Самым первым понятием, которая зародилась в рамках информационной безопасности стала «Антивирусная безопасность»

Понятия, связанные с данным направлением, условно можно подразделить на две группы: первые понятия описывают виды вирусов, вторые – разновидности программ обеспечения антивирусной защиты компьютера. Часть понятий, которые связаны с антивирусной безопасностью, но являются ключевыми для другого направления информационной безопасности – хакерства, – будут описаны в следующем параграфе.

К понятиям, связанными с вирусами, мы относим: «компьютерный вирус», «троян», «червь», «руткит», «полиморфизм компьютерного вируса», «стелс-вирус», «клавиатурные шпионы», «макровирусы».

Под компьютерным вирусом  понимается программы или элементы программ, несанкционированно проникающие в компьютер с целью нанесения урона. Отличительной особенностью компьютерных вирусов является способность самотиражирования. Наибольшая опасность таких вирусов заключается в том, что прежде чем нанести вред компьютеру и самообнаружиться, они копируются в другие программные файлы, т. е. заражение происходит аналогично биологическим вирусам. Примеры компьютерных вирусов Stuxnet,Virus 1,2,3, ElkCloner и др.

Одним из понятий, связанным с компьютерными вирусами, является полиморфизм компьютерного вируса – техника, позволяющая затруднить обнаружение компьютерного вируса с помощью скан-строк и, возможно, эвристики. Вирус, использующий такую технику, называется полиморфным. Любые два файла, зараженные одним и тем же полиморфным вирусом, с большой вероятностью не будут иметь совпадающие подпоследовательности в зараженных частях файлов. Среди полиморфных вирусов выделяют Phantom1, OneHalf, Satanbug.

Стелс-вирус (англ. stealthvirus – вирус-невидимка) – вирус, полностью или частично скрывающий свое присутствие в системе, путем перехвата обращений к операционной системе, осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т.д.). Среди стелс-вирусов выделяют Frodo, Centuryvirus (столетие), Hiding (прячущийся).

Макровирусы – это программы, написанные на так называемых макроязыках, встроенных в некоторые системы обработки данных (текстовые и графические редакторы, электронные таблицы и т. д.). Для своего размножения такие вирусы используют возможности макроязыков, они переносятся от одного зараженного файла к другому. Наибольшее распространение получили макровирусы для MicrosoftWord, Excel. Макровирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение. Большинство макровирусов являются резидентными вирусами: они активны не только в момент открытия или закрытия файла, но до тех пор, пока активен сам текстовый или табличный процессор. Среди макровирусов выделяют DeleteAHTemp, WordMacro/Concept, WordMacro/MDMA.

Червь (worm) – это программа, которая тиражируется на жестком диске или в памяти компьютера, и распространяется по сети. Особенностью червей, отличающих их от других вирусов, является то, что они не несут в себе никакой вредоносной нагрузки, кроме саморазмножения, для замусоривания памяти, и как следствие, затормаживание работы операционной системы. Среди червей можно выделить Melissa, сетевой червь Mytob.c, Slammer и т.д.

Троян или троянский конь – это программа, которая находится внутри другой, как правило, абсолютно безобидной программы. При запуске последней в систему инсталлируются программа, написанная с единственной целью – нанести ущерб целевому компьютеру путем выполнения несанкционированных пользователем действий: кражи, порчи или удаления конфиденциальных данных, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях. Среди троянов можно выделить Backdoor, Trojan-PSW, Trojan-Dropper, Trojan-Clicker. Троянские программы являются одним из самых опасных видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий.

Руткит – программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Термин Rootkit исторически пришёл из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему. Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе. Руткит, может маскировать присутствие в системе любых описанных в его конфигурации каталогов и файлов на диске, ключей в реестре. По этой причине естественным образом появились «навесные» руткитные библиотеки. Многие руткиты устанавливают в систему свои драйверы и службы. Среди руткитов выделяют HackerDefender, Haxdoor.

Клавиатурные шпионы (KeyboardLogger, KeyLogger, кейлоггер) – это программы для скрытной записи информации о нажимаемых пользователем клавишах. У термина «клавиатурный шпион» есть ряд синонимов – «снупер», «snoop», «snooper» (от англ. snoop – буквально «человек, вечно сующий нос в чужие дела»). Среди клавиатурных шпионов выделяют ActualSpy, EliteKeylogger, ArdamaxKeylogger.

Современные клавиатурные шпионы не просто записывают коды вводимых клавиш – они «привязывают» клавиатурный ввод к текущему окну и элементу ввода. Кроме того, многие клавиатурные шпионы отслеживают список запущенных приложений, умеют делать «снимки» экрана по заданному расписанию или событию, шпионить за содержимым буфера обмена и решать ряд задач, нацеленных на скрытное слежение за пользователем. Записываемая информация сохраняется на диске. Большинство современных клавиатурных шпионов могут формировать различные отчеты, могут передавать их по электронной почте или http/ftp протоколу. Кроме того, ряд современных клавиатурных шпионов пользуются Rootkit технологиями для маскировки следов своего присутствия в системе.

Для системы клавиатурный шпион, как правило, безопасен. Однако он чрезвычайно опасен для пользователя – с его помощью можно перехватить пароли и прочую конфиденциальную информацию, вводимую пользователем. К сожалению, в последнее время известны сотни разнообразных кейлоггеров, причем многие из них не детектируются антивирусами.

Во вторую группу понятий рассматриваемого направления относятся понятия, связанные с обеспечением безопасной работы пользователя на компьютере и противостояния вирусным угрозам, а также виды методик обнаружения и защиты от вирусов.

В настоящее время применяется несколько основополагающих методик обнаружения и защиты от вирусов:

– сканирование;

– эвристический анализ;

– использование антивирусных мониторов;

– обнаружение изменений;

– иммунизация.

Самая простая методика поиска вирусов – сканирование – заключается в том, что антивирусная программа последовательно просматривает проверяемые файлы в поиске сигнатур известных вирусов. Под сигнатурой понимается уникальная последовательность байт, принадлежащая вирусу, и не встречающаяся в других программах.

Антивирусная программа (антивирус) – программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления зараженных (модифицированных) такими программами файлов, а также для профилактики – предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом. Антивирусное программное обеспечение состоит из подпрограмм, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другое вредоносное программное обеспечение.

Сейчас на рынке программного обеспечения представлен достаточно широкий спектр антивирусных программ. Чтобы правильно использовать антивирусные средства, необходимо различать их по назначению. Существуют несколько видов программных средств борьбы с вирусами – это сканеры (фаги, полифаги), ревизоры диска (CRC-сканеры), резидентные мониторы и иммунизаторы [20].

Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые «маски». Маской вируса является некоторая постоянная последовательность кода, специфичная для этого конкретного вируса. Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы. Сканеры можно разделить на две категории – «универсальные» и «специализированные». Универсальные сканеры рассчитаны на поиск и обезвреживание всех типов вирусов вне зависимости от операционной системы, на работу в которой рассчитан сканер. Специализированные сканеры предназначены для обезвреживания ограниченного числа вирусов или только одного их класса, например, макро-вирусов. Специализированные сканеры, рассчитанные только на макро-вирусы, часто оказываются наиболее удобным и надежным решением для защиты систем документооборота в средах MS Word и MS Excel. К достоинствам сканеров всех типов относится их универсальность, к недостаткам – размеры антивирусных баз, к которым сканерам приходится обращаться, и относительно небольшую скорость поиска вирусов.

Антивирусные программы-сканеры способны найти только уже известные и изученные вирусы, для которых была определена сигнатура. Применение простых программ-сканеров не защищает компьютер от проникновения новых вирусов.

Для шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора, невозможно выделить сигнатуру. Поэтому простые антивирусные программы-сканеры не могут обнаружить полиморфные вирусы.

Эвристический анализ позволяет обнаруживать ранее неизвестные вирусы, причем для этого не надо предварительно собирать данные о файловой системе, как этого требует, например, рассмотренный ниже метод обнаружения изменений.

Антивирусные программы, реализующие метод эвристического анализа, проверяют программы и загрузочные секторы дисков и дискет, пытаясь обнаружить в них код, характерный для вирусов. Эвристический анализатор может обнаружить, например, что проверяемая программа устанавливает резидентный модуль в памяти или записывает данные в исполнимый файл программы. Когда антивирус обнаруживает зараженный файл, он обычно выводит сообщение на экране монитора и делает запись в собственном или системном журнале. В зависимости от настроек, антивирус может также направлять сообщение об обнаруженном вирусе администратору сети. Если это возможно, антивирус вылечивает файл, восстанавливая его содержимое. В противном случае предлагается только одна возможность – удалить зараженный файл и затем восстановить его из резервной копии.

Резидентные мониторы (сторожа) – это программы, постоянно находящиеся в оперативной памяти компьютера и контролирующие операции, производимые диском и оперативной памятью. Именно эти программы позволяют обнаружить вирус до момента реального заражения системы, поскольку они немедленно реагируют на появление вируса. Один из их недостатков – замедление работы компьютера, поскольку мониторы работают в интерактивном режиме, постоянно сообщая пользователю о том, что происходит, и спрашивая, что делать дальше. Кроме того, мониторы могут вступать в конфликт с другими программами, загруженными в оперативную память.

Суть метода, связанного с использованием антивирусных мониторов, заключается в постоянном отслеживании всех подозрительных действий, выполняемых программами на компьютере. Монитор автоматически проверяет все запускаемые программы, создаваемые, открываемые и сохраняемые документы, файлы программ и документов, полученные через Интернет или скопированные на жесткий диск с дискеты и компакт диска, сообщая пользователю, если какая-либо программа попытается выполнить потенциально опасное действие.

Принцип работы ревизоров диска (CRC-сканеров) основан на подсчете CRC-сумм (контрольных сумм) для присутствующих на диске файлов/системных секторов. Эти CRC-суммы затем сохраняются в базе данных антивируса, как, впрочем, и некоторая другая информация: длины файлов, даты их последней модификации и т.д. При последующем запуске CRC-сканеры проверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом. CRC-сканеры, использующие анти-стелс алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления на компьютере. Однако у этого типа антивирусов есть существенный недостаток, который заметно снижает их эффективность. Этот недостаток состоит в том, что CRC-сканеры неспособны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того, как вирус разошелся по компьютеру. CRC-сканеры не могут детектировать вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из backup или при распаковке файлов из архива), поскольку в их базах отсутствует информация об этих файлах. Более того, периодически появляются вирусы, которые используют эту «слабость» CRC-сканеров, заражают только вновь создаваемые файлы и остаются, таким образом, невидимыми для них. Часто ревизоры диска и сканеры объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность.

Когда вирус заражает компьютер, он изменяет содержимое жесткого диска, например, дописывает свой код в файл программы или документа, добавляет вызов программы-вируса в файл autoexec.bat, изменяет загрузочный сектор, создает файл-спутник. Таких изменений, однако, не делают «бестелесные» вирусы, обитающие не на диске, а в памяти процессов операционной системы. Антивирусные программы, называемые ревизорами диска, не выполняют поиск вирусов по сигнатурам. Они запоминают предварительно характеристики всех областей диска, которые подвергаются нападению вируса, а затем периодически проверяют их (отсюда происходит название программы-ревизоры). Ревизор может найти изменения, сделанные известным или неизвестным вирусом.

Каждый файл имеет так называемую контрольную сумму (SRC-сумму), которая может меняться при внесении в файл соответствующих изменений, поэтому суть метода обнаружения изменений в том, что запоминается контрольная сумма для файла, который проверяется через определённый промежуток времени. И если по каким-либо причинам она изменилась, то выносится предположение о заражении файла.

Иммунизаторы делятся на два типа: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса. Первые из них обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у такихиммунизаторов всего один – неспособность сообщить о заражении стелс-вирусом. Поэтому такиеиммунизаторы практически не используются в настоящее время. Второй тип иммунизации защищает систему от поражения каким-либо определенным типом вируса. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные (пример – печально известная строка «MsDos», предохраняющая от вируса «Jerusalem»). Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена. Такой тип иммунизации не может быть универсальным, поскольку нельзя проиммунизировать файлы от всех известных вирусов – одни вирусы считают уже зараженными файлы, если время создания файла содержит метку 62 секунды, а другие – 60 секунд. Однако, несмотря на это, подобные иммунизаторы в качестве полумеры могут защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет детектироваться антивирусными сканерами.

Для реализации перечисленных методик применяются соответствующие программные средства: для сканирования – антивирусная программа DoctorWeb, антивирусный пакет AntiViralToolkitPro; для эвристического анализа – сканер McAffeeVirusScan; для использования антивирусных мониторов – сторож SpiderGuard; для обнаружения изменений – программу AdvancedDiskinfoscope (ADinf), ревизор AVP Inspector производства ЗАО «Лаборатория Касперского»; для иммунизации – антивирусные средства AVP и DoctorWeb.

По материалам сайта http://infomaan.narod.ru