1.4.1 Взломщики удаленных компьютеров (Exploit, Hacktool). Эти программы используются хакерами для удаленного взлома компьютеров с целью дальнейшего управления ими. При этом эксплойты направлены непосредственно на работу с уязвимостями.

1.4.2 «Замусоривание» сети (Flood). Забивание интернет-каналов бесполезной информацией.

1.4.3 Конструкторы (Constructor). Софт, использующийся, как правило, малограмотными людьми, т.к. позволяют наиболее просто создавать троянские программы и т.д. Люди знающие обычно пишут свои;)).

1.4.4 Фатальные сетевые атаки (Nuker). Утилиты, отправляющие специально оформленные запросы на атакуемые компьютеры в сети, в результате чего атакуемая система прекращает работу. Используют уязвимости в программном обеспечении и операционных системах, в результате чего сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении.

1.4.5 Введение пользователя в заблуждение (Bad-Joke, Hoax). Это, в общем-то, и вредоносной программой назвать нельзя. Это программка, которая заставляет пользователя испытать страх, эквивалентный тому, который он ощущает при виде надписи типа: «Warning! System has bin delete», ну, или что-то в этом роде.

1.4.6 Шифровальщики вредоносного ПО (FileCryptor, PolyCryptor). Это хакерские утилиты, которые занимаются тем, что скрывают другое вредоносное ПО от антивирусных программ.

1.4.7 «Полиморфы» (PolyEngine). Этих вирусами можно назвать тоже с натяжкой, ведь, в принципе, в их коде не заложены действия на размножение, порчу информации и т.д. Но все же...

Вот так и выглядит современная классификация вредоносного программного обеспечения. Достаточно далеко от «стандартного» понимания того, что такое компьютерный вирус. Но теперь, видя в тревожном сообщении антивируса название обнаруженного кода, вы сможете осмысленно его прочитать и понять, что же этот конкретный код мог сделать с вашей системой или информацией. И еще: не думайте, что вредоносная программа — обязательно ужасно опасная вещь, ведь среди них встречаются и вполне безобидные.

 

2         Принципы работы антивирусных программ

 

Назначение всех антивирусных программ – обнаружение и удаление вредоносного кода с использованием всего комплекса необходимых технологий. Антивирусные технологии развиваются параллельно с эволюцией вредоносных программ, становясь всё более изощренными по мере усложнения угроз.

---

Принципы действия антивирусных программ можно классифицировать несколькими способами. Один из видов классификации базируется на том, какая угроза нейтрализуется – известная или неизвестная вирусным аналитикам и антивирусным компаниям:

1.          Реактивная защита – защита от известных угроз с использованием знаний об участках кода и других уникальных особенностях существующих вредоносных программ. Для того чтобы такая защита работала успешно, антивирусная программа должна иметь обновленные базы сигнатур.

2.          Проактивная защита – защита от новых вредоносных программ, основанная на знании неуникальных особенностей кода и поведения, характерных для деструктивного ПО.

Еще один вид классификации технологий, реализующих принцип антивирусной защиты, базируется на том, какие свойства угроз и потенциально зараженных объектов анализируются при детектировании:

-         анализ кода подозрительных объектов;

-         поведенческий анализ подозрительных объектов;

-        отслеживание изменений файлов, хранящихся на компьютере, по контрольным суммам и другим признакам.

Антивирусные технологии можно классифицировать и по тому, в каком режиме осуществляется защита:

-           постоянный мониторинг за процессами на компьютере и в сети, и обнаружение угроз «на лету», например, при открытии зараженного файла или загрузке инфицированной веб-страницы в браузер;

-           сканирование компьютера, запускаемое по расписанию, событию или запросу пользователя.

Ещё один способ классификации технологий, реализующих принцип антивирусной защиты:

-           блокирование или ограничение активности объектов, содержащихся в «черных» списках (например, в базах сигнатур угроз), и разрешение запуска всех остальных;

-           разрешение активности только безопасных объектов из «белых» списков и запрет активности всех остальных;

-           комбинированный подход, например, использование «черных» списков для обнаружения угроз и «белых» списков для коррекции результатов детектирования и минимизации ложных срабатываний.

Знать принцип работы антивирусов необходимо для правильного выбора антивирусного решения. Полноценный антивирус должен включать в себя полный комплекс технологий, нейтрализующих любые типы угроз.

---

 

3 Методы обнаружения вредоносного ПО

 

3.1 Метод соответствия определению вирусов в словаре

В этом случае, когда софт-антивирус проводит анализ выбранных файлов, он подает запрос специальной вирусной базе данных, которую составляет разработчик программы. Дальше все происходит просто — при обнаружении в коде файла участка, похожего на участок вируса в базе, программа может автоматически (или с запросом) выполнить какое-либо из этих действий:

- удаление файла;

- запретить пользователю доступ к файлу;

- отправить файл в хранилище (или на карантин), которое закроет возможность дальнейшего распространения вируса по компьютеру;

- провести лечение файла, удалив код с вирусом из тела файла (если возможно). Иногда для успешного завершения процедуры лечения необходимо перезагрузить компьютер.

Как правило, поставщики программы регулярно обновляют антивирусную базу, чтобы база обновилась и в самой программе, желательно включить автоматическое обновление.

Разумеется, разные разработчики используют разные конструктивные особенности в своих изделиях. Некоторые могут использовать несколько ядер, для более результативного поиска вирусов, а также программ-шпионов.

NuWave Software для примера, использует ресурс сразу пяти ядер (из которых три занимаются поиском вирусов, а оставшиеся два — программ-шпионов)

Чаще всего, чтобы проверить компьютер необходимо запустить проверку, однако, многие современные антивирусники сами проверяют файл, как только пользователь к нему обращается. То есть, если вы скачали файл с неизвестным вирусом, система быстро отыщет его и ликвидирует. Благодаря расширенным настройкам в программе, пользователь сам может выставить, как часто антивирус должен проверять компьютер.

Есть во всем этом и оборотная сторона медали. Разумеется, программы постоянно совершенствуются, модифицируются, разработчики стараются создать более качественный софт, но и создатели вирусов не отстают. Хакеры и просто авторы вирусов стараются обойти защиту, используя слабые места антивирусника, путем создания так называемых «олигоморфических, полиморфических и метаморфических» вирусов. Суть в том, что отдельные части кода, из которых состоит вирус, шифруются таким образом, что программе-антивирусу практически невозможно обнаружить совпадение в коде из вирусной БД.

---

 

3.2 Метод обнаружения странного поведения программ

Те антивирусные программы, которые используют этот принцип, используют в основе своей работы не нахождение уже известных вирусов с помощью БД. Программа учитывает любые подозрительные действия, которые могут выполнять другие файлы или программы, и блокирует эти действия либо просто предупреждает пользователя об этом событии.

Подобные способы обнаружения довольно популярны сейчас, однако применяются не в виде отдельного софта, а как дополнительный модуль антивирусной программы. Такое использование является самым эффективным и позволяет обеспечить самый высокий уровень защиты.

Принцип работы достаточно хорош тем, что позволяет найти вирусы, которые еще неизвестны общественности и соответственно более опасны. Однако, этот плюс является одновременно и минусом — программа не всегда может отличить вирус от обычной уникальной активности. Это может привести к тому, что антивирус заблокируют нужные вам программы (не представляющие при этом никакой опасности) или же просто будет вводить пользователя в заблуждение постоянными предупреждениями об опасности.

 

3.3 Метод обнаружения при помощи эмуляции

Не настолько популярный, но все-таки заслуживающий внимания способ, при котором антивирус самостоятельно имитирует выполнение кода той или иной программы (которую вызывает пользователь) до того, как запустить ее. Соответственно, если программа использует код, который самоизменяется, либо будет проявлять подозрительную активность (схожую на вирусную) — эта программа будет воспринята как вредоносная.

Этот принцип работы антивируса является не особо популярным, в виду его слабой эффективности — большинство подобных «находок» ошибочны.

 

3.4 Метод «Белого списка»

«Белый список» — неотъемлемая часть технологий, которые борются с вирусами. Он позволяет экономить и время и ресурсы и избежать лишних предупреждений. Суть в том, что антивирусная программа проверяет все программные коды, и выполняемые действия (а также пресекает их, если нужно) за исключением отмеченных пользователем, точнее администратором. Таким образом, пользователь может снять ограничения, которые возникают после обновлений сигнатур. Более того, можно настроить все таким образом, чтобы выполнялись только установленные программы

---

, которые есть в списке, благодаря этому, неустановленные программы (если они не нужны пользователю, разумеется) не составят никакой опасности для компьютера. У современных разработчиков большинство приложений выходит со статусом «надежное», то есть они несут полную ответственность за их работоспособность и защищенность от вирусов, другими словами составляют свои «белые списки». Подобные факторы очень сильно облегчают работу антивируснику, а также избавляют пользователя от многих хлопот.

Вот и все основные принципы, по которым работают современные антивирусники. Ничего сложного и лишнего, правда может это и к худшему, авторы вирусов тоже не дремлют. Кстати, насчет последнего метода с «белым списком», парадокс может, но все самые популярные сегодня на рынке ИТ антивирусы используют за основу принцип работы противоположного «черного списка». Это объясняется тем, что подобный метод позволяет работать по схеме подписки, где есть услуга со стороны компании-разработчика – поддерживаться в актуальном состоянии антивирусных баз данных, и есть плата со стороны клиента за пользование этой услугой. Другими словами, метод «черного списка» является более прибыльным и, соответственно, популярным, чем противоположный ему.

Лекция № 13

 

Компьютерные вирусы

 

Введение

 

Особое место среди вредоносного программного обеспечения занимают компьютерные вирусы. Часто вирусами называют всё вредоносное ПО. На прошлой лекции мы убедились в том, что компьютерные вирусы – лишь часть вредоносного ПО. Теперь рассмотрим компьютерные вирусы подробнее.

 

1         Понятие компьютерного вируса

 

В настоящее время под компьютерным вирусом принято понимать программный код, обладающий следующими необходимыми свойствами:

1) способностью к созданию собственных копий, не обязательно совпадающих с оригиналом, но обладающих свойствами оригинала (в частности, самовоспроизведением);

2) наличием механизма, обеспечивающего внедрение создаваемых копий в исполняемые объекты вычислительной системы.

Эти свойства являются необходимыми, но недостаточными. Вирусы в большинстве случаев распространяются скрытно и несанкционированно. Следовательно, к этим свойствам необходимо добавить критерий, позволяющий определять, являются ли действия программы, удовлетворяющей свойствам 1 и 2, правомочными в данной вычислительной системе.

Наиболее распространенной классификацией компьютерных вирусов является классификация по

---

Смотрите также файлы

• Проведение аср на железнодорожном транспорте.docx

• 1. классификация сельскохозяйственных.pdf

• Строение гипоталамуса.doc

• Тобольский индустриальный институт.docx

• Русская архитектура xviii век. Быков Дмитрий.pptx