Вредоносные программы

Также существуют черви, которые после успешного  инфицирования памяти сохраняют  код на жёстком диске и принимают  меры для последующего запуска этого  кода (например, путём прописывания соответствующих ключей в реестре Windows). От таких червей можно избавиться только при помощи антивируса или  подобных инструментов. Зачастую инфекционная часть таких червей (эксплойт, шелл-код) содержит небольшую полезную нагрузку, которая загружается в ОЗУ  и может «догрузить» по сети непосредственно  само тело червя в виде отдельного файла. Для этого некоторые черви  могут содержать в инфекционной части простой TFTP-клиент. Загружаемое  таким способом тело червя (обычно отдельный  исполняемый файл) теперь отвечает за дальнейшее сканирование и распространение  уже с инфицированной системы, а  также может содержать более  серьёзную, полноценную полезную нагрузку, целью которой может быть, например, нанесение какого–либо вреда (например, DoS–атаки).

Большинство почтовых червей распространяются как  один файл. Им не нужна отдельная  «инфекционная» часть, так как обычно пользователь–жертва при помощи почтового клиента добровольно  скачивает и запускает червя  целиком.

2.5 Руткиты

Руткит (Rootkit) - программа или набор программ, использующих технологии сокрытия системных объектов (файлов, процессов, драйверов, сервисов, ключей реестра, открытых портов, соединений и пр.) посредством обхода механизмов системы.

Термин  руткит исторически пришел из мира Unix, где под этим термином понимается набор утилит, которые хакер устанавливает  на взломанном им компьютере после  получения первоначального доступа. Это, как правило, хакерский инструментарий (снифферы, сканеры) и троянские программы, замещающие основные утилиты Unix. Руткит позволяет хакеру закрепиться во взломанной системе и скрыть следы  своей деятельности.

В системе Windows под термином руткит принято  считать программу, которая внедряется в систему и перехватывает  системные функции, или производит замену системных библиотек. Перехват и модификация низкоуровневых API функций в первую очередь позволяет  такой программе достаточно качественно  маскировать свое присутствие в  системе, защищая ее от обнаружения  пользователем и антивирусным ПО. Кроме того, многие руткиты могут  маскировать присутствие в системе  любых описанных в его конфигурации процессов, папок и файлов на диске, ключей в реестре. Многие руткиты  устанавливают в систему свои драйверы и сервисы (они естественно  также являются «невидимыми»).

3. Признаки заражения компьютера вирусом

Присутствие вирусов на компьютере обнаружить сложно, потому что они маскируются среди  обычных файлов.

Признаки заражения:

• вывод на экран непредусмотренных сообщений или изображений;
• подача непредусмотренных звуковых сигналов;
• неожиданное открытие и закрытие лотка CD-ROM-устройства;
• произвольный, без вашего участия, запуск на компьютере каких-либо программ;
• при наличии на вашем компьютере межсетевого экрана, появление предупреждений о попытке какой-либо из программ вашего компьютера выйти в интернет, хотя вы это никак не инициировали.

Если  вы замечаете, что с компьютером  происходит подобное то, с большой  степенью вероятности, можно предположить, что компьютер поражен вирусом.

Кроме того, есть некоторые  характерные признаки поражения  вирусом через электронную почту:

• друзья или знакомые говорят вам о сообщениях от вас, которые вы не отправляли;
• в вашем почтовом ящике находится большое количество сообщений без обратного адреса и заголовка.

Следует отметить, что не всегда такие признаки вызываются присутствием вирусов. Иногда они могут быть следствием других причин. Например, в случае с почтой зараженные сообщения могут рассылаться  с вашим обратным адресом, но не с  вашего компьютера.

Есть также косвенные  признаки заражения вашего компьютера:

• частые зависания и сбои в работе компьютера;
• медленная работа компьютера при запуске программ;
• невозможность загрузки операционной системы;
• исчезновение файлов и каталогов или искажение их содержимого;
• частое обращение к жесткому диску (часто мигает лампочка на системном блоке);
• интернет-браузер «зависает» или ведет себя неожиданным образом (например, окно программы невозможно закрыть).

В 90% случаев  наличие косвенных симптомов  вызвано сбоем в аппаратном или  программном обеспечении. Несмотря на то, что подобные симптомы с малой  вероятностью свидетельствуют о  заражении, при их появлении рекомендуется  провести полную проверку компьютера установленной на нем антивирусной программой.

4. Средства антивирусной защиты

Основным средством  защиты информации является резервное  копирование наиболее ценных данных. В случае утраты информации по любой  из вышеперечисленных причин жесткие  диски переформатируются и подготавливают к новой эксплуатации. На “чистый” отформатированный диск устанавливают  все необходимое программное  обеспечение, которое тоже берут  с дистрибутивных носителей. Восстановление компьютера завершается восстановлением  данных, которые берут с резервных  носителей.

При резервировании данных следует также иметь в виду и то, что надо отдельно сохранять  все регистрационные и парольные  данные для доступа к сетевым  службам Интернета. Их не следует  хранить на компьютере.

Создавая план мероприятий  по резервному копированию информации, необходимо учитывать, что резервные  копии должны храниться отдельно от ПК. То есть, например, резервирование информации на отдельном жестком  диске того же компьютера только создает  иллюзию безопасности. Относительно новым и достаточно надежным приемом  хранения ценных, но неконфиденциалных  данных является их хранение в Web-папках на удаленных серверах в Интернете. Есть службы, бесплатно предоставляющие  пространство (до нескольких Мбайт) для  хранения данных пользователя.

Резервные копии конфиденциальных данных сохраняют на внешних носителях, которые хранят в сейфах, желательно в отдельных помещениях. При разработке организационного плана резервного копирования учитывают необходимость  создания не менее двух резервных  копий, сохраняемых в разных местах. Между копиями осуществляют ротацию. Например в течение недели ежедневно копируют данные на носители резервного комплекта А, а через неделю их заменяют комплектом Б, и т.д.

Вспомогательными средствами защиты информации являются антивирусные программы и средства аппаратной защиты. Так, например, простое отключение перемычки на материнской плате  не позволит осуществить стирание перепрограммируемой  микросхемы ПЗУ (флеш-BIOS), независимо от того, кто будет пытаться это сделать: компьютерный вирус, злоумышленник или неосторожный пользователь.

5. Технология и методы защиты от вредоносных программ

Проблему  защиты от вирусов необходимо рассматривать  в общем контексте проблемы защиты информации от несанкционированного доступа  и технологической и эксплуатационной безопасности компьютерных технологий в целом. Основной принцип, который  должен быть положен в основу разработки технологии защиты от вирусов, состоит  в создании многоуровневой распределенной системы защиты.

Для решения  задач антивирусной зашиты должен быть реализован комплекс известных и  хорошо отработанных организационно-технических  мероприятий:

• использование сертифицированного программного обеспечения;
• организация автономного испытательного стенда для проверки на вирусы нового программного обеспечения и данных. Предварительная проверка на автономном стенде нового программного обеспечения и данных позволяет значительно снизить вероятность проникновения в систему вирусов при ошибочных действиях пользователей. Это мероприятие эффективно для систем, обрабатывающих особо ценную информацию. Однако в случае эксплуатации компьютерной сети проверка на стенде входящих данных значительно снижает оперативность обработки информации;
• ограничение пользователей системы на ввод программ и данных с посторонних носителей информации. Отключение пользовательских дисководов для магнитных и оптических носителей информации, которые являются основным каналом проникновения вирусов в систему, позволяет значительно повысить уровень антивирусной зашиты при работе в компьютерной сети.

Для защиты от компьютерных вирусов в настоящее  время используются следующие методы:

Архивирование. Заключается в копировании системных областей магнитных дисков и ежедневном ведении архивов измененных файлов. Архивирование является одним из основных методов защиты от вирусов. Остальные методы защиты дополняют его, но не могут заменить полностью.

Входной контроль. Проверка всех поступающих программ детекторами, а также проверка длин и контрольных сумм, вновь поступающих программ на соответствие значениям, указанным в документации. Большинство известных файловых и бутовых вирусов можно выявить на этапе входного контроля. Для этой цели используется батарея детекторов (несколько последовательно запускаемых программ). Набор детекторов достаточно широк и постоянно пополняется по мере появления новых вирусов. Однако при этом могут быть обнаружены не все вирусы, а только распознаваемые детектором. Следующим элементом входного контроля является контекстный поиск в файлах слов и сообщений, которые могут принадлежать вирусу. Подозрительным является отсутствие в последних 2-3 кб файла текстовых строк - это может быть признаком вируса, который шифрует свое тело.

Рассмотренный контроль может быть выполнен с помощью  специальной программы, которая  работает с базой данных «подозрительных» слов и сообщений и формирует  список файлов для дальнейшего анализа. После проведенного анализа новые программы рекомендуется несколько дней эксплуатировать в карантинном режиме. При этом целесообразно использовать ускорение календаря, т.е. изменять текущую дату при повторных запусках программы. Это позволяет обнаружить вирусы, срабатывающие в определенные дни недели (пятница, 13-е число месяца, воскресенье и т.д.).

Профилактика. Для профилактики заражения необходимо организовать раздельное хранение (на разных магнитных носителях) вновь поступающих и ранее эксплуатировавшихся программ, минимизацию периодов доступности дискет для записи, разделение общих магнитных носителей между конкретными пользователями.

Ревизия. Анализ вновь полученных программ специальными средствами (детекторами), контроль целостности перед считыванием информации, а также периодический контроль состояния системных файлов.

Карантин. Каждая новая программа проверяется на известные типы вирусов в течение определенного промежутка времени. Программы-доктора не только обнаруживают, но и «лечат» зараженные файлы или диски, удаляя из зараженных программ тело вируса. Программы-доктора служат для обнаружения и уничтожения большого количества разнообразных вирусов. Значительное распространение в России получили программы такого типа, как MS Antivirus, Norton Utilites, Avast, Doctor Web и др. Российским лидером в области разработки антивирусных программ является «Лаборатория Касперского». «Лаборатория Касперского» предлагает для обеспечения информационной безопасности: антивирусные программы, программы защиты электронной почты, системы контроля целостности данных и др. Антивирусные программы «Лаборатории Касперского» отслеживают потенциальные источники проникновения компьютерных вирусов, поэтому они используются на PC, серверах, Web-серверах, почтовых серверах, межсетевых экранах. Пользователи программы обеспечиваются круглосуточной технической поддержкой, ежедневными обновлениями антивирусной базы данных.

Кроме «Лаборатории Касперского» на российском рынке есть еще популярная антивирусная программа Dг.Web. В Dг.Web реализован принципиально  иной подход, чем в других антивирусных программах: в программу встроен  модуль эвристического анализатора, который  позволяет обезвреживать не только уже известные и занесенные в базу данных вирусы, но и новые, еще неизвестные вирусы.

Периодически  проводимые специализированными организациями  испытания наиболее популярных антивирусных средств показывают, что они способны обнаруживать до 99,8% известных вирусов.

Сегментация. Предполагает разбиение магнитного диска на ряд логических томов (разделов), часть из которых имеет статус READ_ONLY (только чтение). В данных разделах хранятся выполняемые программы и системные файлы. Базы данных должны храниться в других секторах, отдельно от выполняемых программ. Важным профилактическим средством в борьбе с файловыми вирусами является исключение значительной части загрузочных модулей и сферы их досягаемости. Этот метод называется сегментацией и основан на разделении магнитного диска с помощью специального драйвера, обеспечивающего присвоение отдельным логическим томам атрибута READ_ONLY (только чтение), а также поддерживающего схемы парольного доступа. При этом в защищенные от записи разделы диска помещаются исполняемые программы и системные утилиты, а также системы управления базами данных и трансляторы, т.е. компоненты программного обеспечения, наиболее подтвержденные опасности заражения. В качестве такого драйвера целесообразно использовать программы типа ADVANCED DISK MANAGER (программа для форматирования и подготовки жесткого диска), которые позволяют не только разбить диск на разделы, но и организовать доступ к ним с помощью паролей. Количество используемых логических томов и их размеры зависят от решаемых задач и объема винчестера. Рекомендуется использовать 3-4 логических тома, причем на системном диске, с которого выполняется загрузка, следует оставить минимальное количество файлов (системные файлов, командный процессор, а также программы-ловушки).