забавных и, зачастую, весьма прибыльных
утилит. Например, пользователю приходит письмо по электронной почте, в котором
ему предлагается запустить присланный файл, где лежит 1 000 000 рублей. После
запуска этого файла в компьютер незаметно внедряется утилита, которая совершает
ряд нежелательных действий. Эти действия могут быть самого разного характера –
от смены стартовой страницы в Интернет-броузере и похищении секретной информации
до уничтожения самого компьютера.
Однако данная классификация не абсолютна. В последнее время
участились случаи появления так называемых «мутантов», т.е. вредоносных кодов,
сочетающих в себе особенности сразу нескольких классов. Типичный пример –
«Мелисса». С одной стороны – это обычный макро-вирус. С другой стороны,
«Мелисса» распространялась как классический «Интернет-червь». Существуют и более
сложные случаи, когда вредоносная программа содержит в себе характеристики всех
трех типов («BABYLONIA»).
История происхождения компьютерных вирусов
Можно с полной уверенностью утверждать, что идея компьютерных
вирусов, как это ни странно, зародилась задолго до появления самих персональных
компьютеров. В 1959 г. американский ученый L.S. Penrose опубликовал в журнале «Scientific
American» статью, посвящённую самовоспроизводящимся механическим структурам, в
которой была описана простейшая двумерная модель подобных структур, способных к
активации, размножению, мутациям, захвату. Вскоре исследователь из США F.G.
Stahl практически реализовал эту модель с помощью машинного кода на IBM 650.
В те времена обладателями компьютеров, из-за их громадных
размеров, сложности в эксплуатации и исключительно высоких цен, могли стать лишь
крупные компании или правительственные вычислительные и научно-исследовательские
центры. Однако 20 апреля 1977 г. с конвейера сошёл первый «народный»
персональный компьютер Apple II. Цена, надёжность, простота и удобство в работе
предопределили широкое распространение этих «яблок». Общий объём продаж этой
серии составил более 3 млн. шт., без учёта количества произведённых в мире
клонов (таких, как Pravetz 8M/C, Agat и др.), что на порядок превышало число
работавших в то время ЭВМ других компаний. Таким образом, доступ к компьютерам
получили миллионы людей самых различных профессий, социальных слоёв и склада
ума. Неудивительно, что именно тогда возникли первые прототипы современных
компьютерных вирусов — были выполнены два важнейших условия их
развития — расширение «жизненного пространства» и появление средств их
распространения.
В дальнейшем условия стали улучшаться. Значительно расширился
ассортимент доступных рядовому пользователю персональных компьютеров. Наряду с
наиболее распространённым в то время гибким 5-дюймовым магнитным диском
появились жёсткие диски; бурное развитие получили локальные сети, а также
технологии передачи информации при помощи обычных коммутируемых телефонных
линий. Возникли первые банки данных, названные BBS (Bulletin Board System),
значительно облегчавшие обмен программами между пользователями, многие из
которых позднее переросли в крупные онлайновые справочные системы (CompuServe,
AOL и др.). Тогда же было выполнено третье важнейшее условие существования
вирусов — «человеческий фактор»: стали появляться отдельные личности и группы
людей, занимавшиеся их созданием.
Кто пишет вирусы и зачем? Это интересует абсолютно всех.
Особенно вопрос «кто» (с просьбой указать адрес и номер телефона) волнует тех,
кто подвергся вирусной атаке и потерял результаты многолетней кропотливой
работы.
Как ни странно, но сейчас портрет среднестатистического
вирусописателя выглядит так: 23 года, сотрудник банка или финансовой
организации, отвечающий за информационную безопасность или сетевое
администрирование. Однако по нашим данным, его возраст несколько ниже (14-20
лет), он учится или не имеет занятия вообще. Главное, что объединяет всех
создателей вирусов – желание выделиться и проявить себя (пусть даже на
Геростратовом поприще). Зачастую такие люди — трогательные тихони, которые и
мухи в своей жизни не обидели. Их жизненная энергия, ненависть к миру, алчность
и эгоизм, вся их темная сторона находит выход в создании мелких компьютерных
мерзавцев — вирусов. Они трясутся от удовольствия, когда узнают, что их «детище»
вызвало настоящую эпидемию в компьютерном мире. Впрочем, это уже область
компетенции психиатрии.
90-е годы, ознаменовавшиеся расцветом глобальной сети
Internet, не без помощи последней стали наиболее благодатным временем для
компьютерных вирусов. Сотни миллионов людей по всему миру волей-неволей стали
«пользователями». Компьютерная грамотность стала необходимым атрибутом каждого
образованного человека. Совершенствование технологий передачи данных создало
идеальные условия для развития «вирусной индустрии». Если вначале компьютерные
вирусы развивались экстенсивно, т.е. росло их число, но не качественные
характеристики, то сегодня можно говорить об обратном. На смену «примитивным»
предкам, обнаруживаемым обыкновенным контекстным поиском пришли более умные и
хитрые, стремящиеся приспособиться к новым условиям обитания. Сейчас вирусы не
ограничиваются порчей файлов, загрузочных секторов или проигрыванием безобидных
мелодий: некоторые из них могут уничтожить данные на Flash BIOS микросхемах
материнских плат. Технологии их маскировки, шифрации и распространения подчас
удивляют даже самых «бывалых» вирусологов.
Виды компьютерных вирусов
Год за годом классификация компьютерных вирусов становиться
все более затрудненной. Чем далее информационные технологии проникают в нашу
жизнь, чем более сложными и мощными они становятся, тем больше появляется
совершенно новых типов вирусов. На сегодняшний день общее число около 55 000
вирусов делится на десятки групп, каждая из которых характеризуется своими
оригинальными особенностями.
В общем случае компьютерные вирусы можно разделить на классы
по следующим основным признакам:
Среда обитания
В зависимости от среды обитания современной вирусологией
выделяются файловые, загрузочные и макро.
Файловые вирусы
Файловые вирусы – некогда наиболее распространенная форма
компьютерной «заразы», действуют по хорошо известному сценарию. Все они при
своем размножении тем или иным способом используют файловую систему операционной
системы. Они различными способами внедряются в выполняемые файлы, либо создают
файлы-двойники (вирусы-компаньоны).
Overwriting файловые вирусы
Данный метод заражения является наиболее простым: вирус
записывает свой код вместо кода заражаемого файла, уничтожая его содержимое.
Естественно, что при этом файл перестает работать и не восстанавливается. Такие
вирусы очень быстро обнаруживают себя, так как операционная система и приложения
довольно быстро перестают работать. Нам не известно ни одного случая, когда
подобного типа вирусы были бы обнаружены «в живом виде» и стали причиной
эпидемии.
Паразитические файловые вирусы
К паразитическим относятся все файловые вирусы, которые при
распространении своих копий обязательно изменяют содержимое файлов, при этом
оставляя сами файлы полностью или частично работоспособными. Основными типами
таких вирусов являются вирусы, записывающиеся в начало файлов («prepending»), в
конец файлов («appending») и в середину файлов («inserting»). В свою очередь,
внедрение вирусов в середину файлов происходит различными методами — путем
переноса части файла в его конец или копирования своего кода в заведомо
неиспользуемые данные файла («cavity»-вирусы).
«Компаньон» файловые вирусы
К категории «компаньон» относятся вирусы, не изменяющие
заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для
заражаемого файла создается файл-двойник, причем при запуске зараженного файла
управление получает именно этот двойник, т.е. вирус.
Наиболее распространены компаньон-вирусы, использующие
особенность DOS первым выполнять .COM-файл, если в одном каталоге присутствуют
два файла с одним и тем же именем, но различными расширениями имени — .COM и .EXE.
Такие вирусы создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но
с расширением .COM, например, для файла XCOPY.EXE создается файл XCOPY.COM.
Вирус записывается в COM-файл и никак не изменяет EXE-файл. При запуске такого
файла DOS первым обнаружит и выполнит COM-файл, т.е. вирус, который затем
запустит и EXE-файл. Некоторые вирусы используют не только вариант COM-EXE, но
также и BAT-COM-EXE.
Вторую группу составляют вирусы, которые при заражении
переименовывают файл в какое-либо другое имя, запоминают его (для последующего
запуска файла-хозяина) и записывают свой код на диск под именем заражаемого
файла. Например, файл XCOPY.EXE переименовывается в XCOPY.EXD, а вирус
записывается под именем XCOPY.EXE. При запуске управление получает код вируса,
который затем запускает оригинальный XCOPY, хранящийся под именем XCOPY.EXD.
Интересен тот факт, что данный метод работает, наверное, во всех операционных
системах — подобного типа вирусы были обнаружены не только в DOS, но в Windows и
OS/2.
В третью группу входят так называемые «Path-companion»
вирусы, которые «играют» на особенностях DOS PATH. Они либо записывают свой код
под именем заражаемого файла, но «выше» на один уровень PATH (DOS, таким
образом, первым обнаружит и запустит файл-вирус), либо переносят файл-жертву на
один подкаталог выше и т.д.
Существуют и другие типы компаньон-вирусов, использующие иные
оригинальные идеи или особенности других операционных систем.
Загрузочные вирусы
Загрузочные вирусы заражают загрузочный (boot) сектор
флоппи-диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип
действия загрузочных вирусов основан на алгоритмах запуска операционной системы.
При включении или перезагрузке компьютера, после необходимых тестов
установленного оборудования (памяти, дисков и т.д.), программа системной
загрузки считывает первый физический сектор загрузочного диска (A:, C: или
CD-ROM в зависимости от параметров запуска) и передает на него управление.
При заражении дисков загрузочные вирусы «подставляют» свой
код вместо какой-либо программы, получающей управление при загрузке системы.
Принцип заражения, таким образом, одинаков во всех описанных выше способах:
вирус “заставляет“ систему при ее перезапуске считать в память и отдать
управление не оригинальному коду загрузчика, но коду вируса.
Заражение дискет производится единственным известным способом
— вирус записывает свой код вместо оригинального кода boot-сектора дискеты.
Винчестер заражается тремя возможными способами — вирус записывается либо вместо
кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска C:),
либо модифицирует адрес активного boot-сектора в Disk Partition Table,
расположенной в MBR винчестера.
Макро-вирусы
Макро-вирусы являются разновидностью компьютерных вирусов,
созданной при помощи специальных макроязыков, встроенных в популярные офисные
приложениях наподобие Word, Excel, Access, PowerPoint, Project, Corel Draw! и
др. Макроязыки используются для написания специальных программ (макросов) для
повышения эффективности работы в этих приложениях. Например, при помощи макроса
Word можно автоматизировать процесс заполнения и рассылки факсов. Пользователю
достаточно будет только ввести данные в поля формы и нажать на кнопку – все
остальное макрос сделает сам. Таким образом, использование макросов позволяет
максимально упростить и автоматизировать работу. Проблема заключается в том, что
это можно сделать незаметно для пользователя. Более того, можно незаметно
совершить гораздо более опасные действия: изменить содержание документа, стереть
файл или директорию. Вредоносные макросы, обладающие способностью создавать свои
копии и совершающие некоторые действия без ведома пользователя и называются
макро-вирусами.
Функциональные возможности этого типа вирусов ограничены
возможностями макроязыков, при помощи которых они созданы. Именно при помощи
этих языков они размножаются, распространяются, наносят вред зараженным
компьютерам. Таким образом, чем более продвинутый макроязык, тем более хитрыми,
изощренными и опасными могут быть макро-вирусы. Наиболее распространенный
макроязык Visual Basic for Applications (VBA) предоставляет вирусам наиболее
полный спектр возможностей. Причем, с каждой новой версией эти возможности
стремительно расширяются. Таким образом, чем более совершенными будут офисные
приложения, тем опаснее будет становиться работа в них.
Макро-вирусы представляют реальную угрозу компьютерным
пользователям. Мало того, по нашим прогнозам, одновременно с совершенствованием
макроязыков и обнаружением новых “дыр“ в системах безопасности офисных
приложений, макро-вирусы будут становиться все более неуловимыми и опасными, а
скорость их распространения достигнет небывалых величин.
Операционная система
Заражаемая операционная система является вторым уровнем
деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы
какой-либо одной или нескольких операционных систем — DOS, Windows, OS/2, Linux,
MacOS и т.д. Например, вирус «BOZA» можно классифицировать как Windows-вирус,
потому как он работает только в Windows и нигде более. Вирус «BLISS» — Linux-вирус,
потому что… Вы сами понимаете ;-)
Особенности алгоритма работы
Среди особенностей алгоритма работы вирусов выделяются
следующие
Резидентность
Резидентность вируса и физического лица практически
идентичны. Отличие лишь в том, что резидент (в смысле человек) постоянно
находится в какой-то стране, а вирус – в системной памяти компьютера. Именно
оттуда он и производит все свои операции – заражает другие программы, совершает
деструктивные действия и т.д. Таким образом, резидентные вирусы остается
активными вплоть до выключения компьютера.
Резидентными можно считать макро-вирусы, поскольку они
постоянно присутствуют в памяти компьютера на все время работы зараженного
редактора. При этом роль операционной системы берет на себя редактор, а понятие
«выключение компьютера» трактуется как выход из редактора.
Невидимость
Что делает вирусы «невидимыми»? Возможно, именно эта
способность делает их такими страшными и ужасными для простого обывателя. Боюсь
разочаровать, но ничего демонического в этом нет. Невидимость заключается в том,
что вирус, посредством программных уловок, не дает пользователю или антивирусной
программе заметить изменения, которые он внес в зараженный файл. Вирус постоянно
присутствует в памяти и перехватывает запросы операционной системы на
чтение/запись таких файлов. В случае перехвата такого запроса он подставляет
вместо зараженного файла его оригинал! Таким образом пользователю всегда
попадается на глаза только «чистые» программы. В качестве примера можно привести
один из первых файловых вирусов-невидимок — вирус «Frodo», или первый
загрузочный вирус-невидимку — «Brain».
Самошифрование и полиморфичность
Самошифрование и полиморфичность используются практически
всеми типами вирусов для того, чтобы максимально усложнить процедуру
детектирования вируса. Благодаря этим методам вирусы изменяют свой внешний вид
(программный код), но сохраняют свою функциональность, т.е. способность
совершать те или иные действия. Поскольку антивирусные программы раньше умели
обнаруживать вирусы только «в лицо» (по уникальному программному коду), то
несколько лет назад «полиморфики» произвели настоящую революцию. Сейчас уже
изобретены универсальные методы борьбы и с такими вирусами.
Методы профилактики и борьбы с компьютерными вирусами
Несмотря на столь мрачные прогнозы, необходимо помнить
главное условие борьбы с компьютерными вирусами – не паниковать. Круглосуточно
на страже компьютерной безопасности находятся тысячи высококлассных антивирусных
специалистов по всему миру. Поверьте нам, их профессионализм многократно
превосходит совокупный потенциал всего хакерского движения. За многие годы
существования антивирусная индустрия изобрела много способов противодействия
компьютерным вирусам. В России наибольшую популярность получил Антивирус
Касперского, разработанный специалистами «Лаборатории Касперского» (www.kaspersky.ru).
Для того, чтобы успешно противостоять попыткам вирусов
проникнуть на Ваш компьютер необходимо выполнять два простейших условия:
соблюдать правила «компьютерной гигиены» и пользоваться антивирусными
программами.
Правила “компьютерной гигиены“:
-
ни в коем случае не открывайте файлы, присылаемые Вам по
электронной почте неизвестными людьми
-
осторожно относитесь к файлам, присылаемым Вашими знакомыми
и партнерами. Они могут даже и не знать, что с их компьютера вирус незаметно
рассылает свои копии людям из их адресной книги!
-
обязательно проверяйте антивирусным сканером с максимальным
уровнем проверки все дискеты, компакт-диски и другие мобильные носители
информации, а также файлы, получаемые из сети Интернет, и других публичных
ресурсов (BBS, электронных конференций и т.д.)
-
проводите полную антивирусную проверку компьютера после его
получения из ремонтных служб. Ремонтники пользуются одними и теми же дискетами
для проверки всех компьютеров – они очень легко могут занести «заразу» с
другой машины!
-
с осторожностью допускайте работать с Вашим компьютером
других пользователей
-
внимательно следите за предоставляемыми правами доступа к
Вашему компьютеру
-
своевременно устанавливаете “заплатки“ от производителей
используемых Вами операционных систем и программ
-
для повышения сохранности Ваших данных периодически
проводите резервную архивацию информации на независимые носители
Что касается антивирусных средств, то пестрота и разнообразие
предлагаемых сегодня систем защиты поистине поражает. Однако, в чем преимущества
и недостатки того или иного способа защиты? Насколько они эффективны именно по
отношению к различным типам вирусов?
На сегодняшний день выделяется пять основных подходов к
обеспечению антивирусной безопасности.
Во-первых, это классический сканер – пионер антивирусного
движения, впервые появившийся на свет практически одновременно с самими
компьютерными вирусами. Принцип его работы заключается в поиске в файлах,
памяти, и загрузочных секторах вирусных сигнатур, т.е. уникального программного
кода вируса. Здесь возникает первая проблема, потому что малейшие модификации
вируса могут сделать его невидимым для сканера. К примеру, существует несколько
десятков вариантов вируса Melissa, и почти для каждого из них антивирусным
кампаниям приходилось выпускать отдельное обновление антивирусной базы.
Последнее обстоятельство означает вторую проблему: время между появлением вируса
и выходом соответствующего обновления пользователь оставался практически
незащищенным от атак новых вирусов. Позднее, эксперты придумали и внедрили в
сканеры оригинальный способ обнаружения неизвестных вирусов – эвристический
анализатор, т.е. анализ кода программы на предмет возможного присутствия в нем
компьютерного вируса. Однако, данный метод характеризуется высоким уровнем
ложных срабатываний (false alarm), недостаточной надежностью и невозможностью
вылечить обнаруженные вирусы. Наконец, третья проблема: антивирусный сканер
проверяет файлы, только когда пользователь “попросит“ его это сделать, т.е.
запустит сканер. Это требует от пользователя постоянного внимания и
концентрации. Очень часто он забывает проверить сомнительный файл, загруженный,
например, из Интернета и, в результате, своими руками заражает компьютер. Сканер
способен определить факт заражения пост фактум, т.е. уже после того, как в
системе появится вирус.
Для устранения такой возможности был разработан второй вид
антивирусных программ – антивирусные мониторы. По своей сути они являются
разновидностью сканеров, которые постоянно находятся в памяти компьютера и
осуществляют фоновую проверку файлов, загрузочных секторов и памяти в масштабе
реального времени. Для включения антивирусной защиты, пользователю достаточно
загрузить монитор при загрузке операционной системы. Все запускаемые файлы будут
автоматически проверяться на вирусы.
Третья разновидность антивирусов – ревизоры изменений (integrity
checkers). Их принцип работы основан на снятии оригинальных “отпечатков“
(CRC-сумм) с файлов и системных секторов. Эти “отпечатки“ сохраняются в базе
данных. При следующем запуске ревизор сверяет “отпечатки“ с их оригиналами и
сообщает пользователю о произошедших изменениях. У этого типа антивирусных
программ тоже есть свои недостатки. Во-первых, ревизоры не способны поймать
вирус в момент его появления в системе, а делают это лишь через некоторое время,
уже после того, как вирус разошелся по компьютеру. Во-вторых, они не могут
определить вирус в новых файлах (в электронной почте, на дискетах, в файлах,
восстанавливаемых из резервной копии или при распаковке файлов из архива),
поскольку в их базах данных отсутствует информация об этих файлах. Этим
пользуются некоторые вирусы, которые используют эту “слабость“ ревизоров и
заражают только вновь создаваемые файлы, оставаясь, таким образом, невидимыми
для них. В-третьих, ревизоры требуют регулярного запуска – чем чаще это будет
происходить, тем надежнее будет контроль за вирусной активностью.
Необходимо также упомянуть такую разновидность антивирусных
программ, как иммунизаторы. Они делятся на два вида: иммунизаторы, сообщающие о
заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса.
Первые обычно записываются в конец файлов (по принципу
файлового вируса) и при запуске файла каждый раз проверяют его на изменение.
Недостаток у таких иммунизаторов всего один, но он принципиален: абсолютная
неспособность обнаружить заражение stealth-вирусами (вирусами-невидимками),
которые хитро скрывали свое присутствие в зараженном файле.
Второй тип иммунизаторов защищает систему от поражения
каким-либо определенным вирусом. Файлы модифицируются таким образом, что вирус
принимает их за уже зараженные. Например, чтобы предотвратить заражение
COM-файла вирусом Jerusalem достаточно дописать в его конец строку MsDos. Для
защиты от резидентного вируса в память компьютера заносится программа,
имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что
система уже заражена.
Второй тип иммунизации не может быть признан универсальным,
поскольку нельзя иммунизировать файлы от всех известных вирусов: у каждого из
них свои приемы определения зараженности файлов. Однако, несмотря на это,
подобные иммунизаторы в качестве полумеры могут вполне надежно защитить
компьютер от нового неизвестного вируса вплоть до того момента, когда он будет
определяться антивирусными сканерами.
Из-за описанных выше недостатков иммунизаторы не получили
большого распространения и в настоящее время практически не используются.
Все перечисленные выше типы антивирусов не решают главной
проблемы – защиты от неизвестных вирусов. Таким образом, компьютерные системы
оказываются беззащитны перед ними до тех пор, пока антивирусные вендоры не
разработают противоядия. Иногда на это требуется до нескольких недель. Все это
время компании по всему миру имеют реальную “возможность“ потерять важнейшие
данные, от которых зависит их будущее.
Однозначно ответить на вопрос “что же делать с неизвестными
вирусами?“ нам предстоит лишь в грядущем тысячелетии. Однако уже сейчас можно
сделать прогноз относительно наиболее перспективных путей развития антивирусного
программного обеспечения. На наш взгляд, таким направлением станут т.н.
поведенческие блокираторы (behaviour blocker/sandbox). Именно они имеют реальную
возможность со 100% гарантией противостоять атакам новых вирусов.
Что такое поведенческий блокиратор? Это резидентная
программа, которая перехватывает различные события и в случае “подозрительных“
действий (действий, которые может производить вирус или другая вредоносная
программа), запрещает это действие или запрашивает разрешение у пользователя.
Иными словами, блокиратор совершает не поиск сигнатуры, т.е. кода вируса, а
отслеживает и предотвращает его действие. Идея блокираторов не нова. Они
появились давно, однако эти антивирусные программы не получили широкого
распространения из-за сложности настройки, требующей от пользователей глубоких
знаний в области компьютерных технологий.
Давайте рассмотрим подробнее достоинства и недостатки
поведенческих блокираторов. Теоретически блокиратор может предотвратить
распространение любого как известного, так и неизвестного (написанного после
блокиратора) вируса, предупреждая пользователя до того как вирус заразит другие
файлы или нанесет какой-либо вред компьютеру. Но вирусоподобные действия может
производить и сама операционная система или полезные утилиты. Поведенческий
блокиратор (здесь имеется ввиду “классический“ блокиратор, который используется
для борьбы с файловыми вирусами) не может самостоятельно определить кто же
выполняет подозрительное действие -- вирус, операционная система или какая-либо
утилита и вынужден спрашивать подтверждения у пользователя. Т.е. в конечном
счете решение зачастую принимает пользователь, который должен обладать
достаточными знаниями и опытом, чтобы дать правильный ответ. В противном случае
ОС или утилита не сможет произвести требуемое действие, либо вирус проникнет в
систему. Именно по этой причине блокираторы и не стали популярными: их
достоинства зачастую становились их недостатками, они казались слишком
навязчивыми своими запросами и пользователи просто удаляли эти программы. К
сожалению, ситуацию сможет исправить лишь изобретение искусственного интеллекта,
который сможет самостоятельно разобраться в причинах того или иного
подозрительного действия.
Возвращаясь к макро-вирусам, необходимо заметить, что здесь
ситуация совсем иная. Если рассматривать программы, написанные на наиболее
распространенном макроязыке VBA, то тут можно с очень большой долей вероятности
отличить вредоносные действия от полезных. В конце 1999 года “Лаборатория
Касперского“ разработала уникальную систему защиты от макро-вирусов пакета MS
Office (версий 97 и 2000), основанную на новых подходах к принципам
поведенческого блокиратора — Office Guard. Благодаря проведенному анализу
макро-вирусов в процессе моделирования их поведения, были определены наиболее
часто встречающиеся последовательности их действий. Это позволило внедрить в
программу новую, высокоинтеллектуальную систему фильтрации действий макросов и с
высокой долей достоверности безошибочно выявлять те из них, которые представляют
собой реальную опасность. Именно благодаря этому Office Guard не столь
“навязчив“ как его файловые братья. Но, задавая меньше вопросов пользователю,
этот блокиратор не стал менее надежным. Используя его, пользователь практически
на 100% защищен от макро вирусов, как известных, таки и еще не написанных.
Office Guard перехватывает и блокирует выполнение даже
многоплатформенных макро-вирусов, т.е. способных работать сразу в нескольких
приложениях. Программа одинаково надежно предотвращает их действие в MS Word,
Excel, Access (только версия 2000), PowerPoint.
Office Guard контролирует работу макросов с внешними
приложениями, в т.ч. с почтовыми программами. Тем самым полностью исключается
возможность распространения макро-вирусов через электронную почту. Именно таким
способом в марте этого года вирусы Melissa и Papa поразили десятки тысяч
компьютеров по всему миру. Office Guard, в отличие от обычных антивирусов,
полностью решает эту проблему блокировкой доступа макросов к электронной почте.
Эффективность блокиратора была бы нулевой, если макро-вирусы
могли бы произвольно отключать его. Именно это является одним из недостатков
встроенной в приложения MS Office антивирусной защиты. В Office Guard реализован
новейший механизм противодействия атакам макро-вирусов на него самого, с целью
его отключения и устранения из системы. Этот алгоритм делает невозможным снятие
антивирусного блокиратора без вмешательства самого пользователя.
Использование Office Guard избавляет пользователя от вечной
головной боли по поводу загрузки и подключения новых обновлений антивирусной
базы для защиты от новых макро-вирусов, потому что любой новый макро-вирус уже
по определению будет перехватываться программой. Это означает, что ликвидируется
наиболее опасный отрезок времени между появлением вируса и антивируса. Однажды
установленный, он надежно защитит компьютер от макро-вирусов вплоть до выхода
новой версии языка программирования VBA с реализацией новых функций, которые
могут использоваться для написания вирусов.
Поведенческий блокиратор решает проблему обнаружения и
предотвращения распространения макро-вирусов. Однако, по определению, он не
предназначен для их удаления. Именно поэтому его необходимо использовать
совместно с антивирусным сканером, который будет способен успешно уничтожить
вирус. Блокиратор позволит безопасно переждать период между обнаружением нового
вируса и выпуском обновления антивирусной базы для сканера, не прибегая к
остановке работы компьютерных систем из-за боязни навсегда потерять ценные
данные или серьезно повредить аппаратную часть компьютера.
Денис Зенкин,
Евгений Касперский
Copyright © 1994-2016 ООО "К-Пресс"
Home
Поиск
Издания
Контакты
