Защита экономической информации

2.2 Компьютерные вирусы и пути  их распространения

 

    Массовое использование ПК в сетевом режиме, включая выход в глобальную сеть Интернет, породило проблему заражения компьютерными вирусами.

    Компьютерным  вирусом принято называть специально написанную, обычно небольшую по размерам программу, способную самопроизвольно присоединяться к другим программам (т.е. заражать их), создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера и в другие объединенные с ним компьютеры с целью нарушения нормальной работы программ, порчи файлов и каталогов, создания различных помех при работе на компьютере.

    Впервые термин «компьютерный вирус» употребил  сотрудник Лехайского университета (США) Ф. Коэн в 1984 г. на 7-й конференции  по безопасности информации, проходившей в США. Однако первое упоминание о подобного типа программах для ЭВМ относится к середине прошлого столетия. Именно тогда американские ученые Джон фон Нейман и Норберт Винер, занимаясь проблемами алгоритмического обеспечения и программного управления ЭВМ, открыли возможность саморазмножения искусственных алгоритмических конструкций, т.е. программного кода.

    Исследования  международного института по компьютерной безопасности (ISCA) показали, что вирусы являются причиной более 58% случаев потери данных в информационных системах. Рост числа вирусов (около 35000 к 2006г.) и, соответственно, ущерба от них, вызывает необходимость уделять большое внимание технологиям антивирусной защиты ПК и сетей. Широко известны три основных пути распространения вирусов:

    - через носителей информации (дискеты, CD-ROM и т.д.);

    - через загрузку зараженных FTR-файлов и файлов электронной почты;

    - через средства корпоративной работы (Lotus Notes, Microsoft Exchange, Novell Group Wise).

    Мировая практика компьютерной вирусологии  свидетельствует, что основным источником угрозы для организаций и частных лиц остается электронная почта. С ней связанно свыше 96% всех зарегистрированных в 2006г. случаев. Через электронную почту до персональных компьютеров добираются не только «сетевые черви», но и обычные вирусы, в том числе «троянские кони». Через другие службы Интернета, к примеру, через FTR, IRS, процент заражения компьютеров вирусами составлял 4,5%. Более низок процент заражения компьютеров вирусами через зараженные мобильные накопители информации (флоппи-, CD-, магнитооптические и иные диски).

    Способ  функционирования большинства вирусов  – это такое изменение системных  файлов компьютера, чтобы вирус начинал  свою деятельность при каждой загрузке. Всякий раз, когда пользователь копирует файлы на гибкий диск или посылает инфицированные файлы по модему, переданная копия вируса пытается установить себя на новый диск.

    Обычно  вирус разрабатывается так, чтобы  он появился, когда происходит некоторое  событие вызова, определенное число  перезагрузок зараженного или какого-то конкретного приложения, процент заполнения жесткого диска и др.

    После того, как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и ее работа некоторое время не отличается от работы незараженной. Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователь часто и не замечает, что компьютер работает со «странностями».

    Основными путями заражения компьютеров вирусами являются съемные диски (дискеты и CD-ROM) и компьютерные сети. Заражение жесткого диска компьютера может произойти при загрузке компьютера с дискеты, содержащей вирус. Для усиления безопасности необходимо обращать внимание на то, как и откуда получена программа (из сомнительного источника, имеется ли наличие сертификата, эксплуатировалась ли раньше и т.д.). Однако главная причина заражения компьютеров вирусами – отсутствие в операционных системах эффективных средств защиты информации от несанкционированного доступа.

     В течение последних 10 лет наблюдается не только рост числа вирусов, но и совершенствование алгоритмов, направленных на сокрытие вирусов от антивирусных программ.

     В мировой практике было зарегистрировано около 95 тыс. компьютерных вирусов, и  каждую неделю появляются новые вирусы. Одна из схем классификации компьютерных вирусов представлена на рисунке 2.1. 

Рисунок 2.1 – Классификация компьютерных вирусов

 

    Разработчики  вирусов сделали наиболее распространенными  вирусы следующих основных типов:

1. полиморфные вирусы (изменяющие свой код при каждом запуске);
2. вирусы-невидимки (подменяющие собой обработчиков прерываний и скрывающие таким образом свое присутствие в ОЗУ).

    В зависимости от среды обитания вирусы классифицируются как загрузочные, файловые, системные, сетевые, файлово-загрузочные.

    Загрузочные вирусы внедряются в загрузочный  сектор диска или в сектор, содержащий программу загрузки системного диска.

    Файловые  вирусы внедряются в основном в исполняемые  файлы с расширением .COM и .EXE.

    Системные вирусы проникают в системные модули и драйверы периферийных устройств, таблицы размещения файлов и таблицы разделов.

    Сетевые вирусы обитают в компьютерных сетях; файлово-загрузочные (многофункциональные) поражают загрузочные секторы дисков и файлы прикладных программ.

    По  способу заражения среды обитания вирусы подразделяются на резидентные  и нерезидентные.

    Резидентные вирусы при заражении компьютера оставляют в оперативной памяти свою резидентную часть, которая  затем перехватывает обращение  операционной системы к другим объектам заражения, внедряется в них и выполняет свои разрушительные действия.

    Нерезидентные вирусы не заражают оперативную память ПК и являются активными ограниченное время.

    Алгоритмическая особенность построения вирусов  оказывает влияние на их проявление и функционирование. Так, репликаторные программы благодаря своему быстрому воспроизводству приводят к переполнению основной памяти. В компьютерных сетях распространены программы-черви. Они вычисляют адреса сетевых компьютеров и рассылают по этим адресам свои копии, поддерживая между собой связь. В случае прекращения существования «червя» на каком-либо ПК оставшиеся отыскивают свободный компьютер и внедряют в него такую же программу.

    «Троянский  конь» - это программа, которая, маскируясь под полезную программу, выполняет дополнительные функции, о чем пользователь и не догадывается, либо разрушает файловую систему.

    Логическая  бомба – это программа, которая  встраивается в большой программный  комплекс. Она безвредна до наступления  определенного события, после которого реализуется ее логический механизм.

    Программы-мутанты, самовоспроизводясь, воссоздают копии, которые явно отличаются от оригинала.

    Вирусы-невидимки, или стелс-вирусы, перехватывают  обращения операционной системы  к пораженным файлам и секторам дисков  и подставляют вместо себя незараженные объекты.

    Макровирусы используют возможности макроязыков, встроенных в офисные программы  обработки данных.

    По  степени воздействия на ресурсы  компьютерных систем и сетей выделяются безвредные, неопасные, опасные и разрушительные вирусы.

    Безвредные  вирусы не оказывают разрушительного  влияния на работу ПК, но могут переполнять  оперативную память в результате своего размножения.

    Неопасные вирусы не разрушают файлы, но уменьшают  свободную дисковую память, выводят на экран графические рисунки, звуковые эффекты и т.д.

    Опасные вирусы нередко приводят к различным  серьезным нарушениям в работе компьютера; разрушительные – к стиранию информации, полному или частичному нарушению  работы прикладных программ.

    Массовое распространение компьютерных вирусов вызвало разработку антивирусных программ, позволяющих обнаруживать и уничтожать вирусы, «лечить» зараженные ресурсы.

2.3 Антивирусные программные пакеты. Антивирусный программный пакет  Doctor Web

 

     В основе работы большинства антивирусных программ лежит принцип поиска сигнатуры вирусов. Вирусная сигнатура – это некоторая уникальная характеристика вирусной программы, которая выдает присутствие вируса в компьютерной системе. Обычно в антивирусные программы входит периодически обновляемая база данных сигнатур вирусов. Антивирусная программа просматривает компьютерную систему, проводя сравнение и отыскивая сравнения с сигнатурами в базе данных. Когда программа находит соответствие, она пытается вычислить обнаруженный вирус.

     По  методу работы антивирусные программы  подразделяются на фильтры, ревизоры-доктора, детекторы, вакцины и др.

     Программы-фильтры, или «сторожа», постоянно находятся  в оперативной памяти и перехватывают  все запросы к операционной системе  на выполнение подозрительных действий, т.е. операций, используемых вирусами для своего размножения и порчи информации в компьютере, в том числе для переформатирования жесткого диска.

    Надежным  средством защиты от вирусов считаются  программы-ревизоры. Они запоминают исходное состояние программ, каталогов и системных областей диска, когда компьютер еще не был заражен вирусом, а затем периодически сравнивают текущее состояние с исходным.

    Программы-доктора  не только обнаруживают, но и «лечат»  зараженные программы или диски. Программы этого типа делятся на фаги и полифаги. Последние служат для обнаружения и уничтожения большого количества разнообразных вирусов.

    Программы-детекторы  позволяют обнаруживать файлы, зараженные одним или несколькими известными разработчикам программ вирусами.

    Программы-вакцины, или иммунизаторы модифицируют программы  и диски таким образом, что  это не отражается на работе программ, но вирус, от которого производится вакцинация, считает их уже зараженными и  не внедряется в них.

     Антивирусный  программный пакет Doctor Web

     К настоящему времени зарубежными  и отечественными фирмами и специалистами  разработано большое количество антивирусных программ. Многие из них, получившие широкое признание, постоянно  пополняются новыми средствами для  борьбы с вирусами и сопровождаются разработчиками. 

    У российских пользователей персональных компьютеров известной популярностью  пользуется антивирусный комплект ЗАО  «Диалог-Наука» - семейство антивирусных программ Doctor Web (рисунок 2.2).

      

    Рисунок 2.2 – Программа-антивирус Doctor Web 

    Комплексный антивирус Doctor Web включает в себя компоненты, обеспечивающие различные уровни борьбы с компьютерными вирусами:

1. для защиты корпоративных сетей;
2. для защиты рабочих станций;
3. для защиты автономных компьютеров;
4. для реализации специализированных решений.

     Семейство Doctor Web включает антивирусы для ряда операционных систем, включая Windows 95/98/Me/NT/2000/2007/XP, DOS, OS/2, Novell NetWare, Linux, FreeBSD, Solaris (Intel) и др.

     Программа-антивирус  Doctor Web предназначена для поиска и обнаружения вирусов. Особенностью программы являются заложенные в ней три метода позволяющие обнаруживать вирусы: по их сигнатуре, с помощью эвристического анализатора, с использованием эмулятора процессора.

     Поиск вирусов по сигнатуре (сканирование вирусов) позволяет очень быстро обнаружить набор вирусных образцов, уже известных разработчику антивирусной программы. Использование же эвристического анализатора позволяет выявлять такие вирусы, сигнатуры которых отсутствуют в антивирусной базе. Прием эмуляции процессора обеспечивает борьбу со сложными шифрованными и полиморфными вирусами.

     Особым  свойством семейства программ Doctor Web является модульный принцип построения, что обеспечивает возможность их работы на разных программных платформах. Программа включает оболочку, ориентированную на работу в конкретной среде; ядро, не зависящее от среды  и вирусную базу, регулярно пополняемую.