Лабораторна робота №2, Захист комп’ютерних систем від вірусів

« Назад

Мета: Оволодіти навичками та знаннями по боротьбі із комп’ютерними вірусами та профілактиці зараження ними комп’ютерних систем

Необхідне програмне забезпечення

Набір «дієздатних» вірусів, Dr.Web, NOD32, Symantec Antivirus Corporate Edition, UNA.NET

Теоретичні відомості

1. Поняття вірусу

Історично вірусом називається будь-яка програма, що заражає виконувані або об'єктні файли. Програму, відтворюючу себе без відома користувача, також можна віднести до вірусів.

Найчастіше вірус поміщає своє тіло в програмному файлі так, щоб він активізувався при кожному запуску програми. Крім того, віруси можуть вражати завантажувальний сектор жорсткого або гнучкого диску, поміщеного в дисковод зараженого комп'ютера.

Перенесення свого тіла на дискети і жорсткі диски є для вірусу гарантією того, що він буде запущений при кожному наступному включенні системи.

Більшість вірусів інфікують файли шляхом перенесення свого тіла всередину жертви. Проте у зв'язку із створенням все кращих антивірусних програм, розробники вірусів змінили стратегію. Тепер, перш ніж заразити черговий файл, вірус змінює своє тіло. Вибравши жертву, вірус копіює себе з пам'яті комп'ютера всередину файлу, що заражається.

Процес зараження файлу практично однаковий у всіх вірусів. Наприклад, прості віруси заражають файли таким чином:

1. Перш за все користувач повинен завантажити заражений файл в пам'ять комп'ютера. Цей файл може потрапити в комп'ютер за допомогою гнучкого диску, локальної мережі або через Internet. Після його запуску вірус копіює себе в пам'ять комп'ютера.

2. Розмістившись в пам'яті, вірус чекає завантаження наступної програми. Чи це не нагадує поведінку живих мікроорганізмів, що чекають появи нового «господаря»?

3. Після запуску наступної програми вірус поміщає своє тіло всередину жертви. Крім того, вірус поміщає своє тіло і усередині копії програми, що зберігається на диску.

4. Вірус продовжує заражати програми до тих пір, поки не заразить їх всі або поки користувач не вимкне комп'ютер. Тоді розташований в його пам'яті вірус пропадає. Проте для нього це не так вже і страшно - адже він розташований усередині заражених файлів, що зберігаються на диску.

5. Після включення комп'ютера і завантаження зараженої програми вірус знову починає своє «невидиме» життя в пам'яті системи. І так до безкінечності.

Наведена вище модель роботи вірусу спрощена. Насправді існують і такі віруси, які зберігаються на жорсткому диску так, щоб бути завантаженими в пам'ять при кожному запуску операційної системи. Деякі віруси уміють ховатися усередині стислих файлів. Окрім того, деякі віруси уміють заражати системи за допомогою текстового процесора. Проте важливо з'ясувати, що вірус заражає машину лише в тому випадку, якщо ви запускаєте інфіковану програму. Навіть віруси, паразитуючі на текстових процесорах, для своєї активізації вимагають виконання спеціальної програми - макрокоманди.

2. Класифікація комп’ютерних вірусів

Найбільш поширеними типами вірусів є троянські коні, поліморфні і не поліморфні віруси, що шифруються, стелс-віруси, повільні віруси, ретро-віруси, складені віруси, озброєні віруси, віруси-фаги і макровіруси.

2.1. Троянські коні

Троянськими конями називаються віруси, що ховаються у файлах даних (наприклад, архівах або документах). Щоб уникнути виявлення, деякі різновиди троянських коней ховаються і у виконуваних файлах. Таким чином, ця програма може розташовуватися і в програмних файлах, і у файлах бібліотек, що прийшли в стисненому вигляді. Проте часто троянські коні містять тільки підпрограми вірусу.

Можливо, найкраще визначення троянських коней дав Ден Эдвардс — колишній хакер, що займається тепер розробкою антивірусного програмного забезпечення для NSA (National Security Administration). За словами Дена, троянським конем називається «небезпечна програма, що ховається під виглядом нешкідливого додатку, на зразок архіватора, гри або (знаменитий випадок 1990 рік) програми виявлення і знищення вірусів». Більшість нових антивірусних програм виявляють практично всіх троянських коней.

Однією з найбільш відомих «троянських конячок» стала програма Crackerjack. Як і все інші засоби для злому паролів, доступні в Internet, ця програма тестувала відносну потужність паролів, розташованих у вибраному файлі. Після свого запуску вона видавала список зламаних паролів і пропонувала користувачу знищити цей файл. Перша версія програми не лише зламувала паролі, але також і передавала їх автору троянського коня.

2.2. Поліморфні віруси

Поліморфні віруси — це віруси, які зашифровують своє тіло і завдяки цьому можуть уникнути виявлення шляхом перевірки сигнатури вірусу. Сигнатура – це унікальна характеристика інформаційного об’єкту, яка може бути перевірена програмним способом.

Перш ніж приступити до роботи, такий вірус розшифровує себе за допомогою спеціальної процедури розшифровки. Як вже мовилося у розділі 4, процедура розшифровки перетворює зашифровану інформацію на звичайну. Щоб розшифрувати тіло вірусу, процедура розшифровки перехоплює управління комп’ютером. Після розшифровки управління комп'ютером передається розшифрованому вірусу.

Перші віруси, що шифруються, були неполіморфними. Іншими словами, процедура розшифровки вірусу не змінювалася від копії до копії. Тому антивірусні програми могли виявити вірус по сигнатурі, властивій процедурі розшифровки. Але незабаром ситуація змінилася докорінним чином.

Поліморфні віруси виявити дуже важко. Річ у тім, що вони генерують абсолютно нові процедури розшифровки при кожному новому зараженні. Завдяки цьому сигнатура вірусу змінюється від файлу до файлу. Для зміни процедури шифрування використовується досить простий генератор машинного коду, що називається генератором мутацій.

Він використовує генератор випадкових чисел і досить простий алгоритм зміни сигнатури вірусу. Із його допомогою програміст може перетворити будь-який вірус на поліморфний. Для цього він повинен змінити текст вірусу так, щоб перед кожним створенням своєї копії він викликав генератор мутацій.

Не дивлячись на те, що поліморфні віруси не можна виявити за допомогою звичайних методів перевірки (на зразок порівняння рядків коду), вони все ж таки детектуються спеціальними антивірусними програмами.

Отже, поліморфні віруси можна виявити. Проте цей процес займає величезну кількість часу, а на створення антивірусної програми йде значно більше сил. Найбільш свіжі оновлення антивірусного програмного забезпечення проводять пошук процедур шифрування, за допомогою якої виявляють поліморфні віруси.

2.3. Стелс-віруси

Стелс-віруси — це віруси, які ховають зміни, створені в зараженому файлі. Для цього вони відстежують системні функції читання файлів або секторів на носіях інформації. Якщо відбувається виклик такої функції, то вірус прагне змінити одержані нею результати: замість справжньої інформації вірус передає функції дані незараженого файлу. Таким чином, антивірусна програма не може виявити ніяких змін у файлі. Але, для того, щоб перехоплювати системні виклики, вірус повинен знаходитися в пам'яті машини. Всі досить хороші антивірусні програми можуть виявити подібні віруси під час завантаження зараженої програми.

Хорошим прикладом стелс-вірусу є один з перших задокументованих вірусів DOS — Brain. Цей завантажувальний вірус проглядав всі дискові системні операції введення/висновку і перенаправляв виклик всякий раз, коли система намагалася рахувати заражений завантажувальний сектор. При цьому система прочитувала інформацію не із завантажувального сектора, а з того місця, де вірус зберіг копію цього сектора.

Стелс-вірусами також є віруси Number, Beast і Frodo. Кажучи мовою програмістів, вони перехоплюють переривання 21Н — основне переривання DOS. Тому всяка команда користувача, здатна виявити присутність вірусу, перенаправляється вірусом в певне місце в пам'яті. Завдяки цьому користувач не може «помітити» вірус.

Як правило, стелс-віруси або володіють невидимим розміром, або вони невидимі для читання. Віруси з невидимим розміром належать до підвиду вірусів, що заражають файли. Такі віруси помішають своє тіло всередину файлу, викликаючи тим самим збільшення його розміру.

Проте вірус змінює інформацію про розмір файлу так, щоб користувач не міг виявити його присутності. Іншими словами, система указує на те, що довжина зараженого файлу дорівнює довжині звичайного (незараженого) файлу. Віруси, невидимі для читання (на зразок Stoned.Monkey), перехоплюють запити на читання зараженого завантажувального запису або файлу і надають у відповідь первинну, не змінену вірусом інформацію. І знову користувач не може виявити присутність вірусу.

Стелс-віруси досить легко виявити. Більшість стандартних антивірусних програм «виловлюють» стелс-віруси. Для цього досить запустити антивірусну програму до того, як вірус буде розміщений в пам'яті машини.

Треба запустити комп'ютер з чистої завантажувальної дискети, а потім виконати антивірусну програму. Стелс-віруси можуть замаскуватися тільки в тому випадку, якщо вони вже розміщені в пам'яті. Якщо ж це не так, то антивірусна програма легко виявить наявність таких вірусів на жорсткому диску.

2.4. Ретро-вируси

Ретро-вірус — це вірус, який намагається обійти або перешкодити діям антивірусних програм. Іншими словами, ці віруси атакують антивірусне програмне забезпечення. Комп'ютерні професіонали називають ретро-віруси анти-антивірусами. (Не сплутайте анти-антивіруси з анти-вірус-вірусами - вірусами, створеними для знищення інших вірусів).

2.5. Складені віруси

Складені віруси заражають як виконувані файли, так і завантажувальні сектори дисків. Крім того, вони можуть заражати завантажувальні сектори дискет. Таку назву вони отримали тому, що заражають комп'ютер різними шляхами.

Іншими словами, вони не обмежуються одним типом файлів або певним місцем на диску. Якщо запустити інфіковану програму, вірус заразить завантажувальний запис жорсткого диска. При наступному вмиканні комп’ютера вірус активізується і заражатиме всі запущені програми. Одним з найбільш відомих складених вірусів є One-Half, який наділений властивостями стелс-вірусу і поліморфного вірусу.

2.6. Озброєні віруси

Озброєні віруси захищають себе за допомогою спеціального коду, завдяки якому сильно ускладнюється відстежування і дизасемблювання вірусу. Озброєні віруси можуть скористатися для захисту «пустушкою» – кодом, що відводить розробника антивірусних програм від справжнього коду.

2.7. Віруси-компаньйони

Свою назву ці віруси одержали тому, що паралельно з файлом, що заражається, вони створюють файл з таким же ім'ям, але з іншим розширенням. Наприклад, вірус-компаньйон може зберегти своє тіло у файлі winword.com. Завдяки цьому операційна система перед кожним запуском файлу winword.exe запускатиме файл winword.com, який розташовуватиметься в пам'яті комп'ютера. Зазвичай віруси-компаньйони генеруються вірусами-фагами.

2.8. Віруси-фаги

Останнім класичним типом вірусів є віруси-фаги. Вірус-фаг - це програма, яка змінює інші програми або бази даних. Комп'ютерні професіонали називають ці віруси фагами тому, що по своїй дії вони нагадують живі мікроорганізми. У природі віруси-фаги є особливо шкідливими мікроорганізмами, які заміщають вміст клітини своїм власним. Звичайно фаги заміщають текст програми своїм власним кодом. Найчастіше вони є генераторами вірусів-компаньйонів. Фаги – це найбільш небезпечний вид вірусів. Річ у тому, що вони не тільки розмножуються і заражають інші програми, але і прагнуть знищити всі заражені програми.

2.9. Черв'яки

Перший черв'як з'явився в кінці 80-х років (відомий також як черв'як Моріса) був найпершим вірусом, що уразив Internet. Цей вірус робив неможливою роботу комп'ютера, створюючи величезну кількість своїх копій в пам'яті комп'ютера. Оскільки черв'як прагне зупинити заражений комп'ютер, творець вірусу повинен наділити його здібностями переміщатися за допомогою мережі від однієї машини до іншої.

3. Зараження комп’ютерних систем

Деякі віруси не можуть бути виявлені навіть найкращими антивірусними програмами. Як додаткові засоби захисту потрібно залучити освіченість користувача. Ви повинні розповісти всім вашим службовцям про те, як виявити заражену машину. Орієнтовними ознаками зараження є:

- програми стали завантажуватися повільніше;

- файли з'являються або зникають;

- розміри програми або об'єкту змінюються з незрозумілих причин;

- на екрані з'являється незвичайний текст або зображення;

- елементи екрану виглядають нечіткими, розмитими;

- сам по собі зменшується об'єм вільного місця на жорсткому диску;

- команди chkpsk і scandisk повертають некоректні значення;

- імена файлів змінюються без видимих причин;

- натиснення клавіш супроводжуються дивними звуками;

- доступ до жорсткого диска заборонений.

Комп'ютерні віруси — це не вигадка. Фахівці стверджують, що тільки п'ять відсотків всіх вірусів можуть викликати серйозні неполадки в апаратному забезпеченні або крах операційної системи. Але не дивлячись на це вони все ж таки можуть представляти дуже серйозну небезпеку для комп'ютера. Більшість електронних інфекцій тільки тим і займається, що відтворює себе. Їх головне завдання - вижити, а не завдати шкоди системі. Проте це зовсім не значить, що потрібно забути про їх існування. Нешкідливих вірусів не існує!

3.1. Небезпеки пов'язані з вірусами

При розробці антивірусної стратегії компанії необхідно пам'ятати, що більшість вірусів не розповсюджуються за допомогою Internet. Навпаки, основними шляхами розповсюдження вірусів є програмне забезпечення, що продається, системи електронної пошти в ізольованих і університетських локальних мережах, а також дискети, що використовуються службовцями в їх домашніх комп'ютерах.

Багато компаній, що надають пробні версії своїх програм, ретельно перевіряють копії на наявність вірусів. Рідко трапляються випадки зараження комп'ютерів через завантажені пробні версії програм або інше професійне програмне забезпечення. З іншого боку, відомі сотні випадків, коли продавці-посередники поставляли своїм клієнтам заражені диски. Якщо врахувати всі типи програм, які можуть бути заражені вірусами, то кількість потерпілих таким чином покупців складає сотні тисяч.

Крім того, існує небезпека зараження машини через програмне забезпечення, що поставляється вашим місцевим продавцем ПО. Такі продавці звичайно не перевіряють дискети на наявність вірусів. Вся їх робота полягає в переміщенні дискет основного постачальника в свої фірмові упаковки. Якщо ж хтось вже використовував ці дискети на зараженому комп'ютері, то з великою часткою ймовірності можна стверджувати, що ці диски вже заражені. Щоб уникнути подібних проблем, багато компаній (включаючи і Microsoft) почали запаковувати окремі дискети і тільки тоді поміщати їх в коробки.

Власники сайтів, електронних дошок оголошень, а також автори програмного забезпечення не бажають втратити своє місце під сонцем через якихось вірусів. Тому будь-який розробник Web-сайту (Web-master), що бажає й далі отримувати прибуток від своєї роботи, повинен ретельно перевіряти кожен файл на наявність троянських коней, стелс-вірусів і т.д.

Звичайно, це жодною мірою не звільняє від перевірки програм, що завантажуються за допомогою Internet. Проте ще раз нагадаємо, що більшість вірусів поступають через дискети, тому потрібно приділяти основну увагу їх перевірці. Варто все ж таки відзначити, що останнім часом зросла кількість вірусів, що поширюються за допомогою Internet. Чималу роль в цьому зіграло і відкриття макровірусів.

3.2. Віруси й електронна пошта

Корпоративні системи електронної пошти доставляють багато клопоту системним адміністраторам. Розглянемо наступний приклад. Не так давно з'явився один з найвідоміших «уявних» вірусів — вірус Good Times. Передбачалося, що він розповсюджується за допомогою повідомлень електронної пошти.

Вірусу приписувалися найнеймовірніші здібності. Зокрема, зазначалося, що він «...руйнує центральний процесор за допомогою використання нескінченного циклу n-ого ступеня складності». Оскільки багато користувачів не розуміють, як розповсюджуються віруси, то вірус Good Times досить скоро став відомий у всьому світі.

Насправді звичайні текстові повідомлення електронної пошти не можуть містити ніяких вірусів. Річ у тому, що текстові повідомлення відносяться до файлів даних, які не є програмами і не можуть виконуватися на машині. Як ми пам'ятаємо, віруси можуть заражати тільки виконувані програми (не враховуючи макровірусів). Те ж саме можна сказати практично про всі повідомлення електронної пошти. Проте у вас, напевно, вже траплялися такі ситуації, коли файл з даними насправді виявлявся виконуваним файлом.

Деякі Web-браузери і діалогові службові програми (на зразок America Online) виконують програми відразу після їх завантаження. Набагато частіше користувачам доводиться мати справу з пересилкою файлів даних текстових процесорів (наприклад, документи Microsoft Word). Проте завдяки недавнім розробкам у області текстових процесорів ці файли перестали бути просто файлами даних.

В більшості випадків такі файли містять упроваджені макрокоманди, за допомогою яких можна істотно прискорити роботу. Насправді макрокоманда є деяким різновидом програм. Завдяки цьому стало можливим створення макровірусів.

Макровірус — це макрокоманда, яка відтворює себе в кожному новому документі.

Більшість сучасних макровірусів не представляє великої небезпеки. Проте потенційно вони володіють величезними можливостями. Річ у тому, що макрокоманди володіють доступом до набору операцій, за допомогою яких можна проводити різні (у тому числі і руйнівні) дії в системі. Наприклад, за допомогою макрокоманди можна видалити з жорсткого диска системні файли.

Найкращим методом захисту від вірусів, що передаються за допомогою електронної пошти, є установка на кожному комп'ютері надійного антивірусного програмного забезпечення. Для захисту від макровірусів, можливо, знадобиться переглянути свою стратегію захисту. Зокрема, потрібно буде розповісти всім користувачам про те, що таке макровірус, і попросити їх перевіряти всі вхідні документи.

4. Методи захисту від вірусів

Щоб захистити свою мережу від вірусів, виконуйте із всіма вхідними даними наступні три операції.

1. Перевіряти всю отримувану інформацію за допомогою антивірусних програм, незалежно від того, як ця інформація надходить: на переміщуваних носіях (дискетах, CD, флеш-пам'яті) або в повідомленнях електронної пошти. Тільки після цього можна запускати одержані програми або проглядати документи, що прийшли.

2. Поставити антивірусне програмне забезпечення безпосередньо на комп’ютері-брандмауері так, щоб заражені файли не могли проникнути в мережу. Більшість з них містить готові антивірусні програми, а також засоби перевірки цілісності даних. З їх допомогою можна проглядати у реальному часі всі зміни в системі. Так можна помітити більшість операцій, що виконуються вірусами. Крім того, більшість брандмауерів надають засоби захисту DoS-сеансів.

3. Встановити антивірусне програмне забезпечення на кожному підключеному до мережі комп’ютері. Так можна запобігти розповсюдженню вірусів по мережі, якщо один з комп’ютерів буде заражений.

Для своєї успішної роботи вірусам необхідно перевіряти, чи не є файл вже зараженим (цим же вірусом). Так вони уникають самознищення. Для цього віруси використовують сигнатуру. Більшість звичайних вірусів (включаючи і макровіруси) використовують символьні сигнатури. Складніші віруси (поліморфні) використовують сигнатури алгоритмів.

Незалежно від типу сигнатури вірусу антивірусні програми використовують їх для виявлення «комп'ютерних інфекцій». Після цього антивірусна програма намагається знищити виявлений вірус. Проте цей процес залежить від складності вірусу і якості антивірусної програми.

Практичне завдання

1. Забезпечити антивірусним захистом віртуальну локальну мережу за допомогою Symantec Antivirus Corporate Edition.

Розгортання комплексу антивірусного захисту Symantec Antivirus розпочніть із встановлення його серверної частини під операційною системою Windows 2000 Server. При встановленні серверної частини комплексу необхідно дотримуватися такої послідовності дій:

1) Встановіть консоль управління Symantec System Center.

2) За допомогою даної консолі встановіть безпосередньо сам сервер антивірусу.

3) У створеній групі антивірусній серверів зробіть ваш сервер первинним (меню «Сервис» в консолі SSC).

Якщо все було зроблено правильно у вікні консолі управління в пункті «Структура системы» має з’явитися створена вами група серверів. Виділіть її і виконайте команду меню «Сервис» è «Удаленная установка клиента». Виконуйте всі вимоги майстра і встановіть на необхідну робочу станцію клієнтську частину.

2. Самостійно налаштуйте автоматичне оновлення «клієнта» із локального серверу.

3. Проведіть повну перевірку віддаленого «клієнта» та занотуйте всі знайдені антивірусом підозрілі об’єкти.

Контрольні запитання

1. Що таке сигнатура вірусу?

2. Які існують типи вірусів?

3. Які ознаки зараження вірусом комп’ютерної системи?

4. Описати процес зараження вірусом комп’ютерної системи.

5. Що таке троянські коні?

6. Що таке поліморфні віруси?

7. Що таке стелс-віруси?

8. Що таке віруси-компаньйони?

9. Що таке віруси-фаги?

10. Що таке макровіруси?

11. Які основні шляхи розповсюдження вірусів?

12. Які основні складові модулі програм-антивірусів?

13. Якими є основні методи захисту від вірусів?

14. Описати можливості програми Symantec Antivirus.

15. Описати можливості програми NOD32.