Компьютерные вирусы. 54

Сожержание

Введение                                                                                                                   2

1. Общие сведения о компьютерных вирусах                                                3
2. Классификация компьютерных вирусов                                                    6
3. Механизмы заражения компьютерными вирусами                                 10
4. Методы и средства защитыот компьютерных вирусов                           13
5.      Профилактика заражения вирусами компьютерных систем                  16
6.      Признаки появления вирусов                                                                     18

Заключение                                                                                                             23

Список используемой литературы                                                                       24

Введение

Компьютерный вирус - это  небольшая программа, написанная программистом  высокой квалификации, способная  к саморазмножению и выполнению разных деструктивных действий. На сегодняшний день известно свыше 50 тыс. компьютерных вирусов.

Существует много разных версий относительно даты рождения первого  компьютерного вируса. Однако большинство  специалистов сходятся на мысли, что  компьютерные вирусы, как таковые, впервые  появились в 1986 году, хотя исторически  возникновение вирусов тесно  связано с идеей создания самовоспроизводящихся  программ. Одним из "пионеров" среди компьютерных вирусов считается  вирус "Brain", созданный пакистанским программистом по фамилии Алви. Только в США этот вирус поразил свыше 18 тыс. компьютеров. В начале эпохи компьютерных вирусов разработка вирусоподобных программ носила чисто исследовательский характер, постепенно превращаясь на откровенно вражеское отношение к пользователям безответственных, и даже криминальных "элементов". В ряде стран уголовное законодательство предусматривает ответственность за компьютерные преступления, в том числе за создание и распространение вирусов.

Вирусы действуют только программным путем. Они, как правило, присоединяются к файлу или проникают  в тело файла. В этом случае говорят, что файл заражен вирусом. Вирус  попадает в компьютер только вместе с зараженным файлом. Для активизации  вируса нужно загрузить зараженный файл, и только после этого, вирус  начинает действовать самостоятельно.

Некоторые вирусы во время  запуска зараженного файла становятся резидентными (постоянно находятся  в оперативной памяти компьютера) и могут заражать другие загружаемые  файлы и программы. Другая разновидность  вирусов сразу после активизации  может быть причиной серьезных повреждений, например, форматировать жесткий диск. Действие вирусов может проявляться по разному: от разных визуальных эффектов, мешающих работать, до полной потери информации. Большинство вирусов заражают исполнительные программы, то есть файлы с расширением .EXE и .COM, хотя в последнее время большую популярность приобретают вирусы, распространяемые через систему электронной почты.

1. Общие сведения о компьютерных вирусах

Компьютерный вирус как  специальный класс саморепродуцирующихся программ может причинить большой вред данным и программному обеспечению компьютерных систем. Он представляет собой специально написанную, небольшую по размерам программу, которая может "заражать" другие программы, моди­фицируя их посредством добавления своей, возможно измененной, копии. Однажды внесенный в систему, компьютерный вирус распространяется в ней самостоятельно подобно лавине.

Приблизительно до середины прошлого столетия было распространено мнение, что саморепродукция, также как и мутация, характеризует процесс естественного развития только для живой природы. В конце 40-х - начале 50-х гг. американский математик Джон фон Нейман показал принципиальную возможность саморепродукции искусственных систем. В дальнейшем на этой основе были открыты и саморепродуцирующиеся программы для компьютеров.

Одним из ранних примеров подобных программ стала обнаруженная в конце 60-х годов размножающаяся по сети ARPANET программа, известная сегодня  как Creeper (Вьюнок). Вьюнок проявлял себя текстовым сообщением: "Я вьюнок ,.. поймай меня, если сможешь". Он не причинял вреда ресурсам пораженного компьютера, только лишь беспокоил его владельца. Каким бы безвредным Вьюнок не казался, он впервые показал, что проникновение на чужой компьютер возможно без ведома и против желания его владельцев.

Термин "компьютерный вирус" был введен сравнительно недавно - в  середине 80-х годов. В 1984 г. Ф.Коэном на 7-й конференции по безопасности информации, проходившей в США, был представлен специальный класс саморепродуцирующихся программ. На основе необычного сходства некоторых свойств этой программы с биологическим вирусом она и была названа компьютерным вирусом. Это сходство с биологическим вирусом обнаруживается по:

- способности к саморазмножению;

- высокой скорости распространения;

- избирательности поражаемых  систем;

- способности "заражать" еще незараженные системы;

- трудности борьбы с  вирусами и т.д.

Из-за сходства компьютерных и биологических вирусов вместе с термином "вирус" используются и другие медицинские термины: "заражение", "профилактика", "лечение", "среда  обитания" и др.

В последнее время к  особенностям, характерным для компьютерных и биологических вирусов, можно  добавить еще и постоянно увеличивающуюся  быстроту появления новых поколений  и модификаций компьютерных вирусов.

Если скорость появления  биологических вирусов можно  объяснить могуществом и бесконечным  разнообразием природы, то компьютерные вирусы скоростью своего возникновения  обязаны только изобретательности  людей определенного склада ума.

Как и биологический вирус, который только при наличии основной клетки может стать активным, компьютерный вирус всегда связан с программой-носителем. Вирусные программы -это небольшие по размерам и трудно обнаруживаемые в КС программы. Такие программы способны к саморепродукции (само­воспроизведению) и могут модифицировать или уничтожать программное обеспечение или данные, хранящиеся в КС. Особенность саморепродукции вирусных программ заключается в том, что их копии вводятся в другую выполняемую или транслируемую программу, а скопированная инфицированная программа переносит копию вируса в другие программы, продолжая и поддерживая процесс его распространения.

Вирусные программы могут  существовать в следующих четырех  фазах:

-"спячка";

- распространение в КС;

- запуск;

- разрушение программ  и данных или какие-либо другие  негативные эффекты.

Фаза "спячки" может  использоваться разработчиком вирусной программы для создания у пользователя уверенности в правильной работе КС.

Фаза распространения  обязательна для любой программы-вируса. 3 этой фазе в процессе загрузки и  выполнения программы, зараженной вирусом, происходит заражение других программ путем многократного самокопирования  вируса в другие программы и системные  области.

Запуск вируса осуществляется, как правило, после некоторого события, например наступления определенной даты или заданного числа копирований.

В последней фазе происходит разрушение программ и данных или  какие-либо другие негативные действия, предусмотренные автором вируса.

В настоящее время в  мире зарегистрировано более 40 тыс. компьютерных вирусов. Большинство вирусов, обнаруженных на сегодняшний день в России и  за рубежом, ориентированы на действие в среде определенных операционных систем. Наибольшее распространение они получили в персональных ЭВМ.

Некоторые вирусы не представляют серьезной опасности, являются по существу безвредными и созданы не злонамеренно, а ради шутки или эксперимента с существующей техникой.

Вместе с тем, многие вирусы вызывают не только снижение эффективности  работы КС, но и приводят к опасным  нарушениям целостности, конфиденциальности и доступности информации.

Описания фактов вирусного  заражения компьютерных систем, в  том числе и с достаточно серьезными последствиями, постоянно освещаются в прессе и других средствах массовой информации. При этом количество инцидентов, связанных с вирусами, вероятно, превосходит опубликованные цифры, поскольку многие фирмы умалчивают о вирусных атаках, не желая повредить  своей репутации и привлечь внимание хакеров.

2. Классификация компьютерных вирусов

Все компьютерные вирусы могут  быть классифицированы по следующим  признакам:

- по среде обитания;

- по способу заражения  среды обитания;  

- по деструктивным возможностям;

- по особенностям алгоритма  функционирования.

В зависимости от среды  обитания вирусы бывают сетевые, файловые и загрузочные. Сетевые вирусы распространяются по компьютерной сети. Файловые вирусы размещаются в исполняемых файлах. Загрузочные вирусы внедряются в  загрузочные сектора (области) внешних  запоминающих устройств.

По способу заражения  компьютерные вирусы делятся на резидентные и нерезидентные. Резидентные вирусы после их инициализации полностью или частично перемещаются из среды обитания (сеть, загрузочный сектор, файл) в оперативную память ЭВМ, где могут находиться продолжительное время, отслеживая появление доступной для заражения жертвы. В отличие от резидентных нерезидентные вирусы попадают в оперативную память ЭВМ только на время активности, в течение которого выполняют деструктивную функцию. Затем вирусы полностью покидают вместе с программой-носителем оперативную память, оставаясь в среде обитания.

Арсенал деструктивных или  вредительских возможностей компьютерных вирусов весьма обширен и зависит  от целей и квалификации их создателей, а также от особенностей компьютерных систем.

По степени опасности  для информационных ресурсов пользователя компьютерные вирусы можно разделить  на:

- безвредные;

- неопасные;

- опасные;

- очень опасные.

Безвредные компьютерные вирусы практически не влияют на работу КС. Их авторы не ставят перед собой  цель нанести какой-либо ущерб ресурсам КС. Ими, как правило, движет желание  показать свои возможности программиста. Для таких людей создание компьютерных вирусов - это своеобразная попытка  само­утверждения.

Неопасные вирусы также не причиняют серьезного ущерба ресурсам КС. Они лишь уменьшают свободную  память компьютера. Деструктивное воздействие  таких вирусов сводится к выводу на экран монитора шуточных текстов  и картинок, исполнению музыкальных  фрагментов и т.п.

К опасным относятся вирусы, которые вызывают существенное снижение эффективности КС, но не приводят к  нарушению целостности и конфиденциальности информации, хранящейся в запоминающих устройствах. Последствия таких вирусов могут быть ликвидированы без особых затрат материальных и временных ресурсов. Примерами таких вирусов являются вирусы, занимающие память ЭВМ и каналы связи, но не блокирующие работу сети; вирусы, вызывающие необходимость повторного выполнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи и т.п.

Очень опасными следует считать  вирусы, вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе путем шифрования) информации, а также вирусы, блокирующие  доступ к информации, приводящие к  отказу технических средств и  наносящие вред здоровью пользо­вателей.

Известны вирусы, вызывающие неисправности технических средств  КС. Например, с помощью программы-вируса может возникнуть такой режим  работы электромеханических устройств, при котором на резонансной частоте  происходит разрушение их движущихся частей. Может быть также задан  режим интенсивно­го использования  отдельных интегральных схем, при  котором наступает их перегрев и  выход из строя.

Возможны также воздействия  на психику пользователя с помощью  специально подобранных видеоизображений, выдаваемых на экран монитора с определенной частотой (каждый двадцать пятый кадр). Встроенные кадры этой видеоинформации  воспринимаются человеком на подсознательном  уровне. В ре­зультате такого воздействия может быть нанесен серьезный ущерб психике человека.

В зависимости от особенностей алгоритма функционирования вирусы можно разделить на два класса:

- вирусы, не изменяющие  среду обитания при распространении;

- вирусы, изменяющие среду  обитания.

В свою очередь, вирусы, не изменяющие среду обитания, можно разделить  на две группы:

-  вирусы-"спутники";

-  вирусы-"черви".                                                             

Вирусы-"спутники" не изменяют файлы, а создают копии для файлов, имеющих расширение .ЕХЕ. Копии присваивается то же имя, что и исполняемому файлу, но расширение изменяется на .СОМ. При запуске файла с общим именем операционная система первым загружает на выполнение файл с расширением .СОМ, который является программой-вирусом. Файл-вирус запускает затем и файл с расширением .ЕХЕ.

Вирусы-"черви" попадают в рабочую станцию из сети, вычисляют адреса рассылки вируса по другим абонентам сети и передают вирусы.

По сложности, степени  совершенства и особенностям маскировки алгоритмов вирусы, изменяющие среду  обитания, делятся на:

- студенческие;                                                            

-  "стелс"-вирусы (вирусы-невидимки);

-  полиморфные.

К студенческим относятся вирусы, создатели которых имеют невысокую квалификацию. Такие вирусы, как правило, являются нерезидентными, довольно просто обнаруживаются и удаляются.

"Стелс"-вирусы и полиморфные вирусы создаются квалифицированными специалистами, хорошо знающими принцип работы аппаратных средств и операционной системы, а также владеющими навыками работы с машиноориентированными системами программирования.

"Стеле"-вирусы могут быть только резидентными. Они обычно маскируют свое присутствие в среде обитания под программы операционной системы. Такие вирусы активизируются при возникновении прерываний, выполняют определенные действия, в том числе и по маскировке, и только затем управление передается программам операционной системы, обрабатывающим эти прерывания. В некоторых случаях "стелс"-вирусы способны противодействовать антивирусным программам, периодически контролирующим целостность данных. Они могут изменить алгоритм самой программы контроля целостности таким образом, чтобы она всегда выдавала положительный результат проверки.

Полиморфные вирусы, в отличие  от большинства обычных вирусов, не имеют постоянных опознавательных  групп символов-сигнатур. Обычные  вирусы используют на стадии распространения такие сигнатуры, размещая их в зараженном файле или секторе для того, чтобы избежать многократного заражения одних и тех же объектов, поскольку при этом значительно возрастает вероятность обнаружения вируса. Полиморфные вирусы используют для защиты от изучения и обнаружения средства шифрования. При этом полиморфные вирусы при создании каждой новой копии (т.е. при распространении) обладают способностью изме­няться (мутировать) настолько, что их практически невозможно идентифицировать. Для этого, кроме шифрования, используются различные "механизмы мутации" кода вирусной программы.

3. Механизмы заражения компьютерными вирусами

Механизм заражения компьютерным вирусом зависит от среды его  обитания, т.е. от того, является данный вирус файловым или загрузочным.

Файловые вирусы используют в качестве своего носителя исполняемые  файлы. К ним относятся файлы, состоящие из команд операционной системы, файлы пользовательских и системных  программ в машинных кодах, а также  исполняемые с помощью макрокоманд  программы, автоматизирующие работу с  до­кументами и таблицами (например, MS Word, MS Office, MS Excel).

Файловые вирусы могут  размещаться в начале, середине или  конце заражаемого файла.

Если код вируса располагается  в начале заражаемой программы, то тело самой программы оттесняется  и приписывается к концу файла. Наряду с оттеснением программы  может применяться вытеснение программы  без сохранения ее содержимого.

Такая программа становится «убитой насмерть» и не может  быть восстановлена никакими антивирусными средствами.

Подобным образом реализуется  механизм заражения при размещении вирусного кода в середине программы. Из середины файла «изымается» фрагмент программы, равный по объему коду вируса, и приписывается к концу файла. Сам вирус записывается в освободившееся место. Возможно также внедрение вируса в середину файла без сохранения участка, на место которого помещается вирус.

Чаще всего вирус внедряется путем приписывания его в конец  файла. При этом, как и в случае с внедрением вируса в середину файла, первые команды файла должны быть заменены командами перехода на тело вируса.

Деструктивная функция вируса, как правило, проявляется не сразу. Как и при настоящей вирусной инфекции, при заражении компьютерным вирусом имеется «инкубационный»  период, на протяжении которого вирусы только размножаются, никак не проявляя себя. Заражая новые программы, вирусы стараются сохранить их работоспособность, с тем чтобы не выдать свое присутствие.

Инициирование деструктивной  функции вируса может осуществляться при выполнении определенных условий, например в случае реализации заданного  числа заражений программ, при  наступлении определенной даты, при  обращении операционной системы к некоторому ресурсу и т.д.

Особое место среди  файловых вирусов занимают так называемые макровирусы. В отличие от программных  вирусов, макровирусы заражают файлы  не программ, а данных. Это возможно, если формат хранения данных допускает  использование макрокоманд для  более удобного представления информации. На­пример, файлы текстового редактора MS Word, табличного процессора MS Excel могут содержать макрокоманды на языке Visual Basic. Макровирусы представляют собой вредительские программы, написанные на макроязыке, встроенном в текстовый редактор, табличный процессор или другой пакет программных средств. При использовании этих средств для выполнения определенных действий над файлами (открытие, сохранение, закрытие и т.д.) автоматически выполняются соответствующие макропрограммы файлов. При этом получают управление и макровирусы, написанные на том же макроязыке, причем такое управление они получают либо автоматически, либо при выполнении определенных условий (например, при выборе определенной клавиши). Работая в «зараженном» редакторе (процессоре) с другим файлом, последний также заражается.

Многие макровирусы можно  рассматривать как резидентные, так как обычно такие вирусы находятся  в оперативной памяти и осуществляют негативное воздействие на редактируемые  документы, начиная с момента  загрузки зараженных данных до момента  завершения работы редактора данных.

В отличие от макровирусов, большинство других файловых вирусов  относится к числу нерезидентных. Это связано с тем, что такие  вирусы используют в качестве носителя не файлы данных, а программные  файлы, а поэтому находятся в  оперативной памяти только на время  инициализации программ, после чего покидают ее вместе с программой-носителем.

Загрузочные вирусы с учетом механизма их распространения (заражения) относятся к числу резидентных. Загрузочные вирусы размещаются  в загрузочных (Boot) секторах гибких магнитных дисков, а также в области, предназначенной для хранения главной загрузочной записи (MBR) жестких дисков.

Если диск, с которого производится загрузка операционной системы, заражен загрузочным вирусом, то этот вирус первым получает управление, переписывает сам себя в оперативную  память, тем самым резидентно заражая  компьютер. Только после этого копируется загрузочный сектор диска и ему  передается управление. В дальнейшем активный вирус, постоянно находясь в ОП, будет заражать загрузочные  сектора всех еще не зараженных гибких дисков, замещая в них программу  начальной загрузки своей головкой (заголовком) и получая соответствующее  управление. Такое заражение может  произойти даже в том случае, если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление. Распространение  загрузочных вирусов происходит наиболее часто при перезагрузке операционной системы после так называемых "зависаний" или отказов ЭВМ.

С точки зрения механизма  распространения загрузочные вирусы обладают гораздо меньшими возможностями  по сравнению с программными файловыми  вирусами. Для последних всегда имеется  достаточно большое количество программ, доступных для заражения. Загрузочным  вирусам приходится дожидаться того момента, когда в дисковод будет  помещен не защищенный от записи и  еще не зараженный носитель информации.

4. Методы и средства защитыот компьютерных вирусов

Необходимость разработки и  использования специальных антивирусных средств вызвана массовым распространением и серьезными последствиями воздействия  на ресурсы КС компьютерных вирусов. Эффективность защиты от компьютерных вирусов существенно повышается при совместном применении как антивирусных программно-аппаратных средств, так  и организационно-профилактических мер.

Антивирусные программные  и программно-аппаратные средства применяются  для решения следующих основных задач:

- обнаружение вирусов  в КС;

- блокирование работы  программ-вирусов;

- удаление вирусов и  восстановление ресурсов КС.

Существующие в настоящее  время программные средства антивирусной защиты бывают следующих видов:

-  программы-детекторы;

- программы-фильтры;

- программы-ревизоры;

- программы-доктора, или  фаги;

- программы-вакцины или  иммунизаторы.

Программы-детекторы позволяют  обнаружить только те вирусы, которые известны разработчикам таких программ. С этой  целью осуществляется поиск путем сканирования характерного для конкретного вируса опознавательного кода (сигнатуры). При  обнаружении вируса программа-детектор выводит на экран соответствующее  сообщение.  Примером  такой  программы  может быть популярный американский антивирус Norton Antivirus 2000 (NAV), существующий в Windows- и DOS-версиях. Ежемесячно обновляемая база данных этой программы содержит более 40 тыс. записей, отражающих характерные признаки существующих вирусов.

Для обнаружения вирусов  используются программы-фильтры и  программы-ревизоры.

Программы-фильтры, или "сторожа", представляют собой небольшие резидентные  программы, которые обнаруживают подозрительные действия при работе компьютера, характерные  для вируса. Это могут быть, например, попытки изменения атрибутов  файла. При обнаружении таких  действий «сторож» посылает пользователю соответствующее сообщение. Достоинством программ-фильтров является их способность  к обнаружению вирусов на самой  ранней стадии существования, т.е. до размножения. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит MS DOS. К недостаткам программ-сторожей можно отнести их "назойливость" (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), что мешает работе и вызывает раздражение пользователей.

Наиболее надежным средством  обнаружения вирусов являются программы-ревизоры. Эти программы запоминают исходное состояние программ, каталогов и  системных областей диска тогда, когда компьютер еще не заражен  вирусом, а затем периодически или  по желанию пользователя сравнивают текущее состояние с исходным. По результатам ревизии программа выдает сведения о предположительном наличии вирусов.

Основным достоинством данного  программного средства является возможность  обнаружения вирусов всех типов, а также неизвестных вирусов. Исключение составляют макровирусы, для обнаружения которых программы-ревизоры непригодны, так как текстовые и табличные данные достаточно часто изменяются. С помощью программ-ревизоров невозможно также определить вирус в файлах, которые поступают в систему уже зараженными. Такие вирусы обнаруживаются только после размножения в системе.

К числу программ-ревизоров  относится, например, широко распространенная в России программа Adinf.

Программы-доктора, или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют  из файла тело программы-вируса, возвращая  файлы в исходное состояние. В  начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая  их, и только затем переходят к  «лечению» файлов. Среди фагов  выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и  уничтожения большого количества вирусов.

Антивирусы-полифаги исторически  появились первыми и до сих  пор удерживают несомненное лидерство  в этой области.

К числу подобных программ раннего поколения относится  программа-полифаг Aidstest, первая версия которой была выпущена еще в 1988 г. Первоначально антивирусы-полифаги работали по очень простому принципу: осуществляли последовательный просмотр (сканирование) файлов на предмет нахождения в них сигнатур известных вирусных программ. Если такая сигнатура была обнаружена, то производилась процедура удаления вирусного кода из тела программы или документа.

Последующее значительное усложнение вирусных программ, увеличение их общего количества вызвали необходимость  совершенствования антивирусных средств. Программы-доктора стали использовать для обнаружения вирусов эвристические  анализаторы.

Сущность эвристического анализа состоит в проверке возможных  сред обитания дисков и выявлении  в них команд, а значит и действий, характерных для вирусов. Такими командами могут быть команды создания резидентных модулей в оперативной памяти, команды прямого обращения к дискам, минуя операци­онную систему. Эвристические анализаторы при обнаружении «подозрительных» команд в файлах или загрузочных секторах выдают сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами.

Эвристический анализатор имеется, например, в антивирусной программе  Doctor Web. Одной из самых популярных в России антивирусных программ, имеющих эвристический анализатор, является программа Antiviral Toolkit Pro 3.0 (AVP). На данный антивирус выходит еженедельное обновление, в его базе более 30 тыс. записей. Программа AVP относится к классу детекторов-докторов и является одним из лидеров антивирусных программ на российском рынке.

В отсутствие программ-докторов, осуществляющих "лечение" от вирусов, применяются программы-вакцины, или  иммунизаторы, предотвращающие заражение файлов. Для этого соответствующая вакцина модифицирует программу таким образом, чтобы это не отражалось на ее работе, а вирус в нее не внедрялся, воспринимая ее как уже зараженную. В настоящее время программы-вакцины имеют ограниченное применение.