Вирустардан қорғаудың программалық жабдықтары

3. Вирустардан қорғаудың программалық жабдықтары

3.1 Зиянды программаларды жіктеу

Зиянды программалар деп (malware - "жаман ниетті программалық қамсыздандыру") көшіру, жою, бұрмалау немесе ақпаратты ауыстыру арқылы заңсыз қолдану немесе залал келтіру мақсатымен ДК мәліметтеріне рұқсатсыз қатынауды алу үшін құрылған программалық қамсыздандыруды айтады.

Зиянды программалардың жіктелуі бірнеше рет қарастырылған [17], мысалы:

• 1991 жыл - Computer Antivirus Researchers Organization  (компьютерлік вирустарды зерттеушілердің ұйымы) жиынында бірінші рет вирустарға атау беру және оларды классификациялау жүйесін құру мүмкіндігі қарастырылды.
• 2005 жыл - US-CERT мүшелері CME – «зиянды программалардың жалпы классификациясы» программасын ұсынды. Оның мақсаты интернет-құрттардың атауларын және басқа да зиянды программалық жабдықтардың (ПЖ) (malware)  атауларын стандарттау болып табылды.

Қазіргі уақытта malware-ның бірегей классификациясының жоқтығын атап өткен жөн. Кейбіреулерін қарастырайық:

•        Microsoft: Viruses - трояндар, вирустар және құрттар; Spyware (шпиондық ПЖ).

•        Dr. Web: вирустар; зиянды программалар/желілік атакалар (пернелік тосқаулдыр - кейлогерлер, трояндар); қажетсіз программалар (spyware, қалқып шығатын терезелер).

•        Каспер лабораториясы: Malware (spyware); PUPs (Potentially Unwanted Programs) – кейбір шарттарды орындау кезінде қолданушыға зиян тигізу мақсатымен жұмыс атқаратын программалар;

• Adware – жарнама мақсатында құрылған программалық қамсыздандыру.

Шпиондық әрекеттермен айналысатын зиянды программалардың барлығын Каспер Лабороториясы зияндыларға  - Malware-ға жатқызады. Adware шпиондық деп саналмайды, себебі, қолданушы рұқсатымен деректерді жинамайды және PUPs (Potentially unwanted program) қатарына жатқызылады.

Spyware – бұл шпион программалық қамсыздандыру. Қолданушы әрекетін, жүйелік ресурстардың шығындалуын, қауіпсіздік жүйесі деңгейін төмендету мақсатымен қолданушыға ескертуінсіз компьютерге орнатылады.

 Spyware тапсырмалары:

• программалық қамсыздандырудың қолданылуы және сайттарға кіру жайлы ақпараттар жиынтығы;
• пернетақтадағы пернелерді басуды, экран скриншоттарын (кейлогер) жазу;
• жүйенің сақтандырылуына талдау.

Барлық жиналған мәліметтер шпиондық программалық қамсыздандыруды жасаушыларға жіберіледі. Аса кең таралған программалар-шпиондар бұрыннан белгілі программаларға ендірілген:

• Radiate - Gif Animator, GetRight, Go!Zilla, ReGet;
• Cydoor - Audio CD MP3 Studio 2000, PC-to-Phone, ReGet;
• Web3000 - NetCaptor, NetSonic, NetMonitor.

Мысал. Trojan-Spy.Win32.Zbot.ikh зиянды программасын өшіру процесі.

Trojan-Spy.Win32.Zbot.ikh – конфиденциалды ақпаратты ұрлауға арналған программалық шпион:

• Орындалатын файлды Windows-тың жүйелік каталогына көшіреді: %System%\twex.exe
• Жүйелік реестрдің аутожүктелу кілтіне twex.exe троянының аутожүктелуі үшін сілтеме қосады [17]:

[pic 1]

Зиянды программаны өшіру процесін қарастырайық:

1.Зиянды процесті аяқтаймыз.

2. Троянның нақты файлын өшіреміз.

3. Реестрдің параметр мәнін өзгертеміз:

[HKLM\software\microsoft\windowsnt\currentversion\winlogon]

"userinit" = "C:\WINDOWS\system32\userinit.exe,"

4. Компьютерді қайта жүктейміз.

5.        %System%\twex.exe файлын өшіреміз және %Temp% каталогындағы мазмұнды өшіреміз.  

Мысал. "Power Spy" программа-шпион жұмысын демонстрациялау (сурет 29).

Spyware-ны табу үшін және өшіру үшін талдау жасау қажет:

• MSCONFIG and the Task Manager - CTRL+ALT+DEL;
• HKEY_LOCAL_MACHINE\..\Run\;
• HKEY_CURENT_USER\..\Run;
• HKEY_CURENT_USER\..\Runonce;
• HKEY_USERS\.Default\Software\..\Run;
• HKEY_LOCAL_MACHINE\..\Runonc.

Шпиондарды анықтау тәсілдері:

• вирустарға қарсы программалық жабдықтар:  AVP, Dr.Web, Panda Antivirus, Norton Antivirus;
• файрвол (Zone Alarm, Outpost);
• өшірудің spy утилиттері: AD-Aware; PrivacyKeyboard-қа қарсы қорғаудың эврестикалық механизмдері.

[pic 2]

Сурет 29 Программа-шпион

3.2 Программалық белгі

Зиянды программалар, алдымен, трояндық пен шпиондық программалар және логикалық бомбалар программалық белгілер ретінде қарастырыла алады.

Программалық белгі – бұл енгізілгенге жүйеге заңсыз қатынауды жүзеге асыруға немесе басқа функцияларды атқаруға мүмкіндік беретін жасырын енгізілетін программа не оның фрагменті.  

Енгізу әдістері:

• программалық-аппараттық белгілер (мекендеу ортасы BIOS);
• жүктелетін белгілер;
• драйверлік белгілер;
• қолданбалы белгілер (редакторлар, программалық қабықтар, утилиттер, антивирустық мониторлар);
• орындаушы белгілер (пакеттік файлдар);
• белгілер-имитаторлар (ресми емес ақпараттың енгізілуін талап етеді );
• құпияландырылған белгілер (дефрагментаторлар, архиваторлар, компьютерлік ойындар).

Деструктивті әрекеттер:

• ақпаратты көшіру;
• жүйелік, қолданбалы және қызметтік программалардың функцияларын өзгерті;
• жұмыс режимдерін күштеп тықпалдау.

3.3 Компьютерлік вирустардың жіктелуі

Компьютерлік вирус – басқа программалардың кодын пайдаланып, өздерін көпретті көшіріп, аутоматты түрде жүктелетін негізі көлемі бойынша ірі емес программа. Ол сақталған ақпаратты құртады немесе толықтай жояды. Компьютерлік вирустардың жасалуын заңнамалық тұрғыда қылмыс ретінде қарастырады. ҚР-ның Қылмыстық кодексінің 227- бабы бойынша «ЭЕМ үшін зиянды программа» авторын жауапкершілікке тарта алады (айыппұл, тәртіпке салу жұмыстары) [18].