Компьютерные вирусы и методы защиты от вирусов

Единственная особенность  этих программ заставляет классифицировать их как вредные троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске «троянец» устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянца в системе. Более того, ссылка на «троянца» может отсутствовать в списке активных приложений. В результате «пользователь» этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.

Утилиты скрытого управления позволяют делать с компьютером  все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п. — пораженные компьютеры оказываются открытыми для злоумышленных действий хакеров.

Таким образом, троянские  программы данного типа являются одним из самых опасных видов  вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий, присущих другим видам троянских программ.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают компьютерные черви. Отличает такие «троянцы» от червей тот факт, что они распространяются по сети не самопроизвольно (как черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.

Trojan-PSW – воровство паролей

Данное семейство объединяет троянские программы, «ворующие» различную информацию с зараженного компьютера, обычно — системные пароли (PSW — Password-Stealing-Ware). При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к Интернету) и отсылают ее по указанному в коде «троянца» электронному адресу или адресам.

Существуют PSW-троянцы, которые  сообщают и другую информацию о зараженном компьютере, например, информацию о системе (размер памяти и дискового пространства, версия операционной системы), тип используемого почтового клиента, IP-адрес и т. п. Некоторые троянцы данного типа «воруют» регистрационную информацию к различному программному обеспечению, коды доступа к сетевым играм и прочее.

Trojan-AOL — семейство  троянских программ, «ворующих» коды доступа к сети AOL (America Online). Выделены в особую группу по причине своей многочисленности.

Trojan-Clicker – интернет-«кликеры»

Семейство троянских  программ, основная функция которых  — организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows).

У злоумышленника могут быть следующие цели для подобных действий:

• Увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы;
• Организация DoS-атаки (Denial of Service) на какой-либо сервер;
• Привлечение потенциальных жертв для заражения вирусами или троянскими программами.

Trojan-Downloader – доставка прочих вредоносных программ

Троянские программы  этого класса предназначены для  загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных  систем. Загруженные из Интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.

Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно с веб-страницы)

Trojan-Dropper – инсталляторы прочих вредоносных программ

Троянские программы  этого класса написаны в целях  скрытной инсталляции других программ и практически всегда используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ.

Данные троянцы обычно без каких-либо сообщений (либо с  ложными сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.

Обычно структура таких  программ следующая:

Основной код

Файл 1

Файл 2

...

«Основной код» выделяет из своего файла остальные компоненты (файл 1, файл 2, ...), записывает их на диск и открывает их (запускает на выполнение).

Обычно один (или более) компонентов являются троянскими программами, и как минимум один компонент является «обманкой»: программой-шуткой, игрой, картинкой или чем-то подобным. «Обманка» должна отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то «полезное», в то время как троянская компонента инсталлируется в систему.

В результате использования  программ данного класса хакеры достигают  двух целей:

• Скрытная инсталляция троянских программ и/или вирусов;
• Защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.

Trojan-Proxy – троянские прокси-серверы

Семейство троянских  программ, скрытно осуществляющих анонимный  доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.

Trojan-Spy – шпионские программы

Данные троянцы осуществляют электронный шпионаж за пользователем  зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.

Троянские программы  этого типа часто используются для  кражи информации пользователей  различных систем онлайновых платежей и банковских систем.

Trojan-Notifier – оповещение об успешной атаке

Троянцы данного типа предназначены для сообщения  своему «хозяину» о зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением.

Данные троянские программы  используются в многокомпонентных  троянских наборах для извещения  своего «хозяина» об успешной инсталляции троянских компонент в атакуемую систему.

Trojan – прочие троянские программы

К данным троянцам относятся  те из них, которые осуществляют прочие действия, попадающие под определение троянских программ, т. е. разрушение или злонамеренная модификация данных, нарушение работоспособности компьютера и прочее.

В данной категории также  присутствуют «многоцелевые» троянские  программы, например, те из них, которые  одновременно шпионят за пользователем  и предоставляют proxy-сервис удаленному злоумышленнику.

 

 

Rootkit – скрытие присутствия в системе

Понятие rootkit пришло к  нам из UNIX. Первоначально это понятие  использовалось для обозначения набора инструментов, применяемых для получения прав root.

Так как инструменты  типа rootkit на сегодняшний день «прижились» и на других ОС (в том числе, на Windows), то следует признать подобное определение rootkit морально устаревшим и не отвечающим реальному положению дел.

Таким образом, rootkit —  программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.). Для поведения Rootkit в классификации «Лаборатории Касперского» действуют правила поглощения: Rootkit — самое младшее поведение среди вредоносных программ. То есть, если Rootkit-программа имеет троянскую составляющую, то она детектируется как Trojan.

Arcbomb – бомбы в архивах

Представляют собой  архивы, специально оформленные таким  образом, чтобы вызывать нештатное  поведение архиваторов при попытке разархивировать данные — зависание или существенное замедление работы компьютера или заполнение диска большим количеством «пустых» данных. Особенно опасны «архивные бомбы» для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации — «архивная бомба» может просто остановить работу сервера.

Встречаются три типа подобных «бомб»: некорректный заголовок  архива, повторяющиеся данные и одинаковые файлы в архиве.

Некорректный заголовок  архива или испорченные данные в  архиве могут привести к сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива.

Значительных размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой  файл в архив небольшого размера (например, 5Гб данных упаковываются в 200Кб RAR или в 480Кб ZIP-архив).

Огромное количество одинаковых файлов в архиве также  практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10¹⁰⁰ одинаковых файлов в 30Кб RAR или 230Кб ZIP-архив).

Рекламные системы

Рекламные системы не являются в прямом смысле вредоносными программами, но могут доставить  определённые неприятности. Чаще всего  такие системы поступают вмаесте  с бесплатными программами, скопированными из Интернета (пример - рекламный агент TimeSink). Подобное дополнение служит для закачки и демонстрации рекламных баннеров и прочей рекламной мишуры, что занимает линию связи, снижает скорость соединения. Кроме того, программы-агенты могут предоставлять рекламным серверам информацию о том, к каким ресурсам Интернета обращаются через данный браузер или какие программы используются на компьютере.

 

Методы защиты информации от вирусов

Стопроцентной защиты от вирусов сегодня не существует, но соблюдение некоторых правил может многократно снизить риск заражения:

• По возможности избегать компьютеров «общего пользования», установленных в студенческих аудиториях, на почтах и т. п. За день таким компьютером пользуется множество людей, и любой может занести вирус со своего носителя, поэтому записывать информацию с такого компьютера на свой носитель категорически не рекомендуется;
• При получении из Интернета или локальной сети файлов приложений пакета Microsoft Office (например, Word или Excel) в первую очередь проверить их надёжной антивирусной программой и только потом открывать. Такие файлы могут содержать макровирусы;
• То же самое относится и к другим скачиваемым из Интернета файлам: дистрибутивам или исполняемым файлам приложений, самораспаковывающимся архивам и так далее. Перед выполнением их необходимо проверить антивирусной программой;
• Если используемая антивирусная программа обладает возможностью постоянного мониторинга, то при работе в Интернете данный режим должен быть включен. Это поможет своевременно обнаружить заражённые файлы;
• Время от времени нужно полностью сканировать компьютер на наличие вирусов  с помощью антивирусной программы. Периодичность сканирования зависит от загрузки компьютера, а также от того, работает ли пользователь с Интернетом;
• При работе с внешними носителями информации проверять их антивирусной программой на наличие вирусов. Особенно, если эти носители новые или чужие;
• Ни в коем случае не запускать внезапно появившиеся на Рабочем столе значки. Многие вирусы (особенно сетевые черви) специально помещают на Рабочий стол заманчивый значок. При щелчке на таком значке вирус активизируется и начинает распространяться по сети;
• После окончания работы в Интернете отключить шнур, соединяющий компьютер с телефонной линией. В противном случае злоумышленник может получить доступ даже к выключенному компьютеру;
• Для защиты информации от постороннего доступа целесообразно применять шифрование данных;
• Для сохранения наиболее важных файлов и папок необходимо делать их резервные копии, что позволяет в случае аварийного отказа системы восстановить её со всеми настройками;
• Для блокирования попыток несанкционированного проникновения   различных программ, команд или заданий как из Интернета в компьютер, так и из компьютера в Интернет, следует установить брандмауэр - своеобразный фильтр, регулятор доступа в компьютерные сети и на отдельные компьютеры.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Антивирус Касперского 7.0

 

Антивирус Касперского, разработанный компанией Лаборатория Касперского, является одной из наиболее популярных антивирусных программ.

 

 

Рисунок 1. Интерфейс программы Антивирус Касперского

К её достоинствам можно  отнести простой и интуитивно понятный пользовательский интерфейс, возможность гибкой настройки параметров сканирования, а также наличие богатой антивирусной базы. Антивирус Касперского обеспечивает защиту компьютера от вирусов и иных вредоносных программ.

В состав Антивируса Касперского  включен специальный компонент, обеспечивающий защиту файловой системы компьютера от заражения, - Файловый Антивирус. Он запускается при старте операционной системы, постоянно находится в оперативной памяти компьютера и проверяет все открываемые, сохраняемые и запускаемые файлы.

 

Рисунок 2. Окно Файлового антивируса

Процесс проверки включает следующие действия:

1. Файл анализируется на присутствие вирусов. Распознавание вредоносных объектов происходит на основании баз приложения. Базы содержат описание всех известных на настоящий момент вредоносных программ, угроз, сетевых атак и способов их обезвреживания.
2. В результате анализа возможны следующие варианты поведения приложения:
• Если в файле обнаружен вредоносный код, Файловый Антивирус блокирует файл, помещает его копию в резервное хранилище и пытается вылечить файл. В результате успешного лечения файл становится доступным для работы, если же лечение произвести не удалось, файл удаляется.
• Если в файле обнаружен код, похожий на вредоносный, но стопроцентной гарантии этого нет, файл подвергается лечению и помещается в специальное хранилище - карантин.
• Если в файле не обнаружено вредоносного кода, он сразу же становится доступным для работы.

 Антивирус Касперского включает также специальный компонент, обеспечивающий защиту входящей и исходящей почты на наличие опасных объектов, - Почтовый Антивирус. Он запускается при старте операционной системы, постоянно находится в оперативной памяти компьютера и проверяет все почтовые сообщения по протоколам POP3, SMTP, IMAP, MAPI1 и NNTP, а также через защищенные соединения (SSL) по протоколам POP3 и IMAP.

 

Рисунок 3. Окно Почтового антивируса

По умолчанию защита почты осуществляется по следующему алгоритму: