Компьютерная безопасность. Часть 3: Вирусы и Антивирусы

Оглавление

История вирусов

Защита от вирусов

Обнаружение вирусов

Анализ алгоритма вируса

Антивирусные программы

Что делать, если ваш компьютер заражен?

Компьютерная безопасность. Часть 1

Компьютерная безопасность. Часть 2: Основы

Компьютерная безопасность. Часть 4: Анонимность в сети

Компьютерная безопасность. Часть 5: Правильный пароль

Компьютерная безопасность. Часть 6: Сеть

История вирусов

Основы теории самовоспроизводящихся механизмов заложил американец венгерского происхождения Джон фон Нейман (John von Neumann), который в 1951 предложил метод создания таких механизмов. Первой публикацией, посвященной созданию самовоспроизводящихся систем, является статья Л. С. Пенроуз (L. S. Penrose) (жена нобелевского лауреата по физике Р. Пенроуза) о самовоспроизводящихся механических структурах, опубликованная в 1957. американским журналом «Nature». В этой статье, наряду с примерами чисто механических конструкций, была приведена некая двумерная модель подобных структур, способных к активации, захвату и освобождению. По материалам этой статьи Ф. Ж. Шталь (F. G. Stahl) запрограммировал на машинном языке ЭВМ IBM 650 биокибернетическую модель, в которой существа двигались, питаясь ненулевыми словами. При поедании некоторого числа символов существо размножалось, причём, дочерние механизмы могли мутировать. Если кибернетическое существо двигалось определённое время без питания, оно погибало.

В 1961 В. А. Высотский (V. А. Vyssotsky), Х. Д. Макилрой (H. D. McIlroy) и Роберт Моррис (Robert Morris) — фирма Bell Telephone Laboratories, США — изобрели достаточно необычную игру «Дарвин», в которой несколько ассемблерных программ, названных «организмами», загружались в память компьютера. Организмы, созданные одним игроком (то есть принадлежащие к одному виду), должны были уничтожать представителей другого вида и захватывать жизненное пространство. Победителем считался тот игрок, чьи организмы захватывали всю память или набирали наибольшее количество очков.

* L. S. Penrose, R. Penrose «A Self-reproducing Analogue» Nature, 4571, p.1183, ISSN 0028-0836

* McIlroy et al «Darwin, a Game of Survival of the Fittest among Programs»

Появление первых вирусов

Появление первых компьютерных вирусов зачастую ошибочно относят к 70-м, и даже 60-м годам XX века. Обычно упоминаются, как «вирусы» такие программы, как Animal, Creeper, Cookie Monster и Xerox worm.

Юрген Краус

В феврале 1980 года студент Дортмундского университета Юрген Краус подготовил дипломную работу по теме «Самовоспроизводящиеся программы» («Selbstreproduktion bei programmen»), в которой помимо теории приводились так же и листинги строго самовоспроизводящихся программ (которые вирусами на самом деле не являются) для компьютера Siemens.

Вполне очевидно, что все описанные примеры не являются компьютерными вирусами в строгом смысле, и хотя они и оказали существенное влияние на последующие исследования, первыми известными вирусами являются Virus 1,2,3 и Elk Cloner для ПК Apple II. Оба вируса очень схожи по функциональности и появились независимо друг от друга, с небольшим промежутком во времени в 1981.

Первые вирусы

С появлением первых персональных компьютеров Apple в 1977 и развитием сетевой инфраструктуры начинается новая эпоха истории вирусов. Появились первые программы-вандалы, которые под видом полезных программ выкладывались на BBS, однако после запуска уничтожали данные пользователей. В это же время появляются троянские программы-вандалы, проявляющие свою деструктивную сущность лишь через время или при определенных условиях.

ELK CLONER

В 1981 Ричард Скрента написал один из первых загрузочных вирусов для ПЭВМ Apple II — ELK CLONER. Он обнаруживал свое присутствие сообщением, содержавшим даже небольшое стихотворение:

ELK CLONER:

THE PROGRAM WITH A PERSONALITY

IT WILL GET ON ALL YOUR DISKS

IT WILL INFILTRATE YOUR CHIPS

YES, IT'S CLONER

IT WILL STICK TO YOU LIKE GLUE

IT WILL MODIFY RAM, TOO

SEND IN THE CLONER!

Page dediacted to Elk Cloner on Rich’s home site

Студент Джо Деллинджер

Другие вирусы для Apple II были созданы студентом Техасского университета A&M Джо Деллинджером (Joe Dellinger) в 1981. Они были рассчитаны на операционную систему DOS 3.3 для этой ПЭВМ. Вторая версия этого вируса «ускользнула» от автора и начала распространяться по университету. Ошибка в вирусе вызывала подавление графики популярной игры под названием CONGO, и в течение нескольких недель все («пиратские») копии этой игры перестали работать. Для исправления ситуации автор запустил новый, исправленный вирус, предназначенный для «замещения» предыдущей версии. Обнаружить вирус можно было по наличию в памяти счетчика заражений: «(GEN 0000000 TAMU)», по смещению $B6E8, или в конце нулевого сектора зараженного диска.

Сообщение в alt.folklore.computers

Статья Фреда Коэна

В сентябре 1984 была опубликована статья Ф. Коэна (Fred Cohen) [Cohen84], в которой автор исследовал разновидность файлового вируса. Это фактически второе академическое исследование проблемы вирусов. Однако именно Коэна принято считать автором термина «компьютерный вирус».

Грязная дюжина

В 1985 Том Нефф (Tom Neff) начал распространять по различным BBS список «Грязная дюжина — список опасных загружаемых программ» («The Dirty Dozen — An Unloaded Program Alert List»), в котором были перечислены известные на тот момент программы-вандалы. В дальнейшем этот список, включающий большинство выявленных троянских программ и «взломанные» или переименованные копии коммерческого программного обеспечения для MS DOS, стал широко известен и получил сокращенное название «грязная дюжина» (dirty dozen).

THE DIRTY DOZEN (17-10-1985)

Первые антивирусы

Первые антивирусные утилиты появились зимой 1984. Анди Хопкинс (Andy Hopkins) написал программы CHK4BOMB и BOMBSQAD. CHK4BOMB позволяла проанализировать текст загрузочного модуля и выявляла все текстовые сообщения и «подозрительные» участки кода (команды прямой записи на диск и др.). Благодаря своей простоте (фактически использовался только контекстный поиск) и эффективности CHK4BOMB получила значительную популярность. Программа BOMBSQAD.COM перехватывает операции записи и форматирования, выполняемые через BIOS. При выявлении запрещенной операции можно разрешить её выполнение.

Первый резидентный антивирус

В начале 1985 Ги Вонг (Gee Wong) написал программу DPROTECT — резидентную программу, перехватывающую попытки записи на дискеты и винчестер. Она блокировала все операции (запись, форматирование), выполняемые через BIOS. В случае выявления такой операции программа требовала рестарта системы.

Первые вирусные эпидемии

Очередным этапом развития вирусов считается 1987 год. К этому моменту получили широкое распространения сравнительно дешевые компьютеры IBM PC, что привело к резкому увеличению масштаба заражения компьютерными вирусами. Именно в 1987 вспыхнули сразу три крупные эпидемии компьютерных вирусов.

Brain и другие

Первая эпидемия 1987 была вызвана вирусом Brain (также известен как Пакистанский вирус), который был разработан братьями Амджатом и Базитом Алви (Amdjat и Basit Faroog Alvi) в 1986 и был обнаружен летом 1987. По данным McAfee, вирус заразил только в США более 18 тысяч компьютеров. Программа должна была наказать местных пиратов, ворующих программное обеспечение у их фирмы. В программке значились имена, адрес и телефоны братьев. Однако неожиданно для всех The Brain вышел за границы Пакистана и заразил сотни компьютеров по всему миру. Вирус Brain являлся также и первым стелс-вирусом — при попытке чтения зараженного сектора он «подставлял» его незараженный оригинал.

Вторая эпидемия, берущая начало в Лехайском университете (США), разразилась в ноябре 1987. В течение нескольких дней этот вирус уничтожил содержимое нескольких сот дискет из библиотеки вычислительного центра университета и личных дискет студентов. За время эпидемии вирусом было заражено около четырёх тысяч компьютеров.

Последняя вирусная эпидемия разразилась перед самым Новым годом, 30 декабря 1987. Её вызвал вирус, обнаруженный в Иерусалимском Университете (Израиль). Хотя существенного вреда этот вирус не принес, он быстро распространился по всему миру.

В пятницу 13 мая 1988 сразу несколько фирм и университетов нескольких стран мира «познакомились» с вирусом «Jerusalem» — в этот день вирус уничтожал файлы при их запуске. Это, пожалуй, один из первых MS-DOS-вирусов, ставший причиной настоящей пандемии — сообщения о зараженных компьютерах поступали из Европы, Америки и Ближнего Востока.

Червь Морриса

Основная статья: Червь Морриса

В 1988 Робертом Моррисом-младшим был создан первый массовый сетевой червь. 60000-байтная программа, разрабатывалась с расчётом на поражение операционных систем UNIX Berkeley 4.3, SUN. Вирус изначально разрабатывался как безвредный и имел целью лишь скрытно проникнуть в вычислительные системы, связанные сетью ARPANET и остаться там необнаруженным. Вирусная программа включала компоненты, позволяющие раскрывать пароли, существующие в инфицируемой системе, что, в свою очередь, позволяло программе маскироваться под задачу легальных пользователей системы, на самом деле занимаясь размножением и рассылкой копий. Вирус не остался скрытым и полностью безопасным, как задумывал автор, в силу незначительных ошибок, допущенных при разработке, которые привели к стремительному неуправляемому саморазмножению вируса.

По самым скромным оценкам инцидент с червём Морриса стоил свыше 8 миллионов часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается в 96 миллионов долларов (в эту сумму, также, не совсем обосновано, включены затраты по доработке операционной системы). Ущерб был бы гораздо больше, если бы вирус изначально создавался с разрушительными целями.

Червь Морриса поразил свыше 6200 компьютеров. В результате вирусной атаки большинство сетей вышло из строя на срок до пяти суток. Компьютеры, выполнявшие коммутационные функции, работавшие в качестве файл-серверов или выполнявшие другие функции обеспечения работы сети, также вышли из строя. 4 мая 1990 г. суд присяжных признал Морриса виновным. Он был приговорен к условному заключению сроком на два года, 400 часам общественных работ и штрафу размером 10 тыс. долларов.

Защита от вирусов

Данная статья посвящена методам защиты от вредоносного программного обеспечения. Ключом к организации эффективной антивирусной защиты является наличие антивирусного средства. Для начала рассмотрим основные требования, которым должно удовлетворять современное антивирусное программное обеспечение.

К антивирусному программному обеспечению предъявляются такие же требования, как и к остальным программным продуктам – удобство использования и широкие функциональные возможности, определяемые возможностью выбора различных режимов сканирования и высоким качеством детектирования вирусов. Несмотря на все разнообразие программных продуктов, принципы их работы одинаковы. К основным функциям современных антивирусов относятся:

· сканирование памяти и содержимого дисков по расписанию;

· сканирование памяти компьютера, а также записываемых и читаемых файлов в реальном режиме времени с помощью резидентного модуля;

· выборочное сканирование файлов с измененными атрибутами - размером, датой модификации, контрольной суммой и т.д.;

· сканирование архивных файлов;

· распознавание поведения, характерного для компьютерных вирусов;

· удаленная установка, настройка и администрирование антивирусных программ с консоли системного администратора; оповещение системного администратора о событиях, связанных с вирусными атаками, по электронной почте, пейджеру и т. п.

· принудительная проверка подключенных к корпоративной сети компьютеров, инициируемая системным администратором.

· удаленное обновление антивирусного ПО и баз данных с информацией о вирусах, в том числе автоматическое обновление баз данных по вирусам посредством Internet;

· фильтрация трафика Internet на предмет выявления вирусов в программах и документах, передаваемых посредством протоколов SMTP, FTP, HTTP.

· выявление потенциально опасных Java-апплетов и модулей ActiveX.

· функционирование на различных серверных и клиентских платформах, а также в гетерогенных корпоративных сетях.

· ведение протоколов, содержащих информацию о событиях, касающихся антивирусной защиты.

Как было сказано в предыдущей статье, одной из основных характеристик современных вирусных атак является их высокая скорость распространения. Кроме того, можно отметить высокую частоту появления новых атак. Таким образом, в настоящее время к современному антивирусному программному обеспечению, можно предъявить требование частоты обновления продукта - чем чаще обновляется продукт, тем выше его качество, т.к. он учитывает все актуальные на текущий момент времени вирусные угрозы.

Необходимо отметить, что в нашей стране самым популярным антивирусным решением является семейство продуктов антивирусной лаборатории Касперского – AVP.

Среди пользователей бытует мнение, что для успешной защиты от вирусной угрозы достаточно иметь антивирусное средство. Однако, как сказал один автор, серебряных пуль не существует. Наличие антивирусного программного обеспечения является необходимым, но не достаточным условием для отражения антивирусной атаки (кроме наличия средства необходимо продумать методы его использования). Таким образом, защита от вирусов в организации должна быть регламентирована некоторыми правилами, иначе говоря, быть элементом политики безопасности, которую должны понимать и соблюдать все пользователи системы (для разработки политики безопасности необходимо оценить риски, связанные с заражением вирусами, и разумные пути их минимизации).

Для того чтобы сформулировать основные принципы антивирусной политики безопасности необходимо вспомнить следующие основные моменты, относящиеся к вирусной атаке.

1. Вирусная атака состоит из двух фаз – фаза заражения и фаза распространения (и, возможно, выполнения деструктивных действий).

2. Современные вирусы часто распространяются не только с помощью исполняемых файлов, но и с помощью файлов-документов популярных программ.

3. Современные вирусы при атаке часто используют возможности сети Internet.

Рассмотрим, что можно порекомендовать пользователю с целью предотвращения заражения вирусами (очевидно, что лучший способ борьбы с атакой – ее предотвращение). Итак, для предотвращения вирусных атак рекомендуется выполнить следующие действия:

1. Соответствующим образом сконфигурировать антивирусное программное обеспечение. Для этого необходимо произвести следующие установки:

O сканирование в режиме реального времени, в фоновом или аналогичном режиме должно быть разрешено;

O при старте системы должны сканироваться память, загрузочный сектор и системные файлы;

O своевременно обновлять вирусные базы данных

O желательно сканировать все типы файлов или как минимум *.com, *.exe файлы, а также файлы типа *.vbs, *.shs, *.ocx;

O установить аудит всех действий антивирусных программ.

2. Использовать только лицензионное программное обеспечение. Программное обеспечение, полученное из неизвестного источника, может быть троянским или зараженным вирусом.

3. Ограничить набор программ, которые пользователь способен установить в системе (т.к. посторонние программы могут быть заражены вирусами или служить причиной успеха других атак). Особо следует обратить внимание на различные сервисы Internet и, в первую очередь, на программы передачи сообщений, такие как IRC, ICQ, Microsoft Chat (данные программы могут передавать файлы и служить источником заражения системы).

4. Кроме того, желательно устранить известные уязвимости в программном обеспечении (т.к. их наличие может служить причиной успеха вирусных атак). Известные уязвимости обычно публикуются в списках рассылки Internet, а также на специальных сайтах.

5. Контролировать использование накопителей гибких дисков и дисков CDROM. В идеале вся информация, содержащаяся на гибких дисках и дисках CDROM, должна быть проверена на наличие вирусов до того, как к ней будет осуществлен доступ со стороны пользователей вычислительной системы.

Обнаружение вирусов

Многие вирусы прописывают себя в автозагрузку. Сегодня мы научимся их искать и уничтожать. Существует несколько способов прописать программу в автрозагрузку. Самый простой - скопировать программу или ярлык в папку Автозагрузка. Например, у меня прописан там AVP Монитор. Но существует другой способ - через реестр. Этим способом часто пользуются вредоносные программы (вирусы, трояны, шпионы)

Сперва откройте раздел

HKEY_LOCAL_MACHINESoftware MicrosoftWindowsCurrentVersion.

Найдите там подразделы Run, RunOnce, RunOnceEx, RunServices, RunServicesOnce. В этих разделах есть строковые ключи (некоторые разделы пустые), отвечающие за запуск программ. Название ключа может быть произвольным, а в качестве значения у них указывается запускаемая программа, если надо - то с параметрами. Обратите внимание на разделы, в названии которых присутствует "Once". Это разделы, в которых прописываются программы, запуск которых надо произвести всего один раз. Например, при установке новых программ некоторые из них прописывают туда ключи, указывающие на какие-нибудь настроечные модули, которые запускаются сразу после перезагрузки компьютера. Такие ключи после своего запуска автоматически удаляются.

Внимательно проверьте, что за программы у вас запускаются. Сразу после установки Windows в разделе Run присутствуют ключи с названиями internat.exe, LoadPowerProfile, ScanRegistry, SystemTray, TaskMonitor. В разделе RunServices - ключ LoadPowerProfile. Другие разделы пустые. Остальные ключи, которые могут присутствовать у вас в реестре, были добавлены другими установленными программами. Подумайте, все ли они нужны вам при загрузке и лишнее просто удалите. Это позволит значительно ускорить загрузку Windows.

Но это не единственный раздел, откуда запускаются программы. Перейдем к другой ветви, а именно к

HKEY_CURRENT_USER и откроем там раздел SOFTWAREMicrosoftWindowsCurrentVersion. Там есть только два подраздела, отвечающие за автозагрузку: Run и Runonce. Изначально они пустые, так что все записи там сделаны другими программами.

Для операционных систем Windows 9x возможно загружать программу с помощью драйвера VxD. Полный список загружаемых драйверов находится в разделе HKEY_LOCAL_MACHINESystem CurrentControlSetServicesVxD. В Windows NT/2000 нет VxD драйверов, но в разделе HKEY_LOCAL_MACHINESystem CurrentControlSetControlSessionManager в параметре BootExecute можно прописать программу, которая будет грузиться еще до загрузки графической оболочки и сервисов.

Анализ алгоритма вируса

На мой взгляд, наиболее удобным для хранения и анализа вируса объектом является файл, содержащий его (вируса) тело. Как показывает практика, для анализа файлового вируса удобнее иметь несколько зараженных файлов различной, но не очень большой, длины. При этом желательно иметь зараженные файлы всех типов (COM, EXE, SYS, BAT, NewEXE), поражаемых вирусом. Если необходимо проанализировать часть оперативной памяти, то при помощи некоторых утилит (например, AVPUTIL.COM) довольно просто выделить участок, где расположен вирус, и скопировать его на диск. Если же требуется анализ сектора MBR или boot-сектора, то скопировать их в файлы можно при помощи популярных "Нортоновских утилит" или AVPUTIL.

Для хранения загрузочного вируса наиболее удобным является файл-образ зараженного диска. Для его получения необходимо отформатировать дискету, заразить ее вирусом, скопировать образ дискеты (все сектора, начиная с нулевого и кончая последним) в файл и при необходимости скомпрессировать его (эту процедуру можно проделать при помощи "Нортоновских утилит", программ TELEDISK или DISKDUPE). Зараженные файлы или файл-образ зараженной дискеты лучше передать разработчикам антивирусных программ по электронной почте или, в крайнем случае, на дискете по обычной почте. Однако если это займет много времени, которое, как известно, не ждет, то пользователям, достаточно уверенным в себе, можно попробовать и самостоятельно разобраться в вирусе и написать собственный антивирус. При анализе алгоритма вируса предстоит выяснить: способ(ы) размножения вируса; характер возможных повреждений, которые вирус нанес информации, хранящейся на дисках; метод лечения оперативной памяти и зараженных файлов (секторов). При решении этих задач не обойтись без дизассемблера или отладчика (например, отладчиков AFD, AVPUTIL, SoftICE, TurboDebugger, дизассемблеров Sourcer или IDA). И отладчики, и дизассемблеры имеют и положительные и отрицательные черты - каждый выбирает то, что он считает более удобным. Несложные короткие вирусы быстро "вскрываются" стандартным отладчиком DEBUG, при анализе объемных и высокосложных полиморфик-стелс-вирусов не обойтись без дизассемблера. Если необходимо быстро обнаружить метод восстановления пораженных файлов, достаточно пройтись отладчиком по началу вируса до того места, где он восстанавливает загруженную программу перед тем, как передать ей управление (фактически именно этот алгоритм чаще всего используется при лечении вируса). Если же требуется получить детальную картину работы вируса или хорошо документированный листинг, то кроме дизассемблеров Sourcer или IDA с их возможностями восстанавливать перекрестные ссылки, здесь вряд ли что поможет. К тому же следует учитывать, что, во-первых, некоторые вирусы достаточно успешно блокируют попытки протрассировать их коды, а во-вторых, при работе с отладчиком существует ненулевая вероятность того, что вирус вырвется из-под контроля. При анализе файлового вируса необходимо выяснить, какие файлы (COM, EXE, SYS) поражаются вирусом, в какое место (места) в файле записывается код вируса - в начало, конец или середину файла, в каком объеме возможно восстановление файла (полностью или частично), в каком месте вирус хранит восстанавливаемую информацию. При анализе загрузочного вируса основной задачей является выяснение адреса (адресов) сектора, в котором вирус сохраняет первоначальный загрузочный сектор (если, конечно, вирус сохраняет его). Для резидентного вируса требуется также выделить участок кода, создающий резидентную копию вируса и вычислить возможные адреса точек входа в перехватываемые вирусом прерывания. Необходимо также определить, каким образом и где в оперативной памяти вирус выделяет место для своей резидентной копии: записывается ли вирус по фиксированным адресам в системные области DOS и BIOS, уменьшает ли размер памяти, выделенной под DOS (слово по адресу [0000:0413]), создает ли для себя специальный MCB-блок либо использует какой-то другой способ. Существуют особые случаи, когда анализ вируса может оказаться очень сложной для пользователя задачей, например при анализе полиморфик-вируса. В этом случае лучше обратиться к специалисту по анализу кодов программ. Для анализа макро-вирусов необходимо получить текст их макросов. Для нешифрованных не-стелс вирусов это достигается при помощи меню Tools/Macro. Если же вирус шифрует свои макросы или использует стелс-приемы, то необходимо воспользоваться специальными утилитами просмотра макросов. Такие специализированные утилиты есть практически у каждой фирмы-производителя антивирусов, однако они являются утилитами "внутреннего пользования" и не распространяются за пределы фирм.

Антивирусы

Антивирусная программа (антивирус) — изначально программа для обнаружения и лечения программ, заражённых компьютерным вирусом, а также для предотвращения заражения файла вирусом (например, с помощью вакцинации).

Многие современные антивирусы позволяют обнаруживать и удалять также троянские программы и прочие вредоносные программы. И напротив — программы, создававшиеся как файрволы, также обретают функции, роднящие их с антивирусами (например Outpost Firewall), что со временем может привести к ещё более очевидному распространению смысла термина на средства защиты вообще. Можно также вспомнить сходство назначений ADinf (позиционировавшийся как антивирус) и tripwire (IDS).

Первые наиболее простые антивирусные программы появились почти сразу после появления вирусов. Сейчас разработкой антивирусов занимаются крупные компании. Как и у создателей вирусов, в этой сфере также сформировались оригинальные приёмы — но уже для поиска и борьбы с вирусами. Современные антивирусные программы могут обнаруживать десятки тысяч вирусов.

Антивирусное программное обеспечение состоит из компьютерных программ, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другие вредоносные программы.

Методы обнаружения вирусов

Антивирусное программное обеспечение обычно использует два отличных друг от друга метода для выполнения своих задач:
Сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах
Обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.

Метод соответствия определению вирусов в словаре

Это метод, когда антивирусная программа, просматривая файл, обращается к антивирусным базам, которые составлены производителем программы-антивируса. В случае соответствия какого либо участка кода просматриваемой программы известному коду (сигнатуре) вируса в базах, программа антивирус может по запросу выполнить одно из следующих действий:
Удалить инфицированный файл.
Заблокировать доступ к инфицированному файлу.
Отправить файл в карантин (то есть сделать его недоступным для выполнения, с целью недопущения дальнейшего распространения вируса).
Попытаться восстановить файл, удалив сам вирус из тела файла.
В случае невозможности лечения/удаления, выполнить эту процедуру при перезагрузке

Для того, чтобы такая антивирусная программа успешно работала на протяжении долгого времени, в словарь вирусов нужно периодически загружать (обычно, через Интернет) обновленные данные. Если бдительные и имеющие склонность к технике пользователи определят вирус по горячим следам, они могут послать зараженные файлы разработчикам антивирусной программы, а они затем добавят информацию о новых вирусах в свой словарь.

Для многих антивирусных программ со словарем характерна проверка файлов в тот момент, когда операционная система создает, открывает, закрывает или посылает их по почте. Таким образом, программа может обнаружить известный вирус сразу после его получения. Заметьте, также, что системный администратор может установить в антивирусной программе расписание для регулярной проверки (сканирования) всех файлов на жестком диске компьютера.

Хотя антивирусные программы, созданные на основе поиска соответствия определению вируса в словаре, при обычных обстоятельствах, могут достаточно эффективно препятствовать вспышкам заражения компьютеров, авторы вирусов стараются держаться на полшага впереди таких программ-антивирусов, создавая «олигоморфические», «полиморфические» и, самые новые, «метаморфические» вирусы, в которых некоторые части шифруются или искажаются так, чтобы невозможно было обнаружить совпадение с определением в словаре вирусов.

Метод обнаружения странного поведения программ

Антивирусы, использующие метод обнаружения подозрительного поведения программ не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ. Если программа пытается записать какие-то данные в исполняемый файл (exe-файл), программа-антивирус может пометить этот файл, предупредить пользователя и спросить что следует сделать. В настоящее время, подобные превентивные методы обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта.

Другие названия: Проактивная защита, Поведенческий блокиратор, Host Intrusion Prevention System (HIPS). В отличие от метода поиска соответствия определению вируса в антивирусных базах, метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах. Однако следует учитывать, что программы или модули, построенные на этом методе, выдают также большое количество предупреждений (в некоторых режимах работы), что делает пользователя мало восприимчивым ко всем предупреждениям. В последнее время эта проблема ещё более ухудшилась, так как стало появляться всё больше не вредоносных программ, модифицирующих другие exe-файлы, несмотря на существующую проблему ошибочных предупреждений. Несмотря на наличие большого количества предупреждающих диалогов, в современном антивирусном программном обеспечении этот метод используется всё больше и больше. Так, в 2006 году вышло несколько продуктов, впервые реализовавших этот метод: Kaspersky Internet Security, Kaspersky Antivirus, Safe’n’Sec, F-Secure Internet Security, Outpost Firewall Pro, DefenceWall. Многие программы класса файрволл издавна имели в своем составе модуль обнаружения странного поведения программ.

Метод обнаружения при помощи эмуляции

Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет себя как вирус (то есть немедленно начинает искать другие exe-файлы например), такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.

Метод «Белого списка»

Общая технология по борьбе с вредоносными программами — это «белый список». Вместо того, чтобы искать только известные вредоносные программы, это технология предотвращает выполнение всех компьютерных кодов за исключением тех, которые были ранее обозначены системным администратором как безопасные. Выбрав этот параметр отказа по умолчанию, можно избежать ограничений, характерных для обновления сигнатур вирусов. К тому же, те приложения на компьютере, которые системный администратор не хочет устанавливать, не выполняются, так как их нет в «белом списке». Так как у современных предприятий есть множество надежных приложений, ответственность за ограничения в использовании этой технологии возлагается на системных администраторов и соответствующим образом составленные ими «белые списки» надежных приложений. Работа антивирусных программ с такой технологией включает инструменты для автоматизации перечня и эксплуатации действий с «белым списком».

Другие методы обнаружения вирусов

Ряд других методов предлагается в исследованиях и используется в антивирусных программах.

Классификация антивирусов

Сканеры (устаревший вариант «полифаги») Определяют наличие вируса по БД[2], хранящей сигнатуры (или их контрольные суммы) вирусов. Их эффективность определяется актуальностью вирусной базы и наличием эвристического анализатора (см. Эвристическое сканирование).

Ревизоры Запоминают состояние файловой системы, что делает в дальнейшем возможным анализ изменений. (Класс близкий к IDS).

Сторожа (мониторы) Отслеживают потенциально опасные операции, выдавая пользователю соответствующий запрос на разрешение/запрещение операции.

Наиболее известные антивирусные программы и компании их выпускающие: AOL® Virus Protection в составе AOL Safety and Security Center
AhnLab
Aladdin Knowledge Systems
ALWIL Software (avast!) из Чехии (бесплатная и платная версии)
AVZ из России (бесплатная)
Avira из Германии (есть бесплатная версия Classic)
Authentium из Великобритании
BitDefender из Румынии
BullGuard из Дании
Computer Associates из США
Comodo Group из США
ClamAV — Лицензия GPL — бесплатный с открытым исходными кодами программы
ClamWin — ClamAV для ОС Windows
Dr.Web из России
Eset NOD32 из Словакии
Fortinet
Frisk Software из Исландии
F-Secure из Финляндии
GFI Software
GriSoft (AVG) из Чехии (бесплатная и платная версии)
Kaspersky из России
McAfee из США
MicroWorld Technologies из Индии
NuWave Software из Украины [1]
MKS из Польши
Norman из Норвегии
NOD32
Outpost из России
Panda Software из Испании
Quick Heal AntiVirus из Индии
Sophos из Великобритании
Stiller Research
Symantec из США или Великобритания
Trojan Hunter
VirusBuster из Венгрии
ZoneAlarm AntiVirus (из Zone Labs)

Что делать, если ваш компьютер заражен?

Операционная система или приложение может подвергнуться вирусному нападению в том случае, если она имеет возможность запустить программу, не являющуюся частью самой системы. Данному условию удовлетворяют все популярные «настольные» операционные системы, многие офисные приложения, графические редакторы, системы проектирования и прочие программные комплексы, имеющие встроенные скриптовые языки.

Компьютерные вирусы, черви, троянские программы существуют для десятков операционных систем и приложений. В то же время существует огромное количество других операционных систем и приложений, для которых вредоносные программы пока не обнаружены. Что является причиной существования вредных программ в одних системах и отсутствия их в других?

Причиной появления подобных программ в конкретной операционной системе или приложении является одновременное выполнение следующих условий:

популярность, широкое распространение данной системы;

наличие разнообразной и достаточно полной документации по системе;

незащищенность системы или существование известных уязвимостей в системе безопасности.

Каждое перечисленное условие является необходимым, а выполнение всех трех условий одновременно является достаточным для появления разнообразных вредоносных программ.

Условие популярности системы необходимо для того, чтобы она попалась на глаза хотя бы одному компьютерному хулигану или хакеру. Если система существует в единичных экземплярах, то вероятность ее злонамеренного использования близка к нулю. Если же производитель системы добился ее массового распространения, то очевидно, что рано или поздно хакеры и вирусописатели попытаются использовать ее в своих интересах.

Напрашивается естественный вывод: чем популярнее операционная система или приложение, тем чаще она будет являться жертвой вирусной атаки. Практика это подтверждает — распределение количества вредного программного обеспечения для Windows и Linux практически совпадает с долями рынка, которые занимают эти операционные системы.

Наличие полной документации необходимо для существования вирусов по естественной причине — создание программ (включая вирусные) невозможно без технического описания использования сервисов операционной системы и правил написания приложений. У большинства мобильных телефонов, например, подобная информация закрыта — ни компании-производители программных продуктов, ни хакеры не имеют возможности разрабатывать программы для данных устройств. У некоторых «умных» телефонов есть документация по разработке приложений — и, как следствие, появляются и вредоносные программы, разработанные специально для телефонов данного типа.

Под защищенностью системы понимаются архитектурные решения, которые не позволяют новому (неизвестному) приложению получить полный или достаточно широкий доступ к файлам на диске (включая другие приложения) и потенциально опасным сервисам системы. Подобное ограничение фактически блокирует любую вирусную активность, но при этом, естественно, накладывает существенные ограничения на возможности обычных программ.

Примеров широко известных защищенных операционных систем и приложений, к сожалению, нет. Частично удовлетворяет требованию защищенности Java-машина, которая запускает Java-приложение в режиме «песочницы». И действительно, «настоящих» вирусов и троянских программ в виде Java-приложений не было достаточно долгое время (за исключением тестовых вирусов, которые были практически неработоспособны). Вредоносные программы в виде Java-приложений появились лишь тогда, когда были обнаружены способы обхода встроенной в Java-машину системы безопасности.