Первый компьютерный вирус

Первый компьютерный вирус появился более двадцати лет назад. С тех пор информационные угрозы постоянно менялись, становясь все сложнее. Сегодня большая часть вредоносного кода, в том числе разнообразные троянские программы, эксплойты, руткиты, спам и шпионское ПО, классические вирусы и черви, а также методы фишинговых атак разрабатываются специально для «захвата» компьютеров пользователей в целях получения денег незаконным путем. Возможности Интернета позволяют осуществлять атаки очень быстро, широкомасштабно или избирательно – в зависимости от желания авторов вредоносных программ или представителей криминального андеграунда, финансирующих их деятельность. Вредоносный код может быть вложен в почтовые сообщения, внедрен в пиратское программное обеспечение, размещен на веб-страницах, откуда он загружается троянскими программами, предварительно установленными на зараженных машинах. Масштаб проблемы неуклонно растет: к примеру, сейчас антивирусные базы «Лаборатории Касперского» насчитывают более 570 500 записей, и каждую неделю эта цифра увеличивается на 3 500 записей. В любой сфере человеческой деятельности каждое новое поколение «стоит на плечах» своих предшественников –использует их наиболее успешные решения и старается проложить собственные пути. То же можно сказать и о вредоносных программах: с каждой следующей волной вредоносного кода общая картина угроз меняется до неузнаваемости. Очевидно, что вместе с информационными угрозами также должны меняться и решения, направленные на борьбу с ними. В результате в наше время и «болезнь», и лекарства от нее сильно отличаются от тех, что существовали, когда вирусы только появились.

Обстановку в современной сети интернет иначе как «криминогенной» назвать нельзя. Постоянные вирусные и троянские атаки терроризируют практически всех пользователей интернета — домашних пользователей, небольшие и средние компании, глобальные корпорации и государственные структуры. О причинах подобной криминализации сети говорилось и говорится довольно много — это корыстный интерес. Что конкретно имеется в виду? Извлечение нелегальной прибыли путем создания и распространения вредоносных программ — это:

    • воровство частной и корпоративной банковской информации (получение доступа к банковским счетам персональных пользователей и организаций);

    • воровство номеров кредитных карт;

    • распределенные сетевые атаки (DDoS-атаки) с последующим требованием денежного выкупа за прекращение атаки (современный компьютерный вариант обычного рэкета);

    • создание сетей троянских прокси-серверов для рассылки спама (и коммерческое использование этих сетей);

    • создание зомби-сетей для многофункционального использования;

    • создание программ, скачивающих и устанавливающих системы показа нежелательной рекламы;

    • внедрение в компьютеры троянских программ, постоянно звонящих на платные (и весьма дорогие) телефонные номера;

    • и тому подобное.

Оценить размах деятельности современного преступного компьютерного сообщества достаточно сложно. Как мне кажется, в компьютерном андеграунде активны десятки (если не сотни) хакерских группировок и хакеров-одиночек. Численность хакеров в подобных группировках можно исчислять, скорее всего, тысячами, о чем говорят полицейские сводки практически из всех компьютеризированных стран мира. За последние два года было арестовано несколько десятков хакеров и хакерских групп, в которые суммарно входило несколько сотен человек. Однако это не оказало существенного влияния на количество вновь появляющихся вирусов и троянских программ.

Оборот теневого компьютерного бизнеса также поддается только общим оценкам. По информации из открытых источников, хакеры в 2004-2005 годах украли или присвоили мошенническим образом несколько сотен миллионов долларов. Учитывая то, что большая часть компьютерного криминала до сих пор остается на свободе, можно предположить, что, скорее всего, обороты компьютерного андеграунда могут ежегодно измеряться миллиардами долларов (что может превышать доходы антивирусных компаний — об этом чуть ниже).

Всего же ущерб мировой экономики от деятельности компьютерных «злых гениев» давно уже перевалил за десяток миллиардов долларов ежегодно и продолжает расти.

Таким образом, текущая расстановка сил в компьютерном сообществе выглядит примерно следующим образом:

    • вирусописатели и хакеры, которые в корыстных целях создают и распространяют компьютерные вирусы и троянские программы;

    • пользователи, которые постоянно находятся под угрозой хакерских атак и часто становятся жертвами удачно спланированных хакерских акций;

    • полиция, которая с переменным успехом расследует компьютерные преступления;

    • и, наконец, антивирусные компании, создающие универсальные и/или специальные средства борьбы с компьютерным злом.

Про вирусы, пользователей, хакеров и охотящиеся за ними «компетентные органы» известно и написано достаточно много, на эту тему даже снимают фильмы. Достижениями на антивирусном поприще пестрят сайты соответствующих компаний-производителей. А вот информацию о проблемах антивирусных компаний обширной назвать нельзя.

Компьютерные вирусы и борьба с ними сегодня являются наиболее популярными темами при обсуждении вопросов, связанных с безопасностью информации. Просматривая статьи и вырезки, посвященные атакам на компьютерные системы, нередко обнаруживаешь в них упоминание о компьютерных вирусах, а так же об атаках на отказ в обслуживании, с помощью этих вирусов проводимые. Борьба с вирусами не прекращается ни на минуту. Методики становятся все более изощренными, системы защиты многоуровневыми и многокомпонентными, а время реакции на события все меньше. Но, несмотря на все усилия разработчиков антивирусного программного обеспечения, тенденция остается неизменной: эпидемии становятся все масштабнее, а ущерб от них все значительнее.

Чтобы обезопасить себя от неминуемых рисков, связанных с распространением вредоносного кода, следует четко понимать, что не любой антивирус может подойти именно вам. 

Как работает антивирус? 

Сейчас антивирусное ПО действуют, как правило, по двум алгоритмам: во-первых, выискивается так называемая «сигнатура», во-вторых, применяется так называемая «эвристическая» техника. 

Сигнатуры.

Антивирус может обнаружить вредоносную программу, будь то резидентный вирус, почтовый червь, троян, backdoor и т. д.— по определенной последовательности байтов, которая и называется «сигнатурой». Метод сигнатур заключается в следующем: в базе антивируса имеются сигнатуры (определённые признаки), по которым можно опознать какой-либо вирус. Сигнатура – это уникальная байтовая последовательность, наличие которой является признаком данного файла, и на основании которой проводится соотнесение файла к соответствующей категории – «заражен», «не заражен». Вирус, как и любая другая программа, имеет определенное алгоритмическое решение, которое в зараженном файле будет выглядеть в виде уникальной последовательности байт по определенному смещению.

Таким образом, признак зараженности файла вирусом при сигнатурноманализе можно представить в виде:

ЕСЛИ ((Файл Содержит (Файл1, Последовательность Вируса) = Правда) И (Смещение В Файле (Файл1, Последовательность Вируса) = Смещение Вируса)) ТО Файл1 – заражен.

Как можно догадаться, у сигнатурного метода низкий уровень интеллектуальности. Т. е., если появился новый вирус, сигнатура которого не имеется в базе антивируса, то пользователь от него не защищён. Дело в том, что в антивирусных базах хранятся десятки тысяч таких сигнатур, однако против совершенно нового вируса, сигнатура которого в базе отсутствует, антивирусный пакет оказывается бессилен. В прежние времена, когда вирусы распространялись в основном на носителях информации, вроде дискет, то есть, довольно медленно, – поставщики антивирусных решений успевали создать противоядие до того, как вирус получал широкое распространение. Кроме этого, сигнатурный метод бесполезен против самомодифицирующихся вирусов, ведь раз изменён вирус, то и его сигнатура изменилась. 

Эвристика

Эвристический же метод предусматривает проверку всех команд программы и выявление «подозрительных» действий. Эвристические технологии могут выявлять новые вирусы, никогда ранее не встречавшиеся, и, таким образом, способны предотвращать распространение опасного программного кода. Однако эвристические методы нередко дают ложные предупреждения, принимающие обычную программу за вирус. В последнее время антивирусные компании стали совмещать эти ме-

тоды в работе своих продуктов, т. к. в комбинации эти методы более эффективны, чем по отдельности. Современные антивирусы, использующие оба метода, часто производят эмуляцию процессора, или изолируют полученные из Интернета исполняемые файлы на время выполнения загружаемого кода во внешнюю оболочку, где программа неспособна нанести вред системе. Антивирусная система, работающая по методу «блокировки по поведению» позволяет антивирусу в реальном времени отслеживать действия работающих программ и блокировать те действия, которые могут напоминать работу антивируса. К таким действиям относятся, в частности, несанкционированные попытки открыть, просмотреть, удалить или изменить файлы, отформатировать диск или произвести с ним какие-то другие операции с необратимыми последствиями. Это могут

быть изменения в логике работы программ, скриптов или макросов, модификация в ключевых установках системы; несанкционированные попытки переслать по почте или через интернет-пейджеры исполняемых файлов. Или также несанкционированные попытки установить сетевые соединения. Кроме того, как бы ни маскировался вирус, рано или поздно он выдает себя вполне конкретным запросом к операционной системе, так что у антивируса всегда есть возможность его обнаружить и истребить. Однако при использовании этого метода подозрительные программы подвергаются лишь частичному сканированию, и весь набор их команд может и не быть проверен. Из-за того, что существует огромное количество способов закамуфлировать вредоносную программу, дажеь при совместном использовании этих методов они не всегда могут обнаружить новую заразу. Кроме того, чтобы антивирус мог вычислить все повадки вируса, тот должен запуститься в системе. А соответственно – нанести вред. Сейчас очень возросла конкуренция между производителями антивирусных программ. Из-за этого в сигнатурных базах имеются все известные вирусы. А вот основной упор идёт на эвристический метод обнаружения, т. к. участились не массовые вирусные атаки, а точечные. Большинство вирусов создаётся для определённых лиц/фирм/контор и за пределы цели вирус не выходит. Следовательно, вероятность попадания вируса в руки антивирусной компании — для его изучения и выпуска обновления — очень мала. Тем более, что в Интернете появилось множество документаций по написанию/модифицированию вирусов. Получается, что лучший антивирус тот, который сможет обнаружить неизвестные вирусы. Так же производители антивирусных средств, для большей популярности, встраивают в свои продукты различные дополнительные модули. Каждый пользователь или администратор, создающий антивирусную защиту, обязательно столкнется с проблемой выбора наиболее подходящей антивирусной программы. Однако выбор антивируса – далеко не такая простая задача, как это может показаться на первый взгляд. Доверившись советам знакомых, можно получить совсем не тот результат, которого хотелось бы. При сравнении антивирусов в первую очередь следует учитывать их способность решать свою главную задачу,а именно находить и уничтожать вирусы. Такую информацию можно почерпнуть из независимых подробных сравнений и тестов антивирусного ПО, проводимых авторитетными экспертами.Среди них хочу выделить West coast labs, Checkmark,AV-Comparatives. org Andreas Clementi и PCMag, издающийся в Великобритании Virus Bulletin, объединивший в себе экспертов в области антивирусной защиты с мировыми именами:Network Associates, Sophos Plc, Symantec Corporation,

IBM Research,WildList Organization International, Aladdin Knowledge Systems Ltd. В январе 1998 года журнал Virus Bulletin учредил награду VB100%,которой отмечаются антивирусы, способные наилучшим образом обнаруживать «живые» вирусы, встречающиеся в реальной жизни. При этом учитываются самые новые, только что созданные вирусы, собранные организацией WildList Organization International по всему миру, а не из одного или нескольких мест. Именно такие вирусы представляют собой наибольшую угрозу.

Материальным носителем информационной безопасности являются конкретные программно-технические решения, которые объединяются в  комплексы в зависимости от целей их применения. Организационные меры вторичны относительно имеющейся материальной основы обеспечения информационной безопасности, поэтому в данном разделе пособия основное внимание будет уделено принципам построения основных программно-технических решений и перспективам их развития. Угрозой интересам субъектов информационных отношений обычно называют потенциально возможное событие, процесс или явление, которое посредством воздействия на информацию или другие компоненты ИРК может прямо или косвенно привести к нанесению ущерба интересам данных субъектов.

В силу особенностей современных ИРК, существует значительное число различных видов  угроз безопасности субъектам информационных отношений.

Одним из распространенных видов  угроз являются компьютерные вирусы. Они способны причинить значительный ущерб ИРК. Поэтому важное значение имеет не только защита сети или отдельных  средств информационного обмена от вирусов, но и понимание пользователями принципов антивирусной защиты.

В нашей  стране наиболее популярны антивирусные пакеты «Антивирус Касперского»  и DrWeb.  Существуют также другие программы, например «McAfee Virus Scan»  и «Norton AntiVirus».  Динамика изменения информации в данной предметной области высокая, поэтому дополнительную информацию по защите от вирусов можно найти в Internet, выполнив поиск по ключевым словам «защита от вирусов».

Известно, что нельзя добиться 100 %-й защиты ПК от компьютерных вирусов отдельными программными средствами. Поэтому для уменьшения потенциальной опасности внедрения компьютерных вирусов и их распространения по корпоративной сети необходим комплексный подход, сочетающий различные административные меры, программно-технические средства антивирусной защиты, а также средства резервирования и восстановления. Делая акцент на программно-технических средствах, можно выделить три основных уровня антивирусной защиты: