Дина Погонышева - Безопасность информационных систем. Учебное пособие

Шаг 1. Резидентный вирус проверяет, заражена ли оперативная память, и при необходимости заражает ее. Нерезидентный вирус ищет незараженные файлы и заражает их.

Шаг 2. Выполняются действия по сохранению работоспособности программы, в файл которой внедряется вирус (восстановление первых байт программы, настройка адресов программ и т. д.).

Шаг 3. Осуществляется деструктивная функция вируса, если выполняются соответствующие условия.

Шаг 4. Передается управление программе, в файле которой находится вирус.

При реализации конкретных вирусов состав действий и их последовательность могут отличаться от приведенных в алгоритме.

Макровирусы

Макровирусы представляют собой вредительские программы, написанные на макроязыках, встроенных в текстовые редакторы, электронные таблицы и др.

Для существования вирусов в конкретной системе (редакторе) необходимо, чтобы встроенный в нее макроязык имел следующие возможности:

1) привязку программы на макроязыке к конкретному файлу;

2) копирование макропрограмм из одного файла в другой;

3) получение управления макропрограммой без вмешательства пользователя.

Таким условиям отвечают редакторы МS Word, МS Office, Ami Pro, табличный процессор МS Ехсеl. В этих системах используются макроязыки Word Basic и Visual Basic.

При выполнении определенных действий над файлами, содержащими макропрограммы (открытие, сохранение, закрытие и т. д.), автоматически выполняются макропрограммы файлов. При этом управление получают макровирусы, которые сохраняют активность до тех пор, пока активен соответствующий редактор (процессор). Поэтому при работе с другим файлом в «зараженном редакторе (процессоре)», он также заражается. Здесь прослеживается аналогия с резидентными вирусами по механизму заражения. Для получения управления макровирусы, заражающие файлы МS Оfficе, как правило, используют один из приемов:

1) в вирусе имеется автомакрос (выполняется автоматически, при открытии документа, таблицы);

2) в вирусе переопределен один из стандартных макросов, который выполняется при выборе определенного пункта меню;

3) макрос вируса автоматически вызывается на выполнение при нажатии определенной клавиши или комбинаций клавиш.

Загрузочные вирусы

Загрузочные вирусы заражают загрузочные (Вoot) сектора гибких дисков и Вооt-сектора или Master Boot Sector (МВR) жестких дисков. Загрузочные вирусы являются резидентными. Заражение происходит при загрузке операционной системы с дисков.

После включения ЭВМ осуществляется контроль ее работоспособности с помощью программы, записанной в постоянном запоминающем устройстве. Если проверка завершилась успешно, то осуществляется считывание первого сектора с гибкого или жесткого диска. Порядок использования дисководов для загрузки задается пользователем при помощи программы Setup. Если диск, с которого производится загрузка операционной системы, заражен загрузочным вирусом, тогда обычно выполняются следующие шаги:

Шаг 1. Считанный из 1-го сектора диска загрузочный вирус (часть вируса) получает управление, уменьшает объем свободной оперативной памяти и считывает с диска тело вируса.

Шаг 2. Вирус переписывает сам себя в другую область оперативной памяти, чаще всего в старшие адреса памяти.

Шаг 3. Устанавливаются необходимые вектора прерываний (вирус резидентный).

Шаг 4. При выполнении определенных условий производятся деструктивные действия.

Шаг 5. Копируется Вооt-сектор в оперативную память и передается ему управление.

Вирусы и операционные системы

Программы-вирусы создаются для ЭВМ определенного типа, работающих с конкретными операционными системами.

Привлекательность операционной системы для создателей вирусов определяется следующими факторами:

1) распространенность операционных систем;

2) отсутствие эффективных встроенных антивирусных механизмов;

3) относительная простота;

4) продолжительность эксплуатации.

Наличие антивирусных механизмов, сложность систем и относительно малые сроки эксплуатации делают задачу создания вирусов трудно решаемой.

Значительно лучше защищена от вирусов операционная система IВМ ОS/2. Все программы, выполняемые в ОS/2, работают в отдельных адресных пространствах, что полностью исключает возможность взаимного влияния программ. Существует возможность запретить рабочим программам (несистемным) иметь доступ к портам периферийных устройств.

Хорошую защиту от вирусов имеют сетевые операционные системы на базе Microsoft Windows NT и Novell Netware.

Методы и средства борьбы с вирусами

Антивирусные средства применяются для решения следующих задач:

1) обнаружение вирусов в компьютерных системах;

2) блокирование работы программ-вирусов;

3) устранение последствий воздействия вирусов.

Обнаружение вирусов желательно осуществлять на стадии их внедрения или до начала осуществления деструктивных функций вирусов. Не существует антивирусных средств, гарантирующих обнаружение всех возможных вирусов. При обнаружении вируса необходимо сразу же прекратить работу программы-вируса, чтобы минимизировать ущерб от его воздействия на систему. Устранение последствий воздействия вирусов ведется в двух направлениях:

1) удаление вирусов;

2) восстановление (при необходимости) файлов, областей памяти.

Восстановление системы зависит от типа вируса, а также от элемента времени обнаружения вируса по отношению к началу деструктивных действий. Восстановление информации без использования дублирующей информации может быть невыполнимым, если вирусы при внедрении не сохраняют информацию, на место которой они помещаются в память, а также, если деструктивные действия уже начались, и они предусматривают изменения информации.

Известны следующие методы обнаружения вирусов:

1) сканирование;

2) обнаружение изменений;

3) эвристический анализ;

4) использование резидентных сторожей;

5) вакцинирование программ;

6) аппаратно-программная защита от вирусов.

Сканирование— один из самых простых методов обнаружения вирусов. Сканирование осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса – сигнатуры. Программа фиксирует наличие уже известных вирусов, за исключением полиморфных вирусов, которые применяют шифрование тела вируса, изменяя при этом каждый раз и сигнатуру. Программы-сканеры могут хранить не сигнатуры известных вирусов, а их контрольные суммы. Программы-сканеры часто могут удалять обнаруженные вирусы. Такие программы называются полифагами.

Метод сканирования применим для обнаружения вирусов, сигнатуры которых выделены и являются постоянными. Для эффективного использования метода необходимо регулярное обновление сведений о новых вирусах.