Классификация средств защиты информации. Контроль за доступом к информации.
Компьютерный вирус— специальная программа, способная самопроизвольно присоединяться к другим программам («заражать» их) и при запуске последних выполнять различные нежелательные действия: порчу файлов и каталогов, искажение результатов вычислений, засорение или стирание памяти, создание помех в работе компьютера.
Наличие вирусов проявляется в следующих ситуациях:
• некоторые программы перестают работать или начинают работать некорректно;
• на экран выводятся посторонние сообщения, сигналы и другие эффекты;
• работа компьютера существенно замедляется;
• структура некоторых файлов оказывается испорченной и т.д.
Классификация компьютерных вирусов
Имеется несколько признаков классификации существующих компьютерных вирусов:
• по среде обитания;
• по области поражения;
• по особенностям алгоритма;
• по способу заражения;
• по деструктивным возможностям.
Рассмотрим приведенную классификацию более детально.
1. Классификация по среде обитания. Различают файловые, загрузочные, макро- и сетевые вирусы.
Файловые вирусы — наиболее распространенный тип вирусов. Эти вирусы внедряются в выполняемые файлы, создают файлы-спутники (соmpanion-вирусы) или используют особенности организации файловой системы (link-вирусы).
Загрузочные вирусызаписывают себя в загрузочный сектор диска (bооt-сектор) или в сектор системного загрузчика жесткого диска (Master Вооt Record). Начинают работу при загрузке компьютера и обычно становятся резидентными (постоянно хранящимися во время работы в оперативной памяти). Как правило, эти вирусы состоят из двух частей, поскольку загрузочная запись имеет небольшой размер и в ней трудно разместить целиком программу вируса.
Макровирусызаражают файлы широко используемых пакетов обработки данных. Эти вирусы представляют собой программы, написанные на встроенных в эти пакеты языках программирования. Наибольшее распространение получили макровирусы для приложений Мiсrоsoft Оffiсе. Для своего размножения такие вирусы используют возможности встроенного языка Visual Ваsiс fоr Аррlications (VВА). Вирусы находятся среди макросов, при помощи которых переносят себя из одного зараженного файла (документа или таблицы) в другие. Этот перенос, как правило, осуществляется при выполнении пользователем стандартных операций (открытие документа, сохранение, печать, закрытие и др).
Опишем один из наиболее простых и часто используемых принципов активизации макровирусов редактора Мiсrоsoft Word. Существует жесткая зависимость между событиями, возникаемыми в этом редакторе, и именами автоматически запускаемых макрокоманд. Так, при запуске редактора автоматически выполняется макрос с именем АutоЕхес, при завершении работы — макрос АutоЕхit, а при создании нового документа —АutоNew.
В случае, если пользователь выбрал в редакторе Word команду открытия документа, осуществляется поиск и запуск макроса АutоОреn, при закрытии документа — макроса АutоСlоsе. При работе с документом редактор МS Word выполняет встроенные макросы: при сохранении файла по команде Файл-Сохранитъ как вызывается макрос FileSaveAs, при печати — FilePrint и пр. Полный перечень таких макросов пользователь имеет возможность самоcтоятельно просмотреть, выполнив в редакторе МS Word команду Сервис-Настройка и нажав в появившемся диалоговом окне Настройка пиктограмму Клавиатура.
Первоначальное заражение осуществляется следующим образом. Пользователь, редактируя зараженный документ, заражает сам редактор. Действительно, при выборе пользователем обычной Команды меню (Файл-Открыть, Файл-Закрыть, Файл-Сохранитъ как и пр.) редактор МS Word автоматически активизирует содержащийся в соответствующем макросе код вируса.
Большинство вирусов редактора МS Word при запуске переносят свой код (макросы) в область глобальных макросов документа. При выходе из редактора глобальные макросы (включая макросы вируса) автоматически записываются в файл шаблона NORMAL.DОТ. Таким образом, редактор Word оказывается зараженным. Затем этот редактор заражает все редактируемые файлы. Так, при последующем запуске редактора МS Word вирус активизируется автоматически. Затем вирус переопределяет один или несколько стандартных макросов (например, FileОреn, FileSaveAs, FilePrint), впоследствии перехватывает команды работы с файлами. При вызове этих команд вирус заражает файл, к которому идет обращение. Если вирус перехватывает макрос FileSaveAs, то заражается каждый сохраняемый DОС-файл. Если перехвачен макрос FileОреn, то вирус записывает в файл свои макросы при его считывании с диска.
Похожие механизмы используются и в других приложениях Мiсrоsoft Оffiсе. Так, алгоритм работы макровирусов для МS Ехсеl во многом аналогичен методам работы вирусов для МS Word. Различия заключаются в командах копирования макросов (например, Sheets.Сору), в отсутствии файла NОRМАL.DОТ — вирусы сохраняются в файлах, находящихся в каталоге STARTUР.
Отметим, что существует простой способ блокировки действия автоматических макросов, которые содержатся в документе и активизируются в момент его открытия, — удержание нажатой клавиши <Shift> при открытии файла.
Сетевые вирусыиспользуют для своего распространения протоколы или команды компьютерных сетей и электронной почты. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. Полноценные сетевые вирусы при этом должны обладать возможностью запустить на удаленном компьютере свой код на выполнение.
Наибольшую известность сетевые вирусы приобрели в конце 1990-х годов. Так, например, макровирус Масrо.Word.ShareFun, используя возможности электронной почты Мiсrоsoft Маil, создает новое письмо, содержащее зараженный документ, затем выбирает из списка адресов МS Маil несколько случайных адресов и рассылает по ним зараженное письмо. Поскольку многие пользователи устанавливают параметры МS Маil таким образом, чтобы при получении письма он автоматически запускал МS Word, то вирус внедряется в компьютер адресата.
На практике существуют разнообразные сочетания вирусов — например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков, или сетевые макровирусы, которые заражают редактируемые документы и рассылают свои копии по электронной почте.
2. Классификация по области поражения. Как правило, каждый вирус заражает файлы одной или нескольких операционных систем: DОS, Windows, Win95/NT, ОS/2, Uniх. Макровирусы заражают файлы форматов МS Word, МS Ехсеl и других приложений МS Оffiсе. Многие загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.
3. Классификация по особенностям алгоритма. Выделяют резидентные вирусы, стелс-вирусы (steals — англ, невидимка), полиморфные и другие вирусы.
Резидентные вирусыспособны оставлять свои копии (или части) в операционной памяти, перехватывать обработку событий (например, обращения к файлам или дискам) и вызывать при этом процедуры заражения объектов (файлов и секторов). Эти вирусы активны в памяти не только в момент работы зараженной программы, но и после. Резидентные копии таких вирусов жизнеспособны до перезагрузки операционной системы, даже если на диске уничтожены все зараженные файлы. От таких вирусов сложно избавиться простым восстановлением копий файлов с дистрибутивных или резервных дисков. Это объясняется тем, что резидентная копия вируса остается активной в оперативной памяти и заражает вновь создаваемые файлы. Если резидентный вирус является также загрузочным и активизируется при загрузке операционной системы, то даже форматирование диска при наличии в памяти этого вируса его не удаляет. Это объясняется тем, что многие резидентные вирусы заражают диск повторно после того, как он отформатирован.
Нерезидентные вирусы, напротив, активны довольно непродолжительное время — только в момент запуска зараженной программы. Для своего распространения они выбирают на диске незараженные файлы и записываются в них. После окончания работы зараженной программы вирус становится неактивным вплоть до очередного запуска какой-либо зараженной программы. Следует отметить, что зараженные нерезидентными вирусами файлы восстанавливаются значительно проще.
К разновидности резидентных вирусов следует отнести и макровирусы, поскольку они постоянно присутствуют в памяти компьютера во время работы зараженного редактора.
Стелс-алгоритмыпозволяют вирусам полностью или частично скрыть свое присутствие. Наиболее распространенным стелс-алгоритмом является перехват запросов операционной системы на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно «лечат» эти объекты, либо подставляют вместо себя незараженные участки информации. Наиболее распространенным способом реализации стелс-алгоритмов в макровирусах является запрет выполнения ряда команд, например Сервис-Макрос. Частично к стелс-вирусам относят небольшую группу макровирусов, хранящих свой основной код не в макросах, а в других областях документа — в его переменных или в Auto-text.
Полиморфность(самошифрование) используется для усложнения процедуры обнаружения вируса. Полиморфные вирусы — это трудно выявляемые вирусы, не имеющие постоянного участка кода. В общем случае два образца одного и того же вируса не имеют совпадений. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. Так, например, некоторые макровирусы при создании своих новых копий случайным образом меняют имена своих переменных, вставляют пустые строки или модифицируют свой код иным способом.
При создании вирусов часто используются нестандартные приемы. Их применение должно максимально затруднить обнаружение и удаление вируса.
4. Классификация по способу заражения.
Различают так называемые троянские программы, утилиты скрытого администрирования, Intended-вирусы и пр.
Троянские программыполучили свое название по аналогии с троянским конем. Назначение этих программ — имитация каких-либо полезных программ, новых версий популярных утилит или дополнений к ним. Очень часто они рассылаются через ВВS-станции или электронные конференции. При их записи пользователем на свой компьютер троянские программы активизируются и выполняют нежелательные действия.
Разновидностью троянских программ являются утилиты скрытого администрирования (backdoor). По своей функциональности и интерфейсу они во многом напоминают системы администрирования компьютеров в сети, разрабатываемые и распространяемые различными фирмами-производителями программных продуктов. При инсталляции эти утилиты самостоятельно устанавливают на компьютере систему скрытого удаленного управления. В результате возникает возможность скрытого управления этим компьютером. Реализуя заложенные алгоритмы, утилиты без ведома пользователя принимают, запускают или отсылают файлы, уничтожают информацию, перезагружают компьютер и пр. Возможно использование этих утилит для обнаружения и передачи паролей и иной конфиденциальной информации, запуска вирусов, уничтожения данных.
К Intended -вирусам относятся программы, которые не способны размножаться из-за существующих в них ошибок. Например, вирусы при заражении не помещают в начало файла команду передачи управления на код вируса или записывают в нее неверный адрес своего кода. К этому классу также можно отнести вирусы, которые размножаются только один раз. Заразив какой-либо файл, они теряют способность к дальнейшему размножению через него.
5. Классификация по деструктивным возможностям.Вирусы разделяют на:
• неопасные, влияние которых ограничивается уменьшением свободной памяти на диске, замедлением работы компьютера, графическими и звуковыми эффектами;
• опасные, которые потенциально могут привести к нарушениям в структуре файлов и сбоям в работе компьютера;
• очень опасные, в алгоритм работы которых специально зало жены процедуры уничтожения данных и, согласно одной из неподтвержденных гипотез, возможность обеспечивать быстрый износ движущихся частей механизмов путем ввода в резонанс и разрушения головок записи/чтения некоторых накопителей на жестких дисках.