Зловредное программное обеспечение и средства защиты от него

 

 

 

2.2 Черви и полиморфные  вирусы.

 

         Червь - это программа, очень похожая на вирус. Он способен к самовоспроизведению и может привести к негативным последствиям для Вашей системы. Однако для размножения червям не требуется заражать другие файлы.

         Черви, в отличие от вирусов, просто копируют себя, повреждая файлы, но репродуцирование может происходить очень быстро, сеть перенасыщается, что приводит к разрушению последней. Некоторые из наиболее печально известных червей включают (обычно посылаются через Интернет): I Love You, Navidad, Pretty Park, Happy99, ExploreZip.

Червь Морриса

 

         В 1988 году  Робертом Моррисом-младшим был  создан первый массовый сетевой червь. 60 000-байтная программа разрабатывалась с расчётом на поражение операционных систем UNIX Berkeley 4.3. Вирус изначально разрабатывался как безвредный и имел целью лишь скрытно проникнуть в вычислительные системы, связанные сетью ARPANET, и остаться там необнаруженным. Вирусная программа включала компоненты, позволяющие раскрывать пароли, имеющиеся в инфицированной системе, что, в свою очередь, позволяло программе маскироваться под задачу легальных пользователей системы, на самом деле занимаясь размножением и рассылкой копий. Вирус не остался скрытым и полностью безопасным, как задумывал автор, в силу незначительных ошибок, допущенных при разработке, которые привели к стремительному неуправляемому саморазмножению вируса.

 

          По самым скромным оценкам инцидент с червём Морриса стоил свыше 8 миллионов часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается в 96 миллионов долларов (в эту сумму, также, не совсем обосновано, включены затраты по доработке операционной системы). Ущерб был бы гораздо больше, если бы вирус изначально создавался с разрушительными целями.

          Червь  Морриса поразил свыше 6200 компьютеров.  В результате вирусной атаки  большинство сетей вышло из строя на срок до пяти суток. Компьютеры, выполнявшие коммутационные функции, работавшие в качестве файл-серверов или выполнявшие другие функции обеспечения работы сети, также вышли из строя.

          4 мая  1990 года суд присяжных признал Морриса виновным. Он был приговорён к условному заключению сроком на два года, 400 часам общественных работ и штрафу размером 10 тыс. долларов.

 

Email-Worm

 

         Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).

 

         В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.

 

         Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:

прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;

использование сервисов MS Outlook;

использование функций Windows MAPI.

 

          Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:

• Рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
• считывает адреса из адресной базы WAB;
• Сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
• Отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

 

DATACRIME и AIDS

 

            В 1989 широкое распространение получили вирусы DATACRIME, которые начиная с 12 октября разрушали файловую систему, а до этой даты просто размножались. Эта серия компьютерных вирусов начала распространяться в Нидерландах, США и Японии в начале 1989 года и к сентябрю поразила около 100 тысяч ПЭВМ только в Нидерландах (что составило около 10 % от их общего количества в стране). Даже фирма IBM отреагировала на эту угрозу, выпустив свой детектор VIRSCAN, позволяющий искать характерные для того или иного вируса строки (сигнатуры) в файловой системе. Набор сигнатур мог дополняться и изменяться пользователем.

 

 

Полиморфные вирусы

 

            Были внедрены сложные методы, направленные на уничтожение полиморфных вирусов... Как же они работают? Вообще, полиморфизм - высококлассная техника, позволяющая вирусу быть незамеченным по стандартной сигнатуре (или, попросту, маске). Обычно детекторы определяют вирус по характерным кускам его кода. В случае с полиморфным вирусом такое не пройдет. Два файла, зараженные одним и тем же вирусом, всегда будут иметь разный размер. Засечь такой вирус очень сложно.

            Все полиморфные вирусы обязательно снабжаются расшифровщиком кода, который по определенному принципу преобразует переданный ему код, вызывая при этом стандартные функции и процедуры операционной системы. Сами методы шифрования могут быть разными, но, как правило, каждая операция имеет свою зеркальную пару. В ассемблере это реализуется очень просто, и таких пар может быть много - ADD/SUB, XOR/XOR, ROL/ROR и т.п. Подобные операции проводятся для расшифровки ячеек памяти.

            Немаловажной особенностью полиморфного вируса является то, что вирус содержит мусор, то есть операнды, функции и процедуры, которые служат лишь для запутывания кода. При этом реализуются две цели:

        1. Сложность изучения кода при трассировке файла. Эта цель актуальна лишь для новичка, профессионал, который  изучением вирусов занимался многие годы, сразу во всем разберется.

         2. Увеличение элемента случайности в расшифровщике. Место их вставки имеет огромное влияние на размер кода. С мусором же появляются новые варианты компоновки кода. Размер при каждом из них будет разным.

Ассемблер дает безграничные возможности  по вставке мусора, поэтому вставки  могут быть различными. Вот некоторые  их виды:

1. Регистровые операции. Как правило,  арифметические и логические. Примером  могут служить следующие команды: inc ax; mov ax,[si+bx-04]; add ax,1234h и др.

2. Зеркальные команды. Такие,  как add/sub, inc/dec и прочие.

3. Ложные переходы, а также вызов  подпрограмм, содержащих мусор.

4. Простой мусор из одиночных операндов.

          Полиморфизм стал очень распространенным лишь благодаря расшифровщику. Удобно то, что один файл может работать со многими вирусами. Этим и пользуются вирусописатели, используя чужой модуль. Подводным камнем при таком раскладе может стать ситуация, когда в базе антивируса хранится используемый расшифровщик. Если это случилось, все вирусы, подключенные к нему, будут детектироваться.

        Любой может написать хороший полиморфный вирус. Необходимо лишь немного разбираться в ассемблере. На создание среднего полиморфного вируса тратится не более шести часов.

        Очень проста реализация поиска зеркальных команд. Для этого необходимо создать сводную таблицу с операндами. К ней должна прилагаться дополнительная информация: наличие зеркала, необходимость замены команды и прочее. Если человек немного понимает в вирусологии и ассемблере, то составить подобную таблицу ему будет несложно. С командами-мусором можно поступить аналогичным образом, как и с зеркалами.

        В полиморфы нередко встраивают код, который выполняется в зависимости от определенной ситуации. Например, при детектировании вируса он может вызвать процедуру самоуничтожения. Как самого себя (частичная или полная безвозвратная модификация кода), так и системы (массовое заражение системных файлов без возможности восстановления). Это очень осложняет поиск антивируса от полиморфного вируса - до антивирусной лаборатории вирус доходит уже в нерабочем состоянии. Также были случаи вызова исключающего кода при попытке излечения вируса(на высоком уровне полиморфизма).

 

3. Примеры средств борьбы с ЗПО:

 

3.1 ПО «Лаборатория  Касперского»

 

Kaspersky Internet Security 2010 
Kaspersky Internet Security 2010 представляет собой оптимальное решение для безопасной работы в Интернете и обеспечивает защиту от вирусов, троянских, шпионских, рекламных программ и других неизвестных угроз. Программа автоматически определяет правила работы с различными приложениями, упрощая работу...

Антивирус Касперского 2010  Антивирус Касперского 2010 является эффективным инструментом для защиты рабочей станции от вирусов, троянских, шпионских, рекламных программ и других неизвестных угроз. Пользователям рекомендуется дополнительно установить сетевой экран и фильтр для защиты от спама....

Kaspersky Internet Security (электронная версия)  Kaspersky Internet Security 2010 включает в себя все необходимое для безопасной работы в Интернете, обеспечивая защиту от вирусов, троянских программ, червей шпионских и рекламных программ а также неизвестных угроз. Программа сама определяет правила работы с различными приложениями упрощая работу...

Антивирус Касперского (электронная версия)  Антивирус Касперского 2010 включает в себя основные инструменты для защиты ПК от вирусов, троянских программ, червей шпионских и рекламных программ а также неизвестных угроз. Пользователям рекомендуется дополнительно установить сетевой экран и антиспам-фильтр...

Kaspersky Internet Security 2009  Kaspersky Internet Security 2009 включает в себя все необходимое для безопасной работы в Интернете, обеспечивая защиту от вирусов, троянских программ, червей шпионских и рекламных программ а также неизвестных угроз. Программа сама определяет правила работы с различными приложениями упрощая работу...

Kaspersky WorkSpace Security  Kaspersky Work Space Security – это решение для централизованной защиты рабочих станций в корпоративной сети и за ее пределами от всех видов современных интернет-угроз: вирусов, шпионских программ, хакерских атак и спама. Контролируя все входящие и исходящие потоки данных на компьютере (электронную...

Kaspersky Business Space Security  Kaspersky Business Space Security защищает рабочие станции и файловые серверы от всех видов вирусов, троянских программ и червей, предотвращает вирусные эпидемии, а также обеспечивает сохранность информации и мгновенный доступ пользователей к сетевым ресурсам. рассчитать стоимость легализации...

Kaspersky Enterprise Space Security  Kaspersky Enterprise Space Security защищает рабочие станции, а также файловые и почтовые серверы от от всех видов современных интернет-угроз. Решение гарантирует свободный обмен информацией внутри компании и безопасные коммуникации с внешним миром....

Kaspersky Total Space Security  Kaspersky Total Space Security защищает все узлы корпоративной сети любого масштаба и сложности от современных интернет-угроз. Продукт обеспечивает мгновенный и безопасный доступ пользователей к информационным ресурсам компании и к Интернету, а также гарантирует безопасные коммуникации по электронной...

Kaspersky Security для интернет-шлюзов  Kaspersky Security for Internet Gateway обеспечивает безопасный доступ к сети Интернет для всех сотрудников организации, автоматически удаляя вредоносные и потенциально опасные программы из потока данных, поступающего в сеть по протоколам HTTP/FTP....

 

 

 

 

3.2 ПО компании «Dr. Web»

 

        Компания «Доктор Веб» — российский производитель средств информационной защиты под маркой Dr.Web — объявляет о выпуске новой версии программного продукта Dr.Web для Windows 5.0.

 

         «Выпуск новой версии для компании «Доктор Веб», которая предельно ответственно относится к смене цифры версии, — это всегда большой шаг вперед в разработке», — говорит автор антивируса Dr.Web, технический директор компании «Доктор Веб» Игорь Данилов. «Учитывая масштабы и сложность современных угроз, мы сосредоточили свои усилия на новейших технологиях защиты, которые позволяют нам не только эффективно отражать атаки известных вирусов, но и быть готовыми защитить пользователей от новых, еще неизвестных вредоносных программ. По целому ряду технологических показателей новая версия Dr.Web еще не имеет аналогов в антивирусной отрасли».

Технологические новинки и улучшения  версии 5.0

Лечит то, что другие даже не видят

Возможность лечения активного  заражения, вирусоустойчивость, уникальные технологии обработки процессов в памяти и превосходные возможности по нейтрализации активного заражения, обеспечивающие Dr.Web возможность установки на казалось бы безнадежно зараженный ПК — были и остаются основными и никем до сих пор не превзойденными технологическими преимуществами Dr.Web. Яркий пример этого — способность Dr.Web обезвреживать сложные вирусы, такие как MaosBoot, Rustock.C, Sector. Технологии, позволяющие Dr.Web эффективно бороться с активными вирусами, а не просто детектировать лабораторные коллекции, получили в новой версии свое дальнейшее развитие.

 

 

Стойкий иммунитет

         Самозащита и устойчивость к внешним атакам реализованы в Dr.Web для Windows 5.0 на самом высоком уровне. В модуле самозащиты Dr.Web SelfPROtect ведется полноценный контроль доступа и изменения файлов, процессов, окон и ключей реестра приложения. Сам модуль самозащиты устанавливается в систему в качестве драйвера, выгрузка и несанкционированная остановка работы которого невозможны до перезагрузки системы.

Кратко о DR.WEB

         Один из лучших антивирусов с мощным алгоритмом нахождения вирусов. Полифаг, способный проверять файлы в архивах, документы Word и рабочие книги Excel, выявляет полиморфные вирусы, которые в последнее время, получают все большее распространение. Достаточно сказать, что эпидемию очень опасного вируса OneHalf остановил именно DrWeb. Эвристический анализатор DrWeb, исследуя программы на наличие фрагментов кода, характерных для вирусов, разрешает найти почти 90% неизвестных вирусов. При загрузке программы, в первую очередь DrWeb проверяет самого себя на целостность, после чего тестирует оперативную память. Программа может работать в диалоговом режиме, имеет удобный настраиваемый интерфейс пользователя.