ÚVOD
Žijeme na prelome dvoch tisícročí, kedy ľudstvo vstúpilo do éry novej vedecko-technickej revolúcie.
Do konca dvadsiateho storočia ľudia ovládali mnohé tajomstvá premeny hmoty a energie a dokázali tieto poznatky využiť na zlepšenie svojho života. Okrem hmoty a energie však v živote človeka zohráva obrovskú úlohu ešte jedna zložka – informácie. Ide o širokú škálu informácií, správ, správ, vedomostí, zručností.
V polovici nášho storočia boli špeciálne zariadenia- počítače zamerané na ukladanie a transformáciu informácií a došlo k počítačovej revolúcii.
Dnes sa, žiaľ, ukázalo masové používanie osobných počítačov spojené so vznikom samoreprodukujúcich sa vírusových programov, ktoré bránia normálnej prevádzke počítača, ničia súborovú štruktúru diskov a poškodzujú informácie uložené v počítači.
Napriek zákonom prijatým v mnohých krajinách na boj proti počítačovej kriminalite a vývoj špeciálnych softvérové nástroje ochrana pred vírusmi, počet nových softvérové vírusy neustále rastie. To si vyžaduje, aby používateľ osobného počítača vedel o povahe vírusov, ako ich infikovať a chrániť pred vírusmi. To bol podnet na výber témy mojej práce.
To je to, o čom hovorím vo svojej eseji. Ukážem hlavné typy vírusov, zvážim schémy ich fungovania, dôvody ich vzhľadu a spôsoby prenikania do počítača a tiež navrhujem opatrenia na ochranu a prevenciu.
Účelom práce je oboznámiť používateľa so základmi počítačovej virológie, naučiť ho detekovať vírusy a bojovať proti nim. Metódou práce je analýza tlačených publikácií na túto tému. Stál som pred náročnou úlohou – hovoriť o tom, čo bolo veľmi málo preštudované a ako sa to stalo – vy budete sudcom.
1. POČÍTAČOVÉ VÍRUSY A ICH VLASTNOSTI A KLASIFIKÁCIA
1.1. Vlastnosti počítačové vírusy
Teraz sa používajú osobné počítače, v ktorých má používateľ voľný prístup ku všetkým zdrojom stroja. To otvorilo možnosť pre nebezpečenstvo, ktoré sa stalo známym ako počítačový vírus.
Čo je počítačový vírus? Formálna definícia tohto pojmu ešte nebola vynájdená a existujú vážne pochybnosti o tom, že ju možno vôbec podať. Početné pokusy poskytnúť „modernú“ definíciu vírusu neboli úspešné. Aby ste pocítili zložitosť problému, skúste si napríklad definovať pojem „editor“. Buď prídete na niečo veľmi všeobecné, alebo začnete vypisovať všetky známe typy editorov. Oboje možno len ťažko považovať za prijateľné. Preto sa obmedzíme na zváženie niektorých vlastností počítačových vírusov, ktoré nám umožňujú hovoriť o nich ako o určitej špecifickej triede programov.
Po prvé, vírus je program. Už len takéto jednoduché tvrdenie môže vyvrátiť mnohé legendy o mimoriadnych schopnostiach počítačových vírusov. Vírus dokáže prevrátiť obraz na vašom monitore, ale nedokáže prevrátiť samotný monitor. K legendám o vražedných vírusoch, ktoré „ničia operátorov zobrazením smrtiaceho farby 25th frame“ tiež netreba brať vážne. Žiaľ, niektoré autoritatívne publikácie z času na čas uverejnia „najnovšie správy z počítačového frontu“, ktoré sa po bližšom skúmaní ukážu ako výsledok nie celkom jasného pochopenia témy.
Vírus je program, ktorý má schopnosť reprodukovať sa. Táto schopnosť je jediným prostriedkom, ktorý je vlastný všetkým typom vírusov. Ale nielen vírusy sú schopné sebareplikácie. Každý operačný systém a mnohé ďalšie programy sú schopné vytvárať svoje vlastné kópie. Kópie toho istého vírusu sa nielen nemusia úplne zhodovať s originálom, ale nemusia sa zhodovať vôbec!
Vírus nemôže existovať v „úplnej izolácii“: dnes si nemožno predstaviť vírus, ktorý nepoužíva kód iných programov, informácie o štruktúre súborov alebo dokonca len názvy iných programov. Dôvod je jasný: vírus musí nejakým spôsobom zabezpečiť odovzdanie kontroly na seba.
1.2. Klasifikácia vírusov
V súčasnosti je známych viac ako 5 000 softvérových vírusov, ktoré možno klasifikovať podľa nasledujúcich kritérií:
¨ biotop
¨ spôsob kontaminácie životného prostredia
¨ vplyv
¨ vlastnosti algoritmu
V závislosti od biotopu možno vírusy rozdeliť na sieťové, súborové, zavádzacie a spúšťané zo súboru. Sieťové vírusy distribuované cez rôzne počítačové siete. Súborové vírusy sa zavádzajú najmä do spustiteľných modulov, teda do súborov s príponami COM a EXE. Súborové vírusy môžu byť vložené do iných typov súborov, ale spravidla zapísané v takýchto súboroch nikdy nezískajú kontrolu, a preto strácajú schopnosť reprodukovať. Spúšťacie vírusy sú vložené do zavádzacieho sektora disku (Boot-sector) alebo do sektora obsahujúceho zavádzací program systémový disk(Master Boot Re-
šnúra). Spustenie súboru vírusy infikujú oba súbory a zavádzacie sektory disky.
Podľa spôsobu infekcie sa vírusy delia na rezidentné a nerezidentné. Rezidentný vírus pri infikovaní (infikovaní) počítača ho nechá v Náhodný vstup do pamäťe jeho rezidentná časť, ktorá následne zachytí prístup operačného systému k infikovaným objektom (súbory, boot sektory disku a pod.) a vstrekne sa do nich. Rezidentné vírusy sú uložené v pamäti a zostávajú aktívne, kým sa počítač nevypne alebo nereštartuje. Nerezidentné vírusy neinfikujú pamäť počítača a sú aktívne len obmedzený čas.
Podľa stupňa dopadu možno vírusy rozdeliť do nasledujúcich typov:
¨ nie je nebezpečný, ktoré nezasahujú do prevádzky počítača, ale znižujú množstvo voľnej pamäte RAM a miesta na disku, akcie takýchto vírusov sa prejavujú akýmikoľvek grafickými alebo zvukovými efektmi
¨ nebezpečné vírusy, ktoré môžu spôsobiť rôzne problémy s počítačom
¨ veľmi nebezpečné, ktorých vplyv môže viesť k strate programov, zničeniu údajov, vymazaniu informácií v systémových oblastiach disku.
2. HLAVNÉ TYPY VÍRUSOV A SCHÉMY ICH FUNGOVANIA
Medzi rôznymi vírusmi možno rozlíšiť tieto hlavné skupiny:
¨ naštartovať
¨ súbor
¨ bootovanie zo súboru
Teraz podrobnejšie o každej z týchto skupín.
2.1. Spúšťacie vírusy
Zvážte fungovanie veľmi jednoduchého zavádzacieho vírusu, ktorý infikuje diskety. Zámerne obchádzame všetky početné jemnosti, s ktorými by sme sa nevyhnutne stretli pri dôslednej analýze algoritmu jeho fungovania.
Čo sa stane, keď zapnete počítač? Najprv sa prenesie kontrola bootstrap program, ktorá je uložená v pamäti iba na čítanie (ROM) t.j. PNZ ROM.
Tento program otestuje hardvér a ak testy prebehnú úspešne, pokúsi sa nájsť disketu v jednotke A:
Každá disketa je označená na tzv. sektory a stopy. Sektory sa spájajú do zhlukov, ale to pre nás nie je podstatné.
Medzi sektormi je niekoľko servisných, ktoré operačný systém využíva pre svoje potreby (do týchto sektorov nie je možné umiestniť vaše údaje). Spomedzi sektorov služieb nás stále zaujíma jeden – tzv. bootstrap sektor(bootovací sektor).
Obchody v bootstrap sektore informácie o disketách- počet povrchov, počet stôp, počet sektorov atď. Ale teraz nás nezaujímajú tieto informácie, ale malé bootstrap program(PNZ), ktorý by mal načítať samotný operačný systém a preniesť naň riadenie.
Takže normálny bootstrap vzor je nasledovný:
Teraz zvážte vírus. Pri boot vírusoch sa rozlišujú dve časti – tzv. hlavu atď. chvost. Chvost môže byť vo všeobecnosti prázdny.
Predpokladajme, že máte prázdnu disketu a infikovaný počítač, čím myslíme počítač s aktívnym rezidentným vírusom. Akonáhle tento vírus zistí, že sa v mechanike objavila vhodná obeť – v našom prípade disketa, ktorá nie je chránená proti zápisu a ešte nie je infikovaná, pristúpi k infekcii. Pri infikovaní diskety vírus vykoná nasledujúce akcie:
Pridelí určitú oblasť disku a označí ju ako neprístupnú pre operačný systém, dá sa to urobiť rôznymi spôsobmi, v najjednoduchšom a tradičnom prípade sú sektory obsadené vírusom označené ako zlé (zlé)
Skopíruje svoj chvost a pôvodný (zdravý) zavádzací sektor do vybranej oblasti disku
Nahrádza bootstrap program v (skutočnom) zavádzacom sektore jeho hlavou
Organizuje riadiaci prenosový reťazec podľa schémy.
Hlava vírusu je teda teraz prvá, ktorá prevezme kontrolu, vírus sa nainštaluje do pamäte a prenesie kontrolu do pôvodného zavádzacieho sektora. V reťazci
PNZ (ROM) - PNZ (disk) - SYSTÉM
objaví sa nový odkaz:
PNZ (ROM) - VÍRUS - PNZ (disk) - SYSTÉM
Morálka je jasná: nikdy (náhodou) nenechávajte diskety v jednotke A.
Preskúmali sme fungovanie jednoduchého vírusu butovy, ktorý žije v zavádzacích sektoroch diskiet. Vírusy môžu spravidla infikovať nielen boot sektory diskiet, ale aj boot sektory pevných diskov. V tomto prípade, na rozdiel od diskiet, má pevný disk dva typy zavádzacích sektorov obsahujúcich zavádzacie programy, ktoré prijímajú kontrolu. Pri zavádzaní počítača z pevného disku najprv prevezme kontrolu spúšťací program v MBR (Master Boot Record - Master Boot Record). Ak je váš pevný disk rozdelený na niekoľko oddielov, iba jeden z nich je označený ako bootovateľný (bootovací). Program bootstrap v MBR nájde zavádzaciu oblasť pevného disku a prenesie riadenie na zavádzač tejto oblasti. Kód druhého je rovnaký ako kód zavádzacieho programu na bežných disketách a príslušné zavádzacie sektory sa líšia iba v tabuľkách parametrov. Na pevnom disku sú teda dva objekty útoku zavádzacích vírusov - bootstrap program v MBR a elementárne sťahovanie v boot sektore zavádzací disk.
2.2. Súborové vírusy
Pozrime sa teraz na to, ako funguje jednoduchý súborový vírus. Na rozdiel od zavádzacích vírusov, ktoré sú takmer vždy rezidentné, súborové vírusy nemusia byť nevyhnutne rezidentné. Uvažujme o schéme fungovania nerezidentného súborového vírusu. Predpokladajme, že máme infikovaný spustiteľný súbor. Keď sa takýto súbor spustí, vírus prevezme kontrolu, vykoná nejaké akcie a odovzdá riadenie „masterovi“ (hoci stále nie je známe, kto je v takejto situácii pán).
Aké akcie vykonáva vírus? Hľadá nový objekt na infikovanie - súbor vhodného typu, ktorý ešte nebol infikovaný (v prípade, že je vírus „slušný“, v opačnom prípade existujú také, ktoré infikujú okamžite bez toho, aby čokoľvek skontrolovali). Infikovaním súboru sa vírus vloží do svojho kódu, aby získal kontrolu nad spustením súboru. Okrem svojej hlavnej funkcie - reprodukcie, môže vírus robiť aj niečo zložité (povedzte, požiadajte, zahrajte sa) - to už závisí od predstavivosti autora vírusu. Ak je súborový vírus rezidentný, nainštaluje sa do pamäte a získa schopnosť infikovať súbory a zobrazovať ďalšie schopnosti nielen počas spustenia infikovaného súboru. Infikovaním spustiteľného súboru vírus vždy upraví svoj kód – infekciu spustiteľného súboru je preto možné vždy odhaliť. Ale zmenou kódu súboru vírus nemusí nevyhnutne vykonať ďalšie zmeny:
à nie je povinná meniť dĺžku spisu
à nepoužité časti kódu
à nie je potrebné zmeniť začiatok súboru
Napokon, súborové vírusy často zahŕňajú vírusy, ktoré „majú niečo spoločné so súbormi“, ale nie je potrebné, aby zasahovali do ich kódu. Uvažujme ako príklad schému fungovania vírusov známej rodiny Dir-II. Treba priznať, že tieto vírusy, ktoré sa objavili v roku 1991, spôsobili v Rusku skutočnú morovú epidémiu. Zvážte model, ktorý jasne ukazuje základnú myšlienku vírusu. Informácie o súboroch sú uložené v adresároch. Každá položka adresára obsahuje názov súboru, dátum a čas vytvorenia, niektoré Ďalšie informácie, číslo prvého klastra súbor atď. náhradné bajty. Tie sú ponechané „v zálohe“ a samotný MS-DOS sa nepoužíva.
Pri spúšťaní spustiteľných súborov systém načíta prvý klaster súboru zo záznamu adresára a potom všetky ostatné klastre. Vírusy rodiny Dir-II spôsobujú nasledujúcu "reorganizáciu" súborového systému: samotný vírus je zapísaný do niektorých voľných sektorov disku, ktoré označí ako zlé. Okrem toho ukladá informácie o prvých zhlukoch spustiteľných súborov do náhradných bitov a namiesto týchto informácií zapisuje odkazy na seba.
Vírus teda pri spustení akéhokoľvek súboru získa kontrolu (operačný systém ho spustí sám), usadí sa v pamäti a odovzdá riadenie volanému súboru.
2.3. Vírusy spúšťacích súborov
Model vírusu boot-file nebudeme uvažovať, pretože v tomto prípade sa nedozviete žiadne nové informácie. Tu je však príležitosť stručne diskutovať o nedávno mimoriadne "populárnom" víruse zavádzacieho súboru OneHalf, ktorý infikuje hlavný zavádzací sektor (MBR) a spustiteľné súbory. Hlavnou deštruktívnou akciou je šifrovanie sektorov pevného disku. Pri každom spustení vírus zašifruje ďalšiu časť sektorov a po zašifrovaní polovicu pevný disk, s radosťou to oznamuje. Hlavným problémom pri liečbe tohto vírusu je, že nestačí len odstrániť vírus z MBR a súborov, je potrebné dešifrovať ním zašifrované informácie. Najviac „smrteľnou“ akciou je jednoducho prepísať nový zdravý MBR. Hlavná vec - neprepadajte panike. Všetko pokojne zvážte, poraďte sa s odborníkmi.
2.4. Polymorfné vírusy
Väčšina otázok súvisí s pojmom „polymorfný vírus“. Tento typ počítačového vírusu je zďaleka najnebezpečnejší. Poďme si vysvetliť, čo to je.
Polymorfné vírusy sú vírusy, ktoré modifikujú svoj kód v infikovaných programoch takým spôsobom, že dve inštancie toho istého vírusu sa nemusia zhodovať v jednom bite.
Takéto vírusy nielenže zašifrujú svoj kód rôznymi šifrovacími cestami, ale obsahujú aj generačný kód šifrovača a dešifrovača, čím sa odlišujú od bežných šifrovacích vírusov, ktoré dokážu zašifrovať aj časti svojho kódu, no zároveň majú konštantný kód. šifrovača a dešifrovača.
Polymorfné vírusy sú vírusy so samomodifikačnými dekodérmi. Účelom takéhoto šifrovania je, že ak máte infikovaný a pôvodný súbor, stále nebudete môcť analyzovať jeho kód pomocou konvenčnej demontáže. Tento kód je zašifrovaný a je to nezmyselná sada príkazov. Dešifrovanie vykonáva samotný vírus za behu. Zároveň sú možné možnosti: môže sa dešifrovať sám naraz, alebo môže takéto dešifrovanie vykonať „za pochodu“, opäť môže zašifrovať už vypracované úseky. To všetko sa robí kvôli sťaženiu analýzy vírusového kódu.
3. HISTÓRIA POČÍTAČOVEJ VIROLÓGIE A PRÍČINY VÍRUSOV
História počítačovej virológie sa dnes zdá byť neustálym „pretekom o vodcu“ a napriek plnej sile moderných antivírusových programov sú to vírusy, ktoré sú lídrami. Spomedzi tisícok vírusov je len niekoľko desiatok originálnych vývojov využívajúcich skutočne zásadne nové nápady. Všetky ostatné sú „variácie na tému“. Ale každý originálny vývoj núti tvorcov antivírusov prispôsobiť sa novým podmienkam, dobehnúť vírusovú technológiu. O tom druhom možno polemizovať. Napríklad v roku 1989 sa americkému študentovi podarilo vytvoriť vírus, ktorý znefunkčnil približne 6000 počítačov ministerstva obrany USA. Alebo epidémia slávneho vírusu Dir-II, ktorý vypukol v roku 1991. Vírus využíval skutočne originálnu, zásadne novú technológiu a spočiatku sa mu podarilo rozšíriť vďaka nedokonalosti tradičnej antivírusové nástroje.
Alebo vypuknutie počítačových vírusov vo Veľkej Británii: Christopher Pine dokázal vytvoriť vírusy Pathogen a Queeq, ako aj vírus Smeg. Práve ten druhý bol najnebezpečnejší, dal sa aplikovať na prvé dva vírusy a kvôli tomu po každom spustení programu menili konfiguráciu. Preto ich nebolo možné zničiť. Pine skopíroval, aby šíril vírusy počítačové hry a programy, infikoval ich a potom ich poslal späť do siete. Používatelia si stiahli infikované programy do svojich počítačov a na infikované disky. Situáciu zhoršila skutočnosť, že Pine dokázal priniesť vírusy do programu, ktorý s nimi bojuje. Jeho spustením používatelia namiesto ničenia vírusov dostali ďalší. V dôsledku toho boli súbory mnohých spoločností zničené, straty dosiahli milióny libier.
Americký programátor Morris je všeobecne známy. Je známy ako tvorca vírusu, ktorý v novembri 1988 infikoval asi 7000 osobných počítačov pripojených na internet.
Príčiny vzniku a šírenia počítačových vírusov sú na jednej strane skryté v psychológii ľudskej osobnosti a jej tieňových stránkach (závisť, pomsta, ješitnosť neuznaných tvorcov, neschopnosť konštruktívne uplatniť svoje schopnosti), na druhej strane kvôli nedostatočnej hardvérovej ochrane a protireakcii z operačnej sály.systémy osobných počítačov.
4. SPÔSOBY PRENIKANIA VÍRUSOV DO POČÍTAČA A MECHANIZMUS DISTRIBÚCIE VÍRUSOVÝCH PROGRAMOV
Hlavnými spôsobmi, ako sa vírusy dostanú do počítača, sú vymeniteľné disky (disketové a laserové), ako aj počítačové siete. Infekcia pevného disku vírusmi sa môže vyskytnúť, keď sa program načíta z diskety obsahujúcej vírus. Takáto infekcia môže byť aj náhodná, napríklad ak disketa nebola vybratá z jednotky A a počítač bol reštartovaný, pričom disketa nemusí byť systémová. Je oveľa jednoduchšie infikovať disketu. Vírus sa na ňu môže dostať aj vtedy, ak sa disketa jednoducho vloží do diskovej jednotky infikovaného počítača a napríklad sa prečíta jej obsah.
Vírus sa do pracovného programu spravidla zavedie tak, že pri jeho spustení sa riadenie najskôr prenesie naň a až po vykonaní všetkých jeho príkazov sa opäť vráti do pracovného programu. Po získaní prístupu ku kontrole sa vírus najskôr prepíše do iného pracovného programu a infikuje ho. Po spustení programu obsahujúceho vírus je možné infikovať ďalšie súbory. Najčastejšie je vírusom infikovaný boot sektor disku a spustiteľné súbory s príponami EXE, COM, SYS, BAT. Textové súbory sú veľmi zriedkavo infikované.
Po infikovaní programu môže vírus vykonať nejakú sabotáž, nie príliš závažnú, aby nevzbudila pozornosť. A nakoniec nezabudnite vrátiť ovládanie programu, z ktorého bol spustený. Každé spustenie infikovaného programu prenáša vírus na ďalší. Takže všetko sa nakazí. softvér.
Pre ilustráciu infekčného procesu počítačový program ako vírus má zmysel prirovnávať diskové úložisko k staromódnemu archívu so zložkami na páske. Priečinky obsahujú programy a postupnosť operácií na zavedenie vírusu bude v tomto prípade vyzerať takto. (Pozri Príloha 1)
5. ZNAKY VÍRUSOV
Keď je počítač napadnutý vírusom, je dôležité ho odhaliť. Aby ste to dosiahli, mali by ste vedieť o hlavných príznakoch prejavu vírusov. Patria sem nasledujúce položky:
¨ ukončenie práce alebo nesprávne fungovanie predtým úspešne fungujúcich programov
¨ pomalý výkon počítača
¨ nemožnosť zaviesť operačný systém
¨ zmiznutie súborov a adresárov alebo skreslenie ich obsahu
¨ zmeniť dátum a čas úpravy súborov
¨ zmena veľkosti súboru
¨ neočakávaný veľký nárast počtu súborov na disku
¨ výrazné zníženie veľkosti voľnej pamäte RAM
¨ zobrazovanie neočakávaných správ alebo obrázkov na obrazovke
¨ predloženie nepredvídaných zvukové signály
¨ časté zamŕzanie a pády počítača
Treba poznamenať, že vyššie uvedené javy nie sú nevyhnutne spôsobené prítomnosťou vírusu, ale môžu byť spôsobené inými príčinami. Preto je vždy ťažké správne diagnostikovať stav počítača.
6. DETEKCIA VÍRUSOV A OCHRANNÉ A PREVENČNÉ OPATRENIA
6.1. Ako zistiť vírus ? Tradičný prístup
Takže istý autor vírusov vytvorí vírus a uvedie ho do „života“. Na nejaký čas môže chodiť voľne, ale skôr či neskôr „lafa“ skončí. Niekto bude mať podozrenie, že niečo nie je v poriadku. Zvyčajne sa nájdu vírusy bežných používateľov ktorí si všimnú určité anomálie v správaní počítača. Vo väčšine prípadov sa sami nedokážu vyrovnať s infekciou, ale to sa od nich nevyžaduje.
Je len potrebné, aby sa vírus čo najskôr dostal do rúk špecialistov. Profesionáli ho preštudujú, zistia „čo robí“, „ako robí“, „kedy robí“ atď. tento vírus zvýraznená je najmä signatúra vírusu - sekvencia bajtov, ktorá ho celkom určite charakterizuje. Na vytvorenie podpisu sa zvyčajne berú najdôležitejšie a charakteristické časti kódu vírusu. Zároveň sa ozrejmia mechanizmy fungovania vírusu, napríklad pri boot víruse je dôležité vedieť, kde skrýva svoj chvost, kde sa nachádza pôvodný boot sektor a v prípade tzv. súbor jeden, ako je súbor infikovaný. Získané informácie nám umožňujú zistiť:
Ako zistiť vírus, na tento účel sú určené metódy vyhľadávania podpisov v potenciálnych objektoch vírusového útoku - špecifikujú sa súbory a / alebo zavádzacie sektory
ako vírus neutralizovať, ak je to možné, vyvíjajú sa algoritmy na odstránenie vírusového kódu z postihnutých objektov
6.2. Programy na detekciu a ochranu vírusov
Na detekciu, odstránenie a ochranu pred počítačovými vírusmi bolo vyvinutých niekoľko typov špeciálnych programov, ktoré umožňujú detekovať a ničiť vírusy. Takéto programy sú tzv antivírusové . Existujú nasledujúce typy antivírusových programov:
programy-detektory
programov-lekárov alebo fágov
programových audítorov
filtračné programy
očkovacie programy alebo imunizátory
Programy-detektory v RAM a v súboroch vyhľadá charakteristiku konkrétneho vírusu a ak sa zistí, vydá príslušnú správu. Nevýhodou takýchto antivírusových programov je, že dokážu nájsť iba vírusy, ktoré poznajú vývojári takýchto programov.
Lekárske programy alebo fágy, ako aj očkovacie programy vírusmi infikované súbory nielen nájsť, ale aj „liečiť“, t.j. odstráňte telo vírusového programu zo súboru a vráťte súbory do počiatočný stav. Na začiatku svojej práce fágy hľadajú vírusy v RAM, ničia ich a až potom pokračujú v „liečbe“ súborov. Spomedzi fágov sa rozlišujú polyfágy, t.j. doktorské programy určené na vyhľadávanie a ničenie veľkého počtu vírusov. Najznámejšie z nich sú: Aidstest, Scan, Norton Antivirus, Doctor Web.
Vzhľadom na to, že sa neustále objavujú nové vírusy, detekčné programy a programy lekárov rýchlo zastarávajú a sú potrebné pravidelné aktualizácie.
Audítorské programy patria medzi najspoľahlivejšie prostriedky ochrany pred vírusmi. Audítori si pamätajú počiatočný stav programov, adresárov a systémových oblastí disku, keď počítač nie je infikovaný vírusom, a potom pravidelne alebo na žiadosť používateľa porovnávajú aktuálny stav s pôvodným. Zistené zmeny sa zobrazia na obrazovke monitora. Stavy sa spravidla porovnávajú ihneď po načítaní operačného systému. Pri porovnávaní sa kontroluje dĺžka súboru, cyklický riadiaci kód (kontrolný súčet súboru), dátum a čas úpravy a ďalšie parametre. Audítorské programy majú pomerne pokročilé algoritmy, zisťujú stealth vírusy a dokonca dokážu vyčistiť zmeny verzie kontrolovaného programu od zmien vykonaných vírusom. Medzi programami-audítormi je v Rusku široko používaný program Adinf.
Filtrovať programy alebo "strážca" sú malé rezidentné programy určené na detekciu podozrivej činnosti počítača, ktorá je charakteristická pre vírusy. Takéto akcie môžu byť:
Pokusy o opravu súborov s príponami COM, EXE
zmena atribútov súboru
Priamy zápis na disk na absolútnu adresu
Zápis do zavádzacích sektorov disku
Keď sa ktorýkoľvek program pokúsi vykonať zadané akcie, „strážca“ pošle používateľovi správu a ponúkne zakázanie alebo povolenie zodpovedajúcej akcie. Filtračné programy sú veľmi užitočné, pretože sú schopné odhaliť vírus v najskoršom štádiu jeho existencie pred reprodukciou. Súbory a disky však „neliečia“. Na zničenie vírusov musíte použiť iné programy, napríklad fágy. Medzi nevýhody watchdogových programov patrí ich „otravnosť“ (napr. neustále vydávajú varovanie pri každom pokuse o skopírovanie spustiteľného súboru), ako aj možné konflikty s iným softvérom. Príkladom filtrovacieho programu je program Vsafe, ktorý je súčasťou obslužného balíka MS DOS.
Vakcíny alebo imunizátory sú rezidentné programy, ktoré zabraňujú infekcii súborov. Vakcíny sa používajú, ak neexistujú žiadne programy lekárov, ktoré by „liečili“ tento vírus. Očkovanie je možné len proti známym vírusom. Vakcína upraví program alebo disk tak, že neovplyvní ich prácu a vírus ich bude vnímať ako infikované, a preto sa nezakorení. Vakcinačné programy majú v súčasnosti obmedzené využitie.
Včasná detekcia súborov a diskov infikovaných vírusmi, úplné zničenie zistených vírusov na každom počítači pomáha zabrániť šíreniu vírusovej epidémie na ďalšie počítače.
6.3. Základné opatrenia na ochranu pred vírusmi
Aby ste zabránili infikovaniu počítača vírusmi a zabezpečili bezpečné skladovanie informácie na diskoch, je potrebné dodržiavať nasledujúce pravidlá:
¨ vybavte svoj počítač aktuálnymi antivírusovými programami, ako sú Aidstest, Doctor Web, a neustále aktualizujte ich verzie
¨ pred čítaním informácií uložených na iných počítačoch z diskiet vždy skontrolujte tieto diskety na prítomnosť vírusov spustením antivírusových programov na vašom počítači
¨ pri prenose archivovaných súborov do počítača ich skontrolujte ihneď po rozbalení na pevnom disku, pričom oblasť kontroly obmedzte len na novo zaznamenané súbory
¨ pravidelne kontrolujte prítomnosť vírusov pevné disky počítač spustením antivírusových programov na testovanie súborov, pamäte a systémových oblastí diskov z diskety chránenej proti zápisu po načítaní operačného systému zo systémovej diskety chránenej proti zápisu
¨ vždy chráňte svoje diskety proti zápisu pri práci na iných počítačoch, ak nebudú zapisované do informácií
¨ určite si vytvorte archívne kópie cenných informácií pre vás na diskety
¨ nenechávajte diskety vo vrecku jednotky A pri zapínaní alebo reštartovaní operačného systému, aby ste predišli infekcii počítača zavádzacími vírusmi
¨ používať antivírusové programy na kontrolu vstupu všetkých spustiteľných súborov prijatých z počítačových sietí
¨ na zaistenie vyššej bezpečnosti je potrebné kombinovať používanie Aidstest a Doctor Web s každodenným používaním Adinf disku audítora
ZÁVER
Môžeme teda citovať množstvo faktov, ktoré naznačujú, že ohrozenie informačného zdroja každým dňom narastá, čo privádza zodpovedné osoby v bankách, podnikoch a spoločnostiach na celom svete do paniky. A táto hrozba pochádza z počítačových vírusov, ktoré skresľujú alebo ničia životne dôležité, cenné informácie, čo môže viesť nielen k finančným stratám, ale aj k ľudským obetiam.
Počítačový vírus - špeciálne napísaný program, ktorý sa môže spontánne pripojiť k iným programom, vytvárať svoje kópie a vkladať ich do súborov, oblastí počítačového systému a do počítačové siete s cieľom narušiť činnosť programov, poškodiť súbory a adresáre, vytvárať všetky druhy rušenia v prevádzke počítača.
V súčasnosti je známych viac ako 5000 softvérových vírusov, ktorých počet neustále rastie. Existujú prípady, keď boli vytvorené návody na pomoc pri písaní vírusov.
Hlavné typy vírusov: boot, file, file-boot. Najnebezpečnejší typ vírusov je polymorfný.
Z histórie počítačovej virológie je zrejmé, že akýkoľvek originálny počítačový vývoj núti tvorcov antivírusov prispôsobovať sa novým technológiám, neustále vylepšovať antivírusové programy.
Dôvody výskytu a šírenia vírusov sú skryté na jednej strane v ľudskej psychológii, na druhej strane s nedostatočnou ochranou operačného systému.
Hlavnými spôsobmi prenikania vírusov sú vymeniteľné jednotky a počítačové siete. Aby ste tomu zabránili, urobte preventívne opatrenia. Taktiež bolo vyvinutých niekoľko typov špeciálnych programov nazývaných antivírusové programy na detekciu, odstránenie a ochranu pred počítačovými vírusmi. Ak stále nájdete vírus vo svojom počítači, potom podľa tradičného prístupu je lepšie zavolať profesionála, aby to mohol ďalej zistiť.
Ale niektoré vlastnosti vírusov lámu hlavu aj odborníkom. Až donedávna bolo ťažké si predstaviť, že by vírus mohol prežiť studený reštart alebo sa šíriť cez súbory dokumentov. Za takýchto podmienok nemožno neprikladať dôležitosť aspoň počiatočnej antivírusovej výchove používateľov. Napriek závažnosti problému nie je žiadny vírus schopný spôsobiť toľko škody ako vybielený používateľ s trasúcimi sa rukami!
takže, zdravie vašich počítačov, bezpečnosť vašich údajov - vo vašich rukách!
Bibliografický zoznam
1. Informatika: Učebnica / vyd. Na túto tému sa vyjadril prof. N.V. Makarova. - M.: Financie a štatistika, 1997.
2. Encyklopédia tajomstiev a vnemov / Pripravené. text od Yu.N. Petrov. - Minsk: Literatúra, 1996.
3. Bezrukov N.N. Počítačové vírusy. - M.: Nauka, 1991.
4. Mostovoy D.Yu. Moderné technológie boj proti vírusom // PC World. - č. 8. - 1993.
Antivírusová ochrana je najbežnejším opatrením na zaistenie informačnej bezpečnosti IT infraštruktúry v podnikovom sektore. Podľa štúdie spoločnosti Kaspersky Lab spolu s analytickou spoločnosťou B2B International (jeseň 2013) však iba 74 % ruských spoločností používa riešenia antivírusovej ochrany.
Správa tiež hovorí, že uprostred výbuchu kybernetických hrozieb, proti ktorým spoločnosti jednoduché antivírusy Ruský biznis čoraz viac využíva komplexné ochranné nástroje. Z veľkej časti z tohto dôvodu sa používanie nástrojov na šifrovanie údajov zvýšilo o 7 %. vymeniteľné médiá(24 %). Spoločnosti sú navyše ochotnejšie vymedziť bezpečnostné zásady pre vymeniteľné zariadenia. Zvýšila sa aj diferenciácia úrovne prístupu k rôznym častiam IT infraštruktúry (49 %). Malí a strední podnikatelia zároveň venujú väčšiu pozornosť kontrole vymeniteľných zariadení (35 %) a kontrole aplikácií (31 %).
Vedci tiež zistili, že napriek neustálemu objavovaniu nových zraniteľností v softvéri, Ruské spoločnosti stále nevenujú náležitú pozornosť pravidelným aktualizáciám softvéru. A čo viac, počet záplatovacích organizácií klesol oproti minulému roku len na 59 %.
Moderné antivírusové programy dokážu efektívne odhaliť škodlivé objekty v programových súboroch a dokumentoch. V niektorých prípadoch môže antivírus odstrániť telo škodlivého objektu z infikovaného súboru a obnoviť samotný súbor. Vo väčšine prípadov je antivírus schopný odstrániť škodlivý programový objekt nielen z programového súboru, ale aj zo súboru kancelárskych dokumentov bez narušenia jeho integrity. Používanie antivírusových programov nevyžaduje vysokú kvalifikáciu a je dostupné takmer každému používateľovi počítača.
Väčšina antivírusových programov kombinuje ochranu v reálnom čase (vírusový monitor) a ochranu na požiadanie (vírusový skener).
Antivírusové hodnotenie
2019: Dve tretiny antivírusov pre Android boli zbytočné
V marci 2019 AV-Comparatives, rakúske laboratórium špecializujúce sa na testovanie antivírusového softvéru, zverejnilo výsledky štúdie, ktorá ukázala zbytočnosť väčšiny týchto programov pre Android.
Len 23 antivírusov nachádzajúcich sa v oficiálnom katalógu Obchodu Google Play presne rozpozná malvér v 100 % prípadov. Zvyšok softvéru buď na mobilné hrozby nereaguje, alebo im berie absolútne bezpečné aplikácie.
Odborníci skúmali 250 antivírusov a uviedli, že iba 80 % z nich dokáže odhaliť viac ako 30 % malvéru. V teste teda neprešlo 170 aplikácií. Testmi prešli najmä riešenia od veľkých výrobcov, medzi ktoré patria Avast, Bitdefender, ESET, F-Secure, G-Data, Kaspersky Lab, McAfee, Sophos, Symantec, Tencent, Trend Micro a Trustwave.
V rámci experimentu vedci nainštalovali každú antivírusovú aplikáciu na samostatné zariadenie (bez emulátora) a zautomatizovali zariadenia, aby spustili prehliadač, stiahli a následne nainštalovali malvér. Každé zariadenie bolo v roku 2018 testované proti 2 000 najrozšírenejším vírusom Android.
Podľa AV-Comparatives väčšina antivírusové riešenia pre Android sú falošné. Desiatky aplikácií majú takmer identické rozhranie a ich tvorcov zjavne viac zaujíma zobrazovanie reklám ako písanie fungujúceho vírusového skenera.
Niektoré antivírusy „vidia“ hrozbu v akejkoľvek aplikácii, ktorá nie je zahrnutá v ich „bielej listine“. Z tohto dôvodu v mnohých veľmi neoficiálnych prípadoch vyvolali poplach kvôli vlastným súborom, pretože ich vývojári zabudli uviesť na „bielom zozname“.
2017: Microsoft Security Essentials je uznávaný ako jeden z najhorších antivírusov
V októbri 2017 zverejnilo nemecké antivírusové laboratórium AV-Test výsledky komplexného antivírusového testovania. Podľa štúdie je proprietárny softvér spoločnosti Microsoft určený na ochranu pred škodlivú činnosť, takmer najhoršie zo všetkých zvládajú svoje povinnosti.
Podľa výsledkov testov vykonaných v júli až auguste 2017 experti AV-Test označili Kaspersky Internet Security za najlepší antivírus pre Windows 7, ktorý získal 18 bodov z hľadiska ochrany, výkonu a jednoduchosti používania.
Do prvej trojky patrili programy Trend Micro internetová bezpečnosť a Bitdefender Internet Security, ktoré získali po 17,5 bodu. Pozíciu produktov iných antivírusových spoločností, ktoré boli zahrnuté do štúdie, nájdete na ilustráciách nižšie:
Mnoho skenerov tiež používa heuristické skenovacie algoritmy, t.j. analýza postupnosti príkazov v kontrolovanom objekte, zber niektorých štatistík a rozhodovanie pre každý kontrolovaný objekt.
Skenery možno tiež rozdeliť do dvoch kategórií – univerzálne a špecializované. Univerzálne skenery sú určené na vyhľadávanie a neutralizáciu všetkých typov vírusov bez ohľadu na operačný systém, v ktorom je skener navrhnutý. Špecializované skenery sú navrhnuté tak, aby neutralizovali obmedzený počet vírusov alebo len jednu z nich, napríklad makrovírusy.
Skenery sa tiež delia na rezidentné (monitory), ktoré skenujú za chodu, a nerezidentné, ktoré kontrolujú systém len na požiadanie. Rezidentné skenery spravidla poskytujú spoľahlivejšiu ochranu systému, pretože okamžite reagujú na objavenie sa vírusu, zatiaľ čo nerezidentný skener dokáže vírus identifikovať až pri jeho ďalšom spustení.
CRC skenery
Princíp činnosti CRC skenerov je založený na výpočte CRC súčtov (kontrolných súčtov) pre súbory / systémové sektory prítomné na disku. Tieto sumy CRC sú potom uložené v antivírusovej databáze, ako aj niektoré ďalšie informácie: dĺžka súborov, dátumy ich poslednej úpravy atď. Pri ďalšom spustení skenerov CRC skontrolujú údaje obsiahnuté v databáze so skutočne napočítanými hodnotami. Ak sa informácie o súbore zaznamenané v databáze nezhodujú so skutočnými hodnotami, potom skenery CRC signalizujú, že súbor bol upravený alebo infikovaný vírusom.
CRC skenery nie sú schopné zachytiť vírus v momente jeho objavenia sa v systéme, ale dokážu to až po určitom čase, keď sa vírus rozšíri do celého počítača. CRC skenery nedokážu detekovať vírus v nových súboroch (v e-mailoch, na disketách, v súboroch obnovených zo zálohy alebo pri rozbaľovaní súborov z archívu), pretože ich databázy neobsahujú informácie o týchto súboroch. Navyše sa periodicky objavujú vírusy, ktoré využívajú túto slabinu CRC skenerov, infikujú len novovytvorené súbory a zostávajú pre nich neviditeľné.
Blokátory
Antivírusové blokátory sú rezidentné programy, ktoré zachytávajú situácie nebezpečné pre vírusy a upozorňujú na to používateľa. Medzi vírusovo nebezpečné volania patria volania na otvorenie na zapisovanie do spustiteľných súborov, zapisovanie do zavádzacích sektorov diskov alebo MBR pevného disku, pokusy programov zostať rezidentné atď., teda volania, ktoré sú typické pre vírusy na doba rozmnožovania.
Medzi výhody blokátorov patrí ich schopnosť odhaliť a zastaviť vírus v najskoršom štádiu jeho rozmnožovania. Medzi nevýhody patrí existencia spôsobov, ako obísť ochranu blokátorov a veľké množstvo falošných poplachov.
Imunizátory
Imunizátory sa delia na dva typy: imunizátory hlásiace infekciu a imunizátory blokujúce infekciu. Prvé sa zvyčajne zapisujú na koniec súborov (podľa princípu súborového vírusu) a pri každom spustení súboru sa kontroluje, či nedošlo k zmenám. Nevýhoda takýchto imunizátorov je len jedna, ale smrteľná: absolútna neschopnosť nahlásiť infekciu stealth vírusom. Preto sa takéto imunizátory, rovnako ako blokátory, v súčasnosti prakticky nepoužívajú.
Druhý typ imunizácie chráni systém pred napadnutím konkrétnym typom vírusu. Súbory na diskoch sú upravené tak, že ich vírus vezme za už infikované. Na ochranu pred rezidentným vírusom sa do pamäte počítača vloží program, ktorý napodobňuje kópiu vírusu. Po spustení naň vírus narazí a domnieva sa, že systém je už infikovaný.
Tento typ imunizácie nemôže byť univerzálny, pretože nie je možné imunizovať súbory proti všetkým známym vírusom.
Klasifikácia antivírusov na základe časovej variability
Podľa Valeryho Konyavského možno antivírusové látky rozdeliť na dve veľké skupiny- analyzovanie údajov a analyzovanie procesov.
Analýza dát
Analýza údajov zahŕňa audítorov a polyfágy. Audítori analyzujú dôsledky činnosti počítačových vírusov a iných škodlivých programov. Dôsledky sa prejavia v zmene údajov, ktoré by sa meniť nemali. Práve skutočnosť zmeny údajov sa z pohľadu audítora podpisuje pod činnosť škodlivých programov. Inými slovami, audítori kontrolujú integritu údajov a pri porušení integrity rozhodujú o prítomnosti škodlivého softvéru v počítačovom prostredí.
Polyfágy pôsobia inak. Na základe analýzy dát identifikujú fragmenty škodlivého kódu (napríklad podľa jeho podpisu) a na základe toho vyvodia záver o prítomnosti škodlivých programov. Odstránenie alebo dezinfekcia údajov infikovaných vírusmi pomáha predchádzať negatívnym dôsledkom spustenia škodlivého softvéru. Tým sa na základe analýzy v statike predchádza následkom vznikajúcim v dynamike.
Schéma práce audítorov aj polyfágov je takmer rovnaká - porovnávať údaje (alebo ich kontrolný súčet) s jednou alebo viacerými referenčnými vzorkami. Údaje sa porovnávajú s údajmi. Aby ste teda našli vírus vo svojom počítači, potrebujete, aby už fungoval, aby sa prejavili následky jeho činnosti. Táto metóda dokáže nájsť iba známe vírusy, pre ktoré boli predtým opísané fragmenty kódu alebo podpisy. Je nepravdepodobné, že takúto ochranu možno nazvať spoľahlivou.
Procesná analýza
Antivírusové nástroje založené na analýze procesov fungujú trochu inak. Heuristické analyzátory, ako sú tie opísané vyššie, analyzujú údaje (na disku, v kanáli, v pamäti atď.). Základný rozdiel je v tom, že analýza sa vykonáva za predpokladu, že analyzovaný kód nie sú dáta, ale príkazy (v počítačoch s von Neumannovou architektúrou sú dáta a príkazy nerozoznateľné, a preto je potrebné predložiť ten či onen predpoklad). počas analýzy.)
Heuristický analyzátor vyberie postupnosť operácií, každej z nich pridelí určité hodnotenie nebezpečnosti a na základe celkového nebezpečenstva rozhodne, či je táto postupnosť operácií súčasťou škodlivého kódu. Samotný kód sa nespustí.
Ďalším typom antivírusových nástrojov založených na analýze procesov sú behaviorálne blokátory. V tomto prípade je podozrivý kód vykonávaný krok za krokom, kým sa súbor akcií iniciovaných kódom nevyhodnotí ako nebezpečné (alebo bezpečné) správanie. V tomto prípade je kód čiastočne vykonaný, pretože dokončenie škodlivého kódu je možné zistiť jednoduchšími metódami analýzy údajov.
Technológie detekcie vírusov
Technológie používané v antivírusoch možno rozdeliť do dvoch skupín:
- Technológie analýzy podpisov
- Technológie pravdepodobnostnej analýzy
Technológie analýzy podpisov
Analýza podpisov je metóda detekcie vírusov, ktorá kontroluje prítomnosť vírusových podpisov v súboroch. Analýza podpisov je najznámejšou metódou detekcie vírusov a používa sa takmer vo všetkých moderných antivírusoch. Na vykonanie kontroly potrebuje antivírus súbor vírusových signatúr, ktorý je uložený v antivírusovej databáze.
Vzhľadom na to, že analýza signatúr zahŕňa kontrolu súborov na prítomnosť vírusových signatúr, antivírusovú databázu je potrebné pravidelne aktualizovať, aby bol antivírus aktuálny. Samotný princíp fungovania analýzy podpisov určuje aj limity jej funkčnosti - schopnosť detekovať len známe vírusy - skener podpisov je proti novým vírusom bezmocný.
Na druhej strane prítomnosť vírusových podpisov naznačuje možnosť liečby infikované súbory detekované pomocou analýzy podpisov. Liečba však nie je prijateľná pre všetky vírusy - trójske kone a väčšina červov nie sú liečiteľné kvôli ich dizajnové prvky, pretože ide o pevné moduly určené na poškodenie.
Kompetentná implementácia vírusovej signatúry umožňuje odhaliť známe vírusy so 100% istotou.
Technológie pravdepodobnostnej analýzy
Technológie pravdepodobnostnej analýzy sú zase rozdelené do troch kategórií:
- Heuristická analýza
- Analýza správania
- Analýza kontrolného súčtu
Heuristická analýza
Heuristická analýza je technológia založená na pravdepodobnostných algoritmoch, ktorej výsledkom je identifikácia podozrivých objektov. V procese heuristická analýza kontroluje sa štruktúra súboru, jeho súlad so šablónami vírusov. Najpopulárnejšou heuristickou technikou je kontrola obsahu súboru na modifikácie už známych vírusových podpisov a ich kombinácií. To pomáha odhaliť hybridy a nové verzie predtým známych vírusov bez dodatočnej aktualizácie antivírusovej databázy.
Heuristická analýza sa používa na detekciu neznámych vírusov a v dôsledku toho nezahŕňa liečbu. Táto technológia nie je schopná 100% určiť vírus, ktorý má pred sebou, alebo nie, a ako každý pravdepodobnostný algoritmus prehreší s falošnými poplachmi.
Behaviorálna analýza
Behaviorálna analýza je technológia, pri ktorej sa rozhoduje o povahe kontrolovaného objektu na základe analýzy operácií, ktoré vykonáva. Behaviorálna analýza má veľmi úzku praktickú aplikáciu, pretože väčšinu akcií typických pre vírusy môžu vykonávať bežné aplikácie. Najznámejšie sú behaviorálne analyzátory skriptov a makier, pretože zodpovedajúce vírusy takmer vždy vykonávajú množstvo podobných akcií.
Bezpečnostné funkcie zabudované v systéme BIOS možno tiež klasifikovať ako analyzátory správania. Keď sa pokúsite vykonať zmeny v zázname MBR počítača, analyzátor akciu zablokuje a používateľovi zobrazí príslušné upozornenie.
Okrem toho môžu analyzátory správania sledovať pokusy o priamy prístup k súborom a vykonanie zmien zavádzací záznam formátovanie diskety pevné disky atď.
Behaviorálne analyzátory pre svoju prácu nepoužívajú ďalšie objekty, ako sú vírusové databázy, a preto nedokážu rozlíšiť medzi známymi a neznámymi vírusmi – všetky podozrivé programy sú a priori považované za neznáme vírusy. Podobne vlastnosti fungovania nástrojov, ktoré implementujú technológie behaviorálnej analýzy, neimplikujú liečbu.
Analýza kontrolného súčtu
Analýza kontrolného súčtu je spôsob, ako sledovať zmeny v objektoch počítačového systému. Na základe analýzy charakteru zmien - simultánnosť, hromadný charakter, identické zmeny v dĺžkach súborov - možno usúdiť, že systém je infikovaný. Analyzátory kontrolných súčtov (nazývané aj audítori zmien), podobne ako analyzátory správania, nepoužívajú pri svojej práci ďalšie objekty a vydávajú verdikt o prítomnosti vírusu v systéme výlučne metódou expertného hodnotenia. Podobné technológie sa používajú aj v prístupových skeneroch - pri prvej kontrole sa zo súboru vyberie kontrolný súčet a umiestni sa do vyrovnávacej pamäte, pred ďalšou kontrolou toho istého súboru sa kontrolný súčet znova zoberie, porovná a ak nedôjde k zmenám, súbor sa považuje za neinfikovaný.
Antivírusové komplexy
Antivírusový komplex - súbor antivírusov, ktoré používajú rovnaký antivírusový modul alebo motory, určený na riešenie praktických problémov pri zabezpečovaní antivírusovej bezpečnosti počítačové systémy. Súčasťou antivírusového komplexu sú aj nástroje na aktualizáciu antivírusových databáz.
Okrem toho môže antivírusový komplex dodatočne zahŕňať analyzátory správania a audítorov zmien, ktoré nepoužívajú antivírusový modul.
Existujú nasledujúce typy antivírusových komplexov:
- Antivírusový komplex na ochranu pracovných staníc
- Antivírusový komplex na ochranu súborových serverov
- Antivírusový komplex na ochranu poštových systémov
- Antivírusový komplex na ochranu brán.
Cloud vs tradičný desktopový antivírus: ktorý by ste si mali vybrať?
(Podľa zdroja Webroot.com)
Moderný trh antivírusových nástrojov je predovšetkým tradičnými riešeniami pre desktopové systémy, ktorých ochranné mechanizmy sú postavené na základe metód založených na podpisoch. Alternatívny spôsob antivírusová ochrana - využitie heuristickej analýzy.
Problémy s tradičným antivírusovým softvérom
V posledných rokoch sú tradičné antivírusové technológie čoraz menej účinné a rýchlo zastarané, čo je spôsobené množstvom faktorov. Počet vírusových hrozieb identifikovaných signatúrami je už taký vysoký, že zabezpečiť včasnú 100% aktualizáciu databáz signatúr na počítačoch používateľov je často nereálna úloha. Hackeri a počítačoví zločinci čoraz viac využívajú botnety a ďalšie technológie na urýchlenie šírenia vírusových hrozieb zero-day. Okrem toho sa pri cielených útokoch nevytvárajú podpisy príslušných vírusov. Nakoniec sa používajú nové antivírusové detekčné technológie: šifrovanie malvéru, vytváranie polymorfných vírusov na strane servera, predbežné testovanie kvality vírusového útoku.
Tradičná antivírusová ochrana je najčastejšie postavená v architektúre „hrubého klienta“. To znamená, že zväzok je nainštalovaný na klientskom počítači. programovací kód. Kontroluje prichádzajúce dáta a zisťuje prítomnosť vírusových hrozieb.
Tento prístup má množstvo nevýhod. Po prvé, skenovanie škodlivého softvéru a zodpovedajúcich podpisov vyžaduje značné výpočtové zaťaženie, ktoré je „odobraté“ používateľovi. Výsledkom je, že produktivita počítača klesá a činnosť antivírusu niekedy narúša paralelné vykonávanie aplikovaných úloh. Niekedy je zaťaženie systému používateľa také výrazné, že používatelia vypnú antivírusové programy, čím odstránia bariéru potenciálneho vírusového útoku.
Po druhé, každá aktualizácia na počítači používateľa vyžaduje prenos tisícok nových podpisov. Množstvo prenesených dát je zvyčajne rádovo 5 MB za deň na jeden počítač. Prenos dát spomaľuje sieť, odvádza dodatočné systémové zdroje, vyžaduje zapojenie o správcov systému na riadenie dopravy.
Po tretie, používatelia, ktorí sú na roamingu alebo mimo svojho trvalého pracoviska, sú zraniteľní voči útokom zero-day. Ak chcete získať aktualizovanú časť podpisov, musia sa pripojiť k sieti VPN, ktorá pre nich nie je vzdialená.
Antivírusová ochrana z cloudu
Pri prechode na antivírusovú ochranu z cloudu sa výrazne mení architektúra riešenia. Na počítači používateľa je nainštalovaný „ľahký“ klient, ktorého hlavnou funkciou je vyhľadávanie nových súborov, výpočet hash hodnôt a odosielanie údajov cloud server. V cloude sa vykoná úplné porovnanie na veľkej databáze zozbieraných podpisov. Táto databáza je neustále a včas aktualizovaná údajmi prenášanými antivírusovými spoločnosťami. Klient dostane správu s výsledkami auditu.
Cloudová architektúra antivírusovej ochrany teda má celý riadok výhody:
- objem výpočtov na počítači používateľa je v porovnaní s hrubým klientom zanedbateľný, takže produktivita používateľa neklesá;
- antivírusová prevádzka nemá žiadny katastrofálny vplyv na priepustnosť siete: posiela sa kompaktná časť dát, obsahujúca len niekoľko desiatok hash hodnôt, priemerná denná prevádzka nepresahuje 120 KB;
- cloudové úložisko obsahuje obrovské polia podpisov, oveľa väčšie ako tie, ktoré sú uložené na používateľských počítačoch;
- algoritmy porovnávania podpisov používané v cloude sú výrazne inteligentnejšie ako zjednodušené modely používané na úrovni miestnej stanice a vďaka vyššiemu výkonu trvá porovnávanie údajov menej času;
- cloudové antivírusové služby pracujú so skutočnými údajmi získanými od antivírusových laboratórií, vývojárov bezpečnosti, firemných a súkromných používateľov; zero-day hrozby sú blokované súčasne s ich rozpoznaním, bez oneskorenia spôsobeného potrebou získať prístup k počítačom používateľov;
- používatelia, ktorí sú v roamingu alebo nemajú prístup na svoje hlavné pracoviská, získajú ochranu pred útokmi zero-day súčasne s prístupom na internet;
- zaťaženie správcov systému je znížené: nemusia tráviť čas inštaláciou antivírusového softvéru na počítačoch používateľov, ako aj aktualizáciou databáz podpisov.
Prečo tradičné antivírusy zlyhávajú
Moderný škodlivý kód môže:
- Obíďte antivírusové pasce vytvorením špeciálneho cieľového vírusu pre spoločnosť
- Predtým, ako antivírus vytvorí podpis, vyhne sa použitiu polymorfizmu, prekódovaniu pomocou dynamického DNS a URL
- Vytváranie cieľov pre firmu
- Polymorfizmus
- Nikomu neznámy kód – bez podpisu
Ťažko sa brániť
Vysokorýchlostné antivírusy z roku 2011
Ruské nezávislé informačné a analytické centrum Anti-Malware.ru zverejnilo v máji 2011 výsledky ďalšieho porovnávací test 20 najpopulárnejších antivírusov pre výkon a spotrebu systémových prostriedkov.
Účelom tohto testu je ukázať, ktoré osobné antivírusy majú najmenší vplyv na typické operácie používateľa na počítači, menej „spomaľujú“ jeho prácu a spotrebúvajú minimálne množstvo systémových prostriedkov.
Medzi antivírusovými monitormi (skenermi v reálnom čase) preukázala celá skupina produktov veľmi vysoká rýchlosť funguje, medzi nimi: Avira, AVG, ZoneAlarm, Avast, Kaspersky Anti-Virus, Eset, Trend Micro a Dr.Web. S týmito antivírusmi na palube bolo spomalenie kopírovania testovacej kolekcie menej ako 20 % v porovnaní s benchmarkom. Antivírusové monitory BitDefender, PC Tools, Outpost, F-Secure, Norton a Emsisoft tiež vykazovali vysoké výsledky z hľadiska výkonu, spadajúce do rozsahu 30-50%. Antivírusové monitory BitDefender, PC Tools, Outpost, F-Secure, Norton a Emsisoft tiež vykazovali vysoké výsledky z hľadiska výkonu, spadajúce do rozsahu 30-50%.
Zároveň môžu byť Avira, AVG, BitDefender, F-Secure, G Data, Kaspersky Anti-Virus, Norton, Outpost a PC Tools výrazne rýchlejšie v reálnych podmienkach vďaka ich optimalizácii následných kontrol.
Antivírus Avira ukázal najlepšiu rýchlosť skenovania na požiadanie. Trochu za ním boli Kaspersky Anti-Virus, F-Secure, Norton, G Data, BitDefender, Kaspersky Anti-Virus a Outpost. Pokiaľ ide o rýchlosť prvého skenovania, tieto antivírusy sú len o niečo nižšie ako líder, zároveň však všetky majú vo svojom arzenáli výkonné technológie na optimalizáciu opakovaných skenov.
Ďalšou dôležitou charakteristikou rýchlosti antivírusu je jeho vplyv na prácu aplikácií, s ktorými používateľ často pracuje. Na test bolo vybraných päť z nich: internet Explorer, Microsoft Office Word, Microsoft Outlook , Adobe AcrobatČitateľ a Adobe Photoshop. Najmenšie spomalenie ich spúšťania kancelárske programy ukázal antivírusy Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost a G Data.
Eugene Kaspersky v roku 1992 použil nasledujúcu klasifikáciu antivírusov v závislosti od ich princípu fungovania (definujúce funkčnosť):
Ø Skenery (zastaraná verzia - "polyfágy", "detektory") - zisťujú prítomnosť vírusu pomocou databázy podpisov, v ktorej sú uložené podpisy (alebo ich kontrolné súčty) vírusov. Ich účinnosť je určená relevantnosťou vírusovej databázy a prítomnosťou heuristického analyzátora.
Ø audítorov (trieda blízka IDS) - zapamätať si stav súborového systému, čo umožňuje analyzovať zmeny v budúcnosti.
Ø strážca (rezidentné monitory alebo filtre ) - sledovať potenciálne nebezpečné operácie a vydávať používateľovi príslušnú požiadavku na povolenie/zakázanie operácie.
Ø Vakcíny (imunizátory ) - zmeniť vrúbľovaný súbor tak, aby vírus, proti ktorému sa vakcína vyrába, už považoval súbor za infikovaný. V moderných podmienkach, keď sa počet možných vírusov meria v stovkách tisíc, tento prístup nie je použiteľný.
Moderné antivírusy kombinujú všetky vyššie uvedené funkcie.
Antivírusy možno rozdeliť aj na:
Produkty pre domácich užívateľov:
Vlastne antivírusy;
Ku klasickému antivírusu pribudli kombinované produkty (napríklad antispam, firewall, anti-rootkit atď.);
Firemné produkty:
Serverové antivírusy;
Antivírusy na pracovných staniciach („koncový bod“).
Zdieľanie antivírusové programy poskytujú dobré výsledky, pretože sa dobre dopĺňajú:
Kontrolujú sa údaje pochádzajúce z externých zdrojov detektorový program. Ak sa tieto údaje zabudli skontrolovať a infikovaný program bol spustený, môže ho strážny program zachytiť. Pravda, v oboch prípadoch sú vírusy známe týmto antivírusovým programom spoľahlivo detekované. To nie je viac ako 80-90% prípadov.
- strážca dokáže odhaliť aj neznáme vírusy, ak sa správajú veľmi drzo (skúste naformátovať HDD alebo vykonajte zmeny systémové súbory). Niektoré vírusy však môžu takéto kontroly obísť.
Ak vírus nebol detekovaný detektorom alebo strážcom, potom výsledky jeho činnosti zistí program - audítor.
Na počítači by mali byť spravidla neustále spustené watchdogové programy, detektory by sa mali používať na kontrolu údajov prichádzajúcich z externých zdrojov (súbory a diskety) a raz denne by mali byť spustení audítori na zistenie a analýzu zmien na diskoch. To všetko by sa malo kombinovať s pravidelným zálohovaním dát a používaním preventívnych opatrení na zníženie pravdepodobnosti napadnutia vírusom.
Akýkoľvek antivírusový program "spomalí" počítač, ale je spoľahlivým liekom na škodlivé účinky vírusov.
Falošné antivírusy (falošné antivírusy).
V roku 2009 rôznych výrobcov antivírusy začali hlásiť širokú distribúciu nového typu antivírusov – falošných antivírusov alebo pseudoantivírusov (rogueware). V skutočnosti tieto programy buď vôbec nie sú antivírusy (to znamená, že nie sú schopné bojovať proti malvéru), alebo dokonca vírusy (kradnú informácie o kreditných kartách atď.).
Nečestné antivírusy sa používajú na vymáhanie peňazí od používateľov podvodom. Jedným zo spôsobov, ako infikovať počítač falošným antivírusom, je nasledujúci. Používateľ sa dostane na „infikovanú“ stránku, ktorá mu zobrazí varovnú správu ako: „Vo vašom počítači sa našiel vírus.“ Používateľ je potom vyzvaný na stiahnutie voľný program(falošný antivírus) na odstránenie vírusu. Falošný antivírus po inštalácii preskenuje PC a vraj v počítači zistí veľa vírusov. Na odstránenie škodlivého softvéru ponúka falošný antivírus kúpiť platenú verziu programu. Šokovaný používateľ zaplatí (sumy od 50 do 80 USD) a falošný antivírus vyčistí PC od neexistujúcich vírusov.
Antivírusy na SIM, flash karty a USB zariadenia
V súčasnosti vyrábané mobilné telefóny majú širokú škálu rozhraní a možností prenosu dát. Používatelia by si mali pred pripojením akýchkoľvek malých zariadení pozorne preštudovať metódy ochrany.
Pre používateľov mobilných telefónov sú vhodnejšie metódy ochrany ako hardvér, prípadne antivírusy na zariadeniach USB alebo na SIM. Technické zhodnotenie a prehľad o tom, ako nainštalovať antivírusový program na mobilný telefón, by sa mal považovať za proces skenovania, ktorý môže ovplyvniť ďalšie legitímne aplikácie v tomto telefóne.
Antivírusový softvér založený na SIM karte s antivírusom zabudovaným do malej oblasti pamäte poskytuje ochranu proti malvéru/vírusom tým, že chráni PIN a informácie o používateľovi telefónu. Antivírusy na flash kartách umožňujú používateľovi vymieňať si informácie a používať tieto produkty s rôznymi hardvérovými zariadeniami, ako aj odosielať tieto údaje do iných zariadení pomocou rôznych komunikačných kanálov.
Antivírusy, mobilné zariadenia a inovatívne riešenia
V budúcnosti je možné, že mobilné telefóny budú infikované vírusom. Čoraz viac vývojárov v tejto oblasti ponúka antivírusové programy na boj proti vírusom a ochranu mobilných telefónov. AT mobilné zariadenia Existujú nasledujúce typy vírusovej kontroly:
– obmedzenia procesora;
- limit pamäte;
– identifikáciu a aktualizáciu podpisov týchto mobilných zariadení.
Záver: Antivírusový program (antivírus) - pôvodne program na detekciu a liečbu škodlivých objektov alebo infikovaných súborov, ako aj na prevenciu - zabránenie infekcii súboru alebo operačného systému škodlivý kód. V závislosti od princípu fungovania antivírusových programov existuje nasledujúca klasifikácia antivírusov: skenery (zastaraná verzia - "polyfágy", "detektory"); audítori (trieda blízka IDS); strážca (rezidentné monitory alebo filtre); vakcíny (imunizátory).
ZÁVER
Pokrok vo výpočtovej technike posledné roky prispel nielen k rozvoju hospodárstva, obchodu a komunikácií; poskytla efektívnu výmenu informácií, ale aj jedinečný súbor nástrojov pre páchateľov počítačových zločinov. Čím intenzívnejší je proces informatizácie, tým reálnejší je rast počítačovej kriminality a moderná spoločnosť nielen pociťuje ekonomické dôsledky počítačovej kriminality, ale stáva sa aj čoraz závislejšou od informatizácie. Všetky tieto aspekty zaväzujú venovať čoraz väčšiu pozornosť ochrane informácií, ďalšiemu rozvoju legislatívneho rámca v oblasti informačná bezpečnosť. Celý rad opatrení by sa mal zredukovať na ochranu štátu informačné zdroje; k úprave vzťahov vznikajúcich pri tvorbe a využívaní informačných zdrojov; vytváranie a používanie informačných technológií; ochrana informácií a práv subjektov zúčastňujúcich sa na informačných procesoch; ako aj vymedzenie základných pojmov používaných v právnej úprave.
Docent Katedry organizácie bezpečnosti a konvojov vo väzenskom systéme
kandidát technických vied
podplukovník vnútornej služby V.G. Zárubský
malware antivírusová infekcia
Pre svoju úspešnú prácu musia vírusy skontrolovať, či je súbor už infikovaný (rovnakým vírusom). Vyhýbajú sa tak sebadeštrukcii. Vírusy na to používajú podpis. Väčšina bežných vírusov (vrátane makrovírusov) používa znakové podpisy. Zložitejšie vírusy (polymorfné) používajú podpisy algoritmov. Bez ohľadu na typ vírusovej signatúry ich antivírusové programy používajú na detekciu „počítačových infekcií“. Potom sa antivírusový program pokúsi zničiť zistený vírus. Tento proces však závisí od zložitosti vírusu a kvality antivírusového programu. Ako už bolo spomenuté, najťažšie je odhaliť trójske kone a polymorfné vírusy. Prvý z nich nepridáva svoje telo do programu, ale vkladá ho do neho. Na druhej strane, antivírusové programy musia stráviť pomerne veľa času na určenie signatúry polymorfných vírusov. Faktom je, že ich podpisy sa menia s každou novou kópiou.
Na detekciu, odstránenie a ochranu pred počítačovými vírusmi existujú špeciálne programy nazývaný antivírus. Moderné antivírusové programy sú multifunkčné produkty, ktoré kombinujú preventívnu aj antivírusovú liečbu a nástroje na obnovu dát.
Počet a rozmanitosť vírusov je veľká a na ich rýchlu a efektívnu detekciu musí antivírusový program spĺňať určité parametre:
1. Stabilita a spoľahlivosť práce.
2. Rozmery vírusovej databázy programu (počet vírusov, ktoré program správne deteguje): berúc do úvahy neustály výskyt nových vírusov, databáza by sa mala pravidelne aktualizovať.
3. Schopnosť programu detekovať rôzne typy vírusov a schopnosť pracovať so súbormi rôzne druhy(archívy, dokumenty).
4. Prítomnosť rezidentného monitora, ktorý kontroluje všetky nové súbory „za chodu“ (teda automaticky, ako sa zapisujú na disk).
5. Rýchlosť programu, dostupnosť pridané vlastnosti ako sú algoritmy na detekciu vírusov, ktoré program ešte nepozná (heuristické skenovanie).
6. Možnosť obnovy infikovaných súborov bez ich vymazania z pevného disku, ale iba odstránenia vírusov z nich.
7. Percento falošne pozitívnych výsledkov programu (chybná detekcia vírusu v „čistom“ súbore).
8. Cross-platform (dostupnosť verzií programu pre rôzne operačné systémy).
Klasifikácia antivírusových programov:
1. Detekčné programy zabezpečujú vyhľadávanie a detekciu vírusov v RAM a na externých médiách a pri detekcii vydávajú zodpovedajúcu správu. Existujú detektory:
Univerzálne - používajú vo svojej práci na kontrolu nemennosti súborov počítaním a porovnávaním so štandardom kontrolného súčtu;
Špecializované - vyhľadávanie známych vírusov podľa ich podpisu (opakujúca sa časť kódu).
2. Lekárske programy (fágy) vírusom napadnuté súbory nielen nachádzajú, ale aj „liečia“, t.j. odstrániť telo vírusového programu zo súboru a vrátiť súbory do pôvodného stavu. Na začiatku svojej práce fágy hľadajú vírusy v RAM, ničia ich a až potom pokračujú v „liečbe“ súborov. Spomedzi fágov sa rozlišujú polyfágy, t.j. doktorské programy určené na vyhľadávanie a ničenie veľkého počtu vírusov.
3. Program-auditori patria medzi najspoľahlivejšie prostriedky ochrany pred vírusmi. Audítori si pamätajú počiatočný stav programov, adresárov a systémových oblastí disku, keď počítač nie je infikovaný vírusom, a potom pravidelne alebo na žiadosť používateľa porovnávajú aktuálny stav s pôvodným. Zistené zmeny sa zobrazia na obrazovke monitora.
4. Filtračné programy (watchmen) sú malé rezidentné programy určené na detekciu podozrivých akcií počas prevádzky počítača, ktoré sú charakteristické pre vírusy. Takéto akcie môžu byť:
Pokusy o opravu súborov s príponami COM a EXE;
Zmena atribútov súboru;
Priamy zápis na disk na absolútnu adresu;
Zápis do zavádzacích sektorov disku;
5. Očkovacie programy (imunizátory) sú rezidentné programy, ktoré zabraňujú infekcii súborov. Vakcíny sa používajú, ak neexistujú žiadne programy lekárov, ktoré by „liečili“ tento vírus. Očkovanie je možné len proti známym vírusom Bezrukov N. Počítačová virológia: Učebnica [Elektronický zdroj]: http://vx.netlux.org/lib/anb00.html..
V skutočnosti je architektúra antivírusových programov oveľa zložitejšia a závisí od konkrétneho vývojára. Jedna skutočnosť je však nesporná: všetky technológie, o ktorých som hovoril, sú tak úzko prepojené, že niekedy nie je možné pochopiť, kedy sa jedna spustí a druhá začne fungovať. Táto interakcia antivírusových technológií umožňuje ich najefektívnejšie využitie v boji proti vírusom. Nezabúdajte však, že dokonalá ochrana neexistuje a jediný spôsob, ako sa pred takýmito problémami varovať, sú neustále aktualizácie OS, dobre nastavený firewall, často aktualizovaný antivírus a hlavne nespúšťať/sťahovať podozrivé súbory z internet.
Eugene Kaspersky v roku 1992 použil nasledujúcu klasifikáciu antivírusov v závislosti od ich princípu fungovania (definujúce funkčnosť):
1. Skenery (zastaraná verzia – „polyfágy“) – zisťujú prítomnosť vírusu pomocou databázy podpisov, v ktorej sú uložené podpisy (alebo ich kontrolné súčty) vírusov. Ich účinnosť je určená relevantnosťou vírusovej databázy a prítomnosťou heuristického analyzátora (pozri: Heuristické skenovanie).
2. Audítori (trieda blízka IDS) – pamätajte si stav súborového systému, čo umožňuje analyzovať zmeny v budúcnosti.
3. Strážcovia (monitory) – sledujú potenciálne nebezpečné operácie a vydávajú používateľovi príslušnú požiadavku na povolenie/zakázanie operácie.
4. Vakcíny - zmeňte naštepený súbor tak, aby vírus, proti ktorému je vakcína vyrobená, už súbor považoval za infikovaný. V moderných podmienkach (2007), keď sa počet možných vírusov meria v stovkách tisíc, nie je tento prístup použiteľný.
Moderné antivírusy kombinujú všetky vyššie uvedené funkcie.
Antivírusy možno rozdeliť aj na:
1. Produkty pre domácich používateľov:
2. vlastne antivírusy;
3. Ku klasickému antivírusu pribudli kombinované produkty (napríklad antispam, firewall, anti-rootkit atď.);
4. Firemné produkty:
5. Serverové antivírusy;
6. Antivírusy na pracovných staniciach („koncový bod“).
Antivírusy na SIM, flash karty a USB zariadenia
V súčasnosti vyrábané mobilné telefóny majú širokú škálu rozhraní a možností prenosu dát. Používatelia by si mali pred pripojením akýchkoľvek malých zariadení pozorne preštudovať metódy ochrany.
Pre používateľov mobilných telefónov sú vhodnejšie metódy ochrany ako hardvér, prípadne antivírusy na zariadeniach USB alebo na SIM. Technické vyhodnotenie a preskúmanie spôsobu inštalácie antivírusového programu na mobilný telefón by sa malo považovať za proces skenovania, ktorý môže ovplyvniť iné legitímne aplikácie v telefóne.
Antivírusový softvér založený na SIM karte s antivírusom zabudovaným do malej oblasti pamäte poskytuje ochranu proti malvéru/vírusom tým, že chráni PIN a informácie o používateľovi telefónu. Antivírusy na flash kartách umožňujú používateľovi vymieňať si informácie a používať tieto produkty s rôznymi hardvérovými zariadeniami, ako aj odosielať tieto údaje do iných zariadení pomocou rôznych komunikačných kanálov.
Antivírusy, mobilné zariadenia a inovatívne riešenia
V budúcnosti je možné, že mobilné telefóny budú infikované vírusom. Čoraz viac vývojárov v tejto oblasti ponúka antivírusové programy na boj proti vírusom a ochranu mobilných telefónov. V mobilných zariadeniach existujú nasledujúce typy kontroly vírusov.