Программы-детекторы нежелательного ПО

БИЛЕТ №9

Специализированное программное обеспечение для защиты программ и данных.
Компьютерные вирусы и антивирусные программы.

Основной материал

Специализированное программное обеспечение для защиты программ и данных

Для обеспечения безопасности информации при персональной работе применяют несколько видов программного обеспечения.

Антивирусные программы.

Средства выявления и устранения вредоносного программного обеспечения.

Брандмауэры.

Программы, определяющие политику взаимодействия с внешними сетями и контролирующие ее исполнение.

3. Средства разграничения доступа к информациина основе некоторых специальных данных (учетных записей пользователей, паролей на доступ к информации, ключей шифрования).

Компьютерные вирусы

Компьютерные вирусы– это программы или фрагменты программного кода, которые, попав на компьютер, могут вопреки воле пользователявыполнять различные операции на этом компьютере:

- создавать или удалять объекты,

- модифицировать файлы данных или программные файлы,

- осуществлять действия по собственному распространению по локальным вычислительным сетям или по сети Интернет.

Заражение–модификация программных файлов, файлов данных или загрузочных секторов дисков таким образом, что последние сами становятся носителями вирусного кода и, в свою очередь, могут осуществлять вышеперечисленные операции.

Антивирусные программы

Программы-сканеры (полифаги)

Эти программы после запуска анализируют файлы на диске на предмет обнаружения программного кода вирусных программ. При их обнаружении полифаги принимают меры к удалению вредоносного кода, его блокированию или удалению всей вредоносной программы.

Программы-мониторы

Проверяют файлы, запускаемые, открываемые или модифицируемые во время работы системы.

Программы-фильтры

Эти программы проверяют поток данных, принимаемых системой по определенному протоколу (электронной почты, web-страниц и пр.) Позволяют защитить компьютер от получения вредоносных программ из сети.

Программы-детекторы нежелательного ПО

Со многими свободно распространяемыми программами или свободно доступными web-страницами связаны формально не вредоносные программы, которые, тем не менее, могут затруднять работу пользователя, использовать его компьютер для нежелательных операций или разглашать личные данные пользователей. Значительная часть таких программ выявляется антивирусами-полифагами, но иногда это не программы, а настройки уже имеющегося ПО. В таких ситуациях антивирусы бесполезны. Выявляют такие настройки и устраняют их программы-детекторы.

Все эти программы не могут полноценно противостоять распространяющимся с помощью уязвимостей в сетевом программном обеспечении вирусам-червям.

Для защиты от таких программ необходимо

- своевременно обновлять уже установленное ПО (обновлениями, выпущенными производителями),

- применять программы контроля работы с сетями – брандмауэры.

Брандмауэр

Брандмауэр(firewall), межсетевой экран – это средство, выполняющее фильтрацию входящей и исходящей информации на основе некоторой системы правил.

В современных персональных брандмауэрах (т. е. защищающих отдельную машину) предусматривается большой набор функций:

- контроль за тем, какие программы и компоненты пытаются осуществить доступ в Интернет,

- контроль за содержимым получаемых сообщений,

- фиксация попыток нанесения вреда путем некоторых широко известных атак,

- удаление рекламных сообщений и другие.

В случае фиксации какой-либо не предусмотренной в правилах попытки соединения брандмауэр может ее отклонить или предложить пользователю создать правило для последующей обработки.

Современные персональные брандмауэры имеют в своем составе также средства обнаружения атак – программные комплексы, выявляющие попытки найти или использовать какую-то уязвимость или реализовать угрозу. В этом случае брандмауэр может предпринять действия по предупреждению нанесения вреда.

Брандмауэры, защищающие индивидуальных пользователей и небольшие домашние сети, реализуются в двух видах:

• аппаратные средства, имеющие в своем составе средства защиты;

• программные брандмауэры, устанавливаемые на ПК.

При работе с сетью Интернет весьма вероятными считаются угрозы перехвата и несанкционированного изменения информации при передаче.

Средством борьбы с этими угрозами является применение различных систем шифрования.

Существующие методы шифрования делятся на методы с закрытым ключом (симметричные) и с открытым ключом (асимметричные).

Первые системы применяются для передачи данных между двумя абонентами, обменявшимися некоторой секретной информацией – ключом. Тогда перехват сообщения не дает злоумышленнику возможности достаточно быстро проанализировать или изменить информацию, поскольку у него этого ключа нет.

В тех случаях, когда нет возможности обменяться ключами, или необходимо обеспечить неотрекаемость (т. е. свойство сообщения однозначно указывать на то, кто его сформировал), применяется шифрование с открытым ключом.

В этом случае для шифрования сообщения применяется пара ключей, один из которых известен всем участникам (открытый), а другой – только одному отправителю (закрытый).

Такое сообщение можно раскрыть с помощью одного ключа, что позволяет всем убедиться в том, кто отправитель сообщения, а при необходимости направить сообщение, которое сможет прочесть только тот, кому оно предназначено.

Это позволяет создать систему цифровых сертификатов – своеобразных «удостоверений», передаваемых вместе с сообщением. Сертификат включает в себя необходимую информацию об отправителе (название организации, имя, адрес узла и т. п.) и электронную подпись, т. е. контрольную сумму, зашифрованную общим удостоверяющим центром.

Расшифровать контрольную сумму могут все, а вот подготовить – только сам центр. Если узел-получатель доверяет удостоверяющему центру (удостоверений может быть целая цепочка), то сообщение (web-страница, например) считается заслуживающей доверия.

Такая система позволяет организовать зашифрованный канал обмена информацией двум «незнакомым» абонентам, удостоверив их и организовав обмен ключами для симметричного шифрования.

Дополнительный материал

Макровирусы

Макровирусы используют возможности макроязыков, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.).

Макровирусы активны не только в момент открытия/закрытия файла, но до тех пор, пока активен сам редактор.

Word/Excel-вирусы

При работе с документом текстовый редактор Word (либо Excel) выполняет различные действия – открывает документ, сохраняет, печатает, закрывает и т.д.

Характерными проявлениями вирусов семейства Macro.Word являются следующие.

1. Невозможность конвертирования зараженного документа Word в другой формат.

2. Невозможность записи документа командой "Save As".

3. Зараженные файлы имеют формат Template. При заражении вирусы WinWord конвертируют файлы из формата Word Document в Template.

Java-вирусы

Написаны на языке программирования Java и являются стандартными Java-программами. Заражают приложения Java (Java applications). Размножаются, если зараженный файл запустить как дисковую Java-программу при помощи Java-машины.

Первый известный вирус, заражающий приложения Java, обнаружен в августе 1998 года.

Обычно эти вирусы не способны размножаться при запуске под известными броузерами (при стандартных настройках). Встроенные в броузеры системы защиты не позволяют вирусу получить доступ к файлам.

Скрипт-вирусы

Скрипт-вирусы являются скрипт-программами на PHP. Они заражают файлы с расширением .php (иногда и .htm). Записываются в начало или в конец файлов (иногда записывают только ссылку на свой код).

Файловые черви

Файловые черви (worms) являются, в некотором смысле, разновидностью компаньон-вирусов, но при этом никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Существуют вирусы-черви, использующие довольно необычные приемы, например, записывающие свои копии в архивы (ARJ, ZIP и прочие). Некоторые вирусы записывают команду запуска зараженного файла в BAT-файлы.

Не следует путать файловые вирусы-черви с сетевыми червями. Первые используют только файловые функции какой-либо операционной системы, вторые же при своем размножении пользуются сетевыми протоколами.

Вирусы – «черви» (worms), или Сетевые вирусы

Вирусы, которые распространяются в компьютерной сети и не изменяют файлы или секторы дисков. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).

К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла.

Обстановку в современной сети Интернет иначе как «криминогенной» назвать нельзя. Постоянные вирусные и троянские атаки терроризируют практически всех пользователей интернета – домашних пользователей, небольшие и средние компании, глобальные корпорации и государственные структуры. Причина подобной криминализации сети – это корыстный интерес. Извлечение нелегальной прибыли путем создания и распространения вредоносных программ – это:

- воровство частной и корпоративной банковской информации (получение доступа к банковским счетам персональных пользователей и организаций);

- воровство номеров кредитных карт;

- распределенные сетевые атаки (DDoS-атаки) с последующим требованием денежного выкупа за прекращение атаки (современный компьютерный вариант обычного рэкета);

- создание сетей троянских прокси-серверов для рассылки спама (и коммерческое использование этих сетей);

- создание зомби-сетей для многофункционального использования;

- создание программ, скачивающих и устанавливающих системы показа нежелательной рекламы;

- внедрение в компьютеры троянских программ, постоянно звонящих на платные (и весьма дорогие) телефонные номера.

Вопросы

1. Загрузочные или файловые вирусы загружают системные файлы?

2. Как избежать заражения компьютера компьютерным вирусом?