ПИТАННЯ ЗАХИСТУ ВІД КОМП’ЮТЕРНИХ ВІРУСІВ
Дата: 16.02.2004Источник: www.crime-research.ru
Автор: Хрипко С.Л.
... імплантованого в неї вірусного коду. Робота цього коду викликає приховані від користувача зміни в файловій системі жорстких дисків і/або в змісті інших програм. Так, наприклад, вірусний код може відтворювати себе в тілі інших програм цей процес називається розмноженням. Після певної години, створивши достатню кількість копій, програмний вірус переходить до руйнівних дій.
Програмні віруси при звичайному копіюванні не інфікують комп'ютер, а при запуску неперевірених файлів, отриманих із зовнішнього носія (гнучкий диск, компакт-диск або з мережі Інтернет) інфікують програму, за допомогою якої цей файл був оглянутий. Тому всі файли повинні пройти обов'язкову перевірку на безпеку, а якщо дані отримані з незнайомого джерела, їх потрібно знищувати, не продивляючись.
Завантажувальні віруси. Від програмних вірусів завантажувальні віруси відрізняються методом поширення. Копії вражають не програмні файли, а певні системні області магнітних носіїв (гнучких і жорстких дисків). Крім того, на включеному комп'ютері копії можуть тимчасово розташовуватися в оперативній пам'яті.
Звичайно зараження відбувається при спробі завантаження комп'ютера з магнітного носія, системна область якого містить завантажувальний вірус. Так, наприклад, при спробі завантажити комп'ютер з гнучкого диска спочатку відбувається проникнення вірусу в оперативну пам'ять, а потім - у завантажувальний сектор жорстких дисків. Далі цей комп'ютер сам стає джерелом поширення завантажувального вірусу.
Компаньйон-віруси – віруси, які не змінюють файли, а створюють для завантажувальних файлів файли-супутники, що мають теж саме ім’я, але з іншим розширенням (наприклад, *.сом).
Стелс-віруси. Віруси–невидимки – це програми, які перехоплюють звернення системи до інфікованих кодів файлів або інфікованих секторів дисків та підставляють замість них неінфіковані свої частки.
Поліморфік-віруси – віруси-примари, які самостійно шифрують свої вірусні коди.
Макровіруси. Це особливий різновид вірусів, який вражає файли, виконані в деяких прикладних програмах, що мають так звану мову-макрокоманд, яка вбудовується в систему обробки даних. До таких файлів відносять документи текстового редактора – Microsoft Word (файли мають розширення DОС). Зараження відбувається при відкритті файлу документа у вікні програми, якщо в ній не відключена можливість виконання макрокоманд. Як і для інших типів вірусів, результат атаки може бути як відносно нешкідливим, так і руйнівним.
Розглянемо механізми дії та основні функції деяких макро-вірусів.
Макро-вірус “Macro.Word97.Plasma” містить 6 макрокоманд: AutoOpen, AutoExec, AutoClose, ToolsMacro, ToolsProtectDocument, ToolsUnprotectDocument.
При відкритті файла вірус вимикає опцію захисту від вірусів. Зараження також відбувається при закритті і збереженні з іншим ім'ям документів (AutoOpen, FileClose, FileSaveAs). Якщо спробувати запустити вбудований додаток Visual Basic Editor вірус видаляє з каталога "С:\windows" всі файли з розширенням dll і drv. Створює свою резервну копію під ім'ям kernel32.doc в каталозі "С:\windows\system\".
Макро-вірус “Macro.Word97.Claud.b” заражає документи і шаблони MS Word. Він також відключає вбудовану в MS Word функцію захисту від макровірусів і ховає меню програми "Сервіс".
Комбіновані віруси – віруси, що мають окремі ознаки вірусів, розглянутих вище, в певній сукупності. Ці окремі частини містять інструкції, які вказують комп'ютеру, як зібрати їх воєдино, в якій послідовності і в якому випадку або в який час відтворити. Одним з різновидів комбінованих вірусів є троянські віруси. Такі вірусні програми здатні найбільше порушувати процес роботи програми і операційної системи, знищувати інформації, що зберігається на жорсткому диску.
Розглянемо механізми дії та основні функції деяких комбінованих вірусів.
Вірус-троян "Pursue" містить Java скрипт, який може бути включений в будь-яку веб-сторінку, завдяки чому він здатний заражати комп'ютери всіх користувачів, які працюють в Інтернеті. Його основні функції - вносити записи в реєстр операційної системи Windows, щоб заражений комп'ютер вимикався кожний раз при своєму завантаженні. Крім того, він намагається закрити користувачеві доступ до реєстру Windows через прикладні програми, виводячи на екран чорне вікно браузера, яке, залежно від положення покажчика миші, буде показувати блоки різних кольорів. Звичайний прийом поширення троянських вірусів відбувається електронною поштою у вигляді додатку до електронного листа з “рекомендацією" витягнути і запустити ніби корисну програму.
Вірус-черв'як "Avron" містить троянську процедуру, його основна функція красти паролі. При розсилці заражених листів він використовує пряме підключення до SMTP-сервера, яким відбувається розсилка. Сам шукає адреси в файлах з розширеннями: DBX. MBX. WAB. HTML. EML. HTM. ASP. SHTML. Знаходить паролі і відправляє їх на адресу "[email protected]" в листі із заголовком "Password Got". А кожного 7-го й 24-го числа "Avron" запускає процедуру, яка випадково переміщує курсор миші і відкриває Web-сторінку: http://www.avril-lavigne.com.
Процес порушення роботи програми і операційної системи, знищенню інформації, яка зберігається на жорсткому диску називають вірусною атакою.
Найбільш руйнівними діями вірусів може бути форматування жорстких дисків. У багатьох інших випадках віруси обмежуються знищенням даних тільки в системних секторах жорсткого диска, що еквівалентно втраті таблиць файлової структури. У цьому випадку дані на жорсткому диску залишаються незайманими, але скористатися ними без застосування спеціальних засобів не можна, оскільки невідомо, які сектори диска яким файлам належать. Теоретично відновити дані в цьому випадку можна, але трудомісткість цих робіт надто висока [ ].
Вважається, що ніякий вірус не спроможний вивести з ладу апаратне забезпечення комп'ютера. Однак бувають випадки, коли апаратне і програмне забезпечення настільки взаємопов'язані, що програмні пошкодження доводиться усувати заміною апаратних засобів. Так, у більшості сучасних материнських плат базова система введення-виведення (BIOS) зберігається в постійних запам'ятовуючих пристроях (так звана флеш-пам'ять). Можливість перезапису інформації у мікросхемі флеш-пам'яті використовують деякі віруси для знищення даних ВІOS. У цьому випадку для відновлення працездатності комп'ютера потрібна або заміна мікросхеми, або її перепрограмування на спеціальних пристроях [ ].
Виходячи з вищенаведеного, важливим елементом попередження злочинів, вчинених у сфері використання комп'ютерних технологій, на нашу думку, є застосування сучасних апаратно-програмних та організаційних заходів захисту інформації від комп'ютерних вірусів.
Головні напрямки захисту від комп'ютерних вірусів є:
- запобігання надходженню вірусів;
- запобігання вірусній атаці, якщо вірус все-таки поступив на комп'ютер;
- запобігання руйнівним наслідкам, якщо атака все-таки сталася.
Створювати систему безпеки слід, насамперед, “з кінця” із запобігання руйнівним наслідкам будь-якого впливу, будь то вірусна атака або фізичний вихід жорсткого диска з ладу [ ].
Виходячи з проведеного дослідження, на наш погляд, є три основні методи реалізації профілактики комп'ютерної безпеки:
- програмний метод захисту;
- апаратний метод захисту;
- організаційний метод захисту.
Ефективними програмними методами захисту є використання антивірусних прикладних програм.
Відомими програмами, здатними видаляти коди вірусів із програм, є Aidstest (Д.М.Лозинський), Doctor (О.О.Чижов), Anti-Kot (О.Г.Котик), Dr.Web (І.Данилов).
Наведемо найбільш відомі та ефективні антивірусні прикладні програми.
Існуюча антивірусна прикладна програма – AVP (Лабораторія Касперського), забезпечує антивірусний контроль на операційних системах DOS, WINDOWS 95/98/NT/2000, NetWare, Linux, FreeBSD. Також підтримує Microsoft Office 2000, Checkpoint Frewall-1, поштові сервери UNIX-sendmail qmail.
Друга антивірусна прикладна програма – McAfee Active Virus Defense придатна майже для всіх операційних систем та додатків, які використовуються в корпоративних мережах: клієнтські WINDOWS 3.x/95/98/ME/NT, Workstation/ 2000 Professional, OS/2, DOS, Macintosh; серверні ОС WINDOWS NT Server, Windows 2000 Server/ Advanced Server/ Novell Netware, Linux, HP-UX, AIX, SCO, Solaris; додатки Microsoft Office; інтернет-шлюзи MS Proxy Server.
Третя, на наш погляд, програма, що забезпечує програмний метод захисту, антивірусна прикладна програма – Norton AntiVirus (Symantec Corp.). Вона містить набір антивірусних прикладних додатків і придатна для серверів Windows NT та Novell, робочих станцій, комунікаційних пакетів Lotus Notes та MS Exchange, SMTP поштових серверів та брандмауерів. Працює в трьох режимах: автоматичний захист, пошук і вакцинація. Автоматичний захист дозволяє виявити і знищити відомі вірусні програми, перепиняє шлях у систему новим вірусним програмам, виявляє віруси в архівних файлах (*.ZIP, *.LZH), виконує контроль підозрілих дій, автоматично перевіряє і лікує дискети.
На нашу думку, програмний антивірусний захист є важливою та постійною функцією профілактики комп’ютерної безпеки.
Основним організаційним методом захисту інформації є резервне копіювання найбільш цінних даних. У разі втрати інформації, коли...
| Добавить комментарий |
| Всего 0 комментариев |
