Компьютерные вирусы. История их появления

Агентство по управлению государственным учреждениям Пермского края

Государственное бюджетное образовательное учреждение

среднего профессионального образования

«Чайковский техникум промышленных технологий и управления»

 

 

 

 

 

 

 

 

 

 

 

 

 

Реферат

по теме: «Компьютерные вирусы. История их появления»

 

 

 

 

 

 

 

 

 

 

 

 

Выполнили:

студенты группы 4-2301

Актиев Руслан

Алексеевич Анастасия

Проверила:

Лушникова Екатерина Сергеевна

С оценкой ___________________

 

 

Чайковский, 2014

 

Содержание

 

1. История возникновения компьютерных вирусов

Возникновение компьютерных вирусов связано с идеей создания самовоспроизводящихся программ и уходит корнями в пятидесятые годы. В 1951 г. Дж. Нейман предложил метод создания самовоспроизводящихся механизмов. Затем идея вирусоподобных программ неоднократно возрождалась. И после опубликования в 1959 г. в одном из американских журналов материалов на эту тему, Ф. Шталь запрограммировал биокибернетическую модель существ, питающихся словами, размножающихся и пожирающих себе подобных.

  Своеобразным катализатором появления и реализации, новых все более изощренных вирусов становятся научно-фантастические романы. Так, в 1975г. Джон Бруннер описал в своем научно фантастическом романе, ставшем бестселлером, «червей» - программы, которые распространяются по сети, чем предвосхитил последующие реальные события.

  Весной 1977 г. появился первый персональный компьютер фирмы Арр1е (Macintosh), а уже к середине 1983 г. общее количество проданных персональных компьютеров превысило 3 млн. штук. Тогда уже появились первые банки свободно распространяемых программ и данных - BBS, куда любой программист мог переслать свою программу, а любой пользователь сети мог ее взять и запустить на своем компьютере.

  Именно в тот момент возникли реальные возможности создания и быстрого распространения компьютерных вирусов. Тогда и получил развитие новый вид хулиганства - компьютерный, когда некая программа-вандал после выполнения какого-то условия или через некоторое время уничтожала данные на компьютере пользователя.

  Мир помнит несколько случаев массового заражения компьютеров. Так, в 1987 г. было целых три таких эпидемии. Так называемый Пакистанский вирус только в США заразил более 18 тыс. компьютеров; Лехайский вирус в течение нескольких дней уничтожил содержимое нескольких сотен личных дискет и дискет библиотеки вычислительного центра одноименного университета США, заразив около 4 тыс. ПК, а в конце того же года в Иерусалимском университете был обнаружен вирус, который за короткое время распространился по всему цивилизованному миру, заразив только в США порядка 3 тысяч ПК.

  Крупный всплеск вирусной эпидемии был зарегистрирован в1999 г. Вирус «Чернобыль», созданный тайваньским офицером, 26 апреля 1999 г., в годовщину чернобыльской аварии, вывел из строя огромное число компьютеров по всему миру.

  Очередной пик вирусной атаки пришелся на 1 августа 2001 г., когда активизировался новый сетевой вирус-«червь» Code Red Worm. Атаке подверглись операционные системы Windows-2000, -NT. Только 19 июля 2001 г. этот вирус вывел из строя 230 тыс. серверов.

  В настоящее время насчитывается около 20 тыс. различных вирусов и ежемесячно на волю вырываются до 300 новых экземпляров. В России издана уникальная вирусная энциклопедия, содержащая описание 26 тыс. компьютерных вирусов и даже демонстрацию эффектов, производимых ими.

 

2. Что такое компьютерный вирус

  Точного научно-технического определения этого явления до сих пор не существует. Можно сказать, что компьютерный вирус - это программа, нарушающая нормальную работу других программ и компьютерной техники. Она обладает способностью самовоспроизведения, распространения, внедрения в другие программы. Действия вируса зависят от фантазии, квалификации и нравственных принципов его создателя.

  Характеры вирусов в какой-то мере отражают сущность их творцов — иногда это простые, шутливые и безобидные программы, но встречаются и чрезвычайно коварные, агрессивные и разрушительные экземпляры. Их названия говорят сами за себя: «Марихуана», «Террорист», «Киллер», «Захватчик».

  Что же реально может вирус?

  Существует мнение, что человек может заразиться от техники компьютерными вирусами. Путаница происходит от использования одного и того же термина — вирус. Подчеркнем, что компьютерный вирус — это условное наименование специфических компьютерных программ, которые по своему механизму действия схожи с биологическими вирусами.

  Компьютерные вирусы могут заразить только себе подобных, т. е. программы, поэтому программы надо защищать.

  Действие большинства вирусов не ограничивается только размножением или безобидными шутками. Вирусы могут разрушать изображение на экране, выводить на экран неприличные надписи, замедлять работу компьютера, исполнять различные мелодии, без разрешения удалять файлы и каталоги, уничтожая информацию.

  Как инфекция передается от человека к человеку, так и компьютерные вирусы переходят от одного компьютера к другому, изменяя имеющиеся файлы и дописывая в них свой код. При запуске зараженной программы или при открытии поврежденного файла данных вирус загружается в системную память компьютера, откуда пытается поразить другие программы и файлы.

3. Классификация компьютерных вирусов

По деструктивным возможностям:

• Безвредные;
• Неопасные;
• Опасные (серьезные сбои);
• Очень опасные (уничтожающие данные, уничтожающие программы)

 

По среде обитания:

• загрузочные (внедряются в загрузочный сектор диска);
• файловые (внедряются в исполняемые файлы);
• макровирусы (внедряются в докуметы Word, Excel) сетевые.

 

Способы заражения:

• по сети;
• через дискеты, CD- диски.
 

4. Типы вирусов

Чтобы успешно бороться с вирусами, надо их знать. Рассмотрим наиболее распространенные типы вирусов, с которыми вы в любой момент можете столкнуться.

Макровирусы. Эти вирусы распространяются зараженными файлами данных и учиняют разгром, используя механизм макросов программы-хозяина. Они распространяются значительно быстрее любых других компьютерных вирусов, так как поражаемые ими файлы данных используются наиболее часто. Хакеры используют языки программирования таких популярных программ, как Word и Excel, чтобы искажать написание слов, изменять содержание документов и даже удалять файлы с жестких дисков.

Вирусы, поражающие загрузочный сектор и главную загрузочную запись. В качестве примера можно назвать вирусы «Микеланджело», «Килрой», «Джек-Потрошитель». Они передаются с компьютера на компьютер через зараженные накопители. При обращении к накопителю операционная система считывает и выполняет вирусный код.

Пожалуй, самый знаменитый вирус «Микеланджело», заставивший трепетать весь компьютерный мир, заслуживает того, чтобы ему было уделено некоторое внимание. Ежегодно 6 марта, в день рождения Микеланджело, вирус производил свою главную атаку, заменяя содержимое секторов жестких дисков случайными данными. Эффект ужасающий: восстановить информацию уже нельзя.

Файловые вирусы. Они внедряются в исполняемые файлы и делают свое черное дело, когда вы запускаете зараженную программу.

«Бомбы замедленного действия» и «троянские кони». Это особые разновидности вирусов, поражающих загрузочные секторы и файлы. До наступления определенной даты или определенного события они «дремлют» в компьютере, а затем активизируются и наносят удар.

Однако четкого разделения между ними не существует, и все они могут использовать комбинацию вариантов взаимодействия - своеобразный вирусный «коктейль».

Троянские программы действуют подобно «троянскому коню» из греческой мифологии. Они искусно маскируются под какой-либо полезной программы, но стоит пользователю установить и запустить подобную программу на своем компьютере, как она незаметно начинает выполнять свою скрытую вражью функцию.

После того как «троянец» выполнит свою задачу, программа может самоуничтожаться, тем самым, затрудняя обнаружение истинных причин проблем на вашем компьютере. Троянские программы часто используются для первоначального распространения вирусов.

Логической бомбой называют программу, которая при выполнении условий, определенных ее создателем, осуществляет несанкционированные действия, например при наступлении обусловленной даты или, скажем, появлении или исчезновении какой-либо записи в базе данных происходит разрушение программ или БД.

Известен случай, когда программист, разрабатывавший систему автоматизации бухгалтерского учета, заложил в нее логическую бомбу, и, когда из ведомости на получение зарплаты исчезла его фамилия, специальная программа-бомба уничтожила всю систему.

Полиморфные вирусы. Как подсказывает само название, каждый раз, когда такой вирус заражает систему, он меняет обличье, для избежать выявления антивирусными программами. Новые изощренные полиморфные вирусы значительно труднее обнаружить и куда сложнее нейтрализовать, поскольку при заражении каждого нового файла они изменяют свои характеристики.

Вирусы многостороннего действия. Хитроумные гибриды, одновременно с файлами поражающие загрузочные секторы или загрузочную запись.

5. Организация защиты от компьютерных вирусов

Программно-технические методы обнаружения вирусов

Основным средством борьбы с вирусами были и остаются антивирусные программы. Безусловно, их можно использовать, не имея представления о том, как они устроены. Однако без понимания принципов устройства антивирусов, знания типов вирусов и способов их распространения нельзя организовать надежную защиту компьютера.

Сегодня используется несколько основных методик обнаружения и защиты от вирусов:

• сканирование;
• эвристический анализ;
• использование антивирусных мониторов;
• обнаружение изменений;
• использование антивирусов, встроенных в BIOS компьютера.

Кроме того, практически все антивирусные программы обеспечивают автоматическое восстановление зараженных программ и загрузочных секторов (конечно, если это возможно).

1. Сканирование

Самая простая методика поиска вирусов заключается в том, что антивирусная программа последовательно просматривает проверяемые файлы в поиске сигнатур известных вирусов. Под сигнатурой понимается уникальная последовательность байтов, принадлежащая вирусу и не встречающаяся в других программах.

Антивирусные сканеры способны найти только уже известные вирусы, для которых определена сигнатура. Применение простых программ-сканеров не защищает компьютер от проникновения новых вирусов.

Для шифрующихся и полиморфных вирусов, способных полностью изменять свой код при заражении новой программы или загрузочного сектора, невозможно выделить сигнатуру, поэтому антивирусные сканеры их не обнаруживают.

2. Эвристический анализ

Эвристический анализ позволяет обнаруживать неизвестные ранее вирусы, причем для этого не надо собирать данные о файловой системе.

Антивирусные программы, реализующие метод эвристического анализа, проверяют программы и загрузочные секторы дисков, пытаясь обнаружить в них код, характерный для вирусов. Эвристический анализатор может обнаружить, например, что проверяемая программа устанавливает резидентный модуль в памяти или записывает данные в исполнимый файл программы. Практически все современные антивирусные программы реализуют собственные методы эвристического анализа. В качестве примера такой программы назовем сканер McAffee VirusScan.

Обнаружив зараженный файл, антивирус обычно выводит сообщение на экране монитора и делает запись в собственном или системном журнале. В зависимости от настроек, антивирус может также направлять сообщение об обнаруженном вирусе администратору сети.

Если это возможно, антивирус вылечивает файл, восстанавливая его содержимое. В противном случае предлагается только одна возможность - удалить зараженный файл и восстановить его из резервной копии.

3. Антивирусные мониторы

Существует целый класс антивирусных программ, которые постоянно находятся в памяти компьютера и отслеживают все подозрительные действия, выполняемые другими программами. Такие программы носят название антивирусных мониторов, или сторожей.

Монитор автоматически проверяет все запускаемые программы, создаваемые, открываемые и сохраняемые документы, файлы программ и документов, полученные через Интернет или скопированные на жесткий диск. Антивирусный монитор сообщит пользователю, если какая-либо программа попытается выполнить потенциально опасное действие.

Пример такой программы - сторож Spider Guard, который входит в комплект сканера Doctor Web, разработанного Игорем Даниловым и выполняет функции антивирусного монитора.

4. Обнаружение изменений

Заражая компьютер, вирус изменяет содержимое жесткого диска: например, дописывает свой код в файл программы или документа, добавляет вызов программы-вируса в файл AUTOEXEC.BAT, изменяет загрузочный сектор, создает файл-спутник. Однако "бестелесные" вирусы, обитающие не на диске, а в памяти процессов ОС, таких изменений не делают.

Антивирусные программы, называемые ревизорами диска, не выполняют поиск вирусов по сигнатурам. Они запоминают предварительно характеристики всех областей диска, которые могут подвергнуться нападению, а затем периодически проверяют их (отсюда и название - программы-ревизоры). Ревизор может найти изменения, сделанные как известным, так и неизвестным вирусом.

В качестве примеров ревизоров диска можно привести программу Advanced Diskinfoscope (ADinf), разработанную в ЗАО "ДиалогНаука" и ревизор AVP Inspector производства ЗАО "Лаборатория Касперского".

5. Защита, встроенная в BIOS компьютера.

В системные платы компьютеров тоже встраивают простейшие средства защиты от вирусов. Эти средства позволяют контролировать все обращения к главной загрузочной записи жестких дисков. Если какая-либо программа пытается изменить содержимое загрузочных секторов, срабатывает защита, и пользователь получает соответствующее предупреждение.

Однако эта защита не очень надежна. Существуют вирусы (например, Tchechen.1912 и 1914), которые пытаются отключить антивирусный контроль BIOS, изменяя некоторые ячейки в энергонезависимой памяти (CMOS-памяти) компьютера.

6. Защита корпоративной интрасети.

Корпоративная интрасеть может насчитывать сотни и тысячи компьютеров - рабочих станций и серверов. Эта сеть обычно подключена к Интернету, и в ней имеются почтовые серверы, серверы систем автоматизации документооборота, а также нестандартные информационные системы.

Для надежной защиты корпоративной интрасети необходимо установить антивирусы на все рабочие станции и серверы. Что касается рабочих станций, их можно защитить обычными антивирусными сканерами и мониторами. На файл-серверах, серверах электронной почты и систем документооборота следует использовать специальное серверное антивирусное ПО. В частности, для них разработаны специальные антивирусные прокси-серверы и брандмауэры, сканирующие проходящий через них трафик и удаляющие из него вредоносные программные компоненты.

7. Защита файловых серверов.

Защита файловых серверов должна осуществляться с использованием антивирусных мониторов, способных автоматически проверять все файлы сервера, к которым обращаются по сети. Антивирусы, предназначенные для защиты файловых серверов, выпускают все антивирусные компании.

8. Защита почтовых серверов.

Антивирусные мониторы неэффективны для обнаружения вирусов в почтовых сообщениях. Для этого необходимы специальные антивирусы, способные фильтровать трафик SMTP, POP3 и IMAP, исключая попадание зараженных сообщений на рабочие станции пользователей.

Для защиты почтовых серверов можно приобрести антивирусы, специально предназначенные для проверки почтового трафика, или подключить к почтовому серверу обычные антивирусы, допускающие работу в режиме командной строки.

Почтовый сервер MERAK Mail Server допускает подключение внешних антивирусов различных типов, имеющих интерфейс командной строки. Некоторые почтовые серверы (например, EServ) поставляются со встроенным антивирусом.

Можно также дополнительно проверять трафик POP3 на рабочих станциях пользователей. Это делает, например, антивирусный прокси-сервер SpIDer Mail для протокола POP3, который можно приобрести вместе с антивирусом Doctor Web.

9. Защита серверов систем документооборота.

Серверы систем документооборота, такие, как Microsoft Exchange и Lotus Notes, хранят документы в базах данных собственного формата. Поэтому использование обычных файловых сканеров для антивирусной проверки документов не даст никаких результатов.

Существует ряд антивирусных программ, специально предназначенных для антивирусной защиты подобных систем. Это Trend Micro ScanMail для Lotus Notes, McAfee GroupScan и McAfee GroupShield, Norton Antivirus для Lotus Notes, антивирус Касперского Business Optimal для Microsoft Exchange Server и некоторые другие.

Эти программы сканируют почту и файлы вложений, удаляя в реальном времени все вредоносные программы, обнаруживают макрокомандные вирусы и троянские программы в формах и макросах, в файлах сценариев и в объектах OLE. Проверка выполняется в режиме реального времени либо по требованию.

10. Защита нестандартных информационных систем.

Для антивирусной защиты нестандартных систем, хранящих данные в собственных форматах, необходимо либо встраивать антивирусное ядро в саму систему, либо подключать внешний сканер, работающий в режиме командной строки.

Например, ядро антивируса Doctor Web было использовано в ФГУП "НПО машиностроения" для защиты системы документооборота, созданной на базе собственной технологии Sapiens. Это ядро проверяет всю информацию, сохраняемую системой в базе данных.

11. Установка персональных брандмауэров.

Корпоративная сеть, подключенная к Интернету, должна быть защищена от атак хакеров при помощи брандмауэра. Однако можно дополнительно защитить рабочие станции и серверы сети, установив на них персональные брандмауэры, такие, как AtGuard.

Персональные брандмауэры, находящиеся в так называемом режиме обучения, могут оказать помощь в обнаружении трафика от троянских программ, логических бомб и других нежелательных вредоносных компонентов. Когда такой компонент попытается установить связь с компьютером хакера, брандмауэр отобразит на экране предупреждающее сообщение.

Следует заметить, что в настройках браузера можно запретить использование активных компонентов, таких, как апплеты Java и элементы управления ActiveX. Однако персональные брандмауэры более универсальны и позволяют блокировать использование таких компонентов любыми программами, например, почтовыми клиентами.

12. Сетевой центр управления антивирусами.

Если интрасеть насчитывает сотни и тысячи компьютеров, то необходимо централизованное удаленное управление антивирусными программами и контроль их работы. Выполнять в "ручном" режиме такие операции, как отслеживание обновлений антивирусной базы данных и загрузочных модулей антивирусных программ, контроль эффективности обнаружения вирусов на рабочих станциях и серверах и т. п., затруднительно, если в сети много пользователей или если сеть состоит из территориально удаленных друг от друга сегментов.

Если же не обеспечить своевременное и эффективное выполнение перечисленных выше операций, технология антивирусной защиты корпоративной сети обязательно будет нарушена, что рано или поздно приведет к вирусному заражению. Например, пользователь может неправильно настроить автоматическое обновление антивирусной базы данных или просто выключить компьютер в то время, когда выполняется такое обновление.

В современных антивирусных системах реализованы следующие функции удаленного управления и контроля:

• установка и обновление антивирусных программ и антивирусных баз данных;
• централизованная дистанционная установка и настройка антивирусов;
• автоматическое обнаружение новых рабочих станций, подключенных к корпоративной сети, с последующей автоматической установкой на эти станции антивирусных программ;
• планирование заданий (таких, как обновление программ, обновление антивирусной базы данных, сканирование файлов и т. п.) для немедленного или отложенного запуска на любых компьютерах сети;
• отображение в реальном времени процесса работы антивирусов на рабочих станциях и серверах сети.

Сетевые центры управления позволяют управлять антивирусной защитой всей сети с одной рабочей станции системного администратора. Для ускорения установки антивирусов в удаленных сетях, подключенных к основной сети по медленным каналам связи, в этих сетях создаются собственные локальные дистрибутивные каталоги.

При использовании клиент-серверной архитектуры основой сетевого центра управления служит антивирусный сервер, установленный на одном из серверов корпоративной сети. С ним взаимодействуют, с одной стороны, программы-агенты, установленные вместе с антивирусами на рабочих станциях сети, а с другой стороны - управляющая консоль администратора антивирусной защиты.

Антивирусный сервер выполняет управляющие и координирующие функции. Он хранит общий журнал событий, имеющих отношение к антивирусной защите и возникающих на всех компьютерах сети, список заданий и расписание их выполнения. Антивирусный сервер отвечает за прием от агентов и передачу администратору антивирусной защиты сообщений о возникновении тех или иных событий в сети, периодически проверяет конфигурацию сети с целью обнаружения новых рабочих станций или рабочих станций с изменившейся конфигурацией антивирусных средств и т. д.

Помимо агентов, на каждой рабочей станции и сервере корпоративной сети устанавливается антивирус, выполняющий сканирование файлов и проверку файлов при их открытии. Результаты работы антивируса передаются через агентов антивирусному серверу, который их анализирует и протоколирует в журнале событий.

Управляющая консоль может представлять собой стандартное приложение Microsoft Windows с оконным интерфейсом или апплет (snap-in) управляющей консоли Control Panel ОС Microsoft Windows. Первый подход реализован, например, в управляющей системе антивирусов Sophos, а второй - в управляющей системе Norton AntiVirus.

Пользовательский интерфейс управляющей консоли позволяет просматривать древовидную структуру корпоративной сети, получая при необходимости доступ к отдельным компьютерам тех или иных групп пользователей или доменов.

Многоуровневые системы с Web-интерфейсом.

Архитектура таких систем предполагает использование Web-сервера в качестве ядра системы. В задачи этого ядра входит, с одной стороны, организация диалогового интерактивного взаимодействия с пользователем, а с другой - с программными модулями той или иной системы.

Преимущество такого подхода - унификация способов управления различными системами сети; кроме того, не требуется устанавливать на рабочую станцию администратора управляющие программы или консоли. Администрирование может выполняться с любого компьютера сети, а если она подключена к Интернету, то из любого места земного шара, где есть Интернет и компьютер с браузером. Для защиты управляющей информации при ее передаче по Интернету или корпоративной интрасети применяются протоколы SSH или аналогичные средства (например, собственные защищенные модификации протокола HTTP).

На рабочих станциях устанавливается антивирус (PC-cillin, Server Protect, InterScan VirusWall, ScanMail и т. д.), который управляется антивирусным сервером через агента.

На компьютере, играющем роль антивирусного сервера, устанавливается Web-сервер Microsoft IIS. Работающее на нем специальное Web-приложение управляет антивирусным сервером и предоставляет администратору пользовательский интерфейс для управления системой антивирусной защиты.

Чтобы обеспечить максимальную независимость от компьютерной платформы, сервер Trend VCS Server и клиентское приложение написаны на языке программирования Java и других языках, применяющихся для разработки приложений Интернета.

Что же касается извещений о возникновении событий, то они передаются программами-агентами серверу Trend VCS Server и рассылаются по электронной почте, по пейджинговым сетям, в виде SMS и т. п.

13. Административно-технологические методы защиты.

Чтобы антивирусные программы эффективно выполняли свои функции, необходимо строго соблюдать рекомендации по их применению, описанные в документации. Особое внимание следует обратить на регулярное обновление вирусных баз данных и программных компонентов антивирусов. Современные антивирусы могут загружать файлы обновлений через Интернет или по локальной сети, однако для этого их необходимо соответствующим образом настроить.

Однако даже в отсутствие антивирусных программ можно постараться предотвратить проникновение вирусов в компьютер и уменьшить вред, который они нанесут в случае заражения. Вот что следует для этого сделать в первую очередь.

Блокируйте возможные каналы проникновения вирусов: не подключайте компьютер к Интернету и локальной сети компании, если в этом нет необходимости, отключите устройства внешней памяти, такие, устройства CD-ROM.

Настройте параметры BIOS таким образом, чтобы загрузка ОС выполнялась только с жесткого диска.

Запретите программное изменение содержимого энергонезависимой памяти BIOS.

Изготовьте диск аварийного восстановления Microsoft Windows.

Устанавливайте ПО только с лицензионных компакт-дисков, ограничьте обмен программами.

Установите на всех внешних насителях защиту от записи и снимайте ее только в случае необходимости.

Устанавливайте минимально необходимые права доступа к каталогам файлового сервера, защищайте от записи каталоги дистрибутивов и программных файлов.

Регулярно выполняйте резервное копирование данных.

Составьте для пользователей инструкцию по антивирусной защите, описав в ней правила использования антивирусов, правила работы с файлами и электронной почтой, а также опишите действия, которые следует предпринять при обнаружении вирусов.