Разновидности вредоносных программ
Компьютерный вирус - разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные, подконтрольные пользователю, от имени которого была запущена заражённая программа, а также повредить или даже уничтожить операционную систему со всеми файлами в целом.
Неспециалисты к компьютерным вирусам иногда причисляют и другие виды вредоносных программ, такие как трояны, программы-шпионы и даже спам. (Спам (англ. spam) - рассылка коммерческой, политической и иной рекламы или иного вида сообщений лицам, не выражавшим желания их получать. Легальность массовой рассылки некоторых видов сообщений, для которых не требуется согласие получателей, может быть закреплена в законодательстве страны. Например, это может касаться сообщений о надвигающихся стихийных бедствиях, массовой мобилизации граждан и т.п. В общепринятом значении термин «спам» в русском языке впервые стал употребляться применительно к рассылке электронных писем) Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру, организуя вирусные эпидемии [7].
Вирусы распространяются, внедряя себя в исполняемый код других программ или же заменяя собой другие программы. Какое-то время даже считалось, что, являясь программой, вирус может заразить только программу - какое угодно изменение не-программы является не заражением, а просто повреждением данных. Подразумевалось, что такие копии вируса не получат управления, будучи информацией, не используемой процессором в качестве инструкций. Так, например неформатированный текст не мог бы быть переносчиком вируса.
Однако позднее злоумышленники добились, что вирусным поведением может обладать не только исполняемый код, содержащий машинный код процессора. Были написаны вирусы на языке пакетных файлов. Потом появились макровирусы, внедряющиеся через макросы в документы таких программ, как Microsoft Word и Excel.
Некоторое время спустя взломщики создали вирусы, использующие уязвимости в популярном программном обеспечении (например, Adobe Photoshop, Internet Explorer, Outlook), в общем случае обрабатывающем обычные данные. Вирусы стали распространяться посредством внедрения в последовательности данных (например, картинки, тексты, и т.д.) специального кода, использующего уязвимости программного обеспечения.
Троянская программа (также - троян, троянец, троянский конь, трой) - вредоносная программа, проникающая на компьютер под видом безвредной - кодека, скринсейвера, хакерского ПО и т.д.
«Троянские кони» не имеют собственного механизма распространения, и этим отличаются от вирусов, которые распространяются, прикрепляя себя к безобидному ПО или документам, и «червей», которые копируют себя по сети. Впрочем, троянская программа может нести вирусное тело - тогда запустивший троянца превращается в очаг «заразы».
Троянские программы крайне просты в написании: простейшие из них состоят из нескольких десятков строк кода на Visual Basic или C++.
Название «троянская программа» происходит от названия «троянский конь» - деревянный конь, по легенде, подаренный древними греками жителям Трои, внутри которого прятались воины, впоследствии открывшие завоевателям ворота города. Такое название, прежде всего, отражает скрытность и потенциальное коварство истинных замыслов разработчика программы.
Троянская программа, будучи запущенной на компьютере, может:
1. мешать работе пользователя (в шутку, по ошибке или для достижения каких-либо других целей);
2. шпионить за пользователем;
. использовать ресурсы компьютера для какой-либо незаконной (а иногда и наносящей прямой ущерб) деятельности и т.д.
Маскировка троянской программы. Для того, чтобы спровоцировать пользователя запустить троянца, файл программы (его название, иконку программы) называют служебным именем, маскируют под другую программу (например, установки другой программы), файл другого типа или просто дают привлекательное для запуска название, иконку и т.п. Злоумышленник может перекомпилировать существующую программу, добавив к её исходному коду вредоносный, а потом выдавать за оригинал или подменять его.
Чтобы успешно выполнять эти функции, троянец может в той или иной степени имитировать (или даже полноценно заменять) задачу или файл данных, под которые она маскируется (программа установки, прикладная программа, игра, прикладной документ, картинка). Схожие вредоносные и маскировочные функции также используются компьютерными вирусами, но в отличие от них, троянские программы не умеют распространяться самостоятельно.
Троянские программы помещаются злоумышленником на открытые ресурсы (файл-серверы, открытые для записи накопители самого компьютера), носители информации или присылаются с помощью служб обмена сообщениями (например, электронной почтой) из расчета на их запуск на конкретном, входящем в определенный круг или произвольном «целевом» компьютере.
Иногда использование троянов является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы (в том числе, третьи).
Методы удаления. Трояны обладают множеством видов и форм, поэтому не существует абсолютно надёжной защиты от них.
Для обнаружения и удаления троянов необходимо использовать антивирусные программы. Если антивирус сообщает, что при обнаружении трояна он не может удалить его, то можно попробовать выполнить загрузку ОС с альтернативного источника и повторить проверку антивирусом. Если троян обнаружен в системе, то его можно также удалить вручную (рекомендуется «безопасный режим»).
Чрезвычайно важно для обнаружения троянов и другого вредоносного ПО, регулярно обновлять антивирусную базу данных установленного на компьютере антивируса, так как ежедневно появляется множество новых вредоносных программ [8].
Сетевой червь - разновидность самовоспроизводящихся компьютерных программ, распространяющихся в локальных и глобальных компьютерных сетях. Червь является самостоятельной программой.
Одни из первых экспериментов по использованию компьютерных червей в распределённых вычислениях были проведены в исследовательском центре Xerox в Пало Альто Джоном Шочем (John Shoch) и Йоном Хуппом (Jon Hupp) в 1978. Термин возник под влиянием научно-фантастических романов Дэвида Герролда «Когда ХАРЛИ исполнился год» и Джона Браннера «На ударной волне»
Одним из наиболее известных компьютерных червей является «Червь Морриса», написанный Робертом Моррисом (Robert Morris) младшим, который был в то время студентом Корнельского Университета. Распространение червя началось 2 ноября 1988, после чего червь быстро заразил большое количество компьютеров, подключённых к интернету.
Черви могут использовать различные механизмы («векторы») распространения. Некоторые черви требуют определенного действия пользователя для распространения (например, открытия инфицированного сообщения в клиенте электронной почты). Другие черви могут распространяться автономно, выбирая и атакуя компьютеры в полностью автоматическом режиме. Иногда встречаются черви с целым набором различных векторов распространения, стратегий выбора жертвы, и даже эксплойтов под различные операционные системы.
Часто выделяют так называемые ОЗУ-резидентные черви, которые могут инфицировать работающую программу и находиться в ОЗУ, при этом не затрагивая жёсткие диски. От таких червей можно избавиться перезапуском компьютера (и, соответственно, сбросом ОЗУ). Такие черви состоят в основном из «инфекционной» части: эксплойта (шелл-кода) и небольшой полезной нагрузки (самого тела червя), которая размещается целиком в ОЗУ. Специфика таких червей заключается в том, что они не загружаются через загрузчик как все обычные исполняемые файлы, а значит, могут рассчитывать только на те динамические библиотеки, которые уже были загружены в память другими программами.
Также существуют черви, которые после успешного инфицирования памяти сохраняют код на жёстком диске и принимают меры для последующего запуска этого кода (например, путём прописывания соответствующих ключей в реестре Windows). От таких червей можно избавиться только при помощи антивируса или подобных инструментов. Зачастую инфекционная часть таких червей (эксплойт, шелл-код) содержит небольшую полезную нагрузку, которая загружается в ОЗУ и может «догрузить» по сети непосредственно само тело червя в виде отдельного файла. Для этого некоторые черви могут содержать в инфекционной части простой TFTP-клиент. Загружаемое таким способом тело червя (обычно отдельный исполняемый файл) теперь отвечает за дальнейшее сканирование и распространение уже с инфицированной системы, а также может содержать более серьёзную, полноценную полезную нагрузку, целью которой может быть, например, нанесение какого-либо вреда (например, DoS-атаки).
Большинство почтовых червей распространяются как один файл. Им не нужна отдельная «инфекционная» часть, так как обычно пользователь-жертва при помощи почтового клиента добровольно скачивает и запускает червя целиком.
Анализ антивирусных программ
Евгений Касперский в 1992 году использовал следующую классификацию антивирусов в зависимости от их принципа действия (определяющего функциональность) [9]:
1. Сканеры (устаревший вариант - «полифаги») - определяют наличие вируса по базе сигнатур, хранящей сигнатуры (или их контрольные суммы) вирусов. Их эффективность определяется актуальностью вирусной базы и наличием эвристического анализатора (см.: Эвристическое сканирование).
2. Ревизоры (класс, близкий к IDS) - запоминают состояние файловой системы, что делает в дальнейшем возможным анализ изменений.
. Сторожа (мониторы) - отслеживают потенциально опасные операции, выдавая пользователю соответствующий запрос на разрешение / запрещение операции.
. Вакцины - изменяют прививаемый файл таким образом, чтобы вирус, против которого делается прививка, уже считал файл заражённым. В современных (2007 год) условиях, когда количество возможных вирусов измеряется сотнями тысяч, этот подход неприменим.
1. Современные антивирусы сочетают все вышесказанные функции.
2. Антивирусы так же можно разделить на:
. Продукты для домашних пользователей:
. Собственно антивирусы;
. Комбинированные продукты (например, к классическому антивирусу добавлен антиспам, файрвол, антируткит и т.д.);
. Корпоративные продукты:
. Серверные антивирусы;
. Антивирусы на рабочих станциях («endpoint»).
Avast! Home Edition
Вместо простого «серого» окна мы видим оригинальный пластичный интерфейс темно-синего цвета. Для запуска достаточно выбрать, что именно требуется проверить - локальные, сменные диски или отдельные директории, - и нажать кнопку «Start». Можно также определить качество проверки (Quick, Standard или Thorough) и необходимость включения в нее архивов. Предусмотрен, естественно, и резидентный монитор, перехватывающий вирусы на лету.
AVG Anti-Virus
Антивирус обладает наличием всех необходимых функций для защиты компьютера от вирусов. Антивирус включает в себя следующие компоненты: сканер, монитор, сканер электронной почты, систему автоматического обновления антивирусной базы через Интернет. Программа может как находить, так и лечить заражённые вирусами файлы. Для безопасного хранения и лечения заражённых файлов в этой антивирусной программе реализована функция Вирусного хранилища, в котором и происходят все операции с зараженными вирусами файлами. Этот антивирус умеет совместно работать с файрволлами сторонних производителей (поддерживается работа с Kerio Personal, Zone Alarm Pro и файерволлом, встроенным в Windows XP), что позволяет надёжно защитить компьютер от различных интернет-угроз и вирусных атак.
AVIRA Antivirus for Windows Desktop
Лёгкий в использовании антивирус. Обнаруживает почтовые вирусы, троянов, шпионов, червей, двойное расширение файлов и т.д. Есть автоматическое обновление баз и мониторинг в реальном времени. Планировщик и эвристический анализ.
Dr. Web
Хороший отечественный антивирус с высокой степенью «подозрительности». Отличается высокой скоростью. Возможности: - полная проверка всей системной памяти Windows; - автоматическое обновление через Интернет; - резидентный антивирусный контроль файлов (сторож SpIDer); - интеллектуальная технология контроля вирусной активности SpIDer-Netting. Как и Антивирус Касперского «висит в памяти», сканируя на вирусы все файлы. По сравнению с Антивирус Касперского более быстрый, но может пропускать вирусы если вы не будете скачивать обновления антивирусной базы. Реализована проверка почтовых файлов, кодированных программами UENCODE и MIME, и проверка альтернативных потоков данных (ADS) для файловой системы NTFS.
Dr. Web CureIT
Бесплатный аналог известного антивирусного пакета Dr. Web с несколько урезанной функциональностью.
Eset NOD32
NOD32 представляет полностью интегрированный комплекс программных средств, характеризующихся высочайшим уровнем обнаружения, скоростью сканирования и феноменально низкой нагрузкой на системные ресурсы, что отмечено многими престижными международными наградами.
Kaspersky Antivirus
Пакет антивирусных инструментов Лаборатории Касперского. В состав включены программа-резидент, сканер диска, ScriptChecker, набор баз данных по вирусам. Многочисленные настройки по времени автоматического запуска программы сканирования на вирусы, по типам файлов для сканирования. Мощные эвристические алгоритмы поиска. Kaspersky Anti-Virus Monitor - программа, постоянно находящаяся в оперативной памяти компьютера и отслеживающая все в ней происходящее. Kaspersky Anti-Virus Scanner - модуль для качественного сканирования содержимого дисков вашего компьютера с возможностью настройки глубины, приоритета и массы других параметров проверки. Kaspersky Anti-Virus Updater - программа обновления вирусных баз, которые используются другими модулями для обнаружения зараженных объектов. Kaspersky Anti-Virus Control Centre - управляющая оболочка Антивируса Касперского, выступающая в роли интеллектуального планировщика. Kaspersky Anti-Virus Mail Checker - программа, предназначенная для обеспечения антивирусной защиты пользователей, применяющих для работы с электронной почтой программу Microsoft Outlook. Kaspersky Anti-Virus Rescue Disk - компонент пакета Антивирус Касперского, предназначенный для создания комплекта дисков аварийного восстановления. Kaspersky Anti-Virus Script Checker - сервис для защиты от скрипт-вирусов, которые могут содержаться в письмах и на web-страницах. Антивирус Касперского обнаруживает вирусы в архивированных и упакованных файлах более 700 форматов, а также лечит файлы форматов ZIP, ARJ, CAB и RAR [10].
Kaspersky Worm Removal Tool
Бесплатная утилита для нейтрализации наиболее распространенных вирусов-червей. В случае обнаружения вируса Kaspersky Worm Removal Tool, удаляет его и восстанавливает поврежденные записи в реестре. При запуске программы из командной строки есть возможность ключами настроить параметры сканирования. Можно проверить, как локальные, так и сетевые диски.
Norton AntiVirus
Norton AntiVirus является одной из лучших антивирусных программ на мировом рынке. Автоматически удаляет вирусы, интернет-червей и троянские компоненты, не создавая помех работе пользователя. Есть функция Norton Internet Worm Protection (Защита от интернет-червей) позволяет блокировать ряд наиболее сложных и опасных червей (например, Blaster и Sasser) до того, как они проникнут в компьютерную систему. Кроме того, Norton AntiVirus в состоянии обнаруживать «шпионские» модули и другие угрозы, не являющиеся вирусными по своей природе.