Жанр: Учеба
Компьютерная вирусология ч. 1
...большинство из этих шагов можно опустить.
10.4.4. Методика использования резидентных сторожей
Современные программы-сторожа СНЕСК21, -D1, -D2, -D3 и др. эффективны
против практически всех типов файловых вирусов. Другими
устаревшими, но все еще распространенными сторожами являются
MaceVaccine и ANTI4US2. Возможности этих программ уже не соответствуют
уровню написания современных файловых вирусов, поэтому применять
их не рекомендуется. Использование сторожей обязательно при
первых запусках нового программного обеспечения, когда возможно не
только заражение вирусом, но и немедленное срабатывание троянской
компоненты.
Следует отметить, что непрерывные ответы на запросы, выдаваемые
сторожами, не только снижают эффективность работы, но и подрывают
саму обеспечиваемую ими защиту (это относится, прежде всего, к
устаревшим сторожам типа FluShot Plus, MaceVaccine, ANTI4US2).
Частая выдача запросов на разрешение тех или иных действий неизбежно
приводит к тому, что пользователь начинает отвечать на них
механически, тем самым сводя на нет обеспечиваемую ими степень защиты.
Современные сторожа должны иметь "таблицу свойств" программы,
позволяющую блокировать выдачу запросов на разрешение тех или
иных операций от соответствующих программ. Например, если программа
FORMAT пытается выполнять форматирование диска A, то запрос на
разрешение этого действия следует блокировать.
Степень обеспечиваемой сторожами защиты не стоит переоценивать.
Некоторые типы вирусов обходят сторожей, непосредственно обращаясь
к BIOS или используют сплайсинг для получения управления по прерыванию
21. Поэтому их применение должно сочетаться с применением
других средств защиты. Например, при использовании сторожей
VIRBLK, MaceVaccine, ANTI4US2, не контролирующих целостность системных
файлов, в AUTOEXEC.BAT следует включить соответствующую
программу контроля (например, VACINE, СП 1-2).
Следует отметить, что сторожа могут интерферировать с резидентными
программами, а также вызывать срабатывание фагов, проверяющих
содержимое оперативной памяти. Последние часто принимают сторожа
за вирусы.
10.4.5. Методика использования ревизоров
Программы-ревизоры должны входить в арсенал каждого пользователя
и регулярно запускаться в каждом сеансе работы с ЭВМ. Существуют
два основных типа программ-ревизоров: пакетные (например, DLI) и
резидентные. Последние выполняют подсчет контрольных сумм "на лету",
т.е. при загрузке программ на выполнение. Несколько устаревший
сторож FluShot Plus очень полезен тем, что включает резидентный
ревизор, позволяющий "на лету" подсчитывать контрольную сумму
для загружаемых файлов. К сожалению, отдельного резидентного ревизора,
обеспечивающего подсчет контрольной суммы "на лету", перед
передачей файлу управления, пока нет.
Помимо специальных программ, в качестве ревизоров могут применяться
обычные программы сравнения файлов, например входящие в MS
DOS программы FC и COMP. Этот способ полезен для контроля целостности
наиболее важных файлов и предполагает наличие переименованной
и "хорошо спрятанной" эталонной копии, которую желательно размещать
в защищенном от записи разделе винчестера.
Ревизоры являются единственным средством, позволяющим следить за
целостностью системных файлов и изменениями в используемых каталогах.
Их использование особенно важно при работе на "персональных
ЭВМ коллективного пользования", которые в СССР сейчас явно преобладают.
В этих условиях важно, чтобы ревизор создавал файл, который
можно было бы записать на дискету или в собственный каталог, а
затем перед началом следующего сеанса работы, выявить произошедшие
изменения. Такое использование ревизоров должно сочетаться с "тотальной"
проверкой целостности файлов, которую целесообразно проводить
централизованно, не реже одного раза в день (например, при
включении ЭВМ), причем протоколы проверки целесообразно периодически
печатать и сохранять в специальной папке.
Следует отметить, что получаемая с помощью ревизоров информация
существенно облегчает ориентировку в лабиринте каталогов и "нововведениях"
среди трансляторов и используемых утилит. Поэтому их
нельзя рассматривать только в контексте защиты от вирусов - в настоящее
время они должны являться рабочим инструментом каждого
уважающего свой труд программиста.
10.4.6. Вакцинирование
"Притворяясь, будто мы попали в расставленную
нам ловушку, мы проявляем поистине утонченную
хитрость, потому что обмануть человека легче
всего тогда, когда он хочет обмануть нас."
Франсуа де Ларошфуко
Как известно, вакцинирование домашних животных и человека, открытое
Л.Пастером, является одним из фундаментальных открытий 20
века. Учитывая аналогию между компьютерными и биологическими вирусами,
следовало бы ожидать соответствующей эффективности "кибернетических
вакцин", которые изменяют среду функционирования вируса
таким образом, что он теряет способность к размножению. Однако на
сегодняшний день этот тип антивирусных программ особого распространения
не получил.
В настоящее время используются два основных типа вакцин: основанные
на инактивированном теле вируса и основанные на имитации
действий, обеспечивающих положительный ответ на проверку вирусом в
запускаемой программе инсталлированной в памяти копии. Инактивированная
вакцина может быть получена из тела вируса гораздо быстрее,
чем написан соответствующий фаг. Поэтому этот тип вакцин можно рекомендовать
как временную меру после обнаружения какого-то нового
вируса. Недостатком такого подхода является необходимость рабочего
знания языка ассемблера. Первая вакцина, основанная на инактивированном
вирусе, была разработана Л.И.Обуховым для вируса RCE-1813
(СП 1-2) и применялась в Киеве при борьбе с эпидемией указанного
вируса. Наиболее мощная поливакцина была разработана студентом
КИИГА В.В.Пономаренко (СП 2-7) и получила название NEATVAC. Существующая
версия NEATVAC обеспечивает защиту от более чем десятка
резидентных вирусов и особенно удобна для вузовских машинных залов,
где чаще обычного приходится сталкиваться с зараженными программами.
В то же время вакцины, как и любые дополнительные резидентные
программы, не лишены побочных эффектов, которые могут быть
связаны с перехватом прерываний, используемых помимо вируса и какой-нибудь
"нормальной" резидентной программой.
10.4.7. Критерии оценки качества антивирусных программ
Общим критерием оценки любой антивирусной программы является наличие
самотестирования на заражение и отсутствие ложных срабатываний
на самом себе. Другим важным критерием є выдача более или менее
подробного отчета. В настоящее время это является слабым
местом для большинства как бесплатно распространяемых, так и коммерческих
программ. Например для фага такой отчет должен включать
помимо имени файла и типа заражения хотя бы длину файла до и после
выкусывания. Кроме того, в случае обнаружения каких-то аномалий
фаг должен выдавать соответствующию информацию и предупреждающие
сообщения, а не "резать молча".
Наличие качественной документации также является несомненным
преимуществом, поскольку встречается крайне редко. Конечно, наши
программисты, как никто другой, приспособились обходиться без документации,
однако этой их способностью нельзя злоупотреблять.
возможность управления областью поиска (глобальный, в поддереве,
в одном каталоге, в одном файле);
управление суффиксами обрабатываемых файлов;
качество интерфейса
качество диагностических сообщений;
качество выдаваемых сообщений
качество параметризации
качество документации
самотестирование на заражение;
возможность обработки файлов с атрибутами HIDDEN;
качество выдаваемого протокола;
качество документации;
размер в К;
скорость поиска.
оригинальность оформления (видео и звуковое сопровождение).
10.4.7.1. Критерии оценки качества детекторов
Если попытаться перечислить критерии оценки качества детектора в
порядке убывания их важности то получится следующий список:
проверка оперативной памяти и нейтрализация резидентных частей
вируса;
количество одновременно детектируемых вирусов;
диагностирование многократно зараженных разнотипными вирусами
файлов;
степень параметризации, совместимость по параметрам со SCAN;
удобство ввода новых сигнатур для поиска;
возможность визуального просмотра дампа найденных файлов;
использование эвристических приемов детектирования (диагностирование
"подозрительных" переходов до 4К от конца файла, специальных
последовательностей команд и др.);
наличие средств сокращение количества ложных срабатываний при
поиске (комбинирование сигнатур, использование регулярных выражений,
определение точки входа и др.);
операции с найденными файлами (удаление копирование, переименование
и т.д.)
диагностирование "спецслучаев" типа программ, сжатых LZEXE,
EXEPACK, программ c внутренней сегментацией и др.;
Первым критерием оценки качества детектора является наличие проверки
оперативной памяти на сигнатуры вирусов. Дело в том, что хотя
детекторы не должны запускаться на машине, загруженной с винчестера
(т.е. потенциально зараженной), полагаться на
добросовестность пользователей было бы опрометчиво. Качественный
детектор должен иметь режим выдачи протокола на принтер в виде отчета,
а также режим просмотра дампа найденного файл на экране
дисплея. Лучшие из детекторов помимо поиска сигнатур используют
ряд эвристических приемов, позволяющих выявить потенциально опасные
программы. Одним из таких приемов является интерпретация первой
команды в COM-файлах и определение расстояния от точки, в которую
передается управление, до конца файла. В случае, если это
расстояние меньше, скажем 4K (вообще порог срабатывания следует
задавать как параметр), такую программу необходимо подвергнуть дополнительнуму
анализу.
Следует иметь в виду, что сигнатуры, используемые в детекторах
часто являются весьма несовершенными, что приводит к многочисленным
ложным срабатываниям. При этом качество выдаваемых детекторами
диагностических сообщений часто крайне низко, а их текст настолько
непродуман, что вызывает "ложную тревогу" и различные недоразумения.
Обычно, чем более прост детектор, тем категоричнее выдаваемые
им сообщения. Так, большинство детекторов, основанных на простом
поиске в файле определенной, характерной для данного вируса строки
(т.е. обладающие теми же возможностями диагностики, что и Norton
Utilities или PC Tools) в случаях, когда она найдена, выдают "самоуверенное"
сообщение типа:
Файл XXXX заражен вирусом ZZZZ.
На самом деле текст должен выглядеть гораздо скромнее, например:
На расстоянии YYYY от конца файла XXXX найдена строка,
характерная для вируса ZZZZ.
В этом плане характерен пример весьма популярного в нашей стране
полидетектора SCAN фирмы McAfee Associates, который детектирует
наибольшее число известных вирусов. Этот весьма низкокачественный,
по сути любительский детектор дает много ложных срабатываний, в
частности, для вирусов RC-1701 и Fu Manchu. Тем не менее пользователи
упорно считают выдаваемую им диагностику "окончательным и не
подлежащим обжалованию приговором". Автору, как редактору бюллетеня
СОФТПАНОРАМА, приходится отвечать на множество звонков, "сигнализирующих"
о наличии вирусов в той или иной программе, включенной
в очередной выпуск бюллетеня. На вопрос, "Как это Вам удалось установить?",
обычно следует стандартный ответ: "С помощью SCAN.".
Поэтому при входном контроле программного обеспечения рекомендуется
применять несколько детекторов ("батарею") и рассматривать выданные
сообщения как результаты голосования. В спорных случаях
следует провести визуальный анализ дампа с помощью таких средств
как Norton Commander, PC Shell или Norton Utilities.
Другой ошибкой, характерной для детекторов является пропуск зараженных
вирусом программ (детектор обычно ориентирован на конкретный
набор характерных для вируса строк и не может учитывать
возможность появления новых штаммов). Например, тот же SCAN пропускает
ряд распространяющихся в нашей стране вирусов. Поэтому выдаваемое
детекторами в конце работы сообщение типа
Нет зараженных файлов
следует рассматривать под тем же углом, что и предыдущее сообщение.
Кроме того, пропуск зараженных программ детектором возможен
из-за "непродуманной оптимизации". Например, ряд детекторов для
повышения скорости работы сканируют не весь файл, а только его
последние несколько блоков. В случае, если вирус "аномально" сел в
середину файла, он будет таким детектором пропущен.
Следует также отметить, что неэффективен запуск программ-детекторов
для проверки архивированных файлов (т.е. файлов с расширениями
.ZIP, .ARC, .ICE, .LZH и т.д.). Для проверки программ, находящихся
в архивированном виде, необходимо предварительно их разархивировать,
или использовать специальную оболочку, автоматически разархивирующую
каждый файл перед передачей детектору. В противном
случае детектор не в состоянии проверить содержимое архива, поскольку
соответствующие сигнатуры искажены в процессе сжатия информации.
Для проверки архивов c помощью SCAN удобно запускать его из оболочки
SHEZ (версии 5.5 и более поздние), которая позволяет автоматически
разархивировать проверяемые файлы. Это означает, что совместимость
со SCAN по передаваемым параметрам обеспечивает важный
и удобный режим работы. Тем самым, такая совместимость становится
важным критерием оценки качества детектора (как, впрочем, и фага).
Рассмотренные выше ошибки были характерны как для детекторов,
так и для фагов, поскольку фаг обычно включает в себя детектор.
Теперь перейдем к ошибкам, характерным только для фагов.
10.4.7.2. Сравнительный анализ полифагов
Помимо критериев, приведенных выше для полидетекторов, полифаги
можно оценивать по следующим критериям:
количество обрабатываемых вирусов;
обработка многократно зараженных файлов;
возможность управления временем создания файла (например, сброс
и установка 62 с. для заданных файлов);
самовосстановление при заражении вирусами (включая неизвестные);
лечение многократно зараженных вирусом программ (например, RCE1813);
выдача предупреждений при обнаружении файлов аномальной структуры
или нестандартных случаев заражения (типа заражения FOXBASE вирусом
RCE-1813);
В настоящее время большинство полифагов ориентированы на фиксированный
набор вирусов и неэффективны против всех остальных типов.
Поэтому качество фага прежде всего связано с количеством вирусов,
которые он обрабатывает и правильностью его работы. Наряду с этим
показателем немаловажное значение имеет удобство интерфейса и выдача
более или менее подробного отчета. Такой отчет должен позволять
контролировать результаты "лечения" и включать помимо имени
файла и типа заражения хотя бы длину файла до и после "выкусывания".
Кроме того, обнаружив какие-либо аномалии, фаг должен выдавать
предупреждающие сообщения, а не "резать лишь бы резать". Наличие
качественной документации также является несомненным
достоинством, но, к сожалению, среди некоммерческих программ
встречается редко.
Как уже указывалось, по выполняемым действиям фаги, особенно
сканирующие всю файловую структуру, являются потенциально опасными
программами. Например, некоторые фаги проверяют тип файла не по
его первым байтам, а по расширению, что ведет к плачевным результатам
при лечении EXE-программ с расширением COM или COМпрограмм с
расширением ЕXE. Поэтому применять новый, неопробованный фаг, следует
только приняв необходимые меры предосторожности, в частности,
предварительно отделив зараженные программы от остальных и сняв
справки до и после лечения. Кроме того, встречаются фаги, зараженные
вирусами (часто другого типа) или даже вирусы, замаскированные
под фаги (на одной из первых дискет с антивирусными программами,
распространявшейся по стране, имелись две программы - ANTI86 и
ANTI87, которые представляли собой вирус С-648 с добавленными к
нему для камуфляжа сообщениями).
Подобно любой другой часто используемой программе, фаг может содержать
троянскую компоненту. Например, если рассматривать пакет
антивирусных программ В.Бончева, то учитывая тот факт, что им
распрострялась дискета с текстами вирусов (хотя хочется надеяться,
что это была "ошибка молодости"), нет никакой гарантии, что в очередной
версии один или несколько фагов данного пакета не окажутся
троянскими, например будут лечить от одного вируса и заражать другим.
В частности, один из вирусов, разработанных в институте ВМЕИ
"В.И.Ленин" (В. Бончев называет эту серию вирусов TP-вирусами),
модифицирует вирус "Итальянский попрыгунчик" и его несложно выдать
за резидентный фаг. Поэтому относиться к программам Бончева, учитывая
нездоровый интерес, проявляемый к его имени со стороны техно
-крысы Dark Avenger, нужно с осторожностью. Это, впрочем, относится
к любой антивирусной программе, полученной из неизвестного или
сомнительного источника. Например, на Западе в одной из сетей
распространялась троянская программа, которая имитировала заставку
FluShot3, представляясь ее новой версией - FluShot4. При запуске
этой программы на экране появлялась заставка с запросом "Желаете
ли вы инсталлировать программу в систему?". Независимо от сделанного
пользователем ответа программа уничтожала системные блоки
винчестера и разрушала нулевой сектор на всех доступных дискетах.
10.4.7.3. Критерии оценки и сравнительный анализ ревизоров
возможность записи результатов ревизии в отдельный файл, или
распределения по отдельным подкаталогам;
возможность сохранять первые байты программы;
качество алгоритма подсчета контрольной суммы;
наличие режима сокращенного подсчета контрольной суммы;
диагностика аномалий в дате создания файла (например 62 секунд,
13 месяц, год из следующего столетия и т.д.)
возможность выдачи данных ревизии в виде отчета, с указанием
размера и даты создания, первых байтов;
возможность маркировки файлов перед передачей и снятия маркера;
10.4.7.4. Сравнительный анализ вакцин
количество обрабатываемых вирусов
самотестирование на заражение
нейтрализация резидентных вирусов или блокирование запуска на
зараженной машине
диагностирование зараженной программы
степень наводимых помех при работе
10.4.7.5. Критерии оценки сторожей
степень помех при работе
блокирование записи или форматирования по 13 прерыванию
блокирование изменений в ВООТ и MBR
блокирование несанкционарованной постановки программы в резидент
наличие звукового сигнала и управление им
10.4.8. О первом конкурсе антивирусных программ,
распространяемых бесплатно
В феврале 1990 года под руководством автора был проведен первый
конкурс антивирусных программ, распространяемых бесплатно. Конкурс
проводился в трех классах: фаги, детекторы и ревизоры, резидентные
фильтры и вакцины.
В классе фагов первое место заняла программа AIDSTEST Д.Н.Лозинского,
а второе место - программа DOCTOR А.А.Чижова. В классе
детекторов и ревизоров первое место занял ревизор DLI В.Герасимова,
а второе место - контекстный детектор VL А.Л.Шеховцова. И, наконец,
в классе резидентных фильтров два первых места поделили
программы SBM В.Еременко и Б.Мостового и программа CHECK21 В.Двоеглазова.
Результаты конкурса могут служить в определенной степени рекомендацией
для указанных программ. Вместе с тем указанные жюри достоинства
и недостатки этих программ относятся только к версиям,
существовавшим на январь 1990 г., и могут быть неверными по отношению
к последующим версиям.
10.4.8.1. Оценки и рекомендации жюри по полифагам
10.4.8.1.1. A I D S T E S T
Достоинства. Наличие документации удовлетворительного качества.
Правильный выбор режима работы по умолчанию (вызов вида AIDSTEST
"имя диска" выполняет нейтрализацию резидентных частей вирусов и
детектирование). Аккуратное "выкусывание" ТР-вирусов (оставляет
всего один-два байта"мусора"). Аккуратное "выкусывание" вируса Bx1
-1C (не оставляет на диске сбойный кластер). Самотестирование на
заражение (лечит себя тем же методом, что и остальные программы,
что, впрочем, нельзя считать правильным подходом). Пытается обнаружить
и нейтрализовать в оперативной памяти резидентные вирусы
(хотя предусмотренную возможность работы после нейтрализации нельзя
приветствовать - см. ниже. В таких случаях полифаг должен "настаивать"
на перезагрузке с защищенной дискеты). С момента появления
был и остается бесплатно распространяемой программой. Ранние
версии были первым средством по борьбе с C-534 и RCE-1206, использовавшимся
в Киеве и применялись на второй стадии борьбы с
RСЕ-2885 и RСЕ-1800.
Недостатки. Отсутствует ключ запроса на лечение (аналог ключа /q
программы DOCTOR). Неудовлетворительное качество протокола (отсутствует
длина зараженной и "вылеченной" программы, слишком категоричная
форма диагностических сообщений, хотя вместо "исцелен"
иногда получается "испорчен"). Зацикливается на ЕС1840. Тестируемая
версия не диагностировала вирус TP45, причем не выдавалось сообщение
о "подозрительном" хвосте файла. Оошибка в ключах (вместо
/G /C). Некорректно работает на файлах, зараженных несколькими вирусами(зацикливается).
Алгоритм поиска вирусов в оперативной памяти
нуждается в доработке (не распознает RELEASE как специальный
случай; при наличии RELEASE в памяти, не детектируется наличие ряда
резидентных вирусов, например RCE1800). Не проводит дополнительного
анализа структуры обрабатываемой программы с целью обнаружения
аномалий, затрудняющих или делающих невозможным
стандартный подход к лечению, в частности неверно обрабатывает
случай типа "зараженный RСЕ-1813 FOXBASE". До сентября 1989 г. был
практически неизвестен в Киеве.
10.4.8.1.2. D O C T O R
Достоинства. Корректно обрабатывает "тонкие и сложные" случаи
заражения, выдавая при этом информативную диагностику, в частности,
выдает предупреждение при лечении FOXBASE, зараженного
RCE-1813. Корректно обрабатывает многократно зараженные файлы, за
исключением случая, когда одним из вирусов является вирус RСЕ1206.
Имеется ключ, позволяющий принимать решение о лечении в зависимости
от имени зараженного файла (при этом было бы полезно выдавать
дополнительную информацию, относящуюся к данному файлу, в частности,
его длину). Устойчивая работа на самых разных типах ЭВМ, включая
EC1840. Самотестирование на заражение (хотя данная версия лечит
себя тем же методом, что и остальные программы, что нельзя
считать правильным подходом). Пытается обнаружить и нейтрализовать
в памяти вирусы (хотя как и в случае AIDSTEST, предусмотренную
возможность работы после нейтрализации нельзя приветствовать - см.
ниже; в таких случаях полифаг должен "настаивать" на перезагрузке
с защищенной дискеты). Ранние версии использовались в Киеве для
борьбы с эпидемией вируса RСЕ-1813 наряду с фагом FAG1813 Л.И.Обухова.
Недостатки. Отсутствует документация. Неверно выбран режим работы
по умолчанию (запуск вида DOCTOR "имя диска" вызывает попытку
нейтрализации имеющихся резидентных вирусов и лечение вместо детектирования
зараженных программ). В тестированной версии неверно
выдается диагностическое сообщение о типе найденного вируса при
правильных действиях по его "выкусыванию". Некорректно обрабатывает
вирус RСЕ-1206 в случае многократного заражения. Не удаляет с
диска псевдосбойный кластер после чистки вируса Bx1-1C. С сентября
по ноябрь очередные версии не были доступны.
10.4.8.2. Оценки и рекомендации жюри по детекторам и ревизорам
10.4.8.2.1. D L I
Достоинства DLI. Простота установки и использования. Возможность
ускоренного просмотра с проверкой только даты и длины файлов. Обработка
деревьев произвольной структуры. Специальный формат и имя
файлов с контрольной информации. Полезность в качестве инструмента
общего назначения, облегчающего анализ изменений в каталогах, а не
только для борьбы с вирусами. Своевременность появления - первая
версия была создана еще до начала эпидемии вирусом и могла использоваться
с самого начала борьбы с вирусами.
Недостатки DLI. Нет режима сокращенной обработки контрольных
сумм COM- и EXE-файлов (аналогично тому, как это реализовано в
программе SPEEDCHK Л.Шнайдера). Нет режима группировки всей контрольной
информации в главном каталоге или специальном подкаталоге.
Невозможность использования на защищенных от записи дисках. Нельзя
остановить по Ctrl-Break. Нет возможности задать периодическую
проверку. Нет возможности изменить имена файлов с результатами ревизии,
а также распечатать содержащуюся в них информацию. Нельзя
исключить некоторые ветви из проверки и задать проверяемые типы
файлов.
10.4.8.2.2. V L
Достоинства VL. Простота, возможность настройки, оптимизация
поиска, оконный интерфейс.
Недостатки VL. нестандартный интерфейс (например, неудобен переход
к окну более высокого уровня - принято использовать клавишу
"Esc"). Невозможна комбинация нескольких масок для одного вируса.
Слишком жесткое ограничение длины строк для поиска (15 символов -
это мало, необходимо около 72 символов). Невозможен визуальный
просмотр файла с найденной маской. Неудачный набор поставляемых
масок (они слишком коротки для автоматического поиска и некоторые
из них дают много ложных срабатываний). Реклама Rтехнологии в контексте
столь простой программы представляется несколько неу
...Закладка в соц.сетях
