Kako funkcionišu kompjuterski virusi. Kompjuterski virusi. Principi djelovanja, metode zaštite od kompjuterskih virusa
10.7. KOMPJUTERSKI VIRUSI
Korisnici računara najčešće se susreću sa jednom od vrsta kompjuterskog kriminala – kompjuterskim virusima. Potonji su posebna vrsta zlonamjernog softvera koji uzrokuje mnogo problema korisnicima i osoblju za održavanje računara.
Računalni virus je program sposoban za samoreplikaciju i reprodukciju, koji se unosi u druge programe.
Analogija između pojmova kompjuterskih i bioloških virusa je očigledna. Međutim, nije svaki program koji se može replicirati kompjuterski virus. Virusi uvek izazivaju oštećenja- ometaju normalan rad računara, uništavaju strukturu datoteka itd., pa su klasifikovani kao tzv. zlonamerni programi.
Istorijski izgled kompjuterski virusi povezana s idejom stvaranja samoreproducirajućih mehanizama, posebno programa, koja je nastala 50-ih godina. Još 1951. godine J. von Neumann je predložio metodu za stvaranje takvih mehanizama, a njegova razmatranja su dalje razvijena u radovima drugih istraživača. Prvi su se pojavili programi za igre koji koriste elemente buduće virusne tehnologije, a zatim su, na osnovu akumuliranih naučnih i praktičnih rezultata, neki pojedinci počeli da razvijaju programe koji se samoreproduciraju kako bi naškodili korisnicima računara.
Kreatori virusa koncentrirali su svoje napore na polju PC-a zbog njihove masovnosti i gotovo potpunog odsustva efektivna sredstva zaštita kako na hardverskom nivou tako i na nivou OS. Među motivima koji su pokretali autore virusa su sljedeći:
· želja da se nekoga "iznervira";
· neprirodna potreba za činjenjem zločina;
· želja za afirmacijom, nestašluk i istovremeno nerazumijevanje svih posljedica širenja virusa;
· nesposobnost da svoje znanje koriste na konstruktivan način (ovo je više ekonomski problem);
· povjerenje u potpunu nekažnjivost (u nizu zemalja ne postoje norme pravne odgovornosti za stvaranje i širenje virusa).
Glavni kanali za ulazak virusa u PC su uređaji za skladištenje na prenosivim medijima i sredstva mrežne komunikacije, posebno mreže Internet.
Prvi slučajevi masovne infekcije računara virusima zabilježeni su 1987. godine, kada se pojavio takozvani pakistanski virus, koji su stvorili braća Amjat i Bazit Alvi. Tako su odlučili kazniti Amerikance koji su kupovali jeftine ilegalne kopije softver u Pakistanu, koji su braća počela zaraziti razvijenim virusom. Virus je zarazio više od 18.000 kompjutera u Sjedinjenim Državama i nakon obilaska oko svijeta završio je u tadašnjem SSSR-u. Sljedeći nadaleko poznat virus bio je virus Lehigh (Lehigh virus), koji se proširio na istoimenom američkom univerzitetu. U roku od nekoliko sedmica uništio je sadržaj nekoliko stotina disketa iz biblioteke računarskog centra univerziteta i ličnih disketa studenata. Do februara 1989. godine, oko 4.000 računara je bilo zahvaćeno ovim virusom u Sjedinjenim Državama.
U budućnosti je broj virusa i broj računara zaraženih njima počeo lavina da raste, što je zahtijevalo donošenje hitnih mjera, kako tehničkih tako i organizacijskih i pravnih. Pojavili su se različiti antivirusni alati, zbog čega je situacija počela nalikovati utrci u naoružanju i sredstvima zaštite od njih. Određeni efekat postignut je kao rezultat usvajanja zakonskih akata o kompjuterskom kriminalu u nizu razvijenih zemalja, među kojima su i članovi koji se odnose na stvaranje i širenje kompjuterskih virusa.
Trenutno u svijetu postoji više od 20 hiljada virusa, uključujući i sojeve, tj. razne vrste virusa istog tipa. Virusi ne prepoznaju granice, pa većina njih kruži i po Rusiji. Štaviše, postoji trend povećanja broja virusa koje su razvili domaći programeri. Ako se situacija ne promijeni, tada će Rusija u budućnosti moći preuzeti ulogu lidera na polju stvaranja virusa.
Klasifikacija virusa
Životni ciklus kompjuterskih virusa obično uključuje sljedeće faze:
1. period latencije tokom kojeg virus ne preduzima nikakve radnje;
2. period inkubacije tokom kojeg se virus samo umnožava;
3. aktivni period tokom kojeg se, uz reprodukciju, izvode neovlaštene radnje koje su ugrađene u algoritam virusa.
Prve dvije faze služe za skrivanje izvora virusa, kanala njegovog prodora i zarazu što većeg broja datoteka prije nego što se virus otkrije. Trajanje ovih faza može se odrediti vremenskim intervalom predviđenim u algoritmu, pojavom nekog događaja u sistemu, prisustvom određene konfiguracije hardvera računara (posebno prisustvom čvrstog diska) itd.
Kompjuter virusi se klasificiraju prema sljedećim karakteristikama :
· stanište;
· način kontaminacije životne sredine;
· metoda aktivacije;
· način ispoljavanja (destruktivne radnje ili izazvane posledice);
· metoda maskiranja.
Virusi mogu zaraziti samo programe koji, zauzvrat, mogu biti sadržani ili u datotekama ili u nekim komponentama područja diska koji su uključeni u proces pokretanja operativni sistem. Prema stanište razlikovati:
· fajl virusikoje inficiraju izvršne datoteke;
· virusi za pokretanje sistema , koji inficiraju komponente sistemskog područja koje se koriste tokom pokretanja OS-a;
· virusi za pokretanje datoteka , integrirajući karakteristike prve dvije grupe.
File virusi može zaraziti:
· strojni programi neovisni o položaju koji se mogu premeštati koji se nalaze u COM datotekama;
· poziciono-ovisni strojni programi koji se mogu premjestiti smješteni u EXE datoteke;
· drajveri uređaja (SYS i BIN fajlovi);
· datoteke sa DOS komponentama;
· objektni moduli (OBJ datoteke);
· datoteke sa programima na programskim jezicima (na osnovu kompilacije ovih programa);
· batch datoteke (BAT datoteke);
· objektne i simboličke biblioteke (LIB- i drugi fajlovi);
· overlay fajlovi (OVL-, PIF- i drugi fajlovi).
Najčešće virusi datoteka mogu zaraziti COM i/ili EXE datoteke.
Boot virusi može zaraziti:
· boot sektor na disketama;
· sektor za pokretanje sistemskog logičkog diska kreiran na tvrdom disku;
· vansistemski bootloader na čvrstom disku.
Boot virusi se šire na disketama u nadi da će pokušati da se pokrenu sa njih, što se ne dešava često. Datotečni virusi imaju veću infektivnost.
File-boot virusi su još zarazniji jer se mogu širiti i u programskim datotekama i na disketama s podacima.
Metode kontaminacije staništa , zavisi od vrste potonjeg. Okruženje zaraženo virusom naziva se nosilac virusa. Tokom implantacije, tijelo virusa datoteke može se locirati:
na kraju fajla
na početku fajla
· u sredini fajla;
· u rep (slobodnom) dijelu posljednjeg klastera koji zauzima datoteka.
Najlakši način za implementaciju uvođenja virusa na kraju COM datoteke . Nakon što stekne kontrolu, virus odabire datoteku žrtve i modificira je na sljedeći način:
1. dodaje sopstvenu kopiju (tijelo virusa) datoteci;
2. čuva originalni početak datoteke u ovoj kopiji;
3. zamjenjuje originalni početak datoteke naredbom za prijenos kontrole na tijelo virusa.
Kada se pokrene program zaražen opisanom metodom, prvo se pokreće izvršavanje tijela virusa, kao rezultat:
1. vraća se originalni početak programa (ali ne u datoteci, već u memoriji!);
2. možda je još jedna žrtva pronađena i zaražena;
3. eventualno se provode radnje koje korisnik nije odobrio;
4. kontrola se prenosi na početak programa nosača virusa, zbog čega se izvršava na uobičajen način.
Virus se implantira na početak COM datoteke na drugačiji način: kreira se nova datoteka, koja je spoj tijela virusa i sadržaja originalne datoteke. Dva opisana načina unošenja virusa dovode do povećanja dužine originalne datoteke.
Implantacija virusa u sredinu datoteke je najkompleksnija i najspecijaliziranija. Poteškoća leži u činjenici da u ovom slučaju virus mora "znati" strukturu datoteke žrtve (na primjer, COMMAND.COM) kako bi se mogao infiltrirati, posebno, u područje steka. opisano metoda implantacije ne dovodi do povećanja dužine datoteke.
Manifestacija (destruktivno djelovanje) virusa može biti:
· uticaj na performanse računara;
· oštećenje programskih datoteka;
· oštećenje datoteka podataka;
· formatiranje diska ili njegovog dijela;
· zamjena informacija na disku ili njegovom dijelu;
· izobličenje sistemskog ili nesistemskog učitavača diska;
· uništavanje povezivanja datoteka iskrivljavanjem FAT tabele;
· oštećenje podataka u CMOS memoriji.
Većina virusa prve grupe koji izazivaju vizuelne ili zvučne efekte neformalno se nazivaju "iluzionisti". Drugi virusi iste grupe mogu usporiti rad PC-a ili ometati normalan rad korisnika, modificirajući i blokirajući funkcije programa koji se izvršavaju, kao i operativnog sistema. Virusi svih ostalih grupa često se nazivaju "vandalima" zbog štete koju nanose, u pravilu, nepopravljive.
Prema načini maskiranja razlikovati:
· virusi koji se ne maskiraju;
· samošifrirajući virusi;
stealth virusi.
Autori prvih virusa su posebnu pažnju posvetili mehanizmima reprodukcije (replikacije) uz uvođenje tela u druge programe. Maskiranje od antivirusnih alata nije provedeno. Takvi virusi se nazivaju nemaskiranim.
Sa pojavom antivirusnih alata, programeri virusa su fokusirali svoje napore na obezbeđivanje maskiranja svojih proizvoda. Prvo je implementirana ideja samošifriranja virusa. Istovremeno, samo mali dio je dostupan za smisleno čitanje, a ostatak se dešifruje neposredno prije početka virusa. Ovakav pristup otežava otkrivanje virusa i analizu njegovog tijela od strane stručnjaka.
Pojavili su se i stealth virusi, koji su dobili ime po velikom projektu stvaranja stelt aviona. Metode kamuflaže koje koriste stealth virusi su složene i mogu se grubo podijeliti u dvije kategorije:
1. maskiranje prisustva virusa u programu koji nosi virus;
2. maskiranje prisutnosti rezidentnog virusa u RAM-u.
1. auto-modifikacija tijela virusa;
2. implementacija efekta uklanjanja tijela virusa s nosača virusa kada se potonji čita s diska, posebno pomoću debuggera (to se radi presretanja prekida, naravno, ako postoji rezidentni virus u RAM-u);
3. implantacija tijela virusa u datoteku bez povećanja njene veličine;
4. efekat nepromjenjivosti dužine zaražene datoteke (izvodi se slično kao u stavci 2);
5. zadržavajući originalni početak programskih datoteka nepromijenjenim.
Na primjer, kada čitate direktorij pomoću DOS-a, rezidentni virus može presresti odgovarajući prekid i umjetno smanjiti dužinu datoteke. Naravno, stvarna dužina fajla se ne menja, ali korisnik dobija informacije koje maskiraju njegovo povećanje. Radeći direktno sa direktorijumima (zaobilazeći DOS alate), možete dobiti istinite informacije o karakteristikama datoteke. Takve mogućnosti pruža, posebno, granata Norton Commander.
1. unošenje tipa virusa u posebnu zonu DOS rezidentnih modula, u repne dijelove klastera, u CMOS memoriju, video memoriju itd.;
2. modifikacija liste nesistemskih učitavača, kao što je već pomenuto;
3. manipulacija rukovaocima prekida, posebno posebnim metodama njihove zamjene, kako bi se zaobišli rezidentni antivirusni alati;
4. podešavanje ukupne količine RAM-a.
Tokom svakodnevnog rada korisnik je u mogućnosti da otkrije virus po svojim simptomima . Prirodno, simptomi virusa direktno su određeni načinom ispoljavanja koji se u njemu realizuje, kao i drugim karakteristikama virusa. Sljedeći su simptomi virusa:
· povećanje broja datoteka na disku;
· smanjenje besplatnog ram memorija;
· promijeniti vrijeme i datum kreiranja fajla;
· povećanje veličine programske datoteke;
· pojava registrovanih neispravnih klastera na disku;
· nenormalan rad programa;
· usporavanje programa;
· lampica disk jedinice se pali u trenutku kada se ne bi trebalo pristupiti disku;
· primjetno povećanje vremena pristupa tvrdom disku;
· kvarovi u radu operativnog sistema, posebno njegovo zamrzavanje;
· nemogućnost pokretanja operativnog sistema
· uništavanje strukture datoteka (nestanak datoteka, izobličenje direktorija).
Uz kompjuterske viruse, postoje i drugi opasni programi, na primjer, takozvani "crvi" koji se formalno nazivaju replikatori. Njihova glavna karakteristika je sposobnost reprodukcije bez uvođenja u druge programe. Replikatori su kreirani u svrhu širenja preko čvorova računarske mreže i mogu biti ispunjeni virusima, posebno. U tom smislu, može se povući analogija između "crva" i kugle bombe.
Primjer replikatora je program Christmas Tree, koji crta božićno drvce na ekranu, a zatim šalje svoje kopije na sve registrirane adrese e-pošte.
Klasifikacija antivirusnih sredstava.
Trenutno postoji veliki broj antivirusnih alata. Međutim, svi oni nemaju svojstva univerzalnosti: svaki je dizajniran za određene viruse, ili blokira neke kanale PC infekcije ili širenja virusa. U tom smislu, primjena metoda umjetne inteligencije na problem stvaranja antivirusnih alata može se smatrati obećavajućim područjem istraživanja.
Antivirusni alat je softverski proizvod koji obavlja jednu ili više od sljedećih funkcija:
1. zaštita strukture datoteka od uništenja;
2. otkrivanje virusa;
neutralizacija virusa;
Filter za viruse (čuvar) se naziva rezidentnim programom koji pruža kontrolu nad izvršavanjem akcija karakterističnih za viruse i zahtijeva potvrdu od korisnika za izvođenje radnji. Kontrola se vrši zamjenom rukovaoca odgovarajućih prekida. Kontrolisane radnje mogu biti:
· ažuriranje programskih datoteka;
· direktno upisivanje na disk (po fizičkoj adresi);
· formatiranje diska;
· rezidentno postavljanje programa u RAM.
detektor je program koji traži viruse i na vanjskim medijima za pohranu iu RAM-u. Rezultat rada detektora je lista zaraženih datoteka i/ili područja, eventualno ukazujući na specifične viruse koji su ih zarazili.
Detektori se dijele na univerzalne (revizori) i specijalizirane. Univerzalni detektori provjerite integritet datoteka tako što ćete izračunati kontrolnu sumu i upoređivati je sa standardom. Standard je ili specificiran u dokumentaciji za softverski proizvod, ili se može odrediti na samom početku njegovog rada.
Specijalizovani detektori konfiguriran za određene viruse, jedan ili više. Ako je detektor sposoban da otkrije nekoliko različitih virusa, onda se zove polidetektor. Rad specijalizovanog detektora zasniva se na potrazi za linijom koda koji pripada određenom virusu, moguće specificiranom regularnim izrazom. Takav detektor nije u stanju otkriti sve moguće viruse.
Dezinfektor (doktor, fag) je program koji uklanja virus i sa i bez obnavljanja staništa. Brojni virusi narušavaju okolinu na takav način da se njegovo prvobitno stanje ne može vratiti.
Najpoznatiji polidetektori faga su softverski paketi Antivirusni Toolkit Pro Evgenija Kasperskog i DrWeb kompanija Dialog.
Imunizer (vakcina) se odnosi na program koji sprječava da specifični virusi kontaminiraju okolinu ili memoriju. Imunizatori rješavaju problem neutralizacije virusa ne tako što ga uništavaju, već blokiraju njegovu sposobnost reprodukcije. Takvi programi se trenutno praktički ne koriste.
Metode zaštite od kompjuterskih virusa
Prilikom zaštite od kompjuterskih virusa, složenost preduzetih mjera, kako organizacijskih tako i tehničkih, važnija je nego ikad. U prvi plan njegove "odbrane" preporučljivo je staviti sredstva za zaštitu podataka od uništenja, iza njih - sredstva za otkrivanje virusa i, konačno, sredstva za neutralizaciju virusa.
Sredstva za zaštitu podataka od mogućeg gubitka i uništenja moraju se koristiti u svakom trenutku i redovno . Osim toga, trebali biste se pridržavati sljedećih organizacijskih preporuka kako biste se riješili virusne infekcije:
· koristite diskete kad god je to moguće sa zatvorenim utorom za zaštitu od pisanja,
· nemojte koristiti nepoznate diskete osim ako je to apsolutno neophodno;
· ne dajte svoje diskete drugim osobama;
· ne pokretati programe čija svrha nije jasna; koristiti samo licencirane softverske proizvode;
· ograničiti pristup računaru neovlašćenim osobama.
Ako trebate koristiti softverski proizvod nabavljen iz nepoznatog izvora, preporučuje se:
· testirati softverski proizvod specijalizovanim detektorima na prisustvo poznatih virusa. Nepoželjno je postavljati detektore na tvrdi disk - za to morate koristiti disketu zaštićenu od pisanja.
· sigurnosna kopija datoteka novog softverskog proizvoda;
· napravite rezervnu kopiju onih vaših datoteka čije je prisustvo potrebno za rad novog softvera;
· organizirati probni rad novog softverskog proizvoda u pozadini filtera virusa s namjernim odgovorima na njegove poruke.
Zaštita od kompjuterskih virusa treba da postane deo skupa mera za zaštitu informacija kako na pojedinačnim računarima tako iu automatizovanim informacionim sistemima u celini.
Bezrukov N.N. Kompjuterski virusi. - M.: Nauka, 1991. - 160 str.
[VIRUSI.
Nemoguće je riješiti problem teorijske detekcije virusa, pa se u praksi moraju rješavati konkretni problemi u pojedinim slučajevima malvera. Ovisno o svojstvima virusa, mogu se otkriti i neutralizirati korištenjem razne metode. Treba napomenuti da se u praksi klasifikacije koje usvajaju različiti proizvođači antivirusnih proizvoda razlikuju, iako su izgrađene na sličnim principima. Stoga će se u toku izlaganja prije svega formulisati principi, a tek onda primjeri iz klasifikacije.
Praktična definicija virusa Definicija kompjuterskog virusa je historijski problematično pitanje, jer je prilično teško dati jasnu definiciju virusa, a pritom navesti svojstva koja su svojstvena samo virusima i ne primjenjuju se na druge softverske sisteme. Naprotiv, dajući strogu definiciju virusa kao programa koji ima određena svojstva, gotovo odmah možete pronaći primjer virusa koji nema takva svojstva. Evo nekoliko definicija: Kronološki, najranija definicija je od Eugene Kaspersky (knjiga "Kompjuterski virusi"): Definicija 1: OBAVEZNA (NEPOTREBNA) SVOJSTVA RAČUNARSKOG VIRUSA je sposobnost da kreira sopstvene duplikate (ne nužno identične originalu) i ubaci ih u računarske mreže i/ili datoteke, oblasti računarskog sistema i druge izvršne objekte. Istovremeno, duplikati zadržavaju mogućnost dalje distribucije. Definicija prema GOST R 51188-98:
2. definicija: Virus je program sposoban da kreira svoje kopije (ne nužno identične originalu) i da ih ubaci u datoteke, sistemske oblasti računara, računarske mreže, kao i da izvrši druge destruktivne radnje. Istovremeno, kopije zadržavaju mogućnost dalje distribucije. Računalni virus je klasifikovan kao zlonamjerni softver. Lako je vidjeti da definicija u GOST-u gotovo u potpunosti ponavlja definiciju E. Kasperskog.
Definicije 1 i 2 u velikoj mjeri ponavljaju definiciju F. Cohena ili prefinjenost koju su predložili D. Chess i S. White, što nam omogućava da na njih (definicije) proširimo zaključak da je nemoguće stvoriti algoritam koji detektuje svi takvi programi ili čak sve "inkarnacije" jednog od virusa. Međutim, u praksi se ispostavlja da antivirusni programi mogu otkriti sve poznate viruse. Rezultat se posebno postiže i zbog činjenice da se oštećene ili neuspješne kopije virusa, koje nisu u mogućnosti da kreiraju i implementiraju svoje kopije, detektuju i klasificiraju na ravnopravnoj osnovi sa svim ostalim "punim" virusima. Dakle, sa praktične tačke gledišta, odnosno sa stanovišta algoritama pretraživanja, sposobnost reprodukcije uopšte nije neophodna da bi se program klasifikovao kao virus.Još jedan problem vezan za definiciju kompjuterskog virusa leži u Činjenica da se danas pod virusom najčešće podrazumijeva ne "tradicionalni" virus, već gotovo svaki zlonamjerni program. To dovodi do zabune u terminologiji, dodatno komplikovane činjenicom da su skoro svi moderni antivirusi u stanju da detektuju ove vrste malvera, tako da asocijacija malware-virus postaje sve stabilnija. Na osnovu toga, kao i namena antivirusnih alata , U daljem tekstu, ako nije posebno navedeno, pod virusima će se podrazumijevati malware. Definicija 3: Zlonamjerni program – kompjuterski program ili prenosivi kod dizajniran za implementaciju prijetnji informacijama pohranjenim u CS-u, ili za skrivenu zloupotrebu resursa CS-a, ili drugi uticaj koji onemogućuje normalno funkcionisanje CS-a. Zlonamjerni softver uključuje kompjuterske viruse, trojance, crve i dr. Računarski virusi, trojanci i crvi su glavne vrste zlonamjernog softvera.
Virusi
Klasične definicije kompjuterskog virusa su date gore.
Životni ciklus Zbog karakteristična karakteristika virusi u tradicionalnom smislu je sposobnost reprodukcije unutar jednog kompjutera, podjela virusa na tipove se odvija u skladu sa metodama reprodukcije.Sam proces reprodukcije se uslovno može podijeliti u nekoliko faza: 1. Penetracija u kompjuter 2. Virus aktivacija Tražite objekte za infekciju4. Priprema virusnih kopija5. Uvođenje virusnih kopijaZnačajke implementacije svake faze generiraju atribute, čiji skup zapravo određuje klasu virusa.
PenetracijaVirusi prodiru u računar zajedno sa zaraženim datotekama ili drugim objektima (pokretački sektori diskete) i, za razliku od crva, ne utiču na proces penetracije. Stoga su mogućnosti prodiranja u potpunosti određene mogućnostima infekcije i klasificiraju viruse prema ovim stadijumima. životni ciklus nema posebnog značenja.
AktivacijaDa bi se virus aktivirao, zaraženi objekt mora biti kontroliran. U ovoj fazi dolazi do podjele virusa prema vrstama objekata koji se mogu zaraziti:
1. Virusi za pokretanje - virusi koji inficiraju boot sektore stalnih i prenosivih medija. 2.File virusi - virusi koji inficiraju datoteke. Ova grupa se dodatno deli na tri, u zavisnosti od okruženja u kojem se kod izvršava: · Zapravo fajl virusi - oni koji direktno rade sa resursima operativnog sistema Email-Worm.Win32.Bagle se može primetiti među najnovijim zlonamernim programi koji imaju funkciju virusa.p (kao i njegove modifikacije .q i .r). · Makrovirusi - virusi napisani na makro jeziku i izvršavani u okruženju bilo koje aplikacije. U velikoj većini slučajeva govorimo o makroima u Microsoft Office dokumentima.
Makro virusi mogu zaraziti ne samo Microsoft Word i Excel dokumente. Postoje i zlonamjerni programi koji ciljaju na druge vrste dokumenata: Macro.Visio.Radiant inficira datoteke poznatog programa za dijagramiranje -Visio, Virus.Acad.Pobresito - AutoCAD dokumenti, Macro.AmiPro.Green - dokumenti ranije popularne riječi procesor Ami Pro.
Script virusi - virusi koji se izvršavaju u okruženju određene komandne ljuske: ranije - bat datoteke u DOS komandnoj ljusci, sada češće VBS i JS - skripte u komandnoj ljusci Windows Scripting Host (WSH). Posebno je vrijedno napomenuti činjenica da su virusi, dizajnirani da rade u okruženju određenog OS-a ili aplikacije, neoperabilni u okruženju drugih OS-a i aplikacija. Stoga je okruženje u kojem može da radi izdvojeno kao poseban atribut virusa. Za viruse datoteka to su DOS, Windows, Linux, MacOS, OS/2. Za makro viruse - Word, Excel, PowerPoint, Office. Ponekad je virusu potrebna određena verzija OS-a ili aplikacije za ispravan rad, tada se atribut navede uže: Win9x, Excel97. Potraga za žrtvama U fazi traženja objekata za zarazu postoje dva načina na koje se virusi ponašaju i traganje za žrtvama kontinuirano, sve do kraja okruženja u kojem radi.Virusi drugog tipa u danima jednokratnog rada DOS su se obično nazivali rezidentnim. Prelaskom na Windows, problem ostanka u memoriji prestao je biti relevantan: gotovo svi virusi koji se izvršavaju u Windows okruženju, kao i u okruženju aplikacija MS Office, virusi su drugog tipa. Nasuprot tome, skript virusi su prvog tipa. Shodno tome, rezidentni atribut se primjenjuje samo na viruse DOS datoteka. Postojanje nerezidenta Windows virus moguće, ali u praksi su rijedak izuzetak. Zasebno, ima smisla uzeti u obzir takozvane stealth viruse - viruse koji, dok su stalno u memoriji, presreću pristup zaraženoj datoteci i uklanjaju virusni kod iz nje u pokretu, prenos nepromijenjene verzije datoteke kao odgovor na zahtjev. Dakle, ovi virusi maskiraju svoje prisustvo u sistemu. Da bi ih otkrili, antivirusnim alatima je potrebna mogućnost direktnog pristupa disku, zaobilazeći alate operativnog sistema. Stealth virusi su bili najrašireniji tokom DOS ere. Priprema virusnih kopija definicija 4: Virusni potpis - u širem smislu, informacija koja vam omogućava da nedvosmisleno odredite prisustvo datog virusa u datoteci ili drugom kodu. Primjeri potpisa su: jedinstveni niz bajtova koji je prisutan u ovom virusu i nije pronađen u drugim programima; kontrolni zbir takvog niza. Proces pripreme kopija za distribuciju može se značajno razlikovati od jednostavnog kopiranja. Autori tehnološki najsloženijih virusa nastoje napraviti različite kopije što je moguće više različitih kako bi zakomplicirali njihovu detekciju antivirusnim alatima. Kao rezultat toga, sastavljanje potpisa za takav virus je izuzetno teško ili čak nemoguće. Implementacija
Uvođenje virusnih kopija može se provesti na dvije fundamentalno različite metode:
· Ubacivanje virusnog koda direktno u zaraženi objekat · Zamjena objekta kopijom virusa. Objekt koji se zamjenjuje obično se preimenuje
Za viruse, prva metoda je pretežno karakteristična. Drugi metod mnogo češće koriste crvi i trojanci, tačnije trojanske komponente crva, budući da se trojanci ne razmnožavaju sami.
Šteta od zlonamjernog softveraCrvi i virusi mogu obavljati sve iste radnje kao i trojanci. Na nivou implementacije, to mogu biti i odvojene trojanske komponente i ugrađene funkcije. Osim toga, zbog masovnosti, viruse i crve karakteriziraju i drugi oblici zlonamjernih radnji:
· Preopterećenost komunikacijskih kanala- vrsta oštećenja svojstvena crvima, povezana s činjenicom da se tokom epidemija velikih razmjera veliki broj zahtjeva, zaraženih pisama ili direktnih kopija crva prenosi putem internetskih kanala. U nekim slučajevima korištenje internetskih usluga tokom epidemije postaje teško. Primjeri: Net-Worm.Win32.Slammer DDoS napadi- zbog svoje masovne prirode, crvi se mogu efikasno koristiti za implementaciju distribuiranih napada uskraćivanja usluge (DDoS napadi). Na vrhuncu epidemije, kada su milioni, pa čak i desetine miliona računara zaraženi, svi zaraženi sistemi koji pristupaju određenom Internet resursu dovode do potpunog blokiranja ovog resursa. Tako je tokom napada MyDoom crva, web stranica SCO bila nedostupna mjesec dana.· Gubitak podataka- tipičnije za viruse nego za trojance i crve, ponašanje povezano sa namjernim uništavanjem određenih podataka na korisnikovom računaru. Primjeri: Virus.Win9x.CIH - brisanje startnih sektora diska i Flash BIOS sadržaja, Macro.Word97.Thus - brisanje svih datoteka na C: disku, Email-Worm.Win32.Mydoom.e - brisanje datoteka sa određenim ekstenzijama u zavisnosti od brojača slučajnih brojeva indikatora Poremećaj softvera- takođe osobina karakterističnija za viruse. Zbog grešaka u kodu virusa, zaražene aplikacije mogu raditi s greškama ili uopće ne raditi. Primeri: Net-Worm.Win32.Sasser.a - ponovno pokretanje zaraženog računara · - intenzivna upotreba računarskih resursa od strane zlonamernih programa dovodi do smanjenja performansi kako sistema u celini, tako i pojedinačnih aplikacija. Primjeri: do različitog stepena - bilo koji zlonamjerni softverPrisutnost destruktivnih radnji nikako nije obavezan kriterij za klasificiranje programskog koda kao virusa. Također treba napomenuti da virus može uzrokovati ogromnu štetu samim procesom samoreplikacije. Većina vrhunski primjer- Net-Worm.Win32.Slammer.
Prijetnje sigurnosti informacija Razmotrite prijetnje sigurnosti informacija sa stanovišta virusa. S obzirom na to da ukupan broj virusa do danas prelazi 100.000, previše je naporno i beskorisno analizirati prijetnje od svakog od njih, budući da se broj virusa svakodnevno povećava, što znači da se rezultirajuća lista mora svakodnevno mijenjati. Pretpostavićemo da je virus sposoban da realizuje bilo koju od pretnji bezbednosti informacija Postoji mnogo načina da se klasifikuju pretnje bezbednosti informacija koje se obrađuju u automatizovanom sistemu. Najčešće korišćena klasifikacija pretnji zasniva se na rezultatu njihovog uticaja na informacije, odnosno narušavanju poverljivosti, integriteta i dostupnosti.Za svaku pretnju postoji nekoliko načina da je implementiraju virusi. Privacy Threat· Krađa informacija i njihova distribucija korišćenjem redovnih sredstava komunikacije ili prikrivenih kanala prenosa: Email-Worm.Win32.Sircam - zajedno sa kopijama virusa, poslani proizvoljni dokumenti pronađeni na zaraženom računaru
Svaka aktivnost koja rezultira nemogućnošću pristupa informacijama; razni zvučni i vizuelni efekti: Email-Worm.Win32.Bagle.p - blokiranje pristupa sajtovima antivirusnih kompanija Onemogućavanje računara uništavanjem ili oštećenjem kritičnih komponenti (uništavanje Flash BIOS-a): Virus.Win9x.CIH - oštećenje Flash-a BIOS pobrinite se da za svaki od gore navedenih načina implementacije prijetnji možete dati konkretan primjer virusa koji implementira jednu ili više metoda istovremeno. Zaključak Zlonamjerni programi se razlikuju po uvjetima postojanja, tehnologijama koje se koriste u različitim fazama životnog ciklusa i stvarnom zlonamjernom utjecaju - svi ovi faktori su osnova za klasifikaciju. Kao rezultat toga, prema glavnoj (sa istorijske tačke gledišta) karakteristici – reprodukciji, zlonamjerni programi se dijele na tri tipa: virusi, crvi i trojanci.pristupačnost. S tim u vezi, prilikom projektovanja složenih sistema antivirusne zaštite, pa čak i u širem slučaju - kompleksnih sistema zaštite informacija, potrebno je rangirati i klasifikovati mrežne objekte prema važnosti informacija koje se na njima obrađuju i verovatnoći zaraze. ovih čvorova sa virusima.
1 Računarski virusi
1.2 Kako virusi rade
3 Mjere zaštite od virusa. Osnovni antivirusni programi
Uvod
Da bi pojednostavio matematičke proračune, osoba je izmislila kompjuter kako bi riješila određene probleme izračunavanja i pohranjivanja informacija tih proračuna, osmislivši „niz instrukcija koje određuju postupak rješavanja konkretan zadatak kompjuter" - programi. Programi olakšavaju računanje. Proračun i programi za računarstvo predstavljaju određenu vrijednost koja je potrebna napadačima za vlastitu korist. Kako bi ukrali potrebne informacije, napadači su smislili zlonamjerne programe - viruse.
Kompjuterski virus- vrsta zlonamjernog softvera sposobnog da kreira svoje kopije i infiltrira se u kod drugih programa, područja sistemske memorije, boot sektore, kao i da distribuira svoje kopije kroz različite komunikacijske kanale, kako bi poremetio rad softverskih i hardverskih sistema, brišu datoteke, dovode do neprikladnosti struktura za smještaj podataka, blokiraju rad korisnika ili čine hardverske sisteme računara neupotrebljivim.
1 Kompjuterski virus
1.1 Pripovijetka stvaranje virusa
“Osnove teorije samoreproducirajućih mehanizama postavio je John von Neumann, Amerikanac mađarskog porijekla, koji je 1951. predložio metodu za stvaranje takvih mehanizama. Radni primjeri takvih programa poznati su od 1961. godine.
Prvi poznati virusi su Virus 1,2,3 i Elk Cloner za Apple II PC, koji se pojavio 1981. godine. U zimu 1984. pojavili su se prvi antivirusni programi - CHK4BOMB i BOMBSQAD Andyja Hopkinsa. Početkom 1985. Gee Wong je napisao program DPROTECT, prvi rezidentni antivirus.
Prve epidemije virusa datiraju iz 1986-1989: Brain.A (distribuiran u boot sektorima disketa, izazvao je najveću epidemiju), Jerusalem (pojavio se u petak 13. maja 1988, uništavajući programe kada su pokrenuti), Morris crv (preko 6200 računara, većina mreža je bila u kvaru do pet dana), DATACRIME (oko 100.000 zaraženih računara samo u Holandiji).
Istovremeno su se oblikovale glavne klase binarnih virusa: mrežni crvi (Morris crv, 1987.), trojanski konji (AIDS, 1989.), polimorfni virusi (Chameleon, 1990.), stealth virusi (Frodo, Whale, 2. polovina 1990. ).
Paralelno s tim, formiraju se organizirani pokreti i pro- i antivirusne orijentacije: 1990. godine pojavila se specijalizirana BBS Virus Exchange, Mala crna knjiga kompjuterskih virusa Marka Ludwiga i prvi komercijalni antivirus Symantec Norton AntiVirus.
1992. godine pojavio se prvi konstruktor virusa za PC, VCL (konstruktori su postojali za Amigu i prije), kao i gotovi polimorfni moduli (MtE, DAME i TPE) i moduli za šifriranje za ugrađivanje u nove viruse.
U narednih nekoliko godina stealth i polimorfne tehnologije su konačno usavršene (SMEG.Pathogen, SMEG.Queeg, OneHalf, 1994; NightFall, Nostradamus, Nutcracker, 1995), a većina neobične načine prodor u sistem i infekcija fajlova (Dir II - 1991, PMBS, Shadowgard, Cruncher - 1993). Osim toga, pojavili su se virusi koji inficiraju objektne datoteke (Shifter, 1994) i izvorni kod programa (SrcVir, 1994). Sa širenjem paketa Microsoft Office, makro virusi su se umnožili (Concept, 1995).
Godine 1996. pojavio se prvi virus za Windows 95 - Win95.Boza, a u decembru iste godine - prvi rezidentni virus za njega - Win95.Punch.
Sa širenjem mreža i Interneta, fajl virusi se sve više fokusiraju na njih kao na glavni kanal rada (ShareFun, 1997. - MS Word makro virus koji koristi MS-Mail za distribuciju; Win32.HLLP.DeTroie, 1998. - porodica špijunski virusi; Melissa, 1999 - makro virus i mrežni crv koji je oborio sve rekorde u pogledu brzine širenja). Vrhunac "trojanskih konja" otvorio je skriveni uslužni program za udaljenu administraciju BackOrifice (1998) i analozi koji su ga pratili (NetBus, Phase).
Virus Win95.CIH kulminirao je neobičnim metodama prepisivanjem FlashBIOS-a zaraženih mašina (epidemija iz juna 1998. smatra se najrazornijom u posljednjih nekoliko godina).
Kasnih 1990-ih i ranih 2000-ih, sa sve većom složenošću softvera i sistemskog okruženja, masovnim prelaskom na relativno sigurne Windows NT porodice, konsolidacijom mreža kao glavnog kanala za razmjenu podataka i uspjehom antivirusnih tehnologija u otkrivanju virusa koji su izgrađeni. na složenim algoritmima, najnoviji je počeo da sve više zamenjuje injekciju u fajlove ubacivanjem u operativni sistem (neobično autorun, rootkit) i zamenjuje polimorfizam sa ogromnim brojem tipova (broj poznatih virusa raste eksponencijalno).
Istovremeno, otkriće brojnih ranjivosti u Windows-u i drugom uobičajenom softveru otvorilo je put crvima za eksploataciju. U 2004. godini, epidemije neviđenih razmjera izazvali su MsBlast (prema Microsoftu - više od 16 miliona sistema]), Sasser i Mydoom (procijenjena šteta od 500 miliona odnosno 4 milijarde dolara).
Osim toga, monolitni virusi u velikoj mjeri ustupaju mjesto paketima zlonamjernog softvera i pomoćnim programima razdvojenim ulogama (trojanci, downloaderi/dropperi, phishing stranice, spambotovi i pauci). Društvene tehnologije - neželjena pošta i phishing - takođe cvetaju kao sredstvo zaraze zaobilazeći mehanizme zaštite softvera.
U početku, bazirano na trojancima, a sa razvojem p2p mrežnih tehnologija - i samostalno - najviše moderan izgled virusi - botnet crvi (Rustock, 2006, oko 150 hiljada botova; Conficker, 2008-2009, više od 7 miliona botova; Kraken, 2009, oko 500 hiljada botova). Virusi su, između ostalog zlonamjernog softvera, konačno formalizirani kao sredstvo sajber kriminala.
1.2 Kako virusi rade
Ne postoje posebne sheme za principe rada virusa, jer postoji mnogo različitih grupa virusa, a svaka grupa ima svoje mehanizme rada. Virus u prosjeku prolazi kroz tri faze u svom razvoju: 1) infekcija - 2) reprodukcija - 3) napad.
“1) Infekcija. Već smo ukratko razmotrili fazu infekcije. Do infekcije dolazi kada se pokrene zaraženi program ili kada se pristupi mediju koji ima zlonamjerni kod u području sistema. Tipično, virusni kod prvo ulazi u RAM računara koji radi, odakle se kopira na uređaje za skladištenje.
2) Reprodukcija. Reprodukcija virusa se odvija kao niz uzastopnih infekcija. Ako se na računaru formira zaražena izvršna datoteka, tada se prilikom pokretanja virusni kod seli u RAM (virus postaje rezidentni program), odakle se druge datoteke inficiraju prilikom pokretanja. Prije svega, pogođene su datoteke samog operativnog sistema. Što mehanizam češće radi, to je više datoteka pogođeno.
Ako ne govorimo o virusu datoteke, već o virusu za pokretanje, tada se nakon učitavanja operativnog sistema virusni kod seli iz servisnih sektora medija u RAM, a zatim se odatle kopira u servisne sektore drugih medija. (na primjer, diskete), koje su snimljene na ovom računaru.
3) Napad. Napad virusa je posljednja faza razvoja virusa. Tokom napada virus vrši manje ili više destruktivne radnje i pritom se svakako manifestira. Kada bi svaki virus odmah po ulasku u kompjuter započeo trenutni napad, virusa ne bi bilo dugo vremena - bili bi eliminisani. To je prirodno, jer kada destruktivni virusi unište sve što je na računaru, oni sami umiru. A ako virus nije destruktivan, već jednostavno štetan, tada se tokom napada demaskira, pada pod vatru zaštitne opreme i umire. Stoga je većini virusa potrebna pasivna faza razmnožavanja. Dok virus ne napravi dovoljan broj vlastitih kopija, besmisleno je pokretati njegov mehanizam za pokretanje. Mehanizam napada virusom može se pokrenuti brojačem kada je kreiran određeni broj kopija, sistemskim satom na određeni datum, naredbama iz centra za daljinsko upravljanje ako je računar na mreži, kada se pokrenu određeni fajlovi ili otvaraju se određeni dokumenti itd.”
1) Putem fizičkih medija:
Diskete i fleš diskovi inficiraju računar virusima koji propisuju njihove putanje i prelaze u datoteci za autorun ovog medija autorun.inf, propisujući njihov pravac otvaranja zlonamernih datoteka
2) E-mail (E-mail)
E-poruke poslane na e-poštu sadrže zlonamjerne datoteke (na primjer, medijske datoteke) i veze do web lokacija. Linkovi ne mogu biti štetni (virusni kod), oni služe kao resenderi stranicama sa virusnim kodom.
3) Web stranice
„Zaraza putem internet stranica je moguća i zbog prisustva različitih „aktivnih“ sadržaja na World Wide Web stranicama: skripti, ActiveX komponenti. U ovom slučaju koriste se ranjivosti u softveru instaliranom na računaru korisnika ili ranjivosti u softveru vlasnika sajta (što je opasnije, jer su respektabilni sajtovi sa velikim protokom posetilaca izloženi zarazi), a nesuđeni korisnici koji imaju pristupili takvom sajtu, rizikuju da zaraze njihov računar."
4) Implementacija preko mreže
Zlonamjerni programi se mogu širiti preko Interneta ili intraneta kompanije (lokalne mreže).
Kroz ranjivosti mreže, kao što su greške u programiranju, nedostaci u dizajnu sistema, slabe lozinke i niz drugih razloga, mrežni crv (vrsta zlonamjernog programa koji se nezavisno širi lokalnim i globalnim računarskim mrežama) ulazi u operativni sistem računara, a zatim crvi djeluju tako da inficiraju druge računare na mreži, obično zbog neželjene pošte ili DDoS napada. DDoS napad sprovode hakeri na računarski sistem kako bi ga doveli do kvara, odnosno stvaranja takvih uslova pod kojima legalni korisnici sistema ne mogu dobiti pristup obezbeđenim sistemskim resursima (serverima), odnosno ovom pristupu. je teško, a spam služi za distribuciju komercijalnog oglašavanja bez pristanka korisnika.
5) OS drajveri
Zlonamjerni programi se također mogu širiti preko OS drajvera, iako se ovaj kanal za distribuciju virusa rijetko koristi.
Virus se može zaraziti u programskoj datoteci drajvera operativnog sistema (na primjer, u drajveru diska) i izvoditi sistemske operacije pod svojom kontrolom.
Treba napomenuti da u okruženju operativnog sistema Microsoft Windows NT/2000/XP/2003, za takvu injekciju, programski kod zlonamernog programa mora da radi sa administratorskim privilegijama.
Zlonamjerni program također može funkcionirati kao usluga u Microsoft Windows NT/2000/XP/2003.
Virus ili drugi zlonamjerni program može zaraziti Linux/FreeBSD upravljački program operativnog sistema i druge operativne sisteme slične Unixu ako se virusni kod izvodi s administratorskim (root) privilegijama.
1.4 Simptomi virusne infekcije
· „automatsko otvaranje prozora sa nepoznatim sadržajem pri pokretanju računara;
blokiranje pristupa službenim web stranicama antivirusnih kompanija ili web stranicama koje pružaju usluge za "liječenje" računala od zlonamjernog softvera;
pojavljivanje novih nepoznatih procesa u izlazu upravitelja zadataka (na primjer, prozor "Procesi" Windows upravitelja zadataka);
pojavljivanje u ograncima registra odgovornim za autorun, novi unosi;
zabrana promjene postavki računala u administratorskom računu;
Nemogućnost pokretanja izvršne datoteke (prikazuje se poruka o grešci);
pojavljivanje iskačućih prozora ili sistemskih poruka sa neobičnim tekstom, uključujući one koje sadrže nepoznate web adrese i imena;
ponovno pokretanje računara tokom pokretanja bilo kojeg programa;
· slučajno i/ili slučajno gašenje računara;
Slučajni pad programa.
Međutim, treba uzeti u obzir da unatoč odsustvu simptoma, računalo može biti zaraženo zlonamjernim softverom.
2 Klasifikacija kompjuterskih virusa
Jedinstvena klasifikacija virusa za ovog trenutka ne postoji, ali u prosjeku, na osnovu karakteristika navedenih u nastavku, može se izgraditi sljedeća klasifikacija:
Po staništu
Prema načinu zaraze staništa
Destruktivnim dejstvom
Prema specifičnostima virusnog algoritma
Klasifikacija staništa
Boot virusi prodiru u sektore pokretanja uređaja za skladištenje podataka (tvrdi diskovi, diskete, prenosivi uređaji za skladištenje). Kada se operativni sistem pokrene sa zaraženog diska, virus se aktivira. Njegove radnje mogu se sastojati u ometanju rada učitavača operativnog sistema, što onemogućava rad, ili u promjeni tabele datoteka, što ga čini nedostupnim.
određene datoteke.
File virusi najčešće su ugrađeni u izvršne module programa (datoteke sa kojima se određeni program pokreće), što im omogućava da se aktiviraju u trenutku pokretanja programa, što utiče na njegovu funkcionalnost. Manje uobičajeno, virusi datoteka mogu da se infiltriraju u biblioteke operativnog sistema ili aplikativnog softvera, izvršne batch datoteke, datoteke Windows registra, datoteke skripte i datoteke drajvera. Injekcija se može izvršiti ili promjenom koda napadnutog fajla, ili kreiranjem njegove modificirane kopije. Dakle, virus, koji se nalazi u datoteci, aktivira se prilikom pristupa ovoj datoteci, koju pokreće korisnik ili sam OS. Virusi datoteka su najčešći tip kompjuterskih virusa.
Virusi za pokretanje datoteka osiromašuju mogućnosti dve prethodne grupe, što im omogućava da predstavljaju ozbiljnu pretnju za računar.
Mrežni virusi distribuira putem mrežnih servisa i protokola. Kao što je distribucija pošte, pristup fajlovima preko FTP-a, pristup fajlovima preko LAN servisa. Ono što ih čini vrlo opasnim, budući da zaraza ne ostaje unutar jednog računala ili čak jedne lokalne mreže, već se počinje širiti raznim komunikacijskim kanalima.
Makrovirusi inficirati fajlove savremenih kancelarijskih sistema (Microsoft Office, Open Office…) kroz mogućnost korišćenja makroa u ovim sistemima. Makro je specifičan, unaprijed definiran skup radnji, firmvera, ugrađen u dokument i pozvan direktno iz njega kako bi se modificirao ovaj dokument ili druge funkcije. Makro je cilj makro virusa.
Klasifikacija prema načinu zaraze staništa
Prema načinu zaraze staništa virusi se dijele na dvije vrste: rezidentne i nerezidentne.
Stalni virus kada je računar zaražen, on ostavlja svoj rezidentni dio u RAM-u, koji zatim presreće pozive operativnog sistema zaraženim objektima i ubacuje se u njih. Rezidentni virusi se nalaze u memoriji i ostaju aktivni dok se računar ne isključi ili ponovo pokrene.
Za razliku od rezidenta Nerezident virusi ulaze u RAM računala samo za vrijeme svoje aktivnosti, tokom kojeg obavljaju destruktivnu funkciju i funkciju infekcije. Tada virusi potpuno napuštaju RAM, ostajući u staništu. Ako virus smjesti program u RAM koji ne inficira njegovo okruženje, onda se takav virus smatra nerezidentnim.
Klasifikacija prema destruktivnom uticaju
By stepen opasnosti za informacione resurse Računalni virusi korisnika se mogu podijeliti na: bezopasne viruse; opasne viruse; vrlo opasne viruse.
Bezopasno kompjuterski virusi obično služe kao hakeri da pokažu svoju sposobnost programiranja inficiranjem računara korisnika raznim medijskim fajlovima (prema statistici).
Ova vrsta virusa se naziva bezopasnim, oni i dalje nanose štetu, koristeći kompjuterske resurse, usporavajući njegov rad.
Opasno virusi se nazivaju takvi virusi, čija je svrha da smanje računske radnje računala i zauzmu komunikacijske kanale, te radnje ne narušavaju integritet i povjerljivost informacija pohranjenih u uređajima za pohranu. Problemi povezani s virusima su potreba za ponovnim izvršavanjem programa, ponovnim pokretanjem operativnog sistema ili ponovnim prijenosom podataka putem komunikacijskih kanala.
„veoma opasno treba smatrati virusima koji uzrokuju kršenje povjerljivosti, uništavanje, nepovratnu modifikaciju (uključujući šifriranje) informacija, kao i viruse koji blokiraju pristup informacijama, dovode do kvara hardvera i štete zdravlju korisnika. Takvi virusi brišu pojedinačne datoteke, područja sistemske memorije, formatiraju diskove, stiču neovlašteni pristup informacijama, šifriraju podatke itd.”
Zanimljiva činjenica:
“Postoje publikacije koje spominju viruse koji uzrokuju kvarove na hardveru. Pretpostavlja se da se na rezonantnoj frekvenciji mogu uništiti pokretni dijelovi elektromehaničkih uređaja, na primjer, u sistemu pozicioniranja magnetnog diska. To je ovaj način rada koji se može kreirati pomoću virusnog programa. Drugi autori tvrde da je moguće postaviti režime intenzivne upotrebe pojedinačnih elektronskih kola (na primer, velikih integrisanih kola), u kojima se ona pregrevaju i kvare.
Upotreba trajne memorije koja se može ponovno upisivati u modernim računarima dovela je do pojave virusa koji modificiraju BIOS programe, što dovodi do potrebe zamjene trajnih uređaja za pohranu podataka.
Također je moguće utjecati na psihu osobe - kompjuterskog operatera odabirom video slike koja se prikazuje na ekranu monitora sa određenom frekvencijom (svaki dvadeset i peti kadar). Ugrađene okvire ovih video informacija osoba percipira na podsvjesnom nivou. Kao rezultat takvog izlaganja moguća su ozbiljna oštećenja ljudske psihe. Godine 1997. 700 Japanaca je hospitalizirano sa simptomima epilepsije nakon gledanja kompjuterskog crtanog filma na televiziji. Pretpostavlja se da je na ovaj način testirana mogućnost uticaja na osobu ugradnjom 25. kadra.
Klasifikacija prema specifičnostima algoritma virusa
Satelitski virusi su virusi koji ne mijenjajte fajlove. Njihov mehanizam djelovanja je stvaranje kopija izvršnih datoteka. Na primjer, u MS-DOS-u takvi virusi kreiraju kopije datoteka koje imaju ekstenziju .EXE. Kopija ima isto ime kao izvršna, ali je ekstenzija promijenjena u .COM. Kada pokrenete datoteku sa zajedničkim imenom, operativni sistem prvo učitava datoteku sa ekstenzijom .COM, koja je virusni program, radi izvršavanja. Datoteka virusa tada pokreće datoteku sa ekstenzijom .EXE.
Replikatorski virusi (crvi)- virusi, čiji je glavni zadatak da se što brže razmnožavaju na svim mogućim mjestima skladištenja podataka i komunikacije. Često sami ne poduzimaju nikakve destruktivne radnje, već su transport za druge vrste zlonamjernog koda.
Trojanci- dobili su ime u čast "trojanskog konja", jer imaju sličan princip rada. Ovaj tip virusa masira svoje module pod modulima korištenih programa, stvarajući datoteke sa sličnim imenima i parametrima, a također zamjenjuje unose u sistemskom registru, mijenjajući veze radnih modula programa u njihove, uzrokujući module virusa . Destruktivne radnje se svode na uništavanje korisničkih podataka, slanje SPAM-a i praćenje radnji korisnika. Često se ne mogu sami razmnožavati. Prilično ih je teško otkriti, jer jednostavno skeniranje sistema datoteka nije dovoljno.
Stealth virusi (Stealth)- nazvane po stelt avionu "stelt", najteže za otkrivanje, jer imaju svoje algoritme za maskiranje od skeniranja. Oni se maskiraju zamjenom zlonamjernog koda korisnim kodom tokom skeniranja, privremenim onemogućavanjem funkcionalnih modula ako se otkrije proces skeniranja, skrivanjem njihovih procesa u memoriji itd.
Polimorfni (samo-šifrirajući) virusi- virusi čiji se zlonamjerni kod pohranjuje i distribuira u šifriranom obliku, što im omogućava da budu nedostupni većini skenera.
matiranje virusa Virusi nemaju trajne potpise. Takav virus stalno mijenja lance svog koda u procesu funkcioniranja i reprodukcije. Tako postaje neranjiv na jednostavno antivirusno skeniranje. Da bismo ih otkrili, potrebno je primijeniti heurističku analizu.
Virusi koji "odmaraju".- veoma su opasni, jer mogu biti u mirovanju veoma dugo, šireći se kompjuterskim mrežama. Aktivacija virusa se događa pod određenim uvjetima, često na određeni datum, što može uzrokovati ogroman razmjer istovremene infekcije. Primjer takvog virusa je CHIH ili Chernobyl virus, koji se aktivirao na godišnjicu nesreće u Černobilu, uzrokujući kvar na hiljadama računara.
3 Mjere zaštite od virusa Osnovni antivirusni programi
Do danas, mjere zaštite od virusa različite prirode su programi koji se nazivaju antivirusi.
Antivirusni program (antivirus) je specijalizirani program za otkrivanje kompjuterskih virusa, kao i neželjenih (smatranih zlonamjernih) programa općenito i vraćanje datoteka koje su zaražene (modificirane) takvim programima, kao i za prevenciju - sprječavanje infekcije (modifikacije) datoteka ili operativni sistem sa zlonamjernim kodom.
Prema svojim svojstvima, antivirusi se dijele na tipove kao što su: detektorski programi; doktorski programi ili fagi; revizori programa (inspektori), programski filteri (monitori), programi vakcina ili imunizatora, skener.
“DETEKTORSKI PROGRAMI vam omogućavaju da otkrijete datoteke zaražene jednim od nekoliko poznatih virusa. Ovi programi provjeravaju da li datoteke na disku koje je odredio korisnik sadrže kombinaciju bajtova specifičnih za dati virus. Kada se pronađe u bilo kojoj datoteci, na ekranu se prikazuje odgovarajuća poruka. Mnogi detektori imaju modove za liječenje ili uništavanje zaraženih datoteka.
Treba naglasiti da detektorski programi mogu otkriti samo viruse koji su mu "poznati". Neki detektorski programi mogu se podesiti na nove tipove virusa, samo trebaju specificirati kombinacije bajtova svojstvene ovim virusima. Međutim, nemoguće je razviti takav program koji bi mogao otkriti bilo koji ranije nepoznat virus.
Dakle, iz činjenice da detektori program ne prepoznaju kao zaražen, ne proizilazi da je zdrav - neki novi virus ili malo izmijenjenu verziju starog virusa, nepoznatu programima za otkrivanje.
Većina detektorskih programa ima funkciju "doktor", tj. pokušavaju vratiti zaražene datoteke ili područja diska u prvobitno stanje. One datoteke koje se ne mogu vratiti, u pravilu se onemogućavaju ili se brišu.
Dr. Web Program je 1994. godine kreirao I. A. Danilov i pripada klasi doktora detektora, ima takozvani "heuristički analizator" - algoritam koji vam omogućava da otkrijete nepoznate viruse. "Healing Web", kako je naziv programa preveden s engleskog, postao je odgovor domaćih programera na invaziju samo-modifikujućih mutantnih virusa. Potonji, tokom reprodukcije, modificiraju svoje tijelo tako da ne postoji niti jedan karakterističan lanac bajtova koji je bio prisutan u originalnoj verziji virusa.
U prilog ovom programu govori i činjenica da je veliku licencu (za 2.000 računara) nabavila Generalna direkcija za informacione resurse pri predsjedniku Ruske Federacije, a drugi najveći kupac "weba" - "Inkombank".
Aidstest- program je ona izmislila 1988. godine od strane D.N. Lozinskog i doktor je detektor. Aidstest je dizajniran da popravi programe zaražene uobičajenim (nepolimorfnim) virusima koji ne mijenjaju svoj kod. Ovo ograničenje je zbog činjenice da ovaj program traži viruse koristeći identifikacione kodove. Ali istovremeno se postiže vrlo velika brzina provjere datoteka.
REVIZORI imaju dvije faze rada. Prvo, oni pohranjuju informacije o stanju programa i sistemskih područja diskova (boot sektor i sektor sa particijskom tablicom tvrdog diska). Pretpostavlja se da u ovom trenutku programi i sistemske oblasti diskova nisu zaražene. Nakon toga, koristeći program auditor, možete u svakom trenutku uporediti stanje programa i sistemskih područja diskova sa originalnim. Sva pronađena odstupanja se prijavljuju korisniku.
ADinf (Napredni Diskinfoscope) pripada klasi programskih revizora. Ovaj program je kreirao D. Yu. Mostov 1991. godine.
Antivirus ima veliku brzinu rada, sposoban je uspješno odoljeti virusima koji se nalaze u memoriji. Omogućava vam da kontrolišete disk čitajući ga po sektorima kroz BIOS i bez upotrebe DOS sistemskih prekida koje virus može presresti.
Za dezinfekciju zaraženih datoteka koristi se ADinf Cure Module, koji nije uključen u ADinf paket i isporučuje se zasebno. Princip rada modula je spremanje male baze podataka koja opisuje kontrolirane datoteke. Radeći zajedno, ovi programi mogu otkriti i ukloniti oko 97% virusa datoteka i 100% virusa sektora za pokretanje. Na primjer, zloglasni SatanBug virus je lako otkriven, a datoteke zaražene njime automatski su vraćene. Štaviše, čak i oni korisnici koji su kupili ADinf i ADinf Cure Module nekoliko mjeseci prije pojave ovog virusa uspjeli su ga se bez poteškoća riješiti.
AVP (Anti- Virus Zaštita) program kombinuje detektor, doktora i revizora, pa čak ima i neke funkcije rezidentnog filtera (zabrana pisanja u datoteke sa atributom SAMO ČITANJE). Antivirusni komplet, koji je proširena verzija poznatog antivirusnog kompleta "Doktor Kaspersky". Dok je program pokrenut, testira se na nepoznate viruse. Uključen je i stalni program koji prati sumnjive aktivnosti na računaru i daje vam mogućnost da vidite memorijsku karticu. Poseban skup uslužnih programa pomaže u otkrivanju novih virusa i njihovom razumijevanju.
Antivirus može tretirati i poznate i nepoznate viruse, a sam korisnik može informirati program o načinu liječenja ovih potonjih. Osim toga, AVP može liječiti samo-modificirajuće i Stealth viruse (stealth).
Norton Antivirus- antivirusni paket pripada tipu alata "instaliraj i zaboravi". Svi potrebni parametri konfiguracije i planirane aktivnosti (provjera diska, provjera novih i izmijenjenih programa, pokretanje uslužnog programa Auto-Protect Windows, provjera sektora za pokretanje diska A: prije ponovnog pokretanja) su podešeni po defaultu. Postoji program za skeniranje diska za DOS i Windows. Između ostalog, Norton AntiVirus otkriva i uništava čak i polimorfne viruse, a također uspješno odgovara na aktivnosti slične virusima i bori se protiv nepoznatih virusa.
FILTERI ili MONITORI, koji se nalaze rezidentno u RAM-u računara i presreću one pozive operativnom sistemu koje koriste virusi za umnožavanje i nanošenje štete, te o njima obavještavaju korisnika. Korisnik može omogućiti ili onemogućiti odgovarajuću operaciju.
Neki programi za filtriranje ne "hvataju" sumnjive radnje, već provjeravaju viruse u pozvanim programima. Ovo uzrokuje usporavanje računara.
Međutim, prednosti korištenja programa za filtriranje su vrlo značajne - omogućavaju vam da otkrijete mnoge viruse u vrlo ranoj fazi, kada virus još nije imao vremena da se umnoži i nešto pokvari. Na ovaj način se gubici od virusa mogu svesti na minimum.
VAKCINE, odnosno IMUNIZATORI, modificiraju programe i diskove na način da to ne utiče na rad programa, ali virus protiv kojeg se vrši vakcinacija smatra te programe ili diskove već zaraženim. Ovi programi su izuzetno neefikasni. Oni prate potencijalno opasne operacije izdavanjem odgovarajućeg zahtjeva korisniku da dozvoli/zabrani operaciju.
Nedostaci antivirusnih programa:
Nijedna od postojećih antivirusnih tehnologija ne može pružiti potpunu zaštitu od virusa.
Antivirusni program preuzima dio računarskih resursa sistema, učitavajući centralni procesor i hard disk. Ovo može biti posebno uočljivo na slabim računarima. Usporenja u pozadini mogu biti i do 380%.
Antivirusni programi mogu vidjeti prijetnju tamo gdje je nema (lažno pozitivni).
Antivirusni programi preuzimaju ažuriranja sa Interneta, a time i troše propusni opseg.
Različite metode šifriranja i pakiranja zlonamjernog softvera čine čak i poznate viruse neotkrivenim antivirusnim softverom. Za otkrivanje ovih "maskiranih" virusa potreban je snažan dekompresijski mehanizam koji može dešifrirati datoteke prije nego što se skeniraju. Međutim, mnogi antivirusni programi nemaju ovu funkciju i stoga je često nemoguće otkriti šifrirane viruse. .
KOMPJUTERSKI VIRUSI
I oštećene i zaražene datoteke
Klasifikacija virusa PREVENCIJA I KONTROLA KOMPJUTERSKIH VIRUSA
UVOD
Trenutno su mnoga područja ljudske aktivnosti povezana s upotrebom računara. Zašto su ove elektronske mašine tako čvrsto ugrađene u naše živote? Sve je prilično trivijalno. Oni obavljaju rutinski proračunski i projektantski rad, oslobađajući naš mozak za potrebnije i odgovornije zadatke. Kao rezultat toga, umor se naglo smanjuje i počinjemo raditi mnogo produktivnije nego bez korištenja računala.
Mogućnosti savremenih računara zadivljuju najbogatiju maštu. Oni su u stanju da obavljaju nekoliko zadataka paralelno, čija je složenost prilično visoka. Stoga neki proizvođači razmišljaju o stvaranju umjetne inteligencije. A sada rad kompjutera čoveku liči na rad inteligentnog elektronskog pomoćnika.
Ali ko bi rekao da ovo elektronsko čudo tehnologije karakterišu bolesti slične ljudskim. Njega, kao i čovjeka, može napasti "virus" ali kompjuterski. A ako ne preduzmete nešto, kompjuter će se uskoro "razboljeti" tj. će početi izvoditi pogrešne radnje ili čak "umrijeti", tj. šteta uzrokovana "virusom" bit će vrlo ozbiljna. Što su kompjuterski virusi i kako se nositi s njima bit će riječi dalje.
KOMPJUTERSKI VIRUSI
Šta je kompjuterski virus?
Do danas postoji nekoliko glavnih vrsta zlonamjernog softvera:
- klasični kompjuterski virus;
- trojanski ili trojanski konj (troj);
- crv (crv);
- špijun ili špijun, keylogger
-rootkick;
- bot ili zombi.
Nekada su najveću rasprostranjenost imali klasični virusi - ali njihovi kreatori rijetko su postavljali konkretan cilj da naškode krajnjem korisniku, već su kreirani iz edukativnih razloga. Današnji pisci virusa teže apsolutno jasnim i razumljivim ciljevima - novcu, a njihova "djeca" su postala mnogo opasnija od svojih prethodnika. Dozvolite mi da vam predstavim najviše opasni grabežljivci današnji informacioni prostor su trojanci i crvi.
Trojanac ili troj je dobio ime po sličnosti između metode zaraze i poznatog taktičkog poteza tokom opsade Troje. Primer trojanske infekcije - dobijate pismo od izvesnog "prijatelja" sa tekstom: - "Zdravo! Upravo sam se vratio sa mora - tako sam se lepo odmorio! Evo mojih slika - pogledajte.", i u prilogu datoteke sa ekstenzijom ".JPG". Te iste datoteke su trojanski konj u čijoj se dubini krije zlonamjerni kod. Najčešći izvori zaraze su e-pošta, stranice za upoznavanje, muzičke stranice i stranice sa besplatnim softverom. Šta radi "trojanac"? Po pravilu, njegov zadatak je da otvori put drugim virusima, da djeluje kao prva odskočna daska. Kako izbjeći infekciju "trojancem"? Ovdje je sve kao u životu - zaštitite se i izbjegavajte neobavezne veze =). Ovo pravilo vrijedi za sve viruse i drugi zlonamjerni softver. Ako vam je poslat e-mail - prije nego pogledate priloge, provjerite pošiljaoca, spremite prilog na računar i provjerite antivirusom, pa ga tek onda otvorite.
Worm ili Worm - karakteristika ovih programa u evoluciji i autonomiji. Kada crv uđe u računar, obično napada mail programe i internet pejdžere. Nakon što dobije pristup mejlu ili pejdžeru, počinje da šalje pisma/poruke koje sadrže modifikovanu verziju njega samog. Nakon toga se ili samouništava ili inficira izvršne datoteke (EXE, COM, BAT). Pošto se virus sam mijenja, on je neranjiv dok se ne otkrije u bazi podataka vašeg antivirusa. Zato je danas licencirani antivirus hitna potreba svakog vlasnika računara.
Kompjuterski virus je posebno napisan mali program koji se može "pripisati" drugim programima (tj. "inficirati" ih), kao i izvršiti razne neželjene radnje na računaru. Program koji sadrži virus naziva se zaražen. Kada se takav program pokrene, virus prvo preuzima kontrolu. Virus pronalazi i "inficira" druge programe, a izvodi i neke štetne radnje (na primjer, kvari datoteke ili tablicu dodjele datoteka (FAT) na disku, "kontaminira" RAM itd.). Da bi se prikrio virus, radnje za zarazu drugih programa i nanošenje štete ne moraju se uvijek izvoditi, ali, recimo, pod određenim uvjetima. Nakon što virus izvrši radnje koje su mu potrebne, on prenosi kontrolu na program u kojem se nalazi i radi kao i obično. Stoga, spolja, rad zaraženog programa izgleda isto kao i rad nezaraženog programa.
Mnoge vrste virusa su dizajnirane tako da kada se pokrene zaraženi program, virus ostaje u memoriji računara i s vremena na vreme inficira programe i izvršava neželjene radnje na računaru.
Sve radnje virusa mogu se izvršiti vrlo brzo i bez izdavanja ikakvih poruka, za ovog korisnika je veoma teško, gotovo nemoguće, utvrditi da se na računaru dešava nešto neobično.
Sve dok je relativno mali broj programa zaražen na računaru, prisustvo virusa može biti gotovo nevidljivo. Međutim, nakon nekog vremena, nešto čudno počinje da se dešava na računaru, na primer:
- neki programi prestanu da rade ili počnu da rade pogrešno;
- na ekranu se prikazuju strane poruke, simboli itd.;
- rad na računaru se značajno usporava;
- neki fajlovi su oštećeni, itd.
Do tog vremena, u pravilu, dosta (ili čak većina) tehničkih programa s kojima radite je zaraženo virusom, a neke datoteke i diskovi su oštećeni. Štaviše, zaraženi programi sa vašeg računara možda su već prebačeni preko disketa ili lokalne mreže na računare vaših kolega i prijatelja.
Neki virusi su veoma podmukli. U početku neprimjetno zaraze veliki broj programa i diskova, a zatim uzrokuju vrlo ozbiljnu štetu, na primjer, formatiraju cijeli tvrdi disk na računalu, naravno nakon toga je jednostavno nemoguće oporaviti podatke. A postoje i virusi koji se ponašaju vrlo tajno i postepeno kvare podatke na tvrdom disku ili pomjeraju tablicu dodjele datoteka (FAT).
Stoga, ako ne preduzmete mjere zaštite od virusa, posljedice infekcije mogu biti vrlo ozbiljne. Na primjer, početkom 1989 Virus, koji je napisao američki student Morris, zarazio je i onesposobio hiljade računara, uključujući i one koji pripadaju američkom Ministarstvu odbrane. Autora virusa sud je osudio na tri mjeseca zatvora i novčanu kaznu od 270 hiljada dolara. Kazna je mogla biti i stroža, ali je sud uzeo u obzir da virus nije pokvario podatke, već se samo umnožio.
Da bi virusni program bio nevidljiv, mora biti mali. Stoga se virusi obično pišu na asemblerskim jezicima niskog nivoa ili na komandama jezika C niskog nivoa.
Viruse pišu iskusni programeri ili studenti jednostavno iz radoznalosti ili da bi se osvetili nekome ili preduzeću koje ih je tretiralo na nedostojan način ili u komercijalne ili usmjerene sabotažne svrhe. Bez obzira na svrhu autora, virus može završiti na vašem računalu i pokušati izvršiti iste štetne radnje kao i onaj za koga je stvoren.
Treba napomenuti da pisanje virusa nije tako težak zadatak, sasvim dostupan studentu programiranja. Stoga se svake sedmice u svijetu pojavljuje sve više novih virusa. I mnoge od njih se proizvode u našoj zemlji.
Oštećeni i zaraženi fajlovi
Kompjuterski virus može upropastiti, tj. neprikladno modificirati bilo koju datoteku na diskovima dostupnim na računaru. Ali virus može "zaraziti" neke vrste datoteka. To znači da se virus može „infiltrirati“ u ove datoteke, tj. modificirati ih tako da sadrže virus koji pod određenim okolnostima može početi djelovati.
Treba napomenuti da tekstovi programa i dokumenata, datoteke sa informacijama baze podataka, tabele sa tabelama i druge slične datoteke ne mogu biti zaražene uobičajenim virusom, on ih može samo pokvariti. Infekciju takvih datoteka vrše samo makro-virusi. Ovi virusi mogu čak zaraziti i vaše dokumente.
Učitavač operativnog sistema i glavni zapis za pokretanje sa hard diska. Virusi koji inficiraju ova područja nazivaju se boot ili BOOT virusi. Takav virus počinje svoj rad pri početnom pokretanju računara i postaje rezidentni, tj. trajno se nalazi u memoriji računara. Mehanizam distribucije je infekcija boot zapisa umetnutih u diskete računara. Često se takvi virusi sastoje iz dva dijela, budući da je boot zapis mali i teško je u njih smjestiti cijeli virusni program. Dio virusa se nalazi u drugom dijelu diska, na primjer, na kraju korijenskog direktorija diska ili u klasteru u podatkovnom području diska (obično se takav klaster proglašava neispravnim kako bi se spriječiti prepisivanje virusa kada se podaci upisuju).
Datoteke upravljačkih programa uređaja navedene u klauzuli DEVICE datoteke CONFIG.SYS. Virus u njima počinje svoj rad svaki put kada se pristupi uređaju. Virusi koji inficiraju drajvere uređaja su veoma retki jer se drajveri retko kopiraju sa jednog računara na drugi. Isto važi i za sistemske datoteke DOS (MSDOS.SYS i IO.SYS) - njihova infekcija je takođe teoretski moguća, ali je neefikasna za širenje virusa.
Po pravilu, svaka specifična vrsta virusa može zaraziti samo jednu ili dvije vrste datoteka. Najčešće postoje virusi koji inficiraju izvršne datoteke. Na drugom mjestu po učestalosti su boot virusi. Neki virusi inficiraju i datoteke i područja za pokretanje diska. Virusi koji inficiraju drajvere uređaja su izuzetno rijetki, obično takvi virusi mogu zaraziti i izvršne datoteke.
Klasifikacija virusa
Virusi se mogu podijeliti u klase prema različitim kriterijima. Evo, na primjer, na osnovu izdaje:
Virusi koji trenutno inficiraju računar formatiraju čvrsti disk, oštećuju tabelu alokacije datoteka, oštećuju sektore za pokretanje, brišu takozvani Flash ROM (gde se nalazi BIOS) računara (černobil virus), drugim rečima, uzrokuju nepopravljivu štetu na računar što je brže moguće. Ovo uključuje i rezultate pritužbi programera koji pišu viruse protiv antivirusnih programa. To se odnosi na takozvane alergije na određene antivirusne programe. Ovi virusi su prilično podmukli. Evo, na primjer, alergija na Dr.Weber prilikom pozivanja ovog programa, bez oklijevanja blokira antivirus, pokvari sve što se nalazi u direktoriju sa antivirusom i C: WINDOWS-om. Kao rezultat toga, morate ponovo instalirati operativni sistem, a zatim se boriti protiv virusa drugim sredstvima.
- virusi dizajnirani za dug život u računaru. Oni postepeno i pažljivo inficiraju program za programom bez reklamiranja svog prisustva i zamjenjuju početna područja programa vezama do mjesta gdje se nalazi tijelo virusa. Osim toga, unose promjenu u strukturu diska koja je neprimjetna za korisnika, što će se osjetiti tek kada su neki podaci već beznadežno izgubljeni (na primjer, virus "OneHalf-3544", "Yankey-2C").
Na osnovu načina prenošenja i reprodukcije može se napraviti i podjela.
Ranije su virusi uglavnom pogađali samo izvršne datoteke (sa ekstenzijama .com i .exe). Zaista, virus je program i mora se izvršiti.
Sada se virusi šalju e-poštom kao demo programi ili kao slike, na primjer, ako ste e-poštom dobili datoteku "PicturesForYou.jpg", nemojte žuriti da je pogledate, pogotovo jer je došla niotkuda. Ako bolje pogledate ime, ispada da ima još 42 razmaka i važeću ekstenziju .exe. To je stvarno puno ime fajl će biti ovakav:
"PicturesForYou.jpg .exe". Sada svako razumije šta ova slika zapravo nosi. Ovo nije slikovna datoteka koju pregledač slika poziva kada se aktivira, već drski, pomalo prikriveni virus koji samo čeka da se aktivira klikom miša ili pritiskom na tipku. Vi sami preuzimate takav virus na svoj kompjuter, ispod ljuske neke slike, kao "trojanski konj". Otuda i sleng naziv za takve viruse kao što su "trojanci".
Trenutno postoje takve ljuske informativnih kanala kao što su Internet Explorer, Outlook Express, Microsoft Office. Sada se pojavilo nekoliko klasa takozvanih "makro-virusa". Oni sadrže skrivene komande za ove ljuske koje su nepoželjne za prosječnog korisnika. I ovaj kod više nije kod za računar, odnosno više nije program, već tekst programa koji izvršava ljuska. Dakle, može se napisati u bilo kojem traženom formatu: .html, .htm - za Internet Explorer, .doc, .xls, .xlw, .txt, .prt, ili bilo koji drugi - za Microsoft Office, itd. Takvi virusi uzrokuju štetu samo određene prirode, jer ljuska nema komande, na primjer, za formatiranje tvrdog diska. Ali ipak, ova vrsta virusa zaslužuje pažnju, jer uz pomoć skrivenih hiperlinkova može samostalno preuzeti tijelo virusa s interneta na vaš računar, a neki virusi mogu se ažurirati i djelomično preuzimati putem interneta sa određenih servera. . Na primjer, jedan od japanskih studenata razvio je upravo takav virus koji povezuje mali "loader" sa bilo kojim formatom ulaznih podataka sa Interneta. Nadalje, ovaj učitavač samostalno preuzima tijelo virusa sa Interneta sa servera sa Babilon5 IP adresom. Postoje četiri ova tijela. Svaki od njih može sam da uništi vaš računar, ali ima određenu svrhu. Ovaj tip virusa je hibrid između makro virusa i običnih virusa. Ali treba napomenuti da su hibridi najžilaviji, najlukaviji, opasniji i brojniji među virusima. Nedavno je došlo do skandala oko programera koji je, prema riječima stručnjaka, kreirao i počeo širiti makro virus koji je zarazio tekstualne datoteke za Microsoft Word. Izračunato je od datuma i vremena kreiranja originalnog dokumenta, koji je pohranjen u nevidljivim dijelovima .doc datoteka. Moguće je da je fajl kreirala druga osoba pre nego što mu je virus prikačen, tada ostaje otvoreno pitanje napadača. Ali stručnjaci kažu da je to on.
Na primjer, virus Win32.HLLM.Klez. jedna od varijanti opasnog mrežnog crva se distribuira slanjem svojih kopija putem e-pošte. Osim toga, ovaj crv se može širiti po lokalnoj mreži, inficirajući računare na čijim diskovima se može pisati zajednički mrežni resursi. Jednom u sistemu, crv se šalje na adrese koje se nalaze u Windows adresaru, u ICQ bazi podataka i u lokalnim datotekama. Zaražene e-poruke koje šalje ovaj crv koriste jednu od relativno dugo poznatih grešaka u sigurnosnom sistemu Internet Explorer-a, koja omogućava da se programska datoteka (sa virusom) prikačena uz e-poštu automatski pokrene kada jednostavno pregledate poštu u Outlook-u i Outlook Express-u.
Pokušajmo razmotriti metode maskiranja i zaštite koje koriste virusi protiv nas običnih korisnika i antivirusnih programa.
Perfidnost je glavna i najveca brz način napraviti prljavi trik prije nego što bude otkriven. Černobil virus, na primjer, potpuno briše BIOS (program za pokretanje koji se nalazi u ROM čipu koji osigurava rad računara). Nakon toga, računar neće moći da prikaže ništa. Ali njegov rad se lako blokira ako se unutar računara instalira prekidač koji zabranjuje upisivanje u ROM područje. Dakle, bio je to prvi, ali i, kako mislim, posljednji predstavnik hardverskih virusa.
Regenerativni virusi dijele svoje tijelo na nekoliko dijelova i pohranjuju ih u njima različitim mjestima tvrdi disk. U skladu s tim, ovi dijelovi su u stanju da se samostalno pronalaze i sastavljaju kako bi regenerirali tijelo virusa. Antivirusni program otkriva i ubija samo tijelo virusa, a dijelovi ovog tijela nisu uključeni u antivirusnu bazu podataka jer se mijenjaju. Ciljano nisko formatiranje tvrdog diska pomaže protiv takvih virusa. Moraju se poduzeti mjere opreza kako bi se informacije sačuvale.
Lukavi virusi se kriju ne samo od nas, već i od antivirusnih programa. Ovi "kameleoni" se mijenjaju koristeći najlukavije i najsloženije operacije, koristeći i trenutne podatke (vrijeme kreiranja datoteke) i koristeći gotovo polovinu cjelokupnog skupa instrukcija procesora. U određenom trenutku, naravno, prema lukavom algoritmu, oni se pretvaraju u podli virus i počinju da se bave našim računarom. Ovo je najteža vrsta virusa za otkrivanje, ali neki antivirusni programi, kao što je "Dr.Weber", mogu otkriti i neutralizirati slične viruse pomoću takozvane heurističke analize.
"Nevidljivi" virusi koriste takozvanu "Stelth" metodu kako bi spriječili njihovo otkrivanje. Sastoji se u tome da virus, koji je rezidentan u memoriji, presreće DOS pozive (a samim tim i aplikativne programe) zaraženim datotekama i diskovima i izdaje ih u originalnom (neinficiranom) obliku. Naravno, ovaj efekat se primećuje samo na zaraženom računaru - na "čistom" računaru se lako mogu otkriti promene u datotekama i oblastima za pokretanje diska. Ali neki antivirusni programi mogu otkriti "nevidljive" viruse čak i na zaraženim računarima.
Mrežni crv Randon pojavio se u martu 2003. Širi se putem IRC kanala i lokalnih mrežnih resursa i inficira računare koji koriste Windows2000 i Windows XP operativne sisteme. Da bi ušao u kompjuter, povezuje se na lokalnu mrežu ili IRC server, skenira korisnike koji se nalaze na njemu, uspostavlja vezu sa njima na portu 445 i pokušava da pogodi lozinku sa ugrađene liste najčešće korišćenih fraza. Ako je sistem uspješno kompromitovan, Random mu šalje Apher Trojan, koji zauzvrat preuzima preostale komponente crva sa udaljene web stranice. Nakon toga, "Randon" instalira svoje komponente u Windows sistemski direktorij, registruje svoju glavnu datoteku. Da bi sakrio svoje prisustvo u memoriji, koristi poseban uslužni program HideWindows, koji je takođe komponenta crva. Zahvaljujući njoj, ispada da je nevidljiv za korisnika, tako da se aktivni Randon proces može otkriti samo u Windows Task Manageru. Njegovo nuspojave– stvaranje velike količine viška saobraćaja na zaraženoj mašini i prelivanje IRC kanala.
Prema Kaspersky Lab, jedan od vodećih programera antivirusnih programa, predstavlja pregled aktivnosti virusa za mart 2003. (Tabela 2 i Slika 1)
Top 20 najčešćih zlonamjernih programa
Tab. 2
Naziv Udio u ukupnom broju virusnih incidenata (%)
1. I-Worm.Klez 37,60%
2. I-Worm.Sobig 10,75%
3. I-Worm.Lentin 9,03%
4. I-Worm.Avron 3,30%
5.Macro.Word97.Tako 2.62%
6. I-Worm.Tanatos 1,38%
7. makro. Word97.Marker 1,21%
8. Worm.Win32.Opasoft 1,13%
9. I-Worm.Hybris 1,04%
10.Win95.CIH 0,69%
11. Worm.Win32.Randon 0,58%
12. VBS Redlof 0,57%
13. Backdoor.Death 0,51%
14.Win95.Spaces 0.51%
15. I-Worm.Roron 0,49%
16.Trojan.PSW.Gip 0.49%
17. Backdoor.NetDevil 0,48%
18.Win32.HLLP.Hantaner 0,45%
19. TrojanDropper.Win32.Delf 0,42%
20. TrojanDropper.Win32.Yabinder 0,41%
Drugi zlonamjerni softver* 26,33%
*nije uključeno u 20 najčešćih
PREVENCIJA I BORBA PROTIV KOMPJUTERSKIH VIRUSA
Osnovne metode zaštite od kompjuterskih virusa
Za zaštitu od virusa možete koristiti:
- Opšta sredstva zaštite informacija, koja su korisna i kao osiguranje od fizičkog oštećenja diskova, programa koji loše rade ili pogrešnih radnji korisnika;
- preventivne mjere za smanjenje vjerovatnoće zaraze kompjuterskim virusom;
- specijalizovani programi za zaštitu od virusa.
-Uobičajeni alati za sigurnost informacija korisni su za više od zaštite od virusa. Postoje dvije glavne vrste ovih fondova:
kopiranje informacija - kreiranje kopija datoteka i sistemskih područja diskova;
kontrola pristupa sprječava neovlašteno korištenje informacija, posebno zaštitu od promjena programa i podataka virusima, neispravnim programima i pogrešnim radnjama korisnika.
Iako opšti fondovi Sigurnost informacija je veoma važna za zaštitu od kompjuterskih virusa, ali oni sami nisu dovoljni. Za zaštitu od kompjuterskih virusa potrebno je koristiti specijalizirane programe. Ovi programi se mogu podijeliti u nekoliko tipova:
Detektorski programi vam omogućavaju da otkrijete datoteke zaražene jednim od nekoliko poznatih virusa.
Programi - doktori, odnosno fagi, "liječe viruse" zaražene programe ili diskove, "izgrizaju" tijelo virusa iz zaraženih programa, tj. vraćanje programa u stanje u kojem je bio prije infekcije virusom.
Programi - revizori prvo pamte informacije o stanju programa i sistemskih područja diskova, a zatim upoređuju njihovo stanje sa originalnim. Ukoliko se pronađu neslaganja, korisnik se o tome obavještava.
Doktori - revizori su hibridi revizora i doktora, tj. programi koji ne samo da otkrivaju promjene u datotekama i sistemskim područjima diskova, već ih također mogu automatski vratiti u prvobitno stanje.
Programi za filtriranje nalaze se u RAM-u računara i presreću one pozive operativnom sistemu koje koriste virusi za reprodukciju i nanošenje štete i prijavljuju ih korisniku. Korisnik može omogućiti ili onemogućiti odgovarajuću operaciju.
Programi – vakcine, odnosno imunizatori, modificiraju programe i diskove na način da to ne utiče na rad programa, ali virus protiv kojeg se vrši vakcinacija smatra te programe i diskove već zaraženim. Ovi programi su izuzetno neefikasni i ne razmatraju se dalje.
Nažalost, nijedan tip antivirusnog softvera ne pruža potpunu zaštitu od kompjuterskih virusa. Stoga je najbolja strategija za zaštitu od virusa višeslojna odbrana na više nivoa. Hajde da opišemo strukturu ove odbrane.
Sredstva za izviđanje u "obrani" od virusa odgovaraju programima - detektorima koji vam omogućavaju da provjerite novoprimljeni softver na prisustvo virusa.
Na čelu odbrane su programi za filtriranje (rezidentni programi za zaštitu od virusa). Ovi programi mogu biti prvi koji će prijaviti napad virusa i spriječiti infekciju programa i diska.
Drugi ešalon odbrane čine revizori programa, doktori programa i doktori revizori. Revizori otkrivaju napad čak i kada je virus uspio "procuriti" kroz prvu liniju odbrane. Doktorski programi se koriste za vraćanje zaraženih programa ako u arhivi nema njihovih kopija. Ali ne rade uvijek pravu stvar. Doktori-revizori otkrivaju virusni napad i liječe viruse - zaražene datoteke, te kontroliraju ispravnost tretmana virusa, a ako je nemoguće liječiti viruse, svakako preporučuju uklanjanje virusa (zaraženih datoteka).
Najdublji sloj odbrane su sredstva kontrole pristupa. Ne dozvoljavaju da virusi i programi koji se loše ponašaju, čak i ako su ušli u računar, pokvare važne podatke.
I, konačno, u "strateškoj rezervi" nalaze se arhivske kopije informacija i "referentne" diskete sa softverskim proizvodima. Oni vam omogućavaju da povratite informacije ako su oštećene na tvrdom disku.
Programi - detektori i doktori
U većini slučajeva, da biste otkrili virus koji je zarazio računalo, možete pronaći već razvijene detektorske programe. Ovi programi provjeravaju da li datoteke na disku koje je odredio korisnik sadrže kombinaciju bajtova specifičnih za dati virus. Kada se pronađe u bilo kojoj datoteci, na ekranu se prikazuje odgovarajuća poruka. Mnogi detektori imaju način za liječenje virusa ili način uklanjanja virusa.
Treba napomenuti da program detektor može otkriti samo one viruse koji su mu poznati (odnosno, uključeni su u antivirusnu bazu podataka ovog programa).
Jedan takav program je KIS Kaspersky.
Sve u njemu ima zgodan i razumljiv interfejs. Program je dizajniran za operativni sistem Windows XP i Windows Vista, što mu omogućava da radi paralelno sa drugim aplikacijama. Kaspersky Lab je ruski lider u razvoju antivirusnih sigurnosnih sistema.
Tu je i AVAST.
Ovo su zaštitnici vašeg kompjutera dokazani u radu - tretman većine virusa i uklanjanje virusa u slučaju njihove kritične opasnosti ili neizlječivosti.
Većina detektorskih programa ima i funkciju "doktor", tj. pokušavaju da vrate zaražene datoteke i područja diska u prvobitno stanje - da tretiraju viruse. One datoteke koje se ne mogu izliječiti obično se čine neoperativnim ili brišu.
Prevencija protiv infekcije virusom
Pogledajmo neke mjere koje mogu smanjiti vjerovatnoću da se računar zarazi virusom, kao i minimiziraju štetu od infekcije virusom ako do nje dođe.
1. Bilo bi lijepo imati i po potrebi ažurirati arhivske i referentne kopije korištenog softvera i paketa podataka. Prije arhiviranja podataka preporučljivo je provjeriti ih na prisustvo virusa.
2. Takođe je preporučljivo kopirati servisne informacije vašeg diska (FAT, sektori za pokretanje) i CMOS (nehlapljiva memorija računara) na diskete. Kopiranje i vraćanje takvih informacija može se obaviti pomoću programa Norton Utilities Rescue.
3. Trebali biste postaviti zaštitu od pisanja na arhivske diskete.
4. Ne bi trebalo da se bavite nelicenciranim i ilegalnim kopiranjem softvera sa drugih računara. Možda imaju virus.
5. Sve podatke koji dolaze spolja treba provjeriti na viruse, posebno datoteke "skinuti" sa interneta.
6. Potrebno je unaprijed pripremiti paket za oporavak na disketama sa zaštitom od pisanja.
7. Za vreme normalnog rada, koji nije povezan sa vraćanjem računara u prethodno stanje, vredi onemogućiti pokretanje sa diskete. Ovo će spriječiti infekciju virusom za pokretanje.
8. Koristite programe - filtere za rano otkrivanje virusa.
9. Povremeno provjeravajte disk programima-detektorima ili doktorima-detektorima ili revizorima kako biste otkrili moguće kvarove u odbrani.
10. Ažurirajte bazu podataka antivirusnih programa.
11. Držite sumnjive korisnike podalje od svog računara.
ZAKLJUČAK
Zaključno, želio bih upozoriti na previše revnu borbu protiv kompjuterskih virusa. Svakodnevno potpuno skeniranje vašeg tvrdog diska na viruse također nije sjajan korak u sprječavanju infekcija. Jedini civilizovan način zaštite od virusa vidim u poštovanju preventivnih mera predostrožnosti pri radu na računaru. I također morate pribjeći pomoći stručnjaka da se nosite s kompjuterskim virusom. Osim toga, čak i ako je virus ipak prodro u računalo, to nije razlog za paniku.
Često glavni problem interneta nisu virusi i hakeri, već uobičajena pojava kao što je kompjuterska nepismenost. Koristeći analogiju Kasperskog, nepoznavanje pravila puta. Ljudi koji su nedavno naučili kako da primaju i šalju poštu demoniziraju kompjuterske viruse, gotovo ih zamišljajući kao nevidljive crne crve koji puze po žicama. Evo nekoliko jednostavna pravila, promatrajući koje možete pokušati izbjeći infekciju virusima. Prvo: ne boje se kompjuterskih virusa, svi se liječe. Drugo, postavite Microsoft Outlook da radi u zoni ograničenih lokacija, što će ga spriječiti da automatski izvršava određene programe - osnovni princip širenja kompjuterskih virusa. Treće, ne otvarajte mejlove od sumnjivih primalaca. Četvrto: koristite novi, i što je još važnije, LICENCNI antivirus.
Pošaljite svoj dobar rad u bazu znanja je jednostavno. Koristite obrazac ispod
Studenti, postdiplomci, mladi naučnici koji koriste bazu znanja u svom studiranju i radu biće vam veoma zahvalni.
Slični dokumenti
Osobine i principi softverske sigurnosti. Razlozi za stvaranje virusa za infekciju kompjuterski programi. opšte karakteristike kompjuterski virusi i sredstva za njihovu neutralizaciju. Klasifikacija metoda zaštite od kompjuterskih virusa.
sažetak, dodan 05.08.2012
Kratak izlet u istoriji virusa. Društveni aspekti problema kompjuterskih virusa. Načini suzbijanja kompjuterskih virusa. Termini koji se koriste kada se raspravlja o antivirusnim programima. Virusi, njihova klasifikacija. Odnos prema autorima virusa.
seminarski rad, dodan 21.03.2011
Istorija kompjuterskih virusa. Klasifikacija kompjuterskih virusa prema staništu, načinu zaraze, destruktivnim sposobnostima, karakteristikama algoritma virusa. Znakovi virusa na računaru. Osnovne metode antivirusne zaštite.
prezentacija, dodano 13.08.2013
Poreklo kompjuterskih virusa. Načini prodora virusa u računar i mehanizam distribucije virusnih programa. Znakovi pojave virusa. Neutralizacija virusa. Mere prevencije. Klasifikacija virusa prema destruktivnim sposobnostima.
sažetak, dodan 12.01.2006
Svojstva i klasifikacija kompjuterskih virusa, upotreba nevidljivih virusa. Sheme funkcioniranja jednostavnih virusa za pokretanje i datoteka. Trojanski konji, softverski markeri i mrežni crvi. Znakovi pojave virusa i metode zaštite od njih.
sažetak, dodan 01.11.2012
Istorija kompjuterskih virusa. Princip virusa i njegovi glavni izvori. Rani znaci kompjuterske infekcije. Znakovi aktivne faze virusa. Zaštita od kompjuterskih virusa. Odgovornost za kompjuterske zločine – unošenje virusa.
prezentacija, dodano 10.10.2011
Povijest nastanka kompjuterskih virusa, njihova svojstva i klasifikacija. Načini prodora kompjuterskih virusa u računar i načini zaštite od njih. koncept antivirusni program. Vrste specijalizovanih programa za zaštitu. Pregled postojećih aplikacija.
seminarski rad, dodan 05.08.2013
