Признаки наличия в компьютерной системе вредоносных

Программ

Проникновение в компьютерную систему вредоносных программ, как

правило, происходит скрытно, и если и обнаруживается, то чаще всего работающей в режиме мониторинга антивирусной программой.

Функционирование вредоносных программ может сопровождаться теми или иными эффектами, но в отдельных случаях может никак внешне не

проявляться (например, если это программа-шпион, а сетевой экран, который

мог бы детектировать ее обращения в сети, отсутствует).

Признаки, позволяющие сделать вывод об инфицировании компьютера, далеко не всегда однозначны. Одни и те же проявления могут быть обусловлены различными причинами, в числе которых следует назвать

не только работу вредоносных программ, но и не связанные с ними некорректную работу системного и прикладного программного обеспечения,

сбои или нестабильную работу аппаратной части компьютера, ошибки пользователей и т.д. В то же время можно указать на ряд признаков, появление которых можно трактовать как симптомы возможного проникновения в систему вредоносных программ. К таким признакам, если

они не связаны непосредственно с соответствующими действиями пользователей, относятся:

1) появление на экране непредусмотренных сообщений или изображений;

2) подача непредусмотренных звуковых сигналов;

3) «самопроизвольное» открытие и закрытие лотка CD-ROM-(DVD-ROM);

4) самопроизвольный запуск каких-либо программ;

5) появление предупреждений межсетевого экрана о попытке неинициированного выхода в Интернет какой-либо из программ;

6) видоизменение изображения на экране (например, поворот или перемещение символов);

7) мерцание экрана;

8) исчезновение или модификация файлов, каталогов, появление новых файлов и каталогов, изменение размеров файлов;

9) изменение атрибутов файлов, например, даты и времени создания;

10) появление новых учетных записей или изменение прав доступа имеющихся;

11) частые зависания и сбои в работе компьютера;

12) необычное аварийное завершение работы компьютера;

13) замедление работы компьютера, задержки при запуске программ;

14) невозможность загрузки операционной системы;

15) нарушение работы приложений;

16) частое обращение к жесткому диску;

17) блокирование записи на жесткий диск;

18) блокирование ввода с клавиатуры;

19) сбои в работе интернет-браузера, например, невозможность закрыть окно браузера;

20) неинициированные пользователем попытки установления сетевых соединений, фиксируемые межсетевым экраном;

21) появление в списке запущенных процессов новых, ранее не наблюдавшихся процессов, не связанных с работой запущенных служб и приложений.

Первые шесть из перечисленных признаков, как правило, определенно

указывают на наличие в системе вредоносных программ, в то время как

последующие часто обусловлены другими причинами.

 

Обнаружение и нейтрализация вредоносного программного

Обеспечения

Антивирусные программы

Антивирусные программы являются основным и наиболее эффективным средством защиты от вредоносного программного обеспечения. Хорошая антивирусная программа должна удовлетворять ряду требований, к основным из которых относятся:

1) способность надежно обнаруживать все распространенные типы опасных вредоносных программ;

2) способность выполнять лечение инфицированных объектов;

3) удобство в использовании;

4) скорость и стабильность работы;

5) способность выполнять сканирование объектов «по запросу»;

6) способность выполнять сканирование «на лету» – постоянный в реальном времени мониторинг объектов, к которым происходит обращение (открытие, запуск и т. п.);

7) оперативность выпуска обновлений антивируса при появлении новых видов вредоносных программ;

8) способность эвристического анализа;

9) способность надежно детектировать вредоносный код в электронных почтовых сообщениях;

10) существование версий антивирусного ПО для различных платформ и для серверов.

Хорошая антивирусная программа должна не только обеспечивать минимально возможную вероятность пропуска вредоносного кода, но и давать малый процент ложных срабатываний – ошибочных решений об инфицировании объекта, который в действительности зараженным не является. Приведенные требования являются противоречивыми и трудно

реализуемыми, особенно когда выполняется эвристический анализ.

Возможность сканирования «на лету» реализуется, если антивирусная программа резидентно находится в памяти компьютера и принудительно

проверяет объекты в автоматическом режиме без запроса пользователя. Это

позволяет предотвратить инфицирование компьютера, в частности, при копировании на него зараженных файлов.

В зависимости от принципа действия можно указать несколько

разновидностей антивирусных программ:

• сканеры (детекторы);

• CRC-сканеры (ревизоры);

• мониторы (фильтры);

• иммунизаторы (вакцинаторы).

Антивирусный сканер – антивирусная программа, осуществляющая

поиск известных вирусов по маске вируса путем сканирования файлов,

секторов и системной памяти. Такие программы иногда называют

антивирусными детекторами.

Сигнатурой вируса называется уникальная последовательность кода,

специфическая для данного конкретного вируса и однозначно его идентифицирующая. Сигнатура может быть сплошной или разреженной. В

случае разреженной сигнатуры между уникальными постоянными для данного вируса байтами кода могут находиться другие байты, нехарактерные

для этого вируса. Поиск по маске вируса и есть поиск по разреженной сигнатуре. Таким образом, маской вируса называется специфическая для

данного конкретного вируса разреженная сигнатура, по которой ведется

выявление вируса.

Так как программы-детекторы выявляют вирусы путем поиска характерных для вирусов участков кода (сигнатур), которые записаны в

антивирусной базе программы, то известные вирусы обнаруживаются надежно, хотя процесс сканирования может занимать значительное время.

Полиморфные вирусы могут не содержать ни одного постоянного участка кода и простым сигнатурным поиском не могут быть выявлены.

Обнаружение полиморфик-вирусов требует использования специальных

методик, наиболее известной из которых является эмуляция процессора,

«заставляющая» вирус выполнить расшифровку его тела, после чего вирус

может быть обнаружен с помощью сигнатурного поиска.

Для выявления новых, ранее не наблюдавшихся видов и разновидностей вредоносных программ, сигнатуры которых отсутствуют в

антивирусной базе, сканеры могут использовать алгоритмы эвристического

анализа.

Эвристический анализ в антивирусных программах − анализ объектов

с целью выявления в них последовательностей команд, возможно присущих

вредоносной программе. Решение эвристического анализатора носит вероятностный характер, возможен и пропуск вредоносного кода, и «ложная тревога», причем стремление повысить вероятность обнаружения вредоносных программ неизбежно приводит к увеличению ошибочного детектирования несуществующего в действительности вредоносного кода. Несмотря на возможные ошибочные решения, эвристический анализ позволяет существенно повысить эффективность работы антивирусного сканера как по обнаружению новых видов вирусов, так и полиморфик-вирусов и вирус генераторов. Полиморфик-вирусы, которые не имеют постоянных сигнатур, эвристический анализатор может выявить по присущим им характерным алгоритмам. Вирус-генераторы, представляющие собой специализированные библиотеки, позволяющие конструировать вирусы с изменяющейся сигнатурой, могут детектироваться по вызовам внешних процедур.

Антивирусные сканеры являются наиболее универсальными и весьма

эффективными антивирусными программами. Как правило, антивирусные сканеры способны не только обнаруживать вредоносные программы, но и лечить зараженные объекты, хотя, конечно, лечение возможно не во всех случаях. Для надежного выявления новых вирусов и других вредоносных программ необходимо выполнять регулярное пополнение антивирусной базы

сканера. Недостатком антивирусных сканеров является низкое быстродействие, обусловленное временными затратами, необходимыми на

просмотр антивирусных баз.

CRC-сканер − антивирусная программа-ревизор, осуществляющая выявление вирусов по изменению ранее подсчитанных и запомненных CRC-

сумм (контрольных сумм) файлов и системных секторов, а также других параметров файлов, которыми могут являться размер файла, дата и время создания или модификации и т. п.). При обнаружении несоответствий программа-ревизор выдает сообщение пользователю, который анализируя это сообщение, должен принять решение, чем обусловлены выявленные изменения − наличием вируса или другими причинами.

Достоинством CRC-сканеров является способность выявлять даже трудно детектируемые стелс-вирусы. Недостатком CRC-сканеров является неспособность обнаруживать вирусы в новых или восстанавливаемых из

резервных копий файлах, в сообщениях электронной почты, а также в момент внедрения вируса в компьютер. Также CRC-сканеры не могут выявлять вирусы, которые запрограммированы заражать только вновь создаваемые файлы.

Антивирусный монитор – резидентная антивирусная программа, выявляющая вредоносные программы по характерным для них действиям. К

действиям, которые перехватывает антивирусный монитор (еще называемый

антивирусом-фильтром), относятся вызовы на открытие для записи в выполняемые файлы, запись в загрузочные секторы дисков, попытки

программ остаться в памяти резидентно и другие действия, специфичные для

размножающихся и активирующихся вирусов [7]. Достоинством антивирусных мониторов является способность выявлять вирусы, в том числе прежде неизвестные, на ранней стадии размножения, недостатком –

множество возможностей нейтрализации монитора и большое число ложных

срабатываний. Антивирусные мониторы используются крайне редко, причем

обычно в составе аппаратных компонентов компьютеров, например, как антивирусная защита BIOS.

Иммунизатор − антивирусная программа, блокирующая заражение определенным типом вируса путем модификации файлов, придающей им признаки заражения. Это обеспечивает защиту, но только от определенного

вируса, так как вирус сочтет, что эти файлы уже инфицированы им ранее.

Существует разновидность иммунизаторов, которые записываются в конец

файла и при запуске файла проверяют его на изменение, что позволяет выявлять вирусное заражение файла. Антивирусы-иммунизаторы не способны выявлять стелс-вирусы, а защиту могут обеспечить лишь от немногих типов вирусов, что обусловливает их крайне низкую эффективность

Проверка файлов с помощью разных антивирусных программ позволяет повысить надежность обнаружения вредоносных программ, но как правило, на одном компьютере может быть установлена только одна мощная антивирусная программа, в противном случае возможно нарушение работы

системы вследствие конфликта антивирусных программ. В то же время часто

возможна установка и одновременная корректная работа в одной системе

антивирусной, антитроянской и антишпионской программ, а также межсетевого экрана. Повышение надежности обнаружения вредоносных

программ возможно путем выполнения проверки подозрительных файлов на

разных компьютерах с установленными на них разными антивирусными программами. Такая мера может способствовать не только более эффективному детектированию вредоносных программ, но и уменьшению

вероятности ошибочного решения о наличии вредоносной программы, когда

в действительности ее нет. К числу хорошо зарекомендовавших себя антивирусных программ относятся Антивирус Касперского Personal Pro,

Kaspersky Intrnet Security и другие разработки Лаборатории Касперского

(www.kaspersky.ru), антивирусная программа DrWeb Игоря Данилова (www.drweb.ru), антивирусные программы корпораций Symantec (www.symantec.com), McAfee (www.mcafee.com), Panda (www.pandasoftware.com).