Особливості захисту інформації та боротьби з комп’ютерними вірусами

Вірус DARK AVENGER (Чорний месник)

Інші назви вірусу: Eddie, Sofia.

Вірус одержав свої назви  по текстовому рядку "Eddie lives ... somewhere in time. This program was written in the sity of Sofia (C) Dark avenger", що міститься у його тілі. Вірус заражає EXE- та COM-файли, є резидентним, його довжина в байтах — 1800. Вірус дуже небезпечний, оскільки на інфікованому комп'ютері файли заражаються не тільки при виконанні, але і під час їх проглядання та копіювання. Він також знищує COM-файли. Періодично знищує інформацію в одному із секторів вінчестера.

Бутові віруси:

Вірус PING PONG (назва не потребує перекладу)

Інші назви вірусу: Italian Bouncing (італійський стрибунець), Ball (м'ячик).

Вірус заражає Boot-сектор дискет і записує своє тіло у вільні (інколи і у зайняті) кластери, помічаючи їх як погані (Bad). Як і всі бутові віруси є резидентним. На ПК, зараженому даним вірусом, час від часу з'являється ромбик (ASCII-код—4), який, переміщуючись по екрану, відбивається від його границь та рамок, утворених символами псевдографіки.

Вірус STONED (Закам'янілий)

Інша назва  вірусу: Marijuana (Маріхуана).

Зовнішнє проявлення — з ймовірністю 1/8 під час завантаження системи на екран видається текст "Your PC is now Stoned", після чого робота нормально продовжується. Цей вірус записується в абсолютний початковий сектор диска, який на вінчестерах містить PARTITIONTABLE. Інколи (наприклад, коли жорсткий диск розбитий на розділи за допомогою відомої системи ADM) це приводить до сумних наслідків, а саме, до втрати доступу до інформації, розташованої на диску. Для візуального розпізнання вірусу на диску може служити палкий заклик: "LEGALISE MARIJUANA!".

Зауважимо, що зараз  існує близько 90 штамів (різновидів) вірусу Stoned, і він досі залишається дуже поширеним.

Нарешті, для  любителів футболу наведемо останній приклад продукту, судячи по всьому, вітчизняного виробництва.

Вірус DINAMO (назва  не потребує перекладу)

Це бутовий  вірус, який при деяких обставинах видає  на екран вічну мрію київських  уболівальників: "Dinamo (Kiev) – champion!!!".

4. Найбільш поширені сучасні комп'ютерні віруси

Вже згадуваний антивірусний дослідний центр SARC фірми Symantec Corporation опублікував наприкінці список 10 найбільш поширених у всьому світі комп'ютерних вірусів. Деякі з них, розповсюджені, зокрема, і в нашій країні, розглянемо більш докладно.

Макро-віруси Word (Word Macro Viruses)

Макро-віруси, що діють у середовищі відомого та широко поширеного у всьому світі текстового процесора Word for Windows версії 6 та вище фірми MicroSoft, використовують макроси мови WordBasic для зараження утворюваних у цьому процесорі документів та шаблонів документів (MS Word documents and templates) — файлів з роширеннями DOC та DOT.

Ці віруси використовують декілька властивостей "оточення" MS Word, для автоматичного виконання інфікованого макро-коду. Зразу, коли інфікований документ відкривається і починає працювати вірус, то, як правило, вірус заражає шаблон документа користувача NORMAL.DOT. Цей шаблон є основою більшості інших документів та шаблонів і саме через нього макро-вірус заражає останні. У своїй роботі віруси використовують стандартні макроси мови WordBasic, такі як AutoOpen, FileSaveAs, AutoExec, System та інші.

На перший погляд здається, що макро-віруси не підкоряються старому правилу: "Віруси заражають  тільки виконувані програми" (зауважимо, що у Boot-секторі також знаходиться деякий код, що виконується під час завантаження системи). Але це не так. Документи, які готуються за допомогою текстового процесора MS Word, мають досить складну структуру, куди крім суто текстових фрагментів включаються малюнки, графіки тощо, а також макроси мови WordBasic. Саме останні компоненти під управлінням системи MS Word можуть використовуватися як компоненти вірусного коду.

Серед макро-вірусів  найбільш поширеними є: Anti-DMV (або MDMADMV), Atom, Boom, Colors (або RainBow), Concept, Concept.FR.B, DMV, FormatC (при деяких умовах форматує диск C:), Friendly, Hot (вперше з'явився в Росії), Imposter, Infezione, Irish, NOP, Nuclear (при друкуванні зараженого файлу-документа виводить повідомлення: "And finally I would like to say: STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC!"), Parasite, Polite, Wazzu, Xenixos.

AntiEXE

Інші назви вірусу: CMOS4, D3, NewBug, New Bug.

Це бутовий вірус, який заражає Boot-сектор гнучкого та Master Boot запис жорсткого дисків. Використовує Stealth-технологію. Як і всі бутові віруси, AntiEXE є резидентним. Шукає деякі EXE-файли та пошкоджує їх.

AntiCMOS

Інші назви вірусу: Lenart.

Це бутовий вірус, який заражає Boot-сектор гнучкого та Master Boot запис жорсткого дисків. Псує інформацію про конфігурацію комп'ютера, що записана в енергонезалежній пам'яті CMOS.

Штамами (різновидами) вказаного  вірусу є віруси AntiCMOS.A та AntiCMOS.B.

One_Half

Інші назви вірусу: Free Love, One_half, One Half.3544

One_Half — це файлово-бутовий, резидентний, поліморфний вірус, який використовує Stealth-технологію. Заражає COM- та EXE-файли, збільшуючи їх довжину на 3544 байт та Master Boot запис жорсткого диска.

Під час холодного перезавантаження системи з інфікованого жорсткого диска One_Half зашифровує два циліндра у кінці жорсткого диска. При кожному наступному перезавантаженні системи кількість зашифрованих циліндрів зростає. Поки вірус знаходиться у пам'яті, інформація, що міститься у цих циліндрах, доступна. Коли вірус зашифрує приблизно половину жорсткого диска, він виводить на екран повідомлення "Dis is one half. Press any key to continue...". Шифрування інформації, що проводить One_Half, значно ускладнює роботу антивірусних програм, яким треба не тільки вилікувати комп'ютер, але і відновити зашифровану інформацію.

One_Half не заражає деякі  антивірусні програми (SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV).

Tchechen

Ці віруси не входять до десятки найбільш поширених у  світі, але на території СНД, мабуть, стоять чи не найпершому місці.

Дуже небезпечні резидентні поліморфні віруси. При старті віруси зчитують 2-й сектор жорсткого диска  і записують у нього слово "МИР" та число 4, яке надалі буде лічильником  стартів інфікованих програм. Потім  намагаються знайти в ROM BIOS текстові рядки Megatrends, AWARD. Якщо цей пошук успішний, то віруси вимикають у CMOS-пам'яті опцію Virus Warning on Boot (контроль запису до Boot-сектору). При досягненні лічильника у 2-у секторі значення 0 віруси замінюють слово "МИР" на непотрібне слово із 3 літер та записують в MBR жорсткого диска "троянський" код. Цей код при завантаженні системи самостійно віддає управління активному Boot-сектору жорсткого диска, але приблизно через місяць після запису даного коду в MBR знищує вміст всього першого жорсткого диска. Після чого планувалося виведення на екран такого тексту (Tchechen.1914 містить помилку в даному виведенні): "POLITICAL PRO$TITUTE$ OF THE WORLD, (UN)ITE! IN REWARD FOR THE SCORCHED EARTH OF TCHECHNYA. ENJOYIN' WAR BY TV YOU'RE GLAD -YOUR ASS IS SO FAR FROM. WAIT, YOU'LL SEE THE REAL BLOOD SOON..RIGHT AT YOUR WINDOW AND YOU WORTH IT!!! The Tchechen, (C) RUSSIAN BEAR."

Tchechen.1914 непрацездатний на процесорі Pentium. [1],[3].

5. Засоби боротьби з комп'ютерними вірусами

Загальні рекомендації

Не можна  дати 100% гарантії від зараження вірусами комп'ютера, на якому ви працюєте. В  той же час виконання наступних  правил принаймні суттєво зменшить ймовірність тяжких наслідків.

Щоб не піддати  комп'ютер зараженню вірусами й забезпечити надійне зберігання інформації на дисках, необхідно дотримуватися таких правила:

- обладнати свій комп'ютер сучасними антивірусними програмами, наприклад NOD32, Doctor Web, Kaspersky Antivirus і постійно оновлювати їх версії;

- перед зчитуванням із дискових накопичувачів чи флеш-накопичувачів інформації, записаній на інших комп'ютерах, завжди перевіряти ці дискети на наявність вірусів, запускаючи антивірусні програми;

- при перенесення  на комп'ютер файлів в архівованому вигляді перевіряти їх відразу після розархівациії на жорсткому диску, обмежуючи область перевірки тільки наново записаними файлами;

- періодично  перевіряти на наявність вірусів  жорсткі диски комп'ютера, запускаючи антивірусні програми для тестування файлів, пам'яті й системних областей дисків із захищеної від записи дискети, попередньо завантаживши операційну систему із захищеної від запису системної дискети;

- завжди захищати дискети від запису під час роботи на інших комп'ютерах, якщо на них буде здійснювати запис інформації;

- обов'язково робити архівні копії на дискетах цінної інформації;

- не залишати  у кишені дисководу диски при вмиканні чи перезавантаженні ОС, щоб запобігти зараженню комп'ютера завантажувальними вірусами;

- використовувати антивірусні програми для вхідного контролю всіх виконуваних файлів, одержуваних із комп'ютерних мереж.

 

РОЗДІЛ ІI. АНТИВІРУСИ ТА ЇХНІ ВЛАСТИВОСТІ

Для виявлення та видалення комп'ютерних вірусів розроблено спеціальні програми, що дозволяють виявляти і знищувати віруси. Такі програми називаються антивірусними. Сучасні антивірусні програми є багатофункціональні продукти, поєднують у собі як превентивні, профілактичні так і засоби лікування вірусів і відновлення даних

2.1. Класифікація антивірусних програм

За своїм  призначенням вони поділяються на детектори, фаги, ревізори, фільтри та вакцини. Розглянемо їх характеристики більш докладно.

Програми-детектори здійснюють пошук характерної для конкретного вірусу сигнатури в оперативній пам'яті і зовнішніх носіях, і при виявленні видають відповідне повідомлення. Розрізняють детектори універсальні й спеціалізовані.

Універсальні  детектори у роботі використовують перевірку незмінності файлів шляхом підрахунку і перевірки еталоном контрольної суми. Недолік універсальних детекторів пов'язані з неможливістю визначення причин спотворення файлів.

Спеціалізовані  детектори виконують пошук відомих вірусів з їхньої сигнатури (повторюванні ділянки коду). Недолік таких детекторів у тому, що вони нездатні виявляти всі відомі віруси.

Детектор, який дозволяє виявити кілька вірусів, називають - полідетектором.

Недоліком таких  антивірусних програм є те, що можуть знаходити тільки ті віруси, які відомі розробникам таких програм.

Програми-доктори (фаги), як знаходять заражені вірусами файли, а й "лікують" їх, тобто. видаляють з файла тіло програми вірусу, повертаючи файли у початковий стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх, і лише після того переходять до "лікуванню" файлів. Серед фагів виділяють поліфаги, тобто програми-доктори, призначені для пошуку і знищення великої кількості вірусів. Найвідоміші з них: Kaspersky Antuvirus, Dr.Web.

З огляду на те, що постійно з'являються нові віруси, програми-детектори і програми-лікарі швидко застарівають, і їм потрібне регулярне оновлення їхніх версій.

Програми-ревізори належать до найнадійніших засобів захисту від вірусів. Ревізори запам'ятовують вихідний стан програм, каталогів і системних областей диска тоді, коли комп'ютер не заражений вірусом, а потім періодично чи за бажанням користувача порівнюють поточний стан із вихідним. Виявлені зміни виводяться на екран відеомонітора. Зазвичай, порівняння станів здійснюють відразу після завантаження ОС. При порівнянні перевіряються довжина файла, код циклічного контролю (контрольна сума файла), дата та час модифікації, інші параметри.

Програми-ревізори мають досить розвинені алгоритми, виявляють стелс-віруси і можуть навіть очистити версії перевірених програм від змін та змін, внесених вірусом. До програм-ревізорів належить програма Kaspersky Monitor

Програми-фільтри(сторожа) являють собою невеличкі резидентні програми, призначені для виявлення  підозрілих дій під час роботи комп'ютера, притаманним вірусам. Такими діями можуть бути:

· спроби корекції файлів з розширеннями СОМ і ЕХЕ;

· зміна атрибутів  файлів;

· прямий запис на диск з абсолютно. адресою;

· запис у завантажувальні сектора диска.

· завантаження резидентної програми.

При спробі будь-якої програми зробити зазначені дії "сторож" посилає користувачеві  повідомлення пропонує заборонити чи дозволити відповідну дію. Програми-фільтри дуже потрібні, оскільки здатні знайти вірус в самій ранній стадії його існування, до розмноження. Але вони не "лікують" файли і диски. Для знищення вірусів потрібно застосувати інші програми, наприклад фаги. До вад програм-"сторожей" можна віднести їх "настирливість" (наприклад, вони постійно видають попередження при будь-якій спробі копіювання виконуваного файла), і навіть можливі конфлікти з іншим програмним забезпеченням.

Вакцини (імунізатори) – це резидентні програми, що запобігають зараженню файлів. Вакцини застосовують, якщо відсутні програми-доктора. Вакцинація можлива тільки для відомих вірусів. Вакцина модифікує програму чи диск в такий спосіб, щоб це не відбивалося на їхній роботі, а вірус сприйматиме їх зараженими і тому не вселиться. Нині програми-вакцини мають обмеження в застосуванні.

Суттєвим недоліком таких програм є часте обмеженння їхнього спроби із запобіганню зараження від значної частини різноманітних вірусів.

2.2. Методики антивірусних програм

Є кілька основних методів пошуку вірусів, що застосовуються антивірусними програмами:

· Сканування

· Эвристичний аналіз

· Виявлення  змін

· Резидентні монітори

Антивірусні програми можуть реалізовувати усі ці вище зазначені вимоги методики, або тільки окремі.

Сканування

Сканування  є найбільш традиційним методом  пошуку вірусів. Воно залежить від пошуку сигнатур, виділених раніше виявлених вірусів. Антивірусні програми-сканери, здатні видалити виявлені віруси, зазвичай їх називаються поліфагами.

Недоліком простих сканерів є часткова їхня нездатність знайти поліморфні віруси, що повністю змінюють свій код. І тому необхідно використовувати складніші алгоритми пошуку, які включають евристичний аналіз перевірених програм.

З іншого боку, сканери можуть побачити вже відомі й попередньо вивчені віруси, котрим було визначено сигнатура. Тому программи-сканери не захистять ваш комп'ютер від проникнення нових вірусів, яких, до речі, з'являється кілька штук щодня. Як наслідок, сканери застарівають вже у час виходу нової версії.