Компьютерные віруси — поняття і классификация

Комп’ютерний вірус — поняття і классификация.

Комп’ютерний вірус — це спеціально написана, невеличка по розмірам програма (тобто. деяка сукупність виконуваного коду), яка може «приписувати «себе на інших програмах просто («заражати «їх), створювати свої копії та активніше впроваджувати в файли, системні області комп’ютера та т.д., а також виконувати різні небажані дії на компьютере.

Програма, всередині якої знаходиться вірус, називається «зараженої «. Коли такі програма починає цю роботу, то спочатку управління отримує вірус. Вірус знаходить і «заражає «інші програми, і навіть виконує якісь шкідливі дії (наприклад, псує файли чи таблицю розміщення файлів на диску, «засмічує «оперативну пам’ять і т.д.). Для маскування вірусу дії з зараженню інших програм, тож шкодять можуть виконуватися який завжди, а, скажімо, і під час певних условий.

Наприклад, вірус Anti-MIT щорічно 1 грудня руйнує усю інформацію на жорсткому диску, вірус Tea Time заважає вводити інформацію з клавіатури з 15:10 до 15:13, а знаменитий One Half, протягом усього минулого року її «гулявший» і з нашого міста, непомітно шифрує дані на жорсткому диску. У 1989 року американський студент зумів створити вірус, який вивів з експлуатації близько 6000 комп’ютерів Міністерства оборони США. Епідемія відомого вірусу Dir-II вибухнула 1991 року. Вірус використовував справді оригінальну, принципово нову технологію і виникає на початковому етапі зумів широко поширитися з допомогою недосконалості традиційних антивірусних коштів. Крістоферу Пайну удалося створити віруси Pathogen і Queeq, і навіть вірус Smeg. Саме він був небезпечним, його було накладати на перші двоє вірусу, і від цього після кожного прогону програми вони змінювали конфігурацію. Тому і не міг знищити. Щоб поширити те віруси, Пайн скопіював комп’ютерні ігри і програми, заразив їх, та був відправив знову на мережу. Користувачі завантажували до своєї комп’ютери, заражені програми розвитку й инфицировали диски. Ситуація ускладнилася тим, що Пайн примудрився занести віруси й у програмі, що з ними бореться. Запустивши її, користувачі замість знищення вірусів отримували іще одна. У результаті знищили файли безлічі фірм, збитки становлять мільйони фунтів стерлингов.

Широкої популярності отримав американський програміст Морріс. Він відомий як творець вірусу, що у листопаді 1988 року заразив порядку 7 тисяч персональних комп’ютерів, підключених до Internet.

Перші дослідження саморозмножуваних штучних конструкцій проводились середині нинішнього століття. Термін «комп'ютерний вірус» з’явився пізніше — офіційно його автором вважається співробітник Лехайского університету (США) Ф. Коэн в 1984 року на сьомий конференції по безпеки информации.

Експерти вважають, що у сьогодні число існуючих вірусів перевищила 20 тисяч, причому щодня з’являється від 6 до 9 нових. «Диких», тобто реально що циркулюють вірусів у час налічується близько 260.

Одне з найавторитетніших «вірусологів» країни Євген Касперський пропонує умовно класифікувати віруси за такими ознаками :

1. по середовища проживання вируса.

2. за способом зараження середовища обитания.

3. по деструктивним возможностям.

4. про особливості алгоритму вируса.

Більше докладну класифікацію всередині цих груп можна приблизно таке :

| |(|мережні |поширюються за | | | | |комп'ютерну мережу | |Середовище проживання: |(|файлові |проникають у | | | | |що їх файли | | |(|завантажувальні |впроваджуються у | | | | |завантажувальний сектор | | | | |диска (Boot-сектор) | | | | | | |Способи |(|резидентные |перебувають у пам’яті, | | | | |активні до вимикання | | | | |комп'ютера | |зараження: |(|нерезидентные |не заражають пам’ять, | | | | |є активними | | | | |обмежений час | | | | | | | |(|нешкідливі |мало впливають | | | | |працювати; зменшують | | | | |вільну пам’ять на | | | | |диску внаслідок | | | | |свого поширення| |Деструктивні |(|безпечні |зменшують вільну | | | | |пам'ять, створюють | | | | |звукові, графічні | | | | |й інші ефекти | |можливості: |(|небезпечні |можуть призвести до | | | | |серйозним збоїв в | | | | |роботі | | |(|дуже небезпечні |можуть призвести до | | | | |втрати програм чи | | | | |системних даних | | | | | | | |(|вирусы-«спутники"|вирусы, не які змінюють | | | | |файли, створюють для | | | | |ЕХЕ-файлов | | | | |файлы-спутники з | | | | |розширенням, СОМ | | |(|вирусы-„черви“ |поширюються за | | | | |мережі, розсилають свої | | | | |копії, вираховуючи | | | | |мережні адреси | |Особливості |(|"паразитичні» |змінюють вміст | | | | |дискових секторів чи | | | | |файлів | |алгоритму |(|"студентські" |примітив, містять | | | | |дуже багато | | | | |помилок | |вірусу: |(|"стелс"-вирусы |перехоплюють | | | |(невидимки) |звернення DOS до | | | | |ураженим файлам чи | | | | |секторам і підставляють| | | | |замість себе | | | | |незаражені ділянки | | |(|вирусы-призраки |немає жодного | | | | |постійного ділянки | | | | |коду, труднообнаружи- | | | | |ваемы, основне тіло | | | | |вірусу зашифроване | | |(|макровирусы |пишуться над машинних | | | | |кодах, але в WordBasic,| | | | |живуть у документах | | | | |Word, переписують | | | | |себе у Normal. dot |.

Основними шляхами проникнення вірусів у комп’ютер є знімні диски (гнучкі і лазерні), і навіть комп’ютерні мережі. Зараження жорсткого диска вірусами може статися за завантаженні програми з дискети, що містить вірус. Таке зараження може бути випадковим, наприклад, якщо дискету не вийняли з дисководу Проте й перезавантажили комп’ютер, у своїй дискета може бути відкрита і не системної. Заразити дискету набагато простіше. На неї вірус може потрапити, навіть якщо дискету просто вставили в дисковод зараженого комп’ютера та, наприклад, прочитали її оглавление.

Як працює вирус.

Розглянемо схему функціонування дуже простого завантажувального вірусу, заражающего дискеты.

Що відбувається, як ви включаєте комп’ютер? Насамперед управління передається програмі початковій завантаження, що зберігається на постійно запоминающем устрої (ПЗУ) тобто. ПНЗ ПЗУ.

Ця програма тестує обладнання та при успішному завершенні перевірок намагається знайти дискету в дисководу А:

Будь-яка дискета размечена на т.зв. сектори і доріжки. Сектори об'єднують у кластери, але це нас несущественно.

Серед секторів кілька службових, використовуваних операційній системою для потреб (у тих секторах що неспроможні розміщатися ваші дані). Серед службових секторів нас цікавить одне — т.зв. сектор початковій завантаження (boot-sector).

У секторі початковій завантаження зберігається інформацію про дискеті - кількість поверхонь, кількість доріжок, кількість секторів тощо. Але нас зараз цікавить не цю інформацію, а невеличка програма початковій завантаження (ПНЗ), які мають завантажити саму операційну систему і передати їй управление.

Отже, нормальна схема початковій завантаження следующая:

ПНЗ (ПЗУ) — ПНЗ (диск) — СИСТЕМА.

Тепер на вірус. У завантажувальних віруси виділяють частини — т.зв. голову та симбіоз т.зв. хвіст. Хвіст, власне кажучи, то, можливо пустым.

Нехай ви є чиста дискета і заражений комп’ютер, під яким ми розуміємо комп’ютер з активним резидентным вірусом. Щойно цей вірус знайде, що у дисководу з’явилася підходяща жертва — у разі не захищена від запису і ще заражена дискета, він вдається до зараженню. Заражаючи дискету, вірус виробляє такі действия:

5. виділяє деяку область диска і позначає її як недоступну операційній системі, можна зробити по-різному, в найпростішому і традиційному разі зайняті вірусом сектори позначаються як сбойные.

(bad).

6. копіює в виділену область диска свій хвоста й оригинальный.

(здоровий) завантажувальний сектор

7. заміщає програму початковій завантаження в завантажувальному секторе.

(теперішньому) своєї головой.

8. організує ланцюжок передачі управління відповідно до схеме.

Отже, голова вірусу тепер першої отримує управління, вірус встановлюється на згадку про і передає управління оригінальному завантажувальному сектору. У цепочке.

ПНЗ (ПЗУ) — ПНЗ (диск) — СИСТЕМА з’являється нове звено:

ПНЗ (ПЗУ) — ВІРУС — ПНЗ (диск) — СИСТЕМА.

Ми розглянули схему функціонування простого бутового вірусу, що у завантажувальних секторах дискет. Зазвичай, віруси здатні заражати як завантажувальні сектори дискет, а й завантажувальні сектори вінчестерів. Причому у на відміну від дискет на вінчестері є типу завантажувальних секторів, містять програми початковій завантаження, які отримують управління. При завантаженні комп’ютера з вінчестера першої утруднює себе керування програма початковій завантаження в MBR (Master Boot Record — головна завантажувальна запис). Якщо ваша жорсткий диск розбитий сталася на кілька розділів, лише них помечен як завантажувальний (boot). Програма початковій завантаження в MBR знаходить завантажувальний розділ вінчестера і передає управління на програму початковій завантаження цього розділу. Код останньої збігаються з кодом програми початковій завантаження, котра міститься на звичайних дискетах, а відповідні завантажувальні сектори відрізняються лише таблицями параметрів. Отже, на вінчестері є об'єкта атаки завантажувальних вірусів — програма початковій завантаження в MBR і яскрава програма початковій завантаження boot-секторе завантажувального диска.

Ознаки прояви вируса.

При зараження комп’ютера вірусом дуже важливо його знайти. І тому слід знайомитися з основних ознаках прояви вірусів. До них віднести такі: 9. припинення роботи, чи неправильна робота раніше успішно функционировавших програм 10. повільна робота комп’ютера 11. неможливість завантаження ОС 12. зникнення файлів і каталогів чи спотворення їх вмісту 13. зміна дати й часу модифікації файлів 14. зміна розмірів файлів 15. несподіване значне збільшення кількості файлів на диску 16. істотне зменшення розміру вільної оперативної пам’яті 17. висновок на екран непередбачених повідомлень чи вірогідних зображень 18. подача непередбачених звукових сигналів 19. часті зависання і збої у роботі компьютера.

Слід зазначити, що названі вище явища необов’язково викликаються присутністю вірусу, а може бути наслідком інших причин. Тому завжди утруднена правильна діагностика стану компьютера.

Антивірусні программы.

Для виявлення, видалення та від комп’ютерних вірусів розроблено спеціальні програми, що дозволяють виявляти і знищувати віруси. Такі програми називаються антивірусними. Сучасні антивірусні програми є багатофункціональні продукти, поєднують в собі як превентивні, профілактичні кошти, і засоби лікування вірусів і відновлення данных.

Вимоги до антивірусним программам.

Кількість і розмаїтість вірусів велике, і щоб їх швидко і ефективно знайти, антивірусна програма має відповідати деяким параметрам.

Стабільність і надійність роботи. Цей параметр, безперечно, визначальний — і найкращий антивірус виявиться цілком непотрібним, якщо він зможе нормально функціонувати вашому комп’ютері, тоді як результаті будь-якого збою у роботі програми процес перевірки комп’ютера не пройде остаточно. Тоді є ймовірність те, що якісь заражені файли залишилися незамеченными.

Розміри вірусної бази програми (кількість вірусів, які правильно визначаються програмою). З урахуванням постійного появи нових вірусів база даних повинна регулярно оновлюватися — який сенс від програми, не видящей половину нових вірусів як наслідок, що створює помилкове відчуття «чистоти» комп’ютера. Сюди слід вважати і можливість програми визначати всі можливі типи вірусів, та вміння працювати з файлами різних типів (архіви, документи). Важливим є також наявність резидентного монітора, здійснює перевірку всіх основних нових файлів «на льоту» (тобто автоматично, в міру їхнього записи на диск).

Швидкість роботи програми, наявність додаткових можливостей типу алгоритмів визначення навіть невідомих програмі вірусів (евристичне сканування). Сюди слід віднести можливість відновлювати заражені файли, не стираючи його з жорсткого диска, лише видаливши їх віруси. Важливим є й відсоток хибних срабатываний програми (помилкове визначення вірусу в «чистому» файле).

Многоплатформенность (наявність версій програми під різні операційні системи). Звісно, якщо антивірус використовується лише вдома, на одному комп’ютері, цей параметр немає великого значення. І ось антивірус для великої організації просто зобов’язаний підтримувати всі поширені операційні системи. З іншого боку, під час роботи у мережі важливим служить наявність серверних функцій, виділені на адміністративної роботи, і навіть можливість роботи з різними видами серверов.

Характеристика антивірусних программ.

Антивірусні програми діляться на: программы-детекторы, програмидоктора, программы-ревизоры, программы-фильтры, программы-вакцины.

Программы-детекторы забезпечують пошук і освоєння виявлення вірусів у оперативної пам’яті і зовнішніх носіях, і за виявленні видають відповідне повідомлення. Розрізняють детектори універсальні і специализированные.

Універсалістські детектори у роботі використовують перевірку незмінності файлів шляхом підрахунку і перевірки еталоном контрольної суми. Недолік універсальних детекторів пов’язані з неможливістю визначення причин спотворення файлов.

Спеціалізовані детектори виконують пошук відомих вірусів з їхньої сигнатуре (повторюваному ділянці коду). Недолік таких детекторів у тому, що вони нездатні виявляти всі відомі вирусы.

Детектор, дозволяє виявляти кілька вірусів, називають полидетектором.

Недоліком таких антивірусних про грам і те, що можуть знаходити ті віруси, які відомі розробникам таких программ.

Программы-доктора (фаги), як знаходять заражені вірусами файли, а й «лікують «їх, тобто. видаляють з файла тіло програми вірусу, повертаючи файли у початковий стан. На початку своєї роботи фаги шукають віруси в оперативної пам’яті, знищуючи їх, і лише для того переходять до «лікуванню «файлів. Серед фагов виділяють полифаги, тобто. программы-доктора, призначені на допомогу пошуку і знищення великої кількості вирусов.

З огляду на, що постійно з’являються нові віруси, программы-детекторы і программы-доктора швидко застарівають, і потрібно регулярне відновлення їх версий.

Программы-ревизоры ставляться до надійним засобам захисту від вірусів. Ревізори запам’ятовують вихідне стан програм, каталогів і системних областей диска тоді, коли комп’ютер не заражений вірусом, та був періодично чи з бажанню користувача порівнюють поточний стан з вихідним. Виявлені зміни виводяться на екран відеомонітора. Як правило, порівняння станів виробляють відразу після завантаження операційній системи. При порівнянні перевіряються довжина файла, код циклічного контролю (контрольна сума файла), дата та палестинці час модифікації, інші параметры.

Программы-ревизоры мають досить розвинені алгоритми, виявляють стелс-вирусы і витрати можуть відрізнити зміни версії перевіреній програми змін, внесених вирусом.

Программы-фильтры (сторожа) являють собою невеличкі резидентные програми, призначені щоб виявити підозрілих дій при роботі комп’ютера, притаманних вірусів. Такими діями можуть являться:

. спроби корекції файлів з розширеннями СОМ і ЕХЕ;

. зміна атрибутів файлов;

. пряма запис на диск з абсолютного адресу;

. запис в завантажувальні сектора диска.

. завантаження резидентной программы.

При спробі будь-якої програми зробити зазначені дії «сторож «посилає користувачеві повідомлення зв пропонує заборонити чи дозволити відповідне дію. Программы-фильтры дуже потрібні, так як здатні знайти вірус самісінькому ранній стадії його існування до розмноження. Але вони не «лікують «файли і диски. Для знищення вірусів потрібно застосувати інші програми, наприклад фаги. До вад програмсторожів можна віднести їх не «настирливість «(наприклад, вони постійно видають попередження про будь-який спробі копіювання виконуваного файла), і навіть можливим конфліктам з іншим програмним обеспечением.

Вакцини (иммунизаторы) — це резидентные програми, предотвращающие зараження файлів. Вакцини застосовують, якщо відсутні программы-доктора, «і «цей вірус. Вакцинація можливе тільки відомі вірусів. Вакцина модифікує програму чи диск в такий спосіб, щоб це відбивалося з їхньої роботі, а вірус сприйматиме їх зараженими і тому вселиться. Нині программы-вакцины мають обмежений применение.

Суттєвим недоліком таких програм був частиною їхнього обмежені спроби з запобіганню зараження від значної частини різноманітних вирусов.

Короткий огляд антивірусних программ.

При виборі антивірусної програми необхідно враховувати як відсоток виявлення вірусів, а й виявляти нові віруси, кількість вірусів у антивірусної базі, частоту її відновлення, наявність додаткових функций.

Нині серйозний антивірус мусить уміти розпізнавати не менш 25 000 вірусів. Не отже, що вони перебувають «волі «. На насправді більшість їх або вже припинила своє існування чи перебувають у лабораторіях і поширюються. Реально можна зустріти 200- 300 вірусів, а небезпеку становлять лише кілька десятків з них.

Існує безліч антивірусних програм. Розглянемо найбільш відомі з них.

Norton AntiVirus 4.0 і 5.0 (виробник: «Symantec»).

Одне з найвідоміших і антивірусів. Відсоток розпізнавання вірусів дуже високий (близький до 100%). У конкурсній програмі використовується механізм, що дозволяє розпізнавати нові невідомі вирусы.

У інтерфейсі програми Norton AntiVirus є функція LiveUpdate, що дозволяє клацанням на одній-єдиній кнопці оновлювати через Web як програму, і набір сигнатур вірусів. Майстер боротьби з вірусами видає докладну інформацію про виявленому вірус, і навіть надає вам можливість вибору: видаляти вірус або у автоматичному режимі, або більш обачно, у вигляді покрокової процедури, що дозволяє побачити кожна з виконуваних у процесі видалення действий.

Антивірусні бази оновлюються часто-густо (іноді відновлення з’являються кілька разів на тиждень). Є резидентный монитор.

Недоліком даної програми є складність настройки (хоча базові настройки змінювати, мало требуется).

Dr Solomon’s AntiVirus (виробник: «Dr Solomon’s Software»).

Вважається однією з кращих антивірусів (Євген Касперський якто сказав, що це єдиний конкурент його AVP). Виявляє практично 100% визначних акторів і нових вірусів. Багато функцій, сканер, монітор, евристика і що необхідно щоб успішно протистояти вирусам.

McAfee VirusScan (виробник: «McAfee Associates»).

Це з найвідоміших антивірусних пакетів. Дуже добре видаляє віруси, але в VirusScan гірше, ніж в інших пакетів, справи з виявленням нових різновидів файлових вірусів. Він легко і швидко встановлюється з допомогою настройок за умовчанням, але можна налаштувати і з власний розсуд. Можете сканувати все файли чи лише програмні, поширювати або поширювати процедуру сканування на стислі файли. Має багато функцій до роботи з мережею Интернет.

Dr.Web (виробник: «Діалог Наука»).

Популярний вітчизняний антивірус. Добре розпізнає віруси, але у базі їх менше ніж в інших антивірусних программ.

Antiviral Toolkit Pro (виробник: «Лабораторія Касперского»).

Це антивірус визнаний в усьому світі є як одне із найбільш надійних. Попри простоту використання він має всім необхідними арсеналом для боротьби з вірусами. Евристичний механізм, надлишкове сканування, сканування архівів і упакованих файлів — це зовсім повний перелік його возможностей.

Лабораторія Касперского уважно стежить за появою нових вірусів і випускає відновлення антивірусних баз. Є резидентный монітор контролю за виконуваними файлами.

Заключение

.

Попри широку поширеність антивірусних програм, віруси продовжують «плодитися». Щоб дати собі раду, необхідно створити більш універсальні і качественно-новые антивірусні програми, які містити все позитивні властивості своїх попередників. До жалю, нині немає такого антивірусної програми, яка гарантувала б захисту від всіх різновидів вірусів на 100%, але деякі фірми, наприклад «Лабораторія Касперского», нині досягли непоганих результатов.

Захищеність від вірусів залежить від грамотності користувача. Застосування разом всіх видів захистів дозволить досягти високої безпеки комп’ютера, і, информации.

СПИСОК ВИКОРИСТАНОЇ ЛИТЕРАТУРЫ Ахметов До. Курс молодого бійця. Москва, Компьютер-пресс, 1997.

Касперский Є. Комп’ютерний віруси в MS-DOS. Москва, Эдель-Ренессанс, 1992.

Мир ПК. № 4,1998.