Компьютерные вирусы

Из наиболее приоритетных направлений работ по обеспечению безопасности ИВС необходимо выделить борьбу с компьютерными вирусными программами (КВП). Предшественниками КВП принято считать так называемые "троянские программы", тела которых содержат скрытые последовательности команд, выполняющие действия, наносящие вред пользователям. Троянские программы не являются саморазмножающимися и распространяются по ИВС самими программистами, в частности, посредством общедоступных банков данных и программ.

Принципиальное отличие вируса от троянской программы состоит в том, что вирус после запуска его в ИВС существует самостоятельно и в процессе своего функционирования заражает программы путем включения в них своего текста. Таким образом, вирус представляет собой своеобразный генератор троянских программ. Программы, зараженные вирусом, называются также вирусоносителями.

Зараженные программы, как правило, выполняются таким образом, чтобы вирус получил управление раньше самой программы. Для этого он либо встраивается в начало программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на вирус, текст которого заканчивается аналогичной командой безусловного перехода на команду вирусоносителя, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие-либо другие действия, после чего отдает управление вирусоносителю.

Первичное заражение происходит в процессе поступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как магнитные носители, так и каналы ИВС. Вирусы, использующие для размножения каналы ИВС, принято называть сетевыми.

Цикл жизни вируса обычно включает следующие периоды: внедрения, инкубации, репликации (саморазмножения) и проявления. В течение инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например, необратимую коррекцию информации на магнитных носителях.

По характеру размещения в памяти ПЭВМ принято делить вирусы на файловые нерезидентные и резидентные, загрузочные, гибридные и пакетные.

Файловый нерезидентный вирус целиком размещается в исполняемом файле, в связи с чем он активизируется только в случае активизации вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе.

Файловый резидентный вирус отличается от нерезидентного тем, что заражает не только исполняемые файлы, находящиеся во внешней памяти, но и оперативную память ПЭВМ.

Одной из разновидностей резидентных вирусов являются так называемые "загрузочные вирусы". Отличительной особенностью последних является инфицирование загрузочного сектора магнитного носителя. При этом инфицированными могут быть как загружаемые, так и незагружаемые дискеты. Голова загрузочного вируса всегда находится в загрузочном секторе, а хвост - в любой другой области носителя.

Близость механизмов функционирования загрузочных и файловых резидентных сделала возможным и естественным проявление файлово-загрузочных, или гибридных, вирусов, инфицирующих как файлы, так и загрузочные секторы.

Особенностью пакетного вируса является размещение его головы в пакетном файле. При этом голова представляет собой строку или программу на язык управления заданиями операционной системы.

Сетевые вирусы, называемые также автономными репликаторами, используют для размножения средства сетевых операционных систем ИВС. Наиболее просто реализуется размножение в тех случаях, когда протоколами ИВС предусмотрен обмен программами. Однако размножение возможно и в тех случаях, когда указанные протоколы ориентированы только на обмен сообщениями.

Эффекты, вызываемые вирусами, принято делить на следующие целевые группы: искажение информации в файлах либо таблице размещения файлов; имитация сбоев аппаратных средств; создание звуковых и визуальных эффектов, включая, например, отображение сообщений, вводящих оператора в заблуждение; инициирование ошибок в программах пользователей или операционной системы; имитация сбоев аппаратных средств.

Наиболее распространенным средством нейтрализации вирусов являются программные антивирусы. Антивирусы, исходя из реализованного в них подхода к выявлению и нейтрализации вирусов, принято делить на следующие группы: детекторы, фаги, вакцины, прививки, ревизоры и мониторы.

Детекторы обеспечивают выявление вирусов посредством просмотра исполняемых файлов и поиска так называемых сигнатур устойчивых последовательностей байтов, имеющихся в телах известных вирусов. Наличие сигнатуры в каком-либо файле свидетельствует о его заражении соответствующим вирусом. Антивирус, обеспечивающий возможность поиска различных сигнатур, называют полидетектором.

Фаги выполняют функции, свойственные детекторам, но, кроме того, "извлекают" инфицированные программы посредством "выкусывания" вирусов из их тел. По аналогии с полидетекторами фаги, ориентированные на нейтрализацию различных вирусов, именуют полифагами.

В отличие от детекторов и фагов вакцины по своему принципу действия напоминают сами вирусы. Вакцина имплантируется в защищаемую программу и запоминает ряд количественных и структурных характеристик последней. Если вакцинированная программа не была к моменту вакцинации инфицированной, то при первом же после заражения запуске вакцина выполнит проверку соответствия запомненных ею характеристик аналогичным характеристикам, полученным в текущий момент, и при несовпадении будет сделан вывод об изменении текста вакцинированной программы вирусом.

Принцип действия прививок основан на том, что любой вирус, как правило, помечает инфицируемые программы каким-либо признаком, с тем чтобы потом не заражать их повторно. Прививка, не внося никаких других изменений в текст защищаемой программы, помечает ее тем же признаком, что и вирус, который после активации и проверки наличия указанного признака считает ее инфицированной.

Ревизоры обеспечивают слежение за состоянием файловой системы. Программа-ревизор в процессе своего функционирования выполняет сравнение текущих характеристик каждого исполняемого файла с аналогичными характеристиками, полученными в ходе предшествующего просмотра файлов. Если при этом обнаружится, что файл с момента предшествующего просмотра не обновлялся пользователем, а сравниваемые наборы характеристик не совпадают, то файл считается инфицированным.

Монитор представляет собой резидентную программу, перехватывающую потенциально опасные прерывания, характерные для вирусов, и запрашивающую у пользователей подтверждение на выполнение операций, следующих за прерыванием.

Антивирусы рассмотренных типов существенно повышают вирусозащищенность отдельных ПЭВМ и ИВС в целом, однако в связи со свойственными им ограничениями не являются панацеей. Так, для разработки детекторов, фагов и прививок нужно иметь тексты вирусов, что возможно только для выявленных вирусов. Вакцины обладают потенциальной способностью защиты программ не только от известных, но и от неизвестных вирусов, однако обнаруживают факт заражения только в тех случаях, если сами были имплантированы в текст до заражения вирусом. Результативность применения ревизоров зависит от частоты их запуска. Мониторы контролируют процесс функционирования пользовательских программ постоянно, однако характеризуются чрезмерной интенсивностью ложных срабатываний, которые вырабатывают у оператора "эффект подтверждения" и тем самым минимизируют эффект от такого контроля.

Таким образом, большое значение имеют организационные меры и соблюдение определенной технологии защиты от вирусов, предполагающей выполнение следующих этапов: входной контроль дискет, сегментацию информации на жестком диске, защиту системных программ от заражения, систематический контроль целостности и архивацию.