ПИТАННЯ ЗАХИСТУ ВІД КОМП’ЮТЕРНИХ ВІРУСІВ

Дата: 16.02.2004
Источник: www.crime-research.ru
Автор: Хрипко С.Л.


Сьогодні одним з основних джерел загроз у сфері інформаційної безпеки є тенденція зростання протиправних дій організованих груп або окремих осіб з використанням різноманітних інформаційних комп'ютерних мереж. Бурхливий розвиток світової WWW–павутини кардинально змінив користування інформаційними ресурсами світу. Тепер при роботі в Інтернеті потрібно мати на увазі, що наскільки ресурси Всесвітньої мережі відкриті звичайному клієнтові, настільки ж і ресурси його власної комп'ютерної системи за певних умов можуть бути відкриті всім, хто володіє необхідними засобами.

У комп’ютерній техніці поняття інформаційної безпеки є вельми широким, воно охоплює і надійність роботи комп'ютера, і збереження цінних даних, і захист інформації від внесення до неї змін не уповноваженими персонами (конфіденційність), і збереження таємниці листування в електронному зв'язку. Зрозуміло, що на варті комп'ютерної безпеки стоять закони, які й регулюють захист інформації. Але правозастосовна практика та законотворчий процес не встигають за розвитком інформаційних технологій, і тому безпека надійної роботи комп'ютерних систем багато в чому спирається на заходи профілактики.

Актуальністю дослідження є виявлення основних напрямків профілактики розповсюдження комп’ютерних вірусів.


Виникнення комп'ютерних вірусів пов'язане з ідеєю створення програм, що самовідтворюються, дослідження яких розпочалося ще в 1951 році американським вченим Д.фон Нейманом. Перші експерименти в цьому напрямку проводилися в 1962 році при створенні комп'ютерної гри Darwin. У 1970 році була створена програма Creeper для однієї з перших комп'ютерних мереж ARPANET, яка саморозмножувалася. Для боротьби з нею була створена програма Reaper [ ].

Одночасно з появою в 1977 р. перших персональних комп'ютерів Apple II і початком їхнього масового продажу з'явилися і комп'ютерні віруси. Наприкінці 70-х років стали бурхливо розвиватися мережі на базі телефонних ліній. А з появою BBS одержав поширення новий вид комп'ютерного хуліганства – завантаження в мережу програм, що знищують дані на комп'ютерах користувачів. На початку 80-х років з'явився перший завантажувальний вірус Elk Cloner для Apple II.

В історії комп'ютерних вірусів переломним став 1984 рік, коли італійські програмісти Р.Черути і М.Морокути підготували теоретичну базу для практичної реалізації поширення на дискетах завантажувальних вірусів. Вони докладно виклали свої концепції широкої громадськості й опублікували специфікацію завантажувальної (бутової) вірусної програми. Незважаючи на те, що Черути і Морокути відмовилися від подальших практичних досліджень у цьому напрямку, їх ідеї були підхоплені і широко реалізовані на практиці [1].

Ще одним дослідником в області реалізації саморозмножувальних програм у 1984 році став співробітник Лехайского університету Ф.Коен, який провів ряд експериментів на системі VAX 11/750, що працювала під керуванням операційної системи UNIX. Опубліковані ним статті стали посібником для розробки вірусних програм. Прийнято вважати, що термін «комп'ютерний вірус» був уперше введений Ф.Коеном [1].

У даний час існує список всіх комп'ютерних вірусів с початку їх появи, який підтримується Э.Ньюхаузом і його можна одержати з мережі Інтернет (www.virusbtn.com).

До дій які виконують комп’ютерні віруси відносяться вільні або мимовільні спроби порушити працездатність комп'ютерних систем, спроби злому захищених систем, використання і поширення програм, які порушують працездатність комп'ютерних систем та їх надійність.

Сьогодні комп'ютерні віруси не тільки швидко розповсюджуються але й впроваджуються в електронну пам’ять комп'ютера, прикріплюються до файлів і навіть переховуються на скрин-сейверах (різноманітні заставки-екрану). Комп'ютерний вірус може зіпсувати, зокрема змінити неналежним чином, будь-які файли, які містять різноманітну важливу інформацію, що в свою чергу завдає неймовірного збитку.

У кримінологічному аспекті комп'ютерний вірус – це комп'ютерна програма (сукупність програмних кодів), здатна без відома користувача комп’ютера створити свої копії та впровадити програмні коди у різноманітні файли або ресурси комп’ютерних систем.

Проведений аналіз комп’ютерних вірусів, розповсюджених у 2002 році показав, що з'явилося безліч шкідливих вірусів на будь-який смак, а епідемія деяких з них і сьогодні продовжує створювати користувачам проблеми.

Комп'ютерні віруси 2002 року застосовували різні технології для проникнення на комп'ютери користувачів. Основну масу склали віруси-черв'яки (Avron, Bugbear, Opaserv), що розсилають вірусний код електронною поштою. Найбільшу небезпеку складали ті віруси, які використовували для свого запуску уразливість інших програм (наприклад Bride, Lentin, Klez.I). Різноманітні віруси-троянці (Наприклад, Pursue), призначені для крадіжки конфіденційної інформації або надання зловмисникам доступу до комп'ютерів користувачів.

Список вірусів, що залишили після себе найбільш значну шкоду виглядає так.

Найстійкішим вірусом став Klez.I. Для автоматичного запуску він використовує методи, які схиляють користувача до відкриття зараженого листа або його перегляду у вікні швидкого перегляду додатку Outlook Express.


Одним з найнебезпечніших вірусів року, за повідомленням компанії Panda Software, став L-варіант вірусу-черв'яка Opaserv, який розповсюджується мережею і здатний знищувати вміст пам'яті CMOS і всю інформацію з жорсткого диска користувача.

Найбільш довершеним у технічному виконанні є вірус-черв'як Bugbear, який блокує роботу деяких додатків (зокрема, антивірусних програм і міжмережевих екранів). Він відкриває порт 36794 на зараженому комп'ютері і надає хакеру можливість проведення віддаленої атаки.

Як витікає з проведеного аналізу, епідемія більшою чи меншою мірою торкнулася практично всіх країн. Це ще раз доводить неспроможність ідеї кібернетичної зброї вірусного типу.

Наприклад, вірусом Klez I вдалося заразити лише кожне 169-е повідомлення навіть тоді, коли він розмножився мережею, вірусом Yaha довелося заразити лише кожне 268-е повідомлення. Найшкідливішими вірусами "всіх часів і народів", зафіксованими компанією MessageLabs, залишаються вірус Goner, який у грудні 2002 року був у кожному тридцятому повідомленні, і вірус LoveBug, якого досі ніхто не зміг обійти, він заразив кожне 28-е повідомлення ще в травні 2000 року.

Так, за повідомленням Британської компанії MessageLabs, яка займається антивірусним захистом, у 2002 році вдалося знешкодити 9,3 млн. вірусів та їх кодів, що містилися в 2 млрд. електронних листів. Це рівнозначно одному вірусу на 215 повідомлень електронної пошти. Згідно зі звітом, куди увійшли результати діяльності компанії, найактивнішим вірусом був Klez.I, 4,9 млн. копій якого вдалося зупинити. Вірус Yaha стоїть на другому місці з 1,1 млн. копій, третій – Bugbear з 842 тис. 333 копій. Однак ці цифри включають лише віруси, які компанія знешкодила для своїх корпоративних клієнтів. Загальна ж кількість копій цих вірусів була набагато більшою.

Якщо Klez переміг у номінації "найстійкіший вірус", то вірусові Bugbear вдалося стати найактивнішим вірусом року, завдяки "подвійній атаці" у листопаді 2002 р. - на нього припало біля 30% всіх виявлених антивірусною програмою Sophos шкідливих кодів, що дозволило Bugbear випередити колишнього лідера за кількістю заражень – вірусом Klez, який до того часу перемістився на 3-е місце з 8%.

Проблемами класифікації комп'ютерних вірусів займається спеціально створений науковий напрямок – комп'ютерна вірусологія.

На наш погляд всі різновиди вірусів можна поділити на класи за наступними ознаками:

- за середовищем мешкання;

- за способом зараження середовища мешкання;

- за деструктивними можливостями;

- за особливістю алгоритму вірусу.


За середовищем мешкання віруси поділяються на мережеві, файлові та завантажувальні. Мережеві віруси – це комп'ютерні віруси які мають властивість розповсюджуватись (“переходити”) через телекомунікаційні мережі з однієї комп’ютерної системи до іншої, з одного комп'ютера на інший. Файлові віруси – вбудовуються в структуру файлу, завантажувальні вбудовуються в завантажувальний сектор, який знаходиться на диску.

Існують два способи зараження середовища мешкання: резидентний та нерезидентний. Резидентні віруси при інфікуванні комп’ютера залишають в операційній пам’яті комп'ютера свій програмний код, який потім інфікує інші об’єкти. Він є активним аж до вимкнення або перевантаження комп'ютерної системи. В свою чергу нерезидентний є активним деякий час.

За деструктивними можливостями віруси поділяються на:

- нешкідливі (які тільки зменшують вільну пам’ять комп’ютера);

- небезпечні, які зупиняють роботу комп'ютерної системи;

- дуже небезпечні, які приводять до зникнення програм, даних, інформації.


За особливостями алгоритму вірусу можна виділити наступні групи:

- програмні;

- завантажувальні;

- компаньйон-віруси;

- стелс-віруси;

- поліморфік-віруси;

- макровіруси;

- комбіновані віруси.


Програмні віруси. Програмні віруси – це блоки програмного коду, цілеспрямовано впроваджені всередину інших прикладних програм. При запуску прикладної програми, відбувається запуск імплантованого в неї вірусного коду. Робота цього коду викликає приховані від користувача зміни в файловій системі жорстких дисків і/або в змісті інших програм. Так, наприклад, вірусний код може відтворювати себе в тілі інших...