Хрипко С.Л.,
кандидат фізико-математичних наук, доцент кафедри ОРД та СТ
www.Crime-research.ru
ПИТАННЯ ЗАХИСТУ ВІД КОМП’ЮТЕРНИХ ВІРУСІВ
На основі аналізу комп’ютерних вірусів, розповсюджених у 2002 році, у статті визначені їх різновиди та механізм дії, зроблено розподіл напрямків захисту та запропоновані методи реалізації профілактики розповсюдження комп’ютерних вірусів.
Сьогодні одним з основних джерел загроз у сфері інформаційної безпеки є тенденція зростання протиправних дій організованих груп або окремих осіб з використанням різноманітних інформаційних комп'ютерних мереж. Бурхливий розвиток світової WWW–павутини кардинально змінив користування інформаційними ресурсами світу. Тепер при роботі в Інтернеті потрібно мати на увазі, що наскільки ресурси Всесвітньої мережі відкриті звичайному клієнтові, настільки ж і ресурси його власної комп'ютерної системи за певних умов можуть бути відкриті всім, хто володіє необхідними засобами.
У комп’ютерній техніці поняття інформаційної безпеки є вельми широким, воно охоплює і надійність роботи комп'ютера, і збереження цінних даних, і захист інформації від внесення до неї змін не уповноваженими персонами (конфіденційність), і збереження таємниці листування в електронному зв'язку. Зрозуміло, що на варті комп'ютерної безпеки стоять закони, які й регулюють захист інформації. Але правозастосовна практика та законотворчий процес не встигають за розвитком інформаційних технологій, і тому безпека надійної роботи комп'ютерних систем багато в чому спирається на заходи профілактики [ ].
Актуальністю дослідження є виявлення основних напрямків профілактики розповсюдження комп’ютерних вірусів.
Виникнення комп'ютерних вірусів пов'язане з ідеєю створення програм, що самовідтворюються, дослідження яких розпочалося ще в 1951 році американським вченим Д.фон Нейманом. Перші експерименти в цьому напрямку проводилися в 1962 році при створенні комп'ютерної гри Darwin. У 1970 році була створена програма Creeper для однієї з перших комп'ютерних мереж ARPANET, яка саморозмножувалася. Для боротьби з нею була створена програма Reaper [ ].
Одночасно з появою в 1977 р. перших персональних комп'ютерів Apple II і початком їхнього масового продажу з'явилися і комп'ютерні віруси. Наприкінці 70-х років стали бурхливо розвиватися мережі на базі телефонних ліній. А з появою BBS одержав поширення новий вид комп'ютерного хуліганства – завантаження в мережу програм, що знищують дані на комп'ютерах користувачів. На початку 80-х років з'явився перший завантажувальний вірус Elk Cloner для Apple II.
В історії комп'ютерних вірусів переломним став 1984 рік, коли італійські програмісти Р.Черути і М.Морокути підготували теоретичну базу для практичної реалізації поширення на дискетах завантажувальних вірусів. Вони докладно виклали свої концепції широкої громадськості й опублікували специфікацію завантажувальної (бутової) вірусної програми. Незважаючи на те, що Черути і Морокути відмовилися від подальших практичних досліджень у цьому напрямку, їх ідеї були підхоплені і широко реалізовані на практиці [1].
Ще одним дослідником в області реалізації саморозмножувальних програм у 1984 році став співробітник Лехайского університету Ф.Коен, який провів ряд експериментів на системі VAX 11/750, що працювала під керуванням операційної системи UNIX. Опубліковані ним статті стали посібником для розробки вірусних програм. Прийнято вважати, що термін «комп'ютерний вірус» був уперше введений Ф.Коеном [1].
У даний час існує список всіх комп'ютерних вірусів с початку їх появи, який підтримується Э.Ньюхаузом і його можна одержати з мережі Інтернет (www.virusbtn.com).
До дій які виконують комп’ютерні віруси відносяться вільні або мимовільні спроби порушити працездатність комп'ютерних систем, спроби злому захищених систем, використання і поширення програм, які порушують працездатність комп'ютерних систем та їх надійність [ ].
Сьогодні комп'ютерні віруси не тільки швидко розповсюджуються але й впроваджуються в електронну пам’ять комп'ютера, прикріплюються до файлів і навіть переховуються на скрин-сейверах (різноманітні заставки-екрану). Комп'ютерний вірус може зіпсувати, зокрема змінити неналежним чином, будь-які файли, які містять різноманітну важливу інформацію, що в свою чергу завдає неймовірного збитку [ ].
У кримінологічному аспекті комп'ютерний вірус – це комп'ютерна програма (сукупність програмних кодів), здатна без відома користувача комп’ютера створити свої копії та впровадити програмні коди у різноманітні файли або ресурси комп’ютерних систем [ ].
Проведений аналіз комп’ютерних вірусів, розповсюджених у 2002 році показав, що з'явилося безліч шкідливих вірусів на будь-який смак, а епідемія деяких з них і сьогодні продовжує створювати користувачам проблеми.
Комп'ютерні віруси 2002 року застосовували різні технології для проникнення на комп'ютери користувачів. Основну масу склали віруси-черв'яки (Avron, Bugbear, Opaserv), що розсилають вірусний код електронною поштою. Найбільшу небезпеку складали ті віруси, які використовували для свого запуску уразливість інших програм (наприклад Bride, Lentin, Klez.I). Різноманітні віруси-троянці (Наприклад, Pursue), призначені для крадіжки конфіденційної інформації або надання зловмисникам доступу до комп'ютерів користувачів.
Список вірусів, що залишили після себе найбільш значну шкоду виглядає так.
Найстійкішим вірусом став Klez.I. Для автоматичного запуску він використовує методи, які схиляють користувача до відкриття зараженого листа або його перегляду у вікні швидкого перегляду додатку Outlook Express.
Одним з найнебезпечніших вірусів року, за повідомленням компанії Panda Software, став L-варіант вірусу-черв'яка Opaserv, який розповсюджується мережею і здатний знищувати вміст пам'яті CMOS і всю інформацію з жорсткого диска користувача.
Найбільш довершеним у технічному виконанні є вірус-черв'як Bugbear, який блокує роботу деяких додатків (зокрема, антивірусних програм і міжмережевих екранів). Він відкриває порт 36794 на зараженому комп'ютері і надає хакеру можливість проведення віддаленої атаки.
Як витікає з проведеного аналізу, епідемія більшою чи меншою мірою торкнулася практично всіх країн. Це ще раз доводить неспроможність ідеї кібернетичної зброї вірусного типу.
Наприклад, вірусом Klez I вдалося заразити лише кожне 169-е повідомлення навіть тоді, коли він розмножився мережею, вірусом Yaha довелося заразити лише кожне 268-е повідомлення. Найшкідливішими вірусами "всіх часів і народів", зафіксованими компанією MessageLabs, залишаються вірус Goner, який у грудні 2002 року був у кожному тридцятому повідомленні, і вірус LoveBug, якого досі ніхто не зміг обійти, він заразив кожне 28-е повідомлення ще в травні 2000 року.
Так, за повідомленням Британської компанії MessageLabs, яка займається антивірусним захистом, у 2002 році вдалося знешкодити 9,3 млн. вірусів та їх кодів, що містилися в 2 млрд. електронних листів. Це рівнозначно одному вірусу на 215 повідомлень електронної пошти. Згідно зі звітом, куди увійшли результати діяльності компанії, найактивнішим вірусом був Klez.I, 4,9 млн. копій якого вдалося зупинити. Вірус Yaha стоїть на другому місці з 1,1 млн. копій, третій – Bugbear з 842 тис. 333 копій. Однак ці цифри включають лише віруси, які компанія знешкодила для своїх корпоративних клієнтів. Загальна ж кількість копій цих вірусів була набагато більшою.
Якщо Klez переміг у номінації "найстійкіший вірус", то вірусові Bugbear вдалося стати найактивнішим вірусом року, завдяки "подвійній атаці" у листопаді 2002 р. - на нього припало біля 30% всіх виявлених антивірусною програмою Sophos шкідливих кодів, що дозволило Bugbear випередити колишнього лідера за кількістю заражень – вірусом Klez, який до того часу перемістився на 3-е місце з 8%.
Проблемами класифікації комп'ютерних вірусів займається спеціально створений науковий напрямок – комп'ютерна вірусологія.
На наш погляд всі різновиди вірусів можна поділити на класи за наступними ознаками:
- за середовищем мешкання;
- за способом зараження середовища мешкання;
- за деструктивними можливостями;
- за особливістю алгоритму вірусу.
За середовищем мешкання віруси поділяються на мережеві, файлові та завантажувальні. Мережеві віруси – це комп'ютерні віруси які мають властивість розповсюджуватись (“переходити”) через телекомунікаційні мережі з однієї комп’ютерної системи до іншої, з одного комп'ютера на інший. Файлові віруси – вбудовуються в структуру файлу, завантажувальні вбудовуються в завантажувальний сектор, який знаходиться на диску.
Існують два способи зараження середовища мешкання: резидентний та нерезидентний. Резидентні віруси при інфікуванні комп’ютера залишають в операційній пам’яті комп'ютера свій програмний код, який потім інфікує інші об’єкти. Він є активним аж до вимкнення або перевантаження комп'ютерної системи. В свою чергу нерезидентний є активним деякий час.
За деструктивними можливостями віруси поділяються на:
- нешкідливі (які тільки зменшують вільну пам’ять комп’ютера);
- небезпечні, які зупиняють роботу комп'ютерної системи;
- дуже небезпечні, які приводять до зникнення програм, даних, інформації.
За особливостями алгоритму вірусу можна виділити наступні групи:
- програмні;
- завантажувальні;
- компаньйон-віруси;
- стелс-віруси;
- поліморфік-віруси;
- макровіруси;
- комбіновані віруси.
Програмні віруси. Програмні віруси – це блоки програмного коду, цілеспрямовано впроваджені всередину інших прикладних програм. При запуску прикладної програми, відбувається запуск імплантованого в неї вірусного коду. Робота цього коду викликає приховані від користувача зміни в файловій системі жорстких дисків і/або в змісті інших програм. Так, наприклад, вірусний код може відтворювати себе в тілі інших програм цей процес називається розмноженням. Після певної години, створивши достатню кількість копій, програмний вірус переходить до руйнівних дій.
Програмні віруси при звичайному копіюванні не інфікують комп'ютер, а при запуску неперевірених файлів, отриманих із зовнішнього носія (гнучкий диск, компакт-диск або з мережі Інтернет) інфікують програму, за допомогою якої цей файл був оглянутий. Тому всі файли повинні пройти обов'язкову перевірку на безпеку, а якщо дані отримані з незнайомого джерела, їх потрібно знищувати, не продивляючись.
Завантажувальні віруси. Від програмних вірусів завантажувальні віруси відрізняються методом поширення. Копії вражають не програмні файли, а певні системні області магнітних носіїв (гнучких і жорстких дисків). Крім того, на включеному комп'ютері копії можуть тимчасово розташовуватися в оперативній пам'яті.
Звичайно зараження відбувається при спробі завантаження комп'ютера з магнітного носія, системна область якого містить завантажувальний вірус. Так, наприклад, при спробі завантажити комп'ютер з гнучкого диска спочатку відбувається проникнення вірусу в оперативну пам'ять, а потім - у завантажувальний сектор жорстких дисків. Далі цей комп'ютер сам стає джерелом поширення завантажувального вірусу.
Компаньйон-віруси – віруси, які не змінюють файли, а створюють для завантажувальних файлів файли-супутники, що мають теж саме ім’я, але з іншим розширенням (наприклад, *.сом).
Стелс-віруси. Віруси–невидимки – це програми, які перехоплюють звернення системи до інфікованих кодів файлів або інфікованих секторів дисків та підставляють замість них неінфіковані свої частки.
Поліморфік-віруси – віруси-примари, які самостійно шифрують свої вірусні коди.
Макровіруси. Це особливий різновид вірусів, який вражає файли, виконані в деяких прикладних програмах, що мають так звану мову-макрокоманд, яка вбудовується в систему обробки даних. До таких файлів відносять документи текстового редактора – Microsoft Word (файли мають розширення DОС). Зараження відбувається при відкритті файлу документа у вікні програми, якщо в ній не відключена можливість виконання макрокоманд. Як і для інших типів вірусів, результат атаки може бути як відносно нешкідливим, так і руйнівним.
Розглянемо механізми дії та основні функції деяких макро-вірусів.
Макро-вірус “Macro.Word97.Plasma” містить 6 макрокоманд: AutoOpen, AutoExec, AutoClose, ToolsMacro, ToolsProtectDocument, ToolsUnprotectDocument.
При відкритті файла вірус вимикає опцію захисту від вірусів. Зараження також відбувається при закритті і збереженні з іншим ім'ям документів (AutoOpen, FileClose, FileSaveAs). Якщо спробувати запустити вбудований додаток Visual Basic Editor вірус видаляє з каталога "С:\windows" всі файли з розширенням dll і drv. Створює свою резервну копію під ім'ям kernel32.doc в каталозі "С:\windows\system\".
Макро-вірус “Macro.Word97.Claud.b” заражає документи і шаблони MS Word. Він також відключає вбудовану в MS Word функцію захисту від макровірусів і ховає меню програми "Сервіс".
Комбіновані віруси – віруси, що мають окремі ознаки вірусів, розглянутих вище, в певній сукупності. Ці окремі частини містять інструкції, які вказують комп'ютеру, як зібрати їх воєдино, в якій послідовності і в якому випадку або в який час відтворити. Одним з різновидів комбінованих вірусів є троянські віруси. Такі вірусні програми здатні найбільше порушувати процес роботи програми і операційної системи, знищувати інформації, що зберігається на жорсткому диску.
Розглянемо механізми дії та основні функції деяких комбінованих вірусів.
Вірус-троян "Pursue" містить Java скрипт, який може бути включений в будь-яку веб-сторінку, завдяки чому він здатний заражати комп'ютери всіх користувачів, які працюють в Інтернеті. Його основні функції - вносити записи в реєстр операційної системи Windows, щоб заражений комп'ютер вимикався кожний раз при своєму завантаженні. Крім того, він намагається закрити користувачеві доступ до реєстру Windows через прикладні програми, виводячи на екран чорне вікно браузера, яке, залежно від положення покажчика миші, буде показувати блоки різних кольорів. Звичайний прийом поширення троянських вірусів відбувається електронною поштою у вигляді додатку до електронного листа з “рекомендацією" витягнути і запустити ніби корисну програму.
Вірус-черв'як "Avron" містить троянську процедуру, його основна функція красти паролі. При розсилці заражених листів він використовує пряме підключення до SMTP-сервера, яким відбувається розсилка. Сам шукає адреси в файлах з розширеннями: DBX. MBX. WAB. HTML. EML. HTM. ASP. SHTML. Знаходить паролі і відправляє їх на адресу "[email protected]" в листі із заголовком "Password Got". А кожного 7-го й 24-го числа "Avron" запускає процедуру, яка випадково переміщує курсор миші і відкриває Web-сторінку: http://www.avril-lavigne.com.
Процес порушення роботи програми і операційної системи, знищенню інформації, яка зберігається на жорсткому диску називають вірусною атакою.
Найбільш руйнівними діями вірусів може бути форматування жорстких дисків. У багатьох інших випадках віруси обмежуються знищенням даних тільки в системних секторах жорсткого диска, що еквівалентно втраті таблиць файлової структури. У цьому випадку дані на жорсткому диску залишаються незайманими, але скористатися ними без застосування спеціальних засобів не можна, оскільки невідомо, які сектори диска яким файлам належать. Теоретично відновити дані в цьому випадку можна, але трудомісткість цих робіт надто висока [ ].
Вважається, що ніякий вірус не спроможний вивести з ладу апаратне забезпечення комп'ютера. Однак бувають випадки, коли апаратне і програмне забезпечення настільки взаємопов'язані, що програмні пошкодження доводиться усувати заміною апаратних засобів. Так, у більшості сучасних материнських плат базова система введення-виведення (BIOS) зберігається в постійних запам'ятовуючих пристроях (так звана флеш-пам'ять). Можливість перезапису інформації у мікросхемі флеш-пам'яті використовують деякі віруси для знищення даних ВІOS. У цьому випадку для відновлення працездатності комп'ютера потрібна або заміна мікросхеми, або її перепрограмування на спеціальних пристроях [ ].
Виходячи з вищенаведеного, важливим елементом попередження злочинів, вчинених у сфері використання комп'ютерних технологій, на нашу думку, є застосування сучасних апаратно-програмних та організаційних заходів захисту інформації від комп'ютерних вірусів.
Головні напрямки захисту від комп'ютерних вірусів є:
- запобігання надходженню вірусів;
- запобігання вірусній атаці, якщо вірус все-таки поступив на комп'ютер;
- запобігання руйнівним наслідкам, якщо атака все-таки сталася.
Створювати систему безпеки слід, насамперед, “з кінця” із запобігання руйнівним наслідкам будь-якого впливу, будь то вірусна атака або фізичний вихід жорсткого диска з ладу [ ].
Виходячи з проведеного дослідження, на наш погляд, є три основні методи реалізації профілактики комп'ютерної безпеки:
- програмний метод захисту;
- апаратний метод захисту;
- організаційний метод захисту.
Ефективними програмними методами захисту є використання антивірусних прикладних програм.
Відомими програмами, здатними видаляти коди вірусів із програм, є Aidstest (Д.М.Лозинський), Doctor (О.О.Чижов), Anti-Kot (О.Г.Котик), Dr.Web (І.Данилов).
Наведемо найбільш відомі та ефективні антивірусні прикладні програми.
Існуюча антивірусна прикладна програма – AVP (Лабораторія Касперського), забезпечує антивірусний контроль на операційних системах DOS, WINDOWS 95/98/NT/2000, NetWare, Linux, FreeBSD. Також підтримує Microsoft Office 2000, Checkpoint Frewall-1, поштові сервери UNIX-sendmail qmail.
Друга антивірусна прикладна програма – McAfee Active Virus Defense придатна майже для всіх операційних систем та додатків, які використовуються в корпоративних мережах: клієнтські WINDOWS 3.x/95/98/ME/NT, Workstation/ 2000 Professional, OS/2, DOS, Macintosh; серверні ОС WINDOWS NT Server, Windows 2000 Server/ Advanced Server/ Novell Netware, Linux, HP-UX, AIX, SCO, Solaris; додатки Microsoft Office; інтернет-шлюзи MS Proxy Server.
Третя, на наш погляд, програма, що забезпечує програмний метод захисту, антивірусна прикладна програма – Norton AntiVirus (Symantec Corp.). Вона містить набір антивірусних прикладних додатків і придатна для серверів Windows NT та Novell, робочих станцій, комунікаційних пакетів Lotus Notes та MS Exchange, SMTP поштових серверів та брандмауерів. Працює в трьох режимах: автоматичний захист, пошук і вакцинація. Автоматичний захист дозволяє виявити і знищити відомі вірусні програми, перепиняє шлях у систему новим вірусним програмам, виявляє віруси в архівних файлах (*.ZIP, *.LZH), виконує контроль підозрілих дій, автоматично перевіряє і лікує дискети.
На нашу думку, програмний антивірусний захист є важливою та постійною функцією профілактики комп’ютерної безпеки.
Основним організаційним методом захисту інформації є резервне копіювання найбільш цінних даних. У разі втрати інформації, коли комп'ютер уражений вірусом, а жодна з відомих йому антивірусних програм не дала позитивного результату, жорсткі диски необхідно переформатувати і підготувати до нової експлуатації. На відформатований диск встановлюють оновлену операційну систему з дистрибутивного компакт-диску, потім під її управлінням встановлюють всі необхідні прикладні додатки, які також беруть з дистрибутивних носіїв. Відновлення комп'ютера завершується відновленням інформації з резервних носіїв.
При резервуванні даних потрібно також мати на увазі й те, що слід окремо зберігати всі реєстраційні і парольні дані для доступу до мережевих служб Інтернету. Їх не треба зберігати на комп'ютері.
Створюючи план заходів щодо резервного копіювання інформації, необхідно враховувати, що резервні копії повинні зберігатися окремо від комп'ютера. Резервування інформації на іншому жорсткому диску того ж комп'ютера тільки створює ілюзію безпеки. Відносно новим і досить надійним прийомом зберігання цінних, але неконфіденційних даних є їх зберігання в Web-папках на видалених серверах в Інтернеті. Сервери, що знаходяться в мережі, за допомогою служби WWW, безкоштовно надають віртуальний простір (до декількох Мбайт) для зберігання даних користувача.
Резервні копії конфіденційних даних зберігають на зовнішніх носіях, бажано в окремих приміщеннях. При розробці організаційного плану резервного копіювання враховують необхідність створення не менше двох резервних копій, що зберігаються в різних місцях. Між копіями здійснюють ротацію. Наприклад, протягом тижня щодня копіюють дані на носії резервного комплекту А, а через тиждень їх замінюють комплектом Б і т.д.
Допоміжними засобами захисту інформації є антивірусні засоби апаратного захисту. Так, наприклад, просте вимкнення перемички на материнській платі не дозволити здійснити стирання перепрограмованої мікросхеми ПЗУ (флеш-BIOS), незалежно від того, хто буде намагатися це зробити: комп'ютерний вірус, зловмисник чи непідготовлений користувач.
Таким чином, можна виділити такі основні напрямки профілактики розповсюдження комп’ютерних вірусів:
1. Проведення регулярних організаційних методів захисту інформації від розповсюдження комп’ютерних вірусів шляхом створення образу жорсткого диска на зовнішніх носіях (наприклад, на гнучких дисках). Цей же засіб може захистити від втрати даних при апаратних збоях і при випадковому форматуванні жорсткого диска.
2. Проведення регулярних програмних методів захисту інформації шляхом встановлення антивірусних програм та сканування цією програмою жорстких дисків у пошуках комп'ютерних вірусів. Сканування звичайно виконується автоматично при звичайному вімкненні комп'ютера і при розміщенні зовнішнього диска в пристрої для читання. При скануванні потрібно мати на увазі, що антивірусна програма шукає вірус шляхом порівняння коду сканованої програми з кодами відомих їй вірусів, які зберігаються в базі даних. Якщо база даних застаріла, а вірус є новим, скануюча програма його не виявить. Для надійної роботи потрібно регулярно оновлювати антивірусну програму. Бажана періодичність оновлення один раз на два тижні.
3. Контроль за зміною розмірів та інших атрибутів файлів. Комбіновані віруси на етапі розмноження змінюють параметри заражених файлів. Тому контролююча програма може виявити їх діяльність і попередити користувача.
4. Контроль за зверненнями до жорсткого диска тієї чи іншої програми. Оскільки найбільш небезпечні операції, пов'язані з роботою комп'ютерних вірусів, так чи інакше звернені на модифікацію даних, записаних на жорсткому диску, антивірусні програми можуть контролювати звернення до нього і попереджати користувача про підозрілу активність.
У результаті проведеного дослідження, зроблено аналіз найнебезпечніших комп’ютерних вірусів, які спричинили шкоду у 2002 році. За результатами аналізу запропоновано новий вид вірусів – комбіновані віруси, запропоновані основні методи профілактики розповсюдження комп’ютерних вірусів та напрямки проведення профілактики розповсюдження комп’ютерних вірусів.
1. Закон України «Про захист інформації в автоматизованих системах» // ВВР –1994. – №32.
2. Козлов Д. Энциклопедия компьютерных вирусов. – М.: Салон-Р, 2001. – 461с.
3. Касперский Е. Компьютерные вирусы MS DOS. – М.: Эдаль. -1992. – 346с.
4. Айков Д., Сейгер К., Фонстрох У. Компьютерные преступления. – М.: Мир, 1999. – 453с.
5. Голубев В.О. Теоретико-правові проблеми боротьби з кіберзлочинами // Вісник запорізького юридичного інституту. –1999. - №3(8). – С.52-60.
6. Герасименко В.А., Павлов Д.В., Шиверский А.Н. Основы защиты коммерческой информации и интелектуальной собственности в предпринимательской деятельности. – М. – 1991. – 285с.
7. Вертузаєв М.С., Голубев В.О., Котляревський О.І., Юрченко О.М. Безпека комп’ютерних систем: злочинність у сфері комп’ютерної інформації та її попередження. – Запоріжжя, 1998. - 316с.
8. Борисов В.И., Забулонов М.Ю. Организация системы антивирусной защиты банковских информационных систем // Компьютерные системы. – 2002. - №4. – С.35-42.