Типология вирусов - Часть 2

На среднем уровне безопасности пользователь получает запрос при каждом открытии документа, содержащего макросы; на низком уровне все макросы, в том числе и макровирусы, подаются на исполнение.
В общем, вставка макросов в документы, передаваемые в электронном виде, — дело малополезное и хлопотное. Опытные пользователи всегда исходят из предположения, что макрос, о котором им ничего не известно, — это макровирус. Даже собственный макрос, использованный при работе над документом, необходимо удалить перед передачей документа в другую инстанцию.
Распространение макровирусов основано на заражении шаблонов, на основе которых готовятся новые документы. В первую очередь опасности подвергается наиболее общий шаблон (для документов Word это шаблон Normal.dot), лежащий в основе всех прочих шаблонов. Соответственно, макросы, встроенные в него, внедряются во все создаваемые документы. В связи с этим шаблон Normal.dot требует особой защиты. В частности, в программе Word 2000 имеется специальная настройка, вызывающая программное сообщение при каждой попытке изменить шаблон Normal.dot, что может служить предупреждением о посторонней активности - возможно, о проявлении макровируса.
Для условной защиты шаблона Normal.dot дайте в программе Word 2000 команду Сервис > Параметры — откроется диалоговое окно настройки программы. Здесь на вкладке Сохранение следует установить флажок Запрос на сохранение шаблона Normal.dot.
Такая защита шаблона условна, потому что многие макровирусы способны изменять настройки программы. В частности, они способны самостоятельно сбрасывать этот флажок, открывая дорогу всем прочим макровирусам. Поэтому надо не только выполнить настройки один раз, но и регулярно их контролировать. Контролю подлежат:
• флажок Запрос на сохранение шаблона Normal.dot на вкладке Сохранение диалогового окна Настройка;
• переключатель Высокая на вкладке Уровень безопасности в диалоговом окне Безопасность;
• наличие доступа к редактору Visual Basic в меню Сервис > Макрос.
Редактор Visual Basic позволяет вручную просмотреть код макровируса, если тот внедрен в текущий документ. Поэтому многие макровирусы отключают эту функцию. Если настройки программы изменились по неизвестной причине или какие-то элементы управления отсутствуют (например, пропал пункт меню Сервис > Макрос > Редактор Visual Basic или иной), это может свидетельствовать о том, что вирус проник в систему и готовит почву для активных действий. Незамедлительно проверьте компьютер с помощью антивирусной программы.
Сетевые и почтовые вирусы. Особую категорию составляют сетевые и почтовые вирусы, средой обитания которых являются компьютерные сети. Теоретически, такие вирусы могут вообще не сохраняться на носителях данных, а пребывать в оперативной памяти или находиться в процессе пересылки с одного компьютера на другой. Большие компьютерные сети работают в режиме постоянной эксплуатации, так что гибель подобного вируса в связи с выключением всех компьютеров, на которых он завелся, маловероятна.
Сетевые вирусы, или сетевые черви, используют уязвимости компьютерных сетей, чтобы передать свой код на другой компьютер и создать на нем новый рабочий процесс, исполняющий червя. Это технически сложная процедура, требующая высокой квалификации автора программы, почему сетевые черви встречаются достаточно редко. Они ориентированы на поражение серверных систем и не опасны для домашних или офисных рабочих станций.
Гораздо менее приятна такая разновидность сетевых вирусов, как почтовые вирусы. Они распространяются вместе с сообщениями электронной почты. Технический прогресс вытеснил из оборота гибкие магнитные диски, с уходом которых активность загрузочных и файловых вирусов снизилась. Их место успешно заняли вирусы почтовые, распространяющиеся через Интернет. Сегодня это один из наиболее распространенных типов компьютерных вирусов. Механизм распространения почтовых вирусов основан на сканировании адресной книги клиентского компьютера и дальнейшей рассылки сообщения от имени жертвы. Фактически, рассылка сообщений (размножение вируса) происходит немедленно после его попадания на компьютер, так что к вредоносным действиям, если такие предусмотрены, вирус также может приступать немедленно.
Существует несколько механизмов распространения вирусов в почтовых сообщениях:
• файловый;
• сценарный;
• на основе HTML.
В первом случае вирус эксплуатирует неосведомленность или беспечность пользователя, во втором — серверные свойства операционной системы клиентского компьютера, а в третьем — ошибки коммуникационных программ, в первую очередь Internet Explorer, Microsoft Outlook или Outlook Express.

3. Механизмы распространения вирусных программ

Файловый механизм распространения. В этом случае почтовое сообщение содержит присоединенный файл, зараженный файловым вирусом. Поражение компьютера происходит при запуске этого файла, который жертва должна выполнить собственноручно. Ее убеждают сделать это методами социальной инженерии. В тексте сообщения автор послания доходчиво объясняет, как важно запустить присоединенный файл, и убедительно рекомендует распространить его среди друзей и знакомых.
Сценарный механизм распространения. Сегодня знающий человек вряд ли запустит неизвестную программу, но почтовых вирусов от этого меньше не стало. Начиная с весны 2000 года активно распространяются сценарные почтовые вирусы, для запуска которых не надо извлекать и запускать исполнимый файл — достаточно просто щелкнуть на значке почтового вложения.
Этот тип вируса оказался невероятно живучим — количество его клонов и разновидностей исчисляется многими сотнями. Технология создания вирусов этого типа исключительно проста, а для самых тупых имеются специальные программы-генераторы. Творцу такого вируса остается только придумать громкое имя. Механизм работы сценарных почтовых вирусов основан на использовании сервера сценариев Windows Scripting Host (WSH) и языка программирования VBScript (не путать с Visual Basic и Visual Basic for Applications) или Script (не путать с JavaScript).
С 1998 г. на каждом компьютере с операционной системой Windows 98/Me по умолчанию работает так называемый сервер сценариев, который позволяет исполнять последовательности команд, записанных в текстовых файлах с расширением имени .VBS, .JS и некоторых других.
В сценарных языках VBScript uJScript нет прямых команд для изменения данных на жестком диске, но, к сожалению, это не значит, что они безопасны. С их помощью можно создать в памяти компьютера экземпляры объектов, для которых у сервера WSH имеются заготовки. Эти объекты уже могут создавать файлы и папки, записывать в них все что угодно, удалять то, что не нравится, контролировать компьютер и локальную сеть, к которой он принадлежит. Злоумышленник пишет текстовый файл, содержащий команды языка VBScript для создания в памяти компьютера вредоносного объекта и управления им. Далее этот файл сохраняется с расширением .VBS и прикладывается к сообщению электронной почты в виде почтового вложения. Чтобы невнимательный пользователь не обратил внимания на расширение имени, название файла записывается по-хитрому, например I love you.TXT.vbs или, например, Anna Kournikova.JPG.vbs. Когда в имени файла присутствует несколько точек, расширением имени считаются символы, расположенные правее последней точки. Не все почтовые клиенты отображают расширение имени, да и пользователи не всегда внимательны. Многие из них приняли вложенный файл I love you.TXTvbs за обычный текст, а файл Anna Kournikova.JPG.vbs за фотографию известной спортсменки, после чего дали команду открыть вложение и тем самым запустили сервер WHS на исполнение враждебного кода.
Со сценарными вирусами борются примерно так же, как с файловыми. Аккуратность и осмотрительность при работе с сообщениями электронной почты, содержащими вложенные файлы, остается важным фактором безопасности. Не следует доверять даже родным и близким - почтовый вирус чаще всего присылает сообщение от имени знакомого, из чьей адресной книги он смог позаимствовать адрес.
Верно решить судьбу поступившего файла в сложных ситуациях помогут антивирусные программы. Можно также полностью отключить сервер сценариев WSH, удалив или переименовав файл C:\Windows\wscript.exe.
Распространение вирусов с использованием HTML. В языке HTML, используемом для описания WeA-страниц, по самому замыслу нет и не может быть команд, способных повредить читателю. Однако сочетание различных средств, по отдельности безобидных, способно привести к весьма неприятным эффектам.
Язык HTML (точнее, особенности его реализации в продуктах компании Microsoft) дал возможность активизировать вирусы, присоединенные к почтовому сообщению, уже при его просмотре, то есть без прямого обращения к вложению. Принцип такой активизации основан на том, что современные сообщения электронной почты могут содержать текст, оформленный средствами HTML, — форматированный текст со вставными объектами (например, музыкой и графикой). При работе в почтовых программах Microsoft Outlook, Outlook Express и других формат сообщения выбирается его автором. В частности, в почтовом клиенте Outlook Express формат исходящих сообщений выбирается на вкладке Отправка сообщений диалогового окна Параметры (Сервис > Параметры). Там же можно и настроить некоторые параметры программы, связанные с пересылкой кода HTML.
При приеме сообщений возможность управления форматом отсутствует. Например, в программах Outlook и Outlook Express нет настройки, которая позволила бы удалить из сообщения коды HTML или вообще отказаться от приема сообщений в таком формате. Если входящее сообщение имеет формат HTML, почтовая программа привлекает для его отображения средства Internet Explorer. В этом и состоит уязвимость.
Используя дефекты программы Internet Explorer, почтовое сообщение может активизировать файл вложения при просмотре сообщения или инициировать запуск вирусного кода при перезагрузке компьютера. В любом случае вирус активизируется без привлечения пользователя.
Бороться с подобными вирусами можно по-разному.
1. Не пользоваться коммуникационными программами компании Microsoft, чтобы исключить специфические уязвимости Outlook Express и Internet Explorer. Это предупредит проникновение на компьютер многих модных вирусов, но такой прием ни в коем случае нельзя считать панацеей — другие программы также небезгрешны и уязвимы.
2. Пользоваться проверенными антивирусными средствами. Они не всегда защитят от вирусов, автоматически запускающихся при просмотре электронных писем, но по крайней мере предупредят об уязвимостях в системе безопасности операционной системы, броузера или почтового клиента и порекомендуют приемы их устранения.
3. Не спешить просматривать полученные сообщения. Сначала просмотрите поступившие заголовки. Если среди сообщений есть подозрительные (из незнакомых источников или со странными темами), не открывайте их, а вместо этого щелкните на заголовке сообщения правой кнопкой мыши и в контекстном меню выберите пункт Удалить.

4. Антивирусные программы и пакеты

Вскоре после появления первых вирусов были созданы противостоящие им антивирусные средства. Компьютерные вирусы непрерывно совершенствуются. То же происходит и с антивирусными средствами. Сегодня защитные функции уже не возлагаются на единичную антивирусную программу. Пакеты антивирусных программ состоят из нескольких компонентов, каждый из которых решает свою задачу.
Термин антивирус носит исторический характер. Как уже упоминалось, антивирусные пакеты предназначены для борьбы со всеми типами враждебных программ. В частности, механизмы объединения двух программ в один исполняемый файл рассматриваются как средство внедрения троянских программ и вызывают реакцию со стороны антивирусных средств.
Сканирующие программы
Сканеры просматривают оперативную память компьютера и носители данных (служебные секторы и файловую структуру) в поисках вирусоподобных объектов. Поиск вирусов основан на сличении фрагментов кода или иных признаков с образцами, характерными для известных вирусов, зарегистрированных в антивирусной базе данных. Современные антивирусные сканеры способны выявить и самошифрующиеся (полиморфные) вирусы.
Кроме розыска вирусов, сканеры выполняют и лечебно-предохранительные функции. Они обычно способны уничтожить вирус и восстановить исходное состояние файла. Файл также можно переименовать, удалить или отправить в карантин - специальную папку, исключающую активизацию вируса. При лечении зараженных файлов сохраняется опасность их необратимого повреждения, поэтому для ценных файлов принято перед лечением создавать в карантинной папке копию.
Если антивирусная программа не поддерживает работу с карантинной папкой, можно организовать карантин своими руками. Для этого достаточно запаковать подозрительный файл каким-либо архиватором и сохранить архив в надежном месте. Вирус, содержащийся в заархивированном файле, работать не может. Хорошие антивирусные сканеры обладают и дополнительными функциями: возможностью запуска с гибкого диска, средствами поиска вирусов в архивах, базах данных и запакованных файлах. Полезны также средства интеграции с Проводником Windows. В последнем случае запустить сканирование можно через контекстное меню. Это удобно, если надо проверить отдельный объект (файл или папку).
Антивирусные мониторы. Мониторами называют средства наблюдения за идущими процессами. Соответственно, антивирусные мониторы — это программы, работающие в фоновом режиме и наблюдающие за файловыми операциями операционной системы (копирование, открытие, запуск и другие). Антивирусный монитор можно считать сканером, работающим в режиме реального времени. Сканер запускается по желанию, например один раз в месяц, а монитор работает всегда. Он включается при загрузке компьютера и следит за всеми операциями.
Между сканерами и мониторами есть большая разница. Цель сканера - обнаружить вирусы, имеющиеся на компьютере. Цель монитора — поймать вирус при попытке проникновения. Например, на компьютере можно установить несколько сканеров разных производителей. В этом случае сильные стороны одного сканера могут компенсировать слабости другого. Устанавливать несколько мониторов не имеет смысла — они выполняют одни и те же операции в одно и то же время и могут только мешать друг другу. Эффективность и устойчивость работы компьютера почти наверняка упадут.
Программы-ревизоры. Ревизоры, или инспекторы, встречаются в самых серьезных версиях антивирусных пакетов, рассчитанных на корпоративного или профессионального потребителя. Основная задача ревизора — контролировать вирусную активность, то есть регистрировать вирусные или вирусоподобные действия. Ревизор способен обнаружить даже неизвестные вирусы, сведения окоторых отсутствуют в антивирусной базе данных.
Программа-ревизор отслеживает изменение файлов, хранящихся на дисках, а также служебных записей диска. При первом запуске создается база данных, в которую записываются размеры и контрольные суммы файлов, а также их атрибуты и некоторые другие данные. Для наиболее важных системных файлов этих данных достаточно, чтобы восстановить файл в случае повреждения. Кроме того, ревизор сохраняет дубликаты служебных разделов дисков (главная загрузочная запись, загрузочные записи дисков, содержимое корневого каталога), чтобы и в случае катастрофы пользователь мог добраться до своих файлов.
При последующих запусках (или в фоновом режиме работы) ревизор проверяет эти данные для зарегистрированных файлов. Десятки и сотни файлов создаются и модифицируются на компьютере ежедневно, что ни в коей мере не говорит о деятельности вирусов. Но некоторые изменения дают основание для подозрений - и о них ревизор сигнализирует. Вот какие изменения считаются подозрительными:
• изменено содержимое файла, а дата создания или последнего изменения файла не изменилась;
• размеры разных файлов изменились одинаково;
• в атрибутах файла появилась некорректная дата или время, что может быть пометкой, сделанной файловым вирусом;
• изменен важный системный файл, внесенный в список файлов, не подлежащих изменению.
Принципы действия программ-ревизоров хорошо известны создателям вирусов. Поэтому нередко вирус начинает работу с того, что пытается обнаружить и заглушить программу-ревизор, чтобы она не могла сообщить о подозрительной деятельности. Поэтому хороший ревизор включает особый модуль, запускаемый с системной дискеты, механически защищенной от записи. Он помогает восстановить разрушенные служебные области жесткого диска и установить источник поражения.
Средства автоматического обновления антивирусных баз. В основе всех программных продуктов антивирусного пакета лежат антивирусные базы данных. Регулярное появление новых вирусов и их разновидностей требует столь же регулярного обновления этих баз. Разработчики антивирусных средств выкладывают дополнения к базам на своих сайтах ежедневно, так как для некоторых почтовых вирусов возникновениеи развитие эпидемии происходит буквально за несколько часов. Но частоту обновления своих баз выбирает пользователь - он может избрать ежедневное, еженедельное, ежемесячное или кумулятивное обновление. В последнем случае базы приводятся в актуальное состояние независимо от даты предыдущего обновления.
Кумулятивное обновление можно выполнять вручную, время от времени (не обязательно регулярно) посещая Web-узел разработчика. Но регулярные обновления целесообразно автоматизировать. Для этого в состав пакета обычно входит специальный модуль, способный автоматически связаться с сайтом поставщика антивирусных баз, принять необходимые файлы и обновить действующую базу.
Комплекты аварийного восстановления. Хорошее антивирусное средство предусматривает возможность того, что его попытаются применить слишком поздно - тогда, когда вирус уже успел начать свою разрушительную деятельность и, возможно, вывести из строя жесткий диск. На такой случай можно создать комплект дисков, с помощью которых можно проверить компьютер на наличие вирусов даже при неработающем жестком диске.
Во многих случаях удается не только установить наличие вируса, но и ликвидировать его последствия, хотя бы самые критичные, препятствующие нормальному запуску.
Учитывая многообразие современных вирусов, одного гибкого диска для этой цели не хватает. Следует подготовить такой комплект и хранить его вместе с системным гибким диском.
Планировщики заданий. Недостаток антивирусной системы состоит в том, что постоянный антивирусный контроль заметно снижает эффективность работы. При нормально организованной работе угроза заражения не столь уж высока, и желательно организовать работу антивирусных средств так, чтобы они не превращались в помеху.
Например, достаточно, если сканер отработает один раз в сутки — утром или вечером. Но, например, мониторы и ревизоры эффективны, только если они работают постоянно, запускаясь вместе с операционной системой. Средства обновления баз данных можно запускать изредка — раз в неделю или в месяц. Организовать запуск нужных программ по приемлемому расписанию позволяют специальные программы, планировщики заданий, цель которых — автоматизация рутинных операций. Настроив планировщик один раз, можно навсегда забыть о компьютерных вирусах и доверить борьбу с ними автоматике и поставщику антивирусных средств.

Список литературы

1. Алексеев В.Е. Вычислительная техника и программирование. – М.: Высшая школа, 1991.
2. Кнут Д. Искусство программирования. – М.: Мир, 1989.
3. Фигурнов В.Э. IBM PC для пользователя. Краткий курс. – М.: Инфра-М, 1999.
4. Симонович С. Вы купили компьютер. – М.: АСТпресс, 2001.
5. Ячиков В.М. Информатика. – М.: Школа-пресс, 1999.
6. PCMagazine.
7. PCUpgrade.
8. GameEXE.
9. Chip.
10. www.ixbt.com
11. www.computerra.ru

(21.0 KiB, 48 downloads)

© Размещение материала на других электронных ресурсах только в сопровождении активной ссылки

Вы можете заказать оригинальную авторскую работу на эту и любую другую тему.

Контрольные работы в Магнитогорске, контрольную работу купить, курсовые работы по праву, купить курсовую работу по праву, курсовые работы в РАНХиГС, курсовые работы по праву в РАНХиГС, дипломные работы по праву в Магнитогорске, дипломы по праву в МИЭП, дипломы и курсовые работы в ВГУ, контрольные работы в СГА, магистерские диссертации по праву в Челгу.

Страниц: 1 2
Здесь вы можете написать комментарий

* Обязательные для заполнения поля
Все отзывы проходят модерацию.
Архив сайта
Навигация
Связаться с нами
Наши контакты

vadimmax1976@mail.ru

+7(908)07-32-118

О сайте

Magref.ru - один из немногих образовательных сайтов рунета, поставивший перед собой цель не только продавать, но делиться информацией. Мы готовы к активному сотрудничеству!