Защита комьютерных сетей

2004 год. В начале января  тысячам пользователей ICQ было  разослано сообщение с просьбой  посетить некий сайт. На сайте  была размещена троянская программа,  которая, используя одну из  множества уязвимостей Internet Explorer, скрытно устанавливала и запускала  троянский прокси-сервер Mitglieder,, открывавший  на зараженной машине порты  для рассылки спама. 

В июне объявился Cabir — первый сетевой червь, распространяющийся через протокол Bluetooth и заражающий мобильные телефоны, работающие под  управлением OS Symbian. При каждом включении  зараженного телефона вирус получал  управление и начинал сканировать  список активных Bluetooth-соединений. Затем  выбирал первое доступное соединение и пытался передать туда свой основной файл caribe.sis. Ничего деструктивного Cabir не делал - только снижал стабильность работы телефона за счет постоянных попыток  сканирования активных Bluetooth-устройств.

Вскоре, в августе 2004 года появились и вирусы для PocketPC —  классический вирус Duts и троянская  программа Brador. Этот год также запомнился масштабными арестами вирусописателей - было осуждено около 100 хакеров, причем трое из них находились в двадцатке  самых разыскиваемых ФБР преступников.

2005 год. В 2005 году наметился  некоторый спад активности почтовых  червей. По данным Лаборатории  Касперского всего в 2005 году  было 14 вирусных эпидемий, втрое  меньше аналогичного показателя 2004 года (46 эпидемий). Крупнейших же  эпидемий было зафиксировано  всего четыре - модификации почтового  червя Bagle с индексами .ах и  .ау (январь), сетевой вирус-червь  Mytob.c (март) и две модификации почтового  червя Sober - Sober.p (май) и Sober.y (ноябрь). Самым массовым и распространенным  из всех появившихся в 2005 году  стало семейство червей Mytob. Это  выразилось в более чем 120 обнаруженных  разновидностях червей данного  семейства. Вариации Mytob в течение  всего года составляли более  половины от общего числа вредоносных  программ, выловленных в почтовом  трафике. 

2006 год. 2006 год продолжил  основные тенденции в развитии  вредоносных программ, выявленные  в прошлые годы. Это преобладание  троянских программ над червями  и увеличение в новых образцах  вредоносного кода доли программ, ориентированных на нанесение  финансового ущерба пользователям.  В 2006 году, по данным Лаборатории  Касперского, среди всех новых  семейств и вариантов вредоносных  программ доля троянских программ  превысила 90%. Заметными событиями  года стали первые «настоящие»  вирусы и черви для операционной  системы MacOS, троянские программы  для мобильной платформы J2ME и  связанный с ними способ кражи  денег у пользователя с мобильного  счета. Рост числа всех новых  вредоносных программ по сравнению  с 2005 годом составил 41%. В 2006 году  было зафиксировано 7 крупных  вирусных эпидемий - вдвое меньше  показателя прошлого года (14 эпидемий). Эпидемии 2006 года можно разделить  на четыре группы. Это червь  Nyxem.e, черви семейств Bagle и Warezov, а  также несколько вариантов троянца-шифровальщика  Gpсode.

2007 год. Количество вредоносных  компьютерных программ в 2007 году  выросло более чем вдвое. По  данным ЛК, в целом за год  было зарегистрировано более 220 тыс. новых вирусов. В 2007 году ежемесячно появлялось 18,348 тысячи новых компьютерных вирусов, что также более чем в два раза превышает уровень предыдущего года (8,563 тысячи.) Более половины всех вредоносных программ, рассылаемых по электронной почте в 2007 году, составляли почтовые "черви" (54,55%), за ними шли программы семейства Trojan-Downloader (универсальные загрузчики произвольного вредоносного кода из интернета, 14,87%) и Trojan-Spy (программы, ворующие конфиденциальную информацию с компьютеров пользователей и организаций, 13,41%).

Доля "троянцев" в общем  объеме вредоносных программ составила 91,73%, а число таких программ выросло  по сравнению с 2006 годом на 2,28%. В 2007 году значительно возросло число  вредоносных программ, ориентированных  исключительно на игроков онлайн-игр. Если в 2006 году было обнаружено чуть более 15 тысяч программ, ворующих пароли от онлайн-игр, то по итогам 2007 года их число  приблизилось к 35 тысячам.

2008 год. В первом полугодии  2008 года аналитики «Лаборатории  Касперского» обнаружили 367 772 новые  вредоносные программы - в 2,9 раз  больше, чем во втором полугодии  2007 года. Среднее число новых вредоносных  программ, обнаруживаемых за месяц,  составило 61 295,33. По сравнению  со второй половиной 2007 года  число новых программ увеличилось  на 188,85%. Такие темпы роста значительно  превосходят итоги 2007 года, когда  было обнаружено на 114% вредоносных  программ больше, чем в 2006 году. [11]

2.2. Классификация  вредоносного ПО

- Вирусы и черви

Подобные вредоносные  программы обладают способностью к  несанкционированному пользователем  саморазмножению в компьютерах  или компьютерных сетях, при этом полученные копии также обладают этой возможностью.

К вирусам и червям не относятся:

- Троянские программы, распространяющие свои копии по сети и заражающие удалённые машины по команде «хозяина» вредоносной программы (целый ряд представителей Backdoor);

- Прочие троянские программы, создающие свои многочисленные копии в системе или даже «цепляющиеся» к каким-либо файлам, уже присутствующим в системе. Отличие от вирусов и червей состит в невозможности дальнейшего самовоспроизведения копий.

Основным признаком, по которому различают типы вирусов и червей, является способ их распространения, т.е. как вредоносная программа передает свою копию по локальным или сетевым ресурсам.

- Троянские программы

Эти вредоносные программы  созданы для осуществления несанкционированных  пользователем действий, направленных на уничтожение, блокирование, модификацию  или копирование информации, нарушение  работы компьютеров или компьютерных сетей. В отличие от вирусов и  червей, представители данной категории  не имеют способности создавать  свои копии, обладающие возможностью дальнейшего  самовоспроизведения.

Основным признаком, по которому различают типы троянских программ, являются их несанкционированные пользователем  действия -- те, которые они производят на заражённом компьютере.

- Вредоносные утилиты

Вредоносные программы, разработанные  для автоматизации создания других вирусов, червей или троянских программ, организации DoS-атак на удаленные сервера, взлома других компьютеров и т.п. В отличие от вирусов, червей и  троянских программ, представители  данной категории не представляют угрозы компьютеру, на котором исполняются.

Основным признаком, по которому различают вредоносные утилиты, являются совершаемые ими действия.[1,2]

глава 3

Комьютерная  безопастность

3.1. Классификация антивирусных программ

Антивирусы можно классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора и вакцинаторы.

Антивирусы-фильтры (сторожа) - это резидентные программы, которые  оповещают пользователя обо всех попытках какой-либо программы записаться на диск, а уж тем более отформатировать  его, а также о других подозрительных действиях (например, о попытках изменить установки CMOS). При этом выводится  запрос о разрешении или запрещении данного действия. Принцип работы этих программ основан на перехвате  соответствующих векторов прерываний. К преимуществу программ этого класса по сравнению с программами-детекторами  можно отнести универсальность  по отношению, как к известным, так  и неизвестным вирусам, тогда  как детекторы пишутся под  конкретные, известные на данный момент программисту виды. Это особенно актуально  сейчас, когда появилось множество  вирусов-мутантов, не имеющих постоянного  кода. Однако, программы-фильтры не могут отслеживать вирусы, обращающиеся непосредственно к BIOS, а также BOOT-вирусы, активизирующиеся еще до запуска  антивируса, в начальной стадии загрузки DOS. К недостаткам также можно  отнести частую выдачу запросов на осуществление какой-либо операции: ответы на вопросы отнимают у пользователя много времени и действуют  ему на нервы. При установке некоторых  антивирусов-фильтров могут возникать  конфликты с другими резидентными программами, использующими те же прерывания, которые просто перестают работать.

Наибольшее распространение  в нашей стране получили программы-детекторы, а вернее программы, объединяющие в  себе детектор и доктор. Наиболее известные  представители этого класса -Aidstest, Doctor Web, MicroSoft AntiVirus далее будут рассмотрены подробнее. Антивирусы-детекторы рассчитаны на конкретные вирусы и основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ.

Такие программы нужно  регулярно обновлять, так как  они быстро устаревают и не могут  обнаруживать новые виды вирусов. Ревизоры - программы, которые анализируют  текущее состояние файлов и системных  областей диска и сравнивают его  с информацией, сохранённой ранее  в одном из файлов данных ревизора. При этом проверяется состояние BOOT-сектора, таблицы FAT, а также длина  файлов, их время создания, атри-буты, контрольная сумма. Анализируя сообщения  программы-ревизора, пользователь может  решить, чем вызваны изменения: вирусом  или нет. При выдаче такого рода сообщений  не следует предаваться панике, так  как причиной изменений, например, длины  программы может быть вовсе и  не вирус. Самые изощренные антивирусы - вакцинаторы. Они записывают в вакцинируемую  программу признаки конкретного  вируса так, что вирус считает  ее уже зараженной. Таким образом, вирус не может заразить эту программу. Вакцины могут быть пассивные  и активные.

Пассивная вакцина представляет собой пакетную программу, которая  за один вызов обрабатывает специальным  образом файл или все файла  на диске либо в каталоге. Обычно при такой обработке проставляется  признак, который вирус использует для того, чтобы отличить зараженные программы от незараженных. Например, некоторые вирусы дописывают в конец  зараженных файлов определенную строку. Если искусственно дописать в конец  всех программ эту строку, то такие  программы не будут заражаться вирусом, поскольку он будет считать, что  они уже заражены.Обработанная таким  образом программа является вакцинированной  против данного вируса, при чем  операция вакцинации является обратимой: когда опасность заражения будет  ликвидирована, строку можно из файла  удалить. Другие вирусы проставляют  в поле даты заражаемых программ значение секунд, равное 62(MS-DOS допускает запись такого явно нереального значения).

Вакцина может проставить этот признак у всех выполняемых  программ, которые тем самым будут  защищены от заражения данным типом  вируса. В этом случае вакцинирование является необратимым в том смысле, что восстановить первоначальное значение секунд не удастся, хотя они, конечно, могут  быть сброшены.

Активные вакцины являются резидентными программами, действие которых  основано на имитации присутствия вируса в оперативной памяти. Поэтому  они обычно применяются против резидентных  вирусов. Если такая вакцина находится  в памяти, то, когда при запуске  зараженной программы вирус проверяет, находится ли уже в оперативной  памяти его копия, вакцина имитирует  наличие копии. В этом случае вирус  просто передает управление программе - хозяину и его инсталляция  не происходит. Простейшие вакцины  представляют собой выделенный и  слегка модифицированный (лишенный способности  к размножению) вирус. Поэтому они  могут быть оперативно изготовлены - быстрей, чем доктора. Боле сложные  вакцины (поливакцины) имитируют наличие  в оперативной памяти нескольких вирусов.

Конечно, приведенный список не исчерпывает всего многообразия антивирусных программ, хотя и охватывает основные их разновидности. Каждая из антивирусных программ подобна узкому специалисту в определенной области, поэтому оптимальной тактикой является комплексное применение нескольких типов антивирусных средств.[3]

3.2. Выбор антивируса

Тема безопасности в Интернете, несмотря на многообещающие заявления  разработчиков современных операционных систем, в последние годы ничуть не утратила своей актуальности. Сегодня  мы являемся свидетелями (а порой - и  жертвами) бесконечных вирусных эпидемий, с завидным постоянством вспыхивающих на просторах Всемирной Сети, немалые убытки от которых несут не только крупные компании, для которых даже несколько часов простоя оборачиваются многомиллионными потерями, но и мы с вами - обыкновенные пользователи. Ведь среди компьютерных вирусов встречаются не только сравнительно безобидные программки, весь вред от которых сводится к захламлению дискового пространства, но и весьма "зловредные" утилиты, способные уничтожить данные на жестком диске или воровать пароли и другую конфиденциальную информацию. Впрочем, ничуть не меньшие убытки, чем потеря данных, приносит и панический страх пользователей перед самой возможностью заражения, выливающийся в настоящую вирусную истерию. В настоящее время существует большой выбор антивирусных пакетов от разных производителей, однако наибольшей популярностью среди них пользуются известные "гранды" антивирусной отрасли, такие, как Kaspersky Antivirus, Dr.Web, NOD32 или Avira AntiVirus.[4,7]

- Kaspersky Antivirus:

Самый популярный в России и крупнейший в Европе производитель  систем защиты от вирусов, спама и  хакерских атак. Компания входит в  пятерку ведущих мировых производителей программных решений для обеспечения  информационной безопасности.

«Антивирус Касперского», ориентирован, в первую очередь, на новичков и всех тех, кому нужна надежная защита от вирусов, отвечающая принципу "поставил и забыл". Собственно программа состоит из четырех  функциональных модулей: файлового  антивируса (проверяет файлы в  момент обращения к ним), почтового  антивируса (проверяет входящие и  исходящие письма), веб - антивируса (проверяет просматриваемые веб -страницы) и проактивной защиты (контролирует подозрительные действия различных приложений). Она обеспечивает не только защиту от традиционных вирусов, червей и троянских коней, но и от таких "напастей", как рекламные и шпионские программы (adware и spyware), "пейджерные" и почтовые вирусы, клавиатурные шпионы и руткиты.