Антивирусы

 

Антивирус – программное средство, предназначенное для борьбы с вирусами.

Как следует из определения, основными задачами антивируса являются:

- препятствование проникновению вирусов в компьютерную систему;

- обнаружение наличия вирусов в компьютерной системе;

- устранение вирусов из компьютерной системы без нанесения повреждений другим объектам системы;

- минимизация ущерба от действий вирусов.

 

5.2.1. Технологии обнаружения вирусов

Технологии, применяемые в антивирусах, можно разбить на две группы:

- технологии сигнатурного анализа;

- технологии вероятностного анализа.

Сигнатурный анализ – метод обнаружения вирусов, заключающийся в проверке наличия в файлах сигнатур вирусов.

Сигнатурный анализ является наиболее известным методом обнаружения вирусов и используется практически во всех современных антивирусах. Для проведения проверки антивирусу необходим набор вирусных сигнатур, который хранится в антивирусной базе.

Антивирусная база – база данных, в которой хранятся сигнатуры вирусов.

Ввиду того, что сигнатурный анализ предполагает проверку файлов на наличие сигнатур вирусов, антивирусная база нуждается в периодическом обновлении для поддержания актуальности антивируса. Сам принцип работы сигнатурного анализа также определяет границы его функциональности – возможность обнаруживать лишь уже известные вирусы – против новых вирусов сигнатурный сканер бессилен.

С другой стороны, наличие сигнатур вирусов предполагает возможность лечения инфицированных файлов, обнаруженных при помощи сигнатурного анализа. Однако лечение допустимо не для всех вирусов – трояны и большинство червей не поддаются лечению по своим конструктивным особенностям, поскольку являются цельными модулями, созданными для нанесения ущерба.

Грамотная реализация вирусной сигнатуры позволяет обнаруживать известные вирусы со стопроцентной вероятностью.

Технологии вероятностного анализа в свою очередь подразделяются на три категории:

- эвристический анализ;

- поведенческий анализ;

- анализ контрольных сумм.

Эвристический анализ – технология, основанная на вероятностных алгоритмах, результатом работы которых является выявление подозрительных объектов.

В процессе эвристического анализа проверяется структура файла, его соответствие вирусным шаблонам. Наиболее популярной эвристической технологией является проверка содержимого файла на предмет наличия модификаций уже известных сигнатур вирусов и их комбинаций. Это помогает определять гибриды и новые версии ранее известных вирусов без дополнительного обновления антивирусной базы.

Эвристический анализ применяется для обнаружения неизвестных вирусов и, как следствие, не предполагает лечения.

Данная технология не способна на 100 % определить, вирус перед ней или нет, и, как любой вероятностный алгоритм, грешит ложными срабатываниями.

Поведенческий анализ – технология, в которой решение о характере проверяемого объекта принимается на основе анализа выполняемых им операций.

Поведенческий анализ весьма узко применим на практике, так как большинство действий, характерных для вирусов, могут выполняться и обычными приложениями. Наибольшую известность получили поведенческие анализаторы скриптов и макросов, поскольку соответствующие вирусы практически всегда выполняют ряд однотипных действий. Например, для внедрения в систему почти каждый макровирус использует один и тот же алгоритм: в какой-нибудь стандартный макрос, автоматически запускаемый средой Microsoft Office при выполнении стандартных команд (например, «Save», «Save As», «Open» и т.д.), записывается код, заражающий основной файл шаблонов normal.dot и каждый вновь открываемый документ.

Средства защиты, вшиваемые в BIOS, также можно отнести к поведенческим анализаторам. При попытке внести изменения в MBR компьютера анализатор блокирует действие и выводит соответствующее уведомление пользователю.

Помимо этого поведенческие анализаторы могут отслеживать попытки прямого доступа к файлам, внесение изменений в загрузочную запись дискет, форматирование жёстких дисков и т.д.

Поведенческие анализаторы не используют для работы дополнительных объектов, подобных вирусным базам, и, как следствие, неспособны различать известные и неизвестные вирусы – все подозрительные программы априори считаются неизвестными вирусами. Аналогично, особенности работы средств, реализующих технологии поведенческого анализа, не предполагают лечения.

Как и в предыдущем случае, возможно выделение действий, однозначно трактующихся как неправомерные – форматирование жёстких дисков без запроса, удаление всех данных с логического диска, изменение загрузочной записи дискеты без соответствующих уведомлений и пр. Тем не менее, наличие действий неоднозначных (например, макрокоманда создания каталога на жёстком диске) заставляет также задумываться о ложных срабатываниях и зачастую о тонкой ручной настройке поведенческого блокиратора.

Анализ контрольных сумм – это способ отслеживания изменений в объектах компьютерной системы. На основании анализа характера изменений – одновременность, массовость, идентичные изменения длин файлов – можно делать вывод о заражении системы.

Анализаторы контрольных сумм (также используется название «ревизоры изменений»), как и поведенческие анализаторы, не используют в работе дополнительные объекты и выдают вердикт о наличии вируса в системе исключительно методом экспертной оценки. Большая популярность анализа контрольных сумм связана с воспоминаниями об однозадачных операционных системах, когда количество вирусов было относительно небольшим, файлов было немного и менялись они редко. Сегодня ревизоры изменений утратили свои позиции и используются в антивирусах достаточно редко. Чаще подобные технологии применяются в сканерах при доступе – при первой проверке с файла снимается контрольная сумма и помещается в кэше, перед следующей проверкой того же файла сумма снимается ещё раз, сравнивается, и в случае отсутствия изменений файл считается незаражённым.

Подводя итоги обзора технологий, применяемых в антивирусах, отметим, что сегодня практически каждый антивирус использует несколько из перечисленных выше технологий, при этом использование сигнатурного и эвристического анализа для проверки файлов и именно в этом порядке является повсеместным. В дальнейшем средства, реализующие комбинацию сигнатурного и эвристического анализа, мы будем называть антивирусными сканерами.

Вторая группа технологий более разнородна, поскольку ни один из применяемых подходов не даёт гарантии обнаружения неизвестных вирусов. Очевидно, что и совместное использование всех этих технологий не даёт такой гарантии. На сегодняшний день лучшим способом борьбы с новыми угрозами является максимально быстрое реагирование разработчиков на появление новых экземпляров вирусов выпуском соответствующих сигнатур. Также, учитывая наличие активных вредоносных программ, необходимо не менее быстро реагировать на обнаружение новых уязвимостей в операционных системах и устанавливать соответствующие заплаты безопасности.

 

5.2.2. Режимы работы антивирусов

Помимо используемых технологий, антивирусы отличаются друг от друга условиями эксплуатации. Уже из анализа задач можно сделать вывод о том, что препятствование проникновению вредоносного кода должно осуществляться непрерывно, тогда как обнаружение вредоносного кода в существующей системе – скорее разовое мероприятие. Следовательно, средства, решающие эти две задачи, должны функционировать по-разному.

Таким образом, антивирусы можно разделить на две большие категории:

- предназначенные для непрерывной работы – к этой категории относятся средства проверки при доступе, почтовые фильтры, системы сканирования проходящего трафика Интернета, другие средства, сканирующие потоки данных;

- предназначенные для периодического запуска – различного рода средства проверки по запросу, предназначенные для однократного сканирования определённых объектов. К таким средствам можно отнести сканер по требованию файловой системы в антивирусном комплексе для рабочей станции, сканер по требованию почтовых ящиков и общих папок в антивирусном комплексе для почтовой системы (в частности для Microsoft Exchange).

Как показывает практика, предотвратить возникновение проблемы гораздо проще, чем пытаться впоследствии её решить. Именно поэтому современные антивирусные комплексы в большинстве своём подразумевают непрерывный режим эксплуатации. Тем не менее, средства периодической проверки гораздо эффективнее при борьбе с последствиями заражения и поэтому не менее необходимы.

 

5.2.3. Антивирусный комплекс

Антивирусное ядро – реализация механизма сигнатурного сканирования и эвристического анализа на основе имеющихся сигнатур вирусов.

Антивирусный комплекс – набор антивирусов, использующих одинаковое антивирусное ядро или ядра, предназначенный для решения практических проблем по обеспечению антивирусной безопасности компьютерных систем. В антивирусный комплекс также в обязательном порядке входят средства обновления антивирусных баз.

Помимо этого антивирусный комплекс дополнительно может включать в себя поведенческие анализаторы и ревизоры изменений, которые вовсе не используют антивирусное ядро.

В качестве вспомогательной утилиты антивирусный комплекс может содержать (и на практике обычно содержит) планировщик заданий.

Исходя из текущей необходимости в средствах защиты, выделяют следующие типы антивирусных комплексов:

- для защиты рабочих станций;

- файловых серверов;

- почтовых систем;

- шлюзов.

Как видно из определения, КСАЗ должна контролировать и осуществлять проверку всех информационных потоков, циркулирующих в локальной сети и представляющих угрозу как потенциальный канал для распространения вирусов.

Следовательно, перед проектированием КСАЗ необходимо произвести анализ сети и циркулирующих в ней информационных потоков, определить защищаемые узлы и узлы, на которые будут установлены антивирусные комплексы.

Каждая сеть устроена по-своему и содержит особенности, однако мы можем говорить здесь о типовой локальной сети, типовых узлах и информационных потоках, которые между этими узлами циркулируют. При проектировании реальных систем к описанным далее компонентам будут добавлены новые, некоторые классы защищаемых узлов будут разделены на подклассы.

Итак, типовая локальная сеть содержит следующие типы узлов:

- рабочие станции;

- файловые серверы;

- почтовые серверы;

- шлюзы.

Файловые серверы следует понимать в описанном ранее широком смысле.

Рабочая станция принимает участие в следующих информационных потоках: пользователь имеет интерактивный доступ к ресурсам Интернета (http / ftp протоколы), работает с электронной почтой (smtp / pop / imap протоколы либо протокол передачи данных системы групповой работы), взаимодействует с файловыми серверами (как с файловыми хранилищами, так и с серверами баз данных), а также с другими станциями сети. Поток между станциями в штатном режиме работы сети не должен быть существенным, поскольку вся информация должна храниться на серверах, однако этот поток нельзя исключать по причине его важности для антивирусной защиты. Помимо перечисленных, рабочая станция содержит различные дисководы и возможно подключение к ней сменных носителей – дискет, компакт-дисков, flash-накопителей.

Файловый сервер в общем случае взаимодействует только с другими файловыми серверами и рабочими станциями. Достаточно редко, но также обязательно используются сменные носители.

Почтовый сервер принимает и отсылает напрямую либо через шлюз корреспонденцию (smtp -протокол), а также передаёт доставленные письма клиентам (pop / imap /другой протокол).

Наконец, через шлюз проходят запросы пользователей к внешним ресурсам при работе с Интернетом (http / ftp) и почтовый поток к и от почтового сервера (smtp).

Ещё раз отметим, что все эти потоки являются типовыми, даже из уже перечисленных узлов рабочие станции могут не участвовать в некоторых потоках, например, станции, на которых обрабатывается информация с ограниченным доступом, обычно не подключены к Интернету. В сети может быть произведено разделение на внешнюю и внутреннюю почтовую систему, тогда при классификации узлов необходимо учитывать, к какой из систем либо к обеим подключена станция, возможно двухсегментное построение вообще всей сети и т.д. Исходя из характеристик узлов и информационных потоков, в которых эти узлы участвуют, и производится классификация узлов всей сети.

Для описанной выше типовой локальной сети структурно КСАЗ можно разделить на следующие уровни:

- уровень защиты рабочих станций и файловых серверов;

- защиты почтовых серверов;

- защиты шлюзов.

Не следует забывать о том, что защита рабочих станций и файловых серверов подразумевает защиту и мобильных компьютеров, и, если по каким-то причинам это необходимо, удалённых компьютеров, которые периодически подключаются к сети.

Каждый из уровней организуется при помощи описанных антивирусных комплексов. Дополнительные требования налагаются на комплекс для защиты рабочих станций и файловых серверов. Учитывая большое количество узлов таких типов и трудозатраты на обслуживание одного узла, а также в целях экономии интернет-канала комплекс для защиты рабочих станций и файловых серверов в дополнение должен содержать средство централизованного управления, позволяющее:

- централизованно управлять настройками клиентского АПО, распределять клиентов по группам администрирования;

- проводить централизованное обновление антивирусных баз для всех клиентов из единого локального источника;

- получать информацию о событиях, происходящих на клиентах, связанную как с вирусными инцидентами, так и с функционированием АПО;

- создавать сводные отчёты о состоянии антивирусной защиты уровня.