Информационная безопасность. Компьютерные вирусы

Основной механизм заражения такой: когда мы открываем зараженный документ Word, макровирус копирует свой код в область глобальных макросов документа. А при выходе из Word’а глобальные макросы (включая макросы вируса) автоматически записываются в dot-файл глобальных макросов .

Затем вирус переопределяет стандартные  макросы (например, FileOpen, FileSave, FileSaveAs, FilePrint) и с их помощью перехватывает  команды работы с файлами. При  вызове этих команд заражается файл, к  которому идет обращение.

Как обнаружить макровирусы. 
Характерными признаками присутствия макровирусов являются: 


1) Невозможность сохранения зараженного документа Word в другой формат; 
2) Невозможность записи документа в другой каталог или на другой диск командой Сохранить как…; 
3) Невозможность сохранения внесенных изменений в документ ; 
4) Недоступность вкладки «Уровень безопасности» (меню Сервис – Макрос – Безопасность…); 
5) Так как многие вирусы написаны с ошибками (или некорректно работают в различных версиях пакета Microsoft Office), то возможно появление соответствующих системных сообщений с кодом ошибки; 
6) Другие «странности» в поведении документов Word; 
7) Зачастую макровирусы можно обнаружить визуально. Дело в том, что большинство вирусописателей отличаются тщеславием: в свойствах файла Word на вкладке Сводка заполняют поля ввода (Название, Тема, Автор, Категория, Ключевые слова и Комментарий). Эту информацию (как правило, в макровирусах она пишется смесью латиницы с кириллицей и включает – в числе прочего – некоторые бессмысленные слова, типа муниципализмо и т.д.) можно увидеть при наведении указателя мыши на значок файла Word – она появляется во всплывающей подсказке и внизу слева в папке, в окошке Подробно (если включено Использование типичных задач для папок). 

3.6 Резидентные вирусы

     Под термином "резидентность" (DOS'овский термин TSR - Terminate and Stay Resident) понимается способность вирусов оставлять  свои копии в системной памяти, перехватывать некоторые события (например, обращения к файлам или  дискам) и вызывать при этом процедуры  заражения обнаруженных объектов (файлов и секторов). Таким образом, резидентные  вирусы активны не только в момент работы зараженной программы, но и после  того, как программа закончила  свою работу. Резидентные копии таких  вирусов остаются жизнеспособными  вплоть до очередной перезагрузки, даже если на диске уничтожены все  зараженные файлы. Часто от таких  вирусов невозможно избавиться восстановлением  всех копий файлов с дистрибутивных дисков или backup-копий. Резидентная копия  вируса остается активной и заражает вновь создаваемые файлы. То же верно  и для загрузочных вирусов  — форматирование диска при наличии  в памяти резидентного вируса не всегда вылечивает диск, поскольку многие резидентные вирусы заражают диск повторно после того, как он отформатирован. 
 

3.7 Нерезидентные вирусы

     Нерезидентные вирусы, напротив, активны довольно непродолжительное время – только в момент запуска зараженной программы. Для своего распространения они  ищут на диске незараженные файлы  и записываются в них. После того, как код вируса передает управление программе – носителю, влияние  вируса на работу операционной системы  сводится к нулю вплоть до очередного запуска какой-либо зараженной программы. 

Таким образом, нерезидентные вирусы являются опасными только во время выполнения инфицированной программы, когда они  проявляют свои деструктивные возможности  или создают свои копии. Файлы, пораженные такими вирусами, обычно легче поддаются  обнаружению и лечению, чем файлы, содержащие резидентный вирус.

                                                           3.8 Троянская Программа

Троя́нская  программа— программа, используемая злоумышленником для сбора информации, её разрушения или модификации, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях. Действие троянской программы может и не быть в действительности вредоносным, но трояны заслужили свою дурную славу за их использование в инсталляции программ типа Backdoor. По принципу распространения и действия троян не является вирусом, так как не способен распространяться саморазмножением.

Троянская программа  запускается пользователем вручную  или автоматически.Простым примером трояна может являться программа  waterfalls.scr, чей автор утверждает, что это бесплатная экранная заставка. При запуске она загружает скрытые программы, команды и скрипты с или без согласия и ведома пользователя. Троянские программы часто используются для обмана систем защиты, в результате чего система становится уязвимой, позволяя таким образом неавторизированный доступ к компьютеру пользователя.

Троянская программа  может в той или иной степени  имитировать (или даже полноценно заменять) задачу или файл данных, под которые  она маскируется (программа установки, прикладная программа, игра, прикладной документ, картинка). В том числе, злоумышленник может собрать  существующую программу с добавлением  к её исходному коду троянские  компоненты, а потом выдавать за оригинал или подменять его.

Схожие  вредоносные и маскировочные  функции также используются компьютерными вирусами, но в отличие от них, троянские программы не умеют распространяться самостоятельно. Вместе с тем, троянская программа может быть модулем вируса.

Тела троянских  программ почти всегда разработаны  для различных вредоносных целей, но могут быть также безвредными. Они разбиваются на категории, основанные на том, как трояны внедряются в систему  и наносят ей вред. Существует 6 главных  типов:

1. -удалённый доступ;
2. -уничтожение данных;
3. -загрузчик;
4. -сервер
5. -дезактиватор программ безопасности

    -DDoS-атаки.

4. Методы обеспечения  информационной безопасности

     По  убеждению экспертов, задача обеспечения  информационной безопасности должна решаться системно. Это означает, что различные  средства защиты (аппаратные, программные, физические, организационные и т. д.) должны применяться одновременно и под централизованным управлением. При этом компоненты системы должны "знать" о существовании друг друга, взаимодействовать и обеспечивать защиту как от внешних, так и от внутренних угроз.

     Современные антивирусные технологии позволяют  выявить практически все уже  известные вирусные программы через  сравнение кода подозрительного  файла с образцами, хранящимися  в антивирусной базе. Кроме того, разработаны технологии моделирования  поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в  карантин) или удаляться. Защита от вирусов может быть установлена  на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем, на процессорах  различных типов.

     Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют  избежать распространения вирусной эпидемии на другие компьютеры.

     Главным оружием в борьбе с вирусами являются антивирусные программы. Они позволяют  не только обнаружить вирусы, в том  числе вирусы, использующие различные  методы маскировки, но и удалить  их из компьютера. Последняя операция может быть достаточно сложной и  занять некоторое время.

     Существует  несколько основополагающих методов  поиска вирусов, которые применяются  антивирусными программами. Наиболее традиционным методом поиска вирусов  является сканирование.

     Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько  видов антивирусных программ:

     1. программы-детекторы

     2. программы-доктора или фаги

     3. программы-ревизоры (инспектора)

     4. программы-фильтры (мониторы)

     5. программы-вакцины или иммунизаторы

     6. сканер

4.1 Программы-детекторы

     Программы-детекторы  осуществляют поиск характерной  для конкретного вируса сигнатуры  в оперативной памяти и в файлах и при обнаружении выдают соответствующее  сообщение. Недостатком таких антивирусных программ является то, что они могут  находить только те вирусы, которые  известны разработчикам таких программ.

4.2 Программы-доктора

     Программы-доктора  или фаги, а также программы-вакцины  не только находят зараженные вирусами файлы, но и «лечат» их, то есть удаляют  из файла тело программы-вируса, возвращая  файлы в исходное состояние. В  начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая  их, и только затем переходят к  «лечению» файлов. Среди фагов  выделяют полифаги, то есть программы-доктора, предназначенные для поиска и  уничтожения большого количества вирусов.  

4.3 Программы-ревизоры (инспектора)

     Программы-ревизоры (инспектора) относятся к самым  надежным средствам защиты от вирусов.

     Ревизоры (инспектора) проверяют данные на диске  на предмет вирусов-невидимок, изучают, не забрался ли вирус в файлы, нет  ли посторонних в загрузочном  секторе жесткого диска, нет ли несанкционированных  изменений реестра Windows. Причем инспектор  может не пользоваться средствами операционной системы для обращения к дискам (а значит, активный вирус не сможет это обращение перехватить). 

4.4 Программы - фильтры  (мониторы)

     Программы-фильтры (мониторы) или «сторожа» представляют собой небольшие резидентные  программы, предназначенные для  обнаружения подозрительных действий при работе компьютера, характерных  для вирусов. Такими действиями могут  являться:

     1. попытки коррекции файлов с  расширениями COM, EXE

     2. изменение атрибутов файла

     3. прямая запись на диск по  абсолютному адресу

     4. запись в загрузочные сектора  диска

     5. загрузка резидентной программы.

4.5 Вакцины или иммунизаторы

     Вакцины или иммунизаторы - это резидентные  программы, предотвращающие заражение  файлов. Вакцины применяют, если отсутствуют  программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины  имеют ограниченное применение.

4.6 Сканер

     Принцип работы антивирусных сканеров основан  на проверке файлов, секторов и системной  памяти, а также поиске в них  известных и новых (неизвестных  сканеру) вирусов. Для поиска известных  вирусов используются так называемые «маски». Маской вируса является некоторая  постоянная последовательность кода, специфичная для конкретного  вируса. Если вирус не содержит постоянной маски или длина этой маски  недостаточно велика, то используются другие методы. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

                                                                      Заключение

     Зачем надо защищаться? Ответов на этот вопрос может быть великое множество. Все  зависит от конкретного профиля  Вашего рода занятий. Для одних главной  задачей является предотвращение утечки информации к конкурентам. Другие главное  внимание могут уделять целостности  информации. Например, для банка  необходимо обеспечить достоверность  платежных поручений, то есть, чтобы  злоумышленник не мог внести изменения  в платежное поручение. Для третьих  компаний на первое место поднимается  задача безотказной работы информационных систем (например, для провайдеров  Интернет).

     Известны  случаи, когда вирусы блокировали  работу организаций и предприятий. Более того, несколько лет назад  был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека - в одном из госпиталей Нидерландов  пациент получил летальную дозу морфия по той причине, что компьютер  был заражен вирусом и выдавал  неверную информацию.