Технологии маскировки вирусов

Помимо начинки и механизма размножения интерес представляют приемы, с помощью которых вирусы скрывают свое присутствие в системе, с тем, чтобы продержаться в ней как можно дольше.

Стелс-вирус — вирус, полностью или частично скрывающий свое присутствие пу-тем перехвата обращений к операционной системе, осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т.д.) Например, файловый вирус может перехватывать функции чтения/записи в файл, чтения каталога и т. д., чтобы скрыть увеличение размера зараженных программ; перехватывает функции чтения/записи файла в память, чтобы скрыть факт изменения файла.

Полиморфные вирусы — вирусы, модифицирующие свой код в зараженных про-граммах таким образом, что два экземпляра одного и того же вируса могут не совладать ни в одном бите. Это затрудняет анализ и обнаружение его антивирусом. Для модификации кода используется шифрование. Т.е. вирус содержит шифратор, причем при размножении каждая копия вируса шифруется новым случаным ключом, а расшифровывает вирус сам себя уже во время выполнения. Естественно, дешифратор при этом не зашифровывается, но полиморфные вирусы обычно содержат код генерации дешифратора, чтобы, выполняя одни и те же функции, эта часть в каждой копии вируса имела различный вид.

 

 

Тенденции современных компьютерных вирусов

Рассмотрим характерные черты, которые за последние годы наиболее четко прояви-лись в современных вирусах:

— наибольшее распространение получили сетевые черви;

— вирусы активно используют уязвимости в различных операционных системах и про-граммном обеспечении;

— для быстрого распространения вирусов используются спам-технологии;

— один вирус сочетает в себе мноество технологий: полиморфных, стелс, бэкдор;

— вместо пересылки своего тела по электронной почте часто отправляется ссылка на веб-сайт или на зараженный ранее компьютер;

— увеличивается число вирусов для новых платформ: КПК, сотовых телефонов, смарт-фонов и коммуникаторов, при этом активно используются беспроводные среды передачи данных (Bluetooth, Wi-Fi).

 

Борьба с вирусами

Для борьбы с вирусами используется специальное программное обеспечение — антивирусы. По выполняемым ими функциям выделяют следующие виды антивирусов:

— Программы-детекторы осуществляют поиск характерного для вируса кода (сигнатуры) в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение.

 

— Программы-доктора или фаги также осуществляют поиск зараженных файлов и «лечат» их, т.е. возвращают в исходное состояние. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.

— Ревизоры запоминают исходное состояние объектов незараженной системы и периодически сравнивают текущее состояние с исходным.

— Программы-фильтры — резидентные (то есть постоянно работающие) программы, предназначенные для обнаружения при работе компьютера подозрительных действий, характерных для вирусов.

— Вакцины — резидентные программы, предотвращающие заражение файлов. Современные антивирусы представляют собой многофункциональные программные

комплексы, которые способны обнаруживать, лечить (удалять) вирусы, а также препятствовать их проникновению на компьютер.

Современные антивирусы могут работать в двух режимах. В режиме монитора антивирус постоянно работает, отслеживая все обращения системы к файлам, вклиниваясь в этот процесс и проверяя эти файлы на предмет заражения. Таким образом, при первой попытке вируса активироваться антивирус блокирует эту попытку и выдает предупреждение. При использовании режима монитора работа компьютера замедляется (так как часть вычислительных ресурсов тратится на работу антивируса, а любое ображение к файлам и некоторым другим объектам сопровождается процедурой сканирования). Кроме того, если на компьютере присутствуют зараженные файлы, которые не проявляют активности и об-ращения к ним не происходит, они останутся незамеченными.

В режиме сканера антивирус проверяет все файлы в заданной области (определен-ный каталог, раздел жесткого диска или все устройства хранения информации) и удаля-ет/лечит зараженные (либо просто оповещает о них — в зависимости от настроек скане-ра). Проверка всех данных на компьютере может занять значительное время (несколько часов). Кроме того, вирус может попасть в систему сразу после сканирования.

Для надежной защиты рекомендуется применение обоих режимов: постоянная работа антивируса в режиме монитора и регулярная (раз в неделю) проверка всех данных с помощью сканера (обычно сканирование запускается на ночь).

Рассмотрим методы обнаружения антивирусом своих жертв.

Обнаружение, основанное на сигнатурах — метод работы антивирусов и систем обнаружения вторжений, при котором антивирус, просматривая файл (или передаваемый по сети пакет), обращается к словарю, в котором содержатся сигнатуры известных атак или вирусов. Под сигнатурой понимается фрагмент кода, однозначно идентифицирующий вирус. Например, вирус Email-Worm.Win32.Happy содержит строку «Happy New Year 1999!!», которая с низкой вероятностью может встретиться в другой программе.

Основной принцип, по которому выделяются сигнатуры — она должна содержать только уникальные строки из этого файла, настолько характерные, чтобы гарантировать минимальную возможность ложного срабатывания. Разработка сигнатур осуществляется вручную путем кропотливого исследования нескольких файлов, зараженных (или принадлежащих) одним вирусом. Автоматическая генерация сигнатур (особенно в условиях полиморфных вирусов) пока не дает удовлетворительных результатов.

Каждый современный антивирус имеет обширную (несколько сот тысяч) базу сигна-тур, которая регулярно обновляется. Проблема обнаружения, основанного на сигнатурах заключается в том, что новый вирус (сигнатуры которого еще нет в базе) может беспрепятственно обойти антивирусную защиту. При этом создание сигнатуры и доставка ее пользователям занимает от 11 до 97 часов в зависимости от производителя, в то время как теоретически, вирус может захватить весь интернет меньше, чем за 30 секунд18.

Метод обнаружения подозрительного поведения программы. Антивирус прослеживает поведение всех работающих программ и пытается выявить действия, характерные для вируса (например, запись данных в exe-файл). Однако этот метод часто вызывает ложные срабатывания (в результате пользователи перестают обращать внимание на предупреждения). Разновидность этого метода — эмуляция программы: перед запуском при-ложения антивирус пытается имитировать его поведение с целью отслеживая подозри-тельных действий. Данный метод наиболее требователен к ресурсам.

Метод «белого списка». Предотвращается выполнение всех компьютерных кодов кроме тех, которые были ранее обозначены системным администратором как безопасные.

Эвристическое сканирование — метод, основанный на сигнатурах и эвристике, при-зван улучшить способность сканеров применять сигнатуры и распознавать модифицированные версии вирусов в тех случаях, когда сигнатура совпадает с телом неизвестной про-граммы не на 100 %, но в подозрительной программе налицо более общие признаки виру-са. Данная технология, однако, применяется в современных программах очень осторожно, так как может повысить количество ложных срабатываний19.

Наиболее известные современные антивирусы: антивирус Касперского, Doctor WEB, NOD32, Norton Antivirus, Panda Antivirus, Avast! Antivirus (последний является бесплатным для домашнего использования).

 

Средства защиты сети

Если локальная сеть организации или персональный компьютер пользователя имеют выход в сеть Интернет, количество угроз безопасности увеличивается в десятки раз по сравнению с изолированной сетью или компьютером. Сетевые вирусы, попытки проник-новения в систему извне (используя подобранный или украденный пароль, уязвимости программного обеспечения и т.д.), перехват и подмена данных, передаваемых в сеть или получаемых из сети — вот перечень наиболее типичных угроз.

Существует ряд средств, методов и технологий защиты информации, учитывающих специфику сетевых атак. К ним, в частности, относятся межсетевые экраны (брандмауэры), виртуальные частные сети (VPN) и системы обнаружения вторжений.

 

Межсетевые экраны

Межсетевой экран (брандмауэр, файрвол) — комплекс аппаратных и/или программных средств, осуществляющий контроль и фильтрацию проходящих через него се-тевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.

Межсетевой экран, как правило, обладает несколькими интерфейсами, по одному на каждую из сетей, к которым он подключен. Набор правил политики определяет, каким об-разом трафик передается из одной сети в другую. Если в правиле отсутствует явное раз-решение на пропуск трафика, межсетевой экран отклоняет или аннулирует пакеты.

Межсетевой экран может выступать в роли proxy-сервера. Proxy-сервер — это про-грамма или узел сети, играющий роль посредника между внутренней сетью организации и внешней сетью (например, Интернет). В этом случае он может также скрывать внутренние адреса компьютеров организации. Эта функция называется трансляцией сетевых адресов (NAT — Network Address Translation). Когда какой-то узел внутренней сети хочет переда-вать информацию вовне, он отправляет ее proxy-серверу (одновременно являющемуся межсетевым экраном). Проверив передаваемые пакеты на соответствие политике фильт-рации, межсетевой экран инициирует новое соединение, и передает пакеты уже от своего имени. В результате скрывается схема внутренней адресации сети и тем самым сущест-венно затрудняется ее анализ злоумышленником (с целью обнаружения уязвимостей).

Существует ряд классификаций межсетевых экранов по различным критериям: