2015-05-27
3592
К троянским программам (троянским коням) относятся программы, в зависимости от каких-либо условий (наступление определенного времени, выполнение какого-либо условия и т.п.) наносящие разрушительные действия (уничтожают информацию на дисках, парализуют операционную систему и др.).
По сравнению с вирусами троянские программы не получают широкого распространения по достаточно простым причинам - они либо уничтожают себя вместе с остальными данными на диске, либо демаскируют свое присутствие и уничтожаются пострадавшим пользователем.
Троянские программы можно классифицировать по нескольким категориям: программы-вандалы, логические бомбы, программы-люки, программы угадывания паролей, «дропперы» вирусов и программы скрытого администрирования.
Программы-вандалы
Троянские программы-вандалы обычно выполняют или имитируют выполнение какой-нибудь полезной функции или маскируются под новую версию известного программного продукта. При этом в качестве побочного эффекта они стирают файлы, разрушают каталоги, форматируют диск и выполняют другие деструктивные функции.
|
|
|
Логические бомбы
Логические бомбы считаются разновидностью троянских программ-вандалов и представляют собой скрытые модули, встроенные в ранее разработанную и широко используемую программу. Такой модуль является безвредным до определенного события, при наступлении которого он включается. Такого рода программы иногда используются уволенными или обиженными сотрудниками как форма мести по отношению к нанимателю.
Программы-люки
Программы-люки обеспечивают вход в систему или получение привилегированной функции (режима работы) в обход существующей системы полномочий. Люки часто оставляются разработчиками соответствующих компонентов операционной системы для того, чтобы завершить тестирование или исправить какую-то ошибку, но нередко продолжают существовать и после того, как действие, для которого они планировались, было завершено или необходимость в нем отпала.
Программы угадывания паролей
Троянские программы могут также использоваться в целях разведки. К распространенным программам такого рода относятся программы угадывания паролей.
Имеется значительное количество троянских программ, которые воруют пароли пользователей и прочую системную информацию и пересылают их злоумышленникам.
«Дропперы» вирусов
К троянским программам также можно отнести «дропперы» вирусов - зараженные файлы, код которых подправлен таким образом, что известные версии антивирусов не определяют вируса в файле. Например, файл шифруется каким-либо специальным образом или упаковывается редко используемым архиватором, что не позволяет антивирусу «увидеть» заражение.
|
|
|
Программы скрытого администрирования
Троянские программы этой категории представляют собой мощные утилиты удаленного администрирования компьютеров в сети. По своим функциональным возможностям эти программы схожи с различными системами администрирования, разрабатываемыми и распространяемыми различными фирмами-производителями программных продуктов. Особенность этих программ заключается в отсутствии предупреждения об инсталляции и запуске. Дело в том, что при запуске такая программа отслеживает поведение системы и при этом пользователю не выдается никаких сообщений о ее действиях. Более того, при этом в списке активных приложений может вообще отсутствовать ссылка на эту утилиту. В результате пользователь этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.
Утилиты скрытого администрирования, установленные на компьютере, позволяют принимать/отсылать, запускать и уничтожать файлы; выводить сообщения; стирать информацию; перезагружать компьютер и т.д. В конце концов, эти программы могут быть использованы для обнаружения и передачи конфиденциальной информации, запуска вирусов, уничтожения данных и т.п.
Особенности сетевых вирусов
Сетевыми называются вирусы, использующие для своего распространения возможности локальных и глобальных сетей. Большинство сетевых вирусов (другое название - сетевые черви) обладают способностями:
■ копировать свой код на удаленный сервер или рабочую станцию;
■ запускать или провоцировать пользователя на исполнение своего кода на удаленном компьютере.
Заразив компьютер, вирусы этой группы в большинстве случаев не изменяют файлы или секторы на дисках. Они проникают в память компьютера, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Кроме того, такие вирусы иногда создают рабочие файлы на дисках системы, хотя могут и вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).
Защита от вирусов
Прежде всего, необходимо отметить, что защитить компьютер от вирусов может только сам пользователь. Только систематическое архивирование информации, ограничение ненадежных контактов и своевременное применение антивирусных средств может защитить компьютер от заражения или обеспечить минимальный ущерб, если заражение все-таки произошло.
Систематическое архивирование важной информации Единственным стопроцентным по надежности методом защиты от потери важной информации является ее резервное копирование на защищенные от записи устройства хранения данных. Более того, архивированием также нельзя пренебрегать по причине возможности потерять информацию не только из-за вирусов, но и из-за скачков напряжения в сети, поломок оборудования и т.д.
Ни одна антивирусная программа не сравнится по надежности с архивированием информации. Дело в том, что на любой алгоритм антивируса всегда найдется алгоритм вируса, невидимого для этого антивируса.
Ограничение ненадежных контактов
Второе правило, частично гарантирующее сохранность информации, - это ограничение копирования данных из ненадежных источников. Как бы вы ни старались, обмен информацией с другими пользователями и работа в локальных или глобальных сетях неизбежны. Однако кое-какие правила у себя все-таки выработать можно.
Во-первых, необходимо стараться не запускать непроверенные файлы, в том числе полученные по компьютерной сети. Желательно использовать только программы, полученные из надежных источников. Перед запуском новых программ обязательно следует проверить их одним или несколькими антивирусами.
|
|
|
Во-вторых, следует обязательно пользоваться только хорошо зарекомендовавшими себя источниками программ и прочих файлов, хотя это не всегда спасает (например, на www – сервере Microsoft довольно долгое время находился документ, зараженный макровирусом Wazzu).
В-третьих, необходимо ограничить круг людей, допущенных к работе на конкретном компьютере. Практика показывает, что наиболее уязвимые компьютеры - многопользовательские.
И наконец, согласно четвертому правилу следует стремиться к приобретению только дистрибутивного программного обеспечения у официальных продавцов. Бесплатные, условно бесплатные или пиратские копии могут привести к заражению.
Использование антивирусных программ
Самыми популярными и эффективными антивирусными программами являются антивирусные сканеры, мониторы и ревизоры. Применяются также различного рода блокировщики и иммунизаторы.
1. Сканеры способны обнаружить фиксированный набор известных вирусов в файловой системе, секторах и системной памяти, а затем - немедленно удалить большинство из них. Для поиска вирусов сканеры используют так называемые «маски» - некоторую постоянную последовательность кода, специфичную для этого конкретного вируса. В случае если вирус не содержит постоянной маски (полиморфик-вирусы), используются другие методы, основанные на описании всех возможных вариантов кода на алгоритмическом языке.
Во многих популярных сканерах (например Антивирус Касперского, Доктор Web, Norton Antivirus, МсАfeе, Panda Antivirus, AntiVir Personal Editor и др.) применяется режим эвристического сканирования, который заключается в том, что программа не просто ищет вирусы, а проводит анализ последовательности команд в каждом проверяемом объекте, осуществляет набор некоторой статистики и впоследствии принимает вероятное решение: «возможно, заражен» или «не заражен».
Эвристическое сканирование представляет собой вероятностный метод поиска вирусов, что, в конечном счете, обеспечивает возможность определения неизвестных программе вирусов, но вместе с этим увеличивает количество ложных срабатываний (сообщений о найденных вирусах в файлах, где на самом деле их нет).
|
|
|
Разновидностью сканеров являются так называемые таблетки - специализированные программы, ориентированные на поиск определенного типа или семейства вирусов, например «троянов», макровирусов и др. (например Anti – Trojan, Trojan Remover). Следует отметить, что использование специализированных сканеров, рассчитанных только на макровирусы, иногда бывает более удобным и надежным решением для защиты документов MS Word и MS Excel.
К недостаткам сканеров следует отнести только то, что они охватывают далеко не все известные вирусы и требуют постоянного обновления антивирусных баз. Учитывая частоту появления новых вирусов и их короткий жизненный цикл, для использования сканеров необходимо наладить получение свежих версий не реже одного-двух раз в месяц. В противном случае их эффективность существенно снижается.
2.Мониторы - это разновидность сканеров, которые, постоянно находясь в памяти, отслеживают вирусоподобные ситуации, производимые с диском и памятью (т.е. выполняют непрерывный мониторинг). Примером таких антивирусов может быть программа Kaspersky Anti - Virus или SpIDer Guard. К недостаткам этих программ можно отнести, например, вероятность возникновения конфликтов с другим программным обеспечением, как и для сканеров - зависимость от новых версий вирусных баз, а также способность их обхода некоторыми вирусами.
3.Ревизоры - это программы, принцип работы которых основан на подсчете контрольных сумм (CRC-сумм) для присутствующих на диске файлов и системных секторов. Примером такого антивируса может быть программа ADinf32. Эти контрольные суммы затем сохраняются в базе данных антивируса (таблицах) вместе с сопутствующей информацией: длинами файлов, датами их последней модификации и т.д. При последующем запуске ревизоры сверяют сведения, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то ревизор предупреждает о том, что файл, возможно, был изменен или заражен вирусом.
Ревизоры умеют своевременно обнаруживать заражение компьютера практически любым из существующих сейчас вирусов, не допуская развития эпидемии, а современные версии ревизора умеют немедленно удалять большинство даже ранее незнакомых им вирусов. К недостаткам ревизоров можно отнести то, что для обеспечения безопасности они должны использоваться регулярно. Но несомненными их преимуществами являются высокая скорость проверок и то, что они не требуют частого обновления версий.
4. Антивирусные блокировщики - это резидентные программы, перехватывающие опасные ситуации и сообщающие об этом пользователю (например AVP Office Guard). К отслеживаемым ситуациям относятся, например, открытие выполняемых файлов для записи, запись в boot-сектора дисков или МВR винчестера, попытки программ остаться резидентно и т.д. Кстати, отмеченные события характерны для вирусов в моменты их размножения. К достоинствам блокировщиков можно отнести умение обнаруживать вирус на самой ранней стадии его размножения, а к недостаткам - способность некоторых вирусов обходить блокировщики, а также наличие ложных срабатываний.
5. Иммунизаторы - это небольшие программы, которые изменяют файлы или проникают в них. В первом случае вирус будет принимать файлы как зараженные, а во втором - антивирус будет каждый раз проверять файл на изменение. Следует отметить, что в настоящее время этот тип антивирусов не имеет большого распространения среди пользователей.
