Антивирусная защита в информационных телекоммуникационных системах

 

Учреждение образования

 

«Белорусский государственный  университет

информатики и радиоэлектроники»

 

Кафедра СиУТ

 

 

 

 

 

 

 

 

Тема реферата:

 

«АНТИВИРУСНАЯ ЗАЩИТА В ИТС»

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Минск

2013

 

 

Содержание

1. Введение………………………………………………………………...2
2. Классификация вредоносных программ………………………………3
1. Вирусы……………………………………………………………3
2. Черви……………………………………………………………...4
3. Трояны……………………………………………………………6
3. Способы распространения вредоносных программ………………….8
4. Цели вредоносного программного обеспечения……………………..9
5. Технология обнаружения вирусов……………………………………10
6. Классификация антивирусного программного обеспечения……….12
7. Заключение…………………………………………………………….16

 

Введение

Теоретические основы создания компьютерных вирусов были заложены в 40-х годах XX столетия американским ученым Джоном фон Нейманом (John von Neumann), который также известен как автор базовых принципов работы современного компьютера. Впервые же термин вирус в отношении компьютерных программ применил Фред Коэн (Fred Cohen). Это случилось 3 ноября 1983 года на еженедельном семинаре по компьютерной безопасности в Университете Южной Калифорнии (США), где был предложен проект по созданию самораспространяющейся программы, которую тут же окрестили вирусом. С тех пор вирусные программы непрерывно развиваются, нанося немалый вред как крупным корпорациям, так и частным пользователям.

Первые  антивирусные  программы  вышли  в  свет в 1984  году  - CHK4BOMB и BOMBSQAD. Их автором был Энди Хопкинс (Andy Hopkins).

 

Антивирус – программное средство, предназначенное для борьбы с вирусами.

Основными задачами антивируса является:

- Препятствование  проникновению вирусов в компьютерную  систему. 

- Обнаружение  наличия вирусов в компьютерной  системе. 

- Устранение вирусов  из компьютерной системы без  нанесения повреждений другим  объектам системы. 

- Минимизация  ущерба от действий вирусов.

 

Классификация вредоносных программ

Все вредоносные программы в соответствии со способами распространения и вредоносной нагрузкой можно разделить на четыре основных типа:

- компьютерные  вирусы,

- черви, 

- трояны

- другие программы.

 

Рассмотрим основные особенности  указанных типов подробнее.

 

Вирусы.

Основная черта компьютерного вируса - это способность к саморазмножению. Компьютерный вирус – это программа, способная создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению. Условно жизненный цикл любого компьютерного вируса можно разделить на пять стадий:

- Проникновение  на чужой компьютер. 

- Активация. 

- Поиск объектов  для заражения. 

- Подготовка копий. 

- Внедрение копий. 

 

Путями проникновения вируса могут служить как мобильные носители, так и сетевые соединения - фактически, все каналы, по которым можно скопировать файл. Однако в отличие от червей, вирусы не используют сетевые ресурсы – заражение вирусом возможно, только если пользователь сам каким-либо образом его активировал. Например, скопировал или получил по почте зараженный файл и сам его запустил или просто открыл.

 

После проникновения следует активация вируса. Это может происходить несколькими путями. В соответствии с выбранным методом активации вирусы делятся на следующие виды:

1. Загрузочные  вирусы заражают загрузочные сектора жестких дисков и мобильных носителей.

2. Файловые  вирусы – заражают файлы. Отдельно по типу среды обитания в этой группе также выделяют следующие типы:

2.1 Классические  файловые вирусы – они различными способами внедряются в исполняемые файлы (внедряют свой вредоносный код или полностью их перезаписывают), создают файлы-двойники, свои копии в различных каталогах жесткого диска или используют особенности организации файловой системы.

2.2 Макровирусы, которые написаны на внутреннем языке, так называемых макросах какого-либо приложения. Подавляющее большинство макровирусов используют макросы текстового редактора Microsoft Word.

2.3 Скрипт-вирусы, написанные в виде скриптов для определенной командной оболочки - например, bat-файлы для DOS или VBS и JS - скрипты для Windows Scripting Host (WSH).

 

Дополнительным отличием вирусов от других вредоносных программ служит их жесткая привязанность к операционной системе или программной оболочке, для которой каждый конкретный вирус был написан. Это означает, что вирус для Microsoft Windows не будет работать и заражать файлы на компьютере с другой установленной операционной системой, например Unix. Точно также макровирус для Microsoft Word 2003 скорее всего не будет работать в приложении Microsoft Excel 2007.

 

При подготовке своих вирусных копий для маскировки от антивирусов могут применяться такие технологии как:

- Шифрование — вирус состоит из двух функциональных кусков: собственно вирус и шифратор. Каждая копия вируса состоит из шифратора, случайного ключа и собственно вируса, зашифрованного этим ключом.

- Метаморфизм — создание различных копий вируса путем замены блоков команд на эквивалентные, перестановки местами кусков кода, вставки между значащими кусками кода «мусорных» команд, которые практически ничего не делают.

 

Черви.

В отличие от вирусов черви  – это вполне самостоятельные программы. Главной их особенностью также является способность к саморазмножению, однако при этом они способны к самостоятельному распространению с использованием сетевых каналов. Для подчеркивания этого свойства иногда используют термин «сетевой червь».

Червь (сетевой червь) – это вредоносная программа,  распространяющаяся по сетевым каналам и способная к самостоятельному преодолению систем защиты компьютерных сетей, а также к созданию и 163 дальнейшему распространению своих копий, не обязательно совпадающих с оригиналом.

 

Жизненный цикл червей состоит  из таких стадий:

- Проникновение  в систему. 

- Активация. 

- Поиск объектов  для заражения. 

- Подготовка копий. 

- Распространение  копий. 

 

В зависимости от способа  проникновения в систему черви  делятся на типы:

- сетевые  черви используют для распространения локальные сети и Интернет;

- почтовые  черви – распространяются с помощью почтовых программ;

- IM-черви используют системы мгновенного обмена сообщениями;

- IRC-черви распространяются по каналам IRС;

- P2P-черви - при помощи пиринговых файлобменных сетей.

 

После проникновения на компьютер, червь должен активироваться – иными словами запуститься.

По методу активации все черви можно разделить на две большие группы.

1. Требующие  активного участия пользователя. Отличительная особенность таких является использование обманных методов. Это проявляется, например, когда получатель инфицированного файла вводится в заблуждение текстом письма и добровольно открывает вложение с почтовым червем, тем самым его активируя.

2. Не  требующие активного участия  пользователя. Активация сетевого червя без участия пользователя всегда означает, что червь использует бреши в безопасности программного обеспечении компьютера. Это приводит к очень быстрому распространению червя внутри корпоративной сети с большим числом станций, существенно увеличивает загрузку каналов связи и может полностью парализовать сеть.

 

В последнее время наметилась тенденция к совмещению этих двух технологий – такие черви наиболее опасны и часто вызывают глобальные эпидемии.

 

Сетевые черви могут кооперироваться с вирусами – такая пара способна самостоятельно распространяться по сети (благодаря червю) и в то же время заражать ресурсы компьютера (функции вируса).

 

 

Трояны.

Трояны или программы  класса троянский конь, в отличие  от вирусов и червей, не обязаны  уметь размножаться.

Троянская программа – программа, основной целью которой является вредоносное воздействие по отношению к компьютерной системе путем выполнения несанкционированных пользователем действий: кражи, порчи или удаления конфиденциальных данных, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях.

Некоторые троянские программы способны к самостоятельному преодолению систем защиты компьютерной системы, с целью проникновения в нее. Однако в большинстве случаев они проникают на компьютеры вместе с вирусом либо червем – то есть такие троянские программы можно рассматривать как дополнительную вредоносную нагрузку, но не как самостоятельную программу. Нередко пользователи сами загружают троянские программы из Интернет. Жизненный цикл троянских программ состоит всего из трех стадий:

- Проникновение  в систему. 

- Активация. 

- Выполнение вредоносных  действий.

 

Как уже говорилось выше, проникать в систему трояны могут двумя путями - самостоятельно и в кооперации с вирусом или сетевым червем. В первом случае обычно используется маскировка, когда троянская программа выдает себя за полезное приложение, которое пользователь самостоятельно копирует себе на диск (например, загружает из Интернет) и запускает. При этом программа действительно может быть полезна, однако наряду с основными функциями она может выполнять действия, свойственные троянской программе.

 

Для проникновения на компьютер, троянской программе необходима активация и здесь он похож на червя - либо требует активных действий от пользователя или же через уязвимости в программном обеспечении самостоятельно заражает систему.

Поскольку главная цель написания троянских программ – это производство несанкционированных действий, они классифицируются по типу вредоносной нагрузки.

1. Клавиатурные  шпионы, постоянно находясь в оперативной памяти, записывают все данные, поступающие от клавиатуры с целью последующей их передачи своему автору.

2. Похитители  паролей предназначены для кражи паролей путем поиска на зараженном компьютере специальных файлов, которые их содержат.

3. Утилиты  скрытого удаленного управления – это троянские программы, которые обеспечивают несанкционированный удаленный контроль над инфицированным компьютером. Перечень действий, которые позволяет выполнять тот или иной троянской программе, определяется его функциональностью, заложенной автором. Обычно это возможность скрыто загружать, отсылать, запускать или уничтожать файлы. Такие троянские программы могут быть использованы как для получения конфиденциальной информации, так и для запуска вирусов, уничтожения данных.

4. Люки (backdoor) – троянские программы предоставляющие злоумышленнику ограниченный контроль над компьютером пользователя. От утилит удаленного управления отличаются более простым устройством и, как следствие, небольшим количеством доступных действий. Тем не менее, обычно одними из действий являются возможность загрузки и запуска любых файлов по команде злоумышленника, что позволяет при необходимости превратить ограниченный контроль в полный.

5. Анонимные  SMTP-сервера и прокси-сервера – разновидность троянов, которые на зараженном компьютере организовывают несанкционированную отправку электронной почты, что часто используется для рассылки спама.

6. Утилиты  дозвона – в скрытом от пользователя режиме инициируют подключение к платным сервисам Интернет.

7. Модификаторы  настроек браузера меняют стартовую страницу в браузере, страницу поиска или еще какие-либо настройки, открывают дополнительные окна, имитируют нажатия на рекламные баннеры и т. п.

8. Логические  бомбы характеризуются способностью при срабатывании заложенных в них условий (в конкретный день, время суток, определенное действие пользователя или команды извне) выполнять какое-либо действие, например, удаление файлов.

 

Отдельно отметим, что существуют программы из класса троянских программ, которые наносят вред другим, удаленным компьютерам и сетям, при этом не нарушая работоспособности инфицированного компьютера. Яркие представители этой группы – организаторы DDoS-атак.