Поліморфні віруси - що це таке і як з ними боротися?

Поліморфні віруси - що це таке і як з ними боротися?

Всі ми чули про небезпеку шкідливого програмного забезпечення, особливо в мережі. Спеціальні програми захисту від різних загроз коштують хороших грошей, але чи є сенс у цих витратах? Розгляньмо найбільш поширені види зараження носіїв інформації, особливо найнебезпечніші з них - поліморфні віруси.

Сенс зараження

За аналогією з медициною, комп 'ютерні системи розглядають як окремі "організми", які здатні підхопити "заразу" під час взаємодії з навколишнім цифровим середовищем: з інтернету або за допомогою використання неперевірених почесних носіїв. Звідси і назва у більшості шкідливих програм - віруси. На початку своєї появи поліморфні віруси служили розвагою для фахівців, чимось на зразок перевірки своїх здібностей, а також тестування систем захисту певних комп 'ютерних систем і мережевих ресурсів. Тепер хакери від баловства перейшли до відверто злочинних дій, а все через глобалізацію цифрових банківських систем, які відкрили доступ до електронних гаманців практично з будь-якої точки земної кулі. Сама інформація, за якою тепер теж полюють автори вірусів, тепер стала більш доступна, причому цінність її зросла в десятки і сотні разів порівняно з доцифровими часами.


Опис та історія виникнення

Поліморфні віруси, згідно з назвою, здатні змінювати власний код при створенні своєї копії. Таким чином, розплоджений вірус не може бути визначений антивірусними засобами по одній масці і виявлений цілком за простий цикл перевірки. Перший вірус з технологією зміни власного коду був випущений ще в 1990 році під назвою chameleon. Серйозний розвиток технологія написання вірусів отримала трохи пізніше з появою генераторів поліморфного коду, один з яких під назвою Trident Polymorphic Engine поширювався з детальною інструкцією в архівах BBS. З часом технологія поліморфізму не зазнала серйозних змін, зате з 'явилися інші способи приховувати шкідливі дії.

Поширення вірусів

Крім популярних у спамерів і вірусописувачів поштових систем, віруси-мутанти можуть потрапляти в комп 'ютер разом зі скачаними файлами, при використанні заражених ресурсів інтернету за спеціальними посиланнями. Для зараження можливе використання інфікованих дублікатів відомих сайтів. Почесні носії інформації, зазвичай з функцією перезапису, теж можуть стати джерелом зарази, оскільки можуть містити заражені файли, які користувач здатний запустити сам. Різні прохання установників тимчасово відключити антивірусне ПЗ повинні стати сигналом для користувача, принаймні для глибокої перевірки запускаються файлів. Автоматичне поширення вірусів можливе у разі виявлення зловмисниками недоліків систем захисту, такі програмні реалізації зазвичай спрямовані на певні типи мереж та операційних систем. Популяризація офісного ПЗ також привернула увагу зловмисників, результатом чого стали спеціальні інфіковані макроси. Такі вірусні програми мають серйозну нестачу, вони "прив 'язані" до типу файлу, макроси-віруси з Word-файлів не можуть взаємодіяти з таблицями Excel.

Види поліморфізму

Поліморфні конструкції підрозділюються за складністю використовуваних алгоритмів на кілька груп. Олігоморфні - найпростіші - використовують константи для шифрування власного коду, тому навіть легкий антивірус здатний їх вирахувати і нейтралізувати. Далі йдуть коди з кількома інструкціями щодо шифрування і застосуванням "порожнього" коду, для виявлення таких вірусів захисні програми повинні вміти відсіювати сміттєві команди.

Віруси, що застосовують зміну власної структури без втрати функціональності, а також реалізують інші шифрувальні техніки нижчого рівня, вже представляють серйозну складність для антивірусного виявлення. Невиліковні поліморфні віруси, що складаються з програмних блоків, можуть вписувати частини свого коду в різні місця заражуваного файлу. По суті, таким вірусам немає необхідності у використанні "порожнього" коду, в якості якого використовується виконуваний код заражених файлів. На щастя користувачів і розробників антивірусного ПЗ, написання таких вірусів вимагає серйозних знань ассемблера і доступно лише програмістам дуже високого рівня.

Цілі, завдання і принцип дії

Вірусний код у складі мережевого черв 'яка може становити велику загрозу, оскільки, крім швидкості поширення, забезпечує шкідливий вплив на дані і зараження системних файлів. Голова вірусу-поліморфу у складі хробаків або в основі їх програмного коду дозволяє легше обходити захисні засоби комп 'ютерів. Цілі у вірусів можуть бути найрізноманітніші, від простої крадіжки до повного руйнування даних, записаних на постійних носіях, а також порушення роботи операційних систем і повної їх дестабілізації. Деякі вірусні програми здатні передавати управління комп 'ютером зловмисникам для явного або прихованого запуску інших програм, підключення до платних мережевих ресурсів або для простої передачі файлів. Інші здатні непомітно "оселитися" в оперативній пам 'яті і контролювати поточний процес виконання програм у пошуках відповідних файлів для зараження або з метою створення перешкод у роботі користувача.

Методи захисту

Встановлення антивірусу є обов 'язковим для будь-якого комп' ютера, підключеного до мережі, оскільки операційні системи не здатні самостійно захистити від шкідливих програм, крім найпростіших. Своєчасне оновлення баз і систематичні перевірки файлів, крім постійного моніторингу системи, також допоможуть вчасно розпізнати заразу і усунути джерело. При використанні застарілих або слабких комп 'ютерів сьогодні можна встановити легкий антивірус, що використовує хмарні сховища вірусних баз. Вибір таких програм дуже широкий, і всі вони різною мірою ефективні, причому ціна антивірусного ПЗ не завжди говорить про його високу надійність. Безсумнівний плюс платних програм - наявність активної підтримки користувачів і часте оновлення вірусних баз, втім, деякі безкоштовні аналоги також вчасно реагують на появу нових вірусних сигнатур в мережі.