Computer Crime Research Center

Антимонов С.Г.,
генеральный директор ЗАО "ДиалогНаука", к.ф-м.н.

Борьба с вирусными и троянскими программами – элемент противостояния компьютерному терроризму

Чтобы добиться успешных результатов в борьбе с терроризмом, требуется напряженная и постоянная работа не только государственных структур, но также различных коммерческих фирм и даже граждан. Такова по своей сути эта совершенно новая "линия фронта".

История компьютерных вирусов началась 15 лет назад. Сейчас насчитывается более 50 тысяч вирусов и каждый день появляется 20-30 новых.

По данным компании Computer Economics ущерб от компьютерных вирусов крупного бизнеса был в млрд. долл.: 12,1 в 1999; 17,1 в 2000; и 13,2 -- в 2001. При этом объем мирового антивирусного рынка был соответственно в млрд. долл. -- 1,2; 1,7; и 1,4. Т.е. потери от вирусов только крупного бизнеса существенно превышают суммы, которые антивирусные фирмы зарабатывают, продавая свои продукты и услуги. Очевидно, что совершенные средства борьбы с вирусами могут появиться только тогда, когда в эту отрасль будут поступать деньги, адекватные сложности и трудоемкости возникающих тут задач.

Первый случай массового распространения компьютерных вирусов произошел летом 1987, когда “пакистанский вирус” заразил более 18 тысяч компьютеров. Разработчик вируса 26-летний выпускник Пенджабского университета Амджан Алви заявил, что хотел наказать американцев, покупающих дешевые незаконные копии программ в Пакистане. Отметим, что этого регион оказался “колыбелью” и новейшего вида терроризма образца 11 сентября 2001.

“Вирус Морриса” 2 ноября 1988 года инфицировал около 6 тысяч компьютеров в США в сети Интернет. Нанесенный ущерб был оценен в 150 тыс. долл. Разработчик вируса Роберт Моррис, аспирант факультета информатики Корнельского университета, утверждал, что создал вирус для проверки защиты компьютера и нежелательные последствия возникли из-за допущенной им ошибки. Эта линия защиты помогла адвокатам Морриса смягчить степень его наказания в суде. Такую же линию защиты в суде использовали и адвокаты 30-летнего Давида Смита – разработчика нашумевшего в марте 1999 года почтового вируса Melissa.

17 ноября 1988 года был создан легендарный отечественный антивирус Aidstest. Разработчик программы Лозинский Д.Н. одним из первых в мире принял “вирусный вызов” и в течение 10 лет регулярно поставлял миллионам пользователей эффективные средства борьбы с вирусами. С 1996 года он является председателем совета директоров ЗАО “ДиалогНаука”. Его заслуги на “антивирусном фронте” были отмечены в 1999 году орденом Дружбы.

В 1993 году появились полиморфные вирусы, с которыми в принципе не могли справиться антивирусы, построенные на традиционных методах поиска вирусов “по маске”. Летом 1994 года мы взяли на “вооружение” отечественный антивирус нового поколения Doctor Web, созданный Даниловым И.А. и который справлялся со сложными полиморфными вирусами.

В начале 1993 года перед выставкой CeBIT-1993 в странах Восточной Европы проводился международный конкурс “1&1”. К участию в конкурсе принимались самые разнообразные программы. Данилов И.А. представил свою антивирусную программу Spider Web и оказался в числе призеров – получил бесплатный стенд и демонстрировал программу на выставке.

Первая версия программы Spider Web была создана Даниловым И.А. 24 апреля 1992. Это была одна из первых в мире реализаций идеи “раскрутки” кода программ на эмуляторе процессора для целей поиска вирусов. Что оказалось абсолютно необходимым для борьбы с полиморфными вирусами. Интересно, как ДиалогНаука косвенно способствовала в 1991 увлечению Данилова И.А. антивирусными делами. Когда он прочитал книгу Безрукова Н.Н. “Компьютерная вирусология” (а ДиалогНаука ее спонсировала), то “вооружился” знанием существовавших тогда антивирусных технологий и на этой базе изобрел совершенно новые.

Далее были “эпохи” macro-вирусов, троянских программ и script-вирусов. На новые вирусные угрозы разработчики антивирусных программ отвечают созданием все более совершенных механизмов по обнаружению вирусов и лечению зараженных файлов.

Вот пример вируса Code Red Worm (июль 2001). Это был первый в истории вирус, который не существует в виде файла (что традиционно для вирусов), а существует в виде процесса в памяти зараженного компьютера. Тогда выяснилось, что только один антивирус в мире, а именно Doctor Web, был способен обнаружить этот вирус в памяти компьютера. Т.е. только Doctor Web был заранее “вооружен” так, чтобы достойно ответить на такого рода “вызовы”.

База такого “вооружения” была построена еще в 1999 году, когда впервые в мире в сканере Doctor Web была реализована полная проверка памяти Windows 95/98, включая системную память, а также память всех виртуальных машин и всех прикладных процессов. Далее была реализована также и проверка памяти виртуальных машин в среде системы Windows NT.

2001 год принес и другие “открытия” в виде вирусов: SirCam (утечка конфиденциальной информации), Nimda (большой спектр атак), и Goner (использование, кроме электронной почты, системы обмена сообщениями ICQ). По данным компании Computer Economics ущерб от этих вирусов был соответственно 2620, 1150, 635 и 10 млн. долл.

В прошлом году были представлены также и традиционные “приемчики”. Создатель вируса AnnaKournikova.jpg.vbs использовал следующую психологическую уловку -- провоцировал пользователя компьютера открыть файл (присоединенный к электронному письму), чтобы посмотреть на фотографию Анны Курниковой. На самом деле, конечно, в этом файле был спрятан вирус. Были “покупки” и другого рода. Например, письмо с призывом удалить с компьютера якобы вирусный файл SULFNBK.EXE (на самом деле это вполне нормальный файл операционной системы Windows и его удаление может повредить нормальный режима работы системы). Или письмо с призывом запустить присоединенный файл drw32r.exe – якобы только что выпущенную “лечилку” программы DrWeb от нового страшного вируса (конечно, этот файл не “лечил”, а, наоборот, “калечил”, так как был настоящим троянцем).

По прогнозам наших специалистов в будущем борьба "вирус-антивирус" станет еще более острой. Предполагается появление "самостоятельно мутирующих" вирусов и других угроз.

Известно, что многие вирусы для распространения используют “дыры” в программах Microsoft. То, что продукты фирмы Microsoft являются наиболее распространенными по миру и содержат много ошибок, как раз и создает благоприятную среду для вирусописателей

Недавно фирма Microsoft заявила о своей новой стратегии развития, в соответствии с которой -- при создании новых программных продуктов -- наивысший приоритет получат вопросы безопасности, доступности и конфиденциальности. Скептики на это прореагировали едким замечанием – “одно дело – сказать, и совсем другое – сделать”. Будем надеяться, что в этом конкретном случае фирма Microsoft действительно перестроит всю свою деятельность.

В последнее время все чаще стали появляться вирусы и для операционных системы типа Unix. Для своего распространения они также используют уязвимости этих систем. К счастью, количество “слабых мест” в Unix-системах существенно меньше, чем в Windows.

На уровне глобальной сети Интернет основной канал распространения вирусов -- это именно электронная почта. Демон программы Doctor Web для Linux/FreeBSD/Solaris используется в почтовых системах (sendmail, qmail, postfix и др.) для антивирусной проверки проходящих через почтовый сервер сообщений. Он может выполнять также и фильтрацию сообщений по содержимому различных полей заголовков, что позволяет строить и разные защиты от спама. Многие администраторы рассматриваемых почтовых систем отдают предпочтение именно демону программы DrWeb -- по таким показателям как эффективность, ресурсоемкость и др.

В борьбе с компьютерными вирусами очень важна скорость реакции -- чем быстрее создана вакцина против нового вируса, тем больше компьютеров удается спасти. С октября 2000 года дополнения вирусной базы Doctor Web выходят иногда ежечасно или даже несколько раз в час. Отметим, что такая антивирусная услуга была предоставлена нами впервые в мире. Так как и ежедневное, и еженедельные дополнения совершенно свободно доступны у нас на сайте, то все пользователи программы Doctor Web могут всегда иметь все новые “вакцины”.

Борьба “вирус-антивирус” не знает перерывов, схватка идет постоянная. Тут существенную помощь может оказать каждый из нас – используя антивирусы на своих компьютерах.

В феврале 2000 г. хакеры использовали троянские программы Trinoo и Back Orifice для организации DDoS-атак на американские веб-сайты Yahoo!, Amazon.com, eBay.com, Buy.com, E*trade.com, CNN.com и др. Расследование показало, что в случае атак на Yahoo! троянские программы или "зомби-агенты" были предварительно внедрены на сотни "нейтральных" компьютеров, в основном, в университетах США. Далее по команде хакеров из 50 разных точек на серверы Yahoo! начали поступать сотни или даже тысячи лже-запросов в секунду. В результате компьютеры Yahoo! на 3 часа вышли из строя. Заметим, что компьютерная мощь Yahoo! сравнима с компьютерной мощностью небольшой европейской страны, а DDoS-атаки были организованы 15-летним школьником из Канады.

Вирус “Чернобыль” написал студент из Тайваня, а вирус “I Love You” -- студент из Филиппин. Оба они сильно раскаивались, когда узнали сколько бед по всему миру принесли якобы невинные их “шалости” -- соответственно 2,4 и 8,7 млрд. долл. Однако, это как настоящая “детская болезнь” для программистов возраста старших школьников и младших студентов. Общество должно обязательно проводить просветительскую работу, чтобы предотвратить молодежь от возможных экспериментов по созданию вирусов и троянцев.

В ответ на серию этих DDoS-атак и по инициативе ICSA (Международной ассоциации компьютерной безопасности) был создан Альянс за безопасный Интернет -- "Сейчас нет способа, который бы надежно защитил нас от Distributed Denial of Service (DDoS) атак. Потому что такие атаки идут одновременно с тысяч разных компьютеров, "обманутых" хакерами и использованных для злодейства. Однако, мы можем - и должны - быть уверены в том, что наши собственные компьютеры не будут использованы как платформы для этих атак. Поэтому ассоциация ICSA выступает инициатором Альянса с тем, чтобы мобилизовать против такого рода угроз все организации. Это вопрос всеобщего экономического выживания и все мы вместе должны взять на себя ответственность за соответствующие действия по обеспечению безопасности наших собственных компьютеров, сетей и сайтов". ЗАО “ДиалогНаука” была первой российской компанией, которая вступила в этот Альянс.

Речь идет о том, что все мы должны следовать простейшим правилам компьютерной гигиены дома, на работе и в учебном заведении. В частности, на регулярной основе использовать современные антивирусные программы. Чтобы не допускать попадания на наши компьютеры троянских программ, вирусов и прочей компьютерной “нечисти”. А если такое проникновение все-таки произошло, то мы должны своевременно обнаружить этих “пришельцев” и как можно быстрее удалить их с компьютеров. Таким способом мы сможем не допустить возможные атаки хакеров и избавить себя и других от неприятностей и потерь.

Есть и другая позиция, по которой каждый из нас может помочь в борьбе с компьютерными вирусами и троянскими программами. Чем раньше к специалистам-вирусологам попадает какой-то новый образец вируса (например, зараженный файл), тем быстрее будет выпущена соответствующая вакцина и тем большее количество компьютеров удается “вакцинировать” (“спасти”). Это в точности похоже на то, как все происходит и в обыкновенной медицине.

Как можно узнать, что у нас на дискетке, CD или компьютере находится новый вирус? При помощи эвристического анализатора антивирусной программы, который как раз и даст нам диагностику -- предупредит о том, что “такой-то файл возможно заражен новым вирусом”.

Сила Doctor Web – в его мощном эвристическом анализаторе. "Традиционно Doctor Web обладает очень сильным эвристиком" -- писал журнал Virus Bulletin в марте 2001.

Ежедневно пользователи программы Doctor Web со всего мира присылают в ДиалогНауку десятки файлов на анализ. Зачастую в этих файлах оказываются уже давно известные вирусы (т.е. те, кто присылает такие файлы, оказывается, используют старую версию программы). Иногда же таким образом мы действительно получаем образцы совершенно новых вирусов.

Чтобы помочь пользователям компьютеров в любой точке земного шара проверить какой-то файл при помощи программы Doctor Web в режиме реального времени, в декабре 1996 мы впервые в мире ввели совершенно бесплатную антивирусную услугу в Интернете -- online антивирусную проверку, которая с тех пор работает круглосуточно и 365 дней в году.

Любой пользователь Интернета может отправить файл со своего компьютера на наш сервер, где при помощи последней версии программы Doctor Web будет произведена проверка и пользователь на экране своего компьютера получит протокол с результатами этого анализа.

Если заранее объединить группу файлов, нуждающихся в проверке, в один архивный файл и передать его на сервер, в протоколе будет выдана информация по каждому файлу из архива.

Итак, регулярное использование антивирусов предотвратит многие атаки и ущербы. Мы рекомендуем использовать именно программами семейства Doctor Web, так как эти отечественные разработки являются одними из лучших в мире и по многим показателям!

С 1996 года программы семейства Doctor Web регулярно принимают участие в независимых международных тестированиях. В "антивирусном мире" оценка качества того или иного продукта производится объективнее и "чище", чем для большинства программ других классов. Показатели "чуть более удобно – чуть менее удобно", "а у нас есть это – а у нас есть то" при оценке антивирусов вторичны. Критерии очевидны: есть вирусная коллекция и надо "поймать" как можно больше вирусов. Кто больше – тот лучше.

Авторитетный международный журнал Virus Bulletin в феврале 2002 года подвел итоги очередного сравнительного тестирования лучших антивирусов со всего мира. И на этот раз копилка “ДиалогНауки” пополнилась наградой VB100% -- восьмой по счету.

Награда VB100% присуждается антивирусу в том случае, если и его сканер, и резидентный сторож обнаруживают 100% вирусов из коллекции “In the Wild”, то есть вирусов, встречающихся на компьютерах пользователей. Кроме “диких” (“In the Wild”), существуют так называемые “коллекционные” вирусы, которые для тестирования разбиваются на три категории – макрокомандные, полиморфные и стандартные.

Отметим, что в последние два года Doctor Web регулярно побеждает в тестировании “Virus Bulletin”, получая престижные награды VB100%. Однако на этот раз был достигнут исключительный успех: в февральских тестах только один антивирус Doctor Web показал все 100% во всех четырех категориях вирусов. Аналогичный абсолютный результат 4*100% (как для сканера, так и для сторожа) Doctor Web демонстрировал в сентябре 2001.

Ниже приведена выдержка из отчетной таблицы февральского тестирования антивирусов по данным журнала “Virus Bulletin”, в которой даны показатели Doctor Web в сравнении с результатами других антивирусов, также получивших награду VB100%.

Компания и продукт

In the Wild

Макро-вирусы

Полиморфные вирусы

Стандартные вирусы

%

%

%

%

DialogueScience Doctor Web

100%

100%

100%

100%

Eset NOD32

100%

100%

99,94%

100%

Symantec Norton AntiVirus

100%

100%

100%

99,81%

CA Vet Anti-Virus

100%

100%

99,35%

100%

FRISK F-Prot

100%

100%

97,50%

99,81%

Norman Virus Control

100%

100%

96,49%

98,65%

Sophos Anti-Virus

100%

99,66%

95,48%

99,50%

Trend PC-cillin

100%

99,99%

93,86%

99,83%

VirusBuster VirusBuster

100%

100%

93,33%

99,81%



Высокие результаты программ Doctor Web явились результатом использования самых современных и передовых антивирусных технологий, многие из которых являются уникальными разработками команды программистов под руководством Данилова И.А. К примеру, впервые в мире в резидентном стороже SpIDer Guard программы Doctor Web была реализована интеллектуальная технология SpIDer Netting контроля вирусной активности – для блокировки непосредственно в памяти известных и совершенно неизвестных вирусов.

Программными продуктами Doctor Web пользуются такие общенациональные структуры как Администрация Президента РФ, Аппараты Правительства, Совета Федерации и Государственной Думы, ГАС "Выборы", ГУИР ФАПСИ, Центробанк и Сбербанк, Министерства обороны, образования, экономразвития, финансов, промышленности и др.

ЗАО “ДиалогНаука” имеет лицензию Гостехкомиссии на деятельность в области защиты информации и лицензии ФАПСИ на право осуществлять проектирование и производство средств защиты информации, а также соответствующие сертификаты на антивирусные программы семейства Doctor Web от Гостехкомиссии и Министерства обороны.

Мы гордимся тем, что такой замечательный продукт мирового класса является полностью отечественной разработкой. Антивирус Doctor Web обеспечивает самую надежную защиту компьютеров и сетей от вирусов, троянцев и других вредоносных программ.

По материалам: www.infoforum.ru
Обсудить
Главная | Библиотека | Статьи | Форум
Ссылки | Команда | Контакты

Copyright © Центр исследования проблем компьютерной преступности, 2001-2002 Все права защищены.
При публикации информации взятой в нашем каталоге ссылка на http://www.crime-research.org обязательна.