Компьютерные вирусы и борьба с ними. 5

Федеральное агентство по образованию

Государственное образовательное  учреждение

высшего профессионального  образования

Тамбовский государственный  университет им. Г.Р.  Державина

Институт экономики и  управления

Реферат

на тему: «Компьютерные вирусы и борьба с ними»

Выполнила: студент 401 группы

Сошникова И.В.

Проверил: к.э.н., доцент Мукин С.В.

Тамбов 2013

Содержание

Введение……………………………………………………………….3

1. История возникновения компьютерных вирусов…………….4
2. Компьютерные вирусы………………………………………....6
3. Каналы распространения………………………………………10
4. Назначение и характеристики антивирусных программ….....12
5. Методы обнаружения вирусов ………………………………..17
6. Рекомендации по защите от компьютерных вирусов………..20

Заключение…………………………………………………………….21

Список литературы……………………………………………………22

Введение

К одному из основных технических  феноменов XX в. относят ошеломляющее развитие компьютерной техники. Однако при слове компьютер тут же вспоминаются компьютерные вирусы. Этот продукт "интеллектуальной деятельности" человека может нанести непоправимый вред информации, которую обрабатывают современные компьютеры.

Применение только разъяснительных  мер часто оказывается недостаточным, поэтому во многих странах сегодня  предусмотрены уголовные наказания  за создание и распространение таких  заведомо вредных программ, как компьютерные вирусы. По ст. 273 Уголовного кодекса  РФ автора "вредоносных программ для ЭВМ" могут привлечь к ответственности: "Создание программ для ЭВМ или  внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации  либо копированию информации, нарушению  работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами наказываются лишением свободы на срок до трех лет со штрафом  в размере от двухсот до пятисот  минимальных размеров оплаты труда  или в размере заработной платы  или иного дохода осужденного  за период от двух до пяти месяцев". Последствия воздействия компьютерных вирусов заставляют пользователей  компьютеров помнить об этой потенциальной  опасности.

1. История возникновения компьютерных вирусов

Мнений по поводу рождения первого компьютерного вируса очень  много. Но доподлинно известно только одно: на машине Чарльза Бэббиджа, считающегося изобретателем первого компьютера, вирусов не было, а на Univax 1108 и IBM 360/370 в середине 1970-х годов они уже  были.

Несмотря на это, сама идея компьютерных вирусов появилась  значительно раньше. Отправной точкой можно считать труды Джона  фон Неймана по изучению самовоспроизводящихся  математических автоматов, которые  стали известны в 1940-х годах. В 1951 г. этот знаменитый ученый предложил  метод, который демонстрировал возможность  создания таких автоматов. Позднее, в 1959 г. журнал "Scientific American" опубликовал  статью Л.С. Пенроуза, которая также  была посвящена самовоспроизводящимся  механическим структурам. В отличие  от ранее известных работ, здесь  была описана простейшая двумерная  модель подобных структур, способных  к активации, размножению, мутациям, захвату. По материалам этой статьи Ф. Ж. Шталь запрограммировал на машинном языке ЭВМ IBM 650 биокибернетическую модель, в которой существа двигались, питаясь ненулевыми словами. При  поедании некоторого числа символов существо размножалось, причём дочерние механизмы могли мутировать. Если кибернетическое существо двигалось  определённое время без питания, оно погибало.

Необходимо отметить, что  с самого начала эти исследования были направлены отнюдь не на создание теоретической основы для будущего развития компьютерных вирусов. Наоборот, ученые стремились усовершенствовать  мир, сделать его более приспособленным  для жизни человека. Ведь именно эти труды легли в основу многих более поздних работ по робототехнике  и искусственному интеллекту. И в  том, что последующие поколения злоупотребили плодами технического прогресса, нет вины этих замечательных ученых.

В 1961 году В. А. Высотский, Х. Д. Макилрой и Р. Моррис из фирмы Bell Telephone Laboratories изобрели необычную игру «Дарвин», в которой несколько ассемблерных программ, названных «организмами», загружались в память компьютера. Организмы, созданные одним игроком (то есть принадлежащие к одному виду), должны были уничтожать представителей другого вида и захватывать жизненное  пространство. Победителем считался тот игрок, чьи организмы захватывали  всю память или набирали наибольшее количество очков.

С появлением первых персональных компьютеров Apple в 1977 году и развитием  сетевой инфраструктуры начинается новая эпоха истории вирусов. Появились первые программы-вандалы, которые под видом полезных программ выкладывались на BBS (Bulletin Board System —  электронная доска объявлений), однако после запуска уничтожали данные пользователей. В это же время  появляются троянские программы-вандалы, проявляющие свою деструктивную  сущность лишь через некоторое время  или при определённых условиях.

2. Компьютерные вирусы

Что такое компьютерный вирус? Попробуем дать объяснение этому  объекту на примере клерка, работающего в офисе исключительно с документами. Идея такого объяснения принадлежит известному российскому компьютерному вирусологу Д.Н. Лозинскому.

Представим себе аккуратного  клерка, который приходит на работу и каждый день обнаруживает у себя на столе стопку листов бумаги со списком заданий, которые он должен выполнить за рабочий день. Клерк берет верхний лист, читает указания, пунктуально их выполняет, выбрасывает "отработанный" лист в мусорное ведро и переходит к следующему листу. Предположим, что некий злоумышленник тайком прокрадывается в контору и подкладывает в стопку бумаг лист, на котором написано следующее: "Переписать этот лист в двух экземплярах и положить копии в стопку заданий соседей".

Что сделает клерк? Дважды перепишет лист, положит его соседям на стол, выбросит оригинал и перейдет к выполнению заданий следующего листа из стопки, т.е. продолжит выполнять свою настоящую работу. Что сделают соседи, являясь такими же аккуратными клерками, обнаружив новое задание? То же, что и первый: перепишут его по два раза и раздадут другим клеркам. Таким образом, в конторе бродят уже четыре копии первоначального документа, которые и дальше будут копироваться и раздаваться на другие столы.

Примерно так же работает и компьютерный вирус, только стопками бумаг-указаний являются программы, а роль добросовестного клерка выполняет компьютер. Так же, как и клерк, компьютер аккуратно выполняет все команды программы, начиная с первой. Если же первая команда звучит как "скопируй меня в две другие программы", то компьютер так и сделает, и команда-вирус попадает в две другие программы. Когда компьютер перейдет к выполнению других "зараженных" программ, вирус тем же способом будет расходиться все дальше и дальше по всей файловой структуре компьютера.

Термин "вирус" в применении к компьютерам был придуман Фредом Когеном из Университета Южной Калифорнии (США). Слово "вирус" латинского происхождения и означает "яд". Совершенно точных определений компьютерных вирусов не существует, однако можно эти объекты определить следующим образом.

Компьютерный вирус - это  программа, обычно скрывающаяся внутри других программ, способная сама себя воспроизводить ("размножаться") и приписывать себя к другим программам ("заражать их") без ведома и согласия пользователя, а также выполняющая ряд нежелательных действий на компьютере (проявление "болезни").

Обычно вирусная программа  создается специально для того, чтобы нарушить работу компьютеров или создать затруднения пользователю. Появление программ-вирусов обусловлено массовостью компьютеров, а также распространенностью стандартных операционных систем.

Зараженные программы  или электронные письма с вложенными зараженными файлами сами становятся носителями вируса и заражают другие объекты. Помимо заражения вирусы могут выполнять некоторые побочные действия, как безвредные (например, высвечивание на экране некоторого сообщения или воспроизведение какой-либо мелодии), так и злостные (уничтожение информации на носителях, замедление выполнения программ и т.д.). В начальной стадии заражения действие вируса может быть практически незаметно для пользователя. Однако через некоторое время одни программы перестают работать, другие начинают работать неправильно, скорость выполнения программ уменьшается, на экран выводятся посторонние сообщения и т.п. К этому времени, как правило, многие используемые программы оказываются зараженными, а возможно, и испорченными. Велика вероятность того, что в процессе работы через локальную сеть (при ее наличии) или с помощью электронной почты вирус распространится на другие компьютеры. Такой спонтанный процесс распространения вирусов называют "эпидемией".

При заражении компьютера вирусом важно его своевременно обнаружить. Для этого следует знать основные признаки их проявления, к которым можно отнести следующие:

• участившиеся перезагрузки или зависание компьютера;

• замедленные загрузка и выполнение программ;

• мигание лампочки дисковода, когда не должны происходить операции записи-чтения;

• изменение размеров выполняемых  программ;

• уменьшение объема основной доступной памяти.

Следует отметить, что вышеперечисленные явления не обязательно вызываются присутствием вируса, они могут быть следствием других причин. Именно поэтому всегда затруднена правильная диагностика состояния компьютера.

Механизм заражения компьютерных программ вирусами схематично изображен на рис. 1.1.

При выполнении после считывания программа попадает в оперативную память. Если перед этим выполнялась зараженная вирусом программа, вирус также оказывается в оперативной памяти.

 Рис. 1.1. Механизм заражения  компьютерным вирусом

При выполнении программы  вирус в соответствии с его  алгоритмом проверяет, заражена ли выполняемая  программа данным вирусом. Если не заражена, то вирус "дописывается" к программе, "прикрепляясь" к файлу. После  этого программа записывается на диск, уже имея в своем составе  вирусное тело, готовое при необходимости "задержаться" в оперативной  памяти для самораспространения  аналогичным образом.

Рис. 1.2. Классификация компьютерных вирусов

В настоящее время насчитывается огромное количество компьютерных вирусов, однако значительное их число является на самом деле лишь разновидностью других. Компьютерные вирусы можно классифицировать по различным признакам (рис. 1.2).

3. Каналы распространения

 Самый распространённый  канал заражения в 1980-90 годы. Сейчас  практически отсутствует из-за  появления более распространённых  и эффективных каналов и отсутствия  флоппи-дисководов на многих современных  компьютерах.

В настоящее время USB-флешки заменяют дискеты и повторяют  их судьбу — большое количество вирусов распространяется через  съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, цифровые плееры (MP3-плееры), сотовые телефоны. Использование этого канала преимущественно  обусловлено возможностью создания на накопителе специального файла autorun.inf, в котором можно указать программу, запускаемую Проводником Windows при  открытии такого накопителя. Флешки —  основной источник заражения для  компьютеров, не подключённых к сети Интернет.

Электронная почта один из основных каналов распространения  вирусов. Обычно вирусы в письмах  электронной почты маскируются  под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В  некоторых письмах могут содержаться  действительно только ссылки, то есть в самих письмах может и  не быть вредоносного кода, но если открыть  такую ссылку, то можно попасть  на специально созданный веб-сайт, содержащий вирусный код. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу  из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше.

Так же распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и через другие программы  мгновенного обмена сообщениями.

Возможно также заражение  через страницы Интернета ввиду  наличия на страницах всемирной  паутины различного «активного»  содержимого: скриптов, ActiveX-компоненты, Java-апплетов. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (что опаснее, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей), а ничего не подозревающие пользователи, зайдя на такой сайт, рискуют заразить свой компьютер.

Черви — вид вирусов, которые  проникают на компьютер-жертву без  участия пользователя. Черви используют так называемые «дыры» (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер. Уязвимости — это ошибки и недоработки  в программном обеспечении, которые  позволяют удаленно загрузить и  выполнить машинный код, в результате чего вирус-червь попадает в операционную системы и, как правило, начинает действия по заражению других компьютеров  через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для DoS-атак.

4. Назначение и характеристики антивирусных программ

Борьба с компьютерными  вирусами осуществляется с помощью  антивирусных программ, которые в настоящее время должны обладать весьма значительным запасом "прочности" против различных ухищрений создателей компьютерных вирусов. Изначально самым распространенным способом обнаружения компьютерных вирусов был "поиск по маске", т.е. выявление в файлах специфичной для каждого вируса последовательности символов. Со временем эти последовательности стали объединять в специализированные антивирусные базы, которые стали неотъемлемым атрибутом современных антивирусных программ. Чем больше набор подобных шаблонов в базе антивирусной программы, тем с большим количеством вирусов она способна бороться.

Большая антивирусная база - залог удачного восстановления зараженного объекта в первоначальном виде. При этом необходимы индивидуальный подход к каждому вирусу и его тщательный анализ. Разные вирусы используют одинаковые методы заражения объектов, но не следует забывать и о том, что каждый вирус индивидуален, даже если это вирусы одного семейства.

Говоря о тенденциях увеличения числа компьютерных вирусов, нельзя не сказать о том, что все чаще встречаются сложные вирусы, не только способные обходить традиционную защиту и использовать свои механизмы заражения  и маскировки, но и направленные против конкретных антивирусных средств.

К отличительным особенностям современных антивирусных программ можно добавить еще две: мощный эвристический механизм для борьбы с еще неизвестными программе вирусами и механизм для борьбы с самошифрующимися вирусами. Не вдаваясь в подробности работы этих сложных программных механизмов, отметим, что по характерным для вирусов участкам кода можно с определенной степенью вероятности утверждать о наличии неизвестного программе вируса в объекте. Тесты независимых изданий (например, английский журнал "Virus Bulletin") и большой опыт работы с пользователями во всем мире позволяют утверждать, что в 80 случаях из 100, когда объект заражен неизвестным вирусом, программа выдаст подозрение о заражении объекта. Эвристический механизм позволяет предполагать (прогнозировать) наличие вируса, маска которого на данный момент отсутствует в базе антивирусной программы. Встраивание эвристического механизма в антивирусные программы позволяет расширить их возможности, поскольку дает возможность вести борьбу с пока еще "неизвестными" вирусами. Любой механизм, работающий по эвристическому принципу, может давать ложные срабатывания. Однако, как показал продолжительный опыт работы, их процент незначителен, и в любом случае в таких вопросах лучше немного перестраховаться.

Характерной особенностью так  называемых полиморфных вирусов является способность к существенной мутации своего кода, из-за чего некоторые программы (типа Aidstest, весьма популярной в свое время) принципиально не в состоянии обезвредить такие вирусы. Для борьбы с полиморфными вирусами антивирусы нового поколения используют встроенный эмулятор процессора, благодаря которому опознают вирусы под различными шифровщиками и упаковщиками, а с помощью блока эвристического анализа обнаруживают и многие (свыше 80%) неизвестные вирусы. Эмулятор процессора создает имитацию продолжительной работы компьютерных программ, что провоцирует полиморфные вирусы к мутации и, следовательно, к изменению программ.

Отличительными особенностями  современных антивирусных программ являются заложенные в них новые  возможности:

• проверка архивных и упакованных файлов;

• избыточное сканирование, при котором в поисках вируса объект "разбирается" по байтам и проводится тщательный анализ возможности выполнения деструктивного действия. Это несколько замедляет процесс сканирования, однако повышает надежность обнаружения и удаления вирусных тел из файлов компьютера;

• наличие вирусной энциклопедии с детальным описанием вирусов, которые могут обнаруживаться конкретной программой.

В России антивирусные программы  активно разрабатывают сле­дующие фирмы:

• ЗАО "Лаборатория Касперского" (раньше называлась КАМИ), где идеологом  развития средств борьбы с вирусами с самого начала является Е.В. Касперский;

• "Диалог-Наука", в  которой раньше основным разработчиком  был Д.Н. Лозинский, а затем коллектив  пополнился И.А. Даниловым, благодаря  которому появилась "Лаборатория  Данилова".

Помимо антивирусных программ отечественного производства в нашей  стране достаточно широко используются разработки таких зарубежных компаний, как Symantec, McAfee, Elashim, Avil Software, S&S International, Sophos.

Антивирусные программы  можно классифицировать по различным признакам (рис. 2.1).

Рис. 2.1. Классификация антивирусных программ

По характеру  действия антивирусные программы подразделяются на следующие виды: полифаги, ревизоры, вакцины.

Полифаги предназначены для выявления вирусов и излечения от них файлов. К полифагам относятся AidsTest (Д.Н. Лозинский), DrWeb (И.А. Данилов), AVP (Е.В. Касперский), NAV (Symantec).

Ревизоры (иногда встречается название "CRC-сканеры") служат для информирования пользователя обо всех изменениях в структуре и содержании файлов с момента последней проверки компьютера. Как правило, подобные программы включаются в состав стартового пакета и проводят проверку изменений в файловой системе компьютера по сравнению с предыдущим включением. Программы этой категории не тестируют файлы на предмет наличия в них вирусов и не удаляют вирусы из файлов, их задача - только констатация всех изменений, которые выводятся в виде таблицы. Решать, что явилось причиной изменений, - задача пользователя.

Примером программы-ревизора является ADINF, созданная в свое время Д.Н. Лозинским.

Вакцины (другое название - иммунизаторы) предназначены для защиты файлов от заражения, как правило, определенным вирусом. Так, например, корпорация Microsoft создала иммунизирующую программу, предотвращающую заражение операционных систем вирусом W32.Blaster. Worm.

По способу  проверки антивирусные программы классифицируются на две категории:

• программы принудительного запуска. Для поиска и устранения вирусов такие программы (AidsTest, DrWeb for DOS) необходимо запускать специально. Несмотря на возможность многих антивирусных программ вести мониторинг на предмет отсутствия вирусов, иногда ими пользуются в режиме принудительного запуска для проверки отдельных носителей информации (дискет, дисков);

• программы, осуществляющие постоянное наблюдение за вирусной обстановкой. Такие программы (AVP, DrWeb for Windows, NAV), будучи запущены резидентно, ведут постоянный мониторинг на предмет отсутствия вирусов. В зависимости от установленных параметров при возникновении опасной ситуации программы проводят необходимые действия или формируют сообщение пользователю. Следящие программы наблюдают за появлением вирусов и удаляют вирусные тела из файлов без прерывания обычной работы компьютера.

По способу настройки программы можно объединить в две группы:

• пакетные (AidsTest, Cleaner), параметры работы которых задаются в командной строке при запуске программы;

• программы-оболочки (подавляющее  большинство современных программ для Windows), имеющие развитый интерфейс. Настройка параметров работы проводится в специальном режиме установки параметров.

5. Методы обнаружения вирусов

 Обнаружение, основанное  на сигнатурах - метод, когда антивирусная  программа, просматривая файл, обращается  к антивирусным базам, которые  составлены производителем программы-антивируса. В случае соответствия, какого  либо участка кода просматриваемой  программы известному коду (сигнатуре)  вируса в базах, программа-антивирус  может по запросу выполнить  одно из следующих действий:

1.                 Удалить инфицированный файл.

2.                 Заблокировать доступ к инфицированному  файлу.

3.                 Отправить файл в карантин (то  есть сделать его недоступным  для выполнения с целью недопущения  дальнейшего распространения вируса).

4.                 Попытаться «вылечить» файл, удалив  тело вируса из файла.

5.                 В случае невозможности лечения/удаления, выполнить эту процедуру при  следующей перезагрузке операционной  системы.

Для того чтобы такая антивирусная программа успешно работала на протяжении долгого времени, в базу сигнатур вирусов нужно периодически загружать (обычно, через Интернет) данные о  новых вирусах. Если бдительные и  имеющие склонность к технике  пользователи определят вирус по горячим следам, они могут послать  зараженные файлы разработчикам  антивирусной программы, а те затем  добавляют информацию о новых  вирусах в свои базы.

Для многих антивирусных программ с базой сигнатур характерна проверка файлов в тот момент, когда операционная система создаёт, открывает, закрывает  или посылает файлы по почте. Таким  образом,

Обнаружение аномалий –  метод, при котором антивирусы, использующие метод обнаружения подозрительного  поведения программ не пытаются идентифицировать известные вирусы, вместо этого они  прослеживают поведение всех программ. Если программа пытается записать какие-то данные в исполняемый файл (.EXE-файл), программа-антивирус может пометить этот файл, предупредить пользователя и спросить что следует сделать.

В настоящее время, подобные превентивные методы обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта.

Другие названия: проактивная  защита, поведенческий блокиратор, Host Intrusion Prevention System (HIPS).

В отличие от метода поиска соответствия определению вируса в  антивирусных базах, метод обнаружения  подозрительного поведения даёт защиту от новых вирусов, которых  ещё нет в антивирусных базах. Однако следует учитывать, что программы  или модули, построенные на этом методе, выдают также большое количество предупреждений (в некоторых режимах  работы), что делает пользователя мало восприимчивым ко всем предупреждениям. В последнее время эта проблема ещё более ухудшилась, так как  стало появляться всё больше не вредоносных  программ, модифицирующих другие exe-файлы, несмотря на существующую проблему ошибочных  предупреждений. Несмотря на наличие  большого количества предупреждающих  диалогов, в современном антивирусном программном обеспечении этот метод  используется всё больше и больше.

Обнаружение, основанное на эмуляции – метод, при котором  некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы, перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет  себя как вирус (то есть, например, немедленно начинает искать другие .EXE-файлы), такая  программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим  количеством ошибочных предупреждений.

Метод «Белого списка» - общая  технология по борьбе с вредоносными программами — это «белый список». Вместо того, чтобы искать только известные вредоносные программы, эта технология предотвращает выполнение всех компьютерных кодов за исключением тех, которые были ранее обозначены системным администратором как безопасные. Выбрав этот параметр отказа по умолчанию, можно избежать ограничений, характерных для обновления сигнатур вирусов. К тому же, те приложения на компьютере, которые системный администратор не хочет устанавливать, не выполняются, так как их нет в «белом списке». Так как у современных предприятий есть множество надежных приложений, ответственность за ограничения в использовании этой технологии возлагается на системных администраторов и соответствующим образом составленные ими «белые списки» надежных приложений. Работа антивирусных программ с такой технологией включает инструменты для автоматизации перечня и эксплуатации действий с «белым списком».

Практически все современные  антивирусные средства применяют технологию эвристического анализа программного кода. Эвристический анализ нередко  используется совместно с сигнатурным  сканированием для поиска сложных  шифрующихся и полиморфных вирусов. Методика эвристического анализа позволяет  обнаруживать ранее неизвестные  инфекции, однако, лечение в таких  случаях практически всегда оказывается  невозможным. В таком случае, как  правило, требуется дополнительное обновление антивирусных баз для  получения последних сигнатур и  алгоритмов лечения, которые, возможно, содержат информацию о ранее неизвестном  вирусе. В противном случае, файл передается для исследования антивирусным аналитикам или авторам антивирусных программ. 

6. Рекомендации по защите от компьютерных вирусов

Панацеи от компьютерных вирусов не существует и существовать не может. Совершенствуется компьютерное оборудование, развиваются информационные технологии. К сожалению, вирусные разработчики постоянно повышают свое мастерство, создавая все более сложные и опасные вирусы. Однако соблюдение следующих рекомендаций по крайней мере снизит вероятность тяжелых последствий, которые могут вызвать их творения.

В целях защиты компьютеров  от заражения вирусами рекомендуется:

• оснастить свой компьютер современными антивирусными программами (например, DrWeb, AVP, McAfee, NAV или другими) и постоянно обновлять их версии;

• регулярно создавать  резервные копии важных файлов и системных областей жестких дисков;