Лекция 15. Основные классификационные признаки компьютерных вирусов

Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ»
Лекция 15. Основные классификационные признаки
компьютерных вирусов
Защита от компьютерных вирусов и других программных действий и изменений является самостоятельным направлением защиты процессов переработки
информации в КС (компьютерных системах). Недооценка разрушающих программных средств может иметь серьезные последствия для информации пользователей. Знание механизмов действия вирусов, методов и средств борьбы с ними
позволяет эффективно организовать противодействие вирусам, свести к минимуму вероятность заражения и потерь от их воздействия.
Компьютерные вирусы — это небольшие исполняемые или интерпретируемые программы, обладающие свойством распространения и самовоспроизведения (репликации) в КС. В процессе распространения вирусы могут себя модифицировать.
Все компьютерные вирусы могут быть классифицированы по следующим
признакам:
 среда обитания;
 способ заражения;
 степень опасности;
 алгоритм функционирования.
По среде обитания компьютерные вирусы подразделяют на сетевые, файловые, загрузочные и комбинированные.
Средой обитания сетевых вирусов являются элементы компьютерных сетей. Файловые вирусы размещаются в исполняемых файлах. Загрузочные вирусы находятся в загрузочных секторах (областях) внешних запоминающих
устройств (boot-секторах). Иногда загрузочные вирусы называют бутовыми. Комбинированные вирусы размешаются в нескольких средах обитания. Примером
таких вирусов являются загрузочно-файловые вирусы. Они могут размещаться
как в загрузочных секторах накопителей на магнитных дисках, так и в теле загрузочных файлов.
По способу заражения среды обитания компьютерные вирусы делятся на
резидентные и нерезидентные.
Резидентные вирусы после их активизации полностью или частично перемещаются из среды обитания (сеть, загрузочный сектор, файл) в оперативную
память ЭВМ.
В отличие от резидентных нерезидентные попадают в оперативную память
только на время их активности, в течение которого выполняют деструктивную
функцию и функцию заражения. Затем вирусы полностью покидают оперативную
память, оставаясь в среде обитания. Если вирус помещает в оперативную память
программу, которая не заражает среду обитания, то такой вирус считается нерезидентным.
По степени опасности для информационных ресурсов пользователя компьютерные вирусы можно разделить на безвредные, опасные и очень опасные.
Безвредные вирусы создаются авторами, которые не ставят перед собой
цель нанести какой-либо ущерб ресурсам КС. Другими словами, создание компьютерных вирусов для таких людей - своеобразная попытка самоутверждения.
Вредительское воздействие таких вирусов сводится к выводу на экран монитора
невинных текстов и картинок, исполнению музыкальных фрагментов и т.д.
Опасные вирусы вызывают существенное снижение эффективности КС, но
не приводят к нарушению целостности и конфиденциальности информации, хранящейся в запоминающих устройствах. Последствия таких вирусов могут быть
Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ»
ликвидированы без особых затрат материальных и временных ресурсов. Примерами таких вирусов являются вирусы, занимающие память ЭВМ и каналы связи,
но не блокирующие работу сети; вирусы, вызывающие необходимость повторного
выполнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи и т.п.
Очень опасные вирусы вызывают нарушение конфиденциальности информации, уничтожение, необратимую модификацию (в том числе и шифрование)
информации, блокируют доступ к информации, приводят к отказу аппаратных
средств, вызывают их неисправность.
В соответствии с особенностями функционирования вирусы можно подразделить на два класса:
 вирусы, не изменяющие среду обитания (файлы и секторы) при распространении;
 вирусы, изменяющие среду обитания при распространении.
В свою очередь, вирусы, не изменяющие среду обитания могут быть подразделены на две группы:
 вирусы-«спутники» (companion);
 вирусы-«черви» (worm).
Вирусы-«спутники» не изменяют файлы. Механизм их действия состоит в
создании копий исполняемых файлов. Например, в MS DOS такие вирусы создают
копии для файлов, имеющих расширение ЕХЕ. Копии присваивается то же имя,
что и исполняемому файлу, но расширение изменяется на .СОМ. При запуске
файла с общим именем операционная система первым загружает на выполнение
файл с расширением .СОМ, который является программой-вирусом. Файл-вирус
запускает затем и файл с расширением .ЕХЕ.
Вирусы-«черви» попадают в рабочую станцию из сети, вычисляют адреса
рассылки вируса по другим абонентам сети и осуществляют передачу вируса. Вирус не изменяет файлов и не запишется в загрузочные секторы дисков. Некоторые вирусы-«черви» создают рабочие копии вируса на диске, другие - размещаются только в оперативной памяти ЭВМ.
По сложности, степени совершенства и особенностям алгоритмов вирусы, изменяющие среду обитания, подразделяются:
 студенческие;
 «стелс»-вирусы (вирусы-невидимки);
 полиморфные.
К студенческим относятся вирусы, создатели которых имеют низкую квалификацию. Такие вирусы, как правило, являются нерезидентными, часто содержат
ошибки, довольно просто обнаруживаются и удаляются.
«Стелс»-вирусы и полиморфные вирусы создаются квалифицированными
специалистами, хорошо знающими принцип работы аппаратных средств и операционной системы, а также владеющими навыками работы с машинноориентированными системами программирования. Данные вирусы маскируют своё
присутствие в среде обитания путём перехвата обращений ОС к поражённым
файлам, секторам и переадресуют ОС к незаражённым участкам информации.
«Стелс»-вирусы являются резидентными, обладают способностью противодействовать антивирусным средствам.
Полиморфные вирусы не имеют постоянных опознавательных групп – сигнатур. Обычные вирусы для распознавания факта заражения среды обитания
размещают в заражённом объекте специальную опознавательную двоичную последовательность или последовательность символов (сигнатуру), которая однозначно идентифицирует зараженность файла или сектора. Сигнатуры ис-
Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ»
пользуются на этапе распространения вирусов для того, чтобы избежать многократного заражения одних и тех же объектов, так как при многократном заражении объекта значительно возрастает вероятность обнаружения вируса. Для
устранения демаскирующих признаков полиморфные вирусы используют шифрование тела вируса и модификацию программы шифрования. За счет такого преобразования полиморфные вирусы не имеют совпадений кодов.
Любой вирус, независимо от принадлежности к определенным классам,
должен иметь три функциональных модуля: модуль заражения (распространения), модуль маскирования и модуль выполнения вредительских действий. Разделение на функциональные модули означает, что к определенному
модулю относятся команды программы вируса, выполняющие одну из трех функций, независимо от места нахождения команд в теле вируса.
После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки, например, происходит расшифрование тела вируса. Затем вирус осуществляет функцию внедрения в незараженную среду обитания. Если вирусом предусмотрены деструктивные воздействия, то они выполняются, либо безусловно, либо при определенных условиях.
Завершает работу вируса всегда блок маскирования. При этом выполняются, например, следующие действия: шифрование вируса (если функция шифрования реализована), восстановление старой даты изменения файла и его атрибутов, корректировка таблиц ОС и др.
В последнюю очередь вирусная программа дает команду активировать зараженные файлы или выполнить программы ОС.
Для удобства работы с известными вирусами используются каталоги вирусов. В каталог помещаются следующие сведения о стандартных свойствах вируса:
имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в ОП для резидентных вирусов, вызываемые эффекты.
Особое место среди файловых вирусов занимают макровирусы.
Макровирусы представляют собой вредительские программы, написанные на
макроязыках, встроенных в текстовые редактору электронные таблицы и др.
Для существования вирусов в конкретной системе (редакторе) необходимо,
чтобы встроенный в нее макроязык имел следующие условия:
 привязка программы на макроязыке к конкретному файлу;
 копирование макропрограмм из одного файла в другой;
 получение управления макропрограммой без вмешательства пользователя.
Таким условиям отвечают редакторы MS WORD, MS OFFICE, AMI PRO, табличный процессор MS EXCEL. В этих системах используются макроязыки WORD
BASIC и VISUAL BASIC.
Троянской программой (троянцем, или троянским конем) называется программа, которая, являясь частью другой программы с известными пользователю
функциями, способна втайне от него выполнять некоторые дополнительные действия с целью причинения ему определенного ущерба.
Таким образом, троянская программа – это особая разновидность программной закладки. Она дополнительно наделена функциями, о существовании которых пользователь даже не подозревает. Когда троянская программа выполняет
эти функции, компьютерной системе наносится определенный ущерб.
Большинство троянских программ предназначено для сбора конфиденциальной информации. Их задача чаще всего состоит в выполнении действий, позволяющих получить доступ к данным, которые не подлежат широкой огласке. К
таким данным относятся пользовательские пароли, регистрационные номера программ, сведения о банковских счетах и т.д. Остальные троянцы создаются для
Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ»
причинения прямого ущерба компьютерной системе, приводя ее в неработоспособное состояние.
К последним можно отнести, например, троянскую программу PC CYBORG,
которая завлекала ничего не подозревающих пользователей обещаниями предоставить им новейшую информацию о борьбе с вирусом, вызывающим синдром
приобретенного иммунодефицита (СПИД). Проникнув в компьютерную систему,
PC CYBORG отсчитывала 90 перезагрузок этой системы, а затем прятала все каталоги на ее жестком диске и шифровала находящиеся там файлы.
В настоящее время троянские программы можно отыскать практически где
угодно. Они написаны для всех без исключения операционных систем и для любых платформ. Не считая случаев, когда троянские программы пишутся самими
разработчиками программного обеспечения, троянцы распространяются тем же
способом, что и компьютерные вирусы. Поэтому самыми подозрительными на
предмет присутствия в них троянцев, в первую очередь, являются бесплатные и
условно-бесплатные программы, скачанные из Internet, а также программное
обеспечение, распространяемое на пиратских компакт-дисках.
В настоящее время существует целый ряд троянских программ, которые
можно совершенно свободно скачать, подключившись к сети Internet. Наибольшую известность среди них получили троянцы Back Orifice, Net Bus и SubSeven.
Средства борьбы с троянцами в операционных системах семейства Windows
традиционно являются частью их антивирусного программного обеспечения. Поэтому, чтобы отлавливать Back Orifice, Net Bus, SubSeven и другие подобные им
троянские программы, необходимо обзавестись самым современным антивирусом.
Следует регулярно проверять свой компьютер на присутствие в нём вирусов.
Тем, кто хочет иметь в своем распоряжении утилиту, предназначенную
именно для обнаружения троянцев в компьютерах, которые работают под управлением операционных систем семейства Windows, можно посоветовать программу
The
Cleaner
компании
MooSoft Development
(http://www.homestead.com
/moosoft/cleaner.html). Эта утилита может быть с успехом использована для борьбы более чем с четырьмя десятками разновидностей троянских программ.
Обзор средств борьбы с троянскими программами был бы далеко не полным,
если обойти вниманием, недавно появившиеся на рынке программные пакеты,
предназначенные для комплексной защиты от угроз, с которыми сталкиваются
пользователи настольных компьютеров при работе в Internet.
Методы и технологии борьбы с компьютерными вирусами
Массовое распространение вирусов, серьезность последствий их воздействия на ресурсы КС вызвали необходимость разработки и использования специальных антивирусных средств и методов их применения.
Антивирусные средства применяются для решения следующих задач:
 обнаружение вирусов в КС;
 блокирование работы программ-вирусов;
 устранение последствий воздействия вирусов.
Обнаружение вирусов желательно осуществлять на стадии их внедрения или,
по крайней мере, до начала выполнения деструктивных функций вирусов. Необходимо отметить, что не существует антивирусных средств, гарантирующих обнаружение всех возможных вирусов.
При выявлении вируса необходимо сразу же прекратить работу программывируса, чтобы минимизировать ущерб от его воздействия на систему.
Устранение последствий воздействия вирусов ведется в двух направлениях:
Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ»
 удаление вирусов;
 восстановление (при необходимости) файлов, областей памяти.
Технология восстановления системы зависит от типа вируса, а также от момента времени обнаружения вируса по отношению к началу вредных действий. Восстановление информации без использования дублирующей информации может
быть невыполнимым, если вирусы при внедрении не сохраняют информацию, на
место которой они помещаются в память.
К методам обнаружения вирусов относятся:
 сканирование;
 обнаружение изменений;
 эвристический анализ;
 использование резидентных сторожей;
 вакцинация программ;
 применение аппаратно-программных антивирусных средств.
Сканирование — один из самых простых методов обнаружения вирусов. Оно
осуществляется программой-сканером, которая просматривает файлы в поисках
опознавательной части вируса - сигнатуры. Программа фиксирует наличие уже
известных вирусов за исключением полиморфных, которые применяют шифрование тела-вируса. Программы-сканеры часто могут удалять обнаруженные вирусы,
причём хранить не сигнатуры известных вирусов, а их контрольные суммы. Такие
программы называются полифагами.
Метод сканирования применим для обнаружения вирусов, сигнатуры которых
уже выделены и являются постоянными. Для эффективного использования метода
необходимо регулярное обновление сведений о новых вирусах.
Самой известной программой-сканером в России является AIDSTEST Дмитрия
Лозинского.
Метод обнаружения изменений базируется на использовании программревизоров. Эти программы определяют и запоминают характеристики всех областей на дисках, в которых обычно размещаются вирусы. При периодическом выполнении программ-ревизоров сравниваются хранящиеся характеристики и характеристики, получаемые при контроле областей дисков. По результатам ревизии программа выдает сведения о предположительном наличии вирусов.
Обычно программы-ревизоры запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов и номера дефектных кластеров, объемы установленной оперативной памяти, число подключенных к компьютеру дисков и их параметры.
Главным достоинством метода является возможность обнаружения вирусов
всех типов, а также новых неизвестных вирусов. Совершенные программыревизоры обнаруживают даже «стелс»-вирусы. Например, программа-ревизор
ADINF работает с диском непосредственно по секторам через BIOS. Это не позволяет «стелс»-вирусам использовать возможность перехвата прерываний и «подставки» для контроля нужной вирусу области памяти.
Эвристический1 анализ сравнительно недавно начал использоваться для обнаружения вирусов. Как и метод обнаружения изменений, данный метод позволяет определять неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации в файловой системе.
1
Эвристика (от греческого heurisko – отыскиваю, открываю): 1) специальные методы, использующиеся в процессе открытия нового (эвристические методы); 2) наука, изучающая творческое мышление (эвристическая деятельность).
Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ»
Сущность эвристического анализа заключается в проверке возможных сред
обитания вирусов и выявлении в них команд (групп команд), характерных для
вирусов. Такими командами могут быть команды создания резидентных модулей в
оперативной памяти, команды прямого обращения к дискам, минуя ОС. Эвристические анализаторы при обнаружении «подозрительных» команд в файлах или
загрузочных секторах выдают сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами. Эвристический анализатор имеется, например, в антивирусной программе
DOCTOR WEB.
Метод использования резидентных сторожей основан на применении программ, которые постоянно находят в ОП и отслеживают все действия остальных
программ. В случае выполнения какой-либо программой подозрительных действий (обращение для записи в загрузочные сектора, помещение в ОП резидентных модулей, попытки перехвата прерываний и т. п.) резидентный сторож выдает
сообщение пользователю. Программа-сторож может загружать на выполнение
другие антивирусные программы для проверки «подозрительных» программ, а
также для контроля всех поступающих извне файлов (со сменных дисков, из сети).
Существенным недостатком данного метода является значительный процент
ложных тревог, что мешает работе пользователя, вызывает раздражение и желание отказаться от использования резидентных сторожей. Примером резидентного
сторожа может служить программа VSAFE, входящая в состав MS DOS.
Под вакцинацией программ понимается создание специального модуля для
контроля ее целостности. В качестве характеристики целостности файла обычно
используется контрольная сумма. При заражении вакцинированного файла модуль контроля обнаруживает изменение контрольной суммы и сообщает об этом
пользователю. Метод позволяет обнаруживать все вирусы, в том числе и незнакомые, за исключением «стелс»-вирусов.
Блокирование работы программ-вирусов осуществляется применением аппаратно-программных антивирусных средств. В настоящее время для защиты
ПЭВМ используются специальные контроллеры и их программное обеспечение.
Недостаток у этих средств один — зависимость от аппаратных средств ПЭВМ.
Изменение последних ведет к необходимости замены контроллера. Примером аппаратно-программной защиты or вирусов может служить комплекс SHERIFF.
В процессе удаления последствий заражения вирусами осуществляется удаление вирусов, а также восстановление файлов и областей памяти, в которых находился вирус. Существует два метода удаления последствий воздействия вирусов
антивирусными программами.
Первый метод предполагает восстановление системы после воздействия известных вирусов. Разработчик программы-фага удаляющей вирус, должен знать
структуру вируса и его характеристики размещения в среде обитания.
Второй метод позволяет восстанавливать файлы и загрузочные сектора, зараженные неизвестными вирусами. Для этого программа восстановления должна
заблаговременно создать и хранить информацию о файлах, полученную в условиях отсутствия вируса. На основе информации о незараженном файле и сведений об общих принципах работы вирусов осуществляется восстановление файлов. Если вирус подверг файл необратимым изменениям, то оно возможно только
с использованием резервной копии или с дистрибутива. При их отсутствии существует только один выход - уничтожить файл и восстановить его вручную.
Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ»
Если антивирусная программа не может восстановить главную загрузочную запись или загрузочные сектора, то можно попытаться это сделать вручную. В случае неудачи следует отформатировать диск и переустановить ОС.
Существуют вирусы, которые, попадая в ЭВМ, становятся частью его ОС, Если
просто удалить такой вирус, то система становится неработоспособной.
Одним из таких вирусов является вирус One Half. При загрузке ЭВМ вирус постепенно зашифровывает жесткий диск. При обращении к уже зашифрованным
секторам резидентный вирус Оne Half перехватывает обращения и расшифровывает информацию. Удаление вируса приведет к невозможности использовать зашифрованную часть диска. При удалении такого вируса надо сначала расшифровать информацию на диске, для чего необходимо знать механизм действия вируса.
Правила работы компьютерных систем и технология обнаружения заражения вирусами
Правило первое: использование только программных продуктов, полученных
законным официальным путём. Вероятность наличия вируса в пиратской копии во
много выше, чем в официально полученном программном обеспечении.
Правило второе: дублирование информации.
Прежде всего, необходимо сохранять дистрибутивные носители программного обеспечения. При этом запись на носители, допускающие выполнение этой
операции, должна быть, по возможности, заблокирована. Следует особо позаботиться о сохранении рабочей информации. Предпочтительнее регулярно создавать копии рабочих файлов на съемных машинных носителях информации с защитой от записи. Если создается копия на несъемном носителе, то желательно ее
создавать на других ВЗУ или ЭВМ. Копируется либо весь файл, либо только вносимые изменения. Последний вариант применим, например, при работе с базами
данных.
Правило третье: регулярное использование антивирусных средств.
Перед началом работы целесообразно выполнять программы-сканеры и программы-ревизоры (AIDSTEST и ADINF). Антивирусные средства должны регулярно обновляться.
Правило четвертое: особая осторожность при использовании новых съёмных
носителей информации и новых файлов.
Новые дискеты обязательно должны быть проверены на отсутствие загрузочных и файловых вирусов, а полученные файлы на наличие файловых вирусов.
Проверка осуществляется программами-сканерами и программами, осуществляющими эвристический анализ (AIDSTEST, DOCTOR WEB, ANTIVIRUS). При первом
выполнении исполняемого файла используются резидентные сторожа. При работе
с полученными документами и таблицами целесообразно запретить выполнение
макрокоманд средствами, встроенными в текстовые и табличные редакторы (MS
WORD, MS EXCEL), до завершения полной проверки этих файлов.
Правило пятое: проверка на специально выделенных для этой цели ЭВМ новых
сменных носителей информации и вводимых в систему файлов при работе в распределенных системах или системах коллективного пользования.
Целесообразно для этого использовать автоматизированное рабочее место
администратора системы или лица, отвечающего за безопасность информации.
Только после всесторонне антивирусной проверки дисков и файлов они могут передаваться пользователям системы.
Курсы повышения квалификации «АДМИНИСТРИРОВАНИЕ СИСТЕМЫ»
Правило шестое: блокировка выполнения записи информации на носитель, если
не предполагается её осуществление.
Пользователю следует выполнить следующую технологическую последовательность действий при заражении ПК вирусом.
1. Выключить ПК для уничтожения резидентных вирусов.
2. Осуществить загрузку эталонной операционной системы со сменного носителя
информации, в которой отсутствуют вирусы.
3. Сохранить на сменных носителях информации важные файлы, которые не
имеют резервных копий.
4. Использовать антивирусные средства дня удаления вирусов и восстановления
файлов, областей памяти. Произвести контроль работоспособности ВС (вычислительной системы).
5. Если работоспособность ЭВМ не восстановлена, то необходимо осуществить
полное стирание и разметку (форматирование) несъемных внешних запоминающих устройств. В ПЭВМ для этого могут быть использованы программы MS DOS
FDISK и FORMAT. Программа форматирования FORMAT не удаляет главную загрузочную запись на жестком диске, в которой может находиться загрузочный вирус.
Поэтому необходимо выполнить программу FDISK с недокументированным параметром MBR, создать с помощью этой же программы разделы и логические диски
на жестком диске. Затем выполняется программа FORMAT для всех логических
дисков.
6. Восстановить ОС, другие программные системы и файлы с дистрибутивов и резервных копий, созданных до заражения.
7. Тщательно проверить файлы, сохраненные после обнаружения заражения, и,
при необходимости, удалить вирусы и восстановить файлы.
8. Завершить восстановление информации всесторонней проверкой ЭВМ с помощью всех имеющихся в распоряжении пользователя антивирусных средств.
При выполнении рекомендаций по профилактике заражения компьютерными вирусами, а также при умелых и своевременных действиях в случае заражения вирусами ущерб информационным ресурсам КС может быть сведен к минимуму!