Еще одним оружием в арсенале авторов вирусов является пакет инструментальных средств для разработки вирусов. Такой пакет позволяет даже относительному новичку быстро создать целый набор вирусов разных типов. Хотя вирусы, созданные с помощью пакета инструментальных средств разработки, обычно оказываются менее изощренными в сравнении с вирусами, созданными "с нуля", неограниченное число новых вирусов, которые можно генерировать с помощью пакета, представляет собой достаточно серьезную проблему для схем антивирусной защиты.
Макровирусы.
За последние годы число вирусов, регистрируемых на корпоративных узлах, стремительно возросло [23]. Практически весь этот прирост связан с распространением нового типа вирусов, называемых макровирусами. Согласно информации NCSA (NationalComputerSecurityAgency — Национальное агентство компьютерной безопасности США) макровирусы сегодня составляют две трети от общего количества вирусов [24].
Макровирусы особенно опасны по следующим причинам.
· Макровирусы независимы от платформы. Так, практически все макровирусы поражают документы MicrosoftWord. Поэтому любая аппаратно-программная система, поддерживающая Word, может быть заражена таким вирусом.
· Макровирусы инфицируют документы, а не выполняемый код. А информация, вводимая в компьютерную систему, по большей части представлена в форме документов, а не программ.
· Макровирусы быстро распространяются. Чаще всего распространение происходит по электронной почте.
Существование макровирусов построено на использовании средств поддержки макросов, предлагаемых в Word и других офисных приложениях (например, MicrosoftExcel). По сути, макрос представляет собой программу, встроенную в документ текстового процессора или файл какого-то другого типа. Обычно пользователи используют макросы для того, чтобы автоматизировать выполнение часто выполняемых действий, что позволяет сэкономить время. Язык макросов чаще всего является каким-нибудь вариантом языка программирования Basic. Пользователь может записать последовательность нажатий клавиш в виде макроса, а затем настроить программу так, чтобы записанный макрос вызывался нажатием функциональной клавиши или какой-то специальной комбинацией клавиш.
Создание макровирусов оказывается возможным благодаря существованию автоматических макросов. Это макросы, которые выполняются автоматически, без явной активизации их пользователем. Типичными автоматически происходящими событиями являются открытие, закрытие файла, а также запуск приложения. Во время своего выполнения макрос может копировать себя в другой документ, удалять файлы и выполнять любые другие действия, разрушающие систему пользователя. В MicrosoftWord имеется три типа автоматических макросов.
· AutoExec. Макрос, названный зарезервированным именем AutoExec, находится в шаблоне normal.dot или в глобальном шаблоне, хранящемся в каталоге запуска (startupdirectory) Word, и автоматически выполняется при запуске Word.
· Автомакрос. Выполняется, когда происходит определенное событие, например открытие или закрытие документа, создание нового документа шп завершение работы Word.
· Командный макрос. Если находящийся в глобальном файле макросов ил;связанный с текущим документом макрос имеет имя, совпадающее с названием команды Word, он будет выполняться при каждом вызове этойкоманды (например, команды FileSave) пользователем.
Обычно распространение макровируса происходит следующим образом. Автомакрос или командный макрос вставляется в документ Word, который передается в компьютерную систему по электронной почте или с внешнего носителя информации. В какой-то момент после открытия документа макровирус начинает выполняться. Он копирует свой код в глобальный файл макросов. При следующем запуске Word становится активным инфицированный глобальный файл макросов. При выполнении макрос может размножаться и выполнять действия, наносящие вред системе.
В современные версии Word встроена защита от макровирусов. Microsoft предоставляет в распоряжение пользователя средство защиты от макровирусов, выявляющее подозрительные файлы Word и предупреждающее пользователя об опасности, связанной с открытием файлов, содержащих макросы. Ведущие разработчики антивирусных программ тоже создали средства для обнаружения и удаления опасных макровирусов. Однако, как и в случае любых других вирусов, борьба в области макровирусов продолжается и не всегда в лучшую сторону.
2.3.3 Виды антивирусной защиты
Идеальным решением проблемы вирусов является предотвращение инфицирования: не следует допускать начального проникновения вируса в компьютерную систему. Этой цели в общем достичь невозможно, хотя предпринятые превентивные меры могут снизить число успешно завершенных вирусами атак. Почти идеальный подход должен обеспечивать выполнение следующих требований.
· Обнаружение. Если заражение произошло, оно должно быть немедленно обнаружено с установлением места обитания вируса.
· Идентификация. Как только заражение вирусом обнаружено, необходимо идентифицировать тип вируса, инфицировавшего программу.
· Удаление. Как только вирус идентифицирован, следует удалить все следы вируса из инфицированных программ и восстановить программы в их исходный вид. Важно удалить вирус из всех инфицированных систем, чтобы болезнь не распространялась дальше.
Если вирус обнаружен, но его не удается идентифицировать или удалить из системы, альтернативой является удаление инфицированной программы с последующей ее новой загрузкой с резервной копии.
Технологии разработки вирусов и антивирусов идут рука об руку. Первые вирусы представляли собой сравнительно простые фрагменты кода и могли быть удалены с помощью относительно простых антивирусных программ. По мере усложнения вирусов антивирусное программное обеспечение тоже становилось все сложнее и изощреннее.
В [22] антивирусные программы разделяются на четыре поколения.
· Первое поколение: обычные сканеры.
· Второе поколение: эвристические анализаторы.
· Третье поколение: мониторы.
· Четвертое поколение: полнофункциональные системы защиты.
Антивирусные программы-сканеры первого поколения для идентификации вирусов использовали характерные для соответствующих вирусов сигнатуры. Вирусы могли содержать "групповые символы", но все копии вируса имели в основном одну и ту же структуру и неизменный код. Такие программы-сканеры, использующие сигнатуры, могли обнаруживать только известные вирусы. Другой тип сканеров первого поколения предполагал поиск несоответствий текущих значений длин файлов со значениями, сохраненными в специальной базе данных.
Сканеры второго поколения уже не ориентированы на конкретные сигнатуры. Вместо этого в них начали применять эвристический анализ, с помощью которого можно было сделать вывод о возможном наличии в программе вируса. Одна из разновидностей таких сканеров предполагала поиск в программе фрагментов кода, характерного для вирусов. Например, сканер мог искать начало цикла шифрования, используемого полиморфным вирусом, и пытаться открыть ключ шифрования. Получив ключ, сканер мог расшифровать тело вируса, идентифицировать вирус, удалить его из программы и вернуть программу в рабочее состояние.
Другим подходом, применявшимся в антивирусных программах второго поколения, была проверка целостности. С каждой программой можно связать контрольную сумму. Если вирус инфицирует программу, не меняя при этом контрольной суммы, то проверка целостности обязательно это обнаружит. Чтобы противостоять вирусам, которые при заражении могут менять соответствующую контрольную сумму, можно использовать некоторую функцию хэширования с шифрованием. Ключ шифра хранится отдельно от программы, чтобы вирус не мог сгенерировать новый хэш-код и зашифровать его. Использование функции хэширования с шифрованием вместо обычной контрольной не дает вирусу возможности модифицировать программу таким образом, чтобы результат хэширования после инфицирования не изменялся.
Программы третьего поколения представляли собой резидентные программы, выявляющие вирусы по выполняемым ими действиям, а не по их структуре в инфицированной программе. Преимуществом таких программ было то, что для них не требовалось постоянно обновлять базу данных сигнатур и эвристик для все большего числа вирусов. Вместо этого достаточно было определить относительно небольшой набор действий, характеризующих возможные проявления вируса.
Продукты четвертого поколения представляют собой пакеты, объединяющие в единое целое все существующие антивирусные технологии. Такой подход, помимо выполнения сканирования и наличия компонентов, позволяющих регистрировать определенные действия вирусов, предполагает наличие средств управления доступом, с помощью которых можно ограничить возможности вирусов по проникновению в систему и по внесению изменений в файлы с целью распространения инфекции под видом обновления.
Вирусная война продолжается. С появлением пакетов четвертого поколения появилась возможность построения всеобъемлющей стратегии антивирусной защиты, являющейся неотъемлемой частью общих мероприятий по обеспечению защиты компьютерной системы.
2.3.4 Требования к антивирусной защите КИС
Обычная корпоративная сеть включает в себя сотни рабочих станций, десятки серверов, активное и пассивное телекоммуникационное оборудование и, как правило, имеет очень сложную структуру. При этом стоимость обслуживания такой сети катастрофически растет вместе с увеличением числа подключаемых объектов сети. Очевидно, расходы на антивирусную защиту являются не последним пунктом в списке общих расходов. Однако существует принципиальная возможность их снижения путем реализации централизованной установки, управления и обновления всем антивирусным комплексом защиты корпоративной сети.