|
|
|
Антивирусные средства : Теория |
|
23.01.2004. ИНТЕЛЛЕКТУАЛЬНОЕ ПРОТИВОСТОЯНИЕ ПО ЛИНИИ ФРОНТА
С.Г. АНТИМОНОВ СП «Диалог-Наука» (г. Москва). Журнал "Управление защитой информации" №1, 2003г. Отечественные антивирусные программы семейства Doctor Web регулярно показывают самые высокие результаты в авторитетных международных тестах, соревнуясь с лучшими антивирусами со всего мира. В основе этого успеха - передовые антивирусные технологии, реализованные командой программистов под руководством И.А.Данилова . Для целей антивирусной проверки электронной почты мы рекомендуем эффективные решения на базе программ Doctor Web для почтовых серверов Sendmail, QMail, Postfix, Zmailer, Exim, CommuniGate Pro и Courier-MTA, работающих на платформе Linux, FreeBSD и Solaris (Intel). Эти антивирусы защищают почту в таких компаниях, как Зенон, Яндекс, РБК и др. "О, ваши дни благословенны! Дерзайте ныне ободренны Раченъем вашим показать, Что может собственных Платонов И быстрых разумом Невтонов Российская земля рождать ". М.В. Ломоносов Мне довелось быть свидетелем многих уникальных событий, связанных с высокими достижениями в области создания в России передового программного обеспечения. Это, к примеру, игра ТЕТРИС, созданная Вадиком Герасимовым и Алексеем Пажитновым, и системы ЛЕКСИКОН и МАСТЕР, созданные Евгением Веселовым. Это антивирус-сканер AIDSTEST, созданный Дмитрием Лозинским, антивирус-ревизор ADinf, созданный Дмитрием Мостовым, и, наконец, антивирус-сканер нового поколения Doctor Web, созданный Игорем Даниловым. Эти разные примеры убедительно свидетельствуют о том, что в России есть люди, которые могут создавать программные продукты высочайшего мирового уровня качества. Далее более подробно будут рассмотрены высокие технологические достижения именно программы Doctor Web. История массового распространения компьютерных вирусов насчитывает всего 15 лет и за это время уже прошло несколько разных "эпох": вирусы для исполняемых файлов, вирусы-невидимки, макровирусы, полиморфные вирусы, троянские программы, script-вирусы и пр. Вирусы и троянцы приносят много неприятностей и потерь пользователям компьютеров. По данным специалистов в области компью- терной экономики, в 2001 г. ущерб от компьютерных вирусов крупного бизнеса (компаний, входящих в список Fortune 500) составил 13,2 млрд долл. Это верхушка "айсберга". Реальные ущербы с учетом других компаний, государственных структур и частных лиц в десятки, сотни раз выше. Бороться с этим новым типом "зла" помогают современные антивирусные программы. На новые вирусные угрозы разработчики антивирусных программ отвечают созданием все более совершенных механизмов по обнаружению вирусов и лечению зараженных файлов. 1. Всем миром на борьбу с компьютерным терроризмом 22 февраля 2000 г. был создан "Альянс за безопасный Интернет" в ответ на серию хакерских DDoS-атак, которые с 7 по 11 февраля 2000 г. поразили ведущие американские сайты Yahoo!, Amazon.com, eBay.com, E*Trade, CNN.com и др. Общий урон от этих атак -1,2 млрд долл. Атаки развивались по одной и той же схеме - хакеры первоначально внедряли вредоносные программы (их называют "зомби-агентами") на "нейтральные" компьютеры и потом уже давали им команду на выполнение определенных запрограммированных действий. Так, в случае с поисковыми серверами компании Yahoo! с 50 разных мест "залпами" были выпущены сотни или даже тысячи лжезапросов в секунду, что на 3 ч вывело компьютеры Yahoo! из строя. Эти события и аналогичные в других странах показывают, как сильно здоровье и безопасность каждого конкретного компьютера прямо или косвенно связаны со здоровьем и безопасностью как локальных и глобальных компьютерных сетей, так и сети Интернет в целом. В тексте обращения создателей Альянса за безопасный Интернет к новым членам говорится: "Сейчас нет способа, который бы надежно защитил нас от Distributed Denial of Service (DDoS) атак. Потому что такие атаки идут одновременно с тысяч разных компьютеров, "обманутых" хакерами и использованных для злодейства. Однако мы можем и должны быть уверены в том, что наши собственные компьютеры не будут использованы как платформы для этих атак. Поэтому ассоциация ICSA выступает инициатором Альянса с тем, чтобы мобилизовать против такого рода угроз все организации. Это вопрос всеобщего экономического выживания, и все мы вместе должны взять на себя ответственность за соответствующие действия по обеспечению безопасности наших собственных компьютеров, сетей и сайтов". От каждого из нас, от каждой фирмы и организации зависит общая информационная безопасность глобальной сети Интернет. В DDoS-атаках применяются троянские программы, которые легко обнаруживают практически все антивирусные программы. Следовательно, просто использование антивирусов на регулярной основе может существенно понизить вероятность появления на наших компьютерах вирусов, троянцев и прочей "нечисти". Doctor Web в борьбе "вирус-антивирус" традиционно находится на передовых рубежах - постоянно предлагая самые новые антивирусные технологии. 2. Восемь интеллектуальных достижений, реализованных в программе Doctor Web 2.1. Эмулятор процессора Антивирусная программа Spider Web (предшественница программы Doctor Web) была создана И. А. Даниловым в 1992 г. и для целей поиска вирусов одной из первых в мире реализовала идею "раскрутки" кода программ на эмуляторе процессора. Уже через два г. эта технология оказалась абсолютно необходимой для борь- бы против новой угрозы - полиморфных вирусов, которые появились в конце 1993 - начале 1994 г. Первая версия антивирусной программы Doctor Web была выпущена в свет летом 1994г. и, естественно, включала в себя уже более совершенную технологию эмуляции процессора. 2.2. Контроль вирусной активности В феврале 1999 г. впервые в мире в резидентном стороже SpIDer Guard, входящем в комплект программы Doctor Web, была реализована интеллектуальная технология контроля вирусной активности, которая получила название SpIDer-Netting и была предназначена для блокировки непосредственно в памяти известных и совершенно неизвестных вирусов. Традиционный подход к решению этой проблемы (реализованный в других резидентных мониторах и сторожах) состоит в том, что антивирус осуществляет контроль таких вирусоподобных действий, как запись в исполняемые (COM, EXE, DLL и т.п.) файлы и системные области, перехват прерываний работы с файлами (int21) и т.п. Однако подобные действия зачастую совершают не только зараженные вирусом программы, но и совершенно "чистые". В результате традиционные сторожа имеют большой процент ложных срабатываний и поэтому мешают пользователю нормально работать. Уникальная технология SpIDer-Netting сводит к нулю процент ложных срабатываний и позволяет блокировать вирусную активность практически всех известных (и неизвестных!) вирусов. В чем же суть новой технологии? Резидентный сторож SpIDer проводит тщательный анализ всех опасных действий работающих программ. В рамках технологии SpIDer-Netting работает уникальная система принятия решений, по которой сторож SpIDer определяет и пресекает все виды вирусной активности (например, заражение файлов, деструктивные функции и т.п.). Эта технология позволяет не допустить заражения компьютера новым вирусом, даже если этот вирус не смог определить эвристик сканера Doctor Web. Т.е. если анализ кода какой-то программы сканером Doctor Web не выявил наличия хорошо замаскированного неизвестного вируса в теле программы, то этот вирус все равно не сможет проникнуть на компьютер - он будет обнаружен при попытке проявить активность. В отличие от других сторожей, реагирующих на каждое проявление вирусоподобной активности и тем самым надоедающих пользователю, SpIDer проводит анализ по совокупности вирусоподобных действий, что позволяет избежать многих случаев ложных реакций. В сентябре 1999 г. технология SpIDer-Netting была модифицирована. Новая и усиленная ее версия позволила обнаруживать и блокировать широкий класс резидентных Windows-вирусов на этапе запуска и тем самым предотвращать загрузку вируса в память компьютера в момент запуска зараженного Windows-приложения. Эта модификация позволила обнаруживать многие новые Windows-вирусы и останавливать их распространение еще до того, как новые вирусные образцы попадут к разработчикам антивирусов и будут включены в вирусные базы. Как следствие это позволило предотвращать и возможный ущерб, наносимый такими вирусами компьютерным системам. Так, к примеру, новая технология обеспечила перехват любых вирусов, построенных на базе алгоритмов печально известного вируса "Чернобыль", который 26 апреля 1999 г. впервые сработал на сотнях тысяч компьютеров по всему миру и нанес ущерб на несколько миллиардов долларов США. 2.3. Антивирусная проверка памяти Большинство новых вирусов (каждый день в мире появляется 10-30 образцов) являются модификациями давно уже известных идей. Однако иногда появляются вирусы, которые реализуют какие-то совершенно новые и оригинальные идеи. К классу "революционных" относится и вирус Code Red Worm, который появился в июле 2001г. Это был первый в истории компьютерной вирусологии случай, когда вирус существует не в виде файла (что традиционно для всех вирусов), а в виде процесса в памяти зараженного компьютера. Выяснилось, что в то время только один антивирус в мире, а именно Doctor Web, был способен обнаружить этот вирус в памяти компьютера, т.е. только Doctor Web был заранее "вооружен" так, чтобы достойно ответить на такой новый "вызов". Это "вооружение" было построено в августе 1999 г., когда впервые в мире в сканере Doctor Web была реализована полная проверка памяти Windows 95/98, включая системную память (и совместно используемую) и память виртуальных машин и прикладных процессов. В декабре 1999 г. в сканере Doctor Web была реализована проверка памяти виртуальных машин для Windows NT. Новая технология дала возможность надежно находить непосредственно в памяти и обезвреживать сложные троянские программы и вирусы, которые используют нетрадиционные пути внедрения в память Windows. В частности, это касается большого класса Интернет-троянцев, предоставляющих несанкционированный доступ к компьютеру (типа Back Orifice) или ворующих пароли для доступа в Интернет. Среди вирусов, обнаружение которых в памяти стало возможно благодаря этой технологии, многие опасные полиморфные Win32-Bnpycbi, такие как Win32.Kriz и др. Как и вирус "Чернобыль", вирусы Win32.Kriz могут наносить ущерб и аппаратной части компьютера. 2.4. Мощный эвристический анализатор Авторитетный международный журнал Virus Bulletin много раз отмечал, что программа Doctor Web традиционно обладает очень сильным эвристическим анализатором, который позволяет обнаруживать совершенно новые вирусы, пока не включенные в вирусную базу. Благ.ря великолепному эвристику программа Doctor Web регулярно показывает выдающиеся результаты на сравнительных тестах авторитетного международного журнала Virus Bulletin, в которых принимают участие лучшие антивирусы со всего мира. В марте 2002 г. были опубликованы результаты сравнительного тестирования, проведенного Virus Test Center (VTC) при Гамбургском университете. И тут программа Doctor Web была отмечена как показавшая наилучшие результаты по ряду "номинаций". Методика тестов VTC существенно отличается от методики тестов, проводимых журналом Virus Bulletin. Тесты VTC проводятся в условиях, максимально приближенных к "боевым" (именно в таких условиях оказывается программа, попавшая в руки не слишком искушенного и не слишком аккуратного пользователя). Ключевая особенность этих тестов заключалась в том, что в них принимали участие старые (т.е. "замороженные" почти год назад) версии антивирусов. В частности, честь Doctor Web защищала старая версия программы 4.25 с последним дополнением вирусных баз от 20 июня 2001 г.. Наоборот, тестовая вирусная коллекция была составлена как раз из совершенно новых вирусов, сообщения о которых появились после "замораживания" старых версий программ и соответствующих им вирусных баз! Специалисты VTC назвали эти тесты "Heureka" и пояснили, что они имели в виду: если программа, поставленная в такие условия, все-таки обнаруживает новый вирус, она (более точно - ее разработчики) имеет полное право, подобно Архимеду, воскликнуть: "Я нашел!" В рассматриваемых тестах VTC новые вирусы определялись старыми программами либо как модификации ранее известных вирусов, либо как представители обширных семейств вирусов (например, целые семейства вирусов, полученных посредством одного из конструкторов, Doctor Web определяет одной единственной записью в базе данных), либо с помощью эвристических алгоритмов. Вследствие достаточно сложной и экзотической процедуры тестирования организаторы не расставили антивирусные программы "по местам", а лишь указали тех, кто выглядел "чуть лучше" в каждой из категорий. Таковых, надо сказать, оказалось не очень много, но практически во всех "номинациях" среди тех, кто выглядел "чуть лучше", оказался Doctor Web! Подводя итоги тестирования в целом, специалисты VTC отметили Doctor Web как антивирус, показавший лучшие результаты обнаружения вирусов по всей тестовой коллекции. Подробнее результаты тестирования см. на сайте VTC (http://agn-www.informatik.uni-hamburg.de/vtc/). Гордясь этим результатом, мы не рекомендуем пользователям компьютеров ставить эксперименты, подобные проведенному в VTC, и еще раз напоминаем о необходимости регулярного обновления вирусных баз и версий программы Doctor Web. Всегда быть up-to-date. 2.5. Частота обновления вирусных баз В борьбе с компьютерными вирусами очень важна скорость реакции - чем быстрее создана вакцина против нового вируса, тем больше компьютеров удается спасти. С октября 2000 г. дополнения вирусной базы Doctor Web выходят иногда ежечасно или даже несколько раз в час. Такая услуга была предоставлена нами впервые в мире. Так как все дополнения совершенно свободно доступны у нас на сайте, то все пользователи программы Doctor Web могут всегда иметь все новые "вакцины". Чем раньше к вирусологам попадает новый вирус (например, в виде зараженного файла), тем быстрее будет выпущена соответствующая вакцина и тем большее количество компьютеров можно будет "вакцинировать". Массовая "прививка" предупредит возможный взрыв новой вирусной эпидемии. Это похоже на то, как строится борьба с новыми вирусами и в обыкновенной медицине. Ежедневно пользователи программы Doctor Web со всего мира присылают в ДиалогНауку десятки файлов на анализ. Зачастую в этих файлах оказываются уже давно известные вирусы (т.е. те, кто присылает такие файлы, оказывается, используют старую версию программы). Иногда посту-пают и новые вирусы. Чтобы помочь пользователям г- ~ Щ компьютеров в любой точке земного шара проверить какой-то файл при помощи программы Doctor Web в режиме реального времени, в декабре 1996 г. мы впервые в мире ввели совершенно бесплатную антивирусную услугу в Интернете - online антивирусную проверку, которая с тех пор работает круглосуточно и 365 дней в году. Любой пользователь Интернета может отправить файл со своего компьютера на наш сервер, где при помощи последней версии программы Doctor Web будет произведена проверка, и пользователь на экране своего компьютера получит протокол с результатами этого анализа. Если объединить файлы для проверки в один архивный файл и передать его на сервер, то в протоколе будет выдана информация по каждому файлу из архива. Служба бесплатной online антивирусной проверки в Интернете - еще один канал, по которому мы получаем новые вирусы, обнаруженные при помощи эвристического анализатора программы Doctor Web. 2.6. Специальный язык описания вирусов Для программы Doctor Web в апреле 1998 г. был разработан и с тех пор используется специальный язык программирования, ориентированный на описание и обработку компьютерных вирусов. Были созданы соответствующие этому языку компилятор и интерпретатор. Эти технологии обеспечили компактное и надежное хранение вирусных записей в базах данных и высокую эффективность их обработки программой Doctor Web. 2.7. Компактность программ и вирусных баз Программы Doctor Web имеют достаточно компактные дистрибутивы и не требуют для своей установки и работы высоких характеристик компьютера по памяти и быстродействию. Именно эти передовые антивирусные технологии, реализованные в программах Doctor Web, обеспечили основу всех тех высоких результатов, которые были достигнуты на международных тестах. С 1996 г. Doctor Web принимает участие в разных тестах. В "антивирусном мире" оценка качества продуктов производится объективнее, чем для других программ. Показатели "чуть более удобно - чуть менее удобно", "а у нас есть это - а у нас есть то" при оценке антивирусов вторичны. Критерии очевидны: есть коллекция вирусов и надо "поймать" как можно больше вирусов. Кто больше - тот лучше. Авторитетный международный журнал "Virus Bulletin" в августе 2002 г. подвел итоги очередного сравнительного тестирования для Novell Netware лучших антивирусов со всего мира. И на этот раз копилка Doctor Web пополнилась наградой VB100% - десятой по счету. Награда VB100% выдается антивирусу в том случае, если и его сканер, и резидентный сторож обнаруживают 100% вирусов из коллекции "In the Wild", т. е. вирусов, встречающихся на компьютерах пользователей. Кроме "диких", существуют "коллекционные" вирусы, которые разбиваются на макрокоман-дные, полиморфные и стандартные. Отметим, что в последние два г. Doctor Web регулярно побеждает в тестировании "Virus Bulletin", получая престижные награды VB100%. В феврале 2002 г. был достигнут исключительный успех: только один антивирус Doctor Web показал все 100% во всех четырех категориях вирусов. Аналогичный абсолютный результат 4 х 100% (как для сканера, так и для сторожа) Doctor Web демонстрировал также и в сентябре 2001 г. Ниже даны средние проценты обнаружения вирусов по февральскому 2002 "Virus Bulletin" тестированию антивирусов, где даны показатели Doctor Web в сравнении с результатами других антивирусов, также получивших награду VB100%. 2.8. Проверка почтовых сообщений, принимаемых по протоколу РОРЗ В июле 2002 г. впервые в мире специалистами антивирусной лаборатории И.А.Данилова реализована универсальная технология, позволяющая пользователям любых почтовых клиентов, принимающих почту с использованием протокола РОРЗ, проверять поступающие с почтового сервера данные до обработки их самим почтовым клиентом. Таким образом, в случае нахождения в почтовом сообщении какого-либо вредоносного кода это сообщение будет гарантированно перехвачено программой SpIDerMail и не сможет нанести ущерб системе получателя независимо оттого, какой клиент используется для получения почты. Высокие технологические достижения, реализованные в Doctor Web, явились результатом использования современных и передовых антивирусных технологий, многие из которых являются уникальными разработками команды программистов под руководством И.А.Данилова. Программными продуктами Doctor Web давно пользуются такие общенациональные структуры, как Администрация Президента РФ, Аппараты Правительства, Совета Федерации и Государственной Думы, ГАС "Выборы", ГУИР ФАПСИ, Центробанк и Сбербанк, Министерства обороны, образования, экономразвития, финансов, промышленности и др. ЗАО "ДиалогНаука" имеет лицензию Гостех-комиссии на деятельность в области защиты информации и лицензии ФАПСИ на право осуществлять проектирование и производство средств защиты информации, а также соответствующие сертификаты
на антивирусные программы семейства Doctor Web от Гостехкомиссии и Минобороны. ДиалогНаука пятый год подряд предоставляет бесплатную лицензию на использование некоторых версий антивирусных программ Doctor Web и ADinf для всех государственных школ, университетов и других учебных заведений, входящих в систему Минобразования РФ. Конечно, это благотворительная акция. Однако с другой стороны, сеть компьютеров в рамках министерства образования, которая достаточно полно покрывает территорию страны, может оказать существенную помощь по своевременному выявлению новых вирусов и тем самым помочь предотвратить разрастание новых вирусных эпидемий. 3. Антивирусная проверка почты Большинство вирусов сейчас передается через электронную почту. Поэтому особую роль играет включение антивирусной проверки в различные почтовые системы. 3.1. Почтовая система The Bat! В мае 2002 г. в составе семейства Doctor Web появился подключаемый антивирусный модуль (plug-in) для популярной почтовой программы The Bat!
В отличие от резидентного сторожа SpIDer Guard, который является универсальным средством антивирусной защиты, модуль Doctor Web для The Bat! позволяет более гибко организовать обработку писем и вложений. В частности, возможна индивидуальная обработка каждого сообщения или вложения по результа- ту проверки. Кроме того, данный модуль обеспечивает антивирусную защиту почтовой системы, даже если резидентный сторож выключен или не установлен. Если же сторож SpIDer Guard установлен и активен, то зараженные письма и вложения будут обрабатываться им в соответствии со своими настройками, так как почтовая программа The Bat! создает при работе с почтой временные файлы в специальном системном каталоге, а он обычно контролируется SpIDer Guard. Антивирусный модуль позволяет проверять на наличие вирусов входящую почту при ее получении и/ или при открытии вложения. При обнаружении вируса модуль производит одно из следующих действий, которое настраивается в программе The Bat!: - перемещает письмо в специальную папку
"Ка - пытается вылечить зараженные части
письма; -
удаляет зараженные части из письма; - пересылает получателю инфицированное пись - удаляет письмо. Предусмотрена возможность послать уведомление отправителю письма. 3.2. Почтовые серверы Sendmail, QMatt, Postfix, Zmailer, Exim, и др. для систем Linux, FreeBSD и Solaris (Intel) Программа-демон Doctor Web для Linux/ FreeBSD/Solaris (Intel) предназначена для антивирусной проверки сообщений, проходящих через почтовые серверы Sendmail, QMail, Postfix, Zmailer, Exim, CommuniGate Pro и Courier-MTA, работающих на платформе Linux, FreeBSD и Solaris (Intel). Многие администраторы таких почтовых систем (Зенон, РБК, Яндекс и др.) отдали предпочтение именно демону программы Doctor Web по быстродействию, эффективности и ресурсоемкости. Демон Doctor Web может выполнять также и фильтрацию сообщений по содержимому различных полей заголовков, что позволяет строить и защиту от спама. Отметим, что антивирус Doctor Web для почтовых серверов не требует от администратора больших усилий по установке и настройке антивирусной проверки почтовых сообщений. Удобство и простота рассматриваемых программ Doctor Web позволяет без больших затрат организовать надежную и эффективную защиту от вирусов. Антивирусная фильтрация электронной почты позволяет избежать : многих проблем конечным пользователям и сервисным службам. Антивирус, работающий на почтовом сервере - будь то сервер интернет-провайдера или корпоративный почтовый сервер, -надежная и экономически выгодная форма защиты пользователей от практически любых видов вирусов. 3.3. Проверка РОРЗ протокола Программа SpIDer Mail работает под управлением Windows 9x/Me и Windows NT/2000/XP и есть варианты - для клиентских компьютеров (Home Edition) и для серверов (Server Edition). Клиентский вариант проводит антивирусную проверку входящих сообщений, которые по почтовому протоколу РОРЗ принимаются на локальный компьютер из сети Интернет/Инт-ранет. Серверный вариант работает как антивирусный РОРЗ прокси-сервер. Обрабатываются все входящие запросы от РОРЗ клиентов с перенаправлением их на заданные РОРЗ серверы с проверкой всех принимаемых сообщений на вирусы. При обнаружении сообщения, содержащего инфицированные объекты, в зависимости от настроек, оно удаляется или перемещается в карантинную папку (с уведомлением получателю). Встраивание антивирусной проверки не только в почтовые системы, но также и в разные другие прикладные системы - важнейший элемент повышения уровня всеобщей "вооруженности" в борьбе с компьютерными вирусами, троянскими и другими вредоносными программами. Вот некоторые примеры встраивания ядра Doctor Web в прикладные системы. В системе документооборота "Сапиенс" фирмы НПО "Машиностроение" ядро Doctor Web проверяет каждый файл перед его загрузкой на хранение в базу данных. В программе Nero немецкой фирмы Ahead ядро Doctor Web проверяет каждый файл перед его "прожиганием" на CD-R. В программе Stop-Sign американской фирмы Acceleration ядро Doctor Web используется для on-line антивирусной проверки компьютеров. В китайском антивирусе iDuba.net используются два "ядра" - российское Doctor Web и свое китайское. С июля 2002 г. в Южной Корее начались продажи корейского антивируса Virus Chaser, построенного на базе ядра антивируса Doctor Web. Борьба с компьютерными вирусами и троянскими программами рассредоточена по времени и по пространству. Чем больше будет разных "пунктов проверки", тем более высокого уровня будет антивирусная зашита. Такова суть этой совершенно новой "линии фронта". Каждый из нас вполне может внести свой вклад в борьбу с вирусами. Для этого достаточно следовать простейшим правилам компьютерной гигиены дома, в учебном заведении и на работе. Другая наша задача в том, чтобы найти и "разбудить" новые молодые таланты, включить их в изнурительную и увлекательную борьбу с новым типом "зла" - вирусами, троянцами и червями. |