При обнаружении вирусов и вредоносных по

Здесь мы рассмотрим применяемые на сегодня методы обнаружения вирусов и других вредоносных программ:

сканирование;
эвристический анализ;
обнаружение изменений;
анализ сетевого трафика;
анализ баз данных почтовых программ;
обнаружение вирусов в системе автоматизации документооборота;
вакцинирование

Современные антивирусные программы реализуют многие из перечисленных выше методов. Далее мы расскажем об этих методах подробнее.

Сканирование

Исторически первые антивирусные программы использовали для обнаружения компьютерных вирусов метод сканирования.

При сканировании антивирусная программа просматривает содержимое файлов, расположенных на дисках компьютера, а также содержимое оперативной памяти компьютера с целью поиска вирусов.

При этом классическое сканирование предполагает поиск вредоносных программ по их сигнатурам, т.е. по последовательностям байтов данных, характерных для данных вирусов.

Метод сканирования позволяет обнаружить такие вредоносные программы, которые не используют для противодействия антивирусным программам шифрование своего программного кода, а также полиморфизм.

Метод сканирования не позволяет обнаружить полиморфные и шифрованные вирусы

Заметим, что антивирусные программы не в состоянии сканировать зашифрованные архивы и документы, если ей не известен пароль или ключ для расшифровки данных. Перед поиском вредоносных программ в таких архивах или документах пользователь должен их расшифровать.

Аналогично, сканер антивирусной программы не сможет получить доступ к файлам, хранящимся на шифрованных виртуальных дисках PGPDisk и аналогичных, если ей не известен пароль или ключ для расшифровки данных.

Метод сканирования не позволяет искать вирусы и другие вредоносные программы в зашифрованных файлах и архивах, а также на зашифрованных дисках

Перед сканированием таких дисков пользователь должен сам ввести всю необходимую парольную информацию.

Эвристический анализ

Как мы отметили выше, обычное сканирование не позволяет обнаруживать полиморфные и шифрующиеся вирусы. Кроме того, этот метод бессилен перед вредоносными программами, сигнатуры которых отсутствуют в базе данных антивируса, т.е. с новыми вирусами.

Сканирование не позволяет обнаружить полиморфные и шифрующиеся вирусы

Для устранения этого недостатка разработчики антивирусов создали новый метод обнаружения вредоносных программ с названием эвристический анализ.

При использовании этого метода антивирус контролирует все действия, которые может выполнить проверяемая программа. При этом отслеживаются потенциально опасные действия, характерные для вирусов.

Контролируя действия проверяемых программ, эвристический анализатор современных антивирусов способен обнаружить новые, неизвестные вирусы еще до того, как эти вирусы начали действовать.

Тем не менее, эвристический анализ не дает полной гарантии обнаружения любых новых вирусов.

Эвристический анализатор не позволяет гарантированно обнаруживать все новые вирусы. Кроме того, он иногда принимает за вредоносные обычные программы

Эвристический анализ отнимает немало процессорного времени. Поэтому, настраивая антивирусную программу, пользователь может отключить эвристический анализатор.

Учитывая, что без эвристического анализатора антивирусная программа не сможет обнаружить полиморфные и шифрующиеся, а также новые вирусы, такое отключение приведет к снижению надежности антивирусной защиты.

Современные антивирусные программы, работающие в режиме монитора, способны сканировать файлы, к которым выполняет обращение ОС и программы, запускаемые пользователем. Таким образом, сканируются все файлы, к которым происходит обращение.

Обнаружение изменений

Другой метод обнаружения вирусов и вредоносных программ различного типа основан на обнаружении изменений, вызываемых вирусами и вредоносными программами в файлах.

Программы, чья работа основана на обнаружении изменений, называются ревизорами диска.

Ревизоры диска позволяют обнаруживать новые вирусы, после того как они начали действовать

С помощью ревизора диска можно обнаружить любые изменения, сделанные в файлах компьютерными вирусами и другими вредоносными программами, а также пользователями.

Этот факт позволяет использовать ревизоры диска не только для защиты от вредоносных программ, но и для контроля целостности важных файлов и документов.

Заметим, что ревизоры диска малопригодны для обнаружения макрокомандных вирусов в файлах офисных документов, создаваемых такими программами, как Microsoft Word , Microsoft Excel и т.п.

Метод обнаружения изменений малоэффективен для обнаружения макрокомандных вирусов

Это связано с тем, что файлы офисных документов постоянно редактируются, вследствие чего они подвержены очень частым изменениям.

Ревизоры диска могут взаимодействовать с антивирусными программами, выполняющими сканирование и эвристический анализ.

Такая связка может ускорить антивирусную проверку файлов, если ревизор диска будет координировать свои действия с антивирусной программой. При этом ревизор находит изменившиеся файлы, а программа-антивирус выполняет их сканирование и анализ.

Ускорение происходит за счет того, что проверке подвергаются не все, а только изменившиеся файлы.

Анализ сетевого трафика

Следует отметить, что сегодня наибольшую угрозу представляют собой вирусы и другие вредоносные программы, распространяющиеся по каналам электронной почты. Это связано с популярностью электронной почты, которая проникла практически во все сферы деятельности человека.

Наиболее эффективной методикой обнаружения и нейтрализации вредоносных программ, распространяющихся по каналам электронной почты, является анализ трафика электронной почты непосредственно на почтовом сервере.

При этом антивирусные программы проверяют данные, проходящие через почтовый сервер, и удаляют из них вредоносные объекты еще до того, как они попадут на компьютер пользователя.

Антивирусы, работающие на почтовом сервере, сканирую трафик электронной почты, исключая распространение вредоносных программ вместе с почтовыми сообщениями

Для передачи сообщений электронной почты используются протоколы SMTP , POP 3 и IMAP . Специализированные антивирусы, работающие на почтовых серверах, способны анализировать потоки данных, передаваемые с использованием этих протоколов, предотвращая распространение вредоносных программных объектов через электронную почту.

Сканирование трафика электронной почты можно выполнять и на компьютере пользователя, блокируя проникновения вредоносных программных объектов в базы данных почтовых программ

Метод сканирования сетевого трафика может эффективно применяться не только для блокирования прохождения вредоносных программных объектов, но и для обнаружения попыток получения несанкционированного доступа к узлу сети.

При этом сканер, анализируя сетевой трафик, пытается обнаружить действия, характерные для атак на систему разграничения доступом, а также атак на другие критичные системы узла сети.

Анализ баз данных почтовых программ

Обычные антивирусные программы, предназначенные для сканирования файлов, оказываются малоэффективными для обнаружения почтовых вирусов.

Это связано с тем, что сообщения электронной почты хранятся не в виде отдельных файлов, а внутри базы данных сообщений почтовой программы. Поэтому антивирусная программа, не рассчитанная на сканирование содержимого таких баз данных, не сможет обнаружить вредоносные программные объекты внутри сообщений электронной почты.

И хотя можно создать такую антивирусную программу, которая будет способна сканировать содержимое баз данных наиболее популярных почтовых программ, это не решит всех проблем.

Затруднительно создать антивирус, способный сканировать содержимое баз данных любых почтовых программ

Таким образом, более предпочтительным способом борьбы с почтовыми вирусами является сканирование сетевого трафика на почтовом сервере или на компьютере пользователя.

Обнаружение вирусов в системе автоматизации документооборота

Системы автоматизации документооборота, такие как Microsoft Exchange и Lotus Notes , хранят документы и сообщения в базах данных собственного формата. Кроме этого, в таких системах имеется возможность программирования с использованием макрокоманд.

Вредоносные программный код может инфицировать сообщения, хранящиеся в базах данных систем автоматизации документооборота, в том числе с использованием внутреннего языка макрокоманд этих систем.

Обычные антивирусные программы, рассчитанные на проверку файлов, не могут быть использованы для защиты систем автоматизации документооборота, так как они не в состоянии проверять содержимое баз данных таких систем.

Для защиты систем документооборота нельзя использовать обычные антивирусные программы, рассчитанные только на проверку файлов

Однако в настоящее время многие антивирусные компании выпустили специальные версии антивирусных программ, способные проверять базы данных систем документооборота Microsoft Exchange и Lotus Notes . Без их применения защиту сервера системы автоматизации документооборота нельзя считать полной.

Помимо Microsoft Exchange и Lotus Notes существует немало менее известных информационных систем, хранящих документы в базах данных. Эти системы могут создаваться для использования только в отдельных компаниях или для решения каких-либо специфических задач.

Для защиты малораспространенных и уникальных информационных систем от вирусов и других вредоносных программ можно использовать встроенные антивирусы

Вакцинирование

На заре развития антивирусных программ использовался метод защиты от вирусов с названием вакцинирование.

При вакцинировании к защищаемой программе присоединяется специальный модуль контроля, следящий за ее целостностью. Этот модуль проверяет контрольную сумму программы или какие-либо другие ее характеристики.

Вакцинирование — малоэффективный способ защиты, основанный на присоединении к программам специального модуля. Этот модуль контролирует целостность файла программы

Заметим, что метод вакцинирования неэффективен, так как, например, не может защитить компьютер от стелс-вирусов.

Поэтому современные средства антивирусной защиты не применяют вакцинирование.

Итоги

На этом занятии мы рассмотрели все основные методы обнаружения компьютерных вирусов и других вредоносных программ, такие как сканирование, эвристический анализ, обнаружение изменений, анализ сетевого трафика, анализ баз данных почтовых программ и баз данных систем автоматизации документооборота, а также вакцинирование.

Мы отметили, что простейшее сканирование, выполняемое без эвристического анализа, не позволяет добиться высокой эффективности антивирусной защиты.

Метод обнаружения изменений пригоден для контроля целостности файлов, но малоэффективен для обнаружения макрокомандных вирусов.

Что касается почтовых вирусов, то для их обнаружения необходимо анализировать сетевой трафик. Это можно делать как на почтовом сервере, так и на компьютере пользователя.

Защита систем документооборота должна выполняться с применением специализированных или встраиваемых антивирусных средств.

1. Электромагнитная волна (в религиозной терминологии релятивизма - "свет") имеет строго постоянную скорость 300 тыс.км/с, абсурдно не отсчитываемую ни от чего. Реально ЭМ-волны имеют разную скорость в веществе (например,

200 тыс км/с в стекле и

3 млн. км/с в поверхностных слоях металлов, разную скорость в эфире (см. статью "Температура эфира и красные смещения"), разную скорость для разных частот (см. статью "О скорости ЭМ-волн")

2. В релятивизме "свет" есть мифическое явление само по себе, а не физическая волна, являющаяся волнением определенной физической среды. Релятивистский "свет" - это волнение ничего в ничем. У него нет среды-носителя колебаний.

3. В релятивизме возможны манипуляции со временем (замедление), поэтому там нарушаются основополагающие для любой науки принцип причинности и принцип строгой логичности. В релятивизме при скорости света время останавливается (поэтому в нем абсурдно говорить о частоте фотона). В релятивизме возможны такие насилия над разумом, как утверждение о взаимном превышении возраста близнецов, движущихся с субсветовой скоростью, и прочие издевательства над логикой, присущие любой религии.

4. В гравитационном релятивизме (ОТО) вопреки наблюдаемым фактам утверждается об угловом отклонении ЭМ-волн в пустом пространстве под действием гравитации. Однако астрономам известно, что свет от затменных двойных звезд не подвержен такому отклонению, а те "подтверждающие теорию Эйнштейна факты", которые якобы наблюдались А. Эддингтоном в 1919 году в отношении Солнца, являются фальсификацией. Подробнее читайте в FAQ по эфирной физике.

Вредоносное программное обеспечение (malware) заражает компьютеры и мобильные устройства пользователей все более быстрыми темпами. Многие рассматривают вредоносное ПО, вирусы, шпионские и рекламные приложения, червей, троянов как одно и то же. Хотя все эти программы наносят вред, они не одинаковы. Каждая из них ведет себя по-разному.

Угрозы, определяемые методом размножения

При создании антивирусных программ всегда учитывается метод проникновения malware на компьютеры пользователей. С учетом этого вредоносное ПО обычно подпадает под одну из следующих категорий.

Отличительной чертой вируса является то, что он способен копировать себя и распространяться путем присоединения к файлам других, обычно используемых, легитимных программ. Такие связанные файлы будут действовать как транспортный механизм. Например, если вирус присоединится к музыкальному файлу, то всякий раз, при копировании этого файла на диск, карту памяти или USB-накопитель, а также при передаче файла через интернет, вирус будет копироваться и передаваться с ним.

Лучший способ избежать заражения – установить надежную антивирусную
программу и периодически обновлять ее. Большинство антивирусов могут работать в
фоновом режиме, выявляя вирусы в момент их попадания на компьютер
пользователя.

Черви (Worms) – это компьютерные программы, способные к самовоспроизведению. Обычно распространяются через Интернет, чаще всего через электронную почту. Различие между червями и вирусами заключается в методах их работы: вирус присоединяется к другой программе, червь является независимым процессом.

Компьютерные черви используют сеть для отправки копий самих себя на другие ПК. Worms создают фоновый процесс, не зависящий от доступа пользователя к определенному файлу. Они заражают сеть, а не только отдельный компьютер. Такая стратегия является механизмом размножения Worms. Поскольку черви часто используют уязвимость сети, их действие можно частично предотвратить с помощью постоянно включенного брандмауэра.

Электронная почта – основной источник заражения. Заразив один ПК, червь получает доступ к списку адресов электронной почты и рассылает свои копии, распространяясь дальше по сети. Такое вредоносное ПО всегда спрятано в виде вложений e-mail. Поэтому не следует загружать содержимое неизвестных писем, даже если их источник выглядит убедительно.

Троян (Trojan) – вредоносное ПО, попадающее на компьютер под видом полезного приложения. Trojan устанавливается на ПК вместе с нужной программой через мастер установки. Основное различие между вирусами, червями и троянами заключается в том, что трояны не реплицируют себя — они устанавливаются самим пользователем.

Обычно трояны используются для кражи конфиденциальных данных, сбора информации, рассылки спама, создания помех, нарушения общей работоспособности ПК, использования возможностей компьютера в сомнительных целях.

Лучший способ избежать троянов – дважды подумать, прежде чем загружать новое приложение. Особенно тогда, когда система защиты выдает предупреждение об опасности заражения.

Drive-by download – вид вредоносного ПО, автоматически загружаемого на компьютер пользователя при посещении ненадежных веб-сайтов. Drive-by состоит из небольших фрагментов кода, которые часто остаются незамеченными слабыми средствами защиты. После внедрения зараженный код использует уязвимости операционных систем, веб-браузеров и подключаемых к ним модулей, таких как Java, Adobe Reader, Adobe Flash.

Результаты отчетов Microsoft Security Intelligence Report (SIR) подтверждают, что подвиги Drive-by стали главной угрозой веб-безопасности. Чтобы свести к минимуму риск заражения, необходимо установить надежный антивирус с возможностью сканирования html-кода веб-страниц, постоянно обновлять ОС, рабочий веб-браузер, а также избегать посещения незнакомых веб-сайтов, которые могут содержать вредоносный код.

Угрозы, определяемые действием (вредоносной нагрузкой)

Описанные выше вирусы, черви, трояны определяются способом их распространения. Но существуют другие вредоносные программы, которые определяются своим поведением на зараженном компьютере. К этому типу относятся: Spyware, Adware, Scareware, Rootkit, Ransomware. В одних случаях такие программы пытаются воспроизвести себя без вреда для кого-либо, в других случаях способны создать угрозу безопасности.

Шпионское ПО (Spyware) – это любое программное обеспечение, которое собирает конфиденциальную информацию с ПК и отправляет ее удаленным пользователям. Источниками Spyware обычно становятся приложения, загружаемые из интернета.

Spyware предназначены для кражи личных данных, изучения паролей и номеров кредитных карт, отслеживания привычек просмотра. Они могут изменить домашнюю страницу браузера, установить нежелательные или вредоносные файлы из Интернета.

Поскольку шпионские приложения чаше всего предназначены для зарабатывания денег за чужой счет, они обычно не наносят сильного вреда компьютеру. При обнаружении Spyware, можно запустить по очереди приложения MalwareBytes, SuperAntiSpyware и тщательно очистить свой ПК.

Рекламное ПО (Adware) предназначено для отображения рекламы, работает через настройки браузера или сети. Не наносит вред устройствам, но может замедлить их работу. Рекламные программы часто являются основным источником дохода для разработчиков.

Процесс работы Adware может быть реализован путем перенаправления веб-посещений на ненужные страницы. Другой метод заключается в перехвате настроек браузера для добавления ненужных панелей инструментов, изменения поисковой системы по умолчанию, смены адреса домашней страницы.

Scareware – это относительно новый тип атаки, использующий поддельные антивирусные приложения. В лучшем случае такое ПО не предлагает никакой реальной защиты, в худшем – включает активно вредные элементы. После установки Scareware пользователи начинают получать сообщения о заражении их устройств сотнями вирусов с требованиями денег за регистрацию или приобретение новой лицензии для очистки от заражения.

Избегать Scareware становится все труднее, так как методы их распространения становятся все более изощренными. При заражении устройства нужно использовать защиту MalwareBytes и SuperAntiSpyware.

Руткит (Rootkit) – набор программного обеспечения, используемый для получения административного (корневого) доступа к работе ОС с целью ее полного контроля. Создан для защиты других вредоносных приложений на устройстве пользователя. Попадают на компьютер несколькими способами, наиболее популярными из которых являются фишинг, атаки социальной инженерии.

Руткиты глубоко скрываются в операционной системе, чтобы избежать обнаружения.
Могут маскировать запущенные вредоносные программы под обычные, управлять событиями, собирать данные.

Обнаружение Rootkit на компьютере может быть затруднено, так как этот вид вредоносных программ предназначен для ведения работы в фоновом режиме. Удаление руткитов является сложным процессом, часто требует использования специализированных инструментов. Иногда единственным способом избавиться от них является переустановка операционной системы.

Вымогатели (Ransomware) – это программы, шифрующие всю информацию на компьютере, а затем требующие оплату для ее расшифровки. Теоретически, современные антивирусы должны работать с вымогателями так же, как с любыми другими видами вредоносных программ. Однако, поскольку последствия пропуска атаки с использованием Ransomware очень страшны, следует запускать отдельные утилиты защиты.

Под вредоносными программами уголовное законодательство РФ понимает программы, специально созданные для нарушения нормального функционирования компьютерных программ. Под нормальным функционированием понимается выполнение определенных в документации на программу операций.

Программы с потенциально опасными последствиями можно условно разделить на три класса:

1) программы-"вирусы" (термин был применен в 1984 г. Ф. Коэном);
2) программы типа "программный червь" или "троянский конь" и фрагменты программ типа "логический люк". Они обладают возможностью перехвата конфиденциальной информации или извлечения информации из сегментов систем безопасности;
3) программные закладки или разрушающие программные воздействия (РПВ) – обобщенный класс программ, обязательно реализующих хотя бы одну из перечисленных выше функций программы с потенциально опасными последствиями.

Вредоносные (Malware) программы классифицируются на:

1) вирусы и черви;
2) троянские программы;
3) подозрительные упаковщики;
4) вредоносные утилиты.

Вирусы и черви. Подобные вредоносные программы обладают способностью к несанкционированному пользователем саморазмножению в компьютерах или компьютерных сетях, при этом полученные копии также обладают этой возможностью.

Троянские программы созданы для осуществления несанкционированных пользователем действий, направленных на уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей. В отличие от вирусов и червей, представи

тели данной категории не имеют способности создавать свои копии, обладающие возможностью дальнейшего самовоспроизведения. Основным признаком, по которому различают типы троянских программ, являются несанкционированные пользователем действия, которые они производят на зараженном компьютере.

Подозрительные упаковщики. Вредоносные программы часто сжимаются различным способом упаковки, совмещенным с шифрованием файла, для того, чтобы исключить обратную распаковку программы и усложнить анализ поведения проактивными и эвристическими методами. Антивирусом детектируется результат работы подозрительных упаковщиков – упакованные объекты.

Вредоносные утилиты – программы, разработанные для автоматизации создания других вирусов, червей или троянских программ, организации DoS [1] -атак на удаленные серверы, взлома других компьютеров и т.п. В отличие от вирусов, червей и троянских программ, представители данной категории не представляют угрозы непосредственно компьютеру, па котором исполняются. Основным признаком, по которому различают вредоносные утилиты, являются совершаемые ими действия.

RiskWare – к этой категории относятся обычные программы (некоторые из них свободно продаются и широко используются в легальных целях), которые в руках злоумышленника способны причинить вред пользователю (вызвать уничтожение, блокирование, модификацию, копирование информации, нарушить работу компьютерных сетей). Все эти программы нс являются вредоносными сами по себе, однако обладают функционалом, которым могут воспользоваться злоумышленники для причинения вреда пользователям. Выбор, детектировать или нет подобные программы, лежит на пользователе.

PornWare – программы, которые связаны с показом пользователю информации порнографического характера. Они могут быть установлены пользователем на свой компьютер сознательно, и в этом случае они не являются вредоносными.

Те же самые программы могут быть установлены на пользовательский компьютер злоумышленниками – через использование уязвимостей операционной системы и интернет-браузера или при помощи вредоносных троянских программ. Делается это обычно с целью "насильственной" рекламы платных порнографических сайтов и сервисов, на которые пользователь никогда не обратил бы внимания.

Программы борьбы с компьютерными вирусами

Защитить компьютер от вирусов может только сам пользователь. Правильное и своевременное применение антивирусных средств может гарантировать от заражения или обеспечить минимальный ущерб, если заражение произошло.

Антивирусные программы обеспечивают защиту дисков, электронной почты и сетевых протоколов и соединений. Системы защиты должны постоянно отслеживать новые вирусы (антивирусные программы должны регулярно обновляться, чтобы отражать новые вирусные нападения).

Вредоносное программное обеспечение может попадать на компьютер различными путями, и для борьбы с ним на каждом потенциально уязвимом участке используются специализированные программы: антивирусы, брандмауэры, модули защиты от шпионских программ, модули для защиты от спама в почтовых программах и т.п.

В настоящее время заслуженной популярностью пользуются комплексные решения, объединяющие в себе все методы защиты против большинства вредоносных программ. Такого рода комплексы еще называют "сьютами" (от англ. suite – набор, комплект).

К наиболее известным программам отечественного и зарубежного производства для полной защиты компьютера следует отнести: Norton AntiVirus Internet Security, Panda Antivirus Internet Security, Trend Micro Enterprise Protection Strategy, McAfee Active Virus Defense, Sophos Anti-Virus, NOD 32, а также наиболее популярные отечественные средства защиты – полифаг Doctor Web и антивирусный комплекс "Доктор Касперский".