Антивирусные программные комплексы

Антивирусные программные комплексы

Программы-вакцины. Антивирусные вакцины (иммунизаторы) подразделяются на два типа: сообщающие о заражении и блокирующие заражение каким-либо типом вируса. Первые обычно записываются в конец файлов (по принципу файлового вируса), и при запуске файла каждый раз проверяют его на предмет обнаружения изменений. Недостаток у таких вакцин один, но он летален: абсолютная неспособность вакцины сообщить о заражении СТЕЛСвирусом. Поэтому такие иммунизаторы, как и мониторы, в настоящее время практически не используются.

Второй тип вакцин защищает систему от поражения вирусом какого-то определенного вида. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженными. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске зараженной программы, вирус распознает вакцину как свою резидентскую копию и не активизируется. Такой тип вакцинации не может быть универсальным, поскольку при его помощи нельзя иммунизировать файлы от всех известных вирусов.

Однако несмотря на это подобные программные средства в качестве полумеры могут вполне надежно защитить компьютер от нового неизвестного вируса вплоть до того момента, когда он будет детектироваться антивирусными сканерами.

Антивирусные программные комплексы. В современных условиях лишь они могут обеспечить надежную защиту от вирусных программ, отличающихся большим разнообразием принципов построения и функционирования. Обычно современные антивирусные программные комплексы включают в свой состав монитор, сканер, ревизор и планировщик.

Планировщик используется для координации работы разных компонентов антивирусного пакета и планирования антивирусных мероприятий в вычислительной системе.

Вакцина вследствие своей естественной ограниченности использования низкой универсальности в настоящее время практически не применяется.

Программы-ревизоры и программы-мониторы

Программы-ревизоры и программы-мониторы

Программы-ревизоры. Они подсчитывают контрольные суммы для присутствующих на диске файлов и системных секторов. Эти суммы сохраняются в базе данных антивируса вместе с некоторой другой информацией: размерами файлов, датами их последней модификации и т. п. При последующем запуске ревизоры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, ревизоры сигнализируют о том, что файл был изменен или заражен вирусом.

Ревизоры, использующие антиСТЕЛС алгоритмы, являются довольно сильным оружием против вирусов: практически 100% вирусов оказываются обнаруженными почти сразу после их появления в компьютере. Существенным недостатком таких средств борьбы с вирусами является то, что программы-ревизоры распознают наличие вируса в системе уже после его распространения. Кроме того, они не распознают вирусы в новых, только что полученных или записанных файлах, поскольку в их базах данных отсутствует информация об этих файлах. Периодически появляются вирусы, которые используют эту слабость ревизоров, заражая только вновь создаваемые файлы. Такие вирусы остаются невидимыми.

Программы-мониторы. Антивирусные мониторы — это резидентные программы, перехватывающие вирусоопасные ситуации и сообщающие об их возникновении. К вирусоопасным относятся вызовы на открытие для записи в выполняемых файлах, запись в загрузочные секторы дисков, попытки программ остаться резидентно. Иначе говоря, вызовы генерируются вирусами в моменты их размножения.

К достоинствам программ-мониторов относится их способность обнаруживать и блокировать вирус на самой ранней стадии его размножения, что бывает очень полезно в случаях, когда давно известный вирус постоянно «выползает неизвестно откуда». К недостаткам относятся существование путей обхода защиты монитора и большое количество ложных срабатываний. Существуют аппаратные реализации некоторых функций мониторов, в том числе встроенные в BIOS. Однако, как и в случае с программными мониторами, такую защиту легко обойти прямой записью в порты контроллера диска, а запуск DOS утилиты FDISK немедленно вызывает ложное срабатывание защиты.

Программы-фаги

Программы-фаги

К настоящему времени разработана довольно широкая и полная система программных средств борьбы с вирусами. Это программы-фаги (сканеры), программы-ревизоры, программы-мониторы, программы-вакцины (иммунизаторы).

Самыми популярными и эффективными антивирусными программами считаются антивирусные фаги (иначе эти программы называются сканерами или полифагами) и ревизоры (CRC сканеры). Часто обе приведенные разновидности объединяются в одну универсальную антивирусную программу, что значительно повышает ее мощность. Реже используют различного типа мониторы (блокировщики) и вакцины (иммунизаторы). Следует, однако, иметь в виду, что, в принципе, нельзя создать универсальное и абсолютно надежное средство борьбы со всеми существующими и будущими вирусами.

Программы-фаги. Принцип работы антивирусных программ-фагов (сканеров) основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются маски или, как их еще называют, сигнатуры — некоторая постоянная последовательность кода, специфичная для конкретного вируса. Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы. Например, перебор всех возможных вариантов кода вирусов. Этот способ эффективно используется для детектирования полиморфных вирусов.


style="display:block; text-align:center;"
data-ad-layout="in-article"
data-ad-format="fluid"
data-ad-client="ca-pub-6007240224880862"
data-ad-slot="8925203109">

Во многих полифагах используются алгоритмы эвристического сканирования, т.е. анализ последовательности команд в проверяемом объекте, набор некоторой статистики и принятие мягкого решения («возможно, заражен» или «не заражен») для каждого проверяемого объекта.

К достоинствам сканеров относится их универсальность, к недостаткам — низкая скорость сканирования, а также необходимость постоянного обновления антивирусных баз.

Принцип работы типичного алгоритма сканирования сводится к следующему. После загрузки с дискеты, на которой операционная система гарантированно свободна от вируса, программа проверяет дерево каталогов диска, логическое имя которого указывается в виде параметра при запуске.

При нахождении *.ехе или *.сот модуля проверяется его длина. Если длина модуля больше 4 Кбайт, в теле программы ищется сигнатура вируса по соответствующему смещению. Если вирус найден, восстанавливаются скрытые в теле вируса байты начала модуля, после чего длина файла уменьшается на длину вируса и вирус удаляется из зараженного модуля. После этого восстанавливаются исходные время и дата создания файла.

Использование СТЕЛС технологии в вирусных программах

Использование СТЕЛС технологии в вирусных программах

СТЕЛС вирусы обладают способностью скрывать свое присутствие в системе. Известны СТЕЛС вирусы всех типов за исключением Windows вирусов: загрузочные вирусы, файловые DOS вирусы и даже макровирусы.

Загрузочные СТЕЛС вирусы для скрытия своего кода используют два основных способа. Первый способ заключается в том, что вирус перехватывает команды чтения зараженного сектора (INT 13h) и подставляет вместо него незаряженный оригинал. Этот способ делает вирус невидимым для любой программы, включая антивирусы, не способные лечить оперативную память компьютера. Возможен перехват команд чтения секторов на уровне более низком, чем INT 13h.

Второй способ направлен против антивирусов, поддерживающих команды прямого чтения секторов через порты контроллера диска. Такие вирусы при запуске любой программы (включая антивирус) восстанавливают зараженные сектора, а после окончания ее работы снова заражают диск. Поскольку для этого вирусу приходится перехватывать запуск и окончание работы программ, то он должен перехватывать также DOS прерывание INT 21h.

С некоторыми оговорками СТЕЛС вирусами можно назвать вирусы, которые вносят минимальные изменения в заражаемый сектор (например, при заражении MBR правят только активный адрес загрузочного сектора — изменению подлежат только 3 байт) либо маскируются под код стандартного загрузчика.

Большинство файловых СТЕЛС вирусов либо перехватывают DOS вызовы обращения к файлам (INT 2lh), либо временно лечат файл при его открытии и заражают при закрытии. Существуют файловые вирусы, использующие для своих СТЕЛС функций перехват прерываний более низкого уровня — вызовы драйверов DOS, INT 25h и даже INT 13h.

Некоторые вирусы используют часть функции полноценного СТЕЛС вируса. Чаще всего они перехватывают функции DOS FindFirst и FindNext (INT 21h, AH llh, 12h, 4Eh, 4Fh) и уменьшают размер зараженных файлов. Такой вирус невозможно идентифицировать по изменению размеров файлов, если, конечно, он резидентно находится в памяти. Программы, которые не обращаются к увязанным функциям DOS (например, утилиты Norton), а напрямую используют содержимое секторов, хранящих каталог, показывают правильную длину зараженных файлов.

Реализация СТЕЛС алгоритмов в макровирусах является, наверное, наиболее простой задачей — достаточно всего лишь запретить вызов меню File/Templates или Tools/NMacro. Достигается это либо удалением этих пунктов меню из списка, либо их заменой на макросы FileTemplates и ToolsMacro.

Частично СТЕЛС вирусами можно назвать небольшую группу макровирусов, которые хранят свой основной код не в самом макросе, а в других областях документа: в его переменных или в Autotext.

Полиморфные вирусы

Полиморфные вирусы

Полиморфные вирусы. Обнаружение этих вирусов невозможно (или крайне затруднительно) осуществить при помощи так называемых вирусных масок — участков постоянного кода, специфичных для конкретного вируса.

Достигается это двумя основными способами: шифрованием основного кода вируса с непостоянным ключом и случайным набором команд расшифровщика или изменением самого выполняемого кода вируса. Существуют также другие, достаточно экзотические примеры полиморфизма: DOS вирус Bomber, например, не зашифрован, однако последовательность команд, которая передает управление коду вируса, является полностью полиморфной. Полиморфизм различной степени сложности встречается в вирусах всех типов: от загрузочных и файловых DOS вирусов до Windows вирусов и даже макровирусов. Сложность кода служит классификационным признаком полиморфных вирусов.

В настоящее время целью вирусных программ наряду с нанесением максимального ущерба стало получение и контроль доступа к информации (воровство паролей, создание люков в системе защиты вычислительных сетей, получение привилегированного доступа к данным и т.п.). Эти угрозы особенно актуальны для систем, работающих в локальных и глобальных сетях. При этом собственно вирусы занимают менее половины от передаваемых по почтовым каналам вредных и деструктивных данных. Другая половина — это различные программы для несанкционированного доступа (например, троянские программы и Internet черви).

Макровирусы

Макровирусы

Макровирусы. Большинство макровирусов можно считать резидентными, поскольку они присутствуют в области системных макросов в течение всего времени работы редактора.

Они, так же как резидентные, загрузочные и файловые вирусы, перехватывают системные события и используют их для своего размножения. К подобным событиям относятся различные системные вызовы, возникающие при работе с документами Word и таблицами Excel (открытие, закрытие, создание, печать и т.д.), вызов пункта меню, нажатие какой-либо клавиши или достижение определенного момента времени. Для перехвата событий макровирусы переопределяют один или несколько системных макросов или функций.

При заражении некоторые макровирусы проверяют наличие своей копии в заражаемом объекте и повторно себя не копируют. Другие макровирусы не делают этого и переписывают свой код при каждом заражении. Если при этом в заражаемом файле или области системных макросов уже определен макрос, имя которого совпадает с макросом вируса, то такой макрос оказывается уничтоженным.

По данным Международной ассоциации компьютерной безопасности (w. icsa.net), доля представителей этого класса в общем числе вирусов, циркулирующих по вычислительным системам и сетям, составляет 2/3, а по данным лаборатории Касперского, эта величина составляет порядка 55 %. Причин тому несколько.

Во-первых, это широкое распространение объектов их поражения, т.е. офисных приложений. Сегодня практически нет таких людей, которые бы не использовали в своей повседневной работе текстовый процессор, электронные таблицы, систему обработки базы данных или мастер презентаций. Во-вторых, очень низкий уровень встроенной антивирусной защиты перечисленных приложений. В-третьих, простота создания макровирусов. Для того чтобы написать вирус например, для MS Word, достаточно изучить азы языка программирования VBA.

Будучи самым простым и доступным среди всех остальных языков, он предоставляет создателям вирусов все необходимые возможности для того, чтобы уничтожить важную информацию и надолго вывести компьютер из строя. В-четвертых, наиболее популярные офисные приложения (в первую очередь из пакета MS Office), как правило, интегрированы с почтовыми программами (например MS Outlook).

Это обстоятельство определяет доступ макровирусов к электронной почте — наиболее удобному и быстрому способу распространения. Поэтому макровирусы имеют неограниченные возможности для молниеносного поражения миллионов компьютеров по всему миру.

Страница 4 из 7« Первая...23456...Последняя »
Яндекс.Метрика