 |
Тема 11 Методы обнаружения и удаления вредоносных программ.
|
|
|
|
Основными каналами распространения компьютерных вирусов в настоящее время являются:
• электронная почта, сами сообщения которой и присоединенные к ним файлы могут быть заражены;
• Интернет-сайты и Интернет-пейджеры (ICQ и ему подобные), содержащие ссылки на зараженные файлы;
• свободное и условно свободное программное обеспечение, размещенное на общедоступных узлах сети Интернет и случайно или намеренно зараженное вирусами;
• социальные сети Интернета, что связано с распределенностью их объектов-участников и колоссальной скоростью распространения информации в них;
• локальные компьютерные сети организаций и другие сети передачи данных, создающие удобную среду для заражения вирусами объектов на других компьютерах;
• обмен зараженными файлами на съемных носителях между пользователями КС (угроза проникновения одной-единст- венной вредоносной программы внутрь корпоративной сети через флэш-диск одного из сотрудников может свести на нет все усилия по обеспечению информационной безопасности);
• использование нелицензионных дисков с программным обеспечением и другими информационными ресурсами.
Для предупреждения вирусного заражения локальной сети организации или компьютера отдельного пользователя необходимо максимально перекрыть возможность проникновения вредоносных программ с использованием перечисленных каналов. В частности, могут быть использованы следующие профилактические меры:
• физическое или логическое (для отдельных учетных записей) отключение возможности использования съемных накопителей;
• разграничение прав отдельных пользователей и групп на доступ к папкам и файлам операционной системы и других пользователей;
|
|
|
• ограничение времени работы в КС привилегированных пользователей (для выполнения действий в КС, не требующих дополнительных полномочий, администраторы должны использовать вторую учетную запись с обычными привилегиями);
• использование, как правило, только лицензионного программного обеспечения, приобретенного у официальных представителей фирм - правообладателей;
• выделение не подсоединенного к локальной сети компьютера для тестирования полученного из ненадежных источников программного обеспечения и т. д.
В качестве профилактической меры предупреждения заражения файлов пользователей макровирусами в программах пакета Microsoft Office предусмотрена встроенная защита от потенциально опасных макросов. Эта защита устанавливается (в версиях Microsoft Office ХР и 2003) с помощью команды меню Сервис I Параметры | Безопасность и кнопки «Защита от макросов» или команды меню Сервис | Макрос | Безопасность.
Возможен выбор одного из четырех (в Office ХР трех) уровней защиты:
• очень высокой безопасности, при котором разрешается запуск макросов из документов, находящихся в определенных администратором надежных расположениях (папках на локальных и сетевых дисках);
• высокой безопасности, при установке которого будет разрешено выполнение только макросов, снабженных ЭЦП и полученных из надежных источников, список которых содержится на вкладке «Надежные издатели» окна выбора уровня безопасности (макросы без ЭЦП будут автоматически отключаться);
• средней безопасности, при выборе которого при открытии содержащего макросы документа решение об отключении этих макросов будет приниматься самим пользователем;
• низкой безопасности, при установке которого все макросы в открываемом документе будут выполняться (корпорация Microsoft рекомендует устанавливать данный уровень безопасности только при наличии антивирусных программ на компьютере пользователя и полной уверенности в безопасности открываемых документов).
|
|
|
В версии Microsoft Office 2007 уровень защиты от потенциально опасных макросов устанавливается с помощью команды Кнопка Microsoft Office | Параметры Word | Центр управления безопасностью | Параметры центра управления безопасностью. В пакетах Microsoft Office 2010 и Microsoft Office 2013 команды для защиты документов от потенциально опасных макросов находятся в подменю Файл. Добавление разработчика макроса, снабженного ЭЦП, к списку надежных издателей возможно после получения оповещения центра безопасности Microsoft Office с помощью переключателя «Доверять всем документам от этого издателя».
Для получения подписи под макросами документа Microsoft Office (проектом макросов) необходимо открыть окно системы программирования Microsoft Visual Basic с помощью команды меню любой из программ этого пакета Сервис | Макрос | Макросы (в Office ХР и 2003), выбора имени макроса и нажатия кнопки «Изменить». В окне системы программирования затем выполняется команда Tools | Digital Signature, и в появившемся окне цифровой подписи выбирается сертификат открытого ключа ЭЦП, который в дальнейшем будет использован для проверки подписи.
В качестве дополнительной меры защиты в Office ХР и 2003 можно отменить автоматическое выполнение макросов, полученных из надежных источников. Если снять флажок «Доверять всем установленным надстройкам и шаблонам», то вывод предупреждения о наличии макросов в открываемых документах будет производиться и для макросов, находящихся в уже установленных на компьютере пользователя шаблонах и надстройках Microsoft Office.
Для управления списками надежных издателей и надежных расположений в Office 2007 предназначены соответствующие кнопки в окне параметров центра управления безопасностью. Добавить новое надежное расположение, удалить или изменить существующее расположение администратор может с помощью соответствующих кнопок в окне надежных расположений. Надежное расположение необходимо использовать для того, чтобы при открытии файла документа не требовалась его проверка средствами центра обеспечения безопасности. Например, если требуется открыть документ, содержащий макрос, который центр обеспечения безопасности отключил, поскольку классифицировал его как опасный.
|
|
|
Заметим, что установка защиты от потенциально опасных макросов не позволяет отделить макросы, расширяющие функциональность приложений Microsoft Office, от макросов, содержащих вирусы. Кроме того, некоторые из макровирусов, получив однажды управление, могут понизить уровень безопасности до самого низкого и, тем самым, блокировать встроенную защиту от макросов.
При открытии документа Microsoft Office существует возможность отключения автоматически выполняющихся макросов, которую можно использовать с помощью любого из перечисленных далее способов:
• удерживание нажатой клавиши Shift на клавиатуре при запуске приложения или открытии документа Microsoft Office;
• добавление параметра /ш в командную строку запуска приложения Microsoft Office (например, «C: Program Files Microsoft OfficeOfficelOWINWORD. EXE /ш») в ярлыке на рабочем столе пользователя и в значение параметра command раздела реестра HKEY_CLASSES_ROOT Word. DocumentshellOpencommand;
• создание макроса с именем AutoExec, который будет автоматически получать управление при запуске программы Microsoft Word, и запись в этот макрос единственной строки
WordBasic. DisableAutoMacros
Созданный макрос AutoExec должен быть сохранен в файле общих шаблонов normal. dot, после этого автоматическое выполнение макросов в редактируемых документах будет запрещено.
Недостатками способов блокирования автоматического выполнения макросов является то, что предупреждается распространение только тех вирусов, которые используют автоматически выполняемые макросы, связанные с определенными событиями обработки документа, а также то, что блокируется выполнение и полезных макросов.
Для защиты от несанкционированного изменения файла общих шаблонов normal. dot, что требуется для распространения в КС многих макровирусов, доступ к этому файлу может быть защищен с помощью специального пароля. Для его установки необходимо выполнить следующее:
1) открыть окно системы программирования Visual Basic for Applications с помощью команды меню программы пакета Microsoft Office Сервис | Макрос | Редактор Visual Basic;
|
|
|
2) в окне структуры проекта выделить узел Normal и выполнить команду его контекстного меню Normal Properties;
3) открыть вкладку Protection, установить флажок Lock project for viewing и ввести в поле Password (с подтверждением в поле Confirm password) пароль для доступа к файлу общих шаблонов.
Для снижения риска заражения вирусами при просмотре информационных ресурсов сети Интернет могут быть использованы свойства обозревателя Microsoft Internet Explorer (вкладка «Безопасность» окна свойств). Всем узлам зоны Интернет, в которые не войдут явно отнесенные к другим зонам узлы, целесообразно назначить высокий уровень безопасности, в соответствии с которым:
• будет отключена возможность загрузки файлов с этих узлов;
• отключен доступ к источникам данных за пределами домена;
• отключена возможность запуска программ в плавающих фреймах загруженного документа на языке HTML;
• отключена возможность автоматической загрузки по каналам распространения программного обеспечения (будет выполняться только извещение пользователя);
• отключена возможность запроса отсутствующего сертификата при попытке загрузки файлов на компьютер пользователя (само данное действие будет автоматически отменено);
• отключена возможность перехода между фреймами документа на HTML через разные домены;
• отключена возможность установки элементов рабочего стола пользователя;
• отключена поддержка языка Java;
• отключена поддержка сценариев;
• отключены загрузка, запуск и использование элементов Active-X, кроме помеченных как безопасные.
К программно-аппаратным методам защиты от заражения загрузочными вирусами можно отнести защиту, устанавливаемую с помощью программы BIOS Setup (параметр Anti-Virus Protection или аналогичный функции Advanced BIOS Features или аналогичной). Включение этой защиты (задание значения Enable указанному параметру) обеспечит выдачу предупреждающего сообщения при попытке записи в загрузочные секторы дисковой памяти. К недостаткам подобной защиты от заражения вирусами относится то, что она может быть отключена кодом вируса прямым редактированием содержимого энергонезависимой CMOS-памяти, хранящей настройки, которые были установлены программой BIOS Setup.
Другим способом программно-аппаратной защиты от заражения компьютерными вирусами может быть использование специального контроллера, вставляющегося в один из разъемов для расширений аппаратного обеспечения компьютера, и драйвера для управления работой контроллера. Поскольку контроллер подключается к системной шине компьютера, он получает полный контроль всех обращений к его дисковой памяти. С помощью драйвера контроллера могут быть указаны недоступные для изменения области дисковой памяти (загрузочные секторы, области установленного на компьютере системного и прикладного программного обеспечения и т. п. ). В этом случае заражение указанных областей любыми вирусами будет невозможно. К недостаткам подобной защиты относится то, что в указанные области дисковой памяти будет невозможна и легальная запись данных.
|
|
|
Обязательным средством антивирусной защиты является использование специальных программ для обнаружения и удаления вирусов в различных объектах КС. Рассмотрим методы обнаружения компьютерных вирусов.
1. Просмотр (сканирование, сигнатурное детектирование) проверяемых объектов (системных областей дисковой и оперативной памяти, а также файлов заданных типов) в поиске сигнатур (уникальных последовательностей байтов) известных вирусов. Соответствующие программные средства называют сканерами. Обычно сканеры запускаются при загрузке операционной системы или после обнаружения признаков вирусного заражения другими средствами.
К недостаткам программ-сканеров относятся:
• необходимость постоянного обновления баз данных сигнатур известных вирусов, которые используются при поиске;
• неспособность обнаружения новых компьютерных вирусов;
• недостаточная способность обнаружения сложных полиморфных вирусов.
2. Эвристический анализ (эвристическое детектирование) — проверка системных областей памяти и файлов с целью обнаружения фрагментов исполнимого кода, характерного для компьютерных вирусов (например, установка резидентной части кода вируса). Потенциально эвристические анализаторы способны обнаружить (с определенной вероятностью) любые новые разновидности компьютерных вирусов.
3. Постоянное присутствие в оперативной памяти компьютера с целью контроля (мониторинга и блокирования) всех «подозрительных» действий других программ — попыток изменения загрузочных секторов дисков, установки резидентного модуля и т. п. Подобные программы получили название мониторов. Мониторы также автоматически проверяют на наличие известных вирусов все устанавливаемые съемные носители данных, получаемые из сети по различным каналам сообщения и файлы, открываемые пользователем файлы и т. п. Обычно мониторы используют общую со сканерами базу сигнатур вирусов и загружаются в оперативную память в процессе загрузки операционной системы.
К недостаткам программ-мониторов относятся:
• выполнение контролируемых мониторами действий неза- раженными вирусами программами (например, выполнение команды операционной системы MS-DOS label изменяет метку тома в загрузочном секторе раздела жесткого диска или дискеты);
• снижение эффективности работы КС за счет потребления процессорного времени и уменьшения размера свободной оперативной памяти.
Некоторые специалисты (в частности, из Лаборатории Касперского) относят методы эвристического анализа и поведенческого блокирования (мониторинга) к методам так называемой проактивной защиты.
4. Обнаружение изменений (инспекция) в объектах КС путем сравнения их вычисленных при проверке хеш-значений с эталонными (или проверки ЭЦП для этих объектов). При вычислении хеш-значений объектов могут учитываться и характеристики (атрибуты) проверяемых файлов. Подобные программные средства называют ревизорами или инспекторами. Потенциально они могут обнаружить и новые вирусы. Однако не все изменения проверяемых объектов вызываются вирусным заражением — обновление отдельных компонентов операционной системы, легальное изменение файлов документов и пакетных командных файлов и т. п. Программы-ревизоры не могут помочь при записи на жесткий диск компьютера пользователя уже зараженного файла, но могут обнаружить заражение вирусом новых объектов. Обычно программы-ревизоры выполняются при загрузке операционной системы.
5. Вакцинирование — присоединение к защищаемому файлу специального модуля контроля, следящего за целостностью данного файла с помощью вычисления его хеш-значения и сравнения с эталоном. После заражения файла вирусом его целостность, естественно, будет нарушена. Однако вирусы-невидимки (см. парагр. 4. 1) способны обнаруживать присоединенный код программы-вакцины и обходить реализуемую им проверку. Кроме того, данный метод плохо применим для защиты файлов документов от макровирусов.
Современные антивирусные продукты, как правило, сочетают в себе набор компонентов, решающих отдельные задачи: файловый антивирус, антивирус для проверки почтовых сообщений, средство защиты при работе в сети Интернет, межсетевой экран, систему предотвращения вторжений (Intrusion Prevention Systems — IPS) и т. д. Состав этого набора определяет функциональные характеристики продукта, т. е. те направления возможных угроз, которые он перекрывает.
Под скоростью работы антивирусного средства подразумевается, во-первых, быстрота функционирования модуля защиты в режиме реального времени (антивирусного монитора), во-вторых, — скорость проверки на наличие вредоносных объектов по требованию (антивирусного сканера).
Частота обновления антивирусных баз влияет не только на качество обнаружения вредоносных объектов на уровне сигнатурного анализатора, но и на работу остальных компонентов антивирусного продукта (в том числе проактивной защиты). Не все антивирусные средства обеспечивают обновление баз правил своих компонентов, не относящихся напрямую к анализу файлов: иногда это делается только при выпуске очередной сборки продукта (в некоторых случаях даже версии). В этой связи при выборе антивируса необходимо учитывать не только скорость выпуска обновлений компанией-разработчиком, но и состав этих обновлений, их полноту и адекватность постоянно развивающимся угрозам.
|
|
|
