Классификация вирусов

Институт  экономики, управления и права (г. Казань) 
 
 
 
 
 
 
 
 

Реферат

“Классификация  вирусов ” 

  
 
 
 
 
 

 Выполнил  студент Салахеев И. И.

 I курса, очная, группа 101

                                      

                                              

 Проверил_______________________________ 
 
 

2011 г.

     Содержание

     Введение          3

  1. Что такое компьютерные вирусы и как они работают  5
  2. Жизненный цикл компьютерных вирусов    6
  3. Типы поражений, наносимых вирусами    9
  4. Классификация компьютерных вирусов    10
  5. Классификация методов защиты     14

    Заключение         16

    Список  использованных Интернет-ресурсов    17

 

Введение

     Персональные компьютеры получают всё большее и большее распространение, внедряясь во все новые сферы человеческой деятельности. Этому способствует постоянное и устойчивое снижение стоимости компьютеров, появление удобных в работе программ с дружественным интерфейсом, всемерное развитие глобальных компьютерных сетей, которые предоставляют доступ к неограниченным запасам информации.

     Надежность  аппаратного обеспечения компьютерных систем стала достаточно высока, и теперь человек доверяет компьютерам решение многих жизненно важных задач. Пользователям современных компьютеров уже незнакомы такие проблемы, как сбои дисковых систем.

     Однако несмотря на высоконадёжные компьютерные системы существует и другая опасность Это так называемые компьютерные вирусы, которые есть ни что иное, как программы, специально предназначенные для того, чтобы нарушать нормальную работу компьютерных систем.

     Коварность  вирусов не знает границ, а вред, который они могут принести в крупной компьютерной системе, поражает воображение. Не зря во многих странах создание и распространение вирусов преследуется по закону как уголовное преступление. Ведь, например, из-за вирусов могут быть потери информации в крупном банке, медицинском учреждении или нарушения работы военной компьютерной системы. И до сегодняшнего дня подобные случаи уже возникали в ряде стран.

     Важное  свойство компьютерных вирусов - способность  “размножаться”, бесконтрольно распространяясь в компьютерной среде. Переносчики компьютерных вирусов – это различные запоминающие устройства, локальные и глобальные сети.

     Для диагностики (обнаружения вирусов) обычно используют специальные программы, которые пользователи часто называют антивирусами (хотя есть более тонкая классификация). 

     Регулярная  диагностика имеет большое значение, так как чем раньше обнаружен  вирус, тем больше вероятность успеха лечения. Дело в том, что компьютерные вирусы делают свое чёрное дело не сразу, а с некоторой задержкой, необходимой на распространение. Чем раньше будет обнаружен вирус, тем легче его обезвредить.

     Что касается лечения компьютера, зараженного  вирусами, то оно не всегда возможно. Лечение также выполняется при  помощи специальных антивирусных программ, однако успех этой операции зависит от многих факторов. В частности, он зависит от того, насколько далеко зашли вредоносные действия вирусов.

     Применение  антивирусных программ не всегда эффективно. Причина этого заключается в  том, что в мире ежедневно создаются новые вирусы. Некоторые из этих вирусов используют различные приёмы маскировки, затрудняющие их обнаружение. Поэтому старые версии антивирусных программ оказываются бессильными.

     Одна  из основных причин распространения  вирусов - программы, полученные случайным образом или загруженные из электронных досок объявлений. Поэтому новое программное обеспечение имеет смысл проверять самыми последними версиями антивирусных средств.

     В данной работе мы рассмотрим различные аспекты, связанные с компьютерными вирусами и уделим внимание механизму распространения вирусов различных типов, так как знание этого механизма - половина успеха в борьбе с вирусами.

 

      Что такое компьютерные вирусы и как они  работают

     Наиболее  общее определение компьютерного  вируса можно дать как самораспространяющийся в информационной среде компьютеров программный код. Он может внедряться в выполнимые файлы программ, распространяться через загрузочные секторы дискет и жёстких дисков.

     Существуют  достаточно оригинальные вирусы, распространяющиеся через файлы документов, подготовленных в текстовом процессоре Microsoft Word for Windows и электронной таблице Microsoft Excel for Windows. Кроме перечисленных вирусов существуют и другие, например, вирусы, заражающие командные файлы - файлы с расширением BAT. Прогресс в мире вирусов не стоит на месте, десятки, если не сотни скучающих программистов делают свое черное дело и на свет появляются все более страшные и опасные.

     К сожалению, действие большинства вирусов  не ограничивается размножением и распространением. Они могут выполнять относительно безопасные или напротив, разрушительные действия.

     Внешне  действия вирусов могут выражаться в том, что периодически, например, по достижении определённого времени, вирус активизируется и выполняет какие-либо операции. Вирусы могут выводить на экран посторонние надписи, "осыпать" символы, уже отображенные на экране, перезагружать компьютер, замедлять работу компьютера, исполнять на встроенном динамике компьютера всевозможные мелодии, удалять файлы и каталоги, стирать выбранные случайным образом секторы жестких и гибких дисков.

     Существуют  вирусы, делающие “полезную” работу. Например, один из вирусов, поражающих файлы программ, одновременно сжимает  их, уменьшая размер. Благодаря этому  на диске компьютера становится больше свободного места. Такой вирус выполняет функции широко распространенной программы DIET, но делает это автоматически, не спрашивая на то разрешения у пользователя. 

     Можно придумать много другой полезной работы, которая под силу вирусам. Однако мы не станем отнимать хлеб у писателей вирусов, скажем только, что даже “полезные” вирусы могут быть очень опасны.

     Некоторые эффекты, вызываемые вирусами, например, внезапная перезагрузка компьютера или зависание, часто воспринимаются как аппаратная неисправность компьютера. На это и рассчитывают писатели вирусов. Действительно, причиной этому может послужить аппаратная неисправность компьютера.  

     Жизненный цикл компьютерных вирусов

     Подобно биологическим вирусам, для большинства  компьютерных вирусов характерен определённый инкубационный период, в течение которого выполняемые вирусом несанкционированные действия ограничиваются заражением других программ. Следует различать два основных действия (фазы), выполняемые компьютерные вирусом: размножение и проявление.

     Фаза размножения обычно является первой и обязательной фазой, на которой вирус заражает все новые и новые программы. При этом никаких других действий вирус обычно не выполняет.

     Фаза  проявления обязательно связана  с визуальным или звуковым эффектами. Последние, в основном, характерны для так называемых вирусов  - иллюзионистов, которые обычно внезапно демонстрируют свое присутствие с помощью визуального или звукового эффекта. Фаза проявления может также включать или исключительно заключаться в нанесение вирусом повреждений отдельным файлам или файловой системе компьютера. Повреждения могут быть массированными, когда, например, стирается FAT и другие системные блоки, или, наоборот, распределёнными, когда довольно часто выполняются небольшие, трудно обнаруживаемые повреждения.

     Наряду  с указанными действиями, вирус может обладать определённой латентной фазой, в течение которой никаких действий по своему размножению не предпринимается. Латентная фаза может быть обусловлена определённым временем периодом (например, определённым месяцем или годом), конфигурацией (например, вирус может активизироваться только при попадании на винчестер) или аппаратным особенностями (например, только на IBM PC).

     Инфицируя программу, вирусы могут распространяться от одной программы к другой (транзитивно), что делает их наиболее опасными по сравнению с другими методами компьютерного вандализма. Заражённая программа или ее копии могут передаваться через дискеты или по сети на другие ЭВМ. Учитывая широко распространённую практику обмена и передачи программ на дискетах среди пользователей персональных ЭВМ, количество заражённых программ может быть значительным, приводя к своего рода «эпидемиям». Этому также способствует распространённая в нашей стране практика использования одной ПЭВМ несколькими пользователями. В этом случае один неквалифицированный или злонамерный пользователь может нанести значительный ущерб другим пользователям. Особую опасность, с точки зрения распространения компьютерных вирусов, представляют любители компьютерных игр, обычно слабо знающие операционную систему и не вполне понимающие смысл выполняемых ими действий. Такие пользователи подвергают значительному риску своих коллег, работающих с ними на одной ПЭВМ. Компьютерные вирусы «бессмертны» и могут неограниченное время хранится в различного рода архивах. Даже «полностью уничтоженные» вирусы могут сохраниться в каком-нибудь архивном файле и случайно или умышленно «реанимироваться» через много месяцев или даже лет после первоначального обнаружения или уничтожения. Из этого следует важный вывод, что после первого обнаружения и уничтожения вируса следует ожидать повторных заражений. Таким образом, после появления определенного вируса борьба с ним становиться постоянной проблемой.

     Тот факт, что после первого заражения  обычно следует повторные, требует принятия специальных мер по предотвращению повторных заражений. Здесь можно двигаться в двух направлениях: во-первых, постараться найти первоисточник заражения и, во-вторых, разработать или установить готовые средства, затрудняющие или делающие невозможным размножение вируса. При поиске первоисточника заражения следует учитывать, что длина пути от первоначально заражённой программы до программы, в которой этот вирус был впервые обнаружен, может быть довольно большой. Практика показывает, что обычно в качестве обычного носителя вируса выступает популярная игровая программа или новая версия популярного программного продукта.

     Среда обитания вирусов ограничена выполняемыми программами, т.е. файлами типа EXE и COM, а также BOOT-секторами системных дисков. Не следует бояться, что вирус может быть перенесён через файл данных. В принципе возможно создание вируса, встраивающегося в загружаемые фазы оверлейной программы, однако такие вирусы до настоящего времени распространения не получили. Кроме того, возможен перенос вируса через BAT – файлы (например, путем вставки вызова вируса в качестве дополнительного шага BAT – файла), но эта возможность представляется еще более отдалённой.

     В любом случае для получения управления вирус должен модифицировать один из исполняемых файлов, поэтому контроль за их целостностью является очень важным методом их обнаружения.

     Что касается места, где вирус может  спрятать свое тело, то здесь многое зависит от изобретательности автора вируса. Для рассматриваемых ниже вирусов характерны четыре таких места:

  1. область стека некоторой системной программы;
  2. начало, конец или середина исполняемого файла;
  3. BOOT – сектор;
  4. один или группа сбойных кластеров.

     Некоторые типы «троянских программ», встраиваемые в библиотеки компиляторов, близки к вирусам, однако в данном случае они могут распространяться только на компилируемые (с помощью данного компилятора) программы. Способности к саморазмножению у данного типа программ нет, а именно она характерна для вирусов.  

     Типы  поражений, наносимых вирусами

     Вызываемые  вирусами последствия могут быть классифицированы по следующим основным категориям:

  1. Отказ в выполнении той или иной функции (например, блокирование вирусом C170R загрузки программы с защищённой от записи дискеты);
  2. Выполнение функции, не предусмотренной программой (например, форматирование диска, удаление файла и т.д.);
  3. Выдача ложных, раздражающих или отвлекающих сообщений (например, «падение букв» в вирусе C1701R, замедление выполнения программ в вирусе CE1813R, проигрывание мелодии в CE1810R, движущийся на экране ромбик в B1024R и т.д.).

     Наиболее  уязвимой частью файловой системы DOS является FAT (таблица размещения файлов). Если FAT разрушен, то DOS не в состоянии  определить местонахождение того или  иного файла, хотя сами файлы не повреждены. Вирус может также выполнять форматизацию некоторых участков диска, содержащих системные данные.

     Поэтому необходимо достаточно часто дублировать  управляющие данные файловой системы  на другой, заранее известный участок  диска или дискету. Для этой цели, в частности, можно использовать утилиту DBACK, а также Mirror из пакета PC SHELL.

       Наиболее опасны как раз не катастрофические повреждения винчестера или дискет (при адекватном архивировании это означает максимум потерю одного дня работы), а мелкие, незаметные изменения файлов данных. В частности, известен вирус, который ищет файлы типа DBF, и, найдя внутри файла числовое поле, меняет местами две рядом стоящие цифры. Хотя большинство повреждений, наносимых вирусом, относятся к данным, возможны также повреждения оборудования. Например, можно повредить участок люминофора («выжечь пятно») на монохроматическом мониторе, используя особенности схемы управления.

      Далеко  не все повреждения файловой системы, отказы винчестера или оборудования вызываются вирусами. Например, некоторые типы винчестеров имеют довольно низкую надежность и «сыпятся» без всякого вмешательства вирусов. Автору приходилось работать на изношенном дисководе ПЭВМ ЕС 1840, который при записи иногда стирал FAT. Причем восстановить поврежденный FAT при помощи известной утилиты Norton Doctor не удавалось.

      В то же время имеется тенденция  атрибутировать любое повреждение  данных присутствием вируса. Это, по сути, один из вариантов мании («вирусомания»), которая, подобно печальной известной шпиономании («шпионы под каждой кроватью»), имеет социально-психологическую этиологию. 

      Классификация компьютерных вирусов

     Классификация вирусов должна позволять однозначно охарактеризовать не только известные  вирусы, но и новые их разновидности по ограниченному числу сравнительно простых и непротиворечивых признаков.

     При её отсутствии существенно затрудняется характеристика различных средств защиты, что способствует дублированию разработок. В частности, приходилось неоднократно экспериментально устанавливать назначение тех или иных средств защиты, относительно которых разработчики не сообщали тип вируса, против которого применим данный программный продукт, или сообщали свою собственную «кличку». Например, вирус С648 авторами фага FAG_OM назван Omega, что конечно, свидетельствует об изобретательности авторов, но ничего не говорит потенциальным пользователям.

     Кроме того, стандартная классификация  существенно облегчает систематизацию, распространение и накопление знаний, а также обучение методам борьбы с тем или иным вирусом. При отсутствии стандартной классификации имеется тенденция аппроксимировать общее количество вирусов имеющимся количеством средств защиты и, прежде всего программ – фагов. Такая аппроксимация приводит к существенной переоценке общего количества имеющихся компьютерных вирусов, однако человек быстро «рационализирует» этот факт путём разбиения одного реального вируса на несколько «виртуальных», приписывая каждому свой набор признаков. Так, пользователям приходилось сталкиваться с «самодельной» классификацией, в которой вирусы С648 и СЕ1813R входили в двух «ипостасях» каждый, причем второй ипостаси вируса С648 приписывались черты вируса СE1813R (замедление работы компьютера).

     В то же время, при наличии стандартной  классификации набор признаков каждого типа вируса определяется однозначно, что обеспечивает быструю идентификацию вируса, а также возможность выделения новых видов и разновидностей.

     Здесь предлагается классификация, в которой  имя вируса состоит из буквенного префикса, цифрового корня и факультативного буквенного суффикса.

     Буквенный префикс характеризует среду  размножения вируса. В зависимости  от среды размножения можно выделить четыре основных типа вирусов: располагающиеся  в BOOT секторе и в сбойных секторах – бутовые вирусы (тип B), в COM и EXE – файлах – файловые вирусы (типы C и E), а также передающиеся по сети – сетевые вирусы (тип N). В некоторых случаях возможно сочетание префиксов, например, C и E (тип CE).  

     Цифровой  корень характеризует длину вируса. Поскольку точное определение этой величины затруднительно, используется ее приближённое значение, получаемое по следующим правилам:

     1. Для вирусов типа C и CE он принимается равным приращению длины файла COMMAND.COM при заражении. Если длинный вирус не заражает командный процессор, то в качестве аппроксимации длины используется минимальное приращение длин COM – файлов при заражении (для некоторых файловых вирусов приращения не является стабильным и зависит от длины заражаемого файла (например, при дописывании своего тела в конец заражаемого файла некоторые вирусы выравнивают начало своего тела на начало параграфа). К сожалению, в MS-DOS 3.3 имеются две версии командного процессора с длиной 25307 и 25308 байтов. Приводимые здесь данные относятся к COMMAND.COM длиной 25307.

     2. Для типа E в качестве аппроксимации длины принимается минимальное приращение длины при заражении файлов типа EXE.

     3. Для вирусов типа B в качестве аппроксимации длины принимается используемых секторов, умноженное на 512 (длину сектора).

     Такой подход повышает прогностическую ценность классификации, поскольку во многих случаях позволяет сразу по длине заражённого COMMAND.COM (а файловые вирусы поражают этот файл в числе первых) определить тип вируса. Для бутовых вирусов было бы более наглядным указывать наглядное количество занимаемых кластеров, однако нет никакой гарантии, что не появятся два или более вируса с одним и тем же количеством занимаемых кластеров.

     Вирусы  делятся на резидентные и нерезидентные. Нерезидентные вирусы, например, C648, получают управление после загрузки в память зараженной программы, а затем ищут файл – жертву, используя PATH, COMSPEC или другую информацию, и заражают этот файл. После этого управление возвращается зараженной программе.  

     В отличие от них, резидентные вирусы после загрузки в память и передачи управления заражённой программе перехватывают ряд прерываний и остаются в памяти резидентными. Получив управление после того или иного прерывания, они выполняют определённые действия. Так, при запуске программ резидентные файловые вирусы могут перехватывать вызов программы (прерывание 21-4B) и заражают запускаемую программу. Вирус CE1800K перехватывает также и прерывания по чтению и заражает, в частности, оба файла, копируемых командой COPY, если они имеют расширение EXE или COM. Аналогично бутовые вирусы (B1024R, B3072R), которые, по видимому, могут быть только резидентными, перехватывают прерывание по чтению, и если это прерывание идёт от дискеты, то выполняют заражение поставленной дискеты.

     В отличие от нерезидентных вирусов, резидентные вирусы имеют фазу инсталляции, в ходе которой они закрепляются в оперативной памяти и в то же время маскируются, стараясь затруднить свое обнаружение среди резидентных программ. Эта фаза инсталляции требует наличия особой части вируса – программы инсталлятора, которая не требуется для нерезидентных вирусов.

     Поскольку резидентность является очень важной характеристикой вируса, для классификации  резидентных вирусов используется суффикс R, например C1701R.

     В то же время некоторые резидентные  вирусы во время инсталляции используют COMSPEC для поиска COMMAND.COM. Поэтому сама по себе резидентность не определяет конкретных способов поиска «жертвы».

     По  степени разрушительности можно  условно различать два типа вирусов, которых можно назвать иллюзионистами (C1701R, CE1805R, B1024R) и убийцами (C648, CE800R, B3072R, C346R). Основным приоритетом при конструировании вирусов – иллюзионистов является демонстрация какого-нибудь экзотического звукового (СE1805R) или визуального эффекта типа бегающего шарика (B1024R), падающих букв (C1701R). В качестве основного приоритета вирусов – убийц является как можно более скрытое размножение, с тем, чтобы в фазе разрушения (детонации), уничтожающей и данный экземпляр вируса (при разрушении FAT, форматизации и других подобных действиях), предшествовало определённое количество незамеченных размножений.

     При этом наблюдается интересная взаимосвязь, на которую впервые обратил внимание автор Л. И Обухов: «если вирус демонстрирует визуальный или звуковой эффект, то,  скорее всего он не выполняет массированного разрушения данных». Действительно, это правило подтверждается на примере приведённых вирусов. Только CE1813R несколько выпадает из этого ряда. Однако создаваемые им визуальные эффекты (чёрное окно в левом нижнем углу и замедление работы ЭВМ)  довольно примитивны.  

Классификация методов защиты

     Среди важнейших мер по защите от вирусов  отметим следующие:

  1. резервирование (копирование FAT, ежедневное ведение архивов измененных файлов). Это самый важный, основной метод защиты от вирусов. Остальные методы не могут заменить ежедневное архивирование, хотя и повышают общий уровень защиты;
  2. профилактику (систематическая выгрузка содержимого активной части винчестера на дискеты или магнитную ленту, раздельное хранение вновь полученных программ и эксплуатирующихся, хранение неиспользуемых программ в архивах, использование специальной «инкубационной» зоны для записи новых программ с дискет);
  3. ревизию (анализ вновь полученных программ специальными средствами и их запуск в контролируемой среде, систематическое использование контрольных сумм при хранении и передаче программ, систематическая проверка BOOT – сектора используемых дискет и содержимого системных файлов (прежде всего COMMAND.COM) и др. Имеется целый ряд программ – ревизоров, обеспечивающих подсчёт контрольных сумм, из которых наиболее известна программа DLI (Directory Life Information), разработанная Герасимовым. Каждая новая программа, полученная без контрольных сумм, должна тщательно проверяться компетентными специалистами, по меньшей мере, на известные виды компьютерных вирусов и в течение определённого времени за ней должно быть организованно наблюдение);
  4. фильтрацию (использование Advancer Disk Manager для разбиения диска на «непотопляемые» отсеки – зоны с установленным атрибутом READONLY, использование резидентных программ типа Flu Shot Plus, Mace Vaccine для обнаружения попыток выполнить несанкционированные действия);
  5. вакцинирование (специальная обработка файлов, дисков, каталогов, запуск специальных резидентных программ – вакцин, имитирующих сочетание условий, которые используются данным типом вируса для определения заражена программа, диск, ЭВМ или нет, т.е. обманывающие вирусы);
  6. терапию (дезактивацию конкретного вируса в заражённых программах с помощью специальной программы – антибиотика или восстановление первоначального состояния программ путем «пожирания» всех экземпляров вируса в каждом из заражённых файлов или дисков с помощью программы – фага).

 

      Заключение

     Итак, можно привести массу фактов, свидетельствующих  о том, что угроза информационному ресурсу возрастает с каждым днём, подвергая в панику ответственных лиц в банках, на предприятиях и в компаниях во всем мире. И угроза эта исходит от компьютерных вирусов, которые искажают или уничтожают жизненно важную, ценную информацию, что может привести не только к финансовым потерям, но и к человеческим жертвам.

     Компьютерный  вирус - специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные  области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе компьютера.

     В настоящее время известно более 5000 программных вирусов, число которых непрерывно растёт. Известны случаи, когда создавались учебные пособия, помогающие в написании вирусов.

     И из истории компьютерной вирусологии ясно, что любая оригинальная компьютерная разработка заставляет создателей антивирусов приспосабливаться к новым технологиям, постоянно усовершенствовать антивирусные программы.

     Причины появления и распространения  вирусов скрыты с одной стороны  в психологии человека, с другой стороны - с отсутствием средств  защиты у операционной системы.

     Для того, чтобы вирусы не проникали  в нашу личную жизнь необходимо соблюдать меры по защите. Ведь для обнаружения, удаления и защиты от каких-то новых компьютерных вирусов разрабатываются и новые антивирусные программы.

 

      Список использованных Интернет-ресурсов

     http://www.frolov-lib.ru Фролов А., Фролов Г. “Осторожно: компьютерные вирусы”

     http://ypn.ru - Лаборатория Сетевой Безопасности “Компьютерные вирусы и проблемы антивирусной защиты”

     http://news.24-it.ru - Последние новости в мире информационных технологий “Что такое компьютерный вирус?”

     http://firstweb.bos.ru - Большой справочник по компьютерным вирусам

     http://www.ezpc.ru - Энциклопедия необходимых компьютерных знаний