Comment fonctionnent les virus informatiques. Virus informatiques. Principes de fonctionnement, méthodes de protection contre les virus informatiques
10.7. VIRUS INFORMATIQUES
Les utilisateurs de PC sont le plus souvent confrontés à l'un des types de crime informatique - les virus informatiques. Ces derniers sont un type particulier de malware qui cause beaucoup de problèmes aux utilisateurs et au personnel de maintenance des PC.
Un virus informatique est un programme capable de s'autorépliquer et de se reproduire, qui est introduit dans d'autres programmes.
L'analogie entre les concepts de virus informatiques et biologiques est évidente. Cependant, tous les programmes capables de se répliquer ne sont pas des virus informatiques. Les virus infligent toujours dégâts- interférer avec le fonctionnement normal du PC, détruire la structure des fichiers, etc., ils sont donc classés comme programmes dits malveillants.
Apparence historique virus informatiques associée à l'idée de créer des mécanismes d'auto-reproduction, en particulier des programmes, apparue dans les années 50. En 1951, J. von Neumann a proposé une méthode pour créer de tels mécanismes, et ses considérations ont été développées plus avant dans les travaux d'autres chercheurs. Les premiers à apparaître étaient des programmes de jeu utilisant des éléments de la future technologie virale, puis, sur la base des résultats scientifiques et pratiques accumulés, certains individus ont commencé à développer des programmes auto-reproducteurs afin de nuire aux utilisateurs d'ordinateurs.
Les créateurs de virus ont concentré leurs efforts dans le domaine des PC en raison de leur masse et de leur absence quasi totale des moyens efficaces protection tant au niveau du matériel qu'au niveau du système d'exploitation. Parmi les motifs guidant les auteurs de virus figurent les suivants :
· le désir "d'ennuyer" quelqu'un;
· besoin contre nature de commettre des crimes;
· le désir de s'affirmer, la malice et en même temps une incompréhension de toutes les conséquences de la propagation du virus ;
· l'incapacité à utiliser leurs connaissances de manière constructive (il s'agit plutôt d'un problème économique) ;
· confiance en toute impunité (dans un certain nombre de pays, il n'existe pas de normes de responsabilité légale pour la création et la propagation de virus).
Les principales voies d'entrée des virus dans Ordinateur personnel sont des dispositifs de stockage sur support amovible et des moyens de communication réseau, en particulier le réseau l'Internet.
Les premiers cas d'infection massive de PC par des virus ont été constatés en 1987, lorsque le soi-disant virus pakistanais est apparu, créé par les frères Amjat et Bazit Alvi. Ainsi, ils ont décidé de punir les Américains qui achetaient des copies illégales bon marché Logiciel au Pakistan, que les frères ont commencé à infecter avec le virus développé. Le virus a infecté plus de 18 000 ordinateurs aux États-Unis et, après avoir fait le tour du monde, s'est retrouvé dans l'URSS de l'époque. Le prochain virus largement connu était le virus Lehigh (virus Lehigh), qui s'est propagé dans l'université américaine du même nom. En quelques semaines, il détruit le contenu de plusieurs centaines de disquettes de la bibliothèque du centre informatique de l'université et les disquettes personnelles des étudiants. En février 1989, environ 4 000 PC avaient été touchés par ce virus aux États-Unis.
À l'avenir, le nombre de virus et le nombre d'ordinateurs infectés par ceux-ci ont commencé à augmenter comme une avalanche, ce qui a nécessité l'adoption de mesures urgentes, à la fois techniques, organisationnelles et juridiques. Divers outils antivirus sont apparus, à la suite desquels la situation a commencé à ressembler à une course aux armements et à des moyens de protection contre eux. Un certain effet a été obtenu à la suite de l'adoption par un certain nombre de pays développés d'actes législatifs sur les crimes informatiques, parmi lesquels figuraient des articles relatifs à la création et à la propagation de virus informatiques.
Actuellement, il existe plus de 20 000 virus dans le monde, y compris les souches, c'est-à-dire variétés de virus du même type. Les virus ne reconnaissent pas les frontières, donc la plupart d'entre eux parcourent également la Russie. De plus, il y a eu une tendance à l'augmentation du nombre de virus développés par des programmeurs nationaux. Si la situation ne change pas, à l'avenir, la Russie pourra revendiquer le rôle de leader dans le domaine de la création de virus.
Classement des virus
Le cycle de vie des virus informatiques comprend généralement les phases suivantes :
1. période de latence pendant laquelle aucune action n'est entreprise par le virus ;
2. la période d'incubation pendant laquelle le virus ne fait que se multiplier ;
3. une période active pendant laquelle, parallèlement à la reproduction, des actions non autorisées sont effectuées, qui sont intégrées dans l'algorithme du virus.
Les deux premières phases servent à masquer la source du virus, le canal de sa pénétration et à infecter autant de fichiers que possible avant que le virus ne soit détecté. La durée de ces phases peut être déterminée par l'intervalle de temps prévu dans l'algorithme, l'occurrence d'un événement dans le système, la présence d'une certaine configuration de matériel PC (en particulier, la présence d'un disque dur), etc.
L'ordinateur les virus sont classés selon les caractéristiques suivantes :
· habitat;
· méthode de contamination de l'environnement;
· méthode d'activation ;
· mode de manifestation (actions destructrices ou effets causés);
· méthode de masquage.
Les virus ne peuvent infecter que les programmes qui, à leur tour, peuvent être contenus soit dans des fichiers, soit dans certains composants de la zone système du disque impliqués dans le processus de démarrage. système opérateur. Selon habitat distinguer:
· virus de fichiersqui infectent les fichiers exécutables ;
· virus de démarrage , qui infectent les composants de la zone système utilisés lors du démarrage du système d'exploitation ;
· virus d'amorçage de fichier , intégrant les caractéristiques des deux premiers groupes.
Virus de fichiers peut infecter :
· programmes de machine déplaçables indépendants de la position trouvés dans les fichiers COM ;
· programmes de machine déplaçables en fonction de la position placés dans des fichiers EXE ;
· pilotes de périphérique (fichiers SYS et BIN) ;
· fichiers avec composants DOS ;
· modules objet (fichiers OBJ);
· fichiers avec des programmes dans des langages de programmation (basés sur la compilation de ces programmes);
· fichiers batch (fichiers BAT) ;
· bibliothèques d'objets et symboliques (fichiers LIB et autres) ;
· fichiers de superposition (OVL-, PIF- et autres fichiers).
Le plus souvent, les virus de fichiers peuvent infecter les fichiers COM et/ou EXE.
Virus de démarrage peut infecter :
· secteur d'amorçage sur disquettes ;
· le secteur de démarrage du disque logique système créé sur le disque dur ;
· chargeur de démarrage hors système sur le disque dur.
Les virus de démarrage sont distribués sur des disquettes dans l'espoir qu'ils tenteront de démarrer à partir de celles-ci, ce qui n'arrive pas très souvent. Les virus de fichiers ont une infectiosité plus élevée.
Les virus d'amorçage de fichiers sont encore plus contagieux car ils peuvent se propager à la fois dans les fichiers de programme et sur les disquettes de données.
Méthodes de contamination de l'habitat , dépendent du type de ce dernier. Un environnement infecté par un virus est appelé porteur de virus. Lors de l'implantation, le corps d'un virus de fichier peut être localisé :
à la fin du dossier
au début du fichier
· au milieu du dossier;
· dans la partie de queue (libre) du dernier cluster occupé par le fichier.
La manière la plus simple d'implémenter l'introduction d'un virus à la fin d'un fichier COM . En prenant le contrôle, le virus sélectionne un fichier victime et le modifie comme suit :
1. ajoute sa propre copie (corps du virus) au fichier ;
2. conserve le début original du fichier dans cette copie ;
3. remplace le début original du fichier par une commande pour transférer le contrôle au corps du virus.
Lorsqu'un programme infecté par la méthode décrite est lancé, l'exécution du corps du virus est initialement lancée, à la suite de quoi :
1. le début original du programme est restauré (mais pas dans le fichier, mais en mémoire !) ;
2. peut-être qu'une autre victime est retrouvée et infectée ;
3. éventuellement, des actions non autorisées par l'utilisateur sont effectuées ;
4. le contrôle est transféré au début du programme de support de virus, à la suite de quoi il est exécuté de la manière habituelle.
Un virus est implanté au début d'un fichier COM d'une manière différente : un nouveau fichier est créé, qui est l'union du corps du virus et du contenu du fichier d'origine. Les deux manières décrites d'introduire un virus entraînent une augmentation de la longueur du fichier d'origine.
L'implantation d'un virus au milieu d'un fichier est la plus complexe et la plus pointue. La difficulté réside dans le fait que dans ce cas le virus doit "connaître" la structure du fichier victime (par exemple COMMAND.COM) afin de pouvoir s'infiltrer notamment dans la zone pile. décrit la méthode d'implantation n'entraîne pas d'augmentation de la longueur de la lime.
La manifestation (actions destructrices) des virus peut être :
· impact sur les performances du PC ;
· corruption de fichiers de programme ;
· corruption de fichiers de données ;
· formater un disque ou une partie de celui-ci ;
· remplacement d'informations sur le disque ou sa partie ;
· distorsion du chargeur de disque système ou non système ;
· destruction de la connectivité des fichiers en déformant la table FAT ;
· corruption de données dans la mémoire CMOS.
La plupart des virus du premier groupe qui provoquent des effets visuels ou sonores sont officieusement appelés "illusionnistes". D'autres virus du même groupe peuvent ralentir le PC ou interférer avec le fonctionnement normal de l'utilisateur, modifiant et bloquant les fonctions des programmes en cours d'exécution, ainsi que le système d'exploitation. Les virus de tous les autres groupes sont souvent appelés "vandales" en raison des dommages qu'ils causent, en règle générale, irréparables.
Selon façons de se déguiser distinguer:
· virus non masquants;
· virus à chiffrement automatique ;
virus furtifs.
Les auteurs des premiers virus portaient une attention particulière aux mécanismes de reproduction (réplication) avec l'introduction d'organismes dans d'autres programmes. Le masquage des outils antivirus n'a pas été effectué. Ces virus sont dits non masquables.
Avec l'avènement des outils antivirus, les développeurs de virus ont concentré leurs efforts sur le masquage de leurs produits. Tout d'abord, l'idée de l'auto-cryptage des virus a été mise en œuvre. Dans le même temps, seule une petite partie est disponible pour une lecture significative, et le reste est déchiffré immédiatement avant le début du virus. Cette approche rend difficile à la fois la détection du virus et l'analyse de son corps par des spécialistes.
Des virus furtifs sont également apparus, nommés d'après un projet à grande échelle de création d'avions furtifs. Les méthodes de camouflage utilisées par les virus furtifs sont complexes et peuvent être grossièrement divisées en deux catégories :
1. masquage de la présence d'un virus dans un programme porteur de virus ;
2. masquant la présence d'un virus résident dans la RAM.
1. auto-modification du corps du virus ;
2. mise en œuvre de l'effet de suppression du corps du virus du porteur du virus lorsque celui-ci est lu sur le disque, notamment, par un débogueur (cela se fait en interceptant une interruption, bien sûr, s'il y a un virus résident dans la RAM) ;
3. implantation du corps du virus dans un fichier sans augmenter sa taille ;
4. l'effet d'invariabilité de la longueur du fichier infecté (réalisé de manière similaire au point 2) ;
5. en gardant le début d'origine des fichiers de programme inchangé.
Par exemple, lors de la lecture d'un répertoire sous DOS, un virus résident peut intercepter l'interruption correspondante et réduire artificiellement la longueur du fichier. Bien sûr, la longueur réelle du fichier ne change pas, mais l'utilisateur reçoit des informations qui masquent son augmentation. En travaillant directement avec les répertoires (en contournant les outils DOS), vous pouvez obtenir de véritables informations sur les caractéristiques d'un fichier. De telles opportunités sont fournies, en particulier, par le shell Norton Commander.
1. entrer le type de virus dans une zone spéciale de modules résidents DOS, dans les parties de queue des clusters, dans la mémoire CMOS, la mémoire vidéo, etc. ;
2. modification de la liste des chargeurs non système, comme déjà mentionné ;
3. manipulation des gestionnaires d'interruptions, en particulier méthodes spéciales pour les remplacer, afin de contourner les outils antivirus résidents ;
4. ajustement de la quantité totale de RAM.
Au cours de son travail quotidien, l'utilisateur est capable de détecter le virus par ses symptômes . Naturellement, les symptômes d'un virus sont directement déterminés par les méthodes de manifestation qui y sont réalisées, ainsi que par d'autres caractéristiques du virus. Voici les symptômes des virus :
· augmentation du nombre de fichiers sur le disque ;
· diminution de la gratuité mémoire vive;
· modifier l'heure et la date de création du fichier ;
· augmentation de la taille du fichier programme ;
· l'apparition de clusters défectueux enregistrés sur le disque ;
· fonctionnement anormal du programme ;
· ralentissement du programme ;
· le voyant du lecteur de disque s'allume à un moment où le disque ne doit pas être accessible ;
· une augmentation notable du temps d'accès au disque dur ;
· défaillances dans le fonctionnement du système d'exploitation, en particulier son blocage ;
· impossibilité de démarrer le système d'exploitation
· destruction de la structure des fichiers (disparition de fichiers, déformation de répertoires).
Outre les virus informatiques, il existe d'autres programmes dangereux, par exemple les soi-disant « vers », formellement appelés réplicateurs. Leur principale caractéristique est la possibilité de reproduire sans être introduit dans d'autres programmes. Les réplicateurs sont créés dans le but de se propager sur les nœuds d'un réseau informatique et peuvent notamment être remplis de virus. À cet égard, une analogie peut être établie entre un "ver" et une bombe à bille.
Un exemple de réplicateur est le programme Arbre de Noël, qui dessine un arbre de Noël sur un écran d'affichage, puis envoie des copies de lui-même à toutes les adresses e-mail enregistrées.
Classification des agents antiviraux.
Actuellement, il existe un grand nombre d'outils antivirus. Cependant, tous n'ont pas les propriétés d'universalité : chacun est conçu pour des virus spécifiques, ou il bloque certains canaux d'infection du PC ou la propagation de virus. À cet égard, l'application de méthodes d'intelligence artificielle au problème de la création d'outils antivirus peut être considérée comme un domaine de recherche prometteur.
Un outil antivirus est un produit logiciel qui exécute une ou plusieurs des fonctions suivantes :
1. protection de la structure du fichier contre la destruction ;
2. détection de virus ;
neutralisation des virus;
Filtre antivirus (gardien) est appelé un programme résident qui permet de contrôler l'exécution d'actions caractéristiques des virus et nécessite la confirmation de l'utilisateur pour effectuer des actions. Le contrôle est effectué en remplaçant les gestionnaires des interruptions correspondantes. Les actions contrôlées peuvent être :
· mise à jour des fichiers de programme ;
· écriture directe sur disque (par adresse physique) ;
· formatage du disque ;
· placement résident du programme dans la RAM.
détecteur est un programme qui recherche les virus à la fois sur les supports de stockage externes et dans la RAM. Le résultat de l'opération du détecteur est une liste de fichiers et/ou de zones infectés, indiquant éventuellement les virus spécifiques qui les ont infectés.
Les détecteurs sont divisés en universels (auditeurs) et spécialisés. Détecteurs universels vérifier l'intégrité des fichiers en calculant la somme de contrôle et en la comparant à la norme. La norme est soit spécifiée dans la documentation du produit logiciel, soit peut être déterminée au tout début de son fonctionnement.
Détecteurs spécialisés configuré pour des virus spécifiques, un ou plusieurs. Si le détecteur est capable de détecter plusieurs virus différents, alors on l'appelle polydétecteur. Le travail d'un détecteur spécialisé repose sur la recherche d'une ligne de code appartenant à un virus particulier, éventuellement spécifié par une expression régulière. Un tel détecteur n'est pas capable de détecter tous les virus possibles.
Désinfecteur (médecin, phage) est un programme qui supprime un virus avec et sans restauration de l'habitat. Un certain nombre de virus déforment l'environnement de telle manière que son état d'origine ne peut pas être restauré.
Les polydétecteurs de phages les plus connus sont des progiciels Boîte à outils antivirale Pro Evgueni Kaspersky et Dialogue de la société DrWeb.
Immunisateur (vaccin) fait référence à un programme qui empêche des virus spécifiques de contaminer l'environnement ou la mémoire. Les immunisants résolvent le problème de la neutralisation du virus non pas en le détruisant, mais en bloquant sa capacité à se reproduire. De tels programmes ne sont actuellement pratiquement pas utilisés.
Méthodes de protection contre les virus informatiques
Lors de la protection contre les virus informatiques, la complexité des mesures prises, tant organisationnelles que techniques, est plus importante que jamais. Au premier plan de sa "défense", il convient de placer des moyens de protection des données contre la destruction, derrière eux - des moyens de détection des virus et, enfin, des moyens de neutralisation des virus.
Les moyens de protection des données contre d'éventuelles pertes et destructions doivent être utilisés à tout moment et régulièrement . En plus de cela, vous devez respecter les recommandations organisationnelles suivantes afin de vous débarrasser de l'infection virale :
· utilisez des disquettes autant que possible avec la fente de protection en écriture scellée,
· n'utilisez pas de disquettes inconnues sauf en cas d'absolue nécessité ;
· ne donnez pas vos disquettes à d'autres personnes ;
· n'exécutez pas de programmes dont le but n'est pas clair ; utiliser uniquement des produits logiciels sous licence ;
· restreindre l'accès au PC aux personnes non autorisées.
Si vous avez besoin d'utiliser un produit logiciel obtenu d'une source inconnue, il est recommandé :
· tester le produit logiciel avec des détecteurs spécialisés pour détecter la présence de virus connus. Il n'est pas souhaitable de placer les détecteurs sur un disque dur - pour cela, vous devez utiliser une disquette protégée en écriture.
· sauvegarder les fichiers du nouveau produit logiciel ;
· sauvegarder ceux de vos fichiers dont la présence est nécessaire au fonctionnement du nouveau logiciel ;
· organiser une opération d'essai d'un nouveau produit logiciel dans le contexte d'un filtre antivirus avec des réponses délibérées à ses messages.
La protection contre les virus informatiques devrait faire partie d'un ensemble de mesures visant à protéger les informations tant dans les ordinateurs individuels que dans les systèmes d'information automatisés dans leur ensemble.
Bezrukov N.N. Virus informatiques. - M. : Nauka, 1991. - 160 p.
[VIRUS.
Il est impossible de résoudre le problème de la détection théorique des virus, par conséquent, dans la pratique, il faut résoudre des problèmes particuliers concernant des cas particuliers de logiciels malveillants. Selon les propriétés des virus, ils peuvent être détectés et neutralisés à l'aide de diverses méthodes. Il convient de noter qu'en pratique, les classifications adoptées par les différents fabricants de produits antivirus diffèrent, bien qu'elles reposent sur des principes similaires. Par conséquent, au cours de la présentation, des principes seront d'abord formulés, puis seulement des exemples de la classification.
Définition pratique d'un virus La définition d'un virus informatique est une question historiquement problématique, car il est assez difficile de donner une définition claire d'un virus, tout en décrivant les propriétés qui sont inhérentes uniquement aux virus et ne s'appliquent pas aux autres systèmes logiciels. Au contraire, en donnant une définition stricte d'un virus comme un programme qui a certaines propriétés, vous pouvez presque immédiatement trouver un exemple d'un virus qui n'a pas de telles propriétés.Voici plusieurs définitions : Chronologiquement, la première définition est d'Eugene Kaspersky (le livre "Virus informatiques") : Définition 1 : LA PROPRIÉTÉ OBLIGATOIRE (NÉCESSAIRE) D'UN VIRUS INFORMATIQUE est la capacité de créer ses propres doublons (pas nécessairement identiques à l'original) et de les injecter dans des réseaux informatiques et/ou des fichiers, des zones du système informatique et d'autres objets exécutables. Dans le même temps, les doublons conservent la possibilité d'une distribution ultérieure. Définition selon GOST R 51188-98 :
Définition 2 : Un virus est un programme capable de créer des copies de lui-même (pas nécessairement identiques à l'original) et de les injecter dans des fichiers, des zones système d'un ordinateur, des réseaux informatiques, ainsi que d'effectuer d'autres actions destructrices. Dans le même temps, les copies conservent la possibilité d'être distribuées ultérieurement. Un virus informatique est classé comme malware. Il est facile de voir que la définition dans GOST reprend presque complètement la définition de E. Kaspersky.
Les définitions 1 et 2 reprennent en grande partie la définition de F. Cohen ou le raffinement proposé par D. Chess et S. White, ce qui permet de leur étendre (définitions) la conclusion qu'il est impossible de créer un algorithme qui détecte tous ces programmes ou même toutes les "incarnations" de l'un des virus. Cependant, en pratique, il s'avère que tous les virus connus peuvent être détectés par les programmes antivirus. Le résultat est notamment obtenu grâce au fait que des copies endommagées ou non réussies de virus, incapables de créer et de mettre en œuvre leurs copies, sont détectées et classées sur un pied d'égalité avec tous les autres virus "complets". Ainsi, d'un point de vue pratique, c'est-à-dire du point de vue des algorithmes de recherche, la capacité à se reproduire n'est nullement nécessaire pour qualifier un programme de virus. Un autre problème lié à la définition d'un virus informatique réside dans la fait qu'aujourd'hui un virus est le plus souvent compris non comme un virus "traditionnel", mais presque n'importe quel programme malveillant. Cela conduit à une confusion dans la terminologie, encore compliquée par le fait que presque tous les antivirus modernes sont capables de détecter ces types de programmes malveillants, ainsi l'association malware-virus devient de plus en plus stable. outils, Ci-après, s'il n'est pas spécifié séparément, les virus seront compris comme malware. Définition 3 : Programme malveillant - un programme informatique ou un code portable conçu pour mettre en œuvre des menaces sur les informations stockées dans le CS, ou pour une mauvaise utilisation secrète des ressources du CS, ou tout autre impact qui interfère avec le fonctionnement normal du CS. Les logiciels malveillants comprennent les virus informatiques, les chevaux de Troie, les vers, etc. Les virus informatiques, les chevaux de Troie et les vers sont les principaux types de logiciels malveillants.
Virus
Les définitions classiques d'un virus informatique sont données ci-dessus.
Cycle de la vie Parce que le trait distinctif les virus au sens traditionnel sont la capacité de se reproduire dans un ordinateur, la division des virus en types se produit conformément aux méthodes de reproduction.Le processus de reproduction lui-même peut être conditionnellement divisé en plusieurs étapes: 1. Pénétration dans un ordinateur 2. Activation de virus Rechercher des objets pour infection4. Préparation de copies virales5. Introduction de copies viralesLes caractéristiques de la mise en œuvre de chaque étape génèrent des attributs, dont l'ensemble détermine en fait la classe du virus.
PénétrationLes virus pénètrent dans un ordinateur avec des fichiers infectés ou d'autres objets (secteurs de démarrage de disquette) et, contrairement aux vers, n'affectent en rien le processus de pénétration. Par conséquent, les possibilités de pénétration sont entièrement déterminées par les possibilités d'infection et classent les virus selon ces stades. cycle de la vie il n'y a pas de sens séparé.
ActivationPour activer le virus, l'objet infecté doit être contrôlé. A ce stade, la division des virus s'effectue selon les types d'objets susceptibles d'être infectés :
1. Virus d'amorçage - virus qui infectent les secteurs d'amorçage des supports permanents et amovibles. 2.Virus de fichiers - virus qui infectent les fichiers. Ce groupe est en outre divisé en trois, en fonction de l'environnement dans lequel le code est exécuté : · En fait, les virus de fichiers - ceux qui fonctionnent directement avec les ressources du système d'exploitation. Email-Worm.Win32.Bagle peut être noté parmi les derniers virus malveillants les programmes qui ont une fonctionnalité de virus. p (ainsi que ses modifications .q et .r). · Macrovirus - virus écrits en langage macro et exécutés dans l'environnement de n'importe quelle application. Dans la grande majorité des cas, nous parlons de macros dans les documents Microsoft Office.
Les virus de macro peuvent infecter non seulement les documents Microsoft Word et Excel. Il existe également des programmes malveillants ciblant d'autres types de documents : Macro.Visio.Radiant infecte les fichiers d'un programme de création de diagrammes bien connu -Visio, Virus.Acad.Pobresito - documents AutoCAD, Macro.AmiPro.Green - documents du mot précédemment populaire processeur Ami Pro.
Virus de script - virus s'exécutant dans l'environnement d'un shell de commande spécifique : auparavant - fichiers bat dans le shell de commande DOS, maintenant plus souvent VBS et JS - scripts dans le shell de commande Windows Scripting Host (WSH). fait que les virus, conçus pour fonctionner dans l'environnement d'un système d'exploitation ou d'une application particulière, sont inopérants dans l'environnement d'autres systèmes d'exploitation et applications. Par conséquent, l'environnement dans lequel il peut s'exécuter est désigné comme un attribut distinct du virus. Pour les virus de fichiers, il s'agit de DOS, Windows, Linux, MacOS, OS/2. Pour les virus de macro - Word, Excel, PowerPoint, Office. Parfois, un virus a besoin d'une certaine version du système d'exploitation ou de l'application pour fonctionner correctement, alors l'attribut est spécifié plus précisément : Win9x, Excel97. Recherche de victimes Au stade de la recherche d'objets à infecter, les virus se comportent de deux manières et recherchent des victimes en permanence, jusqu'à la fin de l'environnement dans lequel ils s'exécutent. DOS était communément appelé résident. Avec le passage à Windows, le problème de la mémoire a cessé d'être pertinent : presque tous les virus s'exécutant dans l'environnement Windows, ainsi que dans l'environnement d'application MS Office, sont des virus du deuxième type. A l'inverse, les virus de script sont du premier type. Par conséquent, l'attribut résident s'applique uniquement aux virus de fichiers DOS. L'existence de non-résidents Virus Windows possible, mais dans la pratique, ils sont une rare exception. Séparément, il est logique de considérer les virus dits furtifs - des virus qui, tout en étant constamment en mémoire, interceptent l'accès à un fichier infecté et en suppriment le code viral à la volée, transmettre une version inchangée du fichier en réponse à une requête . Ainsi, ces virus masquent leur présence dans le système. Pour les détecter, les outils antivirus doivent pouvoir accéder directement au disque, en contournant les outils du système d'exploitation. Les virus furtifs étaient les plus répandus à l'époque du DOS. Préparation de copies virales Définition 4 : Signature de virus - au sens large, informations qui vous permettent de déterminer sans ambiguïté la présence d'un virus donné dans un fichier ou un autre code. Des exemples de signatures sont : une séquence unique d'octets présents dans ce virus et introuvables dans d'autres programmes ; la somme de contrôle d'une telle séquence. Le processus de préparation des copies pour la distribution peut différer considérablement de la copie simple. Les auteurs des virus les plus complexes technologiquement tentent d'en faire des copies aussi différentes que possible afin de compliquer leur détection par les outils antivirus. Par conséquent, compiler une signature pour un tel virus est extrêmement difficile, voire impossible. Mise en œuvre
L'introduction de copies virales peut être réalisée par deux méthodes fondamentalement différentes :
· Injection du code du virus directement dans l'objet infecté · Remplacement de l'objet par une copie du virus. L'objet remplacé est généralement renommé
Pour les virus, la première méthode est principalement caractéristique. La deuxième méthode est beaucoup plus couramment utilisée par les vers et les chevaux de Troie, et plus spécifiquement par les composants troyens des vers, car les chevaux de Troie ne se propagent pas eux-mêmes.
Dommages causés par les logiciels malveillantsLes vers et les virus peuvent effectuer les mêmes actions que les chevaux de Troie. Au niveau de la mise en œuvre, il peut s'agir à la fois de composants de cheval de Troie distincts et de fonctions intégrées. De plus, en raison de leur caractère de masse, les virus et les vers se caractérisent également par d'autres formes d'actions malveillantes :
· Surcharge des canaux de communication- un type de dommage inhérent aux vers, lié au fait que lors d'épidémies à grande échelle, de très nombreuses requêtes, lettres infectées ou copies directes du ver sont transmises sur les canaux Internet. Dans certains cas, l'utilisation des services Internet pendant l'épidémie devient difficile. Exemples : Net-Worm.Win32.Slammer Attaques DDoS- en raison de leur nature massive, les vers peuvent être utilisés efficacement pour mettre en œuvre des attaques par déni de service distribué (attaques DDoS). Au plus fort d'une épidémie, lorsque des millions voire des dizaines de millions d'ordinateurs sont infectés, tout système infecté accédant à une certaine ressource Internet entraîne le blocage complet de cette ressource. Ainsi, lors de l'attaque du ver MyDoom, le site Web de SCO a été indisponible pendant un mois.· Perte de données- plus typique des virus que des chevaux de Troie et des vers, le comportement associé à la destruction délibérée de certaines données sur l'ordinateur de l'utilisateur. Exemples : Virus.Win9x.CIH - suppression des secteurs de démarrage du disque et du contenu du BIOS Flash, Macro.Word97.Thus - suppression de tous les fichiers sur le lecteur C:, Email-Worm.Win32.Mydoom.e - suppression des fichiers avec certaines extensions en fonction de l'indicateur compteur de nombres aléatoires Interruption logicielle- aussi un trait plus caractéristique des virus. En raison d'erreurs dans le code du virus, les applications infectées peuvent fonctionner avec des erreurs ou ne pas fonctionner du tout. Exemples : Net-Worm.Win32.Sasser.a - redémarrage d'un ordinateur infecté · - l'utilisation intensive des ressources informatiques par des programmes malveillants entraîne une diminution des performances du système dans son ensemble et des applications individuelles. Exemples : à des degrés divers - tout programme malveillantLa présence d'actions destructrices n'est en aucun cas un critère obligatoire pour classer un code de programme comme virus. Il convient également de noter que le virus peut causer d'énormes dégâts par le seul processus d'auto-réplication. Plus un excellent exemple- Net-Worm.Win32.Slammer.
Menaces pour la sécurité des informations Considérez les menaces à la sécurité de l'information du point de vue des virus. Étant donné que le nombre total de virus à ce jour dépasse 100 000, il est trop long et inutile d'analyser les menaces de chacun d'eux, car le nombre de virus augmente quotidiennement, ce qui signifie que la liste résultante doit être modifiée quotidiennement. . Nous supposerons qu'un virus est capable de réaliser n'importe laquelle des menaces à la sécurité de l'information. Il existe de nombreuses façons de classer les menaces à la sécurité de l'information qui sont traitées dans un système automatisé. La classification des menaces la plus couramment utilisée est basée sur le résultat de leur influence sur l'information, à savoir la violation de la confidentialité, de l'intégrité et de la disponibilité.Pour chaque menace, il existe plusieurs façons de la mettre en œuvre par des virus. Menace pour la vie privée· Le vol d'informations et sa distribution par des moyens de communication réguliers ou des canaux de transmission secrets : Email-Worm.Win32.Sircam - avec des copies de virus, a envoyé des documents arbitraires trouvés sur l'ordinateur infecté
Toute activité entraînant l'impossibilité d'accéder à l'information ; divers effets sonores et visuels : Email-Worm.Win32.Bagle.p - bloquant l'accès aux sites Web des sociétés d'antivirus. Le BIOS s'assure que pour chacune des manières ci-dessus d'implémenter des menaces, vous pouvez donner un exemple spécifique d'un virus qui implémente une ou plusieurs méthodes en même temps. Conclusion Les programmes malveillants diffèrent par leurs conditions d'existence, les technologies utilisées à différentes étapes du cycle de vie et l'impact malveillant réel - tous ces facteurs sont à la base de la classification. En conséquence, selon la caractéristique principale (d'un point de vue historique) - la reproduction, les programmes malveillants sont divisés en trois types : virus, vers et chevaux de Troie. À cet égard, lors de la conception de systèmes de protection antivirus complexes, et même dans un cas plus général - des systèmes de protection de l'information complexes, il est nécessaire d'effectuer une gradation et de classer les objets du réseau en fonction de l'importance des informations traitées sur eux et de la probabilité d'infection de ces nœuds par des virus.
1 Virus informatiques
1.2 Comment fonctionnent les virus
3 Mesures de protection contre les virus. Programmes antivirus de base
Introduction
Pour simplifier les calculs mathématiques, une personne a inventé un ordinateur afin de résoudre certains problèmes de calcul et de stockage des informations de ces calculs, après avoir proposé «une séquence d'instructions qui déterminent la procédure de résolution tâche spécifique logiciels d'ordinateur. Les programmes facilitent l'informatique. Le calcul et les programmes de calcul représentent une certaine valeur dont les attaquants ont besoin pour leur propre bénéfice. Pour voler les informations nécessaires, les attaquants ont créé des programmes malveillants - des virus.
Virus informatique- un type de logiciel malveillant capable de créer des copies de lui-même et d'infiltrer le code d'autres programmes, des zones de mémoire système, des secteurs de démarrage, ainsi que de distribuer ses copies via divers canaux de communication afin de perturber le fonctionnement des systèmes logiciels et matériels, supprimer fichiers, entraîner l'inadéquation des structures de placement des données, bloquer le travail des utilisateurs ou rendre les systèmes matériels informatiques inutilisables.
1 Virus informatique
1.1 Histoire courte création de virus
« Les fondements de la théorie des mécanismes d'auto-reproduction ont été posés par John von Neumann, un Américain d'origine hongroise, qui a proposé en 1951 une méthode pour créer de tels mécanismes. Des exemples concrets de tels programmes sont connus depuis 1961.
Les premiers virus connus sont Virus 1,2,3 et Elk Cloner pour le PC Apple II, apparus en 1981. À l'hiver 1984, les premiers utilitaires antivirus sont apparus - CHK4BOMB et BOMBSQAD par Andy Hopkins. Au début de 1985, Gee Wong a écrit le programme DPROTECT, le premier antivirus résident.
Les premières épidémies de virus remontent à 1986-1989 : Brain.A (distribué dans les secteurs d'amorçage des disquettes, a provoqué la plus grande épidémie), Jérusalem (apparu le vendredi 13 mai 1988, détruisant des programmes lors de leur lancement), le Morris ver (plus de 6 200 ordinateurs, la plupart des réseaux étant hors service pendant cinq jours), DATACRIME (environ 100 000 PC infectés rien qu'aux Pays-Bas).
Parallèlement, les principales classes de virus binaires se dessinent : vers de réseau (Morris worm, 1987), chevaux de Troie (AIDS, 1989), virus polymorphes (Chameleon, 1990), virus furtifs (Frodo, Whale, 2nd semestre 1990 ).
Parallèlement, des mouvements organisés d'orientation à la fois pro- et anti-virus se dessinent : en 1990, un BBS Virus Exchange spécialisé, le Little Black Book of Computer Viruses de Mark Ludwig, et le premier anti-virus commercial Symantec Norton AntiVirus apparaissent.
En 1992, le premier constructeur de virus pour PC, VCL, est apparu (des constructeurs existaient auparavant pour l'Amiga), ainsi que des modules polymorphes prêts à l'emploi (MtE, DAME et TPE) et des modules de chiffrement pour l'intégration de nouveaux virus.
Au cours des années suivantes, les technologies furtives et polymorphes ont finalement été perfectionnées (SMEG.Pathogen, SMEG.Queeg, OneHalf, 1994; NightFall, Nostradamus, Nutcracker, 1995), et les plus manières inhabituelles pénétration dans le système et infection de fichiers (Dir II - 1991, PMBS, Shadowgard, Cruncher - 1993). De plus, des virus sont apparus qui infectent les fichiers objets (Shifter, 1994) et le code source des programmes (SrcVir, 1994). Avec la diffusion de la suite Microsoft Office, les virus de macro ont proliféré (Concept, 1995).
En 1996, le premier virus pour Windows 95 est apparu - Win95.Boza, et en décembre de la même année - le premier virus résident pour celui-ci - Win95.Punch.
Avec la propagation des réseaux et d'Internet, les virus de fichiers sont de plus en plus orientés vers eux en tant que principal canal de travail (ShareFun, 1997 - virus de macro MS Word qui utilise MS-Mail pour la distribution ; Win32.HLLP.DeTroie, 1998 - une famille de virus espions ; Melissa, 1999 - un virus de macro et un ver de réseau qui a battu tous les records en termes de vitesse de propagation). L'apogée des "chevaux de Troie" a été ouverte par l'utilitaire d'administration à distance caché BackOrifice (1998) et les analogues qui l'ont suivi (NetBus, Phase).
Le virus Win95.CIH a abouti à des méthodes inhabituelles en écrasant le FlashBIOS des machines infectées (l'épidémie de juin 1998 est considérée comme la plus dévastatrice depuis des années).
À la fin des années 1990 et au début des années 2000, avec la complexité croissante des logiciels et de l'environnement système, la transition massive vers des familles Windows NT relativement sécurisées, la consolidation des réseaux comme principal canal d'échange de données et le succès des technologies antivirus dans la détection des virus construits sur des algorithmes complexes, les derniers ont commencé à remplacer de plus en plus l'injection dans des fichiers par une injection dans le système d'exploitation (exécution automatique inhabituelle, rootkits) et à remplacer le polymorphisme par un grand nombre de types (le nombre de virus connus augmente de façon exponentielle).
Dans le même temps, la découverte de nombreuses vulnérabilités dans Windows et d'autres logiciels courants a ouvert la voie à des vers d'exploitation. En 2004, des épidémies aux proportions sans précédent sont causées par MsBlast (selon Microsoft - plus de 16 millions de systèmes]), Sasser et Mydoom (dégâts estimés à 500 millions et 4 milliards de dollars, respectivement).
En outre, les virus monolithiques cèdent largement la place à des suites de logiciels malveillants et à des auxiliaires séparés par des rôles (chevaux de Troie, téléchargeurs/droppers, sites de phishing, spambots et araignées). Les technologies sociales - spam et phishing - sont également en plein essor comme moyen d'infection contournant les mécanismes de protection des logiciels.
Au début, basé sur les chevaux de Troie, et avec le développement des technologies de réseau p2p - et indépendamment - le plus aspect moderne virus - vers de botnet (Rustock, 2006, environ 150 000 bots ; Conficker, 2008-2009, plus de 7 millions de bots ; Kraken, 2009, environ 500 000 bots). Les virus, parmi d'autres logiciels malveillants, sont enfin officialisés comme moyen de cybercriminalité.
1.2 Comment fonctionnent les virus
Il n'y a pas de schémas spécifiques pour les principes de fonctionnement des virus, car il existe de nombreux groupes de virus différents et chaque groupe a ses propres mécanismes de travail. En moyenne, le virus passe par trois étapes dans son développement : 1) infection - 2) reproduction - 3) attaque.
« 1) Infection. Nous avons déjà brièvement considéré le stade de l'infection. L'infection se produit lorsqu'un programme infecté est lancé ou lors de l'accès à un support contenant un code malveillant dans la zone système. En règle générale, le code du virus entre d'abord dans la RAM d'un ordinateur en cours d'exécution, d'où il est copié sur les périphériques de stockage.
2) Reproduction. La reproduction du virus se fait par une série d'infections successives. Si un fichier exécutable infecté se forme sur l'ordinateur, lors de son lancement, le code du virus se déplace vers la RAM (le virus devient un programme résident), d'où d'autres fichiers sont infectés lors de leur lancement. Tout d'abord, les fichiers du système d'exploitation lui-même sont affectés. Plus le mécanisme fonctionne souvent, plus les fichiers sont touchés.
Si nous ne parlons pas d'un virus de fichier, mais d'un virus de démarrage, alors après le chargement du système d'exploitation, le code du virus passe des secteurs de service du support à la RAM, puis est copié de là vers les secteurs de service d'autres supports (par exemple, des disquettes), qui sont enregistrées sur cet ordinateur.
3) Attaque. L'attaque virale est la dernière phase du développement du virus. Lors de l'attaque, le virus effectue des actions plus ou moins destructrices et en même temps il se manifeste certainement. Si chaque virus immédiatement après avoir pénétré dans l'ordinateur lançait une attaque immédiate, il n'y aurait pas de virus pendant longtemps - ils auraient été éliminés. C'est naturel, car lorsque des virus destructeurs détruisent tout ce qui se trouve sur l'ordinateur, ils meurent eux-mêmes. Et si le virus n'est pas destructeur, mais simplement nocif, alors lors de l'attaque, il se démasque, tombe sous le feu des équipements de protection et meurt. Par conséquent, la plupart des virus ont besoin d'une phase passive de reproduction. Tant que le virus n'a pas fait un nombre suffisant de ses propres copies, il est inutile de lancer son mécanisme de déclenchement. Le mécanisme d'attaque virale peut être déclenché par un compteur lorsqu'un certain nombre de copies ont été créées, par l'horloge système à une certaine date, par des commandes d'un centre de contrôle distant si l'ordinateur est en réseau, lorsque certains fichiers sont lancés ou certains documents sont ouverts, etc.
1) Via un support physique :
Les disquettes et les lecteurs flash infectent l'ordinateur avec des virus qui prescrivent leurs chemins et transitions dans le fichier d'exécution automatique de ce support autorun.inf , prescrivant leur direction pour ouvrir les fichiers malveillants
2) Courriel (Courriel)
Les e-mails envoyés à E-mail contiennent des fichiers malveillants (par exemple, des fichiers multimédias) et des liens vers des sites Web. Les liens ne doivent pas être nuisibles (code viral), ils servent de renvois vers des sites avec un code viral.
3) Pages Web
« L'infection via les pages Internet est également possible du fait de la présence de divers contenus « actifs » sur les pages du World Wide Web : scripts, composants ActiveX. Dans ce cas, des vulnérabilités dans le logiciel installé sur l'ordinateur de l'utilisateur ou des vulnérabilités dans le logiciel du propriétaire du site sont utilisées (ce qui est plus dangereux, car des sites respectables avec un flux important de visiteurs sont exposés à l'infection), et les utilisateurs sans méfiance, ayant accédé à un tel site, risque d'infecter son ordinateur ."
4) Mise en œuvre sur le réseau
Les programmes malveillants peuvent se propager sur Internet ou sur l'intranet (réseau local) d'une entreprise.
Grâce à des vulnérabilités du réseau, telles que des erreurs de programmation, des défauts de conception du système, des mots de passe faibles et un certain nombre d'autres raisons, un ver de réseau (un type de programme malveillant qui se propage indépendamment sur les réseaux informatiques locaux et mondiaux) pénètre dans le système d'exploitation de l'ordinateur et ensuite, les vers agissent pour infecter d'autres ordinateurs sur le réseau, généralement pour des spams ou des attaques DDoS. Une attaque DDoS est effectuée par des pirates sur un système informatique afin de le faire échouer, c'est-à-dire la création de telles conditions dans lesquelles les utilisateurs légaux du système ne peuvent pas accéder aux ressources système fournies (serveurs), ou cet accès est difficile et le spam sert à diffuser de la publicité commerciale sans le consentement de l'utilisateur.
5) Pilotes du système d'exploitation
Les programmes malveillants peuvent également se propager via les pilotes du système d'exploitation, bien que ce canal de distribution de virus soit rarement utilisé.
Un virus peut s'infecter dans le fichier programme d'un pilote de système d'exploitation (par exemple, dans un pilote de disque) et effectuer des opérations système sous son contrôle.
Il est à noter que dans l'environnement du système d'exploitation Microsoft Windows NT/2000/XP/2003, pour une telle injection, le code programme d'un programme malveillant doit s'exécuter avec les privilèges administrateur.
Le programme malveillant peut également fonctionner comme un service dans Microsoft Windows NT/2000/XP/2003.
Un virus ou un autre programme malveillant peut infecter un pilote de système d'exploitation Linux/FreeBSD et d'autres systèmes d'exploitation de type Unix si le code du virus s'exécute avec des privilèges d'administrateur (racine).
1.4 Symptômes d'une infection virale
· "ouverture automatique des fenêtres avec un contenu inconnu lors du démarrage de l'ordinateur ;
bloquer l'accès aux sites Web officiels des sociétés antivirus ou aux sites Web qui fournissent des services pour le "traitement" des ordinateurs contre les logiciels malveillants ;
l'apparition de nouveaux processus inconnus dans la sortie du gestionnaire de tâches (par exemple, la fenêtre "Processus" du gestionnaire de tâches Windows) ;
apparition dans les branches du registre responsable de l'exécution automatique, nouvelles entrées ;
interdiction de modifier les paramètres de l'ordinateur dans le compte administrateur ;
Impossibilité de lancer le fichier exécutable (un message d'erreur s'affiche) ;
l'apparition de fenêtres contextuelles ou de messages système avec un texte inhabituel, y compris ceux contenant des adresses Web et des noms inconnus ;
redémarrer l'ordinateur au démarrage de n'importe quel programme ;
· arrêt accidentel et/ou erratique de l'ordinateur ;
Le programme aléatoire plante.
Cependant, il faut tenir compte du fait que malgré l'absence de symptômes, l'ordinateur peut être infecté par des logiciels malveillants.
2 Classification des virus informatiques
Classification unifiée des virus pour ce moment n'existe pas, mais en moyenne, sur la base des caractéristiques listées ci-dessous, la classification suivante peut être construite :
Par habitat
Selon la méthode d'infection de l'habitat
Par effet destructeur
Selon les spécificités de l'algorithme du virus
Classement des habitats
Virus de démarrage pénétrer dans les secteurs de démarrage des périphériques de stockage de données (disques durs, disquettes, périphériques de stockage portables). Lorsque le système d'exploitation est démarré à partir d'un disque infecté, le virus est activé. Ses actions peuvent consister à perturber le fonctionnement du chargeur du système d'exploitation, ce qui le rend impossible à travailler, ou à modifier la table des fichiers, ce qui la rend inaccessible.
certains fichiers.
Virus de fichiers le plus souvent, ils sont intégrés dans les modules exécutifs des programmes (fichiers avec lesquels un programme particulier est lancé), ce qui permet de les activer au moment du lancement du programme, affectant sa fonctionnalité. Plus rarement, les virus de fichiers peuvent infiltrer le système d'exploitation ou les bibliothèques de logiciels d'application, les fichiers de commandes exécutables, les fichiers de registre Windows, les fichiers de script et les fichiers de pilote. L'injection peut être réalisée soit en changeant le code du fichier attaqué, soit en créant une copie modifiée de celui-ci. Ainsi, le virus, étant dans un fichier, est activé lors de l'accès à ce fichier, initié par l'utilisateur ou le système d'exploitation lui-même. Les virus de fichiers sont le type le plus courant de virus informatiques.
Virus d'amorçage de fichier appauvrissent les capacités des deux groupes précédents, ce qui leur permet de constituer une menace sérieuse pour l'informatique.
Virus de réseau distribués via des services et des protocoles réseau. Tels que la distribution de courrier, l'accès aux fichiers via FTP, l'accès aux fichiers via les services LAN. Ce qui les rend très dangereux, car l'infection ne reste pas dans un ordinateur ou même un réseau local, mais commence à se propager à travers divers canaux de communication.
Macrovirus infecter les fichiers des systèmes bureautiques modernes (Microsoft Office, Open Office…) grâce à la possibilité d'utiliser des macros dans ces systèmes. Une macro est un ensemble d'actions spécifiques et prédéfinies, un firmware, intégré à un document et appelé directement depuis celui-ci pour modifier ce document ou d'autres fonctions. C'est la macro qui est le but des virus de macro.
Classification selon la méthode d'infection de l'habitat
Selon la méthode d'infection de l'habitat, les virus sont divisés en deux types : résidents et non-résidents.
Virus résident lorsqu'il infecte un ordinateur, il laisse sa partie résidente dans la RAM, qui intercepte alors les appels du système d'exploitation aux objets infectés et s'y injecte. Les virus résidents résident dans la mémoire et restent actifs jusqu'à ce que l'ordinateur soit éteint ou redémarré.
Contrairement au résident Non-résident les virus ne pénètrent dans la RAM de l'ordinateur que pendant la durée de leur activité, au cours de laquelle ils remplissent une fonction destructrice et une fonction d'infection. Ensuite, les virus quittent complètement la RAM, restant dans l'habitat. Si un virus place un programme dans la RAM qui n'infecte pas son environnement, alors un tel virus est considéré comme non résident.
Classification par impact destructeur
Par degré de dangerosité des ressources informationnelles Les virus informatiques de l'utilisateur peuvent être divisés en : virus inoffensifs ; virus dangereux ; virus très dangereux.
Inoffensif les virus informatiques servent généralement de pirates afin de montrer leur capacité à programmer en infectant l'ordinateur de l'utilisateur avec divers fichiers multimédias (selon les statistiques).
Ce type de virus est appelé inoffensif, ils causent toujours des dommages, en utilisant les ressources informatiques, en ralentissant son travail.
dangereux les virus sont appelés de tels virus, dont le but est de réduire les actions de calcul d'un ordinateur et d'occuper les canaux de communication, ces actions ne violent pas l'intégrité et la confidentialité des informations stockées dans les périphériques de stockage. Les problèmes associés aux virus sont la nécessité de réexécuter des programmes, de redémarrer le système d'exploitation ou de retransmettre des données sur des canaux de communication.
"très dangereux doivent être considérés comme des virus qui provoquent une violation de la confidentialité, la destruction, la modification irréversible (y compris le cryptage) des informations, ainsi que des virus qui bloquent l'accès aux informations, entraînent une défaillance du matériel et nuisent à la santé des utilisateurs. Ces virus effacent des fichiers individuels, des zones de mémoire système, formatent des disques, obtiennent un accès non autorisé à des informations, cryptent des données, etc.
Fait intéressant:
« Il existe des publications qui mentionnent des virus qui provoquent des dysfonctionnements matériels. On suppose qu'à la fréquence de résonance, les pièces mobiles des dispositifs électromécaniques, par exemple, dans le système de positionnement d'un lecteur de disque magnétique, peuvent être détruites. C'est ce mode qui peut être créé à l'aide d'un programme antivirus. D'autres auteurs soutiennent qu'il est possible de définir des modes d'utilisation intensive de circuits électroniques individuels (par exemple, de grands circuits intégrés), dans lesquels ils surchauffent et tombent en panne.
L'utilisation de la mémoire permanente réinscriptible dans les PC modernes a conduit à l'émergence de virus qui modifient les programmes du BIOS, ce qui conduit à la nécessité de remplacer les périphériques de stockage permanents.
Il est également possible d'influencer le psychisme d'une personne - un opérateur informatique en sélectionnant une image vidéo affichée sur l'écran du moniteur avec une certaine fréquence (toutes les vingt-cinquièmes images). Les images intégrées de ces informations vidéo sont perçues par une personne à un niveau subconscient. À la suite d'une telle exposition, de graves dommages à la psyché humaine sont possibles. En 1997, 700 Japonais ont été hospitalisés pour des symptômes d'épilepsie après avoir regardé un dessin animé à la télévision. On pense que de cette manière, la possibilité d'influencer une personne en incorporant la 25e image a été testée.
Classification selon les spécificités de l'algorithme du virus
Les virus satellites sont des virus qui ne modifiez pas les fichiers. Leur mécanisme d'action consiste à créer des copies de fichiers exécutables. Par exemple, sous MS-DOS, ces virus créent des copies des fichiers portant l'extension .EXE. La copie porte le même nom que l'exécutable, mais l'extension est remplacée par .COM. Lorsque vous exécutez un fichier avec un nom commun, le système d'exploitation charge d'abord le fichier avec l'extension .COM, qui est un programme antivirus, pour l'exécution. Le fichier de virus lance alors le fichier avec l'extension .EXE.
Virus réplicateurs (Ver)- les virus dont la tâche principale est de se multiplier le plus rapidement possible dans tous les lieux possibles de stockage et de communication des données. Souvent, ils n'entreprennent pas d'actions destructrices eux-mêmes, mais sont un moyen de transport pour d'autres types de code malveillant.
chevaux de Troie- ont obtenu leurs noms en l'honneur du "cheval de Troie", car ils ont un principe de fonctionnement similaire. Ce type de virus masse ses modules sous les modules des programmes utilisés, crée des fichiers avec des noms et des paramètres similaires, et remplace également les entrées dans le registre système, en changeant les liens des modules de travail des programmes par les leurs, provoquant les modules de virus . Les actions destructrices se résument à la destruction des données des utilisateurs, à l'envoi de SPAM et au suivi des actions des utilisateurs. Ils ne peuvent souvent pas se reproduire par eux-mêmes. Ils sont assez difficiles à détecter, car il ne suffit pas de scanner le système de fichiers.
Virus furtifs (Stealth)- du nom de l'avion furtif "stealth", le plus difficile à détecter, car ils ont leurs propres algorithmes de masquage du balayage. Ils sont masqués en remplaçant le code malveillant par du code utile lors de l'analyse, en désactivant temporairement les modules fonctionnels si un processus d'analyse est détecté, en masquant leurs processus en mémoire, etc.
Virus polymorphes (à chiffrement automatique)- les virus dont le code malveillant est stocké et distribué sous forme cryptée, ce qui leur permet d'être inaccessibles à la plupart des scanners.
virus de la natte Les virus n'ont pas de signatures permanentes. Un tel virus change constamment les chaînes de son code dans le processus de fonctionnement et de reproduction. Ainsi, devenant invulnérable à une simple analyse antivirus. Pour les détecter, il est nécessaire d'appliquer une analyse heuristique.
Virus "au repos"- sont très dangereux, car ils peuvent rester au repos pendant très longtemps, se propageant à travers les réseaux informatiques. L'activation du virus se produit sous certaines conditions, souvent à une date précise, ce qui peut provoquer une infection simultanée à grande échelle. Un exemple d'un tel virus est le virus CHIH ou Chernobyl, qui s'est activé le jour anniversaire de l'accident de Tchernobyl, provoquant la panne de milliers d'ordinateurs.
3 Mesures de protection contre les virus Programmes antivirus de base
A ce jour, les mesures de protection contre les virus de diverses natures sont des programmes appelés antivirus.
Un programme antivirus (antivirus) est un programme spécialisé pour détecter les virus informatiques, ainsi que les programmes indésirables (considérés comme malveillants) en général et restaurer les fichiers infectés (modifiés) par ces programmes, ainsi que pour la prévention - prévenir l'infection (modification) des fichiers ou le système d'exploitation avec un code malveillant.
Selon leurs propriétés, les antivirus sont divisés en types tels que : programmes de détection ; programmes de médecin ou phages ; programmes auditeurs (inspecteurs); programmes filtres (moniteurs); programmes vaccins ou immunisants; scanner.
« LES PROGRAMMES DE DÉTECTEUR vous permettent de détecter les fichiers infectés par l'un des nombreux virus connus. Ces programmes vérifient si les fichiers sur le lecteur spécifié par l'utilisateur contiennent une combinaison d'octets spécifique à un virus donné. Lorsqu'il est trouvé dans n'importe quel fichier, un message correspondant s'affiche à l'écran. De nombreux détecteurs ont des modes pour guérir ou détruire les fichiers infectés.
Il convient de souligner que les programmes de détection ne peuvent détecter que les virus qui leur sont "connus". Certains programmes de détection peuvent se connecter à de nouveaux types de virus, ils n'ont qu'à spécifier les combinaisons d'octets inhérentes à ces virus. Cependant, il est impossible de développer un tel programme qui pourrait détecter n'importe quel virus jusqu'alors inconnu.
Ainsi, du fait que le programme n'est pas reconnu par les détecteurs comme infecté, il ne s'ensuit pas qu'il est sain - certains nouveau virus ou une version légèrement modifiée d'un ancien virus, inconnu des programmes de détection.
La plupart des programmes de détection ont une fonction "docteur", c'est-à-dire ils essaient de restaurer des fichiers ou des zones de disque infectés à leur état d'origine. Les fichiers qui n'ont pas pu être restaurés, en règle générale, sont rendus inutilisables ou supprimés.
Dr Web le programme a été créé en 1994 par I. A. Danilov et appartient à la classe des médecins-détecteurs, il possède ce qu'on appelle "l'analyseur heuristique" - un algorithme qui vous permet de détecter les virus inconnus. "Healing Web", comme le nom du programme est traduit de l'anglais, est devenu la réponse des programmeurs nationaux à l'invasion des virus mutants auto-modifiables. Ces derniers, lors de la reproduction, modifient leur corps pour qu'il n'y ait plus une seule chaîne d'octets caractéristique qui était présente dans la version originale du virus.
Ce programme est soutenu par le fait qu'une grande licence (pour 2 000 ordinateurs) a été acquise par la Direction générale des ressources d'information sous le président de la Fédération de Russie, et le deuxième plus grand acheteur du "web" - "Inkombank".
Test d'aide- le programme a été inventé par elle en 1988 par D.N. Lozinsky et est médecin-détecteur. Aidstest est conçu pour réparer les programmes infectés par des virus courants (non polymorphes) qui ne modifient pas leur code. Cette limitation est due au fait que ce programme recherche les virus à l'aide de codes d'identification. Mais en même temps, une très grande vitesse de vérification des fichiers est atteinte.
Les AUDITEURS ont deux étapes de travail. Premièrement, ils stockent des informations sur l'état des programmes et des zones système des disques (le secteur de démarrage et le secteur avec la table de partition du disque dur). On suppose qu'à ce moment, les programmes et les zones système des disques ne sont pas infectés. Après cela, à l'aide du programme d'audit, vous pouvez à tout moment comparer l'état des programmes et des zones système des disques avec l'original. Les écarts constatés sont signalés à l'utilisateur.
ADinf (Diskinfoscope avancé) appartient à la classe des auditeurs de programmes. Ce programme a été créé par D. Yu. Mostov en 1991.
L'antivirus a une vitesse de travail élevée, il est capable de résister avec succès aux virus qui sont en mémoire. Il vous permet de contrôler le disque en le lisant par secteur via le BIOS et sans utiliser les interruptions du système DOS qu'un virus peut intercepter.
Pour désinfecter les fichiers infectés, le module ADinf Cure est utilisé, qui n'est pas inclus dans le package ADinf et est fourni séparément. Le principe de fonctionnement du module est d'enregistrer une petite base de données décrivant les fichiers contrôlés. En travaillant ensemble, ces programmes peuvent détecter et supprimer environ 97 % des virus de fichiers et 100 % des virus de secteur d'amorçage. Par exemple, le célèbre virus SatanBug a été facilement détecté et les fichiers infectés par celui-ci ont été automatiquement restaurés. De plus, même les utilisateurs qui ont acheté ADinf et ADinf Cure Module quelques mois avant l'apparition de ce virus ont pu s'en débarrasser sans difficulté.
AVP (Anti- Virus protection) le programme combine un détecteur, un médecin et un auditeur, et a même certaines fonctions d'un filtre résident (interdiction d'écrire dans des fichiers avec l'attribut READ ONLY). Kit antivirus, qui est une version étendue du kit antivirus bien connu "Doctor Kaspersky". Pendant que le programme est en cours d'exécution, il est testé pour les virus inconnus. Est également inclus un programme résident qui surveille les activités suspectes sur l'ordinateur et vous donne la possibilité de visualiser la carte mémoire. Un ensemble spécial d'utilitaires aide à détecter les nouveaux virus et à les comprendre.
L'antivirus peut traiter à la fois les virus connus et inconnus, et l'utilisateur lui-même peut informer le programme de la méthode de traitement de ces derniers. De plus, AVP peut traiter les virus auto-modifiables et furtifs (furtifs).
Norton Antivirus- le package antivirus appartient au type d'outils "installer et oublier". Tous les paramètres de configuration nécessaires et les activités planifiées (vérification du disque, recherche de programmes nouveaux et modifiés, exécution de l'utilitaire Auto-Protect Windows, vérification du secteur de démarrage du lecteur A : avant le redémarrage) sont définis par défaut. Un programme d'analyse de disque existe pour DOS et Windows. Entre autres choses, Norton AntiVirus détecte et détruit même les virus polymorphes, et répond également avec succès à l'activité de type viral et combat les virus inconnus.
FILTRES ou MONITEURS, qui résident dans la RAM de l'ordinateur et interceptent les appels au système d'exploitation qui sont utilisés par les virus pour se multiplier et causer des dommages, et en informent l'utilisateur. L'utilisateur peut activer ou désactiver l'opération correspondante.
Certains programmes de filtrage n'"attrapent" pas les actions suspectes, mais vérifient la présence de virus dans les programmes appelés à être exécutés. Cela ralentit l'ordinateur.
Cependant, les avantages de l'utilisation de programmes de filtrage sont très importants - ils vous permettent de détecter de nombreux virus à un stade très précoce, lorsque le virus n'a pas encore eu le temps de se multiplier et de gâcher quelque chose. De cette façon, les pertes dues au virus peuvent être minimisées.
Les VACCINS, ou IMMUNIZATEURS, modifient les programmes et les disques de manière à ne pas affecter le fonctionnement des programmes, mais le virus contre lequel la vaccination est faite considère ces programmes ou disques déjà infectés. Ces programmes sont extrêmement inefficaces. Ils suivent les opérations potentiellement dangereuses en envoyant une demande correspondante à l'utilisateur pour autoriser/interdire l'opération.
Inconvénients des programmes antivirus :
Aucune des technologies antivirus existantes ne peut fournir une protection complète contre les virus.
Le programme antivirus enlève une partie des ressources informatiques du système, chargeant le processeur central et le disque dur. Cela peut être particulièrement visible sur les ordinateurs faibles. Les ralentissements en arrière-plan peuvent atteindre 380 %.
Les programmes antivirus peuvent détecter une menace là où il n'y en a pas (faux positifs).
Les programmes antivirus téléchargent les mises à jour à partir d'Internet, consommant ainsi de la bande passante.
Diverses méthodes de cryptage et de conditionnement des logiciels malveillants rendent même les virus connus indétectables par les logiciels antivirus. La détection de ces virus "masqués" nécessite un puissant moteur de décompression capable de déchiffrer les fichiers avant qu'ils ne soient analysés. Cependant, de nombreux programmes antivirus ne disposent pas de cette fonctionnalité et, par conséquent, il est souvent impossible de détecter les virus cryptés. .
VIRUS INFORMATIQUES
Et les fichiers corrompus et infectés
Classification des virus PRÉVENTION ET CONTRÔLE DES VIRUS INFORMATIQUES
INTRODUCTION
Actuellement, de nombreux domaines de l'activité humaine sont associés à l'utilisation des ordinateurs. Pourquoi ces machines électroniques sont-elles si étroitement ancrées dans nos vies ? Tout est assez banal. Ils effectuent des calculs de routine et des travaux de conception, libérant notre cerveau pour des tâches plus nécessaires et plus responsables. En conséquence, la fatigue est fortement réduite et nous commençons à travailler de manière beaucoup plus productive que sans utiliser d'ordinateur.
Les possibilités des ordinateurs modernes étonnent l'imagination la plus riche. Ils sont capables d'effectuer plusieurs tâches en parallèle, dont la complexité est assez élevée. Par conséquent, certains fabricants réfléchissent à créer une intelligence artificielle. Et maintenant, le travail d'un ordinateur ressemble au travail d'un assistant électronique intelligent pour une personne.
Mais qui aurait pensé que ce miracle électronique de la technologie se caractérise par des maladies similaires à celles de l'homme. Lui, comme une personne, peut être attaqué par un "virus" mais informatique. Et si vous n'agissez pas, l'ordinateur va bientôt "tomber malade", c'est-à-dire commencera à effectuer des actions incorrectes ou même "mourra", c'est-à-dire les dommages causés par le "virus" seront très graves. Que sont les virus informatiques et comment les traiter seront discutés plus loin.
VIRUS INFORMATIQUES
Qu'est-ce qu'un virus informatique ?
A ce jour, il existe plusieurs principaux types de malwares :
- virus informatique classique ;
- cheval de Troie ou cheval de Troie (troj);
- ver (ver);
- espion ou espion, keylogger
-coup de pied ;
- bot ou zombie.
À une certaine époque, ce sont les virus classiques qui avaient la plus grande prévalence - mais leurs créateurs ont rarement fixé un objectif spécifique pour nuire à l'utilisateur final, mais ont plutôt été créés à des fins éducatives. Les auteurs de virus d'aujourd'hui poursuivent des objectifs absolument clairs et compréhensibles - l'argent, et leurs "enfants" sont devenus beaucoup plus dangereux que leurs prédécesseurs. Alors permettez-moi de vous présenter le plus prédateurs dangereux l'espace d'information d'aujourd'hui est constitué de chevaux de Troie et de vers.
Trojan ou troj tire son nom de la similitude entre la méthode d'infection et le célèbre mouvement tactique lors du siège de Troie. Un exemple d'infection par un cheval de Troie - vous recevez une lettre d'une certaine "connaissance" avec le texte : - "Salut ! Je viens de rentrer de la mer - je me suis tellement reposé ! Voici mes photos - regardez.", Et joint fichiers avec l'extension ".JPG". Ces mêmes fichiers sont le cheval de Troie au fond duquel se cache le code malveillant. Les sources d'infection les plus courantes sont les e-mails, les sites de rencontres, les sites de musique et les sites de logiciels gratuits. Que fait un "cheval de Troie" ? En règle générale, sa tâche est d'ouvrir la voie à d'autres virus, d'agir comme premier tremplin. Comment éviter l'infection par "cheval de Troie" ? Ici, tout est comme dans la vie - protégez-vous et évitez les relations informelles =). Cette règle est vraie pour tous les virus et autres logiciels malveillants. Si vous avez reçu un e-mail - avant de consulter les pièces jointes, vérifiez l'expéditeur, enregistrez la pièce jointe sur votre ordinateur et vérifiez-la avec un antivirus, puis ouvrez-la.
Worm ou Worm - une caractéristique de ces programmes dans l'évolution et l'autonomie. Lorsqu'un ver pénètre dans un ordinateur, il attaque généralement les programmes de messagerie et les téléavertisseurs Internet. Après avoir accédé au courrier ou au téléavertisseur, il commence à envoyer des lettres/messages contenant une version modifiée de lui-même. Après cela, il s'autodétruit ou infecte les fichiers exécutables (EXE, COM, BAT). Étant donné que le virus se modifie, il est invulnérable jusqu'à ce qu'il soit détecté dans la base de données de votre antivirus. C'est pourquoi aujourd'hui, un antivirus sous licence est un besoin urgent pour tout propriétaire de PC.
Un virus informatique est un petit programme spécialement écrit qui peut « s'attribuer » à d'autres programmes (c'est-à-dire les « infecter »), ainsi qu'effectuer diverses actions indésirables sur un ordinateur. Un programme qui contient un virus est dit infecté. Lorsqu'un tel programme démarre, le virus prend d'abord le contrôle. Le virus trouve et "infecte" d'autres programmes, et effectue également certaines actions nuisibles (par exemple, il corrompt des fichiers ou la table d'allocation de fichiers (FAT) sur le disque, "contamine" la RAM, etc.). Pour masquer un virus, des actions visant à infecter d'autres programmes et à causer des dommages ne peuvent pas toujours être effectuées, mais, par exemple, sous certaines conditions. Une fois que le virus a effectué les actions dont il a besoin, il transfère le contrôle au programme dans lequel il se trouve et il fonctionne comme d'habitude. Ainsi, extérieurement, le travail d'un programme infecté ressemble à celui d'un programme non infecté.
De nombreux types de virus sont conçus de telle sorte que lorsqu'un programme infecté est lancé, le virus reste dans la mémoire de l'ordinateur et infecte de temps en temps des programmes et effectue des actions indésirables sur l'ordinateur.
Toutes les actions du virus peuvent être effectuées très rapidement et sans émettre de message, pour cet utilisateur, il est très difficile, voire impossible, de déterminer que quelque chose d'inhabituel se passe sur l'ordinateur.
Tant que relativement peu de programmes sont infectés sur l'ordinateur, la présence d'un virus peut être presque invisible. Cependant, après un certain temps, quelque chose d'étrange commence à se produire sur l'ordinateur, par exemple :
- certains programmes cessent de fonctionner ou commencent à fonctionner de manière incorrecte ;
- des messages, symboles, etc. superflus sont affichés à l'écran ;
- le travail sur ordinateur ralentit considérablement;
- certains fichiers sont corrompus, etc.
À ce stade, en règle générale, un grand nombre (voire la plupart) des programmes techniques avec lesquels vous travaillez sont infectés par un virus, et certains fichiers et disques sont corrompus. De plus, les programmes infectés de votre ordinateur peuvent déjà avoir été transférés à l'aide de disquettes ou d'un réseau local vers les ordinateurs de vos collègues et amis.
Certains virus sont très insidieux. Au début, ils infectent imperceptiblement un grand nombre de programmes et de disques, puis causent des dommages très graves, par exemple, ils formatent tout le disque dur de l'ordinateur, après quoi il est tout simplement impossible de récupérer les données. Et il existe des virus qui se comportent très secrètement et gâchent progressivement les données sur le disque dur ou déplacent la table d'allocation de fichiers (FAT).
Ainsi, si vous ne prenez pas de mesures pour vous protéger contre le virus, les conséquences de l'infection peuvent être très graves. Par exemple, au début de 1989 Le virus, écrit par l'étudiant américain Morris, a infecté et désactivé des milliers d'ordinateurs, y compris ceux appartenant au département américain de la Défense. L'auteur du virus a été condamné par le tribunal à trois mois de prison et à une amende de 270 mille dollars. La sanction aurait pu être plus sévère, mais le tribunal a tenu compte du fait que le virus n'avait pas corrompu les données, mais seulement multiplié.
Pour qu'un programme antivirus soit invisible, il doit être petit. Par conséquent, les virus sont généralement écrits dans des langages d'assemblage de bas niveau ou dans des commandes de langage C de bas niveau.
Les virus sont écrits par des programmeurs expérimentés ou des étudiants simplement par curiosité ou pour exercer des représailles contre quelqu'un ou une entreprise qui les a traités de manière indigne ou à des fins commerciales ou de sabotage dirigé. Quels que soient les objectifs de l'auteur, le virus peut se retrouver sur votre ordinateur et tenter d'effectuer les mêmes actions nuisibles que celles de celui pour qui il a été créé.
Il convient de noter que l'écriture d'un virus n'est pas une tâche si difficile, tout à fait accessible à un étudiant en programmation. Par conséquent, chaque semaine, de plus en plus de nouveaux virus apparaissent dans le monde. Et beaucoup d'entre eux sont fabriqués dans notre pays.
Fichiers corrompus et infectés
Un virus informatique peut ruiner, c'est-à-dire modifier de manière inappropriée tout fichier sur les disques disponibles sur l'ordinateur. Mais le virus peut "infecter" certains types de fichiers. Cela signifie qu'un virus peut "infiltrer" ces fichiers, c'est-à-dire. les modifier afin qu'ils contiennent un virus qui, dans certaines circonstances, peut commencer à fonctionner.
Il convient de noter que les textes des programmes et des documents, les fichiers d'informations des bases de données, les tableaux de tableurs et autres fichiers similaires ne peuvent pas être infectés par un virus commun, il ne peut que les altérer. L'infection de ces fichiers se fait uniquement par des macro-virus. Ces virus peuvent même infecter vos documents.
Chargeur de système d'exploitation et enregistrement de démarrage principal du disque dur. Les virus qui infectent ces zones sont appelés virus boot ou BOOT. Un tel virus commence son travail au démarrage initial de l'ordinateur et devient résident, c'est-à-dire. réside en permanence dans la mémoire de l'ordinateur. Le mécanisme de distribution est l'infection des enregistrements de démarrage insérés dans les disquettes de l'ordinateur. Souvent, ces virus se composent de deux parties, car l'enregistrement de démarrage est petit et il est difficile d'y placer l'intégralité du programme antivirus. Une partie du virus se trouve dans une autre partie du disque, par exemple à la fin du répertoire racine du disque ou dans un cluster dans la zone de données du disque (généralement un tel cluster est déclaré défectueux pour empêcher le virus d'être écrasé lors de l'écriture des données).
Fichiers de pilotes de périphériques spécifiés dans la clause DEVICE du fichier CONFIG.SYS. Le virus qui s'y trouve commence son travail à chaque accès à l'appareil correspondant. Les virus qui infectent les pilotes de périphériques sont très rares car les pilotes sont rarement copiés d'un ordinateur à un autre. de même pour fichiers système DOS (MSDOS.SYS et IO.SYS) - leur infection est également théoriquement possible, mais elle est inefficace pour la propagation du virus.
En règle générale, chaque type spécifique de virus ne peut infecter qu'un ou deux types de fichiers. Le plus souvent, il existe des virus qui infectent les fichiers exécutables. En deuxième position en termes de prévalence se trouvent les virus de démarrage. Certains virus infectent à la fois les fichiers et les zones de démarrage du disque. Les virus qui infectent les pilotes de périphériques sont extrêmement rares, généralement ces virus peuvent également infecter les fichiers exécutables.
Classement des virus
Les virus peuvent être divisés en classes selon différents critères. Ici, par exemple, sur la base de la trahison :
Les virus qui infectent instantanément un ordinateur formatent le disque dur, corrompent la table d'allocation des fichiers, corrompent les secteurs de démarrage, effacent la soi-disant Flash ROM (où se trouve le BIOS) de l'ordinateur (virus Chernobyl), en d'autres termes, causent des dommages irréparables à l'ordinateur le plus rapidement possible. Cela inclut également les résultats des griefs des programmeurs qui écrivent des virus contre les programmes antivirus. Cela fait référence aux soi-disant allergies à certains programmes antivirus. Ces virus sont assez perfides. Ici, par exemple, une allergie à Dr.Weber lors de l'appel de ce programme, sans hésitation, bloque l'antivirus, gâche tout ce qui se trouve dans le répertoire avec l'antivirus et C: WINDOWS. Par conséquent, vous devez réinstaller le système d'exploitation, puis combattre le virus par d'autres moyens.
- des virus conçus pour une longue durée de vie dans l'ordinateur. Ils infectent progressivement et soigneusement programme après programme sans annoncer leur présence et remplacent les zones de démarrage des programmes par des liens vers l'endroit où se trouve le corps du virus. De plus, ils modifient la structure du disque de manière imperceptible pour l'utilisateur, ce qui ne se fera sentir que lorsque certaines données seront déjà désespérément perdues (par exemple, le virus "OneHalf-3544", "Yankey-2C").
Sur la base des modes de transmission et de reproduction, une division peut également être opérée.
Auparavant, les virus n'affectaient principalement que les fichiers exécutables (avec les extensions .com et .exe). En effet, un virus est un programme et il doit être exécuté.
Désormais, les virus sont envoyés par e-mail sous forme de programmes de démonstration ou d'images. Par exemple, si vous avez reçu le fichier "PicturesForYou.jpg" par e-mail, ne vous précipitez pas pour le regarder, d'autant plus qu'il vient de nulle part. Si vous regardez le nom de plus près, il s'avère qu'il a 42 espaces supplémentaires et une extension .exe valide. C'est réel nom et prénom le fichier ressemblera à ceci :
"PicturesForYou.jpg .exe". Maintenant, tout le monde comprend ce que porte réellement cette image. Il ne s'agit pas d'un fichier image que la visionneuse d'images appelle lorsqu'elle est activée, mais d'un virus effronté et légèrement voilé qui attend juste d'être activé par un clic de souris ou une frappe au clavier. Vous téléchargez vous-même un tel virus sur votre ordinateur, sous la coque d'une image, comme un "cheval de Troie". D'où le nom d'argot pour des virus tels que « chevaux de Troie ».
À l'heure actuelle, il existe des coquilles de canaux d'information comme Internet Explorer, Outlook Express, Microsoft Office. Quelques classes de soi-disant "Macro-virus" sont maintenant apparues. Ils contiennent des commandes cachées pour ces shells qui sont indésirables pour l'utilisateur moyen. Et ce code n'est plus le code de l'ordinateur, c'est-à-dire qu'il n'est plus un programme, mais le texte du programme exécuté par le shell. Ainsi, il peut être écrit dans n'importe quel format requis : .html, .htm - pour Internet Explorer, .doc, .xls, .xlw, .txt, .prt ou tout autre - pour Microsoft Office, etc. De tels virus causent des dommages seulement d'une certaine nature, car le shell n'a pas de commandes, par exemple, pour formater un disque dur. Néanmoins, ce type de virus mérite l'attention, car à l'aide d'hyperliens cachés, il est capable de télécharger indépendamment le corps du virus d'Internet sur votre ordinateur, et certains virus sont capables de se mettre à jour et de se télécharger en partie via Internet à partir de certains serveurs. . Par exemple, l'un des étudiants japonais a développé un tel virus qui connecte un petit "chargeur" à n'importe quel format de données d'entrée à partir d'Internet. De plus, ce chargeur télécharge indépendamment le corps du virus depuis Internet depuis le serveur avec l'adresse IP Babilon5. Il y a quatre de ces corps. Chacun d'eux est capable de détruire votre ordinateur par lui-même, mais a un but précis. Ce type de virus est un hybride entre les macro-virus et les virus ordinaires. Mais il convient de noter que ce sont les hybrides qui sont les plus tenaces, rusés, dangereux et nombreux parmi les virus. Plus récemment, il y a eu un scandale à propos d'un programmeur qui, selon des experts, a créé et commencé à propager un virus macro qui infectait des fichiers texte pour Microsoft Word. Il a été calculé à partir de la date et de l'heure de création du document original, qui est stocké dans les parties invisibles des fichiers .doc. Il est possible que le fichier ait été créé par une autre personne avant que le virus ne s'y soit attaché, alors la question de l'attaquant reste ouverte. Mais les experts disent que c'est lui.
Par exemple, le virus Win32.HLLM.Klez. l'une des variétés d'un ver de réseau dangereux est distribuée en envoyant des copies de lui-même par e-mail. De plus, ce ver peut se propager sur un réseau local, infectant les ordinateurs dont les disques sont des ressources réseau partagées inscriptibles. Une fois dans le système, le ver s'envoie aux adresses trouvées dans le carnet d'adresses Windows, dans la base de données ICQ et dans les fichiers locaux. Les messages infectés envoyés par ce ver utilisent l'un des bogues relativement connus du système de sécurité d'Internet Explorer, qui permet de lancer automatiquement un fichier programme (avec un virus) attaché à un message lors de la simple consultation d'un courrier dans Outlook et Outlook Express.
Essayons de considérer les méthodes de déguisement et de protection utilisées par les virus contre nous, les utilisateurs ordinaires et les programmes antivirus.
La perfidie est la principale et la plus manière rapide faire un sale tour avant d'être découvert. Le virus Chernobyl, par exemple, efface complètement le BIOS (le programme de démarrage situé dans la puce ROM qui assure le fonctionnement de l'ordinateur). Après cela, l'ordinateur ne pourra plus rien afficher du tout. Mais son travail est facilement bloqué si un commutateur est installé à l'intérieur de l'ordinateur qui interdit l'écriture dans la zone ROM. C'était donc le premier, mais aussi, je pense, le dernier représentant des virus matériels.
Les virus régénératifs divisent leur corps en plusieurs parties et les stockent dans différents lieux disque dur. En conséquence, ces parties sont capables de se trouver indépendamment et de s'assembler pour régénérer le corps du virus. Le programme antivirus détecte et tue uniquement le corps du virus, et des parties de ce corps ne sont pas incluses dans la base de données antivirus, car elles sont modifiées. Le formatage de bas niveau ciblé du disque dur aide à lutter contre ces virus. Des précautions doivent être prises pour préserver les informations.
Les virus rusés se cachent non seulement de nous, mais aussi des programmes antivirus. Ces "caméléons" se modifient à l'aide des opérations les plus astucieuses et les plus complexes, en utilisant à la fois les données actuelles (heure de création du fichier) et en utilisant près de la moitié de l'ensemble des instructions du processeur. À un certain moment, bien sûr, selon un algorithme rusé, ils se transforment en un virus ignoble et commencent à s'occuper de notre ordinateur. Il s'agit du type de virus le plus difficile à détecter, mais certains programmes antivirus, tels que "Dr.Weber", sont capables de détecter et de neutraliser des virus similaires à l'aide de l'analyse dite heuristique.
Les virus "invisibles" utilisent la méthode dite "Stelth" pour empêcher leur détection. Elle consiste dans le fait qu'un virus résident en mémoire intercepte les appels DOS (et donc les programmes d'application) vers des fichiers et des zones de disque infectés et les émet sous leur forme originale (non infectée). Bien sûr, cet effet n'est observé que sur un ordinateur infecté - sur un ordinateur "propre", les modifications des fichiers et des zones de démarrage du disque peuvent être facilement détectées. Mais certains programmes antivirus peuvent détecter des virus "invisibles" même sur des ordinateurs infectés.
Le ver de réseau Randon est apparu en mars 2003. Il se propage via les canaux IRC et les ressources du réseau local et infecte les ordinateurs exécutant les systèmes d'exploitation Windows 2000 et Windows XP. Pour pénétrer dans un ordinateur, il se connecte à un réseau local ou à un serveur IRC, scanne les utilisateurs qui s'y trouvent, établit une connexion avec eux sur le port 445 et essaie de deviner le mot de passe à partir de la liste intégrée des phrases les plus fréquemment utilisées. Si le système est compromis avec succès, Random lui envoie le cheval de Troie Apher, qui à son tour télécharge le reste des composants du ver à partir d'un site Web distant. Après cela, "Randon" installe ses composants dans le répertoire système de Windows, enregistre son fichier principal. Pour masquer sa présence en mémoire, il utilise un utilitaire spécial HideWindows, qui est également un composant du ver. Grâce à elle, il s'avère invisible pour l'utilisateur, de sorte que le processus Randon actif ne peut être détecté que dans le Gestionnaire des tâches de Windows. Le sien Effets secondaires– la création d'une grande quantité de trafic excédentaire sur la machine infectée et le débordement des canaux IRC.
Selon Kaspersky Lab, l'un des principaux développeurs de programmes antivirus, présente un examen de l'activité virale pour mars 2003 (Tableau 2 et Fig. 1)
Top 20 des logiciels malveillants les plus courants
Languette. 2
Nom Part dans le nombre total d'incidents viraux (%)
1. I-Worm.Klez 37,60%
2. I-Worm.Sobig 10.75%
3. I-Worm.Lentin 9.03%
4. I-Worm.Avron 3.30%
5.Macro.Word97.Donc 2,62%
6. I-Worm.Tanatos 1,38%
7. macro. Word97.Marker 1.21%
8. Worm.Win32.Opasoft 1.13%
9. I-Worm.Hybris 1.04%
10.Win95.CIH 0.69%
11. Worm.Win32.Randon 0.58%
12. VBS Redlof 0,57%
13. Porte dérobée.Mort 0,51%
14.Win95.Espaces 0,51%
15. I-Worm.Roron 0,49%
16.Trojan.PSW.Gip 0.49%
17. Porte dérobée. NetDevil 0,48 %
18.Win32.HLLP.Hantaner 0.45%
19. TrojanDropper.Win32.Delf 0.42%
20. TrojanDropper.Win32.Yabinder 0,41%
Autres logiciels malveillants* 26,33 %
*non inclus dans les 20 plus courants
PRÉVENTION ET LUTTE CONTRE LES VIRUS INFORMATIQUES
Méthodes de base de protection contre les virus informatiques
Pour vous protéger contre les virus, vous pouvez utiliser :
- Moyens généraux de protection des informations, qui sont également utiles comme assurance contre les dommages physiques aux disques, les programmes fonctionnant incorrectement ou les actions erronées de l'utilisateur ;
- des mesures préventives pour réduire le risque d'infection par un virus informatique ;
- programmes spécialisés de protection contre les virus.
-Les outils de sécurité de l'information communs sont utiles pour plus que la simple protection contre les virus. Il existe deux principaux types de fonds :
copier des informations - créer des copies de fichiers et de zones système de disques ;
le contrôle d'accès empêche l'utilisation non autorisée des informations, en particulier la protection contre les modifications des programmes et des données par des virus, les programmes défectueux et les actions erronées des utilisateurs.
Bien que fonds généraux La sécurité de l'information est très importante pour se protéger contre les virus informatiques, mais elle seule ne suffit pas. Il est nécessaire d'utiliser des programmes spécialisés pour se protéger contre les virus informatiques. Ces programmes peuvent être divisés en plusieurs types :
Les programmes de détection vous permettent de détecter les fichiers infectés par l'un des nombreux virus connus.
Programmes - médecins ou phages, "soignent les virus" programmes ou disques infectés, "arrachent" le corps du virus des programmes infectés, c'est-à-dire restaurer le programme dans l'état où il se trouvait avant l'infection par le virus.
Programmes - les auditeurs se souviennent d'abord des informations sur l'état des programmes et des zones système des disques, puis comparent leur état avec celui d'origine. Si des divergences sont constatées, l'utilisateur en est informé.
Les médecins - auditeurs sont des hybrides d'auditeurs et de médecins, c'est-à-dire des programmes qui non seulement détectent les modifications apportées aux fichiers et aux zones système des disques, mais peuvent également les ramener automatiquement à leur état d'origine.
Les programmes de filtrage résident dans la RAM de l'ordinateur et interceptent les appels au système d'exploitation qui sont utilisés par les virus pour se reproduire et nuire, et les signalent à l'utilisateur. L'utilisateur peut activer ou désactiver l'opération correspondante.
Les programmes - les vaccins ou les immunisants modifient les programmes et les disques de manière à ne pas affecter le fonctionnement des programmes, mais le virus contre lequel la vaccination est effectuée considère ces programmes et ces disques déjà infectés. Ces programmes sont très inefficaces et ne sont pas examinés plus avant.
Malheureusement, aucun type de logiciel antivirus n'offre une protection complète contre les virus informatiques. Par conséquent, la meilleure stratégie de protection contre les virus est une défense à plusieurs niveaux et « couches ». Décrivons la structure de cette défense.
Les moyens de reconnaissance dans la "défense" contre les virus correspondent à des programmes - des détecteurs qui vous permettent de vérifier la présence de virus dans les logiciels nouvellement reçus.
À la pointe de la défense se trouvent les programmes de filtrage (programmes résidents pour se protéger contre un virus). Ces programmes peuvent être les premiers à signaler une attaque de virus et à empêcher l'infection des programmes et du disque.
Le deuxième échelon de défense est composé des programmes-auditeurs, des programmes-médecins et des médecins-auditeurs. Les auditeurs détectent une attaque même lorsque le virus a réussi à "fuir" à travers la première ligne de défense. Les programmes Doctor sont utilisés pour restaurer les programmes infectés s'il n'y en a pas de copies dans l'archive. Mais ils ne font pas toujours ce qu'il faut. Les médecins-auditeurs détectent une attaque de virus et traitent les virus - fichiers infectés, et contrôlent l'exactitude du traitement antivirus, et s'il est impossible de traiter les virus, ils recommandent définitivement la suppression des virus (fichiers infectés).
La couche de défense la plus profonde est constituée par les moyens de contrôle d'accès. Ils ne permettent pas aux virus et aux programmes qui se comportent mal, même s'ils sont entrés dans l'ordinateur, de gâcher des données importantes.
Et, enfin, dans la "réserve stratégique", il y a des copies d'archives d'informations et des disquettes "de référence" avec des produits logiciels. Ils permettent de récupérer des informations si elles sont endommagées sur le disque dur.
Programmes - détecteurs et médecins
Dans la plupart des cas, pour détecter un virus qui a infecté un ordinateur, vous pouvez trouver des programmes de détection déjà développés. Ces programmes vérifient si les fichiers sur le lecteur spécifié par l'utilisateur contiennent une combinaison d'octets spécifique à un virus donné. Lorsqu'il est trouvé dans n'importe quel fichier, un message correspondant s'affiche à l'écran. De nombreux détecteurs disposent d'un mode de traitement ou de suppression de virus.
Il convient de noter que le programme de détection ne peut détecter que les virus qui lui sont connus (c'est-à-dire qu'ils sont inclus dans la base de données antivirus de ce programme).
L'un de ces programmes est KIS Kaspersky.
Tout ce qu'il contient a une interface pratique et compréhensible. Le programme est conçu pour le système d'exploitation Windows XP et Windows Vista, ce qui lui permet de fonctionner en parallèle avec d'autres applications. Kaspersky Lab est le leader russe dans le développement de systèmes de sécurité antivirus.
Il y a aussi AVAST.
Ce sont les défenseurs de votre ordinateur éprouvés dans le travail - le traitement de la plupart des virus et la suppression des virus en cas de menace critique ou d'incurabilité.
La plupart des programmes de détection ont également une fonction "docteur", c'est-à-dire ils essaient de remettre les fichiers et les zones de disque infectés dans leur état d'origine - pour traiter les virus. Les fichiers qui n'ont pas pu être corrigés sont généralement rendus inutilisables ou supprimés.
Prévention contre l'infection par le virus
Examinons quelques mesures qui peuvent réduire la probabilité qu'un ordinateur soit infecté par un virus, ainsi que minimiser les dommages causés par une infection virale si elle se produit.
1. Il serait bon d'avoir et, si nécessaire, de mettre à jour des copies d'archives et de référence des logiciels et des paquets de données utilisés. Avant d'archiver des données, il est conseillé de les vérifier pour la présence d'un virus.
2. Il est également conseillé de copier les informations de service de votre disque (FAT, secteurs de démarrage) et CMOS (mémoire non volatile de l'ordinateur) sur des disquettes. La copie et la restauration de ces informations peuvent être effectuées à l'aide du programme Norton Utilities Rescue.
3. Vous devez définir la protection en écriture sur les disquettes d'archives.
4. Vous ne devez pas vous engager dans la copie sans licence et illégale de logiciels à partir d'autres ordinateurs. Ils peuvent avoir un virus.
5. Toutes les données provenant de l'extérieur doivent être contrôlées contre les virus, en particulier les fichiers "téléchargés" depuis Internet.
6. Il est nécessaire de préparer à l'avance un package de récupération sur des disquettes avec protection en écriture.
7. Pendant la durée du travail normal, non lié à la restauration de l'ordinateur, il vaut la peine de désactiver le démarrage à partir d'une disquette. Cela empêchera l'infection par un virus de démarrage.
8. Utilisez des programmes - des filtres pour la détection précoce des virus.
9. Vérifiez périodiquement le disque avec des programmes-détecteurs ou des médecins-détecteurs ou des auditeurs pour détecter d'éventuelles défaillances de la défense.
10. Mettez à jour la base de données des programmes antivirus.
11. Gardez les utilisateurs suspects hors de votre ordinateur.
CONCLUSION
En conclusion, je tiens à mettre en garde contre une lutte trop zélée contre les virus informatiques. L'exécution quotidienne d'une analyse antivirus complète de votre disque dur n'est pas non plus une étape brillante dans la prévention des infections. Je vois le seul moyen civilisé de se protéger contre les virus dans le respect des précautions préventives lorsque l'on travaille sur un ordinateur. Et vous devez également recourir à l'aide de spécialistes pour faire face à un virus informatique. De plus, même si le virus a tout de même pénétré l'ordinateur, ce n'est pas une raison pour paniquer.
Souvent, le principal problème d'Internet n'est pas les virus et les pirates, mais un phénomène aussi courant que l'analphabétisme informatique. En utilisant l'analogie de Kaspersky, l'ignorance des règles de la route. Les personnes qui ont récemment appris à recevoir et à envoyer du courrier diabolisent les virus informatiques, les imaginant presque comme des vers noirs invisibles rampant le long des fils. Voici quelques-uns règles simples, en observant que vous pouvez essayer d'éviter l'infection par des virus. Premièrement : ils n'ont pas peur des virus informatiques, ils sont tous traités. Deuxièmement, configurez Microsoft Outlook pour qu'il fonctionne dans la zone des sites restreints, ce qui l'empêchera d'exécuter automatiquement certains programmes - le principe de base de la propagation des virus informatiques. Troisièmement, n'ouvrez pas les e-mails de destinataires suspects. Quatrièmement : utilisez un antivirus frais et, plus important encore, sous licence.
Envoyer votre bon travail dans la base de connaissances est simple. Utilisez le formulaire ci-dessous
Les étudiants, les étudiants diplômés, les jeunes scientifiques qui utilisent la base de connaissances dans leurs études et leur travail vous en seront très reconnaissants.
Documents similaires
Caractéristiques et principes de la sécurité logicielle. Raisons de créer des virus pour l'infection logiciels d'ordinateur. caractéristiques générales virus informatiques et moyens de leur neutralisation. Classification des méthodes de protection contre les virus informatiques.
résumé, ajouté le 05/08/2012
Brève excursion dans l'histoire des virus. Aspects sociaux du problème des virus informatiques. Moyens de lutter contre les virus informatiques. Termes utilisés lors de la discussion des programmes antivirus. Les virus, leur classification. Attitude envers les auteurs de virus.
dissertation, ajouté le 21/03/2011
Historique des virus informatiques. Classification des virus informatiques par habitat, méthode d'infection, capacités destructrices, caractéristiques de l'algorithme du virus. Signes d'un virus dans l'ordinateur. Méthodes de base de la protection antivirus.
présentation, ajouté le 13/08/2013
L'origine des virus informatiques. Modes de pénétration des virus dans l'ordinateur et mécanisme de distribution des programmes antivirus. Signes d'apparition de virus. Neutralisation des virus. Mesures de prévention. Classification des virus selon leurs capacités destructrices.
résumé, ajouté le 01.12.2006
Propriétés et classification des virus informatiques, utilisation de virus invisibles. Schémas de fonctionnement des virus de démarrage et de fichiers simples. Chevaux de Troie, signets logiciels et vers de réseau. Signes d'apparition de virus et méthodes de protection contre eux.
résumé, ajouté le 11/01/2012
Historique des virus informatiques. Le principe du virus et ses principales sources. Premiers signes d'infection informatique. Signes de la phase active du virus. Protection contre les virus informatiques. Responsabilité des délits informatiques - l'introduction de virus.
présentation, ajouté le 10/10/2011
L'histoire de la création des virus informatiques, leurs propriétés et leur classification. Modes de pénétration des virus informatiques dans l'ordinateur et moyens de protection contre eux. concept programme antivirus. Types de programmes spécialisés de protection. Aperçu des applications existantes.
dissertation, ajouté le 05/08/2013
