Вредоносные и антивирусные программы

1. Признаки заражения компьютера

Существует ряд признаков, свидетельствующих о заражении компьютера. Если вы замечаете, что с компьютером происходят "странные" вещи, а именно:

на экран выводятся непредусмотренные сообщения, изображения и звуковые сигналы;
неожиданно открывается и закрывается лоток CD-ROM-устройства;
произвольно, без Вашего участия, на вашем компьютере запускаются какие-либо программы;
на экран выводятся предупреждения о попытке какой-либо из программ вашего компьютера выйти в Интернет, хотя Вы никак не инициировали такое ее поведение,

то, с большой степенью вероятности, можно предположить, что ваш компьютер поражен вирусом.

Кроме того, есть некоторые характерные признаки поражения вирусом через почту:

друзья или знакомые говорят вам о сообщениях от вас, которые вы не отправляли;
в вашем почтовом ящике находится большое количество сообщений без обратного адреса и заголовка.

Следует отметить, что не всегда такие признаки вызываются присутствием вирусов. Иногда они могут быть следствием других причин. Например, в случае с почтой зараженные сообщения могут рассылаться с вашим обратным адресом, но не с вашего компьютера.

Существуют также косвенные признаки заражения компьютера:

частые зависания и сбои в работе компьютера;
медленная работа компьютера при запуске программ;
невозможность загрузки операционной системы;
исчезновение файлов и каталогов или искажение их содержимого;
частое обращение к жесткому диску (часто мигает лампочка на системном блоке);
Microsoft Internet Explorer "зависает" или ведет себя неожиданным образом (например, окно программы невозможно закрыть).

В 90% случаев наличие косвенных симптомов вызвано сбоем в аппаратном или программном обеспечении.

2. Основные источники проникновения угроз на компьютер

Основными источниками угроз для информации на компьютере пользователя является интернет и электронная почта. Огромное количество вредоносных программ, в число которых входят вирусы, троянские программы, черви, могут "пробраться" на ваш компьютер, пока вы читаете статью в интернете, занимаетесь поиском информации, открывая множество веб-сайтов, скачиваете и устанавливаете программное обеспечение на компьютер, читаете почтовое сообщение. Вредоносные программы распространяются с молниеносной скоростью и за доли секунды могут нанести такой вред, восстановление после которого может дорого вам обойтись. Речь здесь идет не только о повреждении данных, но и о несанкционированном доступе к системе, нарушении ее целостности, краже информации.

Не стоит забывать и о еще одном важном источнике "неприятностей" - спаме. Нежелательная почтовая корреспонденция может нанести гораздо больший вред, чем некоторые вредоносные программы. Не являясь источником прямой угрозы, спам приводит к потерям рабочего времени и наносит значительные финансовые потери, которые увеличиваются в сотни, тысячи раз, если это касается корпоративной компьютерной сети.

Каждый пользователь, широко использующий современные информационные ресурсы, должен знать, что ему угрожает и какие последствия может за собой повлечь то или иное вредоносное воздействие.

Среди источников проникновения вредоносных программ наиболее опасными являются:

Интернет
Глобальная информационная сеть является основным источником распространения любого рода вредоносных программ. Как правило, вирусы и другие вредоносные программы размещаются на популярных веб-сайтах интернета, "маскируются" под полезное и бесплатное программное обеспечение. Множество скриптов, запускаемых автоматически при открытии веб-сайтов, могут также содержать в себе вредоносные программы.
Электронная почтовая корреспонденция
Почтовые сообщения, поступающие в почтовый ящик пользователя и хранящиеся в почтовых базах, могут содержать в себе вирусы. Вредоносные программы могут находиться как во вложении письма, так и в его теле. Как правило, электронные письма содержат вирусы и почтовые черви. При открытии письма, при сохранении на диск вложенного в письмо файла вы можете заразить данные на вашем компьютере. Также почтовая корреспонденция может стать источником еще двух угроз: спама и фишинга. Если спам влечет за собой в основном потерю времени, то целью фишинг-писем является ваша конфиденциальная информация (например, номер кредитной карты).
Уязвимости в программном обеспечении
Так называемые "дыры" в программном обеспечении являются основным источником хакерских атак. Уязвимости позволяют получить хакеру удаленный доступ к вашему компьютеру, а, следовательно, к вашим данным, к доступным вам ресурсам локальной сети, к другим источникам информации.
Съемные носители информации
Для передачи информации по-прежнему широко используются съемные диски, дискеты, карты расширения памяти (флеш). Запуская какой-либо файл, расположенный на съемном носителе, вы можете поразить данные на вашем компьютере вирусом и, незаметно для себя, распространить их на другие диски вашего компьютера.

3. Виды известных угроз

Чтобы знать, какого рода опасности могут угрожать вашим данным, полезно узнать, какие бывают вредоносные программы и как они работают. В целом вредоносные программы можно разделить на следующие классы:

Вирусы (Viruses): программы, которые заражают другие программы – добавляют в них свой код, чтобы получить управление при запуске зараженных файлов. Это простое определение дает возможность выявить основное действие, выполняемое вирусом – заражение. Скорость распространения вирусов несколько ниже, чем у червей.

Черви (Worms): данная категория вредоносных программ для распространения использует сетевые ресурсы. Название этого класса было дано исходя из способности червей "переползать" с компьютера на компьютер, используя сети, электронную почту и другие информационные каналы. Также благодаря этому черви обладают исключительно высокой скоростью распространения.

Черви проникают на компьютер, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Помимо сетевых адресов часто используются данные адресной книги почтовых клиентов. Представители этого класса вредоносных программ иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).

Троянские программы (Trojans): программы, которые выполняют на поражаемых компьютерах несанкционированные пользователем действия, т.е. в зависимости от каких-либо условий уничтожают информацию на дисках, приводят систему к "зависанию", воруют конфиденциальную информацию и т.д. Данный класс вредоносных программ не является вирусом в традиционном понимании этого термина (т.е. не заражает другие программы или данные); троянские программы не способны самостоятельно проникать на компьютеры и распространяются злоумышленниками под видом "полезного" программного обеспечения. При этом вред, наносимый ими, может во много раз превышать потери от традиционной вирусной атаки.

Программы-шпионы: программное обеспечение, позволяющее собирать сведения об отдельно взятом пользователе или организации без их ведома. О наличии программ-шпионов на своем компьюртере вы можете и не догадываться. Как правило, целью программ-шпионов является:

отслеживание действий пользователя на компьютере;
сбор информации о содержании жесткого диска; в этом случает чаще всего речь идет о сканировании некоторых каталогов и системного реестра с целью составления списка программного обеспечения, установленного на компьютере;
сбор информации о качестве связи, способе подключения, скорости модема и т.д.

Однако данные программы не ограничиваются только сбором информации, они представляют реальную угрозу безопасности. Как минимум две из известных программ – Gator и eZula – позволяют злоумышленнику не просто собирать информацию, но и контролировать чужой компьютер. Другим примером программ-шпионов являются программы, встраивающиеся в установленный на компьютере браузер и перенаправляющие трафик. Наверняка вы встречались с подобными программами, если при запросе одного адреса веб-сайта открывался совсем другой.

Одной из разновидностей программ-шпионов являются фишинг-рассылки.

Фишинг (Phishing) – почтовая рассылка, целью которой является получение от пользователя конфиденциальной информации как правило финансового характера. Такие письма составляются таким образом, чтобы максимально походить на информационные письма от банковских структур, компаний известных брендов. Письма содержат ссылку на заведомо ложный сайт, где пользователю предлагается ввести, например, номер своей кредитной карты и другую конфиденциальную информацию.

Программы-рекламы (Adware): программный код, без ведома пользователя включенный в программное обеспечение с целью демонстрации рекламных объявлений. Как правило, программы-рекламы встроены в программное обеспечение, распространяющееся бесплатно. Реклама располагается в рабочем интерфейсе. Зачастую данные программы также собирают и переправляют своему разработчику персональную информацию о пользователе.

Потенциально опасные приложения (Riskware): программное обеспечение, не являющееся вирусом, но содержащее в себе потенциальную угрозу. При некоторых условиях наличие таких программ на компьютере подвергает ваши данные риску. К таким программам относятся утилиты удаленного администрирования, программы автоматического дозвона на платные ресурсы интернета с использованием Dial Up-соединения и другие.

Программы-шутки (Jokes): программное обеспечение, не причиняющее компьютеру какого-либо прямого вреда, но выводящее сообщения о том, что такой вред уже причинен, либо будет причинен при каких-либо условиях. Такие программы часто предупреждают пользователя о несуществующей опасности, например, выводят сообщения о форматировании диска (хотя никакого форматирования на самом деле не происходит), обнаруживают вирусы в незараженных файлах и т.д.

Программы-маскировщики (Rootkit): это утилиты, используемые для сокрытия вредоносной активности. Они маскируют вредоносные программы, чтобы избежать их обнаружения антивирусными программами. Rootkit'ы также могут модифицировать операционную систему на компьютере и заменять основные ее функции, чтобы скрыть свое собственное присутствие и действия, которые предпринимает злоумышленник на зараженном компьютере.

Прочие опасные программы: разнообразные программы, которые разработаны для создания других вредоносных программ, организации DoS-атак на удаленные сервера, взлома других компьютеров и т. п. К таким программам относятся хакерские утилиты (Hack Tools), конструкторы вирусов и т.д.

Спам (Spam): анонимная, массовая почтовая корреспонденция нежелательного характера. Так, спамом являются рассылки политического и агитационного характера, письма, призывающие помочь кому-нибудь. Отдельную категорию спама составляют письма с предложениями обналичить большую сумму денег или вовлекающие в финансовые пирамиды, а также письма, направленные на кражу паролей и номеров кредитных карт, письма с просьбой переслать знакомым (например, письма счастья) и т. п. Спам существенно повышает нагрузку на почтовые сервера и повышает риск потери информации, важной для пользователя

4. Эволюция антивирусных программ

В России вирусы появились в 1988 году, но до середины 90-х не имели широкого распространения из-за малого количества персональных компьютеров, имеющих доступ в Интернет. Пользователи обменивались между собой данными и программами с помощью дискет, так как объемы информации были невелики и емкости обычных дискет вполне хватало. Таким же способом распространялись и вирусы. Попав на персональный компьютер, вирус быстро размножался в его пределах. Однако, чтобы заразить еще один компьютер, приходилось долго ждать, пока инфицированный файл запишут на дискету и передадут другому пользователю.

Борьба с вирусами тоже строилась очень просто: пользователи защищали каждый персональный компьютер отдельно с помощью антивируса, который находил вирусы и лечил инфицированные файлы. Любой пользователь знал, что перед тем, как переписать новые файлы с какой-либо дискеты, эту дискету надо обязательно проверить на наличие вирусов.

С появлением операционной системы Microsoft Windows 95 и офисного пакета Microsoft Office значительно расширилась функциональность программ и возрос объем данных, в частности мультимедийных. Пользователи стали распространять информацию на компакт-дисках. К этому времени возросло и число компьютеров, объединенных в локальную сеть или имеющих доступ в Интернет. Первая серьезная эпидемия, которая привлекла к проблеме вирусов всеобщее внимание, произошла в 1996 году — это был макровирус Cap, распространявшийся в документах Microsoft Word и парализовавший работу десятков компаний по всему миру.

А в 2000 году началось нашествие сетевых червей, быстро распространявшихся в почтовых сообщениях. Число домашних пользователей и компаний, подключенных к Интернету, было уже огромным, и все люди обменивались электронными почтовыми сообщениями, еще не подозревая, какую это таит опасность. Первый современный сетевой червь Happy99 был создан в самом начале 1999 года, а первую эпидемию вызвал червь I love you (LoveLetter) в мае 2000-го.

«Любовные письма» за один только май заразили более 40 млн. компьютеров по всему миру. Исследовательский центр Computer Economics оценил убытки мировой экономики за первые пять дней эпидемии этого паразита в размере 6,7 млрд. долл. Червь рассылал свои копии сразу же после заражения системы по всем адресам электронной почты, найденным в адресной книге почтовой программы Microsoft Outlook. В качестве адреса отправителя червь вставлял адрес электронной почты владельца зараженного компьютера и адресной книги Outlook, а к каждому сообщению прикреплял вредоносный файл с двойным расширением «txt.vbs» («txt» соответствует текстовым файлам, а «vbs» — скриптовым программам на языке Visual Basic Script).

Весь секрет такого трюка заключался в том, что по умолчанию Windows прячет расширение файлов, а для двойного расширения настоящим расширением считается последнее (в нашем случае это .vbs). То есть vbs прячется и пользователь видит только расширение txt. Данный прием был популярен еще несколько лет, но вследствие модификации почтовых клиентов авторы вирусов перестали им пользоваться.

Электронная почта и Интернет оказались идеальной средой для передачи вредоносных кодов. Сегодня именно через электронную почту на компьютер попадает 98% всех вредителей, причем не только сетевые черви, но и троянцы и файловые вирусы.

Согласно данным «Лаборатории Касперского», в последнее время наблюдается постепенное исчезновение современных почтовых червей, которые уступают свое место разнообразным сетевым червям с троянским функционалом. Угроза пользователям Интернета со стороны сетевых червей сегодня является более серьезной. Таким образом, на первый план выходит задача проверки антивирусами всего сетевого трафика, а не только почтового.

5. Как работают антивирусные программы

Антивирусные программы развивались параллельно с вредоносными кодами: чем сложнее и изощреннее становились компьютерные вредители, тем искуснее и быстрее становились антивирусы.

Первые антивирусные алгоритмы строились на основе сравнения с эталоном — часто такие алгоритмы называют сигнатурными. Каждому вирусу ставилась в соответствие некоторая сигнатура, или маска. С одной стороны, маска должна была быть небольшого размера, чтобы база данных всех таких масок не приняла угрожающие объемы. С другой стороны, чем больше размер сигнатуры, тем ниже вероятность ложного срабатывания (когда достоверно не зараженный файл определяется антивирусом как инфицированный). На практике разработчики антивирусных программ использовали маску длиной 10-30 байт. Первые антивирусы знали какое-то количество сигнатур, могли находить и лечить определенное количество вирусов. Получив новый вирус, разработчики анализировали его код и составляли уникальную маску, которая добавлялась в базу данных антивирусных сигнатур, а само обновление распространялось на дискете. Если при сканировании подозрительного файла антивирус находил код, соответствующий маске, то исследуемый файл признавался инфицированным. Описанный алгоритм применяется в большинстве антивирусных программ и до сих пор. Все сигнатуры размещены в антивирусной базе — специальном хранилище, в котором антивирус хранит маски вредоносных программ. Эффективность сигнатурного поиска напрямую зависит от объема антивирусной базы и от частоты ее пополнения. Именно поэтому сегодня разработчики антивирусных программ выпускают обновления для своих баз минимум раз в сутки. Чтобы повысить скорость доставки этих обновлений на защищаемые компьютеры пользователей, используется Интернет.

В середине 90-х годов появились первые полиморфные вирусы, которые изменяли свое тело по непредсказуемым заранее алгоритмам, что значительно затрудняло анализ кода вируса и составление сигнатуры. Для борьбы с подобными вирусами метод сигнатурного поиска был дополнен средствами эмуляции среды выполнения. Иными словами, антивирус не исследовал подозрительный файл статически, а запускал его в специальной искусственно созданной среде — в так называемой песочнице. Такая песочница является абсолютно безопасной, поскольку вирус там не может размножиться, и, следовательно, нанести вред. К тому же вирус не способен отличить песочницу от настоящей среды. В этом виртуальном пространстве антивирус следил за исследуемым объектом, ждал, пока код вируса будет расшифрован, и запускал метод сигнатурного поиска.

Когда количество вирусов превысило несколько сотен, антивирусные эксперты задумались над идеей детектирования вредоносных программ, о существовании которых антивирусная программа еще не знает (нет соответствующих сигнатур). В результате были созданы так называемые эвристические анализаторы.

Эвристическим анализатором называется набор подпрограмм, которые анализируют код исполняемых файлов, макросов, скриптов, памяти или загрузочных секторов с целью обнаружения в нем разных типов вредоносных компьютерных программ.

Существуют два основных метода работы анализатора.

Статический метод, который заключается в поиске общих коротких сигнатур, присутствующих в большинстве вирусов (так называемые подозрительные команды). Например, большое число вирусов осуществляет поиск по маске *.exe, открывает найденный файл, производит запись в открытый файл. Задача эвристик в этом случае — найти сигнатуры, отражающие эти действия. Затем происходит анализ найденных сигнатур, и если найдено некоторое количество необходимых и достаточных подозрительных команд, то принимается решение о том, что файл инфицирован. Большой плюс этого метода — простота реализации и высокая скорость работы, но уровень обнаружения новых вредоносных программ при этом довольно низок.

Динамический метод появился одновременно с внедрением в антивирусные программы эмуляции команд процессора (подробнее эмулятор описан ниже). Суть этого метода состоит в эмуляции исполнения программы и протоколировании всех подозрительных действий программы. На основе этого протокола принимается решение о возможном заражении программы вирусом. В отличие от статического, динамический метод более требователен к ресурсам компьютера, однако и уровень обнаружения у него значительно выше.

Второй базовый механизм для борьбы с компьютерными паразитами тоже появился в середине 90-х годов — это эвристический анализ. Данный метод представляет собой существенно усложненный эмулятор, но в результате его работы анализируется не код подозрительного файла, а действия. Так, чтобы размножаться, файловый вирус должен копировать свое тело в память, открывать другие исполняемые файлы и записывать туда свое тело, записывать данные в сектора жесткого диска и т.д. Характерными действиями отличаются и сетевые черви — это доступ к адресной книге и сканирование жесткого диска на предмет обнаружения любых адресов электронной почты. Изучая такие действия, эвристический анализатор может обнаружить даже те вредоносные коды, сигнатуры которых еще не известны.

Антивирусные программы, установленные у пользователя, периодически проверяют наличие обновлений на веб-сервере антивирусной компании, и, как только обновление появляется, они его сразу же переписывают и устанавливают.

6. Хороший и плохой антивирусы

Как найти антивирусную программу, использующую хороший «движок» (ядро программы)? В данном случае употребление данного термина весьма уместно, так как отражает его суть. К сожалению, разработчики антивирусного программного обеспечения очень редко раскрывают детали реализации своих «движков». Однако и по косвенным признакам можно определить, является ли «движок» хорошим или нет. Вот основные критерии, по которым определяется качество антивирусного движка.

Качество детектирования. То, насколько хорошо антивирус определяет вирусы. Этот критерий можно оценить по результатам различных тестов, которые проводятся несколькими организациями.

Уровень детектирования эвристическими анализаторами. К сожалению, без тестирования на коллекции вирусов определить этот параметр невозможно, однако можно довольно легко установить, каков уровень ложных срабатываний у конкретного «движка».

Уровень ложных срабатываний. Если на 100% незараженных файлах антивирус рапортует об обнаружении возможно зараженного файла, то это ложное срабатывание. Стоит ли доверять такому эвристическому анализатору, который постоянно беспокоит пользователя ложными тревогами? Ведь за огромным количеством ложных срабатываний пользователь может пропустить действительно новый вирус.

Поддержка большого количества упаковщиков и архиваторов. Это очень важный фактор, так как зачастую создатели вредоносных программ, написав вирус, упаковывают его несколькими утилитами упаковки исполняемых модулей и, получив, таким образом, несколько разных вирусов, выпускают их в свет. По сути, все эти вирусы являются экземплярами одного и того же вируса. Для антивирусного «движка», который поддерживает все или почти все популярные утилиты упаковки, не составит труда определить все эти экземпляры одного и того же вируса, назвав их при этом одним и тем же именем, а для других «движков» потребуется обновление антивирусной базы (а также время на анализ экземпляра вируса антивирусными экспертами).

Частота и размер обновлений антивирусной базы. Эти параметры являются косвенными признаками качества «движка», так как частый выпуск обновлений гарантирует, что пользователь всегда будет защищен от только что появившихся вирусов. Размер обновления (и количество детектируемых вирусов в этом обновлении) говорит о качестве проектирования антивирусной базы и отчасти «движка».

Возможность обновления «движка» без обновления самой антивирусной программы. Иногда для обнаружения вируса требуется обновить не только антивирусную базу данных, но и сам «движок». Если антивирус не поддерживает такую возможность, то пользователь может оказаться без защиты перед лицом нового вируса. Кроме того, подобная возможность позволяет оперативно улучшать «движок» и исправлять в нем ошибки.

7. Способы защиты от компьютерных вирусов

Одним из основных способов борьбы с вирусами является своевременная профилактика.

Чтобы предотвратить заражение вирусами и атаки троянских коней, необходимо выполнять некоторые рекомендации:

- Не запускайте программы, полученные из Интернета или в виде вложения в сообщение электронной почты без проверки на наличие в них вируса

- Необходимо проверять все внешние диски на наличие вирусов, прежде чем копировать или открывать содержащиеся на них файлы или выполнять загрузку компьютера с таких дисков

- Необходимо установить антивирусную программу и регулярно пользоваться ею для проверки компьютеров. Оперативно пополняйте базу данных антивирусной программы набором файлов сигнатур вирусов, как только появляются новые сигнатуры

- Необходимо регулярно сканировать жесткие диски в поисках вирусов. Сканирование обычно выполняется автоматически при каждом включении ПК и при размещении внешнего диска в считывающем устройстве. При сканировании антивирусная программа ищет вирус путем сравнения кода программ с кодами известных ей вирусов, хранящихся в базе данных

- создавать надежные пароли, чтобы вирусы не могли легко подобрать пароль и получить разрешения администратора. Регулярное архивирование файлов позволит минимизировать ущерб от вирусной атаки

- Основным средством защиты информации – это резервное копирование ценных данных, которые хранятся на жестких дисках

Существует достаточно много программных средств антивирусной защиты. Современные антивирусные программы состоят из модулей:

- Эвристический модуль – для выявления неизвестных вирусов

- Монитор – программа, которая постоянно находится в оперативной памяти ПК

- Устройство управления, которое осуществляет запуск антивирусных программ и обновление вирусной базы данных и компонентов

- Почтовая программа (проверяет электронную почту)

- Программа сканер – проверяет, обнаруживает и удаляет фиксированный набор известных вирусов в памяти, файлах и системных областях дисков

- Сетевой экран – защита от хакерских атак

К наиболее эффективным и популярным антивирусным программам относятся: Антивирус Касперского, AVAST, Norton AntiVirus и многие другие.

Blog

Вредоносные и антивирусные программы

Содержание