Vīrusi pret antivīrusiem

Datoru vīrusi fantastu darbos parādījās tikai pēc tam, kad pirmais vīruss jau bija sācis savu ceļojumu, bet to eksistenci vēl 1988. gadā datoru guru Pīters Nortons salīdzināja ar mītu par aligatoriem Ņujorkas kanalizācijā. Tagad par vīrusiem brīdina televīzija un radio starp biznesa ziņām un laika prognozēm un humora serveros par tiem var lasīt anekdotes. Kas tad ir datoru vīruss? Dot precīzu definīciju ir grūti, var noformulēt tikai obligāto nepieciešamo nosacījumu: tā ir datorprogramma ar spēju veidot savus dublikātus (ne vienmēr identiskus oriģinālam) un integrēt tos datoru failos, sistēmas apgabalos un citos izpildāmajos objektos, turklāt dublikāti saglabā tālākas izplatīšanās spēju.
Pirmie vīrusi parādījās 60. gadu beigās un 70. gadu sākumā, bet IBM PC vīrusu izplatība sākās 80. gadu beigās. Pirmie IBM PC vīrusi piederēja pie boot (inficē diskešu vai cieto disku ielādes sektorus) un file (inficē failus) tipiem. To izplatīja galvenokārt ar disketēm. To, kā ir mainījusies situācija vīrusu izplatīšanās mehānismos, varam redzēt no ikgadējā ICSA 2000. gada pētījumu pārskata: vēl 1997. gadā 88 procenti vīrusu pārceļoja ar diskešu palīdzību, toties 2000. gadā līderpozīcijas jau piederēja e-pastam – 87 procenti. Tāpat ir mainījušies arī dominējošie vīrusu tipi un arī vīrusu uzbūve.
Pašlaik absolūtie līderi ir dažādu tipu vīrusi (VBS, file, macro), kuri izmanto e-pastu sevis tālākai izplatīšanai, tāpēc ieguvuši nosaukumu Internet worm. Jāpiezīmē, ka parādās arvien jauni Internet worm klases vīrusi, kas nes sevī vēl papildu programmas vai iespējas tās pielādēt no interneta. Tādi ir I-Worm.MTX un I-Worm.Hybris, kuri bieži traucē arī Latvijas datorlietotājus. Piemēram, I-Worm.MTX ir failu vīruss, kas izplatās caur e-pastu un satur arī backdoor, kas paver durtiņas hakeriem uz upura datoru jebkurai rīcībai, sākot no informācijas iznīcināšanas un beidzot ar izmantošanu tālākiem uzbrukumiem. I-Worm.Hybris jau ir spējīgs papildināt arsenālu, pielādējot plug-in moduļus no interneta un tādā veidā iegūstot neprognozējamas īpašības. Šie vīrusi izplatās kā e-pastam pievienoti faili un, lai notiktu datora inficēšanās, nepieciešams, lai lietotājs palaistu tos. Neņemot vērā nemitīgos brīdinājumus medijos, nesen veiktie pētījumi Anglijā parādīja, ka 37 procenti lietotāju ir gatavi palaist uz izpildīšanu jebkuru saņemto failu. Tas izskaidro Internet worm masveida izplatību. Turklāt situāciju vēl pasliktina tas, ka ir parādījušies arī vīrusi, kuri ceļo e-pasta vēstulēs nevis kā pievienotie faili, bet kā vēstulē ievietota skripta programma. Lietotājam pietiek tikai izlasīt vēstuli, un dators var tikt inficēts. Jau kādu laiku datorvīrusu eksperti apspriež ideāla Internet worm iespējamību, kura galvenās īpašības varētu būt ļoti ātra izplatīšanās internetā bez lietotāja piedalīšanās un maksimālas destruktīvās īpašības. Daudzi no viņiem nešaubās, ka tas notiks, vienīgais jautājums – kad tas notiks. Ir pat veikti eksperimenti, lai noskaidrotu šādu Internet worm radīšanas iespējamību. Par šādu Polijā veiktu projektu pagājušā gada pavasarī ziņoja portāls ZDNet News rakstā Next viruses will be silent killers (Nākamie vīrusi būs klusi slepkavas).
Pēc ICSA 2000. gada 300 kompāniju aptaujas rezultātiem datorvīrusu nodarīto zaudējumu veidu pirmajā vietā ir kompāniju kopējās produktivitātes samazināšanās, viena vīrusu incidenta vidējie radītie zaudējumi tiek novērtēti ar 10 000 ASV dolāru, bet maksimālie sasniedz pat 2 000 000 ASV dolāru. Jāpiezīmē, ka tie ir tikai tiešie zaudējumi. Ātri novērtēt zaudējumus, kuri var rasties datorvīrusu dēļ, piemēram, konfidenciālas informācijas noplūdes veidā, ir ļoti grūti vai pat neiespējami. Pēdējos piecos gados inficēšanās iespēja ir pieaugusi vairāk nekā simt reižu un turpina augt.
Viss iepriekš minētais ir radījis antivīrusu aizsardzības produktu izstrādes novirzienu, kura pārdošanas apjoms pēc IDC datiem 2001. gadā sasniegs pusotra miljarda ASV dolāru. Arī aizsardzības metodes un līdzekļi ir ļoti progresējuši. Mūsdienu antivīrusu aizsardzībai vairāk ir preventīvs raksturs. Visiem datoru tīklu informācijas pārraides posmiem ir radīti specializēti antivīrusu aizsardzības produkti, kuri spēj reālā laikā kontrolēt ienākošo un izejošo datu plūsmu un ārstēt vai izolēt inficētos objektus.
Kā piemēru var minēt vienu no antivīrusu industrijas līderiem Kaspersky Lab ar tās produktu klāstu visām populārākajām operētājsistēmām un jebkura mēroga datoru tīkliem. Šīs kompānijas produktu līnijas pirmsākumi meklējami 1989. gadā, kad pašreizējais antivīrusu pētījumu vadītājs Jevgēņijs Kasperskis radīja pirmo programmu – izsaucamo skeneri DOS operētājsistēmai. 1990. gadā tā bija pazīstama ar nosaukumu –V un veiksmīgi cīnījās pret aptuveni 40 vīrusiem.
Mūsdienās jebkurš antivīrusu aizsardzības produkts ir daudzu sarežģītu programmu komplekss, kurš ietver vienai vai vairākām operētājsistēmām paredzētus gan klasiskos, gan speciālos aizsardzības līdzekļus. Tāds, piemēram, ir viens no labākajiem produktiem Windows 95/98/NT/2000/Me darbastacijām Kaspersky™ Anti-Virus (AVP) Platinum. Tā sastāvā ietilpst:

· Scanner for DOS 32
· Scanner for Windows 95/98/Me
· Scanner for NT/2000 workstation
· Monitor for Windows 95/98/Me
· Monitor for Windows NT/2000 workstation
· Inspector
· Script Checker
· Network Control Center
· Control Center
· Automatical Updates

Pirmie sarakstā ir izsaucamie antivīrusu skeneri (scanner) dažādām operētājsistēmām, kuri pārstāv visvecāko antivīrusu paveidu. Ar to palīdzību iespējama visu failu tipu regulāra skenēšana un ārstēšana. Tomēr šis antivīrusu aizsardzības paveids, kas kādreiz veiksmīgi pildīja vienīgā risinājuma lomu, mūsdienās tiek izmantots tikai kā aizsardzības sistēmas sastāvdaļa.
Tālāk seko rezidentie skeneri (monitor), kas pašlaik pilda antivīrusu aizsardzības priekšposteņa lomu. Tās ir programmas, kas nepārtraukti kontrolē visus iespējamos vīrusu nesējus uz visiem vīrusu tipiem un nepieciešamības gadījumā vai nu ārstē, vai nu bloķē inficētos objektus, nepieļaujot vīrusu tālāku izplatību un sistēmas inficēšanos. Rezidento skeneri varētu droši nosaukt par svarīgāko komponenti mūsdienu antivīrusu aizsardzības produktos.
Neatņemama antivīrusu produktu sastāvdaļa ir specializēti plānotāji (Control Center) un automātiskas vīrusu bāzu papildināšanas programmas (Automatical Updates). Plānotāju izmanto, lai noteiktos laikos vai pēc noteiktiem notikumiem izpildītu uzdevumus ar iepriekš noteiktu konfigurāciju. Tipisks piemērs plānotāja uzdevumu sarakstam varētu būt šāds: rezidentais skeneris ir palaists vienmēr; vienreiz dienā tiek palaista vīrusu bāzu papildināšanas programma, kura pārbauda interneta vai lokālā tīkla resursu un pievieno jaunos papildinājumus; noteiktā laikā, kad datora noslodze nav kritiska, tiek palaists izsaucamais skeneris, kas ar jau atjaunoto vīrusu bāzi pārbauda visus datora cietos diskus.
Viens no jaunajiem speciālajiem līdzekļiem ir Script Checker, kurš parādījās pēc bēdīgi slavenā I-Worm.LoveLetter uzbrukuma. Tas kontrolē ar Microsoft Windows Script Host izpildāmās programmas, turklāt veicot to heiristisko analīzi, nevis izmantojot vīrusu bāzi. Tādā veidā tiek nodrošināta aizsardzība pret veselu vīrusu klasi, script vīrusiem, ne tikai pašreizējiem, bet arī nākotnes. Šāda veida aizsardzība iegūst arvien lielāku nozīmi, jo vīrusu izplatīšanās ātrums pašlaik ir ļoti augsts un, ja parādītos jauns, bīstams vīruss, pat vislabākās antivīrusu laboratorijas pasaulē var nespēt pietiekami ātri izlaist vīrusu bāzes papildinājumu.
Ļoti svarīga sastāvdaļa, bez kuras nav iedomājama korporatīvo datoru tīklu aizsardzība, ir antivīrusu aizsardzības centralizēta vadība. Tās lomu pilda Network Control Center, kas nodrođina pilnas menedţmenta iespējas caur TCP/IP protokolu: antivīrusu produktu attālinātu instalāciju, konfigurēšanu, atjaunošanu un sekošanu darbam.
Šis produkts, kompleksi izmantojot visas sastāvdaļas, nodrošina pilnu Windows darbastaciju antivīrusu aizsardzību pret visiem vīrusu tipiem un ļoti daudzām kaitīgām programmām (trojan, backdoor). Tā līderpozīcijas nodrošina daudzi faktori, bet būtiskākie ir vīrusu bāzes papildinājumu biežums, kas nodrošina efektīvu zināmo vīrusu identifikāciju, un tehnoloģijas, kuras bāzējas uz koda analīzi, kas nodrošina efektīvu aizsardzību pret jauniem, nezināmiem vīrusiem. Kaspersky Anti-Virus vīrusu bāze tiek papildināta reizi dienā un parasti ir vairāki desmiti jaunu ierakstu!
Šeit īsumā ir apskatīts tikai viens no visvairāk lietotajiem Kaspersky Lab produktiem, kura sastāvā tuvākajā laikā tiks iekļautas vēl dažas sastāvdaļas, kas vēl vairāk paaugstinās kopējo aizsardzību pret jauniem vīrusiem un funkcionalitāti. Pilnais produktu klāsts ietver ne tikai atsevišķu datoru aizsardzības līdzekļus, bet arī produktus centralizētai korporatīvo tīklu ieejošās un izejošās datu plūsmas pārbaudei, lai atklātu vīrusus un citas kaitīgas programmas. Tādi ir specializēti antivīrusu produkti dažādu ražotāju e-pasta serveriem un ugunssienas (firewall) programmām, kuri iegūst aizvien lielāku popularitāti un nozīmi.
Ņemot vērā inficēšanās varbūtības pieaugumu, risku un iespējamos zaudējumus, antivīrusu aizsardzība pēdējo desmit gadu laikā kļuvusi no ekskluzīva pasākuma par ikdienas nepieciešamību, bet antivīrusu aizsardzības programma – par neatņemamu sastāvdaļu datoru un datoru tīklu programmu obligātajā komplektā.

SIA Datoru Drošības Tehnoloģijas
Daugavgrīvas 31-43
Rīgā, LV1007
Tel. 7805010