Угроза новейших компьютерных вирусов и средства борьбы с ними

ИНОСТРАННАЯ ПЕЧАТЬ

ОБ ЭКОНОМИЧЕСКОМ, НАУЧНО-ТЕХНИЧЕСКОМ И ВОЕННОМ ПОТЕНЦИАЛЕ ГОСУДАРСТВ - УЧАСТНИКОВ СНГ И ТЕХНИЧЕСКИХ СРЕДСТВАХ .ЕГО ВЫЯВЛЕНИЯ

Серия: "ТЕХНИЧЕСКИЕ СРЕДСТВА РАЗВЕДЫВАТЕЛЬНЫХ СЛУЖБ ЗАРУБЕЖНЫХ ГОСУДАРСТВ"

Ежемесячный информационный бюллетень 5

Угроза новейших компьютерных вирусов и средства борьбы с ними

В журнале Security Management опубликована статья D. Harley, чле-на европейского института компьютерных антивирусных исследований (EICAR), в которой он рассматривает проблему распространения новейших компьютерных вирусов и способы борьбы с ними.

Melissa, Love Letter, Marker, Laroux, Ethan. Автор статьи задается вопро-сом: что означает имя? В данном случае разрушение, иногда выражающееся в вызванном им прямом ущербе, и всегда - в неразберихе и неправильной информации. Эти имена означают вирусы или "болезни" системного обеспе-чения. Немногие после получения на первый взгляд невинного сообщения по e-mail или других хитроумно скрытых вирусов предприняли какие-то ша-ги для того, чтобы профильтровать плохо подготовленные корпоративные компьютерные системы. .

Эта проблема освещается в средствах массовой информации, но до сих пор изобилуют неверные точки зрения по данному поводу. Как обыкновенная программа превращается в вирус? Часто используемое определение можно найти в "Кратком курсе по компьютерным вирусам" д-ра F. Cohen - это "программа, которая может вредить другим программам, видоизменяя их, часто включающая при этом метод копирования самой себя".

Подобные определения, по мнению автора статьи, являются немного рас-плывчатыми в понимании термина "вредить". В данном контексте этот тер-мин означает, что программа включается в существующую цепь команд, при этом пытаясь использовать результаты действительной программы в исполнении вируса наряду с ней или вместо нее.

Вирус не должен содержать в себе никакой полезной нагрузки, "болезни" или чего-то другого, так же как он не должен действовать скрыто, хотя мно-гие из них действуют именно таким образом. Он должен лишь копировать.

Угрозы. Существует множество вирусов и других вредных программ:

вредители сектора самозагрузки BSI, вирусы, которые вредят программ-ным файлам, макровирусы, "Интернет-черви", "троянские кони" и мемети-ческие вирусы (термин, введенный биологом R. Dawkins, который относится к вирусам-мистификаторам и цепочкам писем, например). Мы рассмотрим вкратце эти различные типы программ, а затем пути борьбы с ними, кото-рые могут применять пользователи.

BSI вредят установочной программе или программе DOS (которая со-держит в себе программу ИНТЕЛ, используемую для запуска программы). Эти вирусы продолжают распространяться, однако в настоящее время их доля среди общего количества вирусов в мире заметно сократилась; а новые BSI являются своего рода раритетом, поскольку их непросто записывать, они не могут свободно распространяться по сети, и в наше время люди об-мениваются файлами, главным образом, с помощью электронной почты, а не дискет.

Вредители программных файлов. Вредители программных файлов портят файлы, с помощью которых осуществляется исполнение программ. Исторически, вирусы, которые вредят программным файлам (в том числе ЕХЕ, СОМ, DLL) могут быстро распространяться по файлам (в том чи-сле в отдельно взятом компьютере и даже по локальным сетям, повреждая отдельные файлы. Однако они имеют тенденцию быть менее успешными в распространении по локальным сетям, поскольку люди продают программ-ные файлы на жестких дисках или через электронную почту не с такой частотой, с какой обмениваются файлами, содержащими текущую информа-цию. Наиболее распространенной является современная вирусосодержащая программа, которая часто называется "Интернет-черви", о которой будет рассказано ниже. Некоторые вирусы разрушают как программные, так и исполнительные файлы. Это тип многофункционального вируса, который использует не один "инфекционный" механизм.

Макровирусы - это автоматическая программа, которая помогает поль-зователям избежать исполнение повторяющихся задач. Макровирусы вре-дят программному окружению макросов чаще, чем определенным опера-тивным системам и программному окружению. Поскольку макропрограммы Microsoft Office содержатся в информационных файлах, таких как докумен-ты Word, которыми часто обмениваются пользователи PC, макровирусы, присущие Microsoft, гораздо более широко распространены, чем BSI пли вре-дители программных файлов. Microsoft Office представляет собой наиболее благоприятное для вирусов окружение. По своей численности макровирусы в Microsoft Word, вероятно, вызывают наибольшее количество повреждений.

"Интернет-черви" также используют копирование, но существуют от-дельные проблемы в их определении. Одно удачное и не слишком распро-страненное определение вводит различие между ними в зависимости от приложения. В то время как вирус в определенном смысле прикрепляется к действительной программе, "червь" копирует сам себя в системе и сетях без прикрепления к хозяйской программе, хотя он может иногда, например, прикрепляться к e-mail.

Множество новейших вирусов в различных исследованиях были клас-сифицированы по различным признакам и называются вирусами, червями, гибридами вирусов, и "троянскими конями".

Троянские кони. Вирусы часто определяются как особый вид "троян-ского коня", но автор предпочитает разделять эти понятия с точки зрения копирования. Если основной характеристикой вируса является копирование, его нельзя отнести к "троянскому коню". "Троянцы" претендуют на то, что-бы делать что-либо полезное (и могут иногда даже это делать), но в то же время сделают то, о чем жертва не будет даже подозревать и хотеть этого. "Троянцы" часто подразделяются на два класса: воры паролей и программы, которые приносят конкретный вред (обычно файлам и файловым системам). На практике реальная картина является более беспорядочной. Некоторые вирусы крадут пароли, но некоторые "троянцы" не приносят конкретного вреда (шуточные программы, к примеру, только претендуют на то, чтобы приносить вред).

Хотя немногие продавцы антивирусного системного обеспечения говорят о том, что оно обнаруживает всех известных "троянцев", большинство из них определяют, по меньшей мере, некоторых из них, особенно тех, кото-рые приносят прямой вред, при этом претендуя на то, чтобы делать что-нибудь еще. У антивирусного системного обеспечения есть меньше шансов определить вирус, когда оно включает в себя программу, осуществляющую какую-либо операцию (такую, как сетевое/портальное сканирование), кото-рая становится незаконной только благодаря намерениям пользователя. Ска-нер мог бы сообщить, что программа открывает канал для общения с другой машиной, но он не может четко сказать, знаете ли Вы, что канал находится там, или что Вы понимаете последствия его открытия. Факт получения до-ступа к определенной программе лишь после идентификации пользователя является чертой, присущей всем оперативным системам с участием многих пользователей, таких как UNIX, NT или VMS, но он ограничивает влияние "троянцев" лишь на определенном уровне. Он не может запретить пользо-вателю (включая администратора) уничтожение своих собственных файлов. Инструменты отдаленного доступа (RAT), такие как Netbus и Back Orifice, являются примерами программ, которые попадают в эту категорию.

Это представляет существенную проблему для определения. Программа, которая уничтожает файлы, не является вредителем, если она называется DELETE (уничтожение) и к ней прикладывается файл-подсказка, который гласит "Эта программа уничтожает файлы". Если она маскируется под дру-гую программу, которая не должна уничтожать файлы, то она относится к вирусам. Здесь есть разница в намерениях, но антивирусные программы не в состоянии определить разницу между хорошим и плохим намерением.

Инструменты отдаленного доступа являются еще более неопределенны-ми. Функционально может не существовать разницы между RAT и настоя-щими инструментами. Так же как в случае с сетевыми сканерами, функция является вторичной по отношению к мотивации.

Если системное оборудование клиента намеренно установлено таким образом, что открывает систему для будущего заражения вирусами, отно-сится ли оно к "троянцам"? Предположительно нет, так как в этом случае Microsoft Office также будет относиться к "троянскому коню". Продавцы антивирусных программ стараются опускать эти вопросы на конференци-ях. На практике они обычно настраивают системное оборудование таким образом, что оно подает сигнал тревоги при запуске подобных программ, и оно оставляет выбор за пользователем.

Похожая проблема возникла в последнее время с распространением от-каза от сервиса (DDoS), когда компьютер клиента используется для распро-странения вируса на внешний сайт вместо прямого немедленного заражения хозяйской системы. Решение этой проблемы предполагает наличие несколь-ких способов защиты - отказа от обслуживания, внедрение детектирую-щих систем, входящее и исходящее фильтрование, ограничение скорости - все вышеперечисленное может помочь в ее разрешении. Ограничение скоро-сти является способом уменьшения влияния вирусных нападений с помощью сравнения притока определенных типов файлов по отношению к ожидаемо-му количеству. Если, к примеру, стандартным является поступление 5% пакетов ICMP, а пропорция ожидаемых информационных поступлений не-ожиданно резко возрастает, то следует устранить некоторые из файлов для того, чтобы довести их количество до нормального уровня. Это не является окончательной победой: до сих пор продолжается отрицание сервиса из-за маршрута, который определяет вход и выход пакетов из сети, при этом не различая действительных и зараженных пакетов, выбрасывая и тех и дру-гих из сети. Этот метод помогает тем, что хотя бы один выделенный сервер, например, веб-сервер, не разрушается.

Антивирусное сообщество внесло значительный вклад в дело борьбы с вирусами с помощью предоставления возможности своему системному обо-рудованию обнаруживать системное оборудование клиента, которое должно быть установлено прежде чем сайт подвергнется нападению вирусов. Тем не менее, для "плохих парней" достаточно просто создавать новые инструмен-ты, что приведет к тому, что новые вирусные варианты не смогут быть идентифицированы без дополнительных поисковых ресурсов. Более того, продолжающиеся атаки древних макровирусов BSI и пре-Офис 97 демон-стрируют тот факт, что продолжительность действия вируса не обязатель-но зависит от того, как давно антивирусное сообщество научилось распо-знавать его.

Меметические вирусы. Другая категория вирусов - это меметические "вирусы разума". Этот класс включает в себя не только вирусные уловки (часто называемые метавирусы), но и другие цепи писем, ложных сигналов тревоги, правильных, но бесполезных сигналов. Эти неприятно-сти также пересекаются с такими помехами, как получение непрошеного коммерческого предложения по электронной почте и непомерное увеличение объема почтового ящика.

Помимо существенного вреда, причиняемого ими самими, имеется угро-за от их взаимодействия; кроме того, угроза вирусов увеличила количество и разнообразие опасностей, связанных с электронной почтой. Мы имеем не только вирусные уловки, но реальные вирусы и "троянских коней" , маскиру-ющихся под антивирусные программы, "червей", использующих текстовые сообщения и послания для того, чтобы обманным путем заставить получа-теля выполнить неверную операцию.

Следующее поколение. Сегодняшние "Интернет-черви" и вирусы, пе-редающиеся через электронную почту, имеют "высокую степень рождаемо-сти" . У них имеется потенциал для того, чтобы распространяться совмест-но, прежде чем продавцы антивирусных программ смогут распространить средства защиты и очищения от вирусов, как произошло в случае с мас-совым появлением новейших вирусов - - Мелисса и Любовное письмо (Love letter). Однако механизм причинения вреда изменился. Например, один ви-рус, называемый "Счастье 99", является файлом ЕХЕ, который вредит фай-лу WSOCK 32 DLL (это один из файлов, которые позволяют пользователю Windows получить доступ в Интернет). После заражения каждое правильное сообщение по e-mail, отправленное посредством зараженной машины, сопро-вождается электронной копией вируса, адресованной тому же получателю. (Например, вирус "Счастье 99" копирует сам себя как приложение: реально же сообщение пусто). Однако Bubbleboy и КАК содержатся в тексте самого сообщения, а не являются его приложением.

"Любовное письмо", по контрасту, написано шрифтом Visual Basic Script (VBS), который может внедриться в шрифт html и применяться многими веббраузерами, а также во многих программах электронной почты. В слу-чае с "Любовным письмом", VBS распространяет путем рассылки копий самого себя как почтового приложения или путем mIRC (текущий обмен (сПа1)/системное обеспечение для сообщений), а также переписывает неко-торые типы файлов, при этом копируя самого себя. "Мелисса" использует другой подход. Это макровирус, однако подобно "Любовному письму" про-никает в компьютер жертвы через записную книжку Microsoft Outlook.

Новое поколение вирусов "Интернет-черви" распространяется вслепую без знания своих потенциальных жертв таким образом, чтобы получатель поверил, что полученное сообщение пришло из достоверного источника. Их авторы также уделяют большое внимание технологиям социального инжи-ниринга для того чтобы вынудить потенциальную жертву совершить невер-ную операцию. Например, полученное Вами по электронной почте письмо, содержащее указание предмета или текстовое сообщение, будет составлено с расчетом, чтобы заинтересовать получателя, например, "Шутка" или "Я тебя люблю", а также создавать видимость своей аутентичности с Вашим знакомым, реальным отправителем.

Пути решения проблемы. Если выше были описаны опасности рас-пространения вирусов, то теперь автор предлагает поговорить о том, что можно предпринять для уменьшения их влияния. Существует четыре основ-ных подхода к решению данной проблемы: модификация предварительно опустошенного окружения для того, чтобы сделать его нечувствительным к вирусам; групповое, реактивное антивирусное системное обеспечение; реак-тивное системное обеспечение для каждого рода вируса; и групповое, осно-ванное на слиянии присущих для каждого рода вирусов системных обеспе-чении (гибридное обеспечение).

Модификация, окружения. Возникает искушение предложить, чтобы пользователи избегали работы в оперативной системе Microsoft или ее при-ложениях, однако для большинства современных окружений подобный шаг будет равнозначен снижению риска возникновения пожара при помощи уда-ления всего кислорода из атмосферы.

Необходимый первый шаг, который могут сделать пользователи в на-правлении создания безопасного сетевого окружения - это соблюдать все необходимые меры безопасности. Кроме того, они могут значительно сни-зить риск сбоя системы, перестав использовать небезопасные возможности подобно шрифту Windows.

Системные администраторы должны рекомендовать пользователям по возможности отказаться от использования макросов и подобных макросам форматов документов.

Также полезно наладить все компьютеры таким образом, чтобы сделать невозможной самозагрузку гибких дисков или изменить КМОП-структуру (CMOS) по умолчанию жесткого диска нежели гибкого диска, даже тогда, когда есть место на диске А. Эта мера позволит предупредить распростра-нение вирусов сектора самозагрузки.

Компания должна проводить такую политику и использовать такие образовательные программы, чтобы научить пользователей, с какой осто-рожностью им следует обращаться с неизвестными файлами. Эта политика должна включать в себя также использование и применение антивирусно-го программного обеспечения. Менеджеры также должны отговаривать от распространения непроверенных сигналов о наличии вирусов, применения непроверенных антивирусных программ и других подобных файлов.

Групповое реактивное обеспечение. Общий подход к болезни может быть охарактеризован как процесс обнаружения подозрительных аномалий без моментального определения наличия угрозы вируса. Стандартные ре-шения могут только предупредить пользователя о том, что в системе могут быть обнаружены вирусы. Они не помогут точно установить, что вирус или подобная угроза существует, определить, какой это может быть вирус, или разъяснить, как с этим вирусом лучше бороться. Стандартные подходы ред-ко используются в качестве основных мер борьбы в связи с ограниченностью их ресурсов. В то же время они могут очень хорошо действовать в качестве "Раннего предупреждения" о том, что в системе обнаружены непонятные аномалии. Они могут быть использованы в качестве дополнительного ком-понента построения многопластового "рва и двери" в качестве стратегии борьбы с вирусами.

Одна общая стандартная мера включает в себя полный контроль обсле-дования, в ходе которого выявляется наличие вируса или другой угрозы в связи с изменениями в первично обработанном выбранном файле или целой области системы. Вторая общая мера - это использование режима монито-ринга/блокирования, в ходе которого выявляется наличие вируса в связи с явным намерением программы выполнить подозрительные операции, такие как уничтожение файлов, форматирование дисков или начало копирования самой себя.

Реактивное системное обеспечение для борьбы с определенны-ми вирусами. Этот метод осуществляется путем поиска уже известной угрозы. Он называется "Сканирование вируса" (KVS), он позволяет пользо-вателю узнать о том, что система заражена вирусами х, у, z. Иногда этот ме-тод помогает пользователю бороться с указанными вирусами. Термин "ска-нирование знаю кое-что" часто используется для обнаружения того факта, что другие формы болезни могут также присутствовать с более или менее точной степенью вероятности. Сканеры, использующие этот метод, обыч-но подразделяются на два класса: по требованию и по доступу (реальное время). Сканеры "по требованию" запускаются тогда, когда это требуется, либо поскольку пользователь этого желает (для того, чт'обы проверить гиб-кий диск неизвестного) происхождения или непонятное сообщение по e-mail), либо если встроенное или третье системное оборудование должно сработать в заранее установленное время.

Сканеры реального времени сохраняются в памяти постоянно в тече-ние одной обработки данных. Они не сканируют всю систему, вместо этого они изучают определенные файлы, когда операционная система или другие средства допускают это.

Гибридное системное обеспечение. Это системное обеспечение объ-единяет в себе групповой метод и метод борьбы с конкретными вирусами. Наиболее ярким примером данного подхода является эвристическое сканиро-вание, в используемом для обозначения сканера несколько неточном термине применяется "правило большого пальца" для обнаружения вирусов, которые он не мог обнаружить при первичной проверке (подобно режиму мониторин-га). На самом деле, фактические все известные сканеры вирусов по своей природе являются эвристическими, поскольку точное определение вируса с помощью проверки каждого байта предположительно зараженного файла будет являться ненужным занятием по мнению большинства покупателей.

Некоторые продавцы используют смешанный подход, совмещающий в себе метод обнаружения изменений и сканирование "знаю кое-что". Ска-нирование доступа контролирует только соответствие файла ранее устано-вленным стандартам. Если данный файл соответствует данному стандарту, то процесс проверки заканчивается, если нет, то файл сканируется с помо-щью метода "знаю кое-что".

Большинство продавцов антивирусных программ предпочитают систем-ное обеспечение KVS, несмотря на все его несовершенство. Преимущества этого метода следующие: его легко усовершенствовать в связи с постоянно возникающими новейшими вирусами. Кроме того, он нравится покупателям (возможно, это является результатом хорошего маркетинга) и работает без перебоев. Тем не менее данный сканер не может определить многие виды вирусов.

До "взрыва рождаемости" макровирусов и "Интернет-червей", счита-лось достаточным совершенствовать антивирусное обеспечение ежемесячно или даже ежеквартально. В наше время сканеры, в которые антивирусные оболочки могут быть добавлены только с помощью смены сложной коди-ровки системы жесткого диска, стали не очень популярны. Пакеты, кото-рые могут добавить новые оболочки и даже программы, имеют перед ними преимущество, хотя бы во времени, поскольку новые вирусы могут распро-страняться по всему миру всего за несколько часов. Продавцам, которые используют старую модель ежемесячного совершенствования программ, ви-димо, скоро придется выпускать промежуточные драйверы несколько раз в неделю.

Намечающиеся перспективы. Последние тенденции включают в се-бя возросшее внимание к сканированию при входе в электронную почту, нежели сканированию на рабочем столе (хотя желательно совмещать оба вида сканирования), а также интеграцию сканирования вирусов с фильтро-ванием других сред. Это может включать в себя, в частности, лексический анализ для обнаружения уловок, мешанины сообщений ("колбасный фарш") и цепочек писем.

Наряду с возросшей надежностью временного сканирования и умень-шением влияния гибких дисков как фактора увеличения риска зараже-ния вирусами прослеживается также тенденция отхода от персональных компьютеров-шлюзов, через которые должна проходить информация для сканирования, прежде чем ей попасть на рабочую станцию. Этот способ хорош тем, что он экономит время, но антивирусное обеспечение на рабочих станциях должно быть надлежащим образом модернизировано.

Основная технология также должна стать более изощренной. Эвристи-ки стали действовать быстрее и совершать меньше ошибок, хотя степень их надежности составляет гораздо меньше 100%. Комплексное, автоматизи-рованное взаимодействие с обратной связью между сайтом покупателя и си-стемой антивирусного обеспечения продавца развивалось в течение длитель-ного времени, основываясь на модели биологических автоимунных систем. Основная идея заключается в том, что сканер определяет возможный вирус на клиентском сайте, посылает его на сайт продавца для автоматизиро-ванного анализа. Если анализ дает положительный результат, то продавец посылает корректировки пользователю, а также направляет ее остальным своим пользователям. Множество основных производителей антивирусного обеспечения предлагает в данное время подобные услуги. Кроме того, про-давцы антивирусных программ приходят наконец-таки к пониманию того факта, что не могут существовать более в безвоздушном пространстве и сейчас они стали высказывать инициативы по интеграции с корпоративны-ми и частными защитными и поисковыми системами.

Определить, какая именно антивирусная программа необходима имен-но для данной системы, бывает довольно сложно (и специфический совет в данной ситуации выходит за рамки данной статьи). Тем не менее, автор может с уверенностью заявить, что цена и процент обнаружения вирусов не являются единственными факторами, которые нужно оценивать. Также не-обходимо оценить степень функциональности (охват объектов и количество определяемых вирусов), простоту в использовании и конфигурацию, регу-лярность и доступность обновлений, совместимость с другим программным обеспечением, а также наличие функции поддержки (подстрока "помощь", документация, а также обучение пользованию программой и борьбе с виру-сами).

Компьютеры и работа в сети стали составной частью делового окру-жения, электронная почта из новинки превратилась в необходимость, что повышает для корпораций степень риска заряжения вирусами. Поскольку с течением времени вирусы становятся все более изощренными и разруши-тельными, подобная степень риска со временем будет только увеличиваться. Если компании не хотят столкнуться с разрушением своих баз данных и свя-занной с этим потерей времени, они должны серьезно задуматься о необхо-димости принимать превентивные и реактивные меры по борьбе с вирусом в своей повседневной деятельности.

Security Management.- 2000.- August.- P. 88, 90, 92, 92, 94.

Для комментирования необходимо зарегистрироваться на сайте

  • <a href="http://www.instaforex.com/ru/?x=NKX" data-mce-href="http://www.instaforex.com/ru/?x=NKX">InstaForex</a>
  • share4you сервис для новичков и профессионалов
  • Animation

  • На развитие сайта

    нам необходимо оплачивать отдельные сервера для хранения такого объема информации