Kako rade računalni virusi. Računalni virusi. Principi rada, metode zaštite od računalnih virusa
10.7. RAČUNALNI VIRUSI
Korisnici osobnih računala najčešće se susreću s jednom od vrsta računalnog kriminala – računalnim virusima. Potonji su posebna vrsta zlonamjernog softvera koji uzrokuje mnogo problema korisnicima i osoblju za održavanje računala.
Računalni virus je program sposoban za samoumnožavanje i reprodukciju, koji se uvodi u druge programe.
Analogija između pojmova računalnih i bioloških virusa je očita. Međutim, nije svaki program koji se može replicirati računalni virus. Virusi uvijek nanose šteta- ometaju normalan rad računala, uništavaju strukturu datoteka i sl., stoga se svrstavaju u tzv. zlonamjerne programe.
Povijesni izgled računalni virusi povezan s idejom stvaranja mehanizama za samoreprodukciju, posebno programa, koji su nastali 50-ih godina. J. von Neumann je još 1951. godine predložio metodu za stvaranje takvih mehanizama, a njegova su razmatranja dalje razvijena u radovima drugih istraživača. Prvo su se pojavili programi igrice koji su koristili elemente buduće tehnologije virusa, a zatim su pojedinci na temelju prikupljenih znanstvenih i praktičnih rezultata počeli razvijati samoreproducirajuće programe kako bi naštetili korisnicima računala.
Tvorci virusa koncentrirali su svoje napore na području računala zbog njihove masovnosti i gotovo potpunog odsustva učinkovita sredstva zaštitu kako na razini hardvera tako i na razini OS-a. Među motivima koji pokreću autore virusa su sljedeći:
· želja da nekoga "smetamo";
· neprirodna potreba za činjenjem zločina;
· želja za samopotvrđivanjem, nestašluk i istodobno nerazumijevanje svih posljedica širenja virusa;
· nemogućnost korištenja znanja na konstruktivan način (ovo je više ekonomski problem);
· povjerenje u potpunu nekažnjivost (u nizu zemalja ne postoje norme pravne odgovornosti za stvaranje i širenje virusa).
Glavni kanali za ulazak virusa u Osobno računalo su uređaji za pohranu podataka na prijenosnim medijima i sredstva mrežne komunikacije, posebice mreže Internet.
Prvi slučajevi masovne zaraze računala virusima zabilježeni su 1987. godine, kada se pojavio takozvani pakistanski virus, čiji su autori braća Amjat i Bazit Alvi. Tako su odlučili kazniti Amerikance koji su kupovali jeftine ilegalne kopije softver u Pakistanu, koju su braća počela zaraziti razvijenim virusom. Virus je zarazio više od 18.000 računala u Sjedinjenim Američkim Državama i, nakon što je napravio put oko svijeta, završio u tadašnjem SSSR-u. Sljedeći široko poznati virus bio je virus Lehigh (Lehigh virus), koji se proširio na istoimenom američkom sveučilištu. U roku od nekoliko tjedana uništio je sadržaj nekoliko stotina disketa iz knjižnice sveučilišnog računalnog centra i osobnih disketa studenata. Do veljače 1989. oko 4000 računala bilo je zaraženo ovim virusom u Sjedinjenim Državama.
U budućnosti je broj virusa i broj računala zaraženih njima počeo rasti poput lavine, što je zahtijevalo poduzimanje hitnih mjera, kako tehničkih tako i organizacijskih i pravnih. Pojavili su se različiti antivirusni alati, zbog čega je situacija počela nalikovati utrci u naoružanju i načinima zaštite od njih. Određeni učinak postignut je donošenjem zakonskih akata o računalnim zločinima u nizu razvijenih zemalja, među kojima su bili i članci koji se odnose na stvaranje i širenje računalnih virusa.
Trenutno u svijetu postoji više od 20 tisuća virusa, uključujući sojeve, tj. različite vrste virusa iste vrste. Virusi ne poznaju granice, pa ih većina kruži i po Rusiji. Štoviše, postoji trend povećanja broja virusa koje su razvili domaći programeri. Ako se situacija ne promijeni, tada će Rusija u budućnosti moći preuzeti ulogu lidera u području stvaranja virusa.
Klasifikacija virusa
Životni ciklus računalnih virusa obično uključuje sljedeće faze:
1. razdoblje latencije tijekom kojeg virus ne poduzima nikakvu akciju;
2. razdoblje inkubacije tijekom kojeg se virus samo umnožava;
3. aktivno razdoblje tijekom kojeg se uz reprodukciju izvode neovlaštene radnje koje su ugrađene u algoritam virusa.
Prve dvije faze služe za skrivanje izvora virusa, kanala njegovog prodora i zaraze što većeg broja datoteka prije nego što se virus otkrije. Trajanje ovih faza može se odrediti vremenskim intervalom predviđenim u algoritmu, pojavom nekog događaja u sustavu, prisutnošću određene konfiguracije hardvera osobnog računala (osobito prisutnošću tvrdog diska) itd.
Računalo virusi se klasificiraju prema sljedećim značajkama :
· stanište;
· način onečišćenja okoliša;
· način aktivacije;
· način očitovanja (razorna djelovanja ili izazvani učinci);
· metoda maskiranja.
Virusi mogu zaraziti samo programe koji se pak mogu nalaziti ili u datotekama ili u nekim komponentama područja diskovnog sustava uključenog u proces pokretanja sustava operacijski sustav. Prema stanište razlikovati:
· virusi datotekakoji zaraze izvršne datoteke;
· boot virusi , koji inficiraju komponente područja sustava koje se koriste tijekom pokretanja OS-a;
· virusi za pokretanje datoteka , integrirajući značajke prve dvije skupine.
File virusi može zaraziti:
· programi stroja koji se mogu premjestiti neovisno o položaju koji se nalaze u COM datotekama;
· strojni programi koji se mogu premjestiti ovisno o položaju smješteni u EXE datoteke;
· upravljački programi uređaja (SYS i BIN datoteke);
· datoteke s DOS komponentama;
· objektni moduli (OBJ datoteke);
· datoteke s programima u programskim jezicima (na temelju kompilacije tih programa);
· paketne datoteke (BAT datoteke);
· objektne i simboličke biblioteke (LIB- i druge datoteke);
· preklapajuće datoteke (OVL-, PIF- i druge datoteke).
Datotečni virusi najčešće mogu zaraziti COM i/ili EXE datoteke.
Boot virusi može zaraziti:
· boot sektor na disketama;
· sektor za pokretanje sistemskog logičkog diska stvoren na tvrdom disku;
· izvansistemski bootloader na tvrdom disku.
Boot virusi se distribuiraju na disketama u nadi da će se pokušati dignuti s njih, što se ne događa često. Datotečni virusi imaju veću zaraznost.
File-boot virusi još su zarazniji jer se mogu širiti iu programskim datotekama i na podatkovnim disketama.
Metode onečišćenja staništa , ovise o vrsti potonjeg. Okolina zaražena virusom naziva se prijenosnik virusa. Tijekom implantacije, tijelo virusa datoteke može se locirati:
na kraju datoteke
na početku datoteke
· u sredini datoteke;
· u repnom (slobodnom) dijelu posljednjeg klastera koji zauzima datoteka.
Najlakši način implementacije uvođenja virusa na kraju COM datoteke . Nakon preuzimanja kontrole, virus odabire datoteku žrtve i modificira je na sljedeći način:
1. dodaje vlastitu kopiju (tijelo virusa) u datoteku;
2. čuva izvorni početak datoteke u ovoj kopiji;
3. zamjenjuje originalni početak datoteke naredbom za prijenos kontrole na tijelo virusa.
Prilikom pokretanja programa zaraženog opisanom metodom, inicijalno se pokreće izvršavanje tijela virusa, što rezultira:
1. vraća se originalni početak programa (ali ne u datoteku, već u memoriju!);
2. možda je još jedna žrtva pronađena i zaražena;
3. eventualno se provode radnje koje korisnik nije odobrio;
4. kontrola se prenosi na početak programa nositelja virusa, zbog čega se izvršava na uobičajeni način.
Virus se ugrađuje na početak COM datoteke na drugačiji način: stvara se nova datoteka, koja je spoj tijela virusa i sadržaja izvorne datoteke. Dva opisana načina unošenja virusa dovode do povećanja duljine izvorne datoteke.
Implantacija virusa u sredinu datoteke je najsloženija i najspecijaliziranija. Poteškoća leži u činjenici da u ovom slučaju virus mora "znati" strukturu datoteke žrtve (na primjer, COMMAND.COM) kako bi se mogao infiltrirati, posebno, u područje stoga. opisao metoda implantacije ne dovodi do povećanja duljine datoteke.
Manifestacija (destruktivno djelovanje) virusa može biti:
· utjecaj na performanse računala;
· oštećenje programskih datoteka;
· oštećenje podatkovne datoteke;
· formatiranje diska ili njegovog dijela;
· zamjena podataka na disku ili njegovom dijelu;
· izobličenje sistemskog ili nesistemskog učitavača diska;
· uništavanje povezivanja datoteka iskrivljavanjem FAT tablice;
· oštećenje podataka u CMOS memoriji.
Većina virusa prve skupine koji uzrokuju vizualne ili zvučne efekte neformalno se nazivaju "iluzionisti". Ostali virusi iz iste skupine mogu usporiti računalo ili ometati normalan rad korisnika, mijenjajući i blokirajući funkcije programa koji se izvršavaju, kao i operativni sustav. Virusi svih ostalih skupina često se nazivaju "vandalima" zbog štete koju uzrokuju, u pravilu, nepopravljive.
Prema načini maskiranja razlikovati:
· nemaskirni virusi;
· samokriptirajući virusi;
stealth virusi.
Autori prvih virusa posebnu su pozornost posvetili mehanizmima reprodukcije (replikacije) uvođenjem tijela u druge programe. Maskiranje iz antivirusnih alata nije provedeno. Takvi virusi nazivaju se non-maskable.
S pojavom antivirusnih alata, programeri virusa usmjerili su svoje napore na pružanje maskiranja svojih proizvoda. Prvo je implementirana ideja o samošifriranju virusa. Istovremeno, samo mali dio toga dostupan je za smisleno čitanje, a ostatak se dešifrira neposredno prije početka virusa. Ovakav pristup otežava i otkrivanje virusa i analizu njegovog tijela od strane stručnjaka.
Pojavili su se i stealth virusi, nazvani po velikom projektu stvaranja stealth letjelica. Metode kamuflaže koje koriste stealth virusi su složene i mogu se grubo podijeliti u dvije kategorije:
1. maskiranje prisutnosti virusa u programu koji nosi virus;
2. maskiranje prisutnosti rezidentnog virusa u RAM-u.
1. auto-modifikacija tijela virusa;
2. implementacija učinka brisanja tijela virusa iz nosača virusa kada se potonji čita s diska, posebno programom za ispravljanje pogrešaka (to se radi presretanjem prekida, naravno, ako postoji rezidentni virus u RAM-u);
3. implantacija tijela virusa u datoteku bez povećanja njezine veličine;
4. učinak nepromjenjivosti duljine zaražene datoteke (provodi se slično točki 2.);
5. zadržavajući izvorni početak programskih datoteka nepromijenjenim.
Na primjer, prilikom čitanja direktorija pomoću DOS-a, rezidentni virus može presresti odgovarajući prekid i umjetno smanjiti duljinu datoteke. Naravno, stvarna duljina datoteke se ne mijenja, ali korisnik dobiva informacije koje prikrivaju njezino povećanje. Radeći izravno s direktorijima (zaobilazeći DOS alate), možete dobiti istinite informacije o karakteristikama datoteke. Takve mogućnosti posebno pruža ljuska Norton Commander.
1. unos tipa virusa u posebnu zonu DOS rezidentnih modula, u repne dijelove klastera, u CMOS memoriju, video memoriju itd.;
2. izmjena popisa učitavača koji nisu sustavi, kao što je već spomenuto;
3. manipulacija rukovateljima prekida, posebno posebnim metodama njihove zamjene, kako bi se zaobišli rezidentni antivirusni alati;
4. podešavanje ukupne količine RAM-a.
Tijekom svakodnevnog rada korisnik je u mogućnosti otkriti virus po njegovim simptomima . Naravno, simptomi virusa izravno su određeni načinima manifestacije koji se u njemu ostvaruju, kao i drugim karakteristikama virusa. Sljedeći su simptomi virusa:
· povećanje broja datoteka na disku;
· smanjenje slobodnih RAM memorija;
· promijeniti vrijeme i datum stvaranja datoteke;
· povećanje veličine programske datoteke;
· pojava registriranih neispravnih klastera na disku;
· nenormalan rad programa;
· usporavanje programa;
· žaruljica pogona diska pali se u vrijeme kada se disku ne bi trebalo pristupati;
· primjetno povećanje vremena pristupa tvrdom disku;
· kvarovi u radu operativnog sustava, posebno njegovo zamrzavanje;
· nemogućnost pokretanja operativnog sustava
· uništavanje strukture datoteka (nestanak datoteka, izobličenje direktorija).
Uz računalne viruse, postoje i drugi opasni programi, na primjer, takozvani "crvi", formalno poznati kao replikatori. Njihova glavna značajka je mogućnost reprodukcije bez uvođenja u druge programe. Replikatori su stvoreni u svrhu širenja po čvorovima računalne mreže i mogu biti ispunjeni posebno virusima. U tom pogledu može se povući analogija između "crva" i kuglične bombe.
Primjer replikatora je program Christmas Tree, koji crta božićno drvce na ekranu i zatim šalje svoje kopije na sve registrirane e-mail adrese.
Klasifikacija antivirusnih sredstava.
Trenutno postoji veliki broj antivirusnih alata. Međutim, svi oni nemaju svojstva univerzalnosti: svaki je dizajniran za određene viruse ili blokira neke kanale zaraze računala ili širenja virusa. U tom smislu, primjena metoda umjetne inteligencije na problem stvaranja antivirusnih alata može se smatrati obećavajućim područjem istraživanja.
Antivirusni alat je softverski proizvod koji obavlja jednu ili više od sljedećih funkcija:
1. zaštita strukture datoteke od uništenja;
2. otkrivanje virusa;
neutralizacija virusa;
Filter virusa (stražar) naziva se rezidentni program koji omogućuje kontrolu nad izvođenjem akcija karakterističnih za viruse i za izvođenje radnji zahtijeva potvrdu korisnika. Kontrola se provodi zamjenom rukovatelja odgovarajućih prekida. Kontrolirane radnje mogu biti:
· ažuriranje programskih datoteka;
· izravno pisanje na disk (po fizičkoj adresi);
· formatiranje diska;
· rezidentni smještaj programa u RAM.
detektor je program koji traži viruse i na vanjskom mediju za pohranu iu RAM-u. Rezultat rada detektora je popis zaraženih datoteka i/ili područja, uz moguću naznaku specifičnih virusa koji su ih zarazili.
Detektori se dijele na univerzalne (revizore) i specijalizirane. Univerzalni detektori provjerite integritet datoteka izračunavanjem kontrolne sume i usporedbom sa standardom. Standard je ili naveden u dokumentaciji za programski proizvod ili se može odrediti na samom početku njegova rada.
Specijalizirani detektori konfiguriran za određene viruse, jedan ili više. Ako je detektor sposoban detektirati nekoliko različitih virusa, tada se zove polidetektor. Rad specijaliziranog detektora temelji se na traženju retka koda koji pripada određenom virusu, po mogućnosti specificiranom regularnim izrazom. Takav detektor nije u stanju otkriti sve moguće viruse.
Dezinfikator (liječnik, fag) je program koji uklanja virus sa i bez obnavljanja staništa. Brojni virusi izobličuju okolinu na takav način da se njezino izvorno stanje ne može vratiti.
Najpoznatiji polidetektori faga su programski paketi Antivirusni alat Pro Evgeny Kaspersky i DrWeb tvrtka Dialog.
Imunizator (cjepivo) odnosi se na program koji sprječava specifične viruse da zagade okoliš ili memoriju. Imunizatori rješavaju problem neutralizacije virusa ne uništavajući ga, već blokirajući njegovu sposobnost reprodukcije. Takvi se programi trenutno praktički ne koriste.
Metode zaštite od računalnih virusa
U zaštiti od računalnih virusa složenost poduzetih mjera, organizacijskih i tehničkih, važnija je nego ikada. Na čelu njegove "obrane" preporučljivo je staviti sredstva za zaštitu podataka od uništenja, iza njih - sredstva za detekciju virusa i, na kraju, sredstva za neutralizaciju virusa.
Sredstva za zaštitu podataka od mogućeg gubitka i uništenja moraju se koristiti uvijek i redovito . Osim toga, trebate se pridržavati sljedećih organizacijskih preporuka kako biste se riješili virusne infekcije:
· koristite diskete kad god je to moguće sa zapečaćenim utorom za zaštitu od pisanja,
· nemojte koristiti nepoznate diskete osim ako to nije prijeko potrebno;
· nemojte davati svoje diskete drugim osobama;
· nemojte pokretati programe čija svrha nije jasna; koristiti samo licencirane softverske proizvode;
· ograničiti pristup računalu neovlaštenim osobama.
Ako trebate koristiti softverski proizvod dobiven iz nepoznatog izvora, preporučuje se:
· testirati programski proizvod specijaliziranim detektorima na prisutnost poznatih virusa. Nije poželjno postavljati detektore na tvrdi disk - za to morate koristiti disketu zaštićenu od pisanja.
· napravite sigurnosnu kopiju datoteka novog softverskog proizvoda;
· napravite sigurnosnu kopiju onih svojih datoteka čija je prisutnost potrebna za rad novog softvera;
· organizirati probni rad novog softverskog proizvoda u pozadini filtra virusa s namjernim odgovorima na njegove poruke.
Zaštita od računalnih virusa trebala bi postati dio skupa mjera zaštite informacija kako u pojedinačnim računalima tako iu automatiziranim informacijskim sustavima u cjelini.
Bezrukov N.N. Računalni virusi. - M.: Nauka, 1991. - 160 str.
[VIRUSI.
Nemoguće je riješiti problem teorijske detekcije virusa, stoga se u praksi moraju rješavati konkretni problemi koji se tiču pojedinih slučajeva malwarea. Ovisno o svojstvima virusa, oni se mogu otkriti i neutralizirati korištenjem razne metode. Treba napomenuti da se u praksi klasifikacije koje su usvojili različiti proizvođači antivirusnih proizvoda razlikuju, iako su izgrađene na sličnim načelima. Stoga će se tijekom izlaganja prije svega formulirati načela, a tek potom primjeri iz klasifikacije.
Praktična definicija virusa Definicija računalnog virusa je povijesno problematično pitanje, jer je prilično teško dati jasnu definiciju virusa, a pritom navesti svojstva koja su svojstvena samo virusima i ne odnose se na druge softverske sustave. Naprotiv, dajući strogu definiciju virusa kao programa koji ima određena svojstva, gotovo odmah možete pronaći primjer virusa koji nema takva svojstva. Dat ću nekoliko definicija definicije: Definicija 1: OBAVEZNO (NEOPHODNO) SVOJSTVO RAČUNALNOG VIRUSA je mogućnost stvaranja vlastitih duplikata (ne nužno identičnih originalu) i njihovo ubacivanje u računalne mreže i/ili datoteke, područja računalnog sustava i druge izvršne objekte. Istovremeno, duplikati zadržavaju mogućnost daljnje distribucije. Definicija prema GOST R 51188-98:
Definicija 2: Virus je program sposoban stvarati svoje kopije (ne nužno identične originalu) i ubacivati ih u datoteke, sistemske dijelove računala, računalne mreže, kao i obavljati druge destruktivne radnje. Istodobno, kopije zadržavaju mogućnost daljnje distribucije. Računalni virus klasificira se kao zlonamjerni softver. Lako je vidjeti da definicija u GOST-u gotovo u potpunosti ponavlja definiciju E. Kasperskog.
Definicije 1 i 2 u velikoj mjeri ponavljaju definiciju F. Cohena ili doradu koju su predložili D. Chess i S. White, što nam omogućuje da na njih (definicije) proširimo zaključak da je nemoguće stvoriti algoritam koji detektira svi takvi programi ili čak sve "inkarnacije" jednog od virusa. Međutim, u praksi se pokazalo da sve poznate viruse mogu otkriti antivirusni programi. Rezultat je postignut posebno i zbog činjenice da se oštećene ili neuspješne kopije virusa, koje ne mogu stvoriti i implementirati svoje kopije, otkrivaju i klasificiraju na ravnopravnoj osnovi sa svim drugim "punim" virusima. Dakle, s praktičnog gledišta, odnosno sa stajališta algoritama pretraživanja, sposobnost reprodukcije uopće nije nužna za klasificiranje programa kao virusa Drugi problem vezan uz definiciju računalnog virusa leži u činjenici da da se danas pod virusom najčešće ne podrazumijeva "tradicionalni" virus, već gotovo svaki maliciozni program. To dovodi do zabune u terminologiji, dodatno kompliciranoj činjenicom da gotovo svi moderni antivirusi mogu detektirati ove vrste malicioznih programa, pa povezanost malware-virus postaje sve stabilnija.Na temelju toga, kao i svrha antivirusa alate, U nastavku, ako nije posebno navedeno, pod virusima se podrazumijevaju malware. Definicija 3: Zlonamjerni program - računalni program ili prijenosni kod dizajniran za implementaciju prijetnji informacijama pohranjenim u CS-u, ili za skrivenu zlouporabu resursa CS-a, ili drugi utjecaj koji ometa normalno funkcioniranje CS-a. Zlonamjerni softver uključuje računalne viruse, trojance, crve i druge. Računalni virusi, trojanci i crvi glavne su vrste zlonamjernog softvera.
Virusi
Gore su navedene klasične definicije računalnog virusa.
Životni ciklus Jer razlikovna značajka virusi u tradicionalnom smislu je sposobnost reprodukcije unutar jednog računala, podjela virusa na vrste događa se u skladu s metodama reprodukcije.Sam proces reprodukcije može se uvjetno podijeliti u nekoliko faza: 1. Prodor u računalo 2. Virus aktiviranje Traženje objekata za infekciju4. Priprema virusnih kopija5. Uvođenje virusnih kopijaZnačajke implementacije svake faze generiraju atribute, čiji skup zapravo određuje klasu virusa.
ProdiranjeVirusi prodiru u računalo zajedno sa zaraženim datotekama ili drugim objektima (sektori za pokretanje diskete) i, za razliku od crva, ni na koji način ne utječu na proces prodiranja. Dakle, mogućnosti prodiranja u potpunosti su određene mogućnostima infekcije i razvrstavaju viruse prema tim stadijima. životni ciklus nema zasebnog značenja.
AktivacijaZa aktiviranje virusa potrebno je kontrolirati zaraženi objekt. U ovoj fazi dolazi do podjele virusa prema vrstama objekata koji se mogu zaraziti:
1. Boot virusi - virusi koji inficiraju boot sektore trajnog i prijenosnog medija. 2.File virusi - virusi koji inficiraju datoteke. Ova grupa je dodatno podijeljena u tri, ovisno o okolini u kojoj se kod izvršava: · Datotečni virusi - oni koji izravno rade s resursima operativnog sustava Email-Worm.Win32.Bagle može se istaknuti među najnovijim zlonamjernim virusima. programi koji imaju antivirusnu funkcionalnost.p (kao i njegove modifikacije .q i .r). · Makrovirusi - virusi napisani u makro jeziku i pokrenuti u okruženju bilo koje aplikacije. U velikoj većini slučajeva govorimo o makroima u Microsoft Office dokumentima.
Makro virusi mogu zaraziti ne samo Microsoft Word i Excel dokumente. Postoje i maliciozni programi koji ciljaju na druge vrste dokumenata: Macro.Visio.Radiant inficira datoteke poznatog programa za izradu dijagrama -Visio, Virus.Acad.Pobresito - AutoCAD dokumente, Macro.AmiPro.Green - dokumente prethodno popularne riječi procesor Ami Pro.
· Skriptni virusi - virusi koji se izvršavaju u okruženju određene naredbene ljuske: ranije - bat datoteke u DOS naredbenoj ljusci, sada češće VBS i JS - skripte u naredbenoj ljusci Windows Scripting Host (WSH). Zasebno, vrijedi napomenuti činjenica da virusi, dizajnirani za rad u okruženju određenog OS-a ili aplikacije, nisu operativni u okruženju drugog OS-a i aplikacija. Stoga je okolina u kojoj se može pokrenuti izdvojena kao zaseban atribut virusa. Za viruse datoteka to su DOS, Windows, Linux, MacOS, OS/2. Za makro viruse - Word, Excel, PowerPoint, Office. Ponekad je virusu za ispravan rad potrebna određena verzija OS-a ili aplikacije, tada se atribut specificira uže: Win9x, Excel97. Potraga za žrtvama U fazi potrage za objektima za zarazu virusi se ponašaju na dva načina.i potraga za žrtvama kontinuirano, sve do kraja okruženja u kojem radi.Virusi druge vrste u danima jednostrukog zadatka. DOS su se obično nazivali rezidentnim. Prelaskom na Windows, problem zadržavanja u memoriji je prestao biti relevantan: gotovo svi virusi koji se izvršavaju u Windows okruženju, kao iu MS Office aplikacijskom okruženju, su virusi drugog tipa. Nasuprot tome, skript virusi su prve vrste. Sukladno tome, rezidentni atribut primjenjuje se samo na viruse DOS datoteka. Postojanje nerezidenta Windows virus moguće, ali u praksi su rijetka iznimka.Odvojeno, ima smisla razmotriti takozvane stealth viruse - viruse koji, dok su stalno u memoriji, presreću pristup zaraženoj datoteci i uklanjaju virusni kod iz nje u hodu, prijenos nepromijenjene verzije datoteke kao odgovor na zahtjev. Dakle, ti virusi maskiraju svoju prisutnost u sustavu. Kako bi ih otkrili, antivirusni alati trebaju mogućnost izravnog pristupa disku, zaobilazeći alate operativnog sustava. Stealth virusi bili su najrašireniji u eri DOS-a. Priprema virusnih kopija Definicija 4: Potpis virusa - u širem smislu, informacija koja vam omogućuje nedvosmisleno određivanje prisutnosti određenog virusa u datoteci ili drugom kodu. Primjeri potpisa su: jedinstveni niz bajtova prisutan u ovom virusu i ne može se naći u drugim programima; kontrolni zbroj takvog niza. Proces pripreme primjeraka za distribuciju može se značajno razlikovati od jednostavnog kopiranja. Autori tehnološki najsloženijih virusa pokušavaju napraviti različite kopije što je moguće više međusobno nesličnima kako bi zakomplicirali njihovu detekciju antivirusnim alatima. Kao rezultat toga, sastavljanje potpisa za takav virus je izuzetno teško ili čak nemoguće. Provedba
Uvođenje virusnih kopija može se izvesti na dvije bitno različite metode:
· Ubrizgavanje koda virusa izravno u zaraženi objekt · Zamjena objekta kopijom virusa. Objekt koji se zamjenjuje obično se preimenuje
Za viruse je dominantno karakteristična prva metoda. Drugu metodu puno češće koriste crvi i trojanci, točnije trojanske komponente crva, jer se trojanci ne šire sami.
Šteta od zlonamjernog softveraCrvi i virusi mogu izvoditi sve iste radnje kao trojanci. Na razini implementacije, to mogu biti i zasebne trojanske komponente i ugrađene funkcije. Osim toga, zbog masovnosti, viruse i crve karakteriziraju i drugi oblici zlonamjernog djelovanja:
· Preopterećenost komunikacijskih kanala- vrsta oštećenja svojstvena crvima, povezana s činjenicom da se tijekom velikih epidemija preko internetskih kanala prenosi ogroman broj zahtjeva, zaraženih pisama ili izravnih kopija crva. U nekim slučajevima korištenje internetskih usluga tijekom epidemije postaje otežano. Primjeri: Net-Worm.Win32.Slammer DDoS napadi- zbog svoje masovne prirode, crvi se mogu učinkovito koristiti za provedbu distribuiranih napada uskraćivanjem usluge (DDoS napadi). Na vrhuncu epidemije, kada su zaraženi milijuni, pa čak i deseci milijuna računala, svi zaraženi sustavi koji pristupaju određenom internetskom resursu dovodi do potpunog blokiranja tog resursa. Tako je tijekom napada crva MyDoom web stranica SCO-a bila nedostupna mjesec dana.· Gubitak podataka- tipičnije za viruse nego za trojance i crve, ponašanje povezano s namjernim uništavanjem određenih podataka na računalu korisnika. Primjeri: Virus.Win9x.CIH - brisanje startnih sektora diska i sadržaja Flash BIOS-a, Macro.Word97.Dakle - brisanje svih datoteka na disku C:, Email-Worm.Win32.Mydoom.e - brisanje datoteka s određenim ekstenzijama ovisno o indikatoru brojač slučajnih brojeva Poremećaj softvera- također osobina karakterističnija za viruse. Zbog pogrešaka u kodu virusa, zaražene aplikacije mogu raditi s pogreškama ili uopće ne raditi. Primjeri: Net-Worm.Win32.Sasser.a - ponovno pokretanje zaraženog računala · - intenzivno korištenje resursa računala od strane zlonamjernih programa dovodi do smanjenja performansi kako sustava u cjelini, tako i pojedinačnih aplikacija. Primjeri: u različitim stupnjevima - bilo koji zlonamjerni softverPrisutnost destruktivnih radnji nipošto nije obvezan kriterij za klasificiranje programskog koda kao virusa. Također treba napomenuti da virus može uzrokovati ogromnu štetu samim procesom samoreplikacije. Najviše vrhunski primjer- Net-Worm.Win32.Slammer.
Prijetnje informacijskoj sigurnosti Razmotrite prijetnje informacijskoj sigurnosti sa stajališta virusa. S obzirom na to da ukupan broj virusa danas premašuje 100.000, dugotrajno je i beskorisno analizirati prijetnje svakog od njih, budući da se broj virusa svakodnevno povećava, što znači da se dobivena lista mora svakodnevno mijenjati . Pretpostavit ćemo da je virus sposoban realizirati bilo koju od prijetnji informacijskoj sigurnosti. Postoji mnogo načina za klasificiranje prijetnji informacijskoj sigurnosti koje se obrađuju u automatiziranom sustavu. Najčešće korištena klasifikacija prijetnji temelji se na rezultatu njihovog utjecaja na informacije, odnosno narušavanju povjerljivosti, cjelovitosti i dostupnosti, a za svaku prijetnju postoji nekoliko načina kako ju virusi mogu realizirati. Prijetnja privatnosti· Krađa informacija i njihova distribucija korištenjem uobičajenih sredstava komunikacije ili skrivenih kanala prijenosa: Email-Worm.Win32.Sircam - uz kopije virusa šalje proizvoljne dokumente pronađene na zaraženom računalu
Svaka aktivnost koja za posljedicu ima nemogućnost pristupa informacijama; razni zvučni i vizualni efekti: Email-Worm.Win32.Bagle.p - blokiranje pristupa web stranicama antivirusnih tvrtki Onesposobljavanje računala uništavanjem ili oštećenjem kritičnih komponenti (uništavanje Flash BIOS-a): Virus.Win9x.CIH - kvarenje Flasha BIOS se pobrinite da za svaki od gore navedenih načina implementacije prijetnji možete dati konkretan primjer virusa koji implementira jednu ili više metoda istovremeno. Zaključak Zlonamjerni programi razlikuju se po uvjetima postojanja, tehnologijama koje se koriste u različitim fazama životnog ciklusa i stvarnom zlonamjernom utjecaju - svi ti čimbenici temelj su klasifikacije. Kao rezultat toga, prema glavnom (s povijesnog gledišta) svojstvu - reprodukciji, zloćudni programi se dijele u tri vrste: virusi, crvi i trojanci.pristupačnost. S tim u vezi, prilikom projektiranja složenih sustava antivirusne zaštite, pa čak iu općenitijem slučaju - složenih sustava zaštite informacija, potrebno je provesti gradaciju i klasificirati mrežne objekte prema važnosti informacija koje se na njima obrađuju i vjerojatnosti infekcije ovih čvorova virusima.
1 Računalni virusi
1.2 Kako virusi rade
3 Mjere zaštite od virusa. Osnovni antivirusni programi
Uvod
Da bi se pojednostavili matematički izračuni, osoba je izumila računalo kako bi riješila određene probleme izračunavanja i pohranjivanja informacija o tim izračunima, osmislivši "niz uputa koje određuju postupak rješavanja određenog problema pomoću računala" - programe. Programi olakšavaju računalstvo. Izračun i programi za računalstvo predstavljaju određenu vrijednost koju napadači trebaju za vlastitu korist. Kako bi ukrali potrebne podatke, napadači su osmislili zlonamjerne programe - viruse.
Računalni virus– vrsta zlonamjernog softvera sposobna stvarati svoje kopije i infiltrirati se u kod drugih programa, područja memorije sustava, boot sektore, kao i distribuirati svoje kopije različitim komunikacijskim kanalima, u svrhu ometanja rada softverskih i hardverskih sustava, izbrisati datoteke, dovesti do neprikladnosti struktura smještaja podataka, blokirati rad korisnika ili učiniti računalni hardverski sustav neupotrebljivim.
1 Računalni virus
1.1 Pripovijetka stvaranje virusa
“Temelje teorije o samoreproduktivnim mehanizmima postavio je John von Neumann, Amerikanac mađarskog podrijetla, koji je 1951. predložio metodu za stvaranje takvih mehanizama. Radni primjeri takvih programa poznati su od 1961.
Prvi poznati virusi su Virus 1,2,3 i Elk Cloner za Apple II PC koji se pojavio 1981. godine. U zimu 1984. pojavili su se prvi antivirusni programi - CHK4BOMB i BOMBSQAD Andyja Hopkinsa. Početkom 1985. Gee Wong je napisao program DPROTECT, prvi rezidentni antivirus.
Prve virusne epidemije datiraju iz 1986.-1989.: Brain.A (distribuiran u boot sektorima disketa, izazvao najveću epidemiju), Jerusalem (pojavio se u petak 13. svibnja 1988., uništavajući programe pri pokretanju), Morris crv (preko 6200 računala, većina mreža nije radila do pet dana), DATACRIME (oko 100 000 zaraženih računala samo u Nizozemskoj).
Istovremeno su se oblikovale glavne klase binarnih virusa: mrežni crvi (Morrisov crv, 1987.), trojanski konji (AIDS, 1989.), polimorfni virusi (Chameleon, 1990.), stealth virusi (Frodo, Whale, 2. polovica 1990.). ).
Paralelno se oblikuju organizirani pokreti pro- i antivirusne orijentacije: 1990. pojavila se specijalizirana BBS Virus Exchange, Little Black Book of Computer Viruss Marka Ludwiga i prvi komercijalni Symantec Norton AntiVirus.
Godine 1992. pojavio se prvi konstruktor virusa za PC, VCL (konstruktori su postojali i prije za Amigu), kao i gotovi polimorfni moduli (MtE, DAME i TPE) i moduli za šifriranje za ugradnju u nove viruse.
Tijekom sljedećih nekoliko godina konačno su usavršene stealth i polimorfne tehnologije (SMEG.Pathogen, SMEG.Queeg, OneHalf, 1994; NightFall, Nostradamus, Nutcracker, 1995), kao i najneobičniji načini prodiranja u sustav i inficiranja datoteka ( Dir II - 1991, PMBS, Shadowgard, Cruncher - 1993). Osim toga, pojavili su se virusi koji inficiraju objektne datoteke (Shifter, 1994.) i izvorni kod programa (SrcVir, 1994.). Širenjem paketa Microsoft Office, makro virusi su proliferirali (Koncept, 1995).
Godine 1996. pojavio se prvi virus za Windows 95 - Win95.Boza, au prosincu iste godine - prvi rezidentni virus za njega - Win95.Punch.
Širenjem mreža i interneta datotečni virusi sve su više orijentirani na njih kao glavni kanal rada (ShareFun, 1997. - MS Word makro virus koji za distribuciju koristi MS-Mail; Win32.HLLP.DeTroie, 1998. - obitelj špijunski virusi; Melissa, 1999. - makro virus i mrežni crv koji je oborio sve rekorde u brzini širenja). Vrhunac "trojanskih konja" započeo je skriveni pomoćni program za udaljenu administraciju BackOrifice (1998.) i analozi koji su ga pratili (NetBus, Phase).
Virus Win95.CIH kulminirao je neobičnim metodama prebrisavanjem FlashBIOS-a zaraženih strojeva (epidemija iz lipnja 1998. smatra se najrazornijom u prethodnim godinama).
Kasnih 1990-ih i ranih 2000-ih, s povećanjem složenosti softvera i okruženja sustava, masovnim prijelazom na relativno sigurne Windows NT obitelji, konsolidacijom mreža kao glavnog kanala za razmjenu podataka i uspjehom antivirusnih tehnologija u otkrivanju izgrađenih virusa na složenim algoritmima, najnoviji su počeli sve više zamjenjivati ubrizgavanje u datoteke ubrizgavanjem u operativni sustav (neobični autorun, rootkitovi) i zamjenjivati polimorfizam ogromnim brojem vrsta (broj poznatih virusa eksponencijalno raste).
U isto vrijeme, otkriće brojnih ranjivosti u sustavu Windows i drugom uobičajenom softveru otvorilo je put crvima za iskorištavanje. Godine 2004. epidemije neviđenih razmjera uzrokuju MsBlast (prema Microsoftu - više od 16 milijuna sustava]), Sasser i Mydoom (procijenjena šteta od 500 milijuna odnosno 4 milijarde dolara).
Osim toga, monolitni virusi u velikoj mjeri ustupaju mjesto paketima zlonamjernog softvera i pomoćnim programima odvojenim ulogama (trojanci, programi za preuzimanje/droperi, stranice za krađu identiteta, spamboti i pauci). Društvene tehnologije - neželjena pošta i krađa identiteta - također cvjetaju kao sredstva zaraze zaobilazeći mehanizme zaštite softvera.
U početku na temelju trojanaca, a razvojem p2p mrežnih tehnologija – i samostalno – najviše moderan izgled virusi - botnet crvi (Rustock, 2006., oko 150 tisuća botova; Conficker, 2008.-2009., više od 7 milijuna botova; Kraken, 2009., oko 500 tisuća botova). Virusi su, između ostalog zlonamjernog softvera, konačno formalizirani kao sredstvo kibernetičkog kriminala.
1.2 Kako virusi rade
Ne postoje posebne sheme za principe djelovanja virusa, jer postoji mnogo različitih skupina virusa, a svaka skupina ima svoje mehanizme rada. U prosjeku, virus u svom razvoju prolazi kroz tri faze: 1) infekcija - 2) razmnožavanje - 3) napad.
“1) Infekcija. Već smo ukratko razmotrili stadij infekcije. Infekcija se događa kada se pokrene zaraženi program ili kada se pristupi mediju koji ima zloćudni kod u području sustava. Tipično, kod virusa prvo ulazi u RAM računala koje radi, odakle se kopira na uređaje za pohranu.
2) Razmnožavanje. Razmnožavanje virusa događa se kao niz uzastopnih infekcija. Ako se na računalu formira zaražena izvršna datoteka, kada se pokrene, kod virusa se premješta u RAM (virus postaje rezidentni program), odakle se druge datoteke zaraze kada se pokrenu. Prije svega, pogođene su datoteke samog operativnog sustava. Što češće mehanizam radi, to je više datoteka pogođeno.
Ako ne govorimo o datotečnom virusu, već o virusu za pokretanje, tada se nakon učitavanja operativnog sustava kod virusa seli iz uslužnih sektora medija u RAM, a zatim se odatle kopira u uslužne sektore drugih medija (na primjer, diskete), koji su snimljeni na ovom računalu.
3) Napad. Virusni napad je posljednja faza razvoja virusa. Tijekom napada virus izvodi više ili manje destruktivne radnje i pritom se svakako manifestira. Kad bi svaki virus odmah nakon ulaska u računalo krenuo u trenutni napad, virusa dugo ne bi bilo - bili bi eliminirani. To je prirodno, jer kada destruktivni virusi unište sve što je na računalu, oni sami umiru. A ako virus nije destruktivan, već jednostavno štetan, tada se tijekom napada demaskira, pada pod vatru zaštitne opreme i umire. Stoga većina virusa treba pasivnu fazu reprodukcije. Sve dok virus ne napravi dovoljan broj vlastitih kopija, besmisleno je pokretati njegov mehanizam za okidanje. Mehanizam virusnog napada može se pokrenuti brojačem kada je stvoren određeni broj kopija, satom sustava na određeni datum, naredbama iz daljinskog kontrolnog centra ako je računalo na mreži, kada se pokrenu određene datoteke ili otvaraju se određeni dokumenti itd.”
1) Putem fizičkih medija:
Diskete i flash diskovi zaraze računalo virusima koji propisuju svoje staze i prijelaze u autorun datoteci ovog medija autorun.inf, propisujući njihov smjer za otvaranje zlonamjernih datoteka
2) E-mail (E-mail)
E-poruke poslane na E-poštu sadrže zlonamjerne datoteke (na primjer, medijske datoteke) i poveznice na web stranice. Linkovi ne smiju nositi nikakvu štetu (virusni kod), oni služe kao ponovni pošiljatelji stranicama s virusnim kodom.
3) Web stranice
“Zaraza preko internetskih stranica moguća je i zbog prisutnosti raznih “aktivnih” sadržaja na stranicama World Wide Weba: skripti, ActiveX komponenti. U ovom slučaju koriste se ranjivosti u softveru instaliranom na računalu korisnika ili ranjivosti u softveru vlasnika stranice (što je opasnije jer su respektabilne stranice s velikim protokom posjetitelja izložene infekciji), a nesuđeni korisnici imaju pristupili takvoj stranici, riskiraju zarazu svog računala."
4) Implementacija preko mreže
Zlonamjerni programi mogu se širiti internetom ili intranetom tvrtke (lokalna mreža).
Kroz mrežne ranjivosti, kao što su pogreške u programiranju, nedostaci u dizajnu sustava, slabe lozinke i niz drugih razloga, mrežni crv (vrsta zlonamjernog programa koji se samostalno širi lokalnim i globalnim računalnim mrežama) ulazi u operativni sustav računala, a zatim crvi djeluju kako bi zarazili druga računala na mreži, obično za spam ili DDoS napade. DDoS napad provode hakeri na računalni sustav kako bi ga doveli do kvara, odnosno stvaranja takvih uvjeta u kojima legalni korisnici sustava ne mogu dobiti pristup dostavljenim resursima sustava (poslužiteljima), odnosno taj pristup je teško, a spam služi za distribuciju komercijalnog oglašavanja bez pristanka korisnika.
5) OS upravljački programi
Zlonamjerni programi također se mogu širiti preko upravljačkih programa OS-a, iako se ovaj kanal distribucije virusa rijetko koristi.
Virus može zaraziti programsku datoteku upravljačkog programa operativnog sustava (na primjer, upravljački program diska) i izvoditi sistemske operacije pod njegovom kontrolom.
Valja napomenuti da u okruženju OS Microsoft Windows NT/2000/XP/2003, za takvu injekciju, programski kod zlonamjernog programa mora biti pokrenut s administratorskim ovlastima.
Zlonamjerni program također može funkcionirati kao servis u sustavu Microsoft Windows NT/2000/XP/2003.
Virus ili drugi zloćudni program može zaraziti upravljački program operativnog sustava Linux/FreeBSD i druge operativne sustave slične Unixu ako se kod virusa pokreće s administratorskim (root) ovlastima.
1.4 Simptomi virusne infekcije
· „automatsko otvaranje prozora s nepoznatim sadržajem prilikom pokretanja računala;
blokiranje pristupa službenim web stranicama antivirusnih tvrtki, ili web stranicama koje pružaju usluge "liječenja" računala od zlonamjernog softvera;
pojavljivanje novih nepoznatih procesa u izlazu upravitelja zadataka (na primjer, prozor "Procesi" upravitelja zadataka Windows);
pojavljivanje u ograncima registra odgovornim za autorun, novi unosi;
zabrana promjene postavki računala u administratorskom računu;
Nemogućnost pokretanja izvršne datoteke (prikazuje se poruka o pogrešci);
pojavljivanje skočnih prozora ili sistemskih poruka s neobičnim tekstom, uključujući one koje sadrže nepoznate web adrese i imena;
ponovno pokretanje računala tijekom pokretanja bilo kojeg programa;
· slučajno i/ili nepravilno isključivanje računala;
Slučajni pad programa.
Međutim, treba uzeti u obzir da unatoč nepostojanju simptoma računalo može biti zaraženo zlonamjernim softverom.
2 Klasifikacija računalnih virusa
Jedinstvena klasifikacija virusa za ovaj trenutak ne postoji, ali u prosjeku, na temelju dolje navedenih značajki, može se napraviti sljedeća klasifikacija:
Po staništu
Prema načinu zaraze staništa
Destruktivnim djelovanjem
Prema specifičnostima algoritma virusa
Klasifikacija staništa
Boot virusi prodrijeti u sektore za pokretanje uređaja za pohranu podataka (tvrdi diskovi, diskete, prijenosni uređaji za pohranu). Kada se operativni sustav pokrene sa zaraženog diska, virus se aktivira. Njegove radnje mogu se sastojati u ometanju rada učitavača operativnog sustava, što onemogućuje rad, ili mijenjanju tablice datoteka, što ga čini nedostupnim.
određene datoteke.
File virusi najčešće su ugrađeni u izvršne module programa (datoteke s kojima se pokreće određeni program), što im omogućuje da se aktiviraju u trenutku pokretanja programa, što utječe na njegovu funkcionalnost. Rjeđe se virusi datoteka mogu infiltrirati u biblioteke operativnog sustava ili aplikacijskog softvera, izvršne skupne datoteke, datoteke registra sustava Windows, datoteke skripti i datoteke upravljačkih programa. Injekcija se može izvršiti promjenom koda napadnute datoteke ili stvaranjem njezine modificirane kopije. Dakle, virus, koji se nalazi u datoteci, aktivira se prilikom pristupa ovoj datoteci, koju pokreće korisnik ili sam OS. Datotečni virusi najčešća su vrsta računalnih virusa.
File-boot virusi osiromašiti mogućnosti prethodne dvije skupine, što im omogućuje da predstavljaju ozbiljnu prijetnju računalu.
Mrežni virusi distribuira putem mrežnih usluga i protokola. Kao što je distribucija pošte, pristup datotekama putem FTP-a, pristup datotekama putem LAN usluga. Ono što ih čini vrlo opasnima, jer infekcija ne ostaje unutar jednog računala ili čak jedne lokalne mreže, već se počinje širiti različitim komunikacijskim kanalima.
Makrovirusi zaraziti datoteke modernih uredskih sustava (Microsoft Office, Open Office…) kroz mogućnost korištenja makronaredbi u tim sustavima. Makronaredba je specifičan, unaprijed definiran skup radnji, firmware, ugrađen u dokument i pozvan izravno iz njega za izmjenu ovog dokumenta ili drugih funkcija. Makro je ono što je cilj makro virusa.
Klasifikacija prema načinu zaraze staništa
Prema načinu infekcije staništa virusi se dijele na dvije vrste: rezidentne i nerezidentne.
Rezidentni virus prilikom zaraze računala ostavlja svoj rezidentni dio u RAM-u, koji tada presreće pozive operativnog sustava prema zaraženim objektima i ubacuje se u njih. Rezidentni virusi nalaze se u memoriji i ostaju aktivni dok se računalo ne isključi ili ponovno pokrene.
Za razliku od rezidenta Nerezident virusi dospijevaju u RAM računala samo za vrijeme svoje aktivnosti, tijekom koje obavljaju destruktivnu funkciju i funkciju infekcije. Tada virusi potpuno napuštaju RAM, ostajući u staništu. Ako virus smjesti program u RAM koji ne zarazi njegovo okruženje, tada se takav virus smatra nerezidentnim.
Klasifikacija prema razornom utjecaju
Po stupanj opasnosti za informacijske resurse Računalne viruse korisnika možemo podijeliti na: bezopasne viruse, opasne viruse, vrlo opasne viruse.
Bezopasno računalni virusi obično služe kao hakeri kako bi pokazali svoju sposobnost programiranja inficirajući korisnikovo računalo raznim medijskim datotekama (prema statistici).
Ova vrsta virusa naziva se bezopasnim, oni i dalje uzrokuju štetu, koristeći računalne resurse, usporavajući njegov rad.
opasno virusi nazivaju se takvi virusi, čija je svrha smanjiti računalne radnje računala i zauzeti komunikacijske kanale, te radnje ne narušavaju cjelovitost i povjerljivost informacija pohranjenih u uređajima za pohranu. Problemi povezani s virusima su potreba za ponovnim pokretanjem programa, ponovnim pokretanjem operativnog sustava ili ponovnim prijenosom podataka putem komunikacijskih kanala.
"vrlo opasno Treba smatrati viruse koji uzrokuju kršenje povjerljivosti, uništavanje, nepovratnu izmjenu (uključujući enkripciju) informacija, kao i viruse koji blokiraju pristup informacijama, dovode do kvara hardvera i štete zdravlju korisnika. Takvi virusi brišu pojedinačne datoteke, područja memorije sustava, formatiraju diskove, stječu neovlašteni pristup informacijama, šifriraju podatke, itd.”
Zanimljiva činjenica:
“Postoje publikacije koje spominju viruse koji uzrokuju kvarove na hardveru. Pretpostavlja se da se na rezonantnoj frekvenciji mogu uništiti pokretni dijelovi elektromehaničkih uređaja, na primjer, u sustavu pozicioniranja pogona magnetskog diska. Upravo se ovaj način rada može stvoriti pomoću virusnog programa. Drugi autori tvrde da je moguće postaviti načine intenzivnog korištenja pojedinih elektroničkih sklopova (na primjer, velikih integriranih sklopova), u kojima se oni pregrijavaju i kvare.
Upotreba trajne memorije koja se može prepisivati u modernim osobnim računalima dovela je do pojave virusa koji modificiraju BIOS programe, što dovodi do potrebe za zamjenom trajnih uređaja za pohranu.
Također je moguće utjecati na psihu osobe - računalnog operatera odabirom video slike koja se prikazuje na ekranu monitora s određenom frekvencijom (svaki dvadeset peti okvir). Ugrađene okvire ovih videoinformacija osoba percipira na podsvjesnoj razini. Kao posljedica takve izloženosti moguća su ozbiljna oštećenja ljudske psihe. Godine 1997. 700 Japanaca hospitalizirano je sa simptomima epilepsije nakon što su gledali računalni crtić na televiziji. Vjeruje se da je na taj način ispitana mogućnost utjecaja na osobu ugradnjom 25. kadra.
Klasifikacija prema specifičnostima algoritma virusa
Satelitski virusi su virusi koji ne mijenjati datoteke. Njihov mehanizam djelovanja je stvaranje kopija izvršnih datoteka. Na primjer, u MS-DOS-u takvi virusi stvaraju kopije datoteka koje imaju ekstenziju .EXE. Kopija dobiva isti naziv kao i izvršna datoteka, ali se ekstenzija mijenja u .COM. Kada pokrenete datoteku s uobičajenim nazivom, operativni sustav prvo učitava datoteku s ekstenzijom .COM, koja je virusni program, za izvršenje. Virusna datoteka zatim pokreće datoteku s nastavkom .EXE.
Virusi replikatori (crv)- virusi, čija je glavna zadaća što brže razmnožavanje na svim mogućim mjestima pohrane podataka i komunikacije. Često sami ne poduzimaju nikakve destruktivne akcije, već su transport za druge vrste zlonamjernog koda.
Trojanci- dobili su imena u čast "trojanskog konja", jer imaju sličan princip rada. Ova vrsta virusa masira svoje module ispod modula korištenih programa, stvarajući datoteke sa sličnim nazivima i parametrima, a također zamjenjuje unose u registru sustava, mijenjajući veze radnih modula programa na svoje, uzrokujući virusne module . Destruktivne radnje svode se na uništavanje korisničkih podataka, slanje SPAM-a i praćenje radnji korisnika. Često se ne mogu sami razmnožavati. Prilično ih je teško otkriti, jer samo skeniranje datotečnog sustava nije dovoljno.
Stealth virusi (Stealth)- nazvan po nevidljivim letjelicama "stealth", koje je najteže otkriti, jer imaju vlastite algoritme za maskiranje od skeniranja. Oni su maskirani zamjenom zlonamjernog koda korisnim kodom tijekom skeniranja, privremenim onemogućavanjem funkcionalnih modula ako se otkrije proces skeniranja, skrivanjem njihovih procesa u memoriji itd.
Polimorfni (samokriptirajući) virusi- virusi čiji se maliciozni kod pohranjuje i distribuira u šifriranom obliku, što im omogućuje da budu nedostupni većini skenera.
matiranje virusa Virusi nemaju trajne potpise. Takav virus neprestano mijenja lance svog koda u procesu funkcioniranja i reprodukcije. Stoga postaje neranjiv na jednostavno antivirusno skeniranje. Za njihovo otkrivanje potrebno je primijeniti heurističku analizu.
Virusi koji "odmaraju".- su vrlo opasni, jer mogu biti u mirovanju jako dugo, šireći se računalnim mrežama. Aktivacija virusa događa se pod određenim uvjetima, često na točno određeni datum, što može uzrokovati goleme razmjere istodobne infekcije. Primjer takvog virusa je virus CHIH ili Chernobyl koji se aktivirao na godišnjicu nesreće u Černobilu, uzrokujući kvar na tisućama računala.
3 Mjere zaštite od virusa Osnovni antivirusni programi
Do danas, mjere zaštite od virusa različite prirode su programi koji se nazivaju antivirusi.
Antivirusni program (antivirus) je specijalizirani program za otkrivanje računalnih virusa, kao i neželjenih (smatraju se malicioznim) programa općenito i vraćanje datoteka zaraženih (modificiranih) takvim programima, kao i za prevenciju - sprječavanje infekcije (modifikacije) datoteka ili operativni sustav sa zlonamjernim kodom.
Prema svojim svojstvima, antivirusi su podijeljeni u takve vrste kao što su: detektorski programi; doktorski programi ili fagi; programi revizori (inspektori); programi filteri (monitori); programi cjepiva ili imunizatora; skener.
“PROGRAMI DETEKTORA omogućuju otkrivanje datoteka zaraženih jednim od nekoliko poznatih virusa. Ovi programi provjeravaju sadrže li datoteke na pogonu koje je odredio korisnik kombinaciju bajtova specifičnih za određeni virus. Kada se pronađe u bilo kojoj datoteci, na ekranu se prikazuje odgovarajuća poruka. Mnogi detektori imaju načine za liječenje ili uništavanje zaraženih datoteka.
Treba naglasiti da detekcijski programi mogu detektirati samo viruse koji su mu "poznati". Neki detektorski programi mogu se prilagoditi novim vrstama virusa, samo trebaju specificirati kombinacije bajtova svojstvene tim virusima. Međutim, nemoguće je razviti takav program koji bi mogao otkriti bilo koji dosad nepoznati virus.
Dakle, iz činjenice da detektori ne prepoznaju program kao zaražen, ne slijedi da je zdrav - neki novi virus ili malo modificirana verzija starog virusa, nepoznata programima za otkrivanje.
Većina detektorskih programa ima funkciju "liječnika", tj. pokušavaju vratiti zaražene datoteke ili područja diska u izvorno stanje. Datoteke koje se ne mogu vratiti u pravilu se onesposobljavaju ili brišu.
Dr. Web program je 1994. godine stvorio I. A. Danilov i pripada klasi doktora-detektora, ima takozvani "heuristički analizator" - algoritam koji vam omogućuje otkrivanje nepoznatih virusa. "Healing Web", kako se s engleskog prevodi naziv programa, postao je odgovor domaćih programera na najezdu samomodificirajućih mutantnih virusa. Potonji tijekom reprodukcije modificiraju svoje tijelo tako da ne postoji niti jedan karakterističan lanac bajtova koji je bio prisutan u izvornoj verziji virusa.
U prilog ovom programu ide i činjenica da je veliku licencu (za 2000 računala) stekla Glavna uprava za informacijske resurse pri predsjedniku Ruske Federacije, te drugi najveći kupac "weba" - "Inkombank".
Aidstest- program je izumila 1988. godine D.N. Lozinsky i liječnik je detektor. Aidstest je dizajniran za popravak programa zaraženih uobičajenim (nepolimorfnim) virusima koji ne mijenjaju svoj kod. Ovo ograničenje je zbog činjenice da ovaj program traži viruse pomoću identifikacijskih kodova. Ali u isto vrijeme postiže se vrlo velika brzina provjere datoteka.
REVIZORI imaju dvije faze rada. Prvo, pohranjuju informacije o stanju programa i sistemskih područja diskova (sektor za pokretanje i sektor s particjskom tablicom tvrdog diska). Pretpostavlja se da u ovom trenutku programi i sistemska područja diskova nisu zaraženi. Nakon toga, pomoću programa revizora, možete u bilo kojem trenutku usporediti stanje programa i područja sustava diskova s izvornikom. Identificirana odstupanja se prijavljuju korisniku.
ADinf (Napredni Diskinfoscope) pripada klasi programa-auditora. Ovaj program je kreirao D. Yu. Mostov 1991. godine.
Antivirus ima veliku brzinu rada, može se uspješno oduprijeti virusima koji su u memoriji. Omogućuje vam kontrolu diska čitajući ga po sektorima kroz BIOS i bez korištenja prekida DOS sustava koje virus može presresti.
Za dezinfekciju zaraženih datoteka koristi se ADinf Cure Module koji nije uključen u ADinf paket i isporučuje se zasebno. Princip rada modula je spremanje male baze podataka koja opisuje kontrolirane datoteke. Radeći zajedno, ovi programi mogu otkriti i ukloniti oko 97% virusa datoteka i 100% virusa sektora za pokretanje sustava. Na primjer, ozloglašeni virus SatanBug lako je otkriven, a datoteke zaražene njime automatski su vraćene. Štoviše, bez problema su ga se riješili čak i oni korisnici koji su ADinf i ADinf Cure Module kupili nekoliko mjeseci prije pojave ovog virusa.
AVP (Anti- Virus Zaštita) program kombinira detektor, liječnika i auditora, a ima čak i neke funkcije rezidentnog filtra (zabrana pisanja u datoteke s atributom SAMO ČITANJE). Antivirusni komplet, koji je proširena verzija dobro poznatog antivirusnog kompleta "Doctor Kaspersky". Dok program radi, testira se na nepoznate viruse. Također je uključen rezidentni program koji prati sumnjive aktivnosti na računalu i daje vam mogućnost pregledavanja memorijske kartice. Poseban skup uslužnih programa pomaže u otkrivanju novih virusa i njihovom razumijevanju.
Antivirus može liječiti poznate i nepoznate viruse, a sam korisnik može informirati program o načinu liječenja potonjih. Osim toga, AVP može liječiti samomodificirajuće i Stealth viruse (stealth).
Norton Antivirus- antivirusni paket spada u alate tipa "instaliraj i zaboravi". Svi potrebni konfiguracijski parametri i planirane aktivnosti (provjera diska, provjera novih i izmijenjenih programa, pokretanje uslužnog programa Auto-Protect Windows, provjera sektora za pokretanje diska A: prije ponovnog pokretanja) postavljeni su prema zadanim postavkama. Program za skeniranje diska postoji za DOS i Windows. Između ostalog, Norton AntiVirus detektira i uništava čak i polimorfne viruse, a također uspješno reagira na aktivnosti slične virusima i bori se protiv nepoznatih virusa.
FILTERI ili MONITORI, koji se nalaze rezidentno u RAM-u računala i presreću one pozive operativnom sustavu koje koriste virusi za razmnožavanje i nanošenje štete te o njima informiraju korisnika. Korisnik može omogućiti ili onemogućiti odgovarajuću operaciju.
Neki filtarski programi ne "hvataju" sumnjive radnje, već provjeravaju programe pozvane na izvršenje na viruse. To uzrokuje usporavanje računala.
Međutim, prednosti korištenja programa za filtriranje su vrlo značajne - oni vam omogućuju otkrivanje mnogih virusa u vrlo ranoj fazi, kada virus još nije imao vremena da se razmnoži i nešto pokvari. Na taj se način gubici od virusa mogu svesti na minimum.
CJEPIVA ili IMUNIZATORI modificiraju programe i diskove na način da ne utječu na rad programa, ali virus protiv kojeg se vrši cijepljenje te programe ili diskove smatra već zaraženima. Ovi programi su izrazito neučinkoviti. Oni prate potencijalno opasne operacije izdavanjem odgovarajućeg zahtjeva korisniku za dopuštanje/zabranu operacije.
Nedostaci antivirusnih programa:
Nijedna od postojećih antivirusnih tehnologija ne može pružiti potpunu zaštitu od virusa.
Antivirusni program oduzima dio računalnih resursa sustava, opterećujući središnji procesor i tvrdi disk. To može biti posebno vidljivo na slabim računalima. Usporenja u pozadini mogu biti do 380%.
Antivirusni programi mogu vidjeti prijetnju tamo gdje je nema (lažno pozitivno).
Antivirusni programi preuzimaju ažuriranja s Interneta, trošeći tako propusnost.
Različite metode šifriranja zlonamjernog softvera i pakiranja čine da čak i poznate viruse antivirusni softver ne može otkriti. Otkrivanje ovih "zamaskiranih" virusa zahtijeva moćan mehanizam za dekompresiju koji može dešifrirati datoteke prije nego što se skeniraju. Međutim, mnogi antivirusni programi nemaju ovu značajku i stoga je često nemoguće otkriti šifrirane viruse. .
RAČUNALNI VIRUSI
I oštećene i zaražene datoteke
Klasifikacija virusa PREVENCIJA I SUZBIJANJE RAČUNALNIH VIRUSA
UVOD
Trenutno su mnoga područja ljudske aktivnosti povezana s upotrebom računala. Zašto su ti elektronički strojevi tako čvrsto ugrađeni u naše živote? Sve je prilično trivijalno. Oni obavljaju rutinske računske i projektantske poslove, oslobađajući naš mozak za nužnije i odgovornije zadatke. Kao rezultat toga, umor se oštro smanjuje i počinjemo raditi puno produktivnije nego bez korištenja računala.
Mogućnosti modernih računala zadivljuju i najbogatiju maštu. Oni su u stanju obavljati nekoliko zadataka paralelno, čija je složenost prilično visoka. Stoga neki proizvođači razmišljaju o stvaranju umjetne inteligencije. A sada rad računala nalikuje radu inteligentnog elektroničkog pomoćnika osobe.
No tko bi rekao da ovo elektroničko čudo tehnologije karakteriziraju bolesti slične ljudskima. Njega, kao i čovjeka, može napasti "virus" ali računalni. A ako ništa ne poduzmete, računalo će se uskoro "razboljeti" tj. će početi izvoditi neispravne radnje ili čak "umrijeti" tj. šteta uzrokovana "virusom" bit će vrlo ozbiljna. Što su računalni virusi i kako se s njima nositi, raspravljat ćemo dalje.
RAČUNALNI VIRUSI
Što je računalni virus?
Do danas postoji nekoliko glavnih vrsta zlonamjernog softvera:
- klasični računalni virus;
- trojanski ili trojanski konj (troj);
- crv (crv);
- špijun ili špijun, keylogger
-rootkick;
- bot ili zombi.
Svojedobno su klasični virusi bili najzastupljeniji - no njihovi tvorci rijetko su postavljali konkretan cilj naštetiti krajnjem korisniku, već su nastajali iz edukativnih razloga. Današnji pisci virusa slijede potpuno jasne i razumljive ciljeve - novac, a njihova "djeca" postala su mnogo opasnija od svojih prethodnika. Pa dopustite mi da predstavim najviše opasni predatori današnji informacijski prostor su Trojanci i Crvi.
Trojan ili troj dobio je ime po sličnosti između načina zaraze i poznatog taktičkog poteza tijekom opsade Troje. Primjer zaraze Trojancem - dobijete pismo od određenog "poznanika" s tekstom: - "Bok! Upravo sam se vratio s mora - super sam se odmorio! Evo mojih slika - pogledajte.", i u prilogu datoteke s nastavkom ".JPG". Te iste datoteke trojanski su konj u čijim se dubinama krije maliciozni kod. Najčešći izvori zaraze su e-pošta, stranice za upoznavanje, glazbene stranice i stranice s besplatnim softverom. Što radi "trojanac"? U pravilu, njegova je zadaća otvoriti put drugim virusima, djelovati kao prva odskočna daska. Kako izbjeći infekciju "trojancem"? Ovdje je sve kao u životu - zaštitite se i izbjegavajte povremene veze =). Ovo pravilo vrijedi za sve viruse i druge zlonamjerne programe. Ako vam je poslan e-mail - prije gledanja privitaka provjerite pošiljatelja, spremite privitak na računalo i provjerite ga antivirusom pa ga tek onda otvorite.
Crv ili Crv - značajka ovih programa u evoluciji i autonomiji. Kada crv uđe u računalo, obično napada programe za poštu i internetske stranice. Nakon što dobije pristup mailu ili pageru, počinje slati pisma/poruke koje sadrže modificiranu verziju sebe. Nakon toga se ili samouništava ili inficira izvršne datoteke (EXE, COM, BAT). Budući da se virus sam mijenja, neranjiv je sve dok se ne otkrije u bazi podataka vašeg antivirusa. Zato je danas licencirani antivirus hitna potreba za svakog vlasnika računala.
Računalni virus je posebno napisan mali program koji se može "pripisati" drugim programima (tj. "zaraziti" ih), kao i izvoditi razne neželjene radnje na računalu. Program koji sadrži virus naziva se zaraženim. Kada se takav program pokrene, virus prvo preuzima kontrolu. Virus pronalazi i "inficira" druge programe, a također izvodi neke štetne radnje (primjerice, kvari datoteke ili tablicu dodjele datoteka (FAT) na disku, "zagađuje" RAM itd.). Da bi se maskirao virus, radnje za zarazu drugih programa i nanošenje štete ne moraju se uvijek izvoditi, ali, recimo, pod određenim uvjetima. Nakon što virus izvrši potrebne radnje, on kontrolu prenosi na program u kojem se nalazi i on radi kao i obično. Stoga, izvana, rad zaraženog programa izgleda isto kao i nezaraženog programa.
Mnoge vrste virusa dizajnirane su na način da kada se zaraženi program pokrene, virus ostaje u memoriji računala i s vremena na vrijeme zarazi programe i izvede neželjene radnje na računalu.
Sve radnje virusa mogu se izvesti vrlo brzo i bez izdavanja ikakvih poruka, za ovog korisnika je vrlo teško, gotovo nemoguće, utvrditi da se na računalu događa nešto neobično.
Sve dok je na računalu zaraženo relativno malo programa, prisutnost virusa može biti gotovo nevidljiva. Međutim, nakon nekog vremena počinje se događati nešto čudno na računalu, na primjer:
- neki programi prestanu raditi ili počnu raditi neispravno;
- na ekranu se prikazuju strane poruke, simboli itd.;
- rad na računalu znatno usporava;
- neke datoteke su oštećene, itd.
Do ovog trenutka, u pravilu, dosta (ili čak većina) tehničkih programa s kojima radite je zaraženo virusom, a neke datoteke i diskovi su oštećeni. Štoviše, zaraženi programi s vašeg računala možda su već prebačeni pomoću disketa ili lokalne mreže na računala vaših kolega i prijatelja.
Neki virusi su vrlo podmukli. U početku neprimjetno inficiraju veliki broj programa i diskova, a zatim uzrokuju vrlo ozbiljnu štetu, na primjer, formatiraju cijeli tvrdi disk na računalu, naravno nakon toga jednostavno je nemoguće vratiti podatke. A postoje virusi koji se ponašaju vrlo tajno i postupno kvare podatke na tvrdom disku ili pomiču tablicu dodjele datoteka (FAT).
Dakle, ako ne poduzmete mjere zaštite od virusa, posljedice infekcije mogu biti vrlo ozbiljne. Primjerice, početkom 1989 Virus, koji je napisao američki student Morris, zarazio je i onesposobio tisuće računala, uključujući i ona koja pripadaju američkom Ministarstvu obrane. Autora virusa sud je osudio na tri mjeseca zatvora i novčanu kaznu od 270 tisuća dolara. Kazna je mogla biti i stroža, no sud je uzeo u obzir da virus nije oštetio podatke, već se samo razmnožio.
Da bi virusni program bio nevidljiv, mora biti malen. Stoga su virusi obično napisani u asemblerskim jezicima niske razine ili u naredbama C jezika niske razine.
Viruse pišu iskusni programeri ili studenti jednostavno iz znatiželje ili da se osvete nekome ili poduzeću koje se prema njima ponašalo na nedostojan način ili u komercijalne ili usmjerene sabotažne svrhe. Bez obzira na ciljeve autora, virus može završiti na vašem računalu i pokušati izvesti iste štetne radnje kao i one za koje je stvoren.
Treba napomenuti da pisanje virusa nije tako težak zadatak, sasvim dostupan studentu programiranja. Stoga se svaki tjedan u svijetu pojavljuje sve više i više novih virusa. A mnogi od njih su napravljeni u našoj zemlji.
Oštećene i zaražene datoteke
Računalni virus može upropastiti, t.j. neprikladno mijenjati bilo koju datoteku na diskovima dostupnim na računalu. Ali virus može "zaraziti" neke vrste datoteka. To znači da se u ove datoteke može "ubaciti" virus, tj. modificirati ih tako da sadrže virus koji pod određenim okolnostima može početi djelovati.
Treba imati na umu da tekstovi programa i dokumenata, podatkovne datoteke baza podataka, proračunske tablice i druge slične datoteke ne mogu biti zaražene običnim virusom, on ih samo može pokvariti. Zarazu takvih datoteka vrše samo makrovirusi. Ovi virusi mogu čak zaraziti i vaše dokumente.
Učitavač operativnog sustava i glavni zapis pokretanja tvrdog diska. Virusi koji inficiraju ova područja nazivaju se boot ili BOOT virusi. Takav virus počinje s radom pri prvom pokretanju računala i postaje rezidentni, tj. stalno se nalazi u memoriji računala. Mehanizam distribucije je infekcija boot zapisa umetnutih u diskete računala. Često se takvi virusi sastoje od dva dijela, jer je boot record mali i teško je u njih smjestiti cijeli virusni program. Dio virusa nalazi se u drugom dijelu diska, na primjer, na kraju korijenskog direktorija diska ili u klasteru u području podataka na disku (obično se takav klaster proglasi neispravnim kako bi se spriječiti prebrisanje virusa prilikom upisa podataka).
Datoteke upravljačkih programa uređaja navedene u klauzuli DEVICE datoteke CONFIG.SYS. Virus koji se nalazi u njima počinje raditi svaki put kada se pristupi odgovarajućem uređaju. Virusi koji zaraze upravljačke programe uređaja vrlo su rijetki jer se upravljački programi rijetko kopiraju s jednog računala na drugo. Isto se odnosi i na sistemske datoteke DOS (MSDOS.SYS i IO.SYS) - njihova infekcija je također teoretski moguća, ali je neučinkovita za širenje virusa.
U pravilu, svaka posebna vrsta virusa može zaraziti samo jednu ili dvije vrste datoteka. Najčešće postoje virusi koji zaraze izvršne datoteke. Na drugom mjestu po prevalenciji su boot virusi. Neki virusi zaraze i datoteke i područja za pokretanje diska. Virusi koji zaraze upravljačke programe uređaja izuzetno su rijetki, obično takvi virusi mogu zaraziti i izvršne datoteke.
Klasifikacija virusa
Virusi se mogu podijeliti u klase prema različitim kriterijima. Evo, na primjer, na temelju izdaje:
Virusi koji trenutno zaraze računalo formatiraju tvrdi disk, kvare tablicu dodjele datoteka, kvare boot sektore, brišu tzv. Flash ROM (gdje se nalazi BIOS) računala (Černobilski virus), drugim riječima, uzrokuju nepopravljivu štetu na računalo što je brže moguće. Ovo također uključuje rezultate pritužbi programera koji pišu viruse protiv antivirusnih programa. To se odnosi na takozvane alergije na određene antivirusne programe. Ovi virusi su prilično podmukli. Evo, na primjer, alergija na Dr.Weber prilikom pozivanja ovog programa, bez oklijevanja, blokira antivirus, pokvari sve što je u direktoriju s antivirusom i C: WINDOWS. Kao rezultat toga, morate ponovno instalirati operativni sustav, a zatim se boriti protiv virusa drugim sredstvima.
- virusi dizajnirani za dug život u računalu. Oni postupno i pažljivo inficiraju program za programom bez reklamiranja svoje prisutnosti i zamjenjuju početna područja programa poveznicama na mjesto gdje se nalazi tijelo virusa. Osim toga, oni čine promjenu u strukturi diska koja je neprimjetna za korisnika, što će se osjetiti tek kada su neki podaci već beznadno izgubljeni (na primjer, virus "OneHalf-3544", "Yankey-2C").
Na temelju načina prijenosa i razmnožavanja također se može napraviti podjela.
Ranije su virusi uglavnom pogađali samo izvršne datoteke (s ekstenzijama .com i .exe). Doista, virus je program i mora se izvršiti.
Sada se virusi šalju e-poštom kao demo programi ili kao slike, na primjer, ako ste primili datoteku "PicturesForYou.jpg" e-poštom, nemojte žuriti da je pogledate, pogotovo jer je došla niotkuda. Ako pažljivije pogledate naziv, ispada da ima još 42 razmaka i važeću ekstenziju .exe. To je stvarno puno ime datoteka će biti ovakva:
"PicturesForYou.jpg .exe". Sada je svima jasno što ova slika zapravo nosi. Ovo nije slikovna datoteka koju preglednik slika poziva kada se aktivira, već drski, pomalo prikriveni virus koji samo čeka da bude aktiviran klikom miša ili pritiskom na tipku. Vi sami preuzimate takav virus na svoje računalo, ispod ljuske neke slike, poput "trojanskog konja". Otuda žargonski naziv za takve viruse kao "Trojanci".
U ovom trenutku postoje takve školjke informacijskih kanala kao što su Internet Explorer, Outlook Express, Microsoft Office. Sada se pojavilo nekoliko klasa takozvanih "makro-virusa". Sadrže skrivene naredbe za ove ljuske koje su nepoželjne za prosječnog korisnika. I taj kod više nije kod za računalo, odnosno više nije program, već tekst programa kojeg izvršava ljuska. Dakle, može se napisati u bilo kojem potrebnom formatu: .html, .htm - za Internet Explorer, .doc, .xls, .xlw, .txt, .prt ili bilo koji drugi - za Microsoft Office itd. Takvi virusi uzrokuju štetu samo određene prirode, jer ljuska nema naredbe, na primjer, za formatiranje tvrdog diska. Ali ipak, ova vrsta virusa zaslužuje pozornost, jer uz pomoć skrivenih hiperveza može samostalno preuzeti tijelo virusa s interneta na vaše računalo, a neki virusi se mogu ažurirati i preuzimati u dijelovima putem interneta s određenih poslužitelja . Primjerice, jedan od japanskih studenata razvio je upravo takav virus koji spaja mali "loader" na bilo koji format ulaznih podataka s Interneta. Nadalje, ovaj program za učitavanje samostalno preuzima tijelo virusa s interneta s poslužitelja s Babilon5 IP adresom. Postoje četiri ova tijela. Svaki od njih može samostalno uništiti vaše računalo, ali ima određenu svrhu. Ovaj tip virusa je hibrid između makro virusa i običnih virusa. Ali treba napomenuti da su hibridi najžilaviji, najlukaviji, najopasniji i najbrojniji među virusima. Nedavno je došlo do skandala oko programera koji je, prema stručnjacima, stvorio i počeo širiti makro virus koji je zarazio tekstualne datoteke za Microsoft Word. Izračunato je iz datuma i vremena stvaranja izvornog dokumenta, koji je pohranjen u nevidljivim dijelovima .doc datoteka. Moguće je da je datoteku stvorila neka druga osoba prije nego što je na nju priložen virus, tada pitanje napadača ostaje otvoreno. Ali stručnjaci kažu da je to on.
Na primjer, virus Win32.HLLM.Klez. jedna od vrsta opasnog mrežnog crva distribuira se slanjem vlastitih kopija e-poštom. Osim toga, ovaj se crv može širiti lokalnom mrežom, zaraziti računala čiji su diskovi dijeljeni mrežni resursi s mogućnošću pisanja. Jednom u sustavu, crv se šalje na adrese koje se nalaze u Windows adresaru, u ICQ bazi podataka iu lokalnim datotekama. Zaražene e-poruke koje šalje ovaj crv koriste jednu od relativno dugo poznatih grešaka u sigurnosnom sustavu Internet Explorera, koja omogućuje automatsko pokretanje programske datoteke (s virusom) priložene e-pošti prilikom jednostavnog pregledavanja pošte u programu Outlook i Outlook Express.
Pokušajmo razmotriti metode maskiranja i zaštite koje koriste virusi protiv nas običnih korisnika i antivirusnih programa.
Perfidija je glavna i najvažnija brz način napraviti prljavi trik prije nego što budete otkriveni. Černobilski virus, primjerice, potpuno briše BIOS (pokretni program koji se nalazi u ROM čipu koji osigurava rad računala). Nakon toga računalo više neće moći prikazati ništa. Ali njegov se rad lako blokira ako je unutar računala instaliran prekidač koji zabranjuje pisanje u ROM područje. Dakle, bio je prvi, ali i, kako mislim, posljednji predstavnik hardverskih virusa.
Regenerativni virusi dijele svoje tijelo na nekoliko dijelova i pohranjuju ih na različita mjesta na tvrdom disku. U skladu s tim, ti se dijelovi mogu samostalno pronaći i sastaviti kako bi regenerirali tijelo virusa. Antivirusni program detektira i ubija samo tijelo virusa, a dijelovi tog tijela nisu uključeni u antivirusnu bazu podataka jer se mijenjaju. Ciljano niskorazinsko formatiranje tvrdog diska pomaže protiv takvih virusa. Moraju se poduzeti mjere opreza za očuvanje informacija.
Lukavi virusi skrivaju se ne samo od nas, već i od antivirusnih programa. Ti se "kameleoni" mijenjaju uz pomoć najlukavijih i najsloženijih operacija, koristeći i trenutne podatke (vrijeme stvaranja datoteke) i koristeći gotovo polovicu cijelog skupa procesorskih instrukcija. U određenom trenutku, naravno, prema lukavom algoritmu, pretvaraju se u opaki virus i počinju se obračunavati s našim računalom. Ovo je vrsta virusa koju je najteže otkriti, ali neki antivirusni programi, poput "Dr.Webera", mogu otkriti i neutralizirati slične viruse pomoću tzv. heurističke analize.
"Nevidljivi" virusi koriste takozvanu "Stelth" metodu kako bi spriječili svoje otkrivanje. Sastoji se od toga da virus, koji se nalazi u memoriji, presreće DOS pozive (a time i aplikacijske programe) zaraženim datotekama i područjima diska i izdaje ih u izvornom (nezaraženom) obliku. Naravno, ovaj se učinak primjećuje samo na zaraženom računalu - na "čistom" računalu lako se detektiraju promjene u datotekama i područjima za pokretanje diska. Ali neki antivirusni programi mogu otkriti "nevidljive" viruse čak i na zaraženim računalima.
Mrežni crv Randon pojavio se u ožujku 2003. Širi se IRC kanalima i lokalnim mrežnim resursima te inficira računala s operacijskim sustavima Windows2000 i Windows XP. Da bi ušao u računalo, povezuje se s lokalnom mrežom ili IRC poslužiteljem, skenira korisnike koji se nalaze na njemu, uspostavlja vezu s njima na portu 445 i pokušava pogoditi lozinku s ugrađenog popisa najčešće korištenih fraza. Ako je sustav uspješno kompromitiran, Random mu šalje Apher Trojan, koji zauzvrat preuzima ostatak komponenti crva s udaljene web stranice. Nakon toga, "Randon" instalira svoje komponente u direktorij sustava Windows, registrira svoju glavnu datoteku. Kako bi sakrio svoju prisutnost u memoriji, koristi poseban uslužni program HideWindows, koji je također sastavni dio crva. Zahvaljujući njoj, ispada da je nevidljiv korisniku, tako da se aktivni Randon proces može otkriti samo u Windows upravitelju zadataka. Njegovo nuspojave– stvaranje velike količine viška prometa na zaraženom računalu i preplavljivanje IRC kanala.
Prema Kaspersky Labu, jednom od vodećih razvijatelja antivirusnih programa, predstavlja pregled aktivnosti virusa za ožujak 2003. (Tablica 2 i Slika 1)
Top 20 najčešćih zlonamjernih programa
tab. 2
Ime Udio u ukupnom broju virusnih incidenata (%)
1. I-Worm.Klez 37,60%
2. I-Worm.Sobig 10,75%
3. I-Worm.Lentin 9,03%
4. I-Worm.Avron 3,30%
5.Macro.Word97.Dakle 2,62%
6. I-Worm.Tanatos 1,38%
7. makro. Word97.Marker 1,21%
8. Worm.Win32.Opasoft 1,13%
9. I-Worm.Hybris 1,04%
10.Win95.CIH 0,69%
11. Worm.Win32.Randon 0,58%
12. VBS Redlof 0,57%
13. Backdoor.Death 0,51%
14.Win95.Spaces 0,51%
15. I-Worm.Roron 0,49%
16.Trojan.PSW.Gip 0,49%
17. Backdoor.NetDevil 0,48%
18.Win32.HLLP.Hantaner 0,45%
19. TrojanDropper.Win32.Delf 0,42%
20. TrojanDropper.Win32.Yabinder 0,41%
Ostali zlonamjerni softver* 26,33%
*nije uključeno u 20 najčešćih
PREVENCIJA I BORBA PROTIV RAČUNALNIH VIRUSA
Osnovne metode zaštite od računalnih virusa
Za zaštitu od virusa možete koristiti:
- Opća sredstva zaštite informacija, koja su korisna i kao osiguranje od fizičkih oštećenja diskova, programa koji se loše ponašaju ili pogrešnih radnji korisnika;
- preventivne mjere za smanjenje vjerojatnosti zaraze računalnim virusom;
- specijalizirani programi za zaštitu od virusa.
-Uobičajeni alati za sigurnost informacija korisni su za više od puke zaštite od virusa. Postoje dvije glavne vrste ovih sredstava:
kopiranje informacija - stvaranje kopija datoteka i sistemskih područja diskova;
kontrola pristupa sprječava neovlašteno korištenje informacija, posebice zaštita od promjena programa i podataka virusima, neispravnim programima i pogrešnim radnjama korisnika.
Iako opća sredstva Informacijska sigurnost vrlo je važna za zaštitu od računalnih virusa, ali sama po sebi nije dovoljna. Za zaštitu od računalnih virusa potrebno je koristiti specijalizirane programe. Ovi se programi mogu podijeliti u nekoliko vrsta:
Detektorski programi omogućuju otkrivanje datoteka zaraženih jednim od nekoliko poznatih virusa.
Programi - liječnici, ili fagi, "liječe virusima" zaražene programe ili diskove, "izgrizaju" tijelo virusa iz zaraženih programa, tj. vraćanje programa u stanje u kojem je bio prije infekcije virusom.
Programi - revizori prvo pamte informacije o stanju programa i sistemskih područja diskova, a zatim uspoređuju njihovo stanje s izvornim. Ukoliko se utvrde odstupanja, korisnik se o tome obavještava.
Doktori – auditori su hibridi auditora i doktora, tj. programe koji ne samo da detektiraju promjene u datotekama i sistemskim područjima diskova, već ih mogu i automatski vratiti u prvobitno stanje.
Programi za filtriranje smješteni su rezidentno u RAM-u računala i presreću one pozive operativnom sustavu koje koriste virusi za reprodukciju i nanošenje štete te ih prijavljuju korisniku. Korisnik može omogućiti ili onemogućiti odgovarajuću operaciju.
Programi - cjepiva, odnosno imunizatori, modificiraju programe i diskove na način da to ne utječe na rad programa, ali virus protiv kojeg se provodi cijepljenje te programe i diskove smatra već zaraženima. Ovi programi su vrlo neučinkoviti i ne razmatraju se dalje.
Nažalost, niti jedna vrsta antivirusnog softvera ne pruža potpunu zaštitu od računalnih virusa. Stoga je najbolja strategija zaštite od virusa višerazinska, "slojevita" obrana. Opišimo strukturu ove obrane.
Sredstva za izviđanje u "obrani" od virusa odgovaraju programima - detektorima koji vam omogućuju provjeru novoprimljenog softvera na prisutnost virusa.
Na čelu obrane su filter programi (rezidentni programi za zaštitu od virusa). Ovi programi mogu prvi prijaviti napad virusa i spriječiti infekciju programa i diska.
Drugi ešalon obrane čine programi-revizori, programi-liječnici i doktori-revizori. Auditori otkrivaju napad čak i kada je virus uspio "procuriti" kroz prvu liniju obrane. Doctor programi se koriste za vraćanje zaraženih programa ako nema kopija u arhivi. Ali oni ne čine uvijek pravu stvar. Doktori-revizori detektiraju virusni napad i liječe viruse - zaražene datoteke, te kontroliraju ispravnost liječenja virusa, a ukoliko je nemoguće liječiti viruse, svakako preporučuju uklanjanje virusa (zaraženih datoteka).
Najdublji sloj obrane su sredstva kontrole pristupa. Ne dopuštaju virusima i programima koji se loše ponašaju, čak i ako su ušli u računalo, da pokvare važne podatke.
I, konačno, u "strateškoj rezervi" nalaze se arhivske kopije informacija i "referentne" diskete s programskim proizvodima. Omogućuju vam vraćanje podataka ako su oštećeni na tvrdom disku.
Programi - detektori i doktori
U većini slučajeva, za otkrivanje virusa koji je zarazio računalo, možete pronaći već razvijene detektorske programe. Ovi programi provjeravaju sadrže li datoteke na pogonu koje je odredio korisnik kombinaciju bajtova specifičnih za određeni virus. Kada se pronađe u bilo kojoj datoteci, na ekranu se prikazuje odgovarajuća poruka. Mnogi detektori imaju način liječenja ili uklanjanja virusa.
Treba napomenuti da detektorski program može detektirati samo one viruse koji su mu poznati (to jest, uključeni su u antivirusnu bazu podataka ovog programa).
Jedan takav program je KIS Kaspersky.
Sve u njemu ima prikladno i razumljivo sučelje. Program je dizajniran za operativni sustav Windows XP i Windows Vista, što mu omogućuje paralelni rad s drugim aplikacijama. Kaspersky Lab je ruski lider u razvoju antivirusnih sigurnosnih sustava.
Tu je i AVAST.
Ovo su branitelji vašeg računala dokazani u radu - liječenju većine virusa i uklanjanju virusa u slučaju njihove kritične prijetnje ili neizlječivosti.
Većina detektorskih programa također ima funkciju "liječnika", tj. pokušavaju vratiti zaražene datoteke i područja diska u prvobitno stanje – za liječenje virusa. Datoteke koje se ne mogu izliječiti obično se onesposobe ili se izbrišu.
Prevencija protiv infekcije virusom
Pogledajmo neke mjere koje mogu smanjiti vjerojatnost da se računalo zarazi virusom, kao i minimizirati štetu od infekcije virusom ako do nje dođe.
1. Bilo bi lijepo imati i po potrebi ažurirati arhivske i referentne kopije korištenog softvera i podatkovnih paketa. Prije arhiviranja podataka, preporučljivo je provjeriti ih na prisutnost virusa.
2. Također je preporučljivo kopirati servisne informacije vašeg diska (FAT, sektori za pokretanje) i CMOS (stalna memorija računala) na diskete. Kopiranje i vraćanje takvih informacija može se izvršiti pomoću programa Norton Utilities Rescue.
3. Trebali biste postaviti zaštitu od pisanja na arhivske diskete.
4. Ne biste se trebali baviti nelicenciranim i nezakonitim kopiranjem softvera s drugih računala. Možda imaju virus.
5. Sve podatke koji dolaze izvana potrebno je provjeriti na viruse, posebno datoteke "skinute" s interneta.
6. Potrebno je unaprijed pripremiti paket za oporavak na disketama sa zaštitom od pisanja.
7. Za vrijeme normalnog rada, koji nije povezan s vraćanjem računala, vrijedi onemogućiti podizanje sustava s diskete. To će spriječiti infekciju virusom za podizanje sustava.
8. Koristite programe – filtere za rano otkrivanje virusa.
9. Povremeno provjeravajte disk programima-detektorima ili liječnicima-detektorima ili auditorima kako biste otkrili moguće propuste u obrani.
10. Ažurirajte bazu antivirusnih programa.
11. Držite sumnjive korisnike podalje od svog računala.
ZAKLJUČAK
Zaključno, želio bih upozoriti na previše revnu borbu protiv računalnih virusa. Svakodnevno potpuno skeniranje tvrdog diska na viruse također nije sjajan korak u sprječavanju infekcija. Jedini civilizirani način zaštite od virusa vidim u poštivanju preventivnih mjera pri radu na računalu. A također morate pribjeći pomoći stručnjaka da se nosite s računalnim virusom. Osim toga, čak i ako je virus i dalje prodro u računalo, to nije razlog za paniku.
Često glavni problem interneta nisu virusi i hakeri, već tako uobičajena pojava kao što je računalna nepismenost. Koristeći analogiju Kasperskog, nepoznavanje pravila ceste. Ljudi koji su nedavno naučili primati i slati poštu demoniziraju računalne viruse, gotovo ih zamišljajući kao nevidljive crne crve koji gmižu po žicama. Evo nekoliko jednostavna pravila, promatrajući koje možete pokušati izbjeći infekciju virusima. Prvo: ne boje se računalnih virusa, svi se liječe. Drugo, postavite Microsoft Outlook da radi u zoni ograničenih web-mjesta, što će spriječiti automatsko pokretanje određenih programa - osnovno načelo širenja računalnih virusa. Treće, ne otvarajte e-poštu od sumnjivih primatelja. Četvrto: koristite novi, i što je još važnije, LICENCNI antivirus.
Pošaljite svoj dobar rad u bazu znanja jednostavno je. Koristite obrazac u nastavku
Studenti, diplomanti, mladi znanstvenici koji koriste bazu znanja u svom studiju i radu bit će vam vrlo zahvalni.
Slični dokumenti
Značajke i načela sigurnosti softvera. Razlozi stvaranja virusa za infekciju računalni programi. opće karakteristike računalni virusi i sredstva za njihovu neutralizaciju. Klasifikacija metoda zaštite od računalnih virusa.
sažetak, dodan 08.05.2012
Kratak izlet u povijesti virusa. Društveni aspekti problema računalnih virusa. Načini suzbijanja računalnih virusa. Izrazi koji se koriste kada se govori o antivirusnim programima. Virusi, njihova klasifikacija. Odnos prema autorima virusa.
seminarski rad, dodan 21.03.2011
Povijest računalnih virusa. Klasifikacija računalnih virusa prema staništu, načinu infekcije, destruktivnim sposobnostima, značajkama virusnog algoritma. Znakovi virusa u računalu. Osnovne metode antivirusne zaštite.
prezentacija, dodano 13.08.2013
Podrijetlo računalnih virusa. Načini prodiranja virusa u računalo i mehanizam distribucije virusnih programa. Znakovi pojave virusa. Neutralizacija virusa. Mjere prevencije. Klasifikacija virusa prema destruktivnim sposobnostima.
sažetak, dodan 01.12.2006
Svojstva i podjela računalnih virusa, uporaba nevidljivih virusa. Sheme funkcioniranja jednostavnih virusa za pokretanje i datoteka. Trojanski konji, softverske oznake i mrežni crvi. Znakovi pojave virusa i metode zaštite od njih.
sažetak, dodan 01.11.2012
Povijest računalnih virusa. Princip virusa i njegovi glavni izvori. Rani znakovi infekcije računala. Znakovi aktivne faze virusa. Zaštita od računalnih virusa. Odgovornost za računalne zločine – unošenje virusa.
prezentacija, dodano 10.10.2011
Povijest nastanka računalnih virusa, njihova svojstva i klasifikacija. Načini prodora računalnih virusa u računalo i načini zaštite od njih. koncept antivirusni program. Vrste specijaliziranih programa zaštite. Pregled postojećih aplikacija.
seminarski rad, dodan 05.08.2013
