Антивирусная защита компьютерных систем

Антивирусная защита компьютерных систем










СгИНТУИТ
  / НАЦИОНАЛЬНЫЙ ОТКРЫТЫЙ УНИВЕРСИТЕТ

С.ИНТУ ИТ

    У НАЦИОНАЛЬНЫЙ ОТКРЫТЫЙ УНИВЕРСИТЕТ


Антивирусная защита компьютерных систем
2-е издание, исправленное



Национальный Открытый Университет “ИНТУИТ”
2016


2

Антивирусная защита компьютерных систем/ - М.: Национальный Открытый Университет “ИНТУИТ”, 2016
Курс дает основные навыки безопасной работы на компьютере и общее представление о методах построения систем антивирусной защиты. Для достижения этой цели на примерах изучаются базовые классы вредоносных программ, принципы действия антивирусных средств и технологии защиты от вирусов.
В курсе рассматриваются основы теории компьютерных вирусов (что такое вирусы, классификация вирусов), современные тенденции развития угроз, связанных с применением программного обеспечения, принципы и технологии, используемые для борьбы с вредоносными программами и другими сетевыми угрозами, общие принципы построения систем антивирусной защиты, а также примеры построения антивирусной защиты компьютерной сети на базе решений Лаборатории Касперского.
(c) ООО “ИНТУИТ.РУ”, 2007-2016
(c) 2007-2016

3

Общая информация

Дается понятие вредоносного кода, описаны способы проникновения вирусов на компьютер, последствия заражения компьютера, административные методы борьбы с вирусописателями, уголовная ответственность

Файл. Программа

Для хранения информации на любом компьютере используются два вида памяти -постоянные запоминающие устройства (ПЗУ) и оперативные запоминающие устройства (ОЗУ)¹). К первому типу относятся жесткие диски (винчестеры), дискеты, CD-ROM и другие мобильные носители информации, ко второму - оперативная память, то есть микросхема в системном блоке. Поэтому ПЗУ также называют внешней долговременной памятью, а ОЗУ - внутренней. Главное отличие оперативной памяти от внешней состоит в том, что информация, записанная в ОЗУ, может храниться только во время работы компьютера, при выключении или перезагрузке она теряется. Как следствие, большинство устройств ПЗУ предназначены для хранения значительно большего объема информации, чем оперативная память.

Файл

Для организации хранилища информации на ПЗУ используются файлы.

Файл- это логический блок информации, хранимой на носителях информации. Файл обязательно имеет имя и может содержать произвольный объем информации. Максимальная длина имени и максимальный объем файла определяются файловой системой.

Файловая система - это совокупность правил, определяющих систему хранения информации: различные атрибуты файлов, такие как максимальная длина имени, максимальный допустимый размер файла. Примеры файловых систем - FAT, FAT32, NTFS, EXT2, ISO9660.

Файлы могут быть разными как по содержанию, так и по назначению. Одни содержат фотографии и картинки (графические файлы), другие - текст книги, расписание занятий или список важных дел (текстовые файлы), записи песен и фильмов (звуковые и видеофайлы), служебную информацию (служебные файлы). Отдельно стоят файлы, которые содержат компьютерные программы

Программа

Компьютерная программа - это последовательность инструкций (команд) для выполнения компьютером определенных действий. Программы записываются при помощи языков программирования или машинного кода. Примеры компьютерных программ - программа чтения и записи данных на дискету, программа воспроизведения


4

музыки с диска, записная книжка в мобильном телефоне, Microsoft Word.


Передача программе пользовательских данных может осуществляться с помощью графического интерфейса, командной строки, конфигурационного файла или косвенно через другие программы.


Графический интерфейс представляет собой набор окон или иных элементов, предназначенных для передачи пользователем программе некоторых команд или данных. Например, программа “Калькулятор” предполагает ввод пользователем чисел и действий, которые необходимо над ними совершить, с последующим нажатием кнопки =, после которой программа должна вывести результат заданной математической операции (см. рисунок 1).


Рис. 1. Графический пользовательский интерфейс программы “Калькулятор”

Взаимодействие пользователя с программой через командную строку происходит пошагово с помощью вводимых с клавиатуры команд (см. рисунок 2).


Рис. 2. Интерфейс командной строки программы Format

Конфигурационный файл представляет собой текстовый файл с последовательным перечнем данных и команд, которые необходимо передать программе. При


5

взаимодействии же двух программ между собой пользователь, как правило, явного участия не принимает.

Вызов компьютерной программы, то есть запуск программы на выполнение, производится путем последовательной загрузки содержимого соответствующего ей файла в оперативную память, после чего компьютер начинает выполнять последовательность заложенных в эту программу действий.

Запустить программу можно также непрямым методом. Например, при доступе к любому файлу, содержащему текстовую информацию, должна запускаться программа, позволяющая его прочесть, то есть преобразовывающая машинный код, содержащийся в текстовом файле, в буквы, которые пользователь прочитает на экране.

Обычно пользователь до того как запустить программу, особенно написанную другим человеком, не знает все действия, которые она должна совершить. Например, программа для просмотра видеофильмов на самом деле часто создает на жестком диске временные файлы, которые используются для хранения более мелких частей фильма перед непосредственным выводом их на экран.

Таким образом, практически все программы помимо основных функций, выполняют ряд дополнительных, служебных действий, не видимых обычному пользователю.

Вредоносный код

Вредоносная программа - это программа, наносящая какой-либо вред компьютеру, на котором она запускается, или другим подключенным к нему компьютерам.

Одним из способов для вредоносной программы оставаться незамеченной на компьютере является дописывание своего кода к файлу другой известной программы. При этом возможно как полное перезаписывание файлов (но в этом случае вредоносная программа обнаруживает себя при первом же запуске, поскольку ожидаемые действия полностью заменены), так и внедрение в начало, середину или конец файла.

Пример.С1Н - вирус, который в ходе заражения записывает свои копии во все запускаемые пользователем программные файлы (PE EXE). Внедрение может происходить как одним куском, так и путем деления вредоносного кода на блоки и записи их в разных частях заражаемого файла. При этом инфицированная программа может дальше выполнять свои основные функции и вирус в ней никак себя не обнаруживает. Однако в определенный момент времени происходит уничтожение всей информации на жестком диске. Поскольку самая известная версия CIH срабатывала 26 апреля, то он получил второе имя - “Чернобыль”.

Мобильные носители. Компьютерные сети

Для передачи информации с одного компьютера на другой обычно используют мобильные носители либо подключение по сети (то есть соединение компьютеров с помощью провода или другой технологии связи).


6

Мобильные носители


К мобильным носителям можно отнести все виды энергонезависимых ПЗУ. То есть таких устройств, которые позволяют достаточно долго хранить информацию и при этом не требуют дополнительного питания от компьютера. Это дискеты, компакт диски, flash-накопители, перфокарты и перфоленты.

С помощью мобильных носителей распространение компьютерных вирусов происходит достаточно просто. Например, с компьютера А нужно перенести на компьютер Б файл с программой автоматической проверки орфографии. При этом компьютер А заражен вирусом, который внедряется во все программы, к которым происходит обращение. Процесс записи на, допустим, компакт диск выглядит следующим образом: пользователь обращается к файлу программы проверки орфографии и передает его программе, которая непосредственно производит запись на CD-ROM. Даже если переносимый файл не был заражен ранее, инфицирование возможно на каждом из этапов копирования - при доступе, при чтении, при записи. Таким образом, на компакт диск записывается уже зараженный файл. После того, как программа будет скопирована на компьютер Б, она рано или поздно будет запущена и компьютер окажется заражен. То есть в итоге этим вирусом будут инфицированы оба компьютера и один диск, который остается источником заражения для других компьютеров, на которых он будет прочтен.

Мобильные носители - достаточно распространенный способ для размножения компьютерных вирусов. Однако по скорости распространения этот путь существенно уступает компьютерным сетям.

Компьютерные сети

Для удобства обмена информацией между компьютерами, их объединяют в компьютерные сети. Любые два компьютера, относящиеся к одной компьютерной сети, могут обмениваться данными без участия мобильных носителей - с помощью сетевых проводов, телефона, кабельного телевидения, радио или других технологий беспроводной связи. В большинстве случаев это существенно ускоряет и упрощает процедуру обмена файлами.

Компьютерные сети могут быть локальными и глобальными.

Локальные сети

Локальная вычислительная сеть (ЛВС)²) - это компьютерная сеть, покрывающая относительно небольшую территорию - дом, школу, институт, микрорайон.

На входящих в компьютерную сеть компьютерах часто организовывается открытый доступ к отдельным или даже всем хранимым на них файлам. Это означает, что пользователь, работающий на одном компьютере, входящем в ЛВС, может открывать,


7

читать, изменять и запускать файлы, физически расположенные на другом компьютере. Нередко выделяется специальный компьютер, выполняющий функцию хранилища файлов - файловый сервер. Главная его задача - обеспечивать доступ к хранимым на нем данным для всех компьютеров этой сети.

Вредоносные программы в полной мере используют преимущества ЛВС - фактически, почти все современные вирусы имеют встроенные процедуры инфицирования по локальным сетям и как следствие высокие темпы распространения.

Инфицирование обычно происходит в такой последовательности. Зараженный компьютер с заданным интервалом инициирует соединение поочередно со всеми другими компьютерами сети и проверяет наличие на них открытых для общего доступа файлов. Если такие есть, происходит инфицирование.

Сеть Интернет

Глобальная вычислительная сеть (ГВС)3) - это компьютерная сеть, покрывающая большие территории - города, страны, континенты.

Самая большая и самая известная на сегодняшний день глобальная вычислительная сеть - это всемирная сеть Интернет.

Интернет (от англ. Internet) - всемирная система объединенных компьютерных сетей.

Таким образом, компьютер на уровне учебного класса может входить в локальную сеть лаборатории информатики, на уровне школы - в школьную локальную сеть, которая в свою очередь может быть подключена к сети Интернет.

Количество компьютеров, постоянно или временно подключенных к Интернет на сегодняшний день достигает почти 1 миллиарда. Это означает, что приблизительно каждый шестой житель Земли имеет доступ в Интернет.

Наличие сети такого масштаба делает возможным всемирные эпидемии компьютерных вирусов.

Пример. 30 апреля 2004 года были обнаружены первые экземпляры вируса Sasser - в течение дня им было атаковано около 4 тысяч компьютеров, что вызвало серьезные сбои в работе таких компаний как Postbank, Delta Air Lines, Goldman Sachs.
Впоследствии было поражено более 8 млн. компьютеров, а убытки от Sasser были оценены в 979 млн. долларов США.

Ключевым элементом Интернет являются веб-сайты (от англ. web - паутина и site -место). Веб-сайт - это совокупность документов, размещенных на одном или нескольких серверах, которые подключены к сети Интернет и обеспечивают доступ к этим документам для других пользователей Интернет. Каждому веб-сайту соответствует один или несколько Интернет-адресов вида www.viruslist.com, www.google.com. Таким образом, зная адрес веб-сайта, любой пользователь Интернет может подключиться к нему и запросить размещенную там информацию. Часто веб


8

сайты называют сокращенно просто сайтами.

Большинство веб-сайтов в Интернет представляют собой совокупность документов, состоящих из гипертекста, и связанных между собой с помощью гиперссылок.

Гипертекст - это размеченный текст, содержащий в себе ссылки на внешние ресурсы. Такие ссылки называются гиперссылками.

Таким образом, попав на одну страницу веб-сайта, с помощью гиперссылок можно перейти на другие. Часто гиперссылкой или просто ссылкой называют и адрес вебсайта.

Электронная почта

Электронная почта 4) - это способ передачи информации в компьютерных сетях, основанный на пересылке пакетов данных, называемых электронными письмами.

Суть электронной почты заключается в том, что любой пользователь, работающий за подключенным к компьютерной сети компьютером, может создать почтовый ящик и зарезервировать соответствующий ему адрес электронной почты.

Адрес электронной почты - это имя вида user@domain.ru, где ru - название зоны, в данном случае это Россия, domain - это обозначение компьютера, на котором будет храниться почтовый ящик (доменное имя), user - имя пользователя 5)

Таким образом, пользователь фактически получает некоторое количество памяти на жестком диске удаленного компьютера, который постоянно находится во включенном состоянии. Любой другой человек может написать ему письмо, которое до прочтения адресатом будет храниться на этом сервере.

Электронное письмо представляет собой файл с набором обязательных параметров: электронные адреса отправителя и получателя, заголовок, тело письма и некоторые другие служебные данные. Заголовок письма иногда также называют темой - обычно это фраза, отражающая общий смысл письма, например “С Новым годом!” или “Экзаменационные билеты”. Основной текст сообщения указывается в его теле и если кроме него необходимо переслать файлы, их прикрепляют к письму - совокупность таких файлов называется вложением.

На сегодняшний день электронная почта выступает основным путем распространения вирусов. Это происходит потому, что время доставки письма очень мало (обычно исчисляется минутами) и практически все пользователи Интернет имеют как минимум один почтовый ящик. При этом для того, чтобы доставить пользователю на компьютер зараженный файл, не нужно его принуждать куда-либо обратиться и скопировать к себе вирус. Достаточно лишь прислать на его электронный адрес инфицированное письмо и заставить адресата его открыть.

Опытные пользователи знают, что не нужно принимать сообщения, пришедшие от неизвестных людей. Большинство программ, которые отвечают за прием и отправку


9

почты, позволяют перед прочтением нового письма просмотреть адреса отправителя и получателя и тему. Если хотя бы один адрес оказывается неизвестным, а тема подозрительна, его принимать и тем более читать и открывать вложение настоятельно не рекомендуется.

Однако вирусописатели для ослабления бдительности нередко используют обманные методы. Например, в параметрах письма в качестве отправителя указывают адрес, очень похожий на настоящий, или завлекающий текст в теме.

Пример. Horillka распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам с такими параметрами: заголовок - “Внимание!”, текст:

Выпущено новое vbs обновление для поиска вирусов в памяти ОС Windows! Оно помогает бороться с вирусами, рассылающимися по почте. Антивирусный модуль написан на скрипт-языке, что помогает перехватывать vb и js вирусы, прежде чем они начнут деструктивную деятельность. Достаточно открыть файл и программа по устранению вирусов проведет поиск вредоносных программ в памяти компьютера.

Во вложении находится файл с именем “WinSys32dll.vbs”, после его запуска происходит заражение компьютера. Как результат, 11 декабря каждого года на экран выдается сообщение “COOOOOOOOL” и после следующей перезагрузки уничтожаются все данные на жестком диске.

Пример. LoveLetter в мае 2000 года в течение всего нескольких часов заразил миллионы компьютеров по всему миру. Такому успеху способствовала удачно выбранная тема, интригующий текст и имя вложенного файла - “ILOVEYOU”, “kindly check the attached LOVELETTER coming from me” и “LOVE-LETTER-FOR-YOU.TXT.vbs. После заражения происходила кража конфиденциальной информации и искажение содержимого некоторых файлов на жестком диске.

Однако часто для инфицирования даже не требуется запускать вложение - существуют методы, позволяющие заражать даже при обычном прочтении письма.

Операционная система. Уязвимости и заплаты

Все программы можно разделить на два типа - прикладные и системные.

Прикладное программное обеспечение(прикладные программы) - это программы, предназначенные для выполнения определенных пользовательских задач и рассчитанные на непосредственное взаимодействие с пользователем. Прикладные программы часто называют приложениями.

Системное программное обеспечение используется для обеспечения работы компьютера самого по себе и выполнения прикладных программ.

В персональном компьютере под прикладными программами понимаются различные текстовые редакторы, игры, почтовые программы, электронные словари. Роль базового системного программного обеспечения играет операционная система.


10