1.    Классы вирусов: троянские кони

Сейчас применяются персональные компьютеры, в которых пользователь имеет свободный доступ ко всем ресурсам машины. Именно это открыло возможность для опасности, которая получила название компьютерного вируса.

Что такое компьютерный вирус? Формальное определение этого понятия до сих пор не придумано, и есть серьезные сомнения, что оно вообще может быть дано. Многочисленные попытки дать «современное» определение вируса не привели к успеху. Чтобы почувствовать всю сложность проблемы, попробуйте, к примеру, дать определение понятия «редактор». Вы либо придумаете нечто очень общее, либо начнете перечислять все известные типы редакторов. И то и другое вряд ли можно считать приемлемым. Поэтому мы ограничимся рассмотрением некоторых свойств компьютерных вирусов, которые позволяют говорить о них как о некотором определенном классе программ.

Прежде всего, вирус - это программа. Такое простое утверждение само по себе способно развеять множество легенд о необыкновенных возможностях компьютерных вирусов. Вирус может перевернуть изображение на вашем мониторе, но не может перевернуть сам монитор. К легендам о вирусах-убийцах, «уничтожающих операторов посредством вывода на экран смертельной цветовой  гаммы 25-м кадром» также не стоит относиться серьезно. К сожалению, некоторые авторитетные издания время от времени публикуют «самые свежие новости с компьютерных фронтов», которые при ближайшем  рассмотрении оказываются следствием не вполне ясного понимания предмета.

Вирус - программа, обладающая способностью к самовоспроизведению. Такая способность является единственным средством, присущим всем типам вирусов. Но не только вирусы способны к самовоспроизведению. Любая операционная система и еще множество программ способны создавать собственные копии. Копии же вируса не только не обязаны полностью совпадать с оригиналом, но и могут вообще с ним не совпадать!

Вирус не может существовать в «полной изоляции»: сегодня нельзя представить себе вирус, который не использует код других программ, информацию о файловой структуре или даже просто имена других программ. Причина понятна: вирус должен каким-нибудь способом обеспечить передачу себе управления.

В настоящее время известно более 5000 программных вирусов, их можно классифицировать по  следующим признакам:

¨   среде обитания

¨   способу заражения среды обитания

¨   воздействию

¨   особенностям алгоритма

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т. е. В файлы, имеющие расширения  COM  и  EXE. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Re-cord). Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия вирусы можно разделить на следующие виды:

¨   неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических  или звуковых эффектах

¨   опасные вирусы, которые могут привести к различным нарушениям в работе компьютера

¨   очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия. Простейшие вирусы - паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Можно отметить вирусы-репликаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.

Известны вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Имеются и так называемые квазивирусные или «троянские» программы, которые  хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

Троянский конь – это программа, содержащая в себе некоторую  разрушающую функцию, которая активизируется при наступлении некоторого  условия срабатывания. Обычно такие программы маскируются под какие-нибудь  полезные утилиты. Вирусы могут нести в себе троянских коней или  "троянизировать" другие программы – вносить в них разрушающие функции.

«Троянские кони» представляют собой программы, реализующие помимо  функций, описанных в документации, и некоторые другие функции, связанные с  нарушением безопасности и деструктивными действиями. Отмечены случаи  создания таких программ с целью облегчения распространения вирусов. Списки  таких программ широко публикуются в зарубежной печати. Обычно они  маскируются под игровые или развлекательные программы и наносят вред под  красивые картинки или музыку.[1]

2.    Обнаружение, обезвреживание и защита от наиболее распространенных вирусов: J-Worm, Magistr

При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:

-                       прекращение работы или неправильная работа ранее успешно функционировавших программ

-                       медленная работа компьютера

-                       невозможность загрузки операционной системы

-                       исчезновение файлов и каталогов или искажение их содержимого

-                       изменение даты и времени модификации файлов

-                       изменение размеров файлов

-                       неожиданное значительное увеличение количества файлов на диске

-                       существенное уменьшение размера свободной оперативной памяти

-                       вывод на экран непредусмотренных сообщений или изображений

-                       подача непредусмотренных звуковых сигналов

-                       частые зависания и сбои в работе компьютера

Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.

Методы защиты от компьютерных вирусов

Каким бы не был вирус, пользователю необходимо знать  основные  методы защиты от компьютерных вирусов.

Для защиты от вирусов можно использовать:

-                       общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;

-                       профилактические меры, позволяющие уменьшить вероятность  заражения вирусом;

-                       специализированные программы для защиты от вирусов.

-                       Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:

-                       копирование информации - создание копий  файлов  и  системных  областей дисков;

-                       разграничение  доступа  предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных  вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то, что общие средства защиты информации  очень важны  для защиты от вирусов, все же их недостаточно.  Необходимо и применение  специализированных программ для защиты от вирусов. Эти программы можно разделить на  несколько  видов:  детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

ПРОГРАММЫ-ДЕТЕКТОРЫ позволяют обнаруживать файлы, зараженные одним из  нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее  сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей "известны". Программа Scan фирмы McAfee Associates  и  Aidstest Д.Н.Лозинского позволяют обнаруживать около 9000 вирусов, но всего их более двадцати тысяч! Некоторые программы-детекторы, например Norton AntiVirus или  AVSP  фирмы "Диалог-МГУ", могут настраивать на новые типы вирусов, им необходимо лишь указать комбинации байтов, присущие этим вирусам. Тем не мнение невозможно  разработать такую программу, которая могла бы обнаруживать  любой  заранее  неизвестный вирус.

Таким образом, из того, что программа не опознается детекторами как  зараженная, не следует, что она здорова - в ней могут сидеть какой-нибудь  новый  вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

Многие программы-детекторы (в том числе и Aidstest) не умеют обнаруживать заражение "невидимыми" вирусами, если такой вирус активен в памяти компьютера. Дело в том, что для чтения диска они используют функции DOS, а они перехватываются вирусом, который говорит, что все хорошо. Правда, Aidstest  и  другие детекторы пытаются выявить вирус путем просмотра оперативной памяти, но  против  некоторых "хитрых" вирусов это не помогает. Так что надежный  диагноз  программы-детекторы дают только при загрузке DOS с "чистой", защищенной от записи дискеты, при  этом копия программы-детектора также должна быть запущена с этой дискеты.

Некоторые детекторы (скажем ADinf фирмы "Диалог-Наука") умеют ловить "невидимые" вирусы, даже когда они активны. Для этого они читают  диск, не  используя вызовы DOS. Правда, этот метод работает не на всех дисководах.

Большинство программ-детекторов имеют функцию "доктора", т.е. они пытаются вернуть зараженные файлы или области диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.

Большинство программ-докторов умеют "лечить" только от некоторого  фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые программы могут обучаться не только способам обнаружения, но и способам лечения  новых  вирусов.   К таким программам относится AVSP фирмы "Диалог-МГУ".

ПРОГРАММЫ-РЕВИЗОРЫ имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска).  Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей  дисков  с исходным. О выявленных несоответствиях сообщается пользователю.

Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо включить команду запуска  программы-ревизора в командный файл AUTOEXEC.BAT. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда. Более того, та же  программа-ревизор сможет найти поврежденные вирусом файлы.

Многие программы-ревизоры являются довольно "интеллектуальными" -  они  могут отличать изменения в файлах, вызванные, например, переходом к новой версии  программы, от изменений, вносимых вирусом, и не  поднимают ложной  тревоги.  Дело в том, что вирусы обычно изменяют файлы весьма  специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью  сообщить, что  они вызваны именно вирусом.    

Другие программы часто используют различные полумеры – пытаются обнаружить вирус в оперативной памяти, требуют вызовы  из  первой  строки  файла AUTOEXEC.BAT, надеясь работать на "чистом" компьютере, и т.д. Увы, против некоторых "хитрых" вирусов все это бесполезно.

Для проверки того, не изменился ли  файл, некоторые  программы-ревизоры  проверяют длину файла. Но эта проверка недостаточна - некоторые вирусы не  изменяют длину зараженных файлов. Более надежная проверка - прочесть  весь  файл и вычислить его контрольную сумму. Изменить файл так, чтобы его контрольная сумма осталась прежней, практически невозможно.

В последнее время появились очень полезные гибриды ревизоров и докторов, т.е. ДОКТОРА-РЕВИЗОРЫ,- программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении они используют заранее  сохраненную информацию о состоянии файлов и областей  дисков. Это  позволяет  им  вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы.

Но они могут лечить не от всех вирусов, а только от  тех, которые  используют "стандартные", известные на момент написания программы, механизмы заражения файлов. 

Существуют также ПРОГРАММЫ-ФИЛЬТРЫ, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения  к  операционной  системе, которые используются вирусами для  размножения и нанесения  вреда, и сообщают  о них пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции.

Некоторые программы-фильтры не "ловят" подозрительные  действия, а  проверяют вызываемые на выполнение программы на наличие вирусов. Это  вызывает  замедление работы компьютера.

Однако преимущества использования программ-фильтров весьма  значительны – они позволяют обнаружить многие вирусы на самой ранней стадии, когда  вирус  еще  не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.

ПРОГРАММЫ-ВАКЦИНЫ, или  ИММУНИЗАТОРЫ,  модифицируют  программы и диски  таким образом, что это не отражается на работе  программ,  но тот вирус,  от  которого производится вакцинация, считает эти программы  или  диски уже  зараженными. Эти программы крайне неэффективны.[2]

«Лаборатория Касперского» предупредила пользователей об обнаружении нового компьютерного вируса под названием Magistr, использующего крайне сложные технологии сокрытия своего присутствия на зараженных системах.

Magistr может проникнуть в компьютер через вложенные файлы электронной почты, через локальную сеть, заражая файлы на доступных ресурсах серверов и других компьютеров, а также в процессе обмена файлами с использованием мобильных накопителей. После запуска вирус инициирует процедуру внедрения в систему (используется ряд исключительно сложных методов: тело вируса разделяется на три части, две из которых шифруются полиморфным кодом) и рассылки, сканируя базы данных почтовых программ Outlook Express, Netscape Messenger, Internet Mail, а также адресную книгу Windows. От имени пользователя рассылаются сообщения, содержащие зараженные файлы, случайно взятые с зараженного компьютера. Заголовки, опять же случайным образом, выбираются либо из найденных на компьютере DOC- и TXT-файлов, либо из содержащегося в теле вируса списка стандартных фраз на английском, французском и испанском языках. В качестве вложенных файлов вирус использует случайно выбранный на компьютере EXE- или SCR-файл. Через месяц после заражения компьютеров под управлением Windows NT/2000 вирус уничтожает все файлы на локальных и сетевых дисках, записывая в них фразу «YOUARESHIT». В дополнение к этому, на компьютерах с Windows 95/98/Me вирус сбрасывает данные в памяти CMOS и, подобно вирусу «Чернобыль», уничтожает содержимое микросхемы Flash BIOS. После этого он показывает сообщение: «…YOU THINK YOU ARE GOD, BUT YOU ARE ONLY A CHUNK OF SHIT».

Интересно, что в зависимости от ряда условий, вирус запускает еще одну функцию, вызывающую эффект «убегающих иконок»: при установке на нее указателя мыши, иконка «убегает». «Лаборатория» признала, что «мы имеем дело с весьма сложным и технологически продвинутым вирусом, впитавшем в себя все наиболее эффективные методы распространения, заражения, маскировки и самые опасные деструктивные функции». Процедуры защиты в базы AVP уже добавлены.[3]

3.    Электронная цифровая подпись

Контрольные суммы, контроль CRC, хэширование и цифровая подпись – базовые средства аутентификации при цифровой передаче данных. Представьте себе ситуацию: вам отправили по электронной почте документ с конфиденциальной информацией по финансированию на будущий год. Вам необходима абсолютная уверенность в том, что полученный файл совершено идентичен оригиналу и содержащиеся в нем цифры не были изменены "в пути". Пара скорректированных значений могут стоить вашей фирме круглой суммы. Подозрение, что документ "в пути" был подделан появляется если некоторые цифры не сходятся, а электронная передача велась через внешнюю почтовую систему. Как убедится в том, что полученный вами документ - абсолютная копия отправленного вам оригинала?

Рассмотренная ситуация не настолько искусственна, как может показаться с первого взгляд. В век, когда цифровая коммерция быстро становится реальностью, доверие пользователей к подобного рода системам целиком зависит от безопасности таких транзакций. Если отправить по электронной почте или передать на гибком диске файл с электронной таблицей, то каким образом получатель узнает о том, что никто, через кого эта информация прошла, не внес каких-либо изменений? Если переслать по сети Internet номер своей кредитной карточки, то как адресат убедится в том, что именно вы сделали этот заказ?

Решение этих вопросов придется искать в специальном разделе математики, который называют криптографией. Часто под этим термином подразумевается обычное кодирование, однако область криптографии не ограничена лишь теорией шифрования данных. Она также охватывает вопросы, связанные с подменностью цифровых данных - как проверить достоверность цифровых данных и как по аналогии с рукописной подписью на бумаге проставить визу на электронных документах, имея в распоряжении лишь последовательности нулей и единиц. В этой статье рассматриваются ключевые понятия аутентификации цифровой информации - от простейших методов верификации

целостности цифровых данных до рассмотрения проекта государственного стандарта США - Digital Signature Standard, а также основные правила оформления цифровой подписи.[4]

Заключение

Вирус - специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе компьютера.

Ни один тип антивирусных программ по отдельности  не дает  полной  защиты от вирусов. Лучшей стратегией защиты от вирусов является  многоуровневая, "эшелонированная" оборона. Средствам разведки в "обороне" от вирусов соответствуют  программы-детекторы, позволяющие  проверять  вновь  полученное  программное  обеспечение  на  наличие вирусов.    На переднем крае обороны находятся программы-фильтры. Эти программы могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков. Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры.  Самый глубокий  эшелон обороны - это средства  разграничения  доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.

В "стратегическом резерве" находятся архивные копии информации. Это позволяет  восстановить информацию при её повреждении.  Это неформальное описание позволяет лучше понять методику применения антивирусных средств.