Зловредное ПО и средства борьбы с ними
Министерство образования Российской Федерации
«Сибирский Государственный Аэрокосмический Университет
Имени академика Решетнева»
«Аэрокосмический колледж»
Семинар 4
Тема: «Зловредное ПО и средства борьбы с ними»
Дисциплина: "Безопасность и управление доступом ИС"
230103 Автоматизированные системы обработки информации и управления
Выполнил: ст. гр. АС-14 Эмилова О. А.
Проверил: преподаватель Карпачева О.Н.
Красноярск, 2008
Содержание
История развития зловредного ПО
Примеры ЗПО
Эпидемии
Черви
Макровирусы
Стелс-вирусы
Средства антивирусной защиты
NOD 32
Kaspersky AVP
Symantec
Dr. Web
1. История развития зловредного ПО
1949 год
Именно с 1949 года можно вести отсчет истории компьютерных вирусов. Дело было в США. Ученый Джон фон Науманн, венгр по происхождению, работавший в одном из университетов, разработал математическую теорию по созданию самовоспроизводящихся алгоритмов. Результаты его исследований были опубликованы в нескольких специализированных журналах. Однако ради справедливости стоит отметить, что данные работы не вызвали особого ажиотажа и остались абсолютно незамеченными окружающими, за исключением узкого круга ученых-математиков.
Единственным практическим использованием теории Науманна оказалось развлечение, которое придумали сами для себя математики, работающие в научно-исследовательском центре компании Bell. Они увлеклись созданием специальных программ, единственной целью которых было отбирание друг у друга виртуального пространства. В этих "гладиаторах" впервые была использована функция саморазмножения - обязательный признак любого компьютерного вируса.
Конец 60-х - начало 70-х
В течение двадцати лет теория Науманна на практике нигде не использовалась. Однако примерно в конце 60-х годов появились первые сообщения о самых настоящих компьютерных вирусах. В то время их писали программисты просто так, для развлечения или "пробы сил". Именно таким и был самый первый известный вирус Pervading Animal. Он не выполнял никаких деструктивных действий, да и заразил всего лишь один компьютер (Univax 1108), на котором и был создан. Однако именно этот вирус является "прародителем" всего сегодняшнего многообразия зловредных программ.
Кстати, вирусы тогда появлялись не только в результате заранее спланированных действий, но и случайно. В то время шла активная разработка новых приемов программирования. Поэтому иногда в результате ошибок в коде программа начинала "жить своей жизнью", копирую себя по накопителю или оставаясь работать в памяти машины. Такие "вирусы" не выполняли деструктивных действий, однако занимали системные ресурсы компьютера. Ну а если учесть объемы существовавших в то время накопителей и оперативной памяти, то становится понятно, что эта проблема была достаточно серьезной.
1975 год
Этот год может считаться датой рождения антивирусных программ. Все началось с появления первого сетевого вируса The Creeper, использующего Telenet. Опасность распространения этой заразы была достаточно велика, а поэтому для защиты была написана специальная программа The Reeper. С этого момента началась своеобразная гонка вооружений между вирусами и антивирусами.
Начало 80-х
В это время появляются первые массовые вирусы. Однако работают они только на компьютерах Apple. Кстати, для их распространения впервые использовался один из самых популярных способов - пиратские игры. Пользователи копировали друг у друга различные программы (благо в то время они помещались на дискетах), а вместе с ними и вирусы. И поскольку антивирусного софта в то время практически не было, то число пострадавших было достаточно велико.
1986 год
Этот год ознаменовался появлением первого вируса для компьютеров IBM - The Brain, который достаточно широко разошелся по всему миру. А что самое интересное, авторы, два пакистанских программиста, создали его исключительно с благими намерениями. Дело в том, что они работали в компании, занимающейся разработкой ПО. И чтобы хоть как-то наказать местных пиратов, программисты и написали этот вирус. Они даже оставили свои имена и телефоны, чтобы нарушители поняли, кто преподнес им "подарок". Однако игрушка оказалась слишком опасной. Распространение вируса вышло из-под контроля, и зловредная программа быстро распространилась по всем странам.
Вирус The Brain наделал много шума. Собственно говоря, именно с этого момента на компьютерные вирусы обратили внимание не только специализированные издания по информационной безопасности, но и журналы, рассчитанные на обычных пользователей. Ну а всеобщий ажиотаж подстегнул сразу несколько различных компаний на создание специальных антивирусных программ.
1988 год
В конце 80-х годов прошлого столетия активно развивалась сеть ARPANET - предок современного Интернета. И именно она послужила средой для быстрого распространения "червя", написанного американским программистом. Зараженными оказались почти шесть тысяч компьютеров по всей Америке. Но 1988 год знаменателен даже не появлением сетевого вируса, а тем, что его автор предстал перед правосудием. Наказание было не слишком суровым (штраф в $10 тыс. и три года испытательного срока), однако был создан первый прецедент, который не раз использовался в будущем. Еще одним плюсом судебного разбирательства оказалось привлечение к проблеме вирусов некомпьютерной прессы, в том числе и серьезных деловых изданий. Шумиха вокруг суда оказалась отличной рекламой антивирусных программ, разработка которых активно продолжалась.
1989 год
Вообще-то, этот год знаменателен появлением Интернета. В вирусной же истории никаких веховых событий не происходило. Ну, разве что отмечено первое серьезное наказание за создание зловредной программы. Оно было присуждено автору вируса, который закрывал доступ ко всей информации на жестком диске, а на экран выводил сообщение с требованием перевести определенную сумму на указанный счет в банке. И многие люди действительно платили! Однако нашлись и те, кто обратился в полицию. Собранных стражами порядка улик хватило на то, чтобы осудить автора вируса за вымогательство.
В остальном же все шло своим чередом. Появлялись новые вирусы, улучшалось антивирусное программное обеспечение. Все больше и больше компаний оказывались задействованы в этой борьбе. Постепенно тема компьютерных вирусов становилась все более популярной в различной прессе. Деловые издания пытались подсчитать убытки от зловредных программ и предсказать, что будет в будущем. Кроме того, в это время появились первые книги, посвященные компьютерным вирусам.
Середина 90-х
Вирусы продолжают активно совершенствоваться. Написанием зловредных программ занимаются многие люди. В США большой скандал вызвал случай, когда 12-летний мальчик написал вирус, поразивший компьютеры Белого дома. Кроме того, в это время зафиксировано появление "бомб замедленного действия", которые размножаются, но ничем не проявляют себя до определенной даты. Также в середине 90-х годов жертвами вирусов несколько раз становились люди, получающие от крупных компаний какую-либо информацию на дискетах. В частности, корпорация Microsoft однажды разослала бета-тестерам зараженную версию Windows 95.
В середине 90-х активно ведется борьба против вирусов. Их авторов начинают преследовать уже по всему миру. В некоторых странах, в частности в США и Великобритании, прошел ряд громких судебных процессов. Все обвиняемые отделались штрафами, размеры которых постепенно росли. Антивирусное ПО постоянно продолжает совершенствоваться и начинает успешно противостоять распространению и разрушительным действиям вирусов.
1998 год
В этом году два американских подростка создали вирус, который заразил более полутысячи компьютеров Министерства обороны США. В результате деятельность этого ведомства оказалась практически парализована. Это было, так сказать, знаковое происшествие. Именно с этого момента государство и общество признали, что компьютерные вирусы могут нести большую опасность, нежели даже оружие массового поражения. В результате Пентагон, а за ним и все крупные корпорации делают большие заказы на качественное и надежное антивирусное ПО, стимулируя тем самым его разработку. Кстати, косвенно эта ситуация сыграла положительную роль в развитии самых разных, особенно сетевых, систем информационной безопасности. Люди начинают осознавать опасность, которая, как оказалось, исходит не только от вирусов.
1999 год
Этот год отмечен первой всемирной эпидемией. Вызвал ее вирус Melissa. Число зараженных им компьютеров исчислялось десятками тысяч, а ущерб, нанесенный мировой экономике, составил просто головокружительную по тем временам цифру - 80 миллионов долларов. С этого момента антивирусное ПО стало обязательным атрибутом любого компьютера. Компании, занимающиеся его разработкой, получили огромные прибыли, а поэтому с 1999 года разработка защиты от зловредных программ двинулась вперед семимильными шагами.
2000 год
Зафиксирован рекорд по скорости распространения вируса и количеству зараженных им компьютеров. "Червь" I Love You! в течение всего нескольких часов поразил более миллиона ПК по всему миру. Автора вируса нашли достаточно быстро, им оказался филиппинский студент. Однако привлечь его к ответственности не удалось, поскольку в законодательстве Филиппин не оказалось соответствующих правовых норм. Это вызвало срочное создание и подписание международных соглашений о противодействии компьютерным вирусам. Таким образом, эта проблема была признана мировой.
2002 год
Вирусной атаке подверглись 13 узловых интернет-серверов, обеспечивающих работоспособность Глобальной сети. Специалисты бьют тревогу. Активно развиваются средства сетевой безопасности, включающие в себя не только антивирусное ПО, но и брандмауэры. Кроме того, в большинстве стран объявлена настоящая война авторам компьютерных вирусов. Их наказания становятся все более и более жесткими. В частности, Девид Смит, создатель вируса Melissa, приговорен к крупному штрафу и 20 месяцам тюремного заключения.
2003 год
Время активного развития сетевых "червей". Интернет периодически сотрясают эпидемии. Вновь оказываются побитыми рекорды распространения вируса. На этот раз отличился "червь" Slammer, который в течение всего 10 минут заразил 75 тысяч компьютеров, среди которых оказались даже машины Госдепартамента США. В результате консульства Америки на полдня остались без работы, поскольку осуществлять процесс выдачи виз было невозможно.
Ну а в общем год прошел без особых неожиданностей. Антивирусное ПО стало еще более совершенным, поэтому сегодня в распространении вирусов виноваты в большинстве случаев сами пользователи. Внимание общественности к зловредным программам привлекают не только печатные СМИ, но и радио и телевидение. Поэтому постепенно пользователи начинают приучать себя к соблюдению основных правил безопасности в Интернете, который на сегодняшний день и является основным источником вирусов.
2. Примеры ЗПО
2.1 Эпидемии
1) В мае 2008 в России была зарегистрирована первая эпидемия компьютерного вируса, распространяющегося через социальные сети. Червь Win32.HLLW.AntiDurov заразил, по экспертным оценкам, до сотен тысяч компьютеров пользователей сети "ВКонтакте.ру". Следом аналогичный вирус появился и в сети "Одноклассники.ру". Специалисты отмечают, что социальные сети являются идеальным инструментом для распространения вирусов, поскольку пользователи доверяют размещенному там содержимому.
Социализация вирусов
Главная тенденция последних пяти лет развития интернета заключается в бурном росте социальных сетей — виртуальных объединений пользователей по интересам. По данным аналитической компании comScore за июнь, в глобальном масштабе аудитория этих сетей составляла более 580 млн человек. У каждой из наиболее популярных сетей — Facebook и MySpace — число пользователей превысило сотню миллионов. По числу активных пользователей социальных сетей на первом месте страны Азии (200 млн человек), затем Европа (165 млн) и Северная Америка (130 млн).
Неудивительно, что социальные сети оказались благодатной средой для распространения вредоносных программ, а также различных видов мошенничества. Во многом это связано с доверчивостью пользователей, к тому же разработчики, несмотря на предостережения антивирусных компаний, заверяли аудиторию в полной безопасности своих ресурсов. В итоге к середине десятилетия имелись три условия для возникновения вирусных угроз в социальных сетях. Во-первых, социальные сети обладают механизмом распространения вредоносного кода. Во-вторых, они не имеют встроенных технологий защиты. В-третьих, аудитория достигла масштабов, привлекавших злоумышленников.
Первыми от действий мошенников пострадали пользователи западных социальных сетей, таких как MySpace и Facebook. 4 октября 2005 года в течение 20 часов компьютеры более миллиона пользователей MySpace заразились сетевым червем Samy. К счастью, он оказался обычным "хулиганом": его единственным проявлением была незначительная модификация профилей учетных записей. Тем не менее автор червя Сами Камкар был арестован и приговорен к исправительным работам с трехлетним испытательным сроком.
Позднее вирусные эпидемии стали распространяться и на другие социальные сети и веб-сервисы. Черви атаковали пользователей Gaia Online, Orkut, Yahoo!, Twitter и даже китайский клон Facebook под названием Xiaonei. В 2008 году началась тотальная эпидемия в социальных сетях: за лето было обнаружено почти два десятка вирусов для MySpace и Facebook, при этом вирусологи наблюдали их бурный качественный рост. В "Лаборатории Касперского" выделили шесть поколений, каждое из которых использовало все более совершенные способы распространения и маскировки.
Российские пользователи также оказались абсолютно не готовы к внезапной атаке со стороны сетевых мошенников. Утром 16 мая СМИ сообщили о появлении червя Rovud — первой в своем роде вредоносной программы, распространявшейся в сети "ВКонтакте.ру". Этот вирус рассылал с инфицированных машин другим пользователям сети ссылку на картинку в формате .jpeg, ведущую на ресурс злоумышленника. Реально же сервер отдавал по этой ссылке исполняемый файл deti.scr, который и является сетевым червем. Запущенный без ведома пользователя файл сохранял на диске саму картинку и запускал приложение для просмотра файлов .jpeg. Таким образом, пользователь видел то, что ожидал увидеть, не подозревая, что в его компьютере поселился вирус. Скопировав себя в одну из системных папок под именем svc.exe, червь устанавливался в систему в качестве сервиса Durov VKontakte Service и находил пароль к "ВКонтакте.ру". Если пароль находился, то червь получал доступ ко всем контактам своей жертвы в данной сети рассылал по этим контактам все ту же ссылку. Деструктивная функция червя заключалась в том, что 25-го числа каждого месяца в 10.00 начиналось удаление с диска C всех файлов.
Эта проба пера вирусописателей опровергла расхожее представление о том, что "первый блин комом". Rovud на деле доказал свою работоспособность, а его жертвами стали десятки тысяч пользователей. Двумя месяцами позже по сети "ВКонтакте.ру" ураганом прошлась новая рассылка вредоносной программы. На этот раз под видом порноролика распространялась троянская программа Crypt, подчинявшая зараженный компьютер полному контролю злоумышленников. Несмотря на примитивную приманку, "троянец" все же смог поразить более 4 тыс. участников сети.
2) Российская компания-производитель антивирусного ПО "Лаборатория Касперского" объявила об очередной эпидемии компьютерных вирусов. На этот раз атака исходит от вируса-"червя" Net-Worm.Win32.Mytob, который стремительно распространяется за счет многочисленных модификаций.
Один из вариантов Mytob лидирует по показателям активности на протяжении последних трех недель, занимая около 30 процентов всего вирусного почтового трафика. В настоящее время черви этого семейства представлены в составляемом компанией рейтинге двадцати наиболее распространенных вирусов 5-6 вариантами.
Mytob создан на основе знаменитого почтового червя Mydoom, вызвавшего несколько эпидемий. Он заражает компьютеры под управлением Windows, на которых не установлены последние обновления системы безопасности от Microsoft, в частности, ликвидирующие уязвимость в механизме LSASS. Традиционно вирус приходит в виде письма с бессмысленным заголовком и текстом и с исполняемым файлом в качестве приложения, замаскированным под неисполняемый.
После заражения червь внедряется в систему и рассылает свои копии по почте по найденным на компьютере адресам, а также пытается проникнуть в другие незащищенные компьютеры, выборочно сканируя участки Интернета. Он, как большинство вирусов, содержит механизм, позволяющий разославшим его хакерам получить полный контроль над зараженной машиной.
Накануне компания Microsoft выпустила очередной пакет обновлений для своего ПО, в том числе имеющих статус "критических". В "Лаборатории Касперского" отмечают, что пользователям необходимо обязательно установить эти обновления, так как вновь найденные "дыры" могут вызвать новые эпидемии в случае появления вирусов, которые их используют.
2.2 Черви
1) 28.01.2008 PandaLabs - лаборатория компании Panda Security, которая занимается обнаружением и анализом вредоносного ПО, обнаружила два новых червя, Nuwar.OL и Valentin.E, которые для распространения используют тему грядущего Дня Святого Валентина.
"Год за годом в преддверии Дня Святого Валентина мы наблюдаем появление нескольких образцов вредоносного ПО, которые пользуются темой праздника как приманкой, чтобы обмануть пользователей, - объясняет Луис Корронс (Luis Corrons), технический директор PandaLabs. - Это говорит о том, что киберпреступники до сих пор активно используют такие технологии, а многие люди по-прежнему попадают в приготовленную для них ловушку".
Первый из этих червей, Nuwar.OL, попадает в компьютеры в электронном сообщении с такими темами, как "I Love You Soo Much", "Inside My Heart" или "You… In My Dreams". В тексте такого сообщения содержится ссылка на веб-сайт, с которого загружается вредоносный код. Страница выглядит очень просто и похожа на романтическую поздравительную открытку с изображенным на ней большим розовым сердцем.
Сразу же после заражения компьютера червь рассылает огромное количество электронных писем по всем контактам зараженного пользователя. За счет этого он распространяется, а также создает большую нагрузку на сеть и снижает скорость работы компьютера.
Valentin.E действует почти аналогичным образом. Как и червь Nuwar, он распространяется в электронных сообщениях с такими темами, как "Searching for true Love" или "True Love", и содержит вложение под названием "friends4u". Если пользователь открывает файл, копия червя загружается на его компьютер.
Вредоносный код устанавливает на компьютере файл с расширением .scr. Если пользователь запускает этот файл, Valentin.E меняет обои на рабочем столе для того, чтобы обмануть пользователя, а сам в это время создает в компьютере несколько своих копий.
Затем червь рассылает с зараженного компьютера электронные письма, содержащие его копию, чтобы заразить как можно больше пользователей.
"Оба этих червя – это великолепные примеры использования технологий социальной инженерии с целью распространения вредоносного ПО. Они обычно используют заманчивые темы – поздравительные открытки к Дня Святого Валентина, романтические обои для рабочего стола и другие визуальные элементы для того, чтобы заставить пользователя открыть вложение или перейти по ссылке, в результате чего на компьютер загружается вредоносное ПО", рассказывает Корронс.
За последние годы PandaLabs обнаружила несколько образцов вредоносного ПО, которые пользовались Днем Святого Валентина как приманкой. Такие экземпляры вредоносного ПО, как Nuwar.D, варианты A и B червя Nurech распространяются в электронных сообщениях с темой о любви, например: "You and I Forever", "A Valentine Love Song" или "For My Valentine". В случае с Nurech.B вредоносный код скрывался во вложенном файле с таким названием, как FLASH POSTCARD.EXE или GREETING CARD.EXE.
PandaLabs предлагает пользователям ряд способов для того, чтобы не стать жертвами вредоносного ПО:
Не открывайте никаких электронных писем, которые приходят из неизвестных источников.
Не переходите ни по каким ссылкам, содержащимся в электронных сообщениях, даже полученных из надежных источников. Лучше просто набрать ссылку в адресной строке браузера.
Не открывайте вложенные файлы, присланные из неизвестных источников. Особенно накануне праздников настороженно относитесь к файлам, которые якобы являются поздравительными открытками к Дня Святого Валентина, романтическими видеозаписями и др.
Установите эффективное решение безопасности, способное обнаруживать как известные, так и неизвестные образцы вредоносного ПО.
2) Bot-черви — самый опасный вид malware, существующий в настоящее время. Они способны атаковать огромное количество ничего не подозревающих пользователей. Какие новинки авторы bot-червей станут включать в свои отвратительные «произведения» уже в ближайшем будущем?
В настоящее время все bot-черви строятся по модульному принципу. Это значит, что автор программы может выбирать различные методы атаки, включая использование брешей в системах защиты, массовую почтовую рассылку, непосредственное размножение, а также их различные сочетания. Результат — специализированный червь, разработанный для выполнения конкретной задачи: похищения информации и установления контроля за инфицированным ПК.
Идея модульности этих типов червей была реализована в WORM_ RBOT.CBQ и WORM_ZOTOB, ставших «гвоздем» информационных выпусков в конце лета. Когда написанный сегмент кода, использующий какую-то брешь в защите операционной системы, публикуется в Интернете, вирусописатели сразу могут внедрить его в код уже существующего червя, перекомпилировать — и, пожалуйста, новый опасный вид готов к распространению.
Захват потоков RSS
RSS (Real Simple Syndication) — метод автоматического получения обновлений. Например, при обновлении веб-страниц их RSS-подписчики могут получать новый контент по мере публикации с помощью клиентов RSS, которые постоянно отслеживают обновления. Самый простой способ использования этой развивающейся технологии — захват уже сконфигурированных клиентов RSS для автоматической загрузки новых копий червей и другого вредоносного ПО на инфицированные ПК. Сначала червь проверяет, настроена ли данная система на какую-либо автоматическую загрузку обновлений. Если это так, остается всего лишь добавить новый или изменить один из запрашиваемых адресов на адрес вредоносного веб-сайта. Такой тип атак повлечет за собой следующее:
Как правило, в этих случаях соединение начинается с разрешенного адреса. Из-за того, что первое соединение уже "разрешено", персональные межсетевые экраны и другие барьеры не просигнализируют об опасности.
Загрузки будут все равно продолжаться, даже если червь обнаружен и удален. Для полного прекращения загрузок необходимо специальное средство для удаления вредоносной информации из конфигурации клиента RSS.
Уменьшает эту опасность то обстоятельство, что в настоящее время такие программы загрузки не стандартизованы, поэтому для атак уязвимы только определенные программы. Однако ситуация может измениться с выходом Internet Explorer 7. Корпорация Microsoft уже объявила, что эта новая версия популярного интернет-обозревателя будет содержать встроенную поддержку загрузки по технологии RSS. А значит, авторы червей получат новые широкие возможности для атак.
Чтобы бороться с этим, следует применять сканирование трафика HTTP. Судя по всему, оно станет одним из самых популярных методов борьбы с распространением malware в ближайшем будущем.
Полиморфные атаки с использованием изменяемого кода
Некоторые исследователи считают, что авторы подобных bot-червей могут создавать модули с изменяемым исполнимым кодом, который будет варьироваться при каждом запуске, но приносить такой же результат. Сейчас большинство систем обнаружения сетевых атак и брешей в защите определяют malware по определенным участкам кода. Если же он будет меняться каждый раз, зловредные программы смогут обойти все сканеры и выполнить свою вредоносную задачу. Хотя это теоретически возможно, все-таки для создания такого модуля его авторам придется изучить, как работает код для проникновения и как его можно изменить. Эти концепции конфликтуют с вышеупомянутой тенденцией включения во вредоносные программы новых способов проникновения как можно раньше и могут замедлить создание новых червей. Их авторам придется выбирать между быстрой атакой и невидимой атакой. Мы надеемся, что такая технология останется возможной лишь в теории, но вероятность подобной опасности необходимо принимать во внимание.
Методы сжатия
Борясь с bot-червями, антивирусные компании уже давно поняли, что различия между многими вариантами одного и того же червя заключаются только в использовании разных методов сжатия. Авторы червей перекомпилируют их и по-другому сжимают новую программу. Стоит производителям антивирусов научиться ее узнавать, как умельцы просто применяют другой алгоритм, и процесс продолжается. Существуют сотни различных методов компрессии, поэтому задача обнаружения bot-червей крайне сложна. Необходимо сначала научиться выяснять метод сжатия, а уже потом применять различные шаблоны для поиска червей. Мы ожидаем, что в ближайшие месяцы в этом направлении будет достигнут определенный прогресс. Компания Trend Micro, например, уже работает над созданием системы сканирования, которая сможет определять способ компрессии.
Пользователи должны осознавать опасность bot-червей, а также знать методы, которые те используют для заражения других компьютеров, чтобы иметь возможность защититься от них.
Для того чтобы противостоять угрозе, предлагается следующее:
Устанавливать обновления безопасности на домашних ПК, как только они появляются на веб-сайте корпорации Microsoft. Автоматическое обновление уже стало не дополнительной возможностью, а обязательной функцией. Безопасность домашних систем можно обеспечить, только имея подключение к Интернету.
В корпоративных системах применять программное и аппаратное обеспечение, разработанное специально с учетом защиты от таких вторжений. Определение и блокировка сетевых пакетов, которые используют черви для проникновения через слабые места, по существу лучшая защита от такого типа malware.
3) «Лаборатория Касперского» сообщает об обнаружении ряда модификаций известного сетевого червя "Email-Worm.Win32.Bagle". Все новые варианты червя представляют собой различные варианты паковки одной и той же вредоносной программы, отличительной особенностью которой является отсутствие функции размножения. Данное исполнение червя, относящее программу к классу так называемых "intended" червей, исключает самостоятельное распространение зловредного кода с пораженного компьютера. Вместе с тем, многочисленные случаи обнаружения в почтовом трафике новых модификаций Bagle подтверждают информацию о том, что данная эпидемия вызвана цепью спам-рассылок зараженных червем писем.
Новые варианты Bagle были разосланы через электронную почту в виде вложений в электронные письма. Червь представляет собой исполняемый в среде Windows файл, приложенный к письму с произвольными либо отсутствующими заголовком и текстом. Название, формат и размер приложенного файла также произвольны. Это не позволяет выявить зараженное письмо по его формальным признакам, и именно поэтому конечному пользователю необходимо проявлять максимальную осторожность.
Активизация червя производится по инициативе пользователя, открывшего приложение к письму и тем самым запустившего зараженный файл. После запуска червь копирует себя в системный каталог Windows и регистрирует себя в ключе автозапуска системного реестра. При этом вредоносная программа прерывает процессы, осуществляющие персональную защиту компьютера и локальных подсетей, оставляя атакованный компьютер незащищенным.
В настоящее время антивирусными аналитиками «Лаборатории Касперского» обнаружены 9 различных вариантов "Email-Worm.Win32.Bagle". То, что различие между ними незначительно и состоит в версии используемой для упаковки зараженного файла утилиты, позволило использовать единую процедуру выявления и нейтрализации всех новых модификаций червя. Она добавлена в базу данных Антивируса Касперского® как Email-Worm.Win32.Bagle.pac. Более подробная информация о данном наборе вредоносных программ доступна в Вирусной Энциклопедии Касперского.
2.3 Макровирусы
1) Новый макровирус размножается с помощью Microsoft Mail
7 марта 2008 антивирусный отдел НТЦ Kami сообщил о выявлении нового макровируса Macro.Word.ShareFun, который содержит девять макросов и распространяется через электронную почту. Он заражает файлы и систему при открытии/закрытии документов и при обращениях к меню Tools/Macro. Проявляется этот вирус крайне необычным способом - рассылает зараженные документы по Microsoft Mail, если эта система установлена. Эта процедура (макрос ShareTheFun) вызывается при открытии файлов (AutoOpen) с вероятностью 25%.
При вызове она сохраняет текущий документ (уже зараженный) под именем C:DOC1.DOC, далее выбирает из списка адресов Microsoft Mail три случайных адреса и посылает по этим адресам зараженный файл C:DOC1.DOC. Зараженные письма уходят с заголовком: You have GOT to read this! (Вы должны прочитать это!).
Если же Microsoft Mail не установлен, вирус дает команду перезагрузки Windows. По данным антивирусного подразделения IBM, этот вирус использует для размножения только более старые версии MS Mail, чем включенная в MS Exchange. Лечащий модуль уже есть в очередном обновлении к AVP от 22 февраля (up0222).
2) Макровирусы Word распространяются как пожар
Шарон Махлис, Computerworld, США
Еще год назад в компьютерном мире было известно около 40 макровирусов. К нынешнему году их уже стало более 1300. Стремительное распространение вредоносного кода, в первую очередь поражающего документы, созданные в текстовом процессоре Microsoft Word, подтолкнуло системных администраторов и производителей антивирусных программ к поиску средств защиты зараженных документов и приложений электронной почты.
До недавнего времени вирусы, как правило, проникали через зараженные гибкие диски, но теперь появился более быстрый способ их распространения - электронная почта, когда одним нажатием клавиши можно легко заразить компьютеры всего отдела.
Производители антивирусных продуктов пытаются бороться с новой угрозой, не только защищая настольные ПК, но и блокируя другие пути проникновения информации, по которым в систему могут проскользнуть разрушительные макровирусы: файловые серверы, серверы электронной почты и шлюзы Internet.
Поскольку распространение вирусов начинает приобретать эпидемический характер, создаваемые в последнее время антивирусные продукты не просто проверяют все макровирусы по списку известных сигнатур, анализируют их поведение, чтобы выявить масштабы наносимого ими вреда. Новая технология получила название эвристической.
Большинство основных производителей либо уже выпустили эвристические продукты, либо объявили об их разработке. Например, корпорация Symantec предложила Norton Antivirus 4.0, включающий в себя технологию поиска вирусов Bloodhound собственного производства. До сих пор Bloodhound использовалась только в собственной программе-"пауке" Web компании Symantec, которая просматривала сеть Internet в поисках новых вирусов.
Официальные представители компании Symantec сообщили, что при использовании технологии Bloodhound можно обнаружить более 90% макровирусов и 80% вирусов других типов. Для большей эффективности она объединена с обычной процедурой проверки "отпечатков" вирусов. Проверка "отпечатков" известных вирусов дает более точные результаты: число выявленных вирусов составляет 99%, а то и больше, однако она бесполезна при поиске новых вирусов, если только они не являются модификациями уже известных.
Задача эвристического продукта не всегда сводится к необходимости обнаружить новые макровирусы. Иногда бывает нужно предотвратить ложные сигналы тревоги. С этой проблемой уже сталкиваются при работе с некоторыми обычными антивирусными программами.
Преимущество эвристических продуктов в том, что они облегчают решение пресловутой проблемы, стоящей перед антивирусной защитой: соответствовать уровню, обозначенному современными макровирусами. Если антивирусная фирма использует технологию проверки "отпечатков", то она сначала должна найти вирус, а затем - некий код "отпечатка", чтобы идентифицировать его и разработать способ очистки от вируса. Ожидается, что компания McAfee Associates выпустит эвристический продукт в третьем квартале.
Первые эвристические продукты были направлены против старых вирусов, поражавших загрузочный сектор и заражавших машины, загружавшиеся с гибких дисков; эти вирусы были способны на все - от вывода сообщения до полного стирания содержания жесткого диска. Однако борьба с ними никогда не сулила особых побед. Новые версии антивирусных продуктов более эффективны. В любом случае их действия определенно пойдут лишь на пользу.
Угрожают мутанты
Чем объясняется внезапная мутация вируса? Некоторые эксперты признают существование этого явления. Исследователи же все еще пытаются выяснить его точные причины. Многие члены антивирусного сообщества подозревают, что виноват сам текстовый процессор Microsoft Word. По мнению Джимми Куо, директора по антивирусным исследованиям компании McAfee Associates, автосохранение документа при определенных обстоятельствах может повредить часть макрокода. Другие специалисты, в том числе и Кэри Нахенберг, главный архитектор исследовательского центра Symantec AntiVirus Research Center, считают, что проблема кроется либо в Word, либо в совместно используемой библиотеке Windows типа OLE, либо в комплексном воздействии этих двух факторов. Не исключена и еще одна причина - это возможное взаимодействие с третьей программой.
В отдельных случаях мутация может происходить в результате встречи двух вирусов в одном и том же документе, утверждают исследователи. При этом один из вирусов может частично переписать другой, создавая новый вирус, обладающий некоторыми характеристиками каждого из родителей.
Чтобы бороться с ростом числа новых вирусов, все больше производителей антивирусных продуктов рекламируют технологию "эвристической" проверки поведения макровирусов с целью определения их потенциальной опасности; при этом могут быть автоматически выявлены особенности новых вирусов.
2.4 Стелс-вирусы
Стелс-вирусы теми или иными способами скрывают факт своего присутствия в системе. Известны стелс-вирусы всех типов, за исключением Windows-вирусов - загрузочные вирусы, файловые DOS-вирусы и даже макро-вирусы. Появление стелс-вирусов, заражающих файлы Windows, является скорее всего делом времени.
Загрузочные вирусы
Загрузочные стелс-вирусы для скрытия своего кода используют два основных способа. Первый из них заключается в том, что вирус перехватывает команды чтения зараженного сектора (INT 13h) и подставляет вместо него незараженный оригинал. Этот способ делает вирус невидимым для любой DOS-программы, включая антивирусы, неспособные "лечить" оперативную память компьютера. Возможен перехват команд чтения секторов на уровне более низком, чем INT 13h.
Второй способ направлен против антивирусов, поддерживающих команды прямого чтения секторов через порты контроллера диска. Такие вирусы при запуске любой программы (включая антивирус) восстанавливают зараженные сектора, а после окончания ее работы снова заражают диск. Поскольку для этого вирусу приходится перехватывать запуск и окончание работы программ, то он должен перехватывать также DOS-прерывание INT 21h.
С некоторыми оговорками стелс-вирусами можно назвать вирусы, которые вносят минимальные изменения в заражаемый сектор (например, при заражении MBR правят только активный адрес загрузочного сектора - изменению подлежат только 3 байта), либо маскируются под код стандартного загрузчика.
Файловые вирусы
Большинcтво файловых стелс вирусов использует те же приемы, что приведены выше: они либо перехватывают DOS-вызовы обращения к файлам (INT 21h) либо временно лечат файл при его открытии и заражают при закрытии. Также как и для загрузочных вирусов, существуют файловые вирусы, использующие для своих стелс-функций перехват прерываний более низкого уровня - вызовы драйверов DOS, INT 25h и даже INT 13h.
Полноценные файловые стелс-вирусы, использующие первый способ скрытия своего кода, в большинстве своем достаточно громоздки, поскольку им приходиться перехватывать большое количество DOS-функций работы с файлами: открытие/закрытие, чтение/запись, поиск, запуск, переименование и т.д., причем необходимо поддерживать оба варианта некоторых вызовов (FCB/ASCII), а после появления Windows95/NT им стало необходимо также обрабатывать третий вариант - функции работы с длинными именами файлов.
Некоторые вирусы используют часть функций полноценного стелс-вируса. Чаще всего они перехватывают функции DOS FindFirst и FindNext (INT 21h, AH=11h, 12h, 4Eh, 4Fh) и "уменьшают" размер зараженных файлов. Такой вирус невозможно определить по изменению размеров файлов, если, конечно, он резидентно находится в памяти. Программы, которые не используют указанные функции DOS (например, "Нортоновские утилиты"), а напрямую используют содержимое секторов, хранящих каталог, показывают правильную длину зараженных файлов.
Макро-вирусы
Реализация стелс-алгоритмов в макро-вирусах является, наверное, наиболее простой задачей - достаточно всего лишь запретить вызов меню File/Templates или Tools/Macro. Достигается это либо удалением этих пунктов меню из списка, либо их подменой на макросы FileTemplates и ToolsMacro.
Частично стелс-вирусами можно назвать небольшую группу макро-вирусов, которые хранят свой основной код не в самом макросе, а в других областях документа - в его переменных или в Auto-text.
3. Средства антивирусной защиты
3.1 NOD 32
NOD32 — антивирусный пакет, выпускаемый словацкой фирмой Eset. Возник в конце 1998 года. Название изначально расшифровывалось как Nemocnica na Okraji Disku («Больница на краю диска», перефразированное название популярного тогда в Чехословакии телесериала «Больница на окраине города»).
NOD32 — это комплексное антивирусное решение для защиты в реальном времени от широкого круга угроз. Eset NOD32 обеспечивает защиту от вирусов, а также от других угроз, включая троянские программы, черви, spyware, adware, phishing-атаки. В решении Eset NOD32 используется патентованная технология ThreatSense®, предназначенная для выявления новых возникающих угроз в реальном времени путем анализа выполняемых программ на наличие вредоносного кода, что позволяет предупреждать действия авторов вредоносных программ.
При обновлении баз используется ряд серверов-зеркал, при этом также возможно создание внутрисетевого зеркала обновлений, что приводит к снижению нагрузки на интернет-канал. Для получения обновлений с официальных серверов необходимы имя пользователя и пароль, которые можно получить активировав свой номер продукта на странице регистрации регионального сайта.
Наравне с базами вирусов NOD32 использует эвристические методы, что может приводить к лучшему обнаружению неизвестных вирусов, которые обладают схожим с детектированым действием.Большая часть кода антивируса написана на языке ассемблера, поэтому для него характерно малое использование системных ресурсов и высокая скорость проверки с настройками по умолчанию.
Модули и компоненты
Antivirus MONitor (AMON)
On-access (резидентный) сканер, который автоматически проверяет файлы перед осуществлением доступа к ним.
NOD32
«On-demand» сканер, который можно запустить вручную для проверки отдельных файлов или сегментов диска. Этот модуль можно также запрограммировать на запуск в часы с наименьшей загрузкой.
Internet MONitor (IMON)
Резидентный сканер, работающий на уровне Winsock и препятствующий попаданию зараженных файлов на диски компьютера. Данный модуль проверяет Интернет-трафик (HTTP) и входящую почту, полученную по протоколу POP3.
E-mail MONitor (EMON)
Дополнительный модуль для проверки входящих/исходящих сообщений через интерфейс MAPI, например, в Microsoft Outlook и Microsoft Exchange.
Document MONitor (DMON)
Использует запатентованный интерфейс Microsoft API для проверки документов Microsoft Office (включая Internet Explorer).
Версии NOD32
NOD32 для Workstations Vista
NOD32 для Windows
NOD32 для Windows95/98/ME
NOD32 для MSDOS
NOD32 для File Servers
NOD32 LAN Update ServerNOD32 для Linux
NOD32 для Novell
NOD32 для Email Servers
NOD32 для Windows Mobile
NOD32 для PalmOS
NOD32 для Symbian
Факты
Из участников тестирования Virus Bulletin 100 %, Eset NOD32 обладает наибольшим среди тестируемых (48 по состоянию на 4 февраля 2008) количеством наград данной лаборатории.
3.2 Kaspersky AVP
Антивирус Касперского (ранее известный как AntiViral Toolkit Pro; rратко называется KAV - от англ. Kaspersky Antivirus) — антивирусное программное обеспечение разрабатываемое Лабораторией Касперского. Отличается от предыдущей версии наличием технологии HIPS. Предоставляет пользователю защиту от вирусов, троянских программ, шпионских программ, руткитов, adware, а также неизвестных угроз с помощью проактивной защиты, включающей компонент HIPS.
Системные требования
3.3 Symantec
Symantec — компания по производству программного обеспечения в области информационной безопасности и антивирусов. Расположена в Купертино, Калифорния.
Компания Symantec является мировым лидером в области приложений, программно-аппаратных комплексов и услуг, которые помогают конечным пользователям, мелким фирмам, средним компаниям и крупным предприятиям обеспечивать безопасность, готовность и целостность самого важного актива — информации.
Norton 360 2.0 RU
Полное наименование: Norton 360 2.0 (полная локализация) RET RU
Norton 360 версии 2.0 обеспечивает автоматическую, комплексную защиту, в том числе безопасность и оптимизацию компьютера, безопасность электронных транзакций, резервное копирование и восстановление.
Основные функции
Защита от вирусов
Защита от программ шпионов
Защита электронной почты
Защита от фишинга
Обучаемый Firewall с технологией Sonar
2 Gb памяти в безопасном сетевом хранилище Symantec
Встроенные средства поддержки
Усовершенствованные функции
Повышенная производительность
Автоматическое резервное копирование и восстановление
Настройки производительности PC, устранение проблем, связанных с работой ОС.
Новые функции
Norton Identity Safe. Защита компьютера в фоновом режиме при работе пользователя с электронными магазинами, банками и другими веб-сайтами.
Мониторинг сети. Защищает сеть и предупреждает пользователя при подключении к небезопасной беспроводной сети.
Защита до 3-х домашних компьютеров в течение года
На протяжении срока действия подписки автоматически предоставляются обновления безопасности и новые функции для 3-х домашних компьютеров.
Norton Internet Security 2009 — программный продукт от Symantec, обеспечивающий необходимую степень защиты от вирусов, хакеров, кражи конфиденциальности информации и прочих сетевых угроз. В продукте представлены новые функции, технологии и улучшения.
Norton Internet Security 2009 — это самый быстрый и легкий комплект безопасности, позволяющий работать на компьютере и не ждать окончания работы программ безопасности.
Новые преимущества продукта:
Быстрые импульсные обновления обеспечивают мгновенную защиту — выполняются каждые 5-15 минут и устраняют новые угрозы.
Интеллектуальное быстрое сканирование — благодаря уникальной интеллектуальной сетевой технологии Norton™ Insight отслеживает только подозрительные файлы.
Улучшена блокировка попыток хищения личных данных — делайте покупки, работайте с банком по сети везде и всюду.
Улучшена безопасность сетевых соединений — наблюдайте за работой домашней сети и подключайтесь к беспроводной сети без опасений.
Улучшена блокировка угроз и хакеров — двусторонний брандмауэр берет на себя ваши заботы.
В Norton Internet Security 2009 представлен огромный ряд новых функций:
Потрясающая производительность:
Интеллектуальная технология Norton™ Insight выбирает только файлы, подверженные угрозам, что позволяет выполнять сканирование быстрее, реже и эффективнее.
Продукт устанавливается в среднем за одну минуту и требует не более 7 Мб оперативной памяти.
Мгновенная защита данных:
Быстрые импульсные обновления выполняются каждые 5-15 минут и защищают от самых свежих угроз.
Norton™ Protection System — это многоуровневый комплекс технологий, устраняющий угрозы прежде, чем они станут представлять опасность.
Технология реального времени SONAR (Symantec™ Online Network for Advanced Response) предотвращает захват компьютера ботами.
Улучшено: Не позволяет угрозам преодолеть брандмауэр.
Улучшенная защита от новейших веб-атак с помощью патентуемой технологии.
Средство восстановления помогает загрузить и восстановить сильно зараженные компьютеры.
Сканирует все, что можно, и удаляет все угрозы без исключения.
Norton Identity Safe:
Улучшено обеспечение безопасности личных данных при покупках, работе с банком и в сетевых играх.
Улучшено заполнение форм по вашему запросу, экономя время и обходя клавиатурные шпионы.
Непрерывный контроль:
Планирует ресурсоемкие операции на время бездействия компьютера.
Контролирует состояние безопасности каждого процесса на компьютере.
В тихом режиме все предупреждения и обновления блокируются, чтобы не прерывать просмотр фильмов и игры.
Безопасность в сети:
Улучшена защита домашней сети.
Средства родительского контроля:
Создает индивидуальные профили пользователей с расширенными возможностями родительского контроля.
Dr. Web
Dr. Web — антивирусы этого семейства предназначены для защиты от почтовых и сетевых червей, руткитов, файловых вирусов, троянских программ, стелс-вирусов, полиморфных вирусов, бестелесных вирусов, макровирусов, вирусов, поражающих документы MS Office, скрипт-вирусов, шпионского ПО (spyware), программ-похитителей паролей, клавиатурных шпионов, программ платного дозвона, рекламного ПО (adware), потенциально опасного ПО, хакерских утилит, программ-люков, программ-шуток, вредоносных скриптов и других вредоносных объектов, а также от спама, скаминг-, фарминг-, фишинг-сообщений и технического спама.Содержание
Характерные особенности:
Характерной особенностью антивируса Dr. Web является возможность установки на зараженную машину. В процессе установки производится сканирование памяти и файлов автозагрузки, перед сканированием производится обновление вирусной базы. При этом выпуски обновлений вирусных баз производятся с периодичностью в несколько часов и менее.
Origins Tracing — алгоритм несигнатурного обнаружения вредоносных объектов, который дополняет традиционные сигнатурный поиск и эвристический анализатор, даёт возможность значительно повысить уровень детектирования ранее неизвестных вредоносных программ.
Dr. Web Shield — механизм борьбы с руткитами, реализованный в виде драйвера компонент антивирусного сканера обеспечивает доступ к вирусным объектам, скрывающимся в глубинах операционной системы.
поддержка большинства существующих форматов упакованных файлов и архивов, в том числе, многотомных и самораспаковывающихся архивов. На данный момент имеется поддержка около 4000 видов различных архивов и упаковщиков.
обновления вирусных баз производятся немедленно по мере выявления новых вирусов, до нескольких раз в час. Разработчики антивирусного продукта отказались от выпуска обновлений вирусных баз по какому-либо графику, поскольку вирусные эпидемии не подчиняются таковым.
компактная вирусная база и небольшой размер обновлений. Одна запись в вирусной базе позволяет определять десятки, в ряде случаев, тысячи подобных вирусов.
небольшой размер дистрибутива.
кроссплатформенность — используется единая вирусная база и единое ядро антивирусного сканера.
возможность полноценной работы сканера без инсталляции, что позволяет использовать антивирус для лечения зараженных систем с использованием носителей в режиме только для чтения.
обнаружение и лечение сложных полиморфных, шифрованных вирусов и руткитов
История создания
История разработки антивируса Игоря Данилова начинается с 1991 году, а под маркой Dr. Web антивирусы разрабатываются и распространяются с 1994.
1992 год — Создание первой версии антивирусной программы Spider Web (прототипа Dr. Web). В ней была впервые реализована идея выполнения кода программ в эмуляторе процессора для поиска неизвестных вирусов.
1994 год — Начало продаж антивируса Doctor Web. Автор — Игорь Данилов. Появились вирусы-мутанты, названные позже полиморфными вирусами, которые не смогла определять программа Aidstest.
1995 год — Демонстрация Антивирусного комплекса DSAV 2.0. В комплекс входит антивирус Doctor Web.
1996 год — дебют программы Doctor Web (версия 3.06b) на сравнительном тестировании полифагов, проводимом журналом «Virus Bulletin», более чем впечатляющий — как по уровню знания полиморфных вирусов, так и по качеству эвристического анализатора. В статье журнала «Virus Bulletin» о программе Doctor Web (версия 3.08) был особо отмечен эвристический анализатор антивируса, который в режиме «параноик» определил 100 % полиморфных вирусов. Представлена альфа-версия Dr. Web для Novell NetWare.
1997 год — впервые российская антивирусная программа (Dr. Web) вошла в тройку лучших антивирусов мира по результатам тестирования журнала Virus Bulletin. Выходит бета-версия Dr. Web для Novell NetWare.
1998 год — Выход Dr. Web 4.0. Изменена архитектура и алгоритм работы программы. Публичное тестирование Dr. Web для Windows 95/98/NT.
1999 год — Появление резидентного модуля SpIDer Guard для Windows 95/98. Dr. Web для Windows 95/98/NT получает первую награду «VB100%» в тестах журнала Virus Bulle-tin. Выход коммерческой версии Dr. Web для Windows 95/98/NT. В Dr. Web впервые реализована проверка памяти виртуальных машин в среде Windows NT.
2000 год — Антивирус Dr. Web получил сертификат соответствия Минобороны РФ. Резко увеличена частота выхода обновлений вирусной базы — до нескольких раз в час.
2001 год — Заключено соглашение с компанией Яндекс. С этого момента все письма, проходящие через почтовую систему Яндекс, проверяются с помощью решений Dr. Web.
2002 год — Создание антивирусных фильтров Dr. Web для почтовых серверов CommuniGate Pro. Выпуск первой бета-версии «Dr. Web для Unix» с уникальной на тот момент функцией — лечением файлов на лету. Выпуск программы SpIDer Mail — уникальной на тот момент программы для проверки входящей почты.
Компания «Доктор Веб»
Компания «Доктор Веб» — российская компания, являющаяся производителем и поставщиком антивирусных продуктов под маркой Dr. Web. Компания предлагает антивирусные решения самому широкому кругу клиентов, использующих различные операционные системы.
Основные продукты, разрабатываемые и поставляемые компанией «Доктор Веб»:
для защиты рабочих станций и файловых серверов под управлением MS Windows;
для защиты корпоративной сети и сетей национального масштаба с централизованным управлением антивирусной защитой;
сервис AV-desk для ISP;
для защиты почтовых и файловых серверов под UNIX-системами;
для защиты интернет-шлюзов под UNIX-системами;
для защиты файловых серверов под Novell NetWare;
для защиты серверов Lotus Domino на платформе Microsoft Windows;
для защиты серверов Microsoft Exchange;
для защиты КПК под управлением Windows Mobile.
CureIT
Компания выпускает также бесплатную версию сканера CureIT, которая не требует установки. Для обновления антивирусной базы необходимо загрузить с сайта актуальную версию программы (нет возможности автоматического обновления). Число запусков данной программы не ограничивается. При запуске пользователю предлагают проверить запущенные процессы и библиотеки, по окончании проверки можно проверить любой указанный пользователем путь, при этом в процессы проверки активирована опция эвристического анализа.