Общая классификация компьютерных вирусов

Общая классификация компьютерных вирусов

Компьютерный вирус – разновидность компьютерных программ, отличительной особенностью которых является способность к размножению (саморепликация). Вирусы относят к вредоносным программам.

В настоящее время не существует единой системы классификации и именования вирусов. Принято разделять вирусы:

· по поражаемым объектам:

o файловые вирусы;

o загрузочные вирусы – заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или Master Boot Record (MBR) винчестера.

o скриптовые вирусы;

o макровирусы – поражают файлы форматов с поддержкой языка макрокоманд (напр., MS Word);

o вирусы, поражающие исходный код.

· по поражаемым операционным системам и платформам:

o DOS;

o Microsoft Windows;

o Unix;

o Linux.

· по технологиям, используемым вирусом:

o полиморфные вирусы – вирусы, способные изменить свой собственный код;

o стелс-вирусы (вирус-невидимка) – вирус, полностью или частично скрывающий свое присутствие в системе;

o руткиты – программы или технологии, скрывающие наличие другого вредоносного ПО в системе.

· по языку, на котором написан вирус;

· по дополнительной вредоносной функциональности:

o бэкдоры – вредоносные программы, предназначенные для скрытого удалённого управления пораженным компьютером;

o кейлоггеры – программное обеспечение или аппаратное устройство, регистрирующее каждое нажатие клавиши на клавиатуре компьютера;

o бот – специальная программа, выполняющая автоматически и/или по заданному расписанию какие-либо действия через те же интерфейсы, что и обычный пользователь;

o эксплойт – это компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную систему.

Основные функциональные блоки компьютерного вируса

Любой вирус, независимо от принадлежности к определенным классам, должен иметь три функциональных блока: блок заражения (распространения), блок маскирования и блок выполнения деструктивных действий. Разделение на функциональные блоки означает, что к определенному блоку относятся команды программы вируса, выполняющие одну из трех функций, независимо от места нахождения команд в теле вируса.

После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки. Например, осуществляется дешифрование тела вируса. Затем вирус осуществляет функцию внедрения в незараженную среду обитания. Если вирусом должны выполняться деструктивные воздействия, то они выполняются либо безусловно, либо при выполнении определенных условий.

Завершает работу вируса всегда блок маскирования. При этом выполняются, например, следующие действия: шифрование вируса (если функция шифрования реализована), восстановление старой даты изменения файла, восстановление атрибутов файла, корректировка таблиц ОС и др.

Последней командой вируса выполняется команда перехода на выполнение зараженных файлов или на выполнение программ ОС.

Функциональные блоки вируса (из лк.):

· Механизм распространения.

· Механизм инфекции.

· Механизм репликации.

· Механизм деструкции.

· Дополнительный блок.

Техника сканирования сигнатур компьютерных вирусов

Portable Executable – (PE, произносится как [по́ тэбл экзэкью́ тэбл] – переносимый исполняемый) –формат исполняемых файлов, объектного кода и динамических библиотек, используемый в 32- и 64-битных версиях операционной системы Microsoft Windows. Формат PE представляет собой структуру данных, содержащую всю информацию, необходимую PE загрузчику для проецирования файла в память. Исполняемый код включает в себя ссылки для связывания динамически загружаемых библиотек, таблицы экспорта и импорта API функций, данные для управления ресурсами и данные локальной памяти потока (TLS). В операционных системах семейства Windows NT формат PE используется для EXE, DLL, SYS (драйверов устройств), и других типов файлов.

Сигнатура атаки (вируса) – характерные признаки атаки или вируса, используемые для их обнаружения. Большинство современных антивирусов, сканеров уязвимостей и систем обнаружения вторжений (СОВ) используют «синтаксические» сигнатуры, взятые непосредственно из тела атаки (файла вируса или сетевого пакета, принадлежащего эксплойту).

Обнаружение, основанное на сигнатурах – метод работы антивирусов и систем обнаружения вторжений, при котором программа, просматривая файл или пакет, обращается к словарю с известными вирусами (база сигнатур). Для достижения достаточно продолжительного успеха, при использовании этого метода необходимо периодически пополнять словарь известных вирусов новыми определениями (в основном в онлайновом режиме).

Сканер анализирует PE-заголовки, загрузочные сектора, память и проч. в поиске характерных шестнадцатеричных знаков (сигнатур).

Недостатки и достоинства синтаксических сигнатур:

· Позволяют определять конкретную атаку с высокой точностью и малой долей ложных вызовов.

· Неспособны выявить какие-либо новые атаки.

· Беззащитны перед полиморфными вирусами и изменёнными версиями того же вируса.

· Требуют регулярного и крайне оперативного обновления.

· Требуют кропотливого ручного анализа вирусов.

Метод эвристического сканирования призван улучшить способность сканеров применять сигнатуры и распознавать модифицированные вирусы в тех случаях, когда сигнатура совпадает с телом неизвестной программы не на 100%.

Цели и виды сертификационных испытаний ПО

Цели:

· Защита интересов пользователей.

· Подготовка и принятие решений о целесообразности выдачи сертификата соответствия.

Виды:

· Обязательная сертификация.

· Добровольная сертификация.

Решение о выдаче сертификата на программное средство основывается на степени его соответствия специально разработанным документам:

· Международные и национальные стандарты на тестирование.

· Стандарт на сопровождающую ПС документацию.

· Нормативные документы и проч.

Основным выходным документом является протокол испытаний. Он должен содержать:

· Служебную информацию (регистрационный номер, дата, реквизиты и проч.)

· Исходную информацию.

· Выходную информацию.

· Сведения о нормативных документах, на основе которых производилось тестирование.

· Итоговую информацию.

Систематическое тестирование импортных программных средств:

· Для обеспечения надежности функционирования зарубежных ПС следует полностью отказаться от применения нелегального импортного ПО и БД.

· В импортных программах, кроме случайных ошибок, возможны преднамеренно включённые вредоносные фрагменты.

Средства обеспечения надежности ПС

1. Средства, использующие временную избыточность:

· Авторизация доступа пользователей к системе.

· Анализ доступных пользователю ресурсов, выделение ресурсов согласно ролям и уровням подготовки пользователей.

· Разграничение прав доступа пользователей и отдельных задач.

2. Средства обеспечения надежности, использующие информационную избыточность:

· Открытая система кодирования.

· Механические проверки контрольных сумм.

· Автоматическое резервирование, копирование и восстановление данных.

3. Средства обеспечения надёжности, использующие программную избыточность:

· Специальные алгоритмы пересчётов.

· Средства обнаружения и регистрации ошибок в сетевом и локальном потоках.

· Распределение реализаций одноименных функций по разным модулям ИС, с использованием разных алгоритмов и системы накладываемых ограничений.

Типы ошибок в ПО

1. Ошибки, скрытые в программе:

· Ошибки вычислений.

· Логические ошибки.

· Ошибки ввода-вывода.

· Ошибки манипулирования данными.

· Ошибки совместимости.

Ошибки классифицируются по тяжести последствий и возможности их устранения или парирования:

1. Незначительные ошибки. Эти ошибки проявляются явно или легко обнаруживаются.

2. Средние ошибки (ошибки средней тяжести).

3. Существенные ошибки – ошибки, не устранимые без приостановки функционирования ПС.