46419 (Современные угрозы и каналы утечки информации в компьютерных сетях), страница 6

Март 1998: “AccessiV” - первый вирус для Microsoft Access. Причиной шумихи, как это было с вирусами “Word.Concept» и «Excel.Laroux», он не стал, поскольку все уже привыкли к тому, что приложения MS Office падают одно за другим.

Март 1998: Макро-вирус «Cross» - первый вирус, заражающий два различных приложения MS Office: Access и Word. Следом за ним появились еще несколько макро-вирусов, переносящих свой код из одного Office-проложения в другое.

Май 1998: вирус «RedTeam». Заражает EXE-файлы Windows, рассылает зараженные файлы при помощи электронной почты Eudora.

Июнь: эпидемия вируса «Win95.CIH», ставшая сначала массовой, затем глобальной, а затем повальной - сообщения о заражении компьютерных сетей и домашних персональных компьютеров исчислялись сотнями, если не тысячами. Начало эпидемии зарегистрировано на Тайване, где неизвестный хакер заслал зараженные файлы в местные Интернет - конференции. Оттуда вирус пробрался в США, где по недосмотру зараженными оказались сразу несколько популярных Web-серверов - они распространяли зараженные вирусом игровые программы. Скорее всего, именно эти зараженные файлы на игровых серверах и послужили причиной повальной эпидемии вируса, не ослабевавшей в течении всего года. По результатам рейтингов «популярности» вирус «подвинул» таких вирусных суперзвезд, как «Word.CAP» и «Excel.Laroux». Следует обратить внимание также на опасное проявление вируса: в зависимости от текущей даты вирус стирал Flash BIOS, что в некоторых случаях могло привести к необходимости замены материнской платы.

Август 1998: появление нашумевшего «BackOrifice» («Backdoor.BO») - утилиты скрытого (хакерского) администрирования удаленных компьютеров и сетей. Следом за «BackOrifice» появились несколько других аналогичных программ: «NetBus», «Phase» и прочие.

Также в августе появился первый вирус, заражающий выполняемые модули Java – «Java.StangeBrew». Данный вирус не представлял какой - либо опасности для пользователей Интернет, поскольку на удаленном компьтере невозможно использовать необходимые для размножения функции. Однако он проиллюстрировал тот факт, что атакованы вирусами также могут быть и приложения, активно используемые при просмотре Web-серверов.

Ноябрь 1998: «VBScript.Rabbit» – интернетэкспансия компьютерных паразитов продолжилась тремя вирусами, заражающими скрипты VisualBasic (VBS-файлы), которые активно применяются при написании Web-страниц. Как логическое следствие VBScript-вирусов стало появление полноценного HTML-вируса («HTML.Internal»). Становится достаточно очевидным, что усилия вирусописателей начинают концентрироваться вокруг сетевых приложений, и дело идет к появлению полноценного сетевого вируса-червя, использующего возможности MS Windows, Office и заражающего удаленные компьютеры, Web-сервера и/или активно распространяющегося по электронной почте.

Произошли также заметные перестановки в антивирусном мире. В мае 1998 компании Symantec и IBM объявили об объединении своих усилий на антивирусном фронте: совместный продукт при этом распространяется фирмой Symantec под той же маркой Norton Anti-Virus, а IBM Anti-Virus (IBMAV) прекращает свое существование. На это моментально отреагировали основные конкуренты: Dr.Solomon и NAI (ранее - McAfee) тут же выпустили пресс-релизы с предложениями о льготном опдейте бывших пользователей IBMAV своими собственными антивирусами.

Не прошло и месяца, как прекратил свое существование и сам Dr.Solomon. Он был куплен компанией NAI (McAfee) за 640 миллионов долларов путем обмена акций. Данное событие вызвало шок в антивирусном мире: конфликт между двумя крупнейшими игроками антивирусного бизнеса закончился куплей/продажей, в результате которой с рынка исчез один из наиболее заметных и технологически сильных производителей антивирусного программного обеспечения.

4.8 Вирусописание как психологический феномен

Говорят, что компьютерные вирусы – это первый удачный эксперимент по созданию искусственной жизни с неудачным выбором формы ее жизнедеятельности.

Специфика этой формы жизни состоит в том, что вирусы выступают в роли арены борьбы одной части человечества с другой (программистов – вирусописателей и создателей антивирусов), причем именно эта борьба приводит к эволюции данной формы жизни. Аналогом с обычными формами вирусов и бактерий предостаточно. Ученые придумывают противоядия для борьбы с тем или иным штаммом, а микроорганизмы, в свою очередь, приспосабливаются, эволюционируют, становясь в определенном смысле более совершенными. Примерно то же происходит и с компьютерными вредоносными программами.

Вероятно, многие задумывались над вопросом, какие же качества человеческой психики приводят к такому парадоксальному феномену, как вирусописание? С точки зрения формальной логики это явление объяснить довольно сложно. Вирусописатели не получают за свой труд денег, преследуются по закон, сами страдают от вирусных атак и тем не менее продолжают свою деятельность. Более того, на «содержании» вирусописателей находятся десятки компаний, которые успешно продают антивирусные программы, имеют и признание и деньги. И тем не менее в стан программистов, занятых созданием антивирусов, не перебегают все те, кто профессионально занимается созданием вирусов, а ведь они подчас обладают очень высокой квалификацией.

Весьма точное объяснение данного парадокса заключается в гениальном высказывании, которое принадлежит перу Ларошфуко: « самая чистая форма радости – это злорадство». Действительно, какая «прибыль» от того, что у соседа «повис» компьютер? Никакой. А если это произошло с тысячей компьютеров?

Желание разрушить великое творение рук человеческих и тем самым как бы возвыситься над его создателем известно со времен Герострата. Видимо, перспектива вывода из строя такого чуда разума, как компьютерная система, и дает современным геростратам надежду на то, что они войдут в историю.Выбор не случаен.

Вирусописателей можно разделить на три категории: первые пишут вирусы и пытаются их внедрить в компьютерные системы собственными силами.

Вторая категория – это те, кто создает конструкторы для написания вирусов. Сами по себе авторы подобных разработок не запускают вредоносных программ, однако рассчитывают на то, что сделают это чужими руками.

Третья категория – исследователи – вообще не стремятся к распространению вирусов, ими движут чисто научные вопросы, например «какие существуют принципиально новые методы внедрения вирусов в новые операционные системы» и т.п. Но, как говориться, то, что придумано светлыми головами, нередко попадает в нечистые руки.

Интересно отметить, что причины многих вирусных эпидемий кроются не только в действиях вирусописателей, но и в психологии вирусополучателей. Известно, что почтовые вирусы должны заставить получателя открыть приложение от неизвестного посланника, что в принципе не так просто сделать, особенно сейчас, когда всем отлично известно, насколько это опасно. И здесь авторы вирусов (тонкие психологи) используют слабые места человеческой натуры. Так, любопытство переопределило успех вируса, в котором все искали фото Курниковой, чувство одиночества и дефицит любви проложили путь вирусу «I love you», жадность заставляет читать незнакомые письма, если там написано, что вы должны оплатить счет за сервис, которым вы никогда не пользовались, и т.д.

Воистину, человек интересное создание, мотивация его поступков нетривиальна. Остается только удивляться его способности разрушать природу, которая обеспечивает его жизнь, и желанию разрушать компьютерные системы, от которых зависит его безопасность.

Однако на проблему можно посмотреть и с другой стороны. Результатом борьбы с вирусами является эволюция не только вирусов, но и систем безопасности. Вирусы находятся находят все новые и новые «дыры» в этих системах и тем самым становятся стимулом для их совершенствования.

5 АНТИВИРУСЫ

Наиболее распространенным средством нейтрализации вирусов являются программные антивирусы. Антивирусы появились более десяти лет назад, в первое время они распространялись как бесплатное противоядие. Не было должной поддержки сервиса, поскольку проекты были не коммерческие. Как индустрия служба создания и предоставления антивирусных программ оформилась примерно в 1992 году.

Антивирусы, исходя из реализованного в них подхода к выявлению и нейтрализации вирусов, принято делит на следующие группы: детекторы, фаги, вакцины, прививки, ревизоры, мониторы.

5.1 Детекторы

Детекторы обеспечивают выявление вирусов посредством просмотра исполняемых файлов и поиска так называемых – сигнатур – устойчивых последовательностей байтов, имеющихся в телах известных вирусов. Наличие сигнатуры в каком-либо файле свидетельствует о его заражении соответствующим вирусом. Антивирус, обеспечивающий возможность поиска различных сигнатур, называют полидетектором.

5.2 Фаги

Фаги выполняют функции, свойственные детекторам, но, кроме того, «излечивают» инфицированные программы посредством «выкусывания» («пожирания») вирусов из их тел. По аналогии с полидетекторами фаги, ориентированные на нейтрализацию различных вирусов, именуют полифагами.

5.3 Вакцины

В отличие от детекторов и фагов, вакцины по своему принципу действия напоминают сами вирусы. Вакцина имплантируется в защищаемую программу и запоминает ряд количественных и структурных характеристик последней.

Если вакцинированная программа не была к моменту вакцинации инфицированной, то при первом же после заражения запуске произойдет следующее.

Активизация вирусоносителя приведет к получению управления вирусом, который, выполнив свои целевые функции, передаст управление вакцинированной программе.

В последней, в свою очередь, сначала управление получит вакцина, которая выполнит проверку соответствия заполненных ею характеристик аналогичным характеристикам, полученным в текущий момент. Если указанные наборы характеристик не совпадают, то делается вывод об изменении текста вакцинированной программы вирусом. Характеристиками, используемыми вакцинами, могут быть длина программ, ее контрольная сумма и т.п.

5.4 Прививки

Принцип действия прививок основан на учете того обстоятельства, что любой вирус, как правило, помечает инфицированные программы каким-либо признаком с тем, чтобы не выполнять их повторное заражение. В ином случае имело бы место многократное инфицирование, сопровождаемое существенным и поэтому легко обнаруживаемым увеличением объема зараженных программ.

Прививка, не внося никаких других изменений в текст защищаемой программы, помечает ее тем же признаком, что и вирус, который, таким образом, после активизации и проверки наличия указанного признака считает ее инфицированной и «оставляет в покое».

5.5 Ревизоры

Ревизоры обеспечивают слежение за состоянием файловой системы, используя для этого подход, аналогичный реализованному в вакцинах. Программа-ревизор в процессе своего функционирования выполняет применительно к каждому исполняющему файлу сравнение его текущих характеристик с аналогичными характеристиками, полученными в ходе предшествующего просмотра файлов.

Если при этом обнаруживается, что согласно имеющейся системной информации файл с момента предшествующего просмотра не обновлялся пользователем, а сравниваемые наборы характеристик не совпадают, то файл считается инфицированным.

Характеристики исполняемых файлов, получаемые в ходе очередного просмотра, запоминаются в отдельном файле, в связи с чем увеличение длин исполняемых файлов, имеющего место при вакцинировании, в данном случае не происходит. Другое отличие ревизоров от вакцин состоит в том, что каждый просмотр исполняемых файлов ревизором требует повторного запуска.

5.6 Монитор

Монитор представляет собой резидентную программу, обеспечивающую перехват потенциально опасных прерываний, характерных для вирусов, и запрашивающую у пользователей подтверждение на выполнение операций, следующих за прерыванием. В случае запрета или отсутствия подтверждения монитор блокирует выполнение пользовательской программы.

Антивирусы рассмотренных типов существенно повышают вирусозащитность отдельных ПЭВМ и информационно-вычислительных сетей в целом, однако в связи со свойственными им ограничениями, естественно, не являются панацеей. Так, для разработки детекторов, фагов и прививок нужно иметь тексты вирусов, что возможно только для выявленных вирусов.

Вакцины обладают потенциальной способностью защиты программ не только от известных, но и от новых вирусов, однако обнаруживают факт заражения только в тех случаях, если сами были имплантированы в защищаемую программу раньше вируса.

Результативность применения ревизоров зависит от частоты их запуска, которая не может быть выше 1-2 раз в день в связи со значительными затратами времени на просмотр файлов.

Мониторы контролируют процесс функционирования пользовательских программ постоянно, однако характеризуются чрезмерной интенсивностью ложных срабатываний, которые развивают у оператора «рефлекс подтверждения» и тем самым по существу минимизируют эффект от такого контроля.

Анализ современных антивирусных программ показывает, что в последнее время наметилось явно выраженная тенденция к интеграции различных видов программ в единое программное средство с функциями детектора – ревизора - доктора, что делает это средство удобным для пользователя. Однако приходится констатировать, что в настоящее время абсолютной защиты от неизвестных вирусов не существует, поэтому антивирусные программы постоянно обновляются, как правило не реже одного раза в месяц.

5.7 Классификация антивирусов по способу воздействия на вирусы

Все антивирусы можно разделить на два больших класса: чистые антивирусы и антивирусы двойного назначения.