правило, происходит скрытно, и если и обнаруживается, то чаще всего работающей в режиме мониторинга антивирусной программой.
Функционирование вредоносных программ может сопровождаться теми или иными эффектами, но в отдельных случаях может никак внешне не
проявляться (например, если это программа-шпион, а сетевой экран, который
мог бы детектировать ее обращения в сети, отсутствует).
Признаки, позволяющие сделать вывод об инфицировании компьютера, далеко не всегда однозначны. Одни и те же проявления могут быть обусловлены различными причинами, в числе которых следует назвать
не только работу вредоносных программ, но и не связанные с ними некорректную работу системного и прикладного программного обеспечения,
сбои или нестабильную работу аппаратной части компьютера, ошибки пользователей и т.д. В то же время можно указать на ряд признаков, появление которых можно трактовать как симптомы возможного проникновения в систему вредоносных программ. К таким признакам, если
История компьютерных вирусов
они не связаны непосредственно с соответствующими действиями пользователей, относятся:
1) появление на экране непредусмотренных сообщений или изображений;
2) подача непредусмотренных звуковых сигналов;
3) «самопроизвольное» открытие и закрытие лотка CD-ROM-(DVD-ROM);
4) самопроизвольный запуск каких-либо программ;
5) появление предупреждений межсетевого экрана о попытке неинициированного выхода в Интернет какой-либо из программ;
6) видоизменение изображения на экране (например, поворот или перемещение символов);
7) мерцание экрана;
8) исчезновение или модификация файлов, каталогов, появление новых файлов и каталогов, изменение размеров файлов;
9) изменение атрибутов файлов, например, даты и времени создания;
10) появление новых учетных записей или изменение прав доступа имеющихся;
11) частые зависания и сбои в работе компьютера;
12) необычное аварийное завершение работы компьютера;
13) замедление работы компьютера, задержки при запуске программ;
14) невозможность загрузки операционной системы;
15) нарушение работы приложений;
16) частое обращение к жесткому диску;
17) блокирование записи на жесткий диск;
18) блокирование ввода с клавиатуры;
19) сбои в работе интернет-браузера, например, невозможность закрыть окно браузера;
20) неинициированные пользователем попытки установления сетевых соединений, фиксируемые межсетевым экраном;
21) появление в списке запущенных процессов новых, ранее не наблюдавшихся процессов, не связанных с работой запущенных служб и приложений.
Первые шесть из перечисленных признаков, как правило, определенно
указывают на наличие в системе вредоносных программ, в то время как
последующие часто обусловлены другими причинами.
Обнаружение и нейтрализация вредоносного программного
Обеспечения
Антивирусные программы
Антивирусные программы являются основным и наиболее эффективным средством защиты от вредоносного программного обеспечения. Хорошая антивирусная программа должна удовлетворять ряду требований, к основным из которых относятся:
Различные виды компьютерных вирусов и их принципы работы.
1) способность надежно обнаруживать все распространенные типы опасных вредоносных программ;
2) способность выполнять лечение инфицированных объектов;
3) удобство в использовании;
4) скорость и стабильность работы;
5) способность выполнять сканирование объектов «по запросу»;
6) способность выполнять сканирование «на лету» – постоянный в реальном времени мониторинг объектов, к которым происходит обращение (открытие, запуск и т. п.);
7) оперативность выпуска обновлений антивируса при появлении новых видов вредоносных программ;
8) способность эвристического анализа;
9) способность надежно детектировать вредоносный код в электронных почтовых сообщениях;
10) существование версий антивирусного ПО для различных платформ и для серверов.
Хорошая антивирусная программа должна не только обеспечивать минимально возможную вероятность пропуска вредоносного кода, но и давать малый процент ложных срабатываний – ошибочных решений об инфицировании объекта, который в действительности зараженным не является. Приведенные требования являются противоречивыми и трудно
реализуемыми, особенно когда выполняется эвристический анализ.
Возможность сканирования «на лету» реализуется, если антивирусная программа резидентно находится в памяти компьютера и принудительно
проверяет объекты в автоматическом режиме без запроса пользователя. Это
позволяет предотвратить инфицирование компьютера, в частности, при копировании на него зараженных файлов.
В зависимости от принципа действия можно указать несколько
разновидностей антивирусных программ:
Антивирусный сканер – антивирусная программа, осуществляющая
поиск известных вирусов по маске вируса путем сканирования файлов,
секторов и системной памяти. Такие программы иногда называют
Сигнатурой вируса называется уникальная последовательность кода,
специфическая для данного конкретного вируса и однозначно его идентифицирующая. Сигнатура может быть сплошной или разреженной. В
случае разреженной сигнатуры между уникальными постоянными для данного вируса байтами кода могут находиться другие байты, нехарактерные
для этого вируса. Поиск по маске вируса и есть поиск по разреженной сигнатуре. Таким образом, маской вируса называется специфическая для
данного конкретного вируса разреженная сигнатура, по которой ведется
Так как программы-детекторы выявляют вирусы путем поиска характерных для вирусов участков кода (сигнатур), которые записаны в
антивирусной базе программы, то известные вирусы обнаруживаются надежно, хотя процесс сканирования может занимать значительное время.
Полиморфные вирусы могут не содержать ни одного постоянного участка кода и простым сигнатурным поиском не могут быть выявлены.
Обнаружение полиморфик-вирусов требует использования специальных
методик, наиболее известной из которых является эмуляция процессора,
«заставляющая» вирус выполнить расшифровку его тела, после чего вирус
может быть обнаружен с помощью сигнатурного поиска.
Для выявления новых, ранее не наблюдавшихся видов и разновидностей вредоносных программ, сигнатуры которых отсутствуют в
антивирусной базе, сканеры могут использовать алгоритмы эвристического
Эвристический анализ в антивирусных программах − анализ объектов
с целью выявления в них последовательностей команд, возможно присущих
вредоносной программе. Решение эвристического анализатора носит вероятностный характер, возможен и пропуск вредоносного кода, и «ложная тревога», причем стремление повысить вероятность обнаружения вредоносных программ неизбежно приводит к увеличению ошибочного детектирования несуществующего в действительности вредоносного кода. Несмотря на возможные ошибочные решения, эвристический анализ позволяет существенно повысить эффективность работы антивирусного сканера как по обнаружению новых видов вирусов, так и полиморфик-вирусов и вирус генераторов. Полиморфик-вирусы, которые не имеют постоянных сигнатур, эвристический анализатор может выявить по присущим им характерным алгоритмам. Вирус-генераторы, представляющие собой специализированные библиотеки, позволяющие конструировать вирусы с изменяющейся сигнатурой, могут детектироваться по вызовам внешних процедур.
Антивирусные сканеры являются наиболее универсальными и весьма
эффективными антивирусными программами. Как правило, антивирусные сканеры способны не только обнаруживать вредоносные программы, но и лечить зараженные объекты, хотя, конечно, лечение возможно не во всех случаях. Для надежного выявления новых вирусов и других вредоносных программ необходимо выполнять регулярное пополнение антивирусной базы
сканера. Недостатком антивирусных сканеров является низкое быстродействие, обусловленное временными затратами, необходимыми на
просмотр антивирусных баз.
CRC-сканер − антивирусная программа-ревизор, осуществляющая выявление вирусов по изменению ранее подсчитанных и запомненных CRC-
сумм (контрольных сумм) файлов и системных секторов, а также других параметров файлов, которыми могут являться размер файла, дата и время создания или модификации и т. п.). При обнаружении несоответствий программа-ревизор выдает сообщение пользователю, который анализируя это сообщение, должен принять решение, чем обусловлены выявленные изменения − наличием вируса или другими причинами.
Достоинством CRC-сканеров является способность выявлять даже трудно детектируемые стелс-вирусы. Недостатком CRC-сканеров является неспособность обнаруживать вирусы в новых или восстанавливаемых из
резервных копий файлах, в сообщениях электронной почты, а также в момент внедрения вируса в компьютер. Также CRC-сканеры не могут выявлять вирусы, которые запрограммированы заражать только вновь создаваемые файлы.
Антивирусный монитор – резидентная антивирусная программа, выявляющая вредоносные программы по характерным для них действиям. К
действиям, которые перехватывает антивирусный монитор (еще называемый
антивирусом-фильтром), относятся вызовы на открытие для записи в выполняемые файлы, запись в загрузочные секторы дисков, попытки
программ остаться в памяти резидентно и другие действия, специфичные для
размножающихся и активирующихся вирусов [7]. Достоинством антивирусных мониторов является способность выявлять вирусы, в том числе прежде неизвестные, на ранней стадии размножения, недостатком –
множество возможностей нейтрализации монитора и большое число ложных
срабатываний. Антивирусные мониторы используются крайне редко, причем
обычно в составе аппаратных компонентов компьютеров, например, как антивирусная защита BIOS.
Иммунизатор − антивирусная программа, блокирующая заражение определенным типом вируса путем модификации файлов, придающей им признаки заражения. Это обеспечивает защиту, но только от определенного
вируса, так как вирус сочтет, что эти файлы уже инфицированы им ранее.
Существует разновидность иммунизаторов, которые записываются в конец
файла и при запуске файла проверяют его на изменение, что позволяет выявлять вирусное заражение файла. Антивирусы-иммунизаторы не способны выявлять стелс-вирусы, а защиту могут обеспечить лишь от немногих типов вирусов, что обусловливает их крайне низкую эффективность
Проверка файлов с помощью разных антивирусных программ позволяет повысить надежность обнаружения вредоносных программ, но как правило, на одном компьютере может быть установлена только одна мощная антивирусная программа, в противном случае возможно нарушение работы
системы вследствие конфликта антивирусных программ. В то же время часто
возможна установка и одновременная корректная работа в одной системе
антивирусной, антитроянской и антишпионской программ, а также межсетевого экрана. Повышение надежности обнаружения вредоносных
программ возможно путем выполнения проверки подозрительных файлов на
разных компьютерах с установленными на них разными антивирусными программами. Такая мера может способствовать не только более эффективному детектированию вредоносных программ, но и уменьшению
вероятности ошибочного решения о наличии вредоносной программы, когда
в действительности ее нет. К числу хорошо зарекомендовавших себя антивирусных программ относятся Антивирус Касперского Personal Pro,
Kaspersky Intrnet Security и другие разработки Лаборатории Касперского
Источник: infopedia.su
Анализ методов обнаружения вредоносных программ
Лысенко, А. В. Анализ методов обнаружения вредоносных программ / А. В. Лысенко, И. С. Кожевникова, Е. В. Ананьин, А. В. Никишова. — Текст : непосредственный // Молодой ученый. — 2016. — № 21 (125). — С. 758-761. — URL: https://moluch.ru/archive/125/34803/ (дата обращения: 11.06.2023).
Выделены и рассмотрены основные методы обнаружения вредоносных программ. Составлены критерии оценки методов обнаружения вредоносных программ. Проведена оценка методов обнаружения вредоносных программ.
Ключевые слова: вредоносная программа, метод обнаружения, вирус, червь, троянская программа
С появления первой вредоносной программы прошло более двадцати пяти лет, но на протяжении всего этого времени компании по-прежнему терпят огромные убытки, благодаря постоянному развитию и совершенствованию вредоносных программ.Статистика показывает, что наиболее распространенными являются атаки, реализуемые с помощью загрузки враждебного содержания, например несанкционированных программ, таких как вредоносные программы («троянские кони», вирусы, черви, макро-вирусы) [1].
На данный момент существует множество лабораторий, занимающихся изучением вредоносных программ и методов противодействия им, но это не снизило активность их эксплуатации. Согласно статистике «Лаборатории Касперского» в 2015 году их продукты отразили 1996324 попыток атак вредоносного программного обеспечения для кражи денежных средств. Согласно статистике лаборатории «PandaLabs» в первом квартале 2016 года ежедневно идентифицировалось 227000 образцов вредоносного программного обеспечения. С движением прогресса появляются все более усовершенствованные вредоносные программы, из-за чего вопрос борьбы с ними по-прежнему остается открытым [2].
Существует множество методов обнаружения вредоносных программ, но большинство из них частные и подходят только в определенном случае. Наиболее часто используемые методы, охватывающие больший спектр вредоносных программ это [3]:
При сканировании программа, выполняющая его, просматривает содержимое файлов, расположенных на дисках компьютера, а также содержимое оперативной памяти компьютера с целью поиска вирусов. При этом, классическое сканирование предполагает поиск вредоносных программ по их сигнатурам — по последовательностям байтов данных, характерных для данных вирусов. Метод сканирования позволяет обнаружить такие вредоносные программы, которые не используют для противодействия антивирусным программам шифрование своего программного кода, а также полиморфизм. Посредством данного метода можно обнаружить как вирус, так и сетевого червя, но приложение, использующее данный способ требует постоянной поддержки, а именно обновления базы данных вирусов, поэтому данный способ не имеет смысла без постоянного сопровождения.
При использовании эвристического анализа контролируются все действия, которые может выполнить проверяемая программа. При этом отслеживаются потенциально опасные действия, характерные для вредоносного программного обеспечения. Посредством эвристического анализа также можно обнаружить как вирусы, так и сетевого червя, но данный подход также имеет ряд недостатков. Первый заключается в возможности появления «ложной» тревоги. Так же эвристический анализ занимает большой отрезок процессорного времени, поэтому не всегда применим.
При поиске вредоносного программного обеспечения методом обнаружения изменений периодически сканируется содержимое дисков компьютера и записываются контрольные суммы файлов и критически важных внутренних областей файловых систем. При сканировании новые значения контрольных сумм сравниваются со старыми значениями. Основным недостатком данного подхода является то, что вредоносную программу можно обнаружить только после своего выполнения. Также необходимо учитывать, что изначально проверяемые приложения устанавливаются из доверенного источника [4].
В таблице 1 приведены достоинства и недостатки методов обнаружения вредоносных программ и тип вредоносных программ, которые они способны обнаружить.
Сравнительная характеристика методов обнаружения вредоносных программ
Наименование
Типы вредоносных программ, которые могут быть обнаружены данным методом
Достоинства
Источник: moluch.ru
Определение компьютерных вирусов и вредоносных программ
На данный момент существуют десятки тысяч вирусов и вредоносных программ, и каждый день создаются новые. Несмотря на то, что вирусы конечная точка распространены главным образом в средах DOS и Windows, в настоящее время они могут нанести серьезный урон корпоративным сетям, системам электронной почты и веб-сайтам, используя уязвимости.
Типы вирусов и злонамеренных программ
Тип вируса или вредоносной программы
Программа-шутка
Программы-шутки — это вирусоподобные программы, перехватывающие управление над некоторыми элементами оформления рабочего стола на конечная точка .
К категории Другие относятся вирусы и вредоносные программы, которые невозможно отнести ни к одному из существующих типов.
Упаковщики — сжатые и/или зашифрованные исполняемые программы под Windows или Linux™ , часто являющиеся программами «Троянский конь». Сжатие исполняемого кода затрудняет определение упаковщика антивирусными программами.
Руткиты — это программы (или наборы программ), которые устанавливают или запускают в системе код без ведома или согласия конечного пользователя. Они работают в скрытом режиме, который обеспечивает ее постоянное присутствие в компьютере и делает невозможным ее обнаружение. Руткиты не заражают компьютеры, но находят среды, которые невозможно обнаружить, для выполнения вредоносных кодов. Установка руткитов в системе происходит в результате использования социальной инженерии, выполнения вредоносных программ и просто при просмотре вредоносных веб-сайтов. После установки руткита злоумышленнику доступны любые виртуальные функции в системе, в том числе удаленный доступ, перехват данных, а также скрытие процессов, файлов, разделов реестра и каналов связи.
Тестовый вирус
Тестовые вирусы — это инертные файлы, действующие как настоящий вирус и обнаруживаемые при проверке на наличие вирусов. Правильность работы установленного антивируса можно проверить с помощью тестовых вирусов (например EICAR).
Троянский конь
Программы «троянский конь» зачастую получают доступ к компьютерам или исполняемым программам при помощи портов. Программы типа «троянский конь» не копируют себя, но вместо этого постоянно находятся в системе для выполнения вредоносных действий, таких как открытие портов для доступа злоумышленников. Традиционные антивирусы умеют обнаруживать и удалять вирусы, но не «троянских коней», особенно если те уже работают в системе.
Вирусы и программы, способные воспроизводиться. Для этого необходимо, чтобы вирус был прикреплен к другим программным файлам и автоматически запускался при запуске основной программы. Сюда относятся следующие элементы.
Вредоносный код ActiveX. Код, который находится на веб-страницах, содержащих элементы управления ActiveX™ .
Загрузочный вирус. Тип вируса, заражающий загрузочный сектор раздела или диска.
Вирус файлов .com и .exe. Исполняемые программы с расширениями .com или .exe.
Вредоносный код Java. Не зависящий от операционной системы вирусный код, написанный на языке Java™ или встроенный в приложение Java.
Макровирус. Разновидность вируса, зашифрованного как макрос для определенного приложения и зачастую встроенного в документ.
Вирусы VBScript, JavaScript или HTML. Вирусы, находящиеся на веб-страницах и загружаемые через браузер.
Червь. Автономная программа (или группа программ), заражающая своими копиями или фрагментами другие конечная точка . Зачастую заражение происходит через сообщения электронной почты.
сетевой вирус
Вирус, распространяющийся по компьютерной сети, строго говоря, не является сетевым вирусом. Только некоторые типы вирусов и вредоносных программ, например черви, относятся к сетевым вирусам. Сетевые вирусы используют для размножения сетевые протоколы (TCP, FTP, UDP, HTTP) и протоколы передачи электронной почты.
Часто они не меняют системные файлы и не заражают загрузочные сектора жестких дисков. Вместо этого сетевые вирусы заражают оперативную память агент локальные компьютеры , заставляя их переполнять сеть трафиком. Это может привести к снижению скорости и даже полному отказу работы сети. Так как сетевые вирусы находятся в оперативной памяти, они часто не обнаруживаются традиционными методами сканирования, основанными на сканировании файлов на жестком диске.
Вероятный вирус или вредоносная программа
Вероятные вирусы или вредоносные программы — это подозрительные файлы, имеющие некоторые характеристики вируса или вредоносной программы.
Для получения подробных сведений см. энциклопедию угроз Trend Micro.
Примечание
Лечение вероятных вирусов и вредоносных программ невозможно, но действие сканирования является настраиваемым.
Источник: docs.trendmicro.com