Каким образом действуют компьютерные вирусы. Компьютерные вирусы. Принципы действия, способы защиты от компьютерных вирусов

10.7. КОМПЬЮТЕРНЫЕ ВИРУСЫ

Общие сведения

Пользователи ПК наиболее часто сталкиваются с одной из разновидностей компьютерной преступности – компьютерными вирусами. Последние являются особого типа вредоносными программами, доставляющими пользователям и обслуживающему ПК персоналу немало неприятностей.

Компьютерным вирусом называется способная к самовоспроизводству и размножению программа, внедряющаяся в другие программы.

Очевидна аналогия понятий компьютерного и биологического вирусов. Однако не всякая могущая саморазмножаться программа является компьютерным вирусом. Вирусы всегда наносят ущерб – препятствуют нормальной работе ПК, разрушают файловую структуру и т.д., поэтому их относят к разряду так называемых вредоносных программ.

Исторически появление компьютерных вирусов связано с идеей создания самовоспроизводящихся механизмов, в частности программ, которая возникла в 50-х гг. Дж.фон Нейман еще в 1951 г. предложил метод создания таких механизмов, и его соображения получили дальнейшее развитие в работах других исследователей. Первыми появились игровые программы, использующие элементы будущей вирусной технологии, а затем уже на базе накопленных научных и практических результатов некоторые лица стали разрабатывать самовоспроизводящиеся программы с целью нанесения ущерба пользователям компьютера.

Создатели вирусов сосредоточили свои усилия в области ПК вследствие их массовости и практически полного отсутствия эффективных средств защиты как на аппаратном уровне, так и на уровне ОС. Среди побудительных мотивов, движущих авторами вирусов, можно назвать следующие:

· стремление "насолить" кому-либо;

· неестественная потребность в совершении преступлений;

· желание самоутвердиться, озорство и одновременно недопонимание всех последствий распространения вируса;

· невозможность использовать свои знания в конструктивном русле (это в большей степени экономическая проблема);

· уверенность в полной безнаказанности (в ряде стран отсутствуют нормы правовой ответственности за создание и распространение вирусов).

Основными каналами проникновения вирусов в персональный компьютер являются накопители на сменных носителях информации и средства сетевой коммуникации, в частности сеть Internet .

Первые случаи массового заражения ПК вирусами были отмечены в 1987 г., когда появился так называемый Пакистанский вирус, созданный братьями Амджатом и Базитом Алви. Таким образом они решили наказать американцев, покупавших дешевые незаконные копии программного обеспечения в Пакистане, которые братья стали инфицировать разработанным вирусом. Вирус заразил в США более 18 тыс. компьютеров и, проделав кругосветное путешествие, попал в тогда СССР. Следующим широко известным вирусом стал вирус Lehigh (Лехайский вирус), распространившийся в одноименном университете США. В течение нескольких недель он уничтожил содержимое нескольких сот дискет из библиотеки вычислительного цента университета и личных дискет студентов. К февралю 1989 года в США этим вирусом было поражено около 4 тысяч ПК.

В дальнейшем количество вирусов и число зараженных ими компьютеров стало лавинообразно увеличиваться, что потребовало принятия срочных мер как технического, так и организационного и юридического характера. Появились различные антивирусные средства, вследствие чего ситуация стала напоминать гонку вооружений и средств защиты от них. Определенный эффект был достигнут в результате принятия рядом развитых стран законодательных актов о компьютерных преступлениях, среди которых были и статьи, касающиеся создания и распространения компьютерных вирусов.

В настоящее время в мире насчитывается более 20 тысяч вирусов, включая штаммы, т.е. разновидности вирусов одного типа. Вирусы не признают границ, поэтому большинство из них курсирует и по России. Более того, проявилась тенденция увеличения числа вирусов, разработанных отечественными программистами. Если ситуация не изменится, то в будущем Россия сможет претендовать на роль лидера в области создания вирусов.

Классификация вирусов

Жизненный цикл компьютерных вирусов, как правило,включает следующие фазы:

1. латентный период, в течение которого вирусом никаких действий не предпринимается;

2. инкубационный период, в пределах которого вирус только размножается;

3. активный период, в течение которого наряду с размножением выполняются несанкционированные действия, заложенные в алгоритме вируса.

Первые две фазы служат для того, чтобы скрыть источник вируса, канал его проникновения и инфицировать как можно больше файлов до выявления вируса. Длительность этих фаз может определяться предусмотренным в алгоритме временным интервалом, наступлением какого-либо события в системе, наличием определенной конфигурации аппаратных средств ПК (в частности, наличием НЖМД) и т.д.

Компьютерные вирусы классифицируются в соответствии со следующими признаками :

· среда обитания;

· способ заражения среды обитания;

· способ активизации;

· способ проявления (деструктивные действия или вызываемые эффекты);

· способ маскировки.

Вирусы могут внедряться только в программы которые, в свою очередь, могут содержаться или в файлах, или в некоторых компонентах системной области диска, участвующих в процессе загрузки операционной системы. В соответствии со средой обитания различают:

· файловые вирусы , инфицирующие исполняемые файлы;

· загрузочные вирусы , заражающие компоненты системной области, используемые при загрузке ОС;

· файлово-загрузочные вирусы , интегрирующие черты первых двух групп.

Файловые вирусы могут инфицировать:

· позиционно-независимые перемещаемые машинные программы находящиеся в COM-файлах;

· позиционно-зависимые перемещаемые машинные программы, размещаемые в EXE-файлах;

· драйверы устройств (SYS- и BIN-файлы);

· файлы с компонентами DOS;

· объектные модули (OBJ-файлы);

· файлы с программами на языках программирования (в расчете на компиляцию этих программ);

· командные файлы (BAT-файлы);

· объектные и символические библиотеки (LIB- и др. файлы);

· оверлейные файлы (OVL-, PIF- и др. файлы).

Наиболее часто файловые вирусы способны внедряться в COM и/или EXE-файлы.

Загрузочные вирусы могут заражать:

· загрузочный сектор на дискетах;

· загрузочный сектор системного логического диска, созданного на винчестере;

· внесистемный загрузчик на жестком диске.

Загрузочные вирусы распространяются на дискетах в расчете на то, что с них будет осуществлена попытка загрузиться, что происходит не так часто. У файловых вирусов инфицирующая способность выше.

Файлово-загрузочные вирусы обладают еще большей инфицирующей способностью, так как могут распространяться как в программных файлах, так и на дискетах с данными.

Способы заражения среды обитания , зависят от типа последней. Зараженная вирусом среда называется вирусоносителем. При имплантации тело файлового вируса может размещаться:

· в конце файла;

· в начале файла;

· в середине файла;

· в хвостовой (свободной) части последнего кластера, занимаемого файлом.

Наиболее легко реализуется внедрение вируса в конец COM-файла . При получении управления вирус выбирает файл-жертву и модифицирует его следующим образом:

1. дописывает к файлу собственную копию (тело вируса);

2. сохраняет в этой копии оригинальное начало файла;

3. заменяет оригинальное начало файла на команду передачи управления на тело вируса.

При запуске инфицированной описанным способом программы первоначально инициируется выполнение тела вируса, в результате чего:

1. восстанавливается оригинальное начало программы (но не в файле, а в памяти!);

2. возможно, отыскивается и заражается очередная жертва;

3. возможно, осуществляются несанкционированные пользователем действия;

4. производится передача управления на начало программы-вирусоносителя, в результате чего она выполняется обычным образом.

Имплантация вируса в начало COM-файла производится иначе: создается новый файл, являющийся объединением тела вируса и содержимого оригинального файла. Два описанных способа внедрения вируса ведут к увеличению длины оригинального файла .

Имплантация вируса в середину файла наиболее сложна и специализирована. Сложность состоит в том, что в этом случае вирус должен "знать" структуру файла-жертвы (например, COMMAND.COM), чтобы можно было внедриться, в частности, в область стека. Описанный способ имплантации не ведет к увеличению длины файла .

Проявлением (деструктивными действиями) вирусов могут быть:

· влияние на работу ПК;

· искажение программных файлов;

· искажение файлов с данными;

· форматирование диска или его части;

· замена информации на диске или его части;

· искажения системного или несистемного загрузчика диска;

· разрушение связности файлов путем искажения таблицы FAT;

· искажение данных в CMOS-памяти.

Большую часть вирусов первой группы, вызывающих визуальные или звуковые эффекты, неформально называют "иллюзионистами". Другие вирусы этой же группы могут замедлять работу ПК или препятствовать нормальной работе пользователя, модифицируя и блокируя функции выполняемых программ, а также операционной системы. Вирусы всех остальных групп часто называют "вандалами" из-за наносимого ими, как правило, непоправимого ущерба.

В соответствии со способами маскировки различают:

· не маскирующиеся вирусы;

· самошифрующиеся вирусы;

· стелс-вирусы.

Авторы первых вирусов уделяли особое внимание механизмам размножения (репликации) с внедрением тел в другие программы. Маскировка же от антивирусных средств не осуществлялась. Такие вирусы называются немаскирующимися.

В связи с появлением антивирусных средств разработчики вирусов сосредоточили усилия на обеспечении маскировки своих изделий. Сначала была реализована идея самошифрования вируса. При этом лишь небольшая его часть является доступной для осмысленного чтения, а остальная расшифровывается непосредственно перед началом работы вируса. Такой подход затрудняет как обнаружение вируса, так и анализ его тела специалистами.

Появились также стелс-вирусы, названные по аналогии с широкомасштабным проектом по созданию самолетов-невидимок. Методы маскировки, используемые стелс-вирусами, носят комплексный характер, и могут быть условно разделены на две категории:

1. маскировка наличия вируса в программе-вирусоносителе;

2. маскировка присутствия резидентного вируса в ОЗУ.

1. автомодификация тела вируса;

2. реализация эффекта удаления тела вируса из вирусоносителя при чтении последнего с диска, в частности, отладчиком (это осуществляется путем перехвата прерывания, конечно, в случае наличия резидентного вируса в ОЗУ);

3. имплантация тела вируса в файл без увеличения его размера;

4. эффект неизменности длины инфицированного файла (осуществляется аналогично п.2);

5. сохранение неизменным оригинального начала программных файлов.

Например, при чтении каталога средствами DOS резидентный вирус может перехватить соответствующее прерывание и искусственно уменьшить длину файла. Конечно реальная длина файла не меняется, но пользователю выдаются сведения, маскирующие ее увеличение. Работая же с каталогами непосредственно (в обход средств DOS), можно получить истинную информацию о характеристиках файла. Такие возможности предоставляет, в частности, оболочка Norton Commander.

1. занесение тепа вируса в специальную зону резидентных модулей DOS, в хвостовые части кластеров, в CMOS-память, видеопамять и т. п.;

2. модификацию списка несистемного загрузчика, о чем уже говорилось;

3. манипулирование обработчиками прерываний, в частности, специальные методы их подмены, с целью обойти резидентные антивирусные средства;

4. корректировку общего объема ОЗУ.

При повседневной работе пользователь в состоянии обнаружить вирус по его симптомам . Естественно, что симптомы вируса непосредственно определяются реализованными в нем способами проявления, а также др. характеристиками вируса. В качестве симптомов вирусов выделяют следующие:

· увеличение числа файлов на диске;

· уменьшение объема свободной оперативной памяти;

· изменения времени и даты создания файла;

· увеличение размера программного файла;

· появление на диске зарегистрированных дефектных кластеров;

· ненормальная работа программы;

· замедление работы программы;

· загорание лампочки дисковода в то время, когда к диску не должны происходить обращения;

· заметное возрастание времени доступа к жесткому диску;

· сбои в работе операционной системы, в частности, ее зависание;

· невозможность загрузки операционной системы

· разрушение файловой структуры (исчезновение файлов, искажение каталогов).

Наряду с компьютерными вирусами существуют и другие опасные программы, например, так называемые "черви", формально именуемые репликаторами . Их основная особенность состоит в способности к размножению без внедрения в другие программы. Репликаторы создаются с целью распространения по узлам вычислительной сети и могут иметь начинку, состоящую, в частности, из вирусов. В этом отношении можно провести аналогию между "червем" и шариковой бомбой.

Примером репликатора является программа Christmas Tree, рисующая на экране дисплея рождественскую елку, а затем рассылающая свои копии по всем адресам, зарегистрированным средствами электронной почты.

Классификация антивирусных средств.

В настоящие время имеется большое количество антивирусных средств. Однако все они не обладают свойствами универсальности: каждое рассчитано на конкретные вирусы, либо перекрывает некоторые каналы заражения ПК или распространения вирусов. В связи с этим перспективной областью исследований можно считать применение методов искусственного интеллекта к проблеме создания антивирусных средств.

Антивирусным средством, называют программный продукт, выполняющий одну или несколько из следующих функций:

1. защиту файловой структуры от разрушения;

2. обнаружение вирусов;

нейтрализацию вирусов;

Вирус-фильтром (сторожем ) называется резидентная программа, обеспечивающая контроль выполнения характерных для вирусов действий и требующая от пользователя потверждения на производство действий. Контроль осуществляется путем подмены обработчиков соответствующих прерываний. В качестве контролируемых действий могут выступать:

· обновление программных файлов;

· прямая запись на диск (по физическому адресу);

· форматирование диска;

· резидентное размещение программы в ОЗУ.

Детектором называется программа, осуществляющая поиск вирусов как на внешних носителях информации, так и в ОЗУ. Результатом работы детектора является список инфицированных файлов и/или областей, возможно, с указанием конкретных вирусов, их заразивших.

Детекторы делятся на универсальные (ревизоры) и специализированные. Универсальные детекторы проверяют целостность файлов путем подсчета контрольной суммы и ее сравнения с эталоном. Эталон либо указывается в документации на программный продукт, либо может быть определен в самом начале его эксплуатации.

Специализированные детекторы настроены на конкретные вирусы, один или несколько. Если детектор способен обнаруживать несколько различных вирусов, то его называют полидетектором . Работа специализированного детектора основывается на поиске строки кода, принадлежащей тому или иному вирусу, возможно заданной регулярным выражением. Такой детектор не способен обнаружить все возможные вирусы.

Дезинфектором (доктором, фагом ) называется программа, осуществляющая удаление вируса как с восстановлением, так и без восстановления среды обитания. Ряд вирусов искажает среду обитания таким образом, что ее исходное состояние не может быть восстановлено.

Наиболее известными полидетекторами-фагами являются программные пакеты Antiviral Toolkit Pro Евгения Касперского и DrWeb фирмы Диалог.

Иммунизатором (вакциной ) называют программу, предотвращающую заражение среды обитания или памяти конкретными вирусами. Иммунизаторы решают проблему нейтрализации вируса не посредством его уничтожения, а путем блокирования его способности к размножению. Такие программы в настоящее время практически не используются.

Методы защиты от компьютерных вирусов

При защите от компьютерных вирусов как никогда важна комплексность проводимых мероприятий как организационного, так и технического характера. На переднем ее крае “обороны” целесообразно разместить средства защиты данных от разрушения, за ними – средства обнаружения вирусов и, наконец, средства нейтрализации вирусов.

Средства защиты данных от возможной потери и разрушения должны использоваться всегда и регулярно . Дополнительно к этому следует придерживаться следующих рекомендаций организационного характера, чтобы избавиться от заражения вирусами:

· гибкие диски использовать всегда, когда это возможно, с заклеенной прорезью защиты от записи,

· без крайней необходимости не пользоваться неизвестными дискетами;

· не передавать свои дискеты другим лицам;

· не запускать на выполнение программы, назначение которых не понятно; использовать только лицензионные программные продукты;

· ограничить доступ к ПК посторонних лиц.

При необходимости использования программного продукта, полученного из неизвестного источника, рекомендуется:

· протестировать программный продукт специализированными детекторами на предмет наличия известных вирусов. Нежелательно размещать детекторы на жестком диске – для этого нужно использовать защищенную от записи дискету.

· осуществить резервирование файлов нового программного продукта;

· провести резервирование тех своих файлов, наличие которых требуется для работы нового программного обеспечения;

· организовать опытную эксплуатацию нового программного продукта на фоне вирус-фильтра с обдуманными ответами на его сообщения.

Защита от компьютерных вирусов должна стать частью комплекса мер по защите информации как в отдельных компьютерах, так и в автоматизированных информационных системах в целом.

Безруков Н.Н. Компьютерные вирусы. - М.: Наука, 1991. - 160 с.

[

ВИРУСЫ.

Решить задачу теоретического обнаружения вирусов невозможно, поэтому на практике приходится решать частные задачи относительно частных случаев вредоносных программ. В зависимости от свойств вирусов для их обнаружения и нейтрализации могут применяться различные методы. Необходимо отметить, что на практике классификации, принятые различными производителями антивирусных продуктов, отличаются, хотя и построены на близких принципах. Поэтому в ходе изложения будут формулироваться в первую очередь принципы, и уже потом примеры из классификации.
Практическое определение вируса Определение компьютерного вируса - исторически проблемный вопрос, поскольку достаточно сложно дать четкое определение вируса, очертив при этом свойства, присущие только вирусам и не касающиеся других программных систем. Наоборот, давая жесткое определение вируса как программы, обладающей определенными свойствами, практически сразу же можно найти пример вируса, таковыми свойствами не обладающего.Приведу несколько формулировок определения:Хронологически наиболее раннее определение от Евгения Касперского (книга "Компьютерные вирусы"): Определение 1: ОБЯЗАТЕЛЬНЫМ (НЕОБХОДИМЫМ) СВОЙСТВОМ КОМПЬЮТЕРНОГО ВИРУСА является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению. Определение по ГОСТ Р 51188-98:
Определение 2: Вирус - программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам. Легко заметить, что определение в ГОСТ практически полностью повторяет определение Е. Касперского.

Определения 1 и 2 в большой степени повторяют определение Ф. Коэна или уточнение, предложенное Д. Чессом и С. Вайтом, что позволяет распространить на них (определения) вывод о невозможности создать алгоритм, обнаруживающий все такие программы или даже все "инкарнации" одного из вирусов. Тем не менее, на практике оказывается, что все известные вирусы могут быть обнаружены антивирусными программами. Результат достигается в частности еще и за счет того, что поврежденные или неудачные экземпляры вирусов, неспособные к созданию и внедрению своих копий, обнаруживаются и классифицируются наравне со всеми остальными "полноценными" вирусами. Следовательно, с практической точки зрения, т. е. с точки зрения алгоритмов поиска, способность к размножению вовсе не является обязательной для причисления программы к вирусам.Другая проблема, связанная с определением компьютерного вируса кроется в том, что сегодня под вирусом чаще всего понимается не "традиционный" вирус, а практически любая вредоносная программа. Это приводит к путанице в терминологии, осложненной еще и тем, что практически все современные антивирусы способны выявлять указанные типы вредоносных программ, таким образом ассоциация "вредоносная программа-вирус" становится все более устойчивой.Исходя из этого, а также из назначения антивирусных средств, в дальнейшем, если это не будет оговорено отдельно, под вирусами будут подразумеваться именно вредоносные программы. Определение 3: Вредоносная программа - компьютерная программа или переносной код, предназначенный для реализации угроз информации, хранящейся в КС, либо для скрытого нецелевого использования ресурсов КС, либо иного воздействия, препятствующего нормальному функционированию КС. К вредоносным программам относятся компьютерные вирусы, трояны, сетевые черви и др. Компьютерные вирусы, трояны и черви являются основными типами вредоносных программ.
Вирусы

Классические определения компьютерного вируса приведены выше.

Жизненный цикл Поскольку отличительной особенностью вирусов в традиционном смысле является способность к размножению в рамках одного компьютера, деление вирусов на типы происходит в соответствии со способами размножения.Сам процесс размножения может быть условно разделен на несколько стадий: 1. Проникновение на компьютер 2. Активация вируса3. Поиск объектов для заражения4. Подготовка вирусных копий5. Внедрение вирусных копий

Особенности реализации каждой стадии порождают атрибуты, набор которых фактически и определяет класс вируса.

Проникновение

Вирусы проникают на компьютер вместе с зараженными файлами или другими объектами (загрузочными секторами дискет), никак, в отличие от червей, не влияя на процесс проникновения. Следовательно, возможности проникновения полностью определяются возможностями заражения и классифицировать вирусы по этим стадиям жизненного цикла отдельно смысла нет.

Активация

Для активации вируса необходимо, чтобы зараженный объект получил управление. На данной стадии деление вирусов происходит по типам объектов, которые могут быть заражены:

1.Загрузочные вирусы - вирусы, заражающие загрузочные сектора постоянных и сменных носителей. 2.Файловые вирусы -вирусы, заражающие файлы. Эта группа дополнительно делится на три, в зависимости от среды в которой выполняется код: · Собственно файловые вирусы - те, которые непосредственно работают с ресурсами операционной системы.Из последних вредоносных программ, обладающих вирусной функциональностью, можно отметить Email-Worm.Win32.Bagle.p (а также его модификации.q и.r). · Макровирусы - вирусы, написанные на языке макрокоманд и исполняемые в среде какого-либо приложения. В подавляющем большинстве случаев речь идет о макросах в документах Microsoft Office.

Макро-вирусы способны заражать не только документы Microsoft Word и Excel. Существуют вредоносные программы ориентированные и на другие типы документов: Macro.Visio.Radiant заражает файлы известной программы для построения диаграмм -Visio, Virus.Acad.Pobresito - документы AutoCAD, Macro.AmiPro.Green - документы популярного раньше текстового процессора Ami Pro.

· Скрипт-вирусы - вирусы, исполняемые в среде определенной командной оболочки: раньше - bat-файлы в командной оболочке DOS, сейчас чаще VBS и JS - скрипты в командной оболочке Windows Scripting Host (WSH).Отдельно стоит отметить тот факт, что вирусы, рассчитанные для работы в среде определенной ОС или приложения, оказываются неработоспособными в среде других ОС и приложений. Поэтому как отдельный атрибут вируса выделяется среда, в которой он способен выполняться. Для файловых вирусов это DOS, Windows, Linux, MacOS, OS/2. Для макровирусов - Word, Excel, PowerPoint, Office. Иногда вирусу требуется для корректной работы какая-то определенная версия ОС или приложения, тогда атрибут указывается более узко: Win9x, Excel97. Поиск жертв На стадии поиска объектов для заражения встречается два способа поведения вирусов.1.Получив управление, вирус производит разовый поиск жертв, после чего передает управление ассоциированному с ним объекту (зараженному объекту).2.Получив управление, вирус так или иначе остается в памяти и производит поиск жертв непрерывно, до завершения работы среды, в которой он выполняетсяВирусы второго типа во времена однозадачной DOS было принято называть резидентными. С переходом на Windows проблема остаться в памяти перестала быть актуальной: практически все вирусы, исполняемые в среде Windows, равно как и в среде приложений MS Office, являются вирусами второго типа. И напротив, скрипт-вирусы являются вирусами первого типа. Соответственно, атрибут резидентный применим только к файловым DOS вирусам. Существование нерезидентных Windows вирусов возможно, но на практике они являются редким исключением.Отдельно имеет смысл рассмотреть так называемые stealth-вирусы - вирусы, которые находясь постоянно в памяти, перехватывают обращения к зараженному файлу и на ходу удаляют из него вирусный код, передавая в ответ на запрос неизмененную версию файла. Таким образом эти вирусы маскируют свое присутствие в системе. Для их обнаружения антивирусным средствам требуется возможность прямого обращения к диску в обход средств операционной системы. Наибольшее распространение Stealth-вирусы получили во времена DOS. Подготовка вирусных копий Определение 4: Сигнатура вируса - в широком смысле, информация, позволяющая однозначно определить наличие данного вируса в файле или ином коде. Примерами сигнатур являются: уникальная последовательность байт, присутствующая в данном вирусе и не встречающаяся в других программах; контрольная сумма такой последовательности. Процесс подготовки копий для распространения может существенно отличаться от простого копирования. Авторы наиболее сложных в технологическом плане вирусов стараются сделать разные копии максимально непохожими для усложнения их обнаружения антивирусными средствами. Как следствие, составление сигнатуры для такого вируса крайне затруднено либо вовсе невозможно. Внедрение

Внедрение вирусных копий может осуществляться двумя принципиально разными методами:

· Внедрение вирусного кода непосредственно в заражаемый объект · Замена объекта на вирусную копию. Замещаемый объект, как правило, переименовывается

Для вирусов характерным является преимущественно первый метод. Второй метод намного чаще используется червями и троянами, а точнее троянскими компонентами червей, поскольку трояны сами по себе не распространяются.

Ущерб от вредоносных программ

Черви и вирусы могут осуществлять все те же действия, что и трояны. На уровне реализации это могут быть как отдельные троянские компоненты, так и встроенные функции. Кроме этого, за счет массовости, для вирусов и червей характерны также другие формы вредоносных действий:

· Перегрузка каналов связи - свойственный червям вид ущерба, связанный с тем, что во время масштабных эпидемий по Интернет-каналам передаются огромные количества запросов, зараженных писем или непосредственно копий червя. В ряде случаев, пользование услугами Интернет во время эпидемии становится затруднительным. Примеры: Net-Worm.Win32.Slammer · DDoS атаки - благодаря массовости, черви могут эффективно использоваться для реализации распределенных атак на отказ в обслуживании (DDoS атак). В разгар эпидемии, когда зараженными являются миллионы и даже десятки миллионов компьютеров, обращение всех инфицированных систем к определенному Интернет ресурсу приводит к полному блокированию этого ресурса. Так, во время атаки червя MyDoom сайт компании SCO был недоступен в течение месяца.· Потеря данных - более характерное для вирусов, чем для троянов и червей, поведение, связанное с намеренным уничтожением определенных данных на компьютере пользователя. Примеры: Virus.Win9x.CIH - удаление стартовых секторов дисков и содержимого Flash BIOS, Macro.Word97.Thus - удаление всех файлов на диске C:, Email-Worm.Win32.Mydoom.e - удаление файлов с определенными расширениями в зависимости от показателя счетчика случайных чисел· Нарушение работы ПО - также более свойственная вирусам черта. Из-за ошибок в коде вируса, зараженные приложения могут работать с ошибками или не работать вовсе. Примеры: Net-Worm.Win32.Sasser.a - перезагрузка зараженного компьютера· - интенсивное использование ресурсов компьютера вредоносными программами ведет к снижению производительности как системы в целом, так и отдельных приложений. Примеры: в разной степени - любые вредоносные программы

Наличие деструктивных действий вовсе не является обязательным критерием для классификации программного кода как вирусного. Следует также отметить, что одним только процессом саморазмножения вирус способен причинить колоссальный ущерб. Наиболее яркий пример - Net-Worm.Win32.Slammer.

Угрозы безопасности информации Рассмотрим угрозы безопасности информации с точки зрения вирусов. Учитывая тот факт, что общее число вирусов по состоянию на сегодня превосходит 100000, проанализировать угрозы со стороны каждого из них является слишком трудоемкой и бесполезной задачей, поскольку ежедневно возрастает количество вирусов, а значит, необходимо ежедневно модифицировать полученный список. Будем считать, что вирус способен реализовать любую из угроз безопасности информации.Существует множество способов классификации угроз безопасности информации, которая обрабатывается в автоматизированной системе. Наиболее часто используется классификация угроз по результату их влияния на информацию, а именно - нарушение конфиденциальности, целостности и доступности.Для каждой угрозы существует несколько способов ее реализации со стороны вирусов. Угроза нарушения конфиденциальности

· Кража информации и ее распространение с помощью штатных средств связи либо скрытых каналов передачи: Email-Worm.Win32.Sircam - рассылал вместе с вирусными копиями произвольные документы, найденные на зараженном компьютере

· Любая деятельность, результатом которой является невозможность доступа к информации; различные звуковые и визуальные эффекты: Email-Worm.Win32.Bagle.p - блокирование доступа к сайтам антивирусных компаний · Вывод компьютера из строя путем уничтожения либо порчи критических составляющих (уничтожение Flash BIOS): Virus.Win9x.CIH - порча Flash BIOSКак несложно было убедиться, для каждого из приведенных выше способов реализации угроз можно привести конкретный пример вируса, реализующего один или одновременно несколько способов. Заключение Вредоносные программы отличаются условиями существования, применяемыми технологиями на различных этапах жизненного цикла, собственно вредоносным воздействием - все эти факторы и являются основой для классификации. В результате по основному (с исторической точки зрения) признаку - размножению, вредоносные программы делятся на три типа: собственно вирусы, черви и трояны.Независимо от типа, вредоносные программы способны наносить значительный ущерб, реализуя любые угрозы информации - угрозы нарушения целостности, конфиденциальности, доступности. В связи с этим при проектировании комплексных систем антивирусной защиты, и даже в более общем случае - комплексных системы защиты информации, необходимо проводить градацию и классифицировать объекты сети по важности обрабатываемой на них информации и по вероятности заражения этих узлов вирусами.

1 Компьтерные вирусы

1.2 Принципы работы вирусов

3 Меры защиты от вирусов. Основные антивирусные программы

Введение

Для упрощения математических вычислений человек изобрел компьютер, чтобы решать те или иные задачи по вычислению и хранения информации этих вычислений,придумав «последовательность инструкций, определяющих процедуру решения конкретной задачи компьютером» – программы. Программы упрощают работы по вычислению. Вычисление и программы для вычисления представляют собой определённую ценность, которая необходима злоумышленникам для своей выгоды. Чтобы похить нужную информацию злоумышленники придумали вредоносные программы – вирусы.

Компьютерный вирус – вид вредоносного программного обеспечения, способный создавать копии самого себя и внедрятся в код других программ, системные области памяти, загрузочные секторы, а так же распространять свои копии по разнообразным каналам связи, с целью нарушения работы программно-аппаратных комплексов, удаления файлов, приведения в негодность структур размещения данных, блокирования работы пользователей или же приведение в негодность аппаратных комплексов компьютера.

1 Компьтерные вирус

1.1 Краткая история создания вирусов

«Основы теории самовоспроизводящихся механизмов заложил американец венгерского происхождения Джон фон Нейман, который в 1951 году предложил метод создания таких механизмов. С 1961 года известны рабочие примеры таких программ.

Первыми известными вирусами являются Virus 1,2,3 и Elk Cloner для ПК Apple II, появившиеся в 1981 году. Зимой 1984 года появились первые антивирусные утилиты - CHK4BOMB и BOMBSQAD авторства Энди Хопкинса (англ. Andy Hopkins). В начале 1985 года Ги Вонг (англ. Gee Wong) написал программу DPROTECT - первый резидентный антивирус.

Первые вирусные эпидемии относятся к 1986-1989 годам: Brain.A (распространялся в загрузочных секторах дискет, вызвал крупнейшую эпидемию), Jerusalem (проявился в пятницу 13 мая 1988 года, уничтожая программы при их запуске), червь Морриса (свыше 6200 компьютеров, большинство сетей вышло из строя на срок до пяти суток), DATACRIME (около 100 тысяч зараженных ПЭВМ только в Нидерландах).

Тогда же оформились основные классы двоичных вирусов: сетевые черви (червь Морриса, 1987), «троянские кони» (AIDS, 1989), полиморфные вирусы (Chameleon, 1990), стелс-вирусы (Frodo, Whale, 2-я половина 1990).

Параллельно оформляются организованные движения как про-, так и антивирусной направленности: в 1990 году появляются специализированная BBS Virus Exchange, «Маленькая чёрная книжка о компьютерных вирусах» Марка Людвига, первый коммерческий антивирус Symantec Norton AntiVirus.

В 1992 году появились первый конструктор вирусов для PC - VCL (для Amiga конструкторы существовали и ранее), а также готовые полиморфные модули (MtE, DAME и TPE) и модули шифрования для встраивания в новые вирусы.

В несколько последующих лет были окончательно отточены стелс- и полиморфные технологии (SMEG.Pathogen, SMEG.Queeg, OneHalf, 1994; NightFall, Nostradamus, Nutcracker, 1995), а также испробованы самые необычные способы проникновения в систему и заражения файлов (Dir II - 1991, PMBS, Shadowgard, Cruncher - 1993). Кроме того, появились вирусы, заражающие объектные файлы (Shifter, 1994) и исходные тексты программ (SrcVir, 1994). С распространением пакета Microsoft Officeполучили распространение макровирусы (Concept, 1995).

В 1996 году появился первый вирус для Windows 95 - Win95.Boza, а в декабре того же года - первый резидентный вирус для неё - Win95.Punch.

С распространением сетей и Интернета файловые вирусы всё больше ориентируются на них как на основной канал работы (ShareFun, 1997 - макровирус MS Word, использующий MS-Mail для распространения; Win32.HLLP.DeTroie, 1998 - семейство вирусов-шпионов; Melissa, 1999 - макровирус и сетевой червь, побивший все рекорды по скорости распространения). Эру расцвета «троянских коней» открывает утилита скрытого удаленного администрирования BackOrifice (1998) и последовавшие за ней аналоги (NetBus, Phase).

Вирус Win95.CIH достиг апогея в применении необычных методов, перезаписывая FlashBIOS зараженных машин (эпидемия в июне 1998 считается самой разрушительной за предшествующие годы).

В конце 1990-x - начале 2000-x годов с усложнением ПО и системного окружения, массовым переходом на сравнительно защищенные Windows семейства NT, закреплением сетей как основного канала обмена данными, а также успехами антивирусных технологий в обнаружении вирусов, построенных по сложным алгоритмам, последние стали всё больше заменять внедрение в файлы на внедрение в операционную систему (необычный автозапуск, руткиты) и подменять полиморфизм огромным количеством видов (число известных вирусов растет экспоненциально).

Вместе с тем, обнаружение в Windows и другом распространенном ПО многочисленных уязвимостей открыло дорогу червям-эксплоитам. В 2004 году беспрецедентные по масштабам эпидемии вызывают MsBlast (по данным Microsoft - более 16 млн систем ]), Sasser и Mydoom (оценочные ущербы 500 млн и 4 млрд долл. соответственно).

Кроме того, монолитные вирусы в значительной мере уступают место комплексам вредоносного ПО с разделением ролей и вспомогательными средствами (троянские программы, загрузчики/дропперы, фишинговые сайты, спам-боты и пауки). Также расцветают социальные технологии - спам и фишинг - как средство заражения в обход механизмов защиты ПО.

В начале на основе троянских программ, а с развитием технологий p2p-сетей - и самостоятельно - набирает обороты самый современный вид вирусов - черви-ботнеты (Rustock, 2006, ок. 150 тыс. ботов; Conficker, 2008-2009, более 7 млн ботов; Kraken, 2009, ок. 500 тыс. ботов). Вирусы в числе прочего вредоносного ПО окончательно оформляются как средство киберпреступности.»

1.2 Принципы работы вирусов

Конкретных схем им принципов работы вирусов нет,так как существует множество различных групп вирусов,и для каждой группы свой механизмы работы. В среднем вирус проходит в развитии три этапа:1) заражение - 2)размножение - 3)атака.

«1)Заражение. Этап заражения мы уже кратко рассмотрели. Заражение происходит при запуске инфицированной программы или при обращении к носителю, имеющему вредоносный код в системной области. Обычно код вируса сначала поступает в оперативную память работающего компьютера, откуда он копируется на запоминающие устройства.

2)Размножение. Размножение вируса происходит как серия последовательных заражений. Если на компьютере образовался зараженный исполнимый файл, то при его запуске код вируса перемещается в оперативную память (вирус становится резидентной программой), откуда происходит заражение других файлов при их запуске. В первую очередь поражаются файлы самой операционной системы. Чем чаще срабатывает механизм, тем больше файлов поражается.

Если речь идет не о файловом вирусе, а о загрузочном, то после загрузки операционной системы код вируса перемещается со служебных секторов носителя в оперативную память, а потом копируется оттуда в служебные секторы других носителей (например гибких дисков), запись которых осуществляется на данном компьютере.

3)Атака. Вирусная атака - последняя фаза развития вируса. Во время атаки вирус производит более или менее разрушительные действия и при этом непременно проявляет себя. Если бы каждый вирус сразу после поступления на компьютер начинал немедленную атаку, вирусов уже давно бы не было - их бы псе повывели. Это естественно, ведь когда разрушительные вирусы уничтожают все, что есть на компьютере, то гибнут и сами. А если вирус не разрушительный, а просто вредный, то во время атаки он демаскируется, попадает под огонь средств защиты и гибнет. Поэтому большинству вирусов и нужна пассивная фаза размножения. Пока вирус не наделал достаточного числа собственных копий, запускать его механизм срабатывания бессмысленно. Механизм вирусной атаки может запускаться по счетчику, когда создано определенное число копий, по системным часам в определенную дату, по командам из удаленного центра управления, если компьютер работает в сети, при запуске определенных файлов или открытии определенных документов и т. п.»

1)Через физические носители:

Дискеты и флэш-накопители заражают компьютер при помощи вирусов, которые прописывают свой пути и переход в файле автозапуска данного носителя autorun.inf , прописывая своё направления для открытия вредоносных файлов

2) Электронная почта(E-mail)

Письма, приходящие на E-mail содержат в себе вредоносные файлы (например, медиафайлы) и ссылки на сайты. Ссылки, могут не нести не кого вреда(вирусного кода), они служат как переотправители на сайты с вирусным кодом.

3)Веб-страницы

«Возможно также заражение через страницы Интернета ввиду наличия на страницах всемирной паутины различного «активного» содержимого: скриптов, ActiveX-компонент. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (что опаснее, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей), а ничего не подозревающие пользователи, зайдя на такой сайт, рискуют заразить свой компьютер.»

4) Внедрение по сети

Вредоносные программы могут распространяться через Интернет или интрасеть(локальная сеть) компании.

Через уязвимости сети, такие как ошибки в программировании,недостатки в проектировании системы, ненадежные пароли и ряд других причин, сетевой червь(разновидность вредоносной программы, самостоятельно распространяющейся через локальные и глобальные компьютерные сети) попадает в операционную систему компьютера, в дальнейшем действиями червями служит заражение других компьютеров сети, как правило для спама или DDoS-атак. DDoS-атака выполняется хакерами на вычислительную систему с целью довести её до отказа, то есть создание таких условий, при которых легальные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам), либо этот доступ затруднён, а спам же служит для распространения коммерческой рекламы без согласия пользователя.

5) Драйверы ОС

Вредоносные программы могут распространяться и через драйверы ОС, хотя этот канал распространения вирусов используется достаточно редко.

Вирус может внедриться в программный файл драйвера операционной системы (например, в драйвер диска) и выполнять системные операции под своим контролем.

Следует заметить, что в среде ОС Microsoft Windows NT/2000/XP/2003 для такого внедрения программный код вредоносной программы должен работать с привилегиями администратора.

Вредоносная программа может также функционировать и как сервис ОС Microsoft Windows NT/2000/XP/2003.

Вирус или другая вредоносная программа может внедриться в драйвер операционной системы Linux/FreeBSD и других Unix-подобных операционных систем, если программный код вируса работает с привилегиями администратора (пользователя root).

1.4 Симптомы заражения вирусами

· «автоматическое открытие окон с незнакомым содержимым при запуске компьютера;

· блокировка доступа к официальным сайтам антивирусных компаний, или же к сайтам, оказывающим услуги по «лечению» компьютеров от вредоносных программ;

· появление новых неизвестных процессов в выводе диспетчера задач (например, окне «Процессы» диспетчера задач Windows);

· появление в ветках реестра, отвечающих за автозапуск, новых записей;

· запрет на изменение настроек компьютера в учётной записи администратора;

· невозможность запустить исполняемый файл (выдаётся сообщение об ошибке);

· появление всплывающих окон или системных сообщений с непривычным текстом, в том числе содержащих неизвестные веб-адреса и названия;

· перезапуск компьютера во время старта какой-либо программы;

· случайное и/или беспорядочное отключение компьютера;

· случайное аварийное завершение программ.

Однако, следует учитывать, что несмотря на отсутствие симптомов, компьютер может быть заражен вредоносными программами.»

2 Классификация компьютерных вирусов

Единой классификация вирусов на данный момент не существует, но в среднем на основе признаков,указанных ниже, можно построить следующую классификацию:

По области обитания

По методу инфицированию области обитания

По деструктивному воздействию

По специфики алгоритма вирусов

Классификация по области обитания

Загрузочные вирусы проникают в загрузочные сектора устройств хранения данных (жесткие диски, дискеты, переносные запоминающие устройства). При загрузке операционной системы с зараженного диска происходит активация вируса. Его действия могут состоять в нарушении работы загрузчика операционной системы, что приводит к невозможности ее работы, либо изменении файловой таблицы, что делает недоступным
определенные файлы.
Файловые вирусы чаще всего внедряются в исполнительные модули программ (файлы с помощью которых производится запуск той или иной программы), что позволяет им активироваться в момент запуска программы, влияя на ее функциональность. Реже файловые вирусы могут внедрятся в библиотеки операционной системы или прикладного ПО, исполнительные пакетные файлы, файлы реестра Windows, файлы сценариев, файлы драйверов. Внедрение может проводиться либо изменением кода атакуемого файла, либо созданием его модифицированной копии. Таким образом, вирус, находясь в файле, активируется при доступе к этому файлу, инициируемому пользователем или самой ОС. Файловые вирусы – наиболее распространенный вид компьютерных вирусов.

Файлово-загрузочные вирусы обедняют в себе возможности двух предыдущих групп, что позволяет им представлять серьезную угрозу работе компьютера.

Сетевые вирусы распространяются посредством сетевых служб и протоколов. Таких как рассылка почты, доступ к файлам по FTP, доступ файлам через службы локальных сетей. Что делает их очень опасными, так как заражение не остается в пределах одного компьютера или даже одной локальной сети, а начинает распространятся по разнообразным каналам связи.

Макровирусы заражают файлы современных офисных систем (Microsoft Office, Open Office…) через возможность использования в этих системах макросов. Макрос – это определенный, заранее определенный набор действий, микропрограмма, встроенная в документ и вызываемая непосредственно из него для модификации этого документа или других функций. Именно макрос и является целью макровирусов

Классификация по методу инфицированию области обитания

По методу инфицирования области обитания вирусы делятся на два вида: Резидентные и Нерезидентные.

Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.

В отличие от резидентных Нерезидентные вирусы попадают в оперативную память ЭВМ только на время их активности, в течение которого выполняют деструктивную функцию и функцию инфицирования. Затем вирусы полностью покидают оперативную память, оставаясь в среде обитания. Если вирус помещает в оперативную память программу, которая не заражает среду обитания, то такой вирус считается нерезидентным.

Классификация по деструктивному воздействию

По степени опасности для информационных ресурсов пользователя компьютерные вирусы можно разделить на:безвредные вирусы;опасные вирусы;очень опасные вирусы.

Безвредные компьютерные вирусы служат как правило хакерами для того чтобы показать,свои способности в умение программировать,заражая компьютер пользователя различными медиафайлами(по статистики).Хотя

Данный тип вирус имеет название безвредные, они всё же наносят вред, используя ресурсы компьютера,замедляя его работу

Опасными вирусами называются такие вирусы, цель которых заключается в уменьшение вычислительных действий компьютера и занимающие каналы связи, данные действия не нарушают целостности и конфиденциальности информации, хранящейся в запоминающих устройствах. Проблемы,связанные с вирусами является необходимость повторного выполнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи.

«Очень опасными следует считать вирусы, вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе и шифрование) информации, а также вирусы, блокирующие доступ к информации, приводящие к отказу аппаратных средств и наносящие ущерб здоровью пользователям. Такие вирусы стирают отдельные файлы, системные области памяти, форматируют диски, получают несанкционированный доступ к информации, шифруют данные и т. п.»

Интересный факт :

«Известны публикации, в которых упоминаются вирусы, вызывающие неисправности аппаратных средств. Предполагается, что на резонансной частоте движущиеся части электромеханических устройств, например в системе позиционирования накопителя на магнитных дисках, могут быть разрушены. Именно такой режим и может быть создан с помощью программы-вируса. Другие авторы утверждают, что возможно задание режимов интенсивного использования отдельных электронных схем (например, больших интегральных схем), при которых наступает их перегрев и выход из строя.

Использование в современных ПЭВМ постоянной памяти с возможностью перезаписи привело к появлению вирусов, изменяющих программы BIOS, что приводит к необходимости замены постоянных запоминающих устройств.

Возможны также воздействия на психику человека – оператора ЭВМ с помощью подбора видеоизображения, выдаваемого на экран монитора с определенной частотой (каждый двадцать пятый кадр). Встроенные кадры этой видеоинформации воспринимаются человеком на подсознательном уровне. В результате такого воздействия возможно нанесение серьезного ущерба психике человека. В 1997 году 700 японцев попали в больницу с признаками эпилепсии после просмотра компьютерного мультфильма по телевидению. Предполагают, что именно таким образом была опробована возможность воздействия на человека с помощью встраивания 25-го кадра» .

Классификация по специфики алгоритма вирусов

Вирусы-"спутники"-это вирусы,которые не изменяют файлы. Механизм их действия состоит в создании копий исполняемых файлов. Например, в MS-DOS такие вирусы создают копии для файлов, имеющих расширение.ЕХЕ. Копии присваивается то же имя, что и исполняемому файлу, но расширение изменяется на.СОМ. При запуске файла с общим именем операционная система первым загружает на выполнение файл с расширением.СОМ, который является программой-вирусом. Файл-вирус запускает затем и файл с расширением.ЕХЕ.

Вирусы-репликаторы (Worm) – вирусы, основная задача которых как можно быстрее размножится оп всем возможным местам хранения данных и коммуникациям. Зачастую сами не предпринимают никаких деструктивных действий, а являются транспортом для других видов вредоносного кода.

Трояны (Trojan) – получили свое названия в честь “Троянского коня”, так как имеют схожий принцип действия. Этот вид вирусов массирует свои модули под модули используемых программ, создавая файлы со схожими именами и параметрами, а так же подменяют записи в системном реестре, меняя ссылки рабочих модулей программ на свои, вызывающие модули вируса. Деструктивные действия сводятся к уничтожению данных пользователя, рассылке СПАМа и слежения за действиями пользователя. Сами размножатся зачастую не могут. Выявляются достаточно сложно, так как простого сканирования файловой системы не достаточно.

Стелс вирусы (Stealth) – нзваны по имени самолета-невидимки "stealth", наиболее сложны для обнаружения, так как имеют свио алгоритмы маскировки от сканирования. Маскируются путем подмены вредоносного кода полезным во время сканирования, временным выведением функциональных модулей из работы в случае обнаружения процесса сканирования, сокрытием своих процессов в памяти и т.д.

Полиморфные(Самошифрующиеся) вирусы – вирусы вредоносный код которых хранится и распространяется в зашифрованном виде, что позволяет им быть недоступными для большинства сканеров.

Матирующиеся вирусы – вирусы не имеющие постоянных сигнатур. Такой вирус постоянно меняет цепочки своего кода в процессе функционирования и размножения. Таким образом, становясь неуязвимым для простого антивирусного сканирования. Для их обнаружения необходимо применять эвристический анализ.

"Отдыхающие" вирусы – являются очень опасными, так как могут очень продолжительное время находится в состоянии покоя, распространяясь по компьютерным сетям. Активация вируса происходит при определенном условии, зачастую по определенной дате, что может вызвать огромные масштабы одновременного заражения. Примером такого вируса является вирус CHIH или Чернобыль, который активировался в день годовщины аварии на ЧАЭС, вызвав выход из строя тысяч компьютеров.

3 Меры защиты от вирусов.Основные антивирусные программы

На сегодняшний день мерами защиты от вирусов различной природы являются программы,именуемые антивирусами.

Антиви́русная програ́мма (антивирус) - специализированная программа для обнаружения компьютерных вирусов, а также нежелательных (считающихся вредоносными) программ вообще и восстановления заражённых (модифицированных) такими программами файлов, а также для профилактики - предотвращения заражения (модификации) файлов или операционной системы вредоносным кодом.

Антивирусы по своим свойствам делятся на такие виды как: программы детекторы; программы доктора или фаги; программы ревизоры (инспектора) ;программы фильтры (мониторы) ;программы вакцины или иммунизаторы;сканер.

«ПРОГРАММЫ-ДЕТЕКТОРЫ позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов.

Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей "известны". Некоторые программы-детекторы могут настраивать на новые типы вирусов, им необходимо лишь указать комбинации байтов, присущие этим вирусам. Тем не менее, невозможно разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус.

Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова – в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

Большинство программ-детекторов имеют функцию "доктора", т.е. они пытаются вернуть зараженные файлы или области диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.

Dr.Web программа была создана в 1994 г. И. А. Даниловым и относится к классу детекторов-докторов, имеет так называемый "эвристический анализатор" – алгоритм, позволяющий обнаруживать неизвестные вирусы. "Лечебная паутина", как переводится с английского название программы, стала ответом отечественных программистов на нашествие самомодифицирующихся вирусов-мутантов. Последние, при размножении, модифицируют свое тело так, что не остается ни одной характерной цепочки байт, присутствовавшей в исходной версии вируса.

В пользу этой программы говорит тот факт, что крупную лицензию (на 2000 компьютеров) приобрело Главное управление информационных ресурсов при Президенте РФ, а второй по величине покупатель "паутины" – "Инкомбанк".

Aidstest - программа была изобретена ее в 1988 году Д.Н. Лозинским и является детектором-доктором. Программа Aidstest предназначена для исправления программ, зараженных обычными (неполиморфными) вирусами, не меняющими свой код. Это ограничение вызвано тем, что поиск вирусов этой программой ведется по опознавательным кодам. Зато при этом достигается очень высокая скорость проверки файлов.

РЕВИЗОРЫ имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

ADinf (Advanced Diskinfoscope) относится к классу программ-ревизоров. Эта программа была создана Д. Ю. Мостовым в 1991 г.

Антивирус имеет высокую скорость работы, способен с успехом противостоять вирусам, находящимся в памяти. Он позволяет контролировать диск, читая его по секторам через BIOS и не используя системные прерывания DOS, которые может перехватить вирус.

Для лечения заражённых файлов применяется модуль ADinf Cure Module, не входящий в пакет ADinf и поставляющийся отдельно. Принцип работы модуля – сохранение небольшой базы данных, описывающей контролируемые файлы. Работая совместно, эти программы позволяют обнаружить и удалить около 97% файловых вирусов и 100% вирусов в загрузочном секторе. К примеру, нашумевший вирус SatanBug был легко обнаружен, и заражённые им файлы автоматически восстановлены. Причем, даже те пользователи, которые приобрели ADinf и ADinf Cure Module за несколько месяцев до появления этого вируса, смогли без труда от него избавиться.

AVP (Anti - Virus Protection ) программа сочетает в себе и детектор, и доктор, и ревизор, и даже имеет некоторые функции резидентного фильтра (запрет записи в файлы с атрибутом READ ONLY). Антивирусный набор, являющийся расширенной версией известного антивирусного комплекта «Доктор Касперский». В процессе работы программы производится тестирование на неизвестные вирусы. Также в комплект входит резидентная программа, отслеживающая подозрительные действия, совершаемые на компьютере, и дающая возможность просматривать карту памяти. Специальный набор утилит помогает обнаруживать новые вирусы и разбираться в них.

Антивирус может лечить как известные, так и неизвестные вирусы, причем о способе лечения последних программе может сообщить сам пользователь. К тому же AVP может лечить самомодифицирующиеся и Stealth-вирусы (невидимки).

Norton Antivirus – антивирусный пакет относится к средствам типа «установил и забыл». Все необходимые параметры конфигурации и плановые мероприятия (проверка диска, проверка новых и модифицированных программ, запуск Windows-утилиты Auto-Protect, проверка boot-сектора диска A: перед перезагрузкой) устанавливаются по умолчанию. Программа сканирования диска существует для DOS и Windows. В числе прочих Norton AntiVirus обнаруживает и уничтожает даже полиморфные вирусы, а также успешно реагирует на вирусоподобную активность и борется с неизвестными вирусами.

ФИЛЬТРЫ или МОНИТОРЫ, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции.

Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы, на наличие вирусов. Это вызывает замедление работы компьютера.

Однако преимущества использования программ-фильтров весьма значительны – они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.

ВАКЦИНЫ, или ИММУНИЗАТОРЫ, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны. Отслеживают потенциально опасные операции, выдавая пользователю соответствующий запрос на разрешение/запрещение операции.

Недостатки антивирусных программ:

Ни одна из существующих антивирусных технологий не может обеспечить полной защиты от вирусов.

Антивирусная программа забирает часть вычислительных ресурсов системы, нагружая центральный процессор и жёсткий диск. Особенно это может быть заметно на слабых компьютерах. Замедление в фоновом режиме работы может достигать 380 %.

Антивирусные программы могут видеть угрозу там, где её нет (ложные срабатывания).

Антивирусные программы загружают обновления из Интернета, тем самым расходуя трафик.

Различные методы шифрования и упаковки вредоносных программ делают даже известные вирусы не обнаруживаемыми антивирусным программным обеспечением. Для обнаружения этих «замаскированных» вирусов требуется мощный механизм распаковки, который может дешифровать файлы перед их проверкой. Однако во многих антивирусных программах эта возможность отсутствует и, в связи с этим, часто невозможно обнаружить зашифрованные вирусы.» .

КОМПЬЮТЕРНЫЕ ВИРУСЫ

И спорченные и зараженные файлы
Классификация вирусов ПРОФИЛАКТИКА И БОРЬБА С КОМПЬЮТЕРНЫМИ ВИРУСАМИ

ВВЕДЕНИЕ

В настоящее время очень многие области деятельности человека связаны с применением компьютеров. Почему же эти электронные машины так плотно внедряются в нашу жизнь? Все довольно тривиально. Они выполняют рутинную расчетную и оформительскую работу, освобождая наш мозг для более необходимых и ответственных задач. В результате утомляемость резко снижается, и мы начинаем работать гораздо производительнее, нежели без применения компьютера.
Возможности современных компьютеров поражают самое богатое воображение. Они способны параллельно выполнять несколько задач, сложность которых довольно велика. По этому некоторые производители задумываются над созданием искусственного интеллекта. Да и сейчас работа компьютера напоминает работу интеллектуального электронного помощника человека.
Но кто бы мог подумать, что этому электронному чуду техники свойственны болезни похожие на человеческие. Он, так же как и человек может подвергнуться атаке "вируса" но компьютерного. И если не принять мер, компьютер скоро "заболеет" т.е. начнет выполнять неправильные действия или вообще "умрет" т.е. повреждения нанесенные "вирусом" окажутся очень серьезными. О том что такое компьютерные вирусы и как с ними бороться пойдет речь далее.

КОМПЬЮТЕРНЫЕ ВИРУСЫ

Что такое компьютерный вирус?

На сегодняшний день можно выделить несколько основных типов вредоносных программ:
- класический компьютерный вирус;
- "троян" или троянский конь (troj);
- червь (worm);
- шпион или spy, keyloger
- rootkick;
- bot или zombie.

В свое время наибольшую распостраненность имели именно класические вирусы - но их создатели редко задавались конкретной целью навредить конечному пользователю, а скорее создавались из позновательных целей. Нынешние же вирусописатели преследуют абсолютно четкие и понятные цели - деньги, и их "детища" стали куда опаснее своих предшественников. Итак позвольте представить самых опасных хищников сегодняшнего информационного пространства - это Трояны и Черви.
Троян или troj получил свое название благодаря сходству между методом заражения и знаменитым тактическим ходом при осаде Трои. Пример заражения трояном - вам приходит письмо от некой "знакомой" с текстом: - "Привет! Я только вернулась с моря - так клево отдохнула! Вот мои фотки - посмотри.", и вложенными фаилами с расширением ".JPG". Вот эти самые фаилы это и есть троянский конь в недрах которого спрятан вредоносный код. Наиболее часто встречающиеся источники заражения - электронная почта, сайты знакомств, сайты с музыкой, сайты с бесплатным ПО. Что делает "троян"? Как правило его задача открыть путь для остальных вирусов, выступить первым плацдармом. Как избежать заражения "трояном" ? Здесь все как в жизни - предохраняйтесь и избешайте случайных связей =). Это правило справедливо для любых вирусов и другого вредоносного ПО. Если вам прислали электронное письмо - прежде чем смотреть вложенные фаилы проверьте отправителя, сохраните вложение на компьютер и проверьте его антивирусом, и только после этого открывайте.

Червь или Worm - особенность этих программ в эволюции и автономности. Червь попадая на компьютер как правило атакует почтовые программы и интернет пейджеры. После получения доступа к почте или пейджеру он начинает рассылать письма/сообщения содержащие видоизмененную версию самого себя. После чего либо самоликвидируется, либо заражает запускаемые фаилы (EXE, COM, BAT). Поскольку вирус самоизменяется то до момента определения его в базе вашего антивируса он неуязвим. Вот почему сегодня лицензионный антивирус это насущная потребность любого владельца ПК.

Компьютерный вирус - это специально написанная небольшая по размерам програmmа, которая может "приписывать" себя к другим програmmам (т.е. "заражать" их), а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется зараженной. Когда такая програmmа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов (FAT) на диске, "засоряет" оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а скажем, при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той програmmе, в которой он находится, и она работает как обычно. Тем самым внешне работа зараженной програmmы выглядит так же, как и незараженной.
Многие разновидности вирусов устроены так, что при запуске зараженной програmmы вирус остается в памяти компьютера и время от времени заражае тпрограmmы и выполняет нежелательные действия на компьютере.
Все действия вируса могут выполняться очень быстро и без выдачи каких либо сообщений, по этому пользователю очень трудно, практически невозможно, определить, что в компьютере происходит что-то необычное.
Пока на компьютере заражено относительно мало програmm, наличие вируса может быть практически незаметным. Однако по прошествии некоторого времени на компьютере начинает твориться что-то странное, например:
- некоторыепрограmmы перестают работать или начинают работать неправильно;
- на экран выводятся посторонние сообщения, символы и т.д.;
- работа на компьютере существенно замедляется;
- некоторые файлы оказываются испорченными и т.д.
К этому моменту, как правило, уже достаточно много (или даже большинство) техпрограmm, с которыми вы работаете, являются зараженными вирусом, а некоторые файлы и диски - испорченными. Более того, зараженныепрограmmы с Вашего компьютера могли быть уже перенесены с помощью дискет или локальной сети на компьютеры ваших коллег и друзей.
Некоторые вирусы ведут себя очень коварно. Они вначале незаметно заражают большое числопрограmm и дисков, а затем наносят очень серьезные повреждения, например, форматируют весь жесткий диск на компьютере, естественно после этого восстановить данные бывает просто невозможно. А бывают вирусы, которые ведут себя очень скрытно, и портят понемногу данные на жестком диске или сдвигают таблицу размещения файлов (FAT).
Таким образом, если не принимать мер по защите от вируса, то последствия заражения могут быть очень серьезными. Например, в начале 1989г. вирусом, написанным американским студентом Моррисом, были заражены и выведены из строя тысячи компьютеров, в том числе принадлежащих министерству обороны США. Автор вируса был приговорен судом к трем месяцам тюрьмы и штрафу в 270 тыс. дол. Наказание могло быть и более строгим, но суд учел, что вирус не портил данные, а только размножался.
Для того, чтобыпрограmmа-вирус была незаметной, она должна иметь небольшие размеры. По этому вирусы пишут обычно на низкоуровневых языках Ассемблер или низкоуровневыми командами языка СИ.
Вирусы пишутся опытнымипрограmmистами или студентами просто из любопытства или для отместки кому-либо или предприятию, которое обошлось с ними недостойным образом или в коммерческих целях или в целях направленного вредительства. Какие бы цели не преследовал автор, вирус может оказаться на вашем компьютере и постарается произвести те же вредные действия, что и у того, для кого он был создан.
Следует заметить, что написание вируса - не такая уж сложная задача, вполне доступная изучающему програmmирование студенту. Поэтому еженедельно в мире появляются все новые и новые вирусы. И многие из них сделаны в нашей стране.

Испорченные и зараженные файлы

Компьютерный вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющихся в компьютере дисках. Но некоторые виды файлов вирус может "заразить". Это означает, что вирус может "внедриться" в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.
Следует заметить, что тексты програmm и документов, информационные файлы баз данных, таблицы табличных процессоров и другие аналогичные файлы не могут быть заражены обычным вирусом, он может их только испортить. Заражение подобных файлов делается только Макро-вирусами. Эти вирусы могут заразить даже ваши документы.
Загрузчик операционной системы и главная загрузочная запись жесткого диска. Вирусы, поражающие эти области, называются загрузочными или BOOT-вирусами. Такой вирус начинает свою работу при начальной загрузке компьютера и становится резидентными, т.е. постоянно находится в памяти компьютера. Механизм распространения – заражение загрузочных записей вставляемых в компьютер дискет. Часто такие вирусы состоят из двух частей, поскольку загрузочная запись имеет небольшие размеры и в них трудно разместить целикомпрограmmу вируса. Часть вируса располагается в другом участке диска, например в конце корневого каталога диска или в кластере в области данных диска (обычно такой кластер объявляется дефектным, чтобы исключить затирание вируса при записи данных).
Драйверы устройств Файлы, указываемые в предложении DEVICE файла CONFIG.SYS. Вирус, находящийся в них начинает свою работу при каждом обращении к соответствующему устройству. Вирусы, заражающие драйверы устройств, очень мало распространены, поскольку драйверы редко переписывают с одного компьютера на другой. То же относится и к системным файлам DOS (MSDOS.SYS и IO.SYS) – их заражение также теоретически возможно, но для распространения вируса малоэффективно.

Как правило, каждая конкретная разновидность вируса может заражать только один или два типа файлов. Чаще всего встречаются вирусы, заражающие исполняемые файлы. На втором месте по распространенности загрузочные вирусы. Некоторые вирусы заражают и файлы, и загрузочные области дисков. Вирусы, заражающие драйверы устройств, встречаются крайне редко, обычно такие вирусы умеют заражать и исполняемые файлы.

Классификация вирусов

Вирусы можно делить на классы по разным признакам. Вот, например, по признаку вероломности:

Вирусы, моментально поражающие компьютер, форматируют жесткий диск, портят таблицу размещения файлов, портят загрузочные сектора, стирают так называемое Flash-ПЗУ (где находится BIOS) компьютера (вирус "Чернобыль"), другими словами, как можно быстрее наносят непоправимый урон компьютеру. Сюда же можно отнести и результаты обид програmmистов, пишущих вирусы, на антивирусные програmmы. Имеются в виду так называемые аллергии на определенные антивирусныепрограmmы. Эти вирусы достаточно вероломны. Вот, например, аллергия на Dr.Weber при вызове этой программы, не долго думая, блокирует антивирус, портит все, что находится в директории с антивирусом и C:WINDOWS. В результате приходится переустанавливать операционную систему и затем бороться с вирусом другими средствами.
- вирусы, рассчитанные на продолжительную жизнь в компьютере. Они постепенно и осторожно заражают программу за программой, не афишируя, свое присутствие и производят подмену стартовых областей программ на ссылки к месту, где расположено тело вируса. Кроме этого они производят незаметное для пользователя изменение структуры диска, что даст о себе знать, только когда некоторые данные уже будут безнадежно утеряны (например, вирус "OneHalf-3544","Yankey-2C").
По признаку способов передачи и размножения тоже можно провести разделение.
Раньше вирусы в основном поражали только исполняемые файлы (с расширениями.com и.exe). Действительно, ведь вирус это программа и она должна выполняться.
Теперь вирусы отправляют электронной почтой как демонстрационные программки или как картинки, например, если по электронной почте пришел файл "PicturesForYou.jpg", не спешите его смотреть, тем более что он пришел неизвестно откуда. Если посмотреть на название повнимательнее, то окажется, что оно имеет еще 42 пробела и действительное расширение.exe. То есть реально полное имя файла будет таким:
"PicturesForYou.jpg .exe". Теперь любому понятно, что на самом деле несет в себе эта картинка. Это не файл рисунка, который при активизации вызывает просмотрщик рисунков, а наглый чуточку завуалированный вирус, который только и ждет когда его активизируют щелчком мыши или нажатием клавиши. Такой вирус вы сами загружаете себе на компьютер, под оболочкой какой-нибудь картинки, как "Троянского коня". Отсюда и жаргонное название таких вирусов как "Трояны".
На данный момент существуют такие оболочки информационных каналов как Internet Explorer, Outlook Express, Microsoft Office. Сейчас появились немногочисленные классы так называемых "Макро-вирусов". Они содержат скрытые команды для данных оболочек, которые нежелательны для рядового пользователя. И этот код уже не является кодом для компьютера, то есть это уже не программа, а текст программы, выполняемый оболочкой. Таким образом, он может быть записан в любом необходимом формате: .html, .htm - для Internet Explorer, .doc, .xls, .xlw, .txt, .prt, или любой другой - для Microsoft Office и т. д.. Такие вирусы наносят вред только определенного характера, ведь оболочка не имеет команд, к примеру, для форматирования жесткого диска. Но все же этот вид вирусов заслуживает внимания, ведь с помощью скрытых гиперссылок он способен самостоятельно загрузить из Интернета на ваш компьютер тело вируса, а некоторые вирусы способны обновляться и загружаться по частям через Интернет с определенных серверов. Вот, например, одним из японских студентов разработан именно такой вирус, который подключает небольшой "загрузчик" к любому формату входных данных из Интернета. Далее этот загрузчик самостоятельно скачивает из Интернета с сервера с IP-адресом Babilon5 тела вируса. Этих тел четыре. Каждая из них способна самостоятельно разрушать ваш компьютер, но имеет определенное назначение. Этот вирус по типу является гибридом между макро-вирусами и обычными вирусами. Но надо отметить, что именно гибриды являются наиболее живучими, хитрыми, опасными и многочисленными среди вирусов. Совсем недавно нашумел скандал о программисте, который, как утверждают эксперты, создал и начал распространение макро-вируса, заражавшего текстовые файлы для Microsoft Word. Его вычислили по дате и времени создания исходного документа, которое хранится в невидимых частях.doc файлов. Возможно, что файл был создан другим человеком до того, как к нему был приделан вирус, тогда вопрос о злоумышленнике остается открытым. Но эксперты утверждают, что это именно он.
Например, вирус Win32.HLLM.Klez. один из разновидностей опасного сетевого червя распространяется путем рассылки своих копий по электронной почте. Кроме того, этот червь может распространяться по локальной сети, заражая компьютеры, диски которых являются разделяемыми сетевыми ресурсами, доступными для записи. Попадая в систему, червь рассылает себя по адресам, найденным в адресной книге Windows, в базе данных ICQ и в локальных файлах. Зараженные письма, рассылаемые данным червем, используют одну из сравнительно давно известных ошибок в системе безопасности Internet Explorer, которая позволяет вложенному в письмо программному файлу (с вирусом) автоматически запуститься при простом просмотре почты в программах Outlook и Outlook Express.
Попробуем рассмотреть способы маскировок и защит, применяемых вирусами против нас рядовых пользователей и антивирусных программ.
Вероломность- это основной и самый быстрый способ сделать пакость до обнаружения. Вирус "Чернобыль", например, полностью стирает BIOS (стартовую программу, расположенную в микросхеме ПЗУ, обеспечивающую работу компьютера). После такого компьютер вообще ничего не сможет выдать на экран. Но его работа легко блокируется, если внутри компьютера установлен переключатель, запрещающий писать в область ПЗУ. По этому это был первый, но и, как я думаю, последний представитель аппаратных вирусов.
Регенеративные вирусы делят свое тело на несколько частей и сохраняют их в разных местах жесткого диска. Соответственно эти части способна самостоятельно находить друг друга и собираться для регенерации тела вируса. Программа - антивирус обнаруживает и убивает лишь тело вируса, а части этого тела не заложены в антивирусной базе, так как являются измененными. От таких вирусов помогает целенаправленное низкоуровневое форматирование жесткого диска. Предварительно необходимо принять осторожные меры по сохранению информации.
Хитрые вирусы прячутся не только от нас, но и от антивирусных программ. Эти "хамелеоны" изменяют сами себя с помощью самых хитрых и запутанных операций, применяя и текущие данные (время создания файла) и используя чуть ли не половину всего набора команд процессора. В определенный момент они, конечно же, по хитрому алгоритму превращаются в подлый вирус и начинают заниматься нашим компьютером. Это самый трудно обнаруживаемый тип вирусов, но некоторые антивирусные программы, такие как "Dr.Weber", способны с помощью так называемого эвристического анализа обнаруживать и обезвреживать и подобные вирусы.
"Невидимые" вирусы чтобы предотвратить свое обнаружение применяют так называемый метод "Stelth". Он заключается в том, что вирус, находящийся в памяти резидентно, перехватывает обращения DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдает их в исходном (незараженном) виде. Разумеется этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить. Но некоторые антивирусные программы могут обнаруживать вирусы - "невидимки" даже на зараженных компьютерах.
Сетевой червь «Randon» появился в марте 2003 года. Распространятся по IRC-каналам и ресурсам локальных сетей и заражает компьютеры под управлением операционных систем Windows2000 и Windows XP. Для проникновения на компьютер он подключается к локальной сети или IRC-серверу, сканирует находящийся на нем пользователей, устанавливает с ними соединение по порту 445 и пытается подобрать пароль из встроенного списка наиболее часто используемых фраз. В случае успешного взлома системы «Random» пересылает на нее троянскую программу «Apher», которая, в свою очередь, загружает с удаленного Web-сайта остальные компоненты червя. После этого «Randon» устанавливает свои компоненты в системном каталоге Windows, регистрирует свой основной файл. Для сокрытия присутствия в памяти использует специальную утилиту «HideWindows», которая также является компонентом червя. Благодаря ей он оказывается невидимым для пользователя, так что активный процесс «Randon» можно обнаруживать только в диспетчере задач Windows. Его побочные эффекты – создание на зараженной машине большого объема избыточного трафика и переполнение IRC-каналов.
По данным «Лаборатории Касперского», одним из ведущих разработчиков антивирусных программ, представляет обзор вирусной активности за март 2003г.(табл.2 и рис.1)

Двадцатка наиболее распространенных вредоносных программ

Табл. 2
Название Доля в общем числе вирусных инцидентов (%)
1. I-Worm.Klez 37,60%
2. I-Worm.Sobig 10,75%
3. I-Worm.Lentin 9,03%
4. I-Worm.Avron 3,30%
5. Macro.Word97.Thus 2,62%
6. I-Worm.Tanatos 1,38%
7. Macro. Word97.Marker 1,21%
8. Worm.Win32.Opasoft 1,13%
9. I-Worm.Hybris 1,04%
10. Win95.CIH 0,69%
11. Worm.Win32.Randon 0,58%
12. VBS.Redlof 0,57%
13. Backdoor.Death 0,51%
14. Win95.Spaces 0,51%
15. I-Worm.Roron 0,49%
16.Trojan.PSW.Gip 0,49%
17. Backdoor.NetDevil 0,48%
18. Win32.HLLP.Hantaner 0,45%
19. TrojanDropper.Win32.Delf 0,42%
20. TrojanDropper.Win32.Yabinder 0,41%
Другие вредоносные программы* 26,33%

*не вошедшие в 20 наиболее распространенных

ПРОФИЛАКТИКА И БОРЬБА С КОМПЬЮТЕРНЫМИ ВИРУСАМИ

Основные методы защиты от компьютерных вирусов

Для защиты от вирусов можно использовать:
- Общие средства защиты информации, которые полезны также как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;
- профилактические меры, позволяющие уменьшить вероятность заражения компьютерным вирусом;
- специализированные программы для защиты от вирусов.
-Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:
копирование информации - создание копий файлов и системных областей дисков;
разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.
Несмотря на то, что общие средства защиты информации очень важны для защиты от компьюторных вирусов, все же их одних недостаточно. Необходимо применять специализированные программы для защиты от компьютерных вирусов. Эти программы можно разделить на несколько видов:
Программы - детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов.
Программы - доктора, или фаги, "лечат вирусы " зараженные программы или диски, "выкусывая" из зараженных программ тело вируса, т.е. восстанавливая программу в том состоянии, в котором она находилась до заражения вирусом.
Программы - ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояние с исходным. При выявлении несоответствий, об этом сообщается пользователю.
Доктора - ревизоры - это гибриды ревизоров и докторов, т.е. программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут автоматически вернуть их в исходное состояние.
Программы - фильтры располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.
Программы - вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает эти программы и диски уже зараженными. Эти программы крайне неэффективны и далее не рассматриваются.
Ни один тип антивирусных программ по отдельности не дает, к сожалению, полной защиты от компюторных вирусов. По этому наилучшей стратегией защиты от вирусов является многоуровневая, "эшелонная" оборона. Опишем структуру этой обороны.
Средствам разведки в "обороне" от вирусов соответствуют программы - детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.
На переднем крае обороны находятся программы-фильтры (резидентные программы для защиты от вируса). Эти программы могут первыми сообщить о вирусной атаке и предотвратить заражение программ и диска.
Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры. Ревизоры обнаруживают нападение даже тогда, когда вирус сумел "просочиться" через передний край обороны. Программы-доктора применяются для восстановления зараженных программ, если ее копий нет в архиве. Но они не всегда проводят лечение правильно. Доктора-ревизоры обнаруживают нападение вируса и лечат вирусы - зараженные файлы, причем контролируют правильность лечения вирусов, а в случае невозможности лечения вирусов обязательно рекомендуют удаление вирусов (зараженных фаилов).
Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.
И, наконец, в "стратегическом резерве" находятся архивные копии информации и "эталонные" дискеты с программными продуктами. Они позволяют восстановить информацию при ее повреждении на жестком диске.

Программы – детекторы и доктора

В большинстве случаев для обнаружения вируса, заразившего компьютер, можно найти уже разработанные программы-детекторы. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режим лечения вирусов или удаления вирусов.
Следует отметить, программа - детектор может обнаруживать только те вирусы, которые ей известны (т.е. занесены в антивирусную базу данных этой программы).
Одной из таких программ является KIS Касперского.
Все в ней отличается удобным и понятным интерфейсом. Программа выполнена для операционной системы Windows XP и Windows Vista, что позволяет ей работать параллельно с другими приложениями. «Лаборатория Касперского» является российским лидером в области разработки систем антивирусной безопасности.
Также существует AVAST.
Это проверенные в работе защитники вашего компьютера - лечение большинства вирусов и удаление вирусов в случае их критической угрозы или неизлечимости.
Большинство программ - детекторов имеют также и функцию "доктора", т.е. они пытаются вернуть зараженные файлы и области диска в их исходное состояние - лечить вирусы. Те файлы, которые не удалось лечить, как правило, делаются неработоспособными или удаляются.

Профилактика против заражения вирусом

Рассмотрим некоторые меры, которые позволяют уменьшить вероятность заражения компьютера вирусом, а также свести к минимуму ущерб от заражения вирусом, если оно все-таки произойдет.
1. Неплохо бы иметь и при необходимости обновлять архивные и эталонные копии используемых пакетов программ и данных. Перед архивацией данных целесообразно проверить их на наличие вируса.
2. Целесообразно так же скопировать на дискеты служебную информацию вашего диска (FAT, загрузочные сектора) и CMOS (энергонезависимая память компьютера). Копирование и восстановление подобной информации можно выполнить с помощью программы Rescue программного комплекса Norton Utilities.
3. Следует устанавливать защиту от записи на архивных дискетах.
4. Не следует заниматься нелицензионным и нелегальным копированием программного обеспечения с других компьютеров. На них может быть вирус.
5. Все данные, поступающие извне, стоит проверять на вирусы, особенно файлы, "скачанные" из Интернета.
6. Надо заблаговременно подготовить восстанавливающий пакет на дискетах с защитой от записи.
7. На время обычной работы, не связанной с восстановлением компьютера, стоит отключить загрузку с дискеты. Это предотвратит заражение загрузочным вирусом.
8. Используйте программы - фильтры для раннего обнаружения вирусов.
9. Периодически проверяйте диск программами -детекторами или докторами - детекторами или ревизорами для обнаружения возможных провалов в обороне.
10. Обновляйте базу антивирусных программ.
11. Не допускайте к компьютеру сомнительных пользователей.

ЗАКЛЮЧЕНИЕ

В заключение хотелось бы предостеречь от слишком рьяной борьбы с компьютерными вирусами. Ежедневный запуск полного сканирования жесткого диска на наличие вирусов так же не блестящий шаг в профилактике заражений. Единственный цивилизованный способ защиты от вирусов я вижу в соблюдении профилактических мер предосторожности при работе на компьютере. А так же нужно прибегать к помощи специалистов для борьбы с компьютерным вирусом. Кроме того, даже если вирус все-таки проник на компьютер, это не повод для паники.
Нередко главной бедой Интернета являются не вирусы и хакеры, а такое распространенное явление, как компьютерная безграмотность. Пользуясь аналогией Касперского, незнание правил дорожного движения. Люди, недавно научившиеся принимать и отправлять почту, демонизируют компьютерные вирусы, чуть ли не представляя их себе в виде невидимых черных червячков, ползающих по проводам. Вот несколько простых правил, соблюдая которые можно постараться избежать заражение вирусами. Первое: не боятся компьютерных вирусов, все они лечатся. Второе: перевести Microsoft Outlook в режим функционирования в зоне ограниченных узлов, что запретит ей автоматическое выполнение некоторых программ – основной принцип размножения компьютерных вирусов. Третье: не открывайте письма от подозрительных адресатов. Четвертое: использовать свежий, и что еще важнее, ЛИЦЕНЗИОННЫЙ антивирус.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Подобные документы

Особенности и принципы безопасности программного обеспечения. Причины создания вирусов для заражения компьютерных программ. Общая характеристика компьютерных вирусов и средств нейтрализации их. Классификация методов защиты от компьютерных вирусов.

реферат , добавлен 08.05.2012


Краткий экскурс в историю развития вирусов. Социальные аспекты проблемы компьютерных вирусов. Способы противодействия компьютерным вирусам. Термины, применяемые при обсуждении антивирусных программ. Вирусы, их классификация. Отношение к авторам вирусов.

курсовая работа , добавлен 21.03.2011


История появления компьютерных вирусов. Классификация компьютерных вирусов по среде обитания, способу заражения, деструктивным возможностям, особенностям алгоритма вируса. Признаки появления вируса в компьютере. Основные методы антивирусной защиты.

презентация , добавлен 13.08.2013


Зарождение компьютерных вирусов. Пути проникновения вирусов в компьютер и механизм распределения вирусных программ. Признаки появления вирусов. Обезвреживание вирусов. Меры профилактики. Классификация вирусов по деструктивным возможностям.

реферат , добавлен 01.12.2006


Свойства и классификация компьютерных вирусов, использование вирусов-невидимок. Схемы функционирования простых загрузочных и файловых вирусов. Троянские кони, программные закладки и сетевые черви. Признаки появления вирусов и методы защиты от них.

реферат , добавлен 11.01.2012


История появления компьютерных вирусов. Принцип работы вируса и его основные источники. Ранние признаки заражения компьютера. Признаки активной фазы вируса. Защита от компьютерных вирусов. Ответственность за компьютерные преступления –внедрение вирусов.

презентация , добавлен 10.10.2011


История создания компьютерных вирусов, их свойства и классификация. Пути проникновения компьютерных вирусов в компьютер и способы защиты от них. Понятие антивирусной программы. Типы специализированных программ для защиты. Обзор существующих приложений.

курсовая работа , добавлен 05.08.2013