Систематичне архівування важливої інформації

Єдиним стовідсотковим по надійності методом захисту від втрати важливої інформації є її резервне копіювання на захищені від записування пристрої зберігання даних. Більше того, архівуванням також не можна нехтувати, оскільки втратити інформацію можна не лише через віруси, але й через стрибки напруги в мережі, поломки обладнання й т.д.

Жодна антивірусна програма не зрівняється по надійності з архіву­ванням інформації. Справа в тому, що на будь-який алгоритм антивірусу завжди найдеться алгоритм вірусу, невидимого для цього антивірусу.

Обмеження ненадійних контактів

Друге правило, що частково гарантує збереження інформації, – це обмеження копіювання даних з ненадійних джерел. Як би ми не старалися, обмін інформацією з іншими користувачами і робота в локальних або глобальних мережах неминучі. Однак, деякі правила для себе все-таки виділити можна.

По-перше, необхідно намагатися не запускати неперевірені файли, у тому числі отримані по комп'ютерній мережі. Бажано використовувати тільки програми, отримані з надійних джерел. Перед запуском нових про­грам обов'язково варто перевірити їх одним або декількома антивірусами.

По-друге, варто обов'язково користуватися тільки тими джерелами та іншими файлами, які добре зарекомендували себе, хоча це не завжди рятує (наприклад, на WWW-cepвері Mіcrosoft досить довгий час перебував документ, заражений макровірусом “Wazzu”).

По-третє, необхідно обмежити коло людей, які допущені до роботи на конкретному комп'ютері. Практика показує, що найбільш уразливі комп'ютери – багатокористувацькі.

І нарешті, відповідно до четвертого правила, варто купувати тільки дистрибутивне програмне забезпечення в офіційних продавців. Безкош­тов­ні, умовно безкоштовні або піратські копії можуть призвести до зараження.

Використання антивірусних програм

При існуючому різноманітті вірусів і їх мутацій запобігти зараженню може тільки повнофункціональна антивірусна система, що має в своєму арсеналі всі відомі технології боротьби з «інфекційними хворобами»: не тільки сканер-поліфаг, але і резидентний on-line-монітор, засоби контролю програмної цілісності (CRC) і евристичного пошуку вірусних сигнатур.

Кожен новий вірус необхідно знайти щонайшвидше (а деякі віруси навмисно довго себе не проявляють, щоб у них було досить часу на розповсюдження). Проблема у тому, що немає чіткого способу визначити наперед, що при своєму виконанні дана програма проявить вірусоподібну поведінку. Як немає єдиних ліків від усіх хвороб, так немає універсальної «вакцини» від усіх видів шкідливого програмного забезпечення. На всі 100% захиститися від вірусів практично неможливо!

У такій сфері, як виявлення атак на комп'ютерні системи, процес вдосконалення нескінченний. Хакери не втомлюються винаходити все нові схеми проникнення в комп'ютерні системи. Розробники детектуючих додатків, що стоять по іншу сторону барикад, відстежують новинки, що з'являються, і поспішають запропонувати свої контрзаходи. От чому продукти, що випускаються, вимагають постійної модернізації, і користувачам настійно рекомендується встановлювати оновлені сигнатури, що дозволяють ідентифікувати нові види мережевих атак.

Старе антивірусне програмне забезпечення подібно лікам з минулим терміном придатності – толку від нього мало. Якщо не обновляти файли сигнатур, то рано чи пізно можна опинитися беззахисними проти нових вірусів. Більшість фірм, що розробляють антивіруси, випускають нові файли сигнатур принаймні двічі в місяць або й частіше, якщо з'являється серйозний вірус. Для отримання нових сигнатур зручно користуватися функцією автоматичного оновлення через Web, що є в антивірусному пакеті.

Супровід через Internet програми PC-cillin, наприклад, володіє уні­кальною особливістю. Можна не тільки отримати консультацію по електронній пошті, але і поговорити у реальному часі з фахівцем служби супроводу Trend. (Хоча від цієї чудової послуги не багато толку, якщо комп'ютер заблокований і увійти в Internet неможливо, проте вона безкоштовна.) Такі антивірусні продукти, як Norton AntiVirus 2000 і McAfee VirusScan, підтримують найкрупніші дослідницькі групи галузі: відповідно Symantec AntiVirus Research Center і AntiVirus Emergency Response Team. Тому Norton і McAfee швидко реагують на загрозу нового вірусу.

Всі основні фірми-постачальники антивірусного забезпечення регулярно і досить часто оновлюють файли сигнатур вірусів, а при появі особливо шкідливого вірусу створюють додатковий екстрений випуск. Ще зовсім недавно вважалося, що сигнатури потрібно оновлювати щомісячно, але в нашу епоху нових вірусів, можливо, буде розумним перевіряти їх щотижня вручну або за допомогою автоматичного оновлення антивірусної програми. В утилітах McAfee, Symantec і Trend Micro для оновлення достатньо один раз клацнути кнопкою миші.

Певний набір засобів антивірусного захисту присутній у всіх утилітах основних фірм-виробників програмного забезпечення. Серед них: постійний захист від вірусів (антивірусний монітор), перевірка системи за розкладом і оновлення сигнатур через Internet, а також створення аварійної завантажувальної дискети, що дозволяє запустити комп'ютер навіть тоді, коли у нього заражений вірусом завантажувальний сектор (природно, дискету треба створити до того, як вірус потрапив в комп'ютер). Крім цих стандартних засобів, деякі пакети містять «архітектурні надмірності»: наприклад, спеціальний додатковий захист від поштових вірусів (тривога з приводу яких наростає), а також шкідливих модулів ActiveX і Java-аплетів. А такі програми, як Panda Antivirus Platinum і PC-cillin, навіть дозволяють батькам заблокувати доступ дітей до небажаних Web-сторінок.

Оскільки у нових вірусів є нові сигнатури, файли сигнатур необхідно підтримувати в актуальному стані. При виході нової версії антивіруса формат файла сигнатур звичайно міняється, і оновлені сигнатури виявляються несумісними з попередніми версіями програми. Саме тому анти­ві­рус­не програмне забезпечення вже досить давно продається по тій же схемі, що бритви і леза: одного разу купивши основну утиліту (бритву), ви потім вимушені постійно купувати оновлені файли сигнатур (леза).

Так, компанії McAfee і Symantec надають право необмеженого оновлення сигнатур протягом року з моменту придбання утиліти, але за кожен наступний рік потрібно в обох випадках заплатити 4 долари. Таку суму навряд можна вважати серйозним ударом по кишені (на відміну від підписки на оновлені файли сигнатур F-Secure, яка коштує 63 доларів); крім того, через рік ми з великою вірогідністю захочемо відновити саму програму. Їх основні конкуренти – Command AntiVirus, Inoculate IT, Panda Antivirus Platinum і PC-cillin – пропонують безкоштовне оновлення сигнатур протягом всього життя продукту.

В даний час способи надання антивірусного захисту істотно змінюються. Компанія McAfee.com вже пропонує перевірку на віруси через Internet в своїй «електронній лікарні» McAfee Clinic (разом з ще декількома видами діагностики). Послуга надається по підписці і коштує 50 доларів в рік, але часто з'являються спеціальні пропозиції, а за перші два тижні платня не береться – це випробувальний період. Перевірку віддалених комп'ютерів на віруси здійснює модуль ActiveX, який бере сигнатури з Web-серверу виробника програми.

Види антивірусних програм

Самими популярними й ефективними антивірусними програмами є антивірусні сканери, монітори, фаги (поліфаги), ревізори. Застосовуються також різного роду блокувальники і іммунізатори (вакцини). Розглянемо характеристики кожного з цих видів програм.

Сканери (scanner). Сканери (детектори) здатні виявити фіксований набір суттєвих вірусів у файловій системі, секторах і системній пам’яті, а потім – негайно видалити біль­шість з них. Для пошуку вірусів сканери використовують так звані "маски" (або сигнатуру) – деяку постійну послідовність коду, специфічну для конкретного вірусу.

У випадку, якщо вірус не містить у собі постійної маски (наприклад, поліморфік-вируси), використовуються інші методи, засновані на описі всіх можливих варіантів коду на алгоритмічній мові.

У багатьох популярних сканерах (наприклад Антивірус Каспер­сь­кого, Doctor Web, Norton Antіvіrus, McAfee, Panda Antіvіr, AntіVіr Personal Edіtіon і ін.) застосовується режим евристичного сканування. Цей режим полягає в тому, що програма не просто шукає віруси, а проводить аналіз послідовності команд у кожному об’єкті, який перевіряється, здійснює набір деякої статистики, згодом приймає ймовірне рішення типу: "можливо заражений" або "не заражений".

Евристичне сканування являє собою ймовірнісний метод пошуку ві­ру­сів, що, в решті решт, забезпечує можливість визначення невідомих про­грамі вірусів, але разом з цим збільшує кількість помилкових спра­цьо­вувань (повідомлень, знайдених вірусах у файлах, де насправді їх немає).

Основна ідея такого підходу полягає у тому, що евристика спочатку розглядає поведінку програми, а потім зіставляє його з характерним для зловмисної атаки, на зразок поведінки троянського коня. Встановити модель поведінки і ухвалити рішення щодо нього можна за допомогою декількох механізмів. Для того, щоб виявити і визначити всі можливі дії програми, використовують два підходи: сканування і емуляція.

Підхід зі скануванням припускає пошук «поведінкових штампів», наприклад, найтиповіших низькорівневих способів відкриття файлів. Або процедура сканування звичайного виконуваного файла проглядає всі місця, де програма відкриває інший файл, і визначає, якого роду файли вона відкриває і що в них записує.

Другий метод визначення поведінки – емуляція. Такий підхід дещо складніший. Програма пропускається через емулятор Windows або макроемулятор Macintosh або Word з метою подивитися, що вона робитиме. Проте виникають питання, тому що в цьому випадку багато що залежить від чудасій вірусів. Наприклад, якщо вірус запрограмований на форматування жорсткого диска 25 лютого о 10 годині ранку, а при емуляції цього вірусу на симуляторі дата встановлена на 24 лютого, то вірус поки не проявить свої наміри.

Вся хитрість швидкого розпізнавання полягає в поєднанні двох підходів і отриманні найдокладнішого каталогу поведінкових штампів за можливо коротший час. Для перевірки факту зараження файла вірусом фахівці можуть використовувати різні варіанти штучного інтелекту – експертні системи і нейронні мережі.

Недолік евристичного підходу полягає якраз в його евристичності. Зав­жди є вірогідність, що надзвичайно підозрілий файл насправді абсолют­но нешкідливий. Проте останній евристичний механізм Symantec під назвою Bloodhound дозволяє знайти до 80% невідомих вірусів виконуваних файлів і до 90% невідомих макровірусів. Варто також помітити, що програми-детектори не дуже універсальні, оскільки здатні знайти тільки відо­мі віруси. Деяким таким програмам можна повідомити спеціальну послі­дов­ність байт, характерну для якогось вірусу, і вони зможуть знайти інфі­ковані ним файли: наприклад, це уміють NotronAntiVirus або AVP-сканер.

Різновидом сканерів є так звані таблетки – спеціалізовані програми, орієнтовані на пошук певного типу або сімейства вірусів, наприклад, троянів, макровірусів та інших (наприклад, Antі-Trojan, Trojan Remover).

Слід зазначити, що використання спеціалізованих сканерів, розрахо­ва­них тільки на макровіруси, іноді буває більше зручним і надійним рішенням для захисту документів MS Word і MS Excel.

До недоліків сканерів варто віднести тільки те, що вони охоплюють далеко не всі відомі віруси й вимагають постійного відновлення антивірусних баз. З огляду на частоту появи нових вірусів і їх короткий життєвий цикл, для використання сканерів необхідно налагодити одержання свіжих версій не рідше одного-двох разів на місяць. В іншому випадку їхня ефективність істотно знижується.

Монітори. Монітори – це різновид сканерів, які, постійно перебуваючи в пам'я­ті, відслідковують вірусоподібні ситуації, які відбуваються з диском і пам'яттю (тобто виконують безперервний моніторинг). Прикладом таких антивірусів може бути програма Kaspersky Antі-Vіrus або SpіDer Guard.

До недоліків цих програм можна віднести, наприклад, імовірність виникнення конфліктів з іншим програмним забезпеченням, як і для сканерів – залеж­ність від нових версій вірусних баз, а також можливість їхнього обходу деякими вірусами.

Фаги (поліфаги) (scanner/cleaner, scaner/remover). Фаги – це програми, здатні не тільки знаходити, але і знищувати віруси, тобто лікувати «хворі» програми (поліфаг може знищити багато вірусів). До поліфагів відноситься і така стара програма, як Aidstest, яка знаходить і знешкоджує близько 2000 вірусів.

Основний принцип роботи традиційного фага простий і не є секретом. Для кожного вірусу шляхом аналізу його коду, способів зараження файлів і т.д. виділяється деяка характерна тільки для нього послідовність байтів – сигнатура. Пошук вірусів в простому випадку зводиться до пошуку їх сигнатур (так працює будь-який детектор).

Сучасні фаги використовують інші методи пошуку вірусів. Після виявлення вірусу в тілі програми (або завантажувального сектора, який теж містить програму початкового завантаження) фаг знешкоджує його. Для цього розробники антивірусних засобів ретельно вивчають роботу кожного конкретного вірусу: що він псує, як він псує, де він ховає те, що зіпсує (якщо ховає). В більшості випадків фаг може видалити вірус і відновити працездатність зіпсованих програм. Але необхідно добре розуміти, що це можливо далеко не завжди.

Ревізори. Ревізори – це програми, принцип роботи яких заснований на підра­хунку контрольних сум (CRC-сум) для присутніх на диску файлів і системних секторів.

Прикладом такого антивірусу може бути програма ADіnf32. Ці контрольні суми потім зберігаються в базі даних антивірусу (у таблицях) разом із відповідною інформацією: довжинами файлів, датами їх останньої модифікації і т.д. При наступному запуску ревізори звіряють відомості, що містяться в базі даних, з реально підрахованими значеннями. Якщо інфор­ма­ція про файл, записана в базі даних, не збігається з реальними значеннями, то ревізор попереджає про те, що файл, можливо, був змінений або заражений вірусом.

Ревізори вміють вчасно виявляти зараження комп'ютера практично кожним з існуючих на сьогодні вірусів, не допускаючи розвитку епідемії, а сучасні версії ревізора вміють негайно видаляти більшість навіть раніше незнайомих їм вірусів.

До недоліків ревізорів можна віднести те, що для забезпечення безпеки вони повинні використовуватися регулярно. Але безсумнівними їхніми перевагами є висока швидкість перевірок і те, що вони не вимагають частого відновлення версій.

Антивірусні блокувальники. Антивірусні блокувальники – це резидентні програми, які перехоплюють небезпечні ситуації, і повідомляють про це користувача (наприклад, AVP Offіce Guard). До ситуацій, що відслідковуються, належать, наприк­лад, відкриття виконуваних файлів для записування і записування в boot-сектори дисків або MBR вінчестера, спроби програми залишитися резидентною і т.д. До речі, відзначені події характерні для вірусів у моменти їх розмноження.

Блокувальники дозволяють обмежити розповсюдження епідемії, поки вірус не буде знищений. Практично всі резидентні віруси визначають факт своєї присутності в пам'яті машини, викликаючи яке-небудь програмне переривання з «хитрими» параметрами. Якщо написати просту резидентну програму, яка імітуватиме наявність вірусу в пам'яті комп'ютера, правильно «відзиваючись» на певний пароль, то вірус, швидше за все, визнає цю машину вже зараженою.

Навіть якщо деякі файли на комп'ютері містять в собі код вірусу, при використанні блокувальника зараження всієї решти файлів не відбудеться. Для нормальної роботи такої програми необхідно запустити блокувальник раніше всієї решти програм, наприклад, у файлі CONFIG.SYS. Але якщо вірус встиг заразити COMMAND.COM або стартує із завантажувального сектора, то антивірус-блокувальник не допоможе.

До переваг блокувальників можна віднести вміння виявляти вірус на самій ранній стадії його розмноження, а до недоліків – здатність деяких вірусів обходити блокувальники, а також наявність неправдивих спрацьовувань.

Імунізатори або вакцини. Імунізатори – це невеликі програми, які змінюють файли або проникають у них. У першому випадку вірус буде приймати файли як заражені, а в другому – антивірус буде щоразу перевіряти файл на зміни. Слід зазначити, що в наш час цей тип антивірусів не має великого pозповсюд­ження серед користувачів.

Спеціальні вакцини призначені для обробки файлів і завантажувальних секторів. Вакцини бувають пасивними і активними.

Активна вакцина, «заражаючи» файл, подібно вірусу, оберігає його від будь-якої зміни і у ряді випадків здатна не тільки знайти сам факт зараження, але і вилікувати файл. Пасивні вакцини застосовують тільки для запобігання зараженню файлів деякими вірусами, що використовують прості ознаки їх зараженості – «дивні» час або дату створення, певні символьні рядки і т.д. В даний час вакцинація широко не застосовується. Бездумна вакцинація всього і всіх здатна викликати цілі епідемії неіснуючих вірусних хвороб. Так, протягом декількох років на території колишнього СРСР лютувала страшна епідемія жахливого вірусу TIME. Жертвою цього вірусу стали сотні абсолютно здорових програм, оброблених антивірусною програмою ANTI-КІТ.

Наведемо приклад. В даний час існує досить багато вірусів, що запобігають повторному зараженню файлів деякою «чорною міткою», якою вони мітять інфіковану програму. Існують, наприклад, віруси, що виставляють в полі секунд часу створення файла значення 62.Уже досить давно з'явився вірус, який до всіх заражених файлів дописував п'ять байт – MsDos. Нормальних файлів, що містять в кінці такий символьний рядок, не буває, тому вірус і використовував цю ознаку як індикатор зараження файла. Вакцинація файлів проти такого вірусу зовсім не складна. Достатньо дописати в кінець вище згаданий символьний рядок – і зараження таким вірусом не страшне. Страшне інше – деякі антивірусні програми, зустрів­ши в кінці файла нещасливий рядок, починають негайно лікувати його. Шансів на те, що після такого «лікування» «інвалід» нормально працюватиме, практично ніяких.

 

Контрольні питання до Лекції 4

1. Класифікуйте комп’ютерні віруси за середовищем їх існування та за способом зараження комп’ютерів.

2. Наведіть класифікацію вірусів за алгоритмами, які вони використовують при функціонуванні, та за своїми деструктивними можли­вос­тями?

3. З чого складається класифікаційний код вірусу?

4. Що таке дескриптор та сигнатура вірусів?

5. У чому полягають особливості файлових вірусів, якими вони бувають?

6. Де можуть бути розташовані файлові віруси?

7. Яким буває класифікаційний код файлового вірусу і які його складові?

8. Охарактеризуйте дескриптор та сигнатуру файлового вірусу.

9. Які різновиди файлових вірусів ви знаєте? Дайте характеристику "overwriting"-вірусам?

10. У чому полягає принцип функціонування та розташування пара­зи­тичних вірусів?

11. У чому різниця між вірусами типу "prepending", "appending" і "inserting"?

12. Як працюють віруси-компаньйони? В чому їх особливості?

13. Що таке файлові хробаки? Наведіть відомі вам приклади файлових вірусів-хробаків.

14. Link-віруси та їх особливості.

15. Охарактеризуйте групу OBJ- і LIB-вірусів. Де вони розташовуються і як себе проявляють?

Наведіть алгоритм роботи файлових вірусів.