Компьютерные вирусы: классификация, методы и средства борьбы

Содержание 

Введение……………………………………………………………….….….….….….3

1. Определение и классификация вирусов………………..….…………..…….…… 5

2. Профилактика  заражения компьютера…………..………………...………….…..12

3. Методы защиты  от вирусов………………………………………………………..14

Заключение…………………………………………………………………..……..….21

Список литературы ……………………………………………………….…….........22

      Введение 

     С увеличением количества людей, пользующихся компьютером, и возможностей обмена между ними информацией по электронной  почте и через Интернет возросла угроза заражения компьютера, а также порчи или хищения информации вредоносными программами.

     К вредоносному программному обеспечению  относятся сетевые черви, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.

     Основная  масса вирусов и троянских  программ в прошлом создавалась  студентами и школьниками, которые  только что изучили язык программирования, хотели попробовать свои силы, но не смогли найти для них более достойного применения. Значительная часть подобных вирусов их авторами не распространялась, и вирусы через некоторое время умирали сами вместе с дисками, на которых хранились.

     Вторую  группу создателей вирусов также  составляют молодые люди (чаще - студенты), которые еще не полностью овладели искусством программирования. Единственная причина, толкающая их на написание вирусов, это комплекс неполноценности, который компенсируется компьютерным хулиганством. «Хулиганские» вирусы в последние годы становятся все менее и менее актуальными.

     Став  старше и опытнее, многие из подобных вирусописателей попадают в третью, наиболее опасную группу, которая  создает и запускает в мир  «профессиональные» вирусы. Эти тщательно  продуманные и отлаженные программы создаются профессиональными, часто очень талантливыми программистами. Такие вирусы нередко используют достаточно оригинальные алгоритмы проникновения в системные области данных; ошибки в системах безопасности операционных сред; социальный инжиниринг и прочие хитрости. «Профессиональные» вирусы часто выполнены по технологии «стелс» или «призрак»

     Отдельно  стоит четвертая группа авторов  вирусов - «исследователи», довольно сообразительные  программисты, которые занимаются изобретением принципиально новых методов заражения, скрытия, противодействия антивирусам и т. д. Они же придумывают способы внедрения в новые операционные системы. Эти программисты пишут вирусы не ради собственно вирусов, а скорее ради исследования потенциалов «компьютерной фауны». Часто авторы подобных вирусов не распространяют свои творения, однако активно пропагандируют свои идеи через многочисленные Интернет-ресурсы, посвященные созданию вирусов. При этом опасность, исходящая от таких «исследовательских» вирусов, тоже весьма велика - попав в руки «профессионалов» из предыдущей группы, эти идеи очень быстро появляются в новых вирусах.

     Наиболее  опасную категорию вирусописателей  составляют хакеры-одиночки или группы хакеров, которые осознанно или  неосознанно создают вредоносные  программы с единственной целью: получить чужие деньги (рекламируя что-либо или просто воруя их), ресурсы зараженного компьютера (опять-таки, ради денег - для обслуживания спам-бизнеса или организации DoS-а также с целью дальнейшего шантажа).

     Учитывая  эти факты, защита информации от вирусов приобретает исключительно важное значение. По этой причине тема работы: Компьютерные вирусы: классификация, методы и средства борьбы, является актуальной. 

      1. Определение и классификация вирусов 

     Компьютерным  вирусом называется программа, способная самостоятельно создавать свои копии и внедряться в другие программы, в системные области дисковой памяти компьютера, распространяться по каналам связи. Целью создания и применения программ-вирусов является нарушение работы программ, порчи файловых систем и компонентов компьютера, нарушение нормальной работы пользователей.

     Компьютерный  вирус - это специально написанная небольшая  по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять различные нежелательные действия на компьютере.¹

     Программа, внутри которой находится вирус, называется "зараженной". Когда  такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, "засоряет" оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает так же, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.

     Многие  разновидности вирусов устроены так, что при запуске зараженной программы вирус остается резидентно, т.е. до перезагрузки DOS, в памяти компьютера и время от времени заражает программы  и выполняет вредные действия на компьютере.²

     Компьютерный  вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющих в компьютере дисках. Но некоторые виды файлов вирус может "заразить". Это означает, что  вирус может "внедриться" в  эти файлы, т.е. изменить их так, что  они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.

     Следует заметить, что тексты программ и  документов, информационные файлы без  данных, таблицы табличных процессоров  и другие аналогичные файлы не могут быть заражены вирусом, он может их только испортить.

     Компьютерным  вирусам характерны определенные стадии существования: пассивная стадия, в  которой вирус никаких действий не предпринимает; стадия размножения, когда вирус старается создать  как можно больше своих копий; активная стадия, в которой вирус переходит к выполнению деструктивных действий в локальной компьютерной системе или компьютерной сети.

     По  среде обитания вирусов

     Сетевые вирусы используют для своего распространения команды и протоколы телекоммуникационных сетей.

     Файловые вирусы чаще всего внедряются в исполняемые файлы, имеющие расширение ехе и com, но могут внедряться и в файлы с компонентами операционных систем, драйверы внешних устройств, объектные файлы и библиотеки, в командные пакетные файлы. При запуске зараженных программ вирус на некоторое время получает управление и в этот момент производит запланированные деструктивные действия и внедрение в другие файлы программ.

     Загрузочные вирусы внедряются в загрузочный сектор дискеты или в главную загрузочную запись жесткого диска. Такой вирус изменяет программу начальной загрузки операционной системы, запуская необходимые для нарушения конфиденциальности программы или подменяя, для этой же цели, системные файлы, в основном это относится к файлам, обеспечивающим доступ пользователей в систему.

     Документные вирусы (макровирусы) заражают текстовые файлы редакторов или электронных таблиц, используя макросы, которые сопровождают такие документы. Вирус активизируется, когда документ загружается в соответствующее приложение.³

     По  способу заражения среды обитания

     Резидентные вирусы после завершения инфицированной программы остаются в оперативной памяти и продолжают свои деструктивные действия, заражая другие исполняемые программы, вплоть до выключения компьютера.

     Нерезидентные вирусы запускаются вместе с зараженной программой и удаляются из памяти вместе с ней.

     По  алгоритмом функционирования

     Паразитирующие - вирусы, изменяющие содержимое зараженных файлов. Эти вирусы легко обнаруживаются и удаляются из файла, так как имеют всегда один и тот же внедряемый программный код.

     Троянские кони - вирусы, маскируемые под полезные программы, которые очень хочется иметь на своем компьютере. Наряду с полезными функциями, соответствующими устанавливаемой программе, вирус может выполнять функции, нарушающие работу системы, или собирать информацию, обрабатываемую в ней.

     Вирусы-невидимки  способны прятаться при попытках их обнаружения. Они перехватывают запрос антивирусной программы и либо временно удаляются из зараженного файла, либо подставляют вместо себя незараженные участки программы.

     Мутирующие  вирусы периодически изменяют свой программный код, что делает задачу обнаружения вируса очень сложной.

     Для своевременного обнаружения и удаления вирусов необходимо знать основные признаки появления вирусов в компьютере. К таким признакам относятся:

• отказ в работе компьютера или отдельных компонентов;
• отказ в загрузке операционной системы;
• замедление работы компьютера;
• нарушение работы отдельных программ;
• искажение, увеличение размера или исчезновение файлов;
• уменьшение доступной программой оперативной памяти.

     Каждая  конкретная разновидность вируса может  заражать только один или два типа файлов. Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые  вирусы заражают и файлы, и загрузочные  области дисков. Вирусы, заражающие драйверы устройств, встречаются крайне редко, обычно такие вирусы умеют заражать и исполнимые файлы.⁴

     В последнее время получили распространение  вирусы нового типа - вирусы, имеющие  файловую систему на диске. Эти вирусы обычно называются DIR. Такие вирусы прячут свое тело в некоторый участок диска (обычно - в последний кластер диска) и помечают его в таблице размещения файлов (FAT) как конец файла.

     Чтобы предотвратить свое обнаружение, некоторые  вирусы применяют довольно хитрые приемы маскировки. Наиболее распространенные из них: "невидимые" и самомодифицирующие вирусы.

• "Невидимые" вирусы.

     Многие  резидентные вирусы (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают  обращения DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

                - самомодифицирующие вирусы.

     Другой  способ, применяемый вирусами для  того, чтобы укрыться от обнаружения, - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с  помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а, кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами.

     Чтобы знать, какого рода опасности могут  угрожать нашим данным, полезно знать, какие бывают вредоносные программы и как они работают [3]. В целом вредоносные программы можно разделить на следующие три класса:

• Черви (Worms) - данная категория вредоносных программ для распространения использует уязвимости в сетевой защите. Название этого класса было дано исходя из способности червей "переползать" с компьютера на компьютер, используя сети, электронную почту и другие информационные каналы. Благодаря этому черви обладают исключительно высокой скоростью распространения.
• Вирусы (Viruses) - программы, которые заражают другие программы - добавляют в них свой код, чтобы при запуске зараженного файла получить возможность выполнения несанкционированных действий. Это простое определение дает возможность выявить основное действие, выполняемое вирусом - заражение. Скорость распространения вирусов несколько ниже, чем у червей.
• Троянские программы (Trojans) - программы, которые выполняют на поражаемых компьютерах несанкционированные пользователем действия, т.е. в зависимости от каких-либо условий уничтожают информацию на дисках, приводят систему к "зависанию", воруют конфиденциальную информацию и т.д. Данный класс вредоносных программ не является вирусом в традиционном понимании этого термина (т.е. не заражает другие программы или данные); троянские программы не способны самостоятельно проникать на компьютеры и распространяются злоумышленниками под видом "полезного" программного обеспечения. При этом вред, наносимый ими, может во много раз превышать потери от традиционной вирусной атаки.

     Типы  компьютерных вирусов различаются  между собой по следующим основным признакам:

• среда обитания;
• способ заражения среды обитания;
• степени воздействия;
• особенностям алгоритма

     Среда обитания

     Под «средой обитания» понимаются системные  области компьютера, операционные системы или приложения, в компоненты (файлы) которых внедряется код вируса.

     По  среде обитания вирусы можно разделить на:

• файловые – внедряются в выполняемые файлы (т.е. имеющие расширения COM и EXE);
• загрузочные – внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record);
• файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков;
• сетевые – распространяются по компьютерной сети;
• макро- используя возможности макро-языков, переносят себя из одного зараженного файла (документа или таблицы) в другие.
• скриптовые, являются подгруппой файловых вирусов,  которые написаны на различных скрипт-языках (VBS, JS, BAT, PHP и т.д.) и, либо заражают другие скрипт-программы (командные и служебные файлы MS Windows или Linux), либо являются частями многокомпонентных вирусов.

     Способ  заражения

     Под «способом заражения» понимаются различные  методы внедрения вирусного кода в заражаемые объекты.

     Способы заражения делятся на:

• резидентный – при инфицировании компьютера резидентный вирус оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения и перезагрузки компьютера.
• Нерезидентный – нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

     По  способу заражения  файлов вирусы делятся на:

• перезаписывающие (overwriting)- вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое.;
• паразитические (parasitic) - которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными;
• вирусы-компаньоны (companion)- вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т. е. вирус.
• вирусы-ссылки (link)-также не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.
• вирусы, заражающие объектные модули (OBJ);
• вирусы, заражающие библиотеки компиляторов (LIB);
• вирусы, заражающие исходные тексты программ.

     По  степени воздействия вирусы делятся на:

• Безвредные – не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске);
• Неопасные – ограничиваются уменьшением свободной памяти на диске, графическими, звуковыми и прочими эффектами;
• Опасные – могут привести к серьезным сбоям в работе компьютера;
• Очень опасные – могут привести к потере программ, уничтожению данных, стиранию информации, необходимой для работы компьютера, записанной в системных областях памяти.

     По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия.

• Простейшие вирусы - паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.
• Вирусы-репликаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.
• Вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска.
• Вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов.
• Квазивирусные или «троянские» программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.⁵

     2. Профилактика заражения  компьютера 

     Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.

     Меры  по противодействию компьютерным вирусам  можно разделить на несколько групп:

• профилактика заражения вирусом и уменьшение предполагаемого ущерба от такого заражения;
• методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса;
• способы обнаружения и удаления неизвестного вируса.

     Одним из основных методов борьбы с вирусами является, как и в медицине, своевременная  профилактика. Компьютерная профилактика состоит из небольшого количества правил, соблюдение которых значительно снижает вероятность заражения вирусом и утери каких-либо данных.

     Ниже  перечислены основные правила безопасности, выполнение которых позволяют избегать вирусных атак.⁶

     Правило № 1: нужно защитить компьютер с помощью антивирусной программы и программ безопасной работы в Интернете. Для этого:

• Безотлагательно установить Антивирус Касперского Personal Pro.
• Регулярно обновлять антивирусные базы. 
• Задать настройки для постоянной защиты. Постоянная защита вступает в силу сразу после включения компьютера и затрудняет вирусам проникновение на компьютер.
• Задать настройки для полной проверки компьютера и выполнение ее реже одного раза в неделю.
• Рекомендуется также установить программу Kaspersky Anti-Hacker для защиты компьютера при работе в Интернете.
• Правило № 2: быть  осторожным при записи новых данных на компьютер, для этого:
• Проверять на присутствие вирусов все съемные диски (дискеты, CD диски, флэш-карты и пр.) перед их использованием.
• Осторожно обращаться с почтовыми сообщениями. Не запускать никаких файлов, пришедших по почте, если нет уверенности, что они действительно должны были прийти к вам.
• Внимательно относиться к информации, получаемой из Интернета. Если с какого-либо веб-сайта предлагается установить новую программу, обращать внимание на наличие у нее сертификата безопасности.
• Если копируется из Интернета или локальной сети исполняемый файл, обязательно нужно проверить его Антивирусом Касперского Personal Pro.
• Внимательно относиться к выбору посещаемых Интернет-сайтов. Некоторые из сайтов заражены опасными скрипт-вирусами или Интернет-червями.

     Правило № 3: Нужно внимательно относиться к информации от Лаборатории Касперского.

     В большинстве случаев  Лаборатория Касперского сообщает о начале новой эпидемии задолго  до того, как она достигнет своего пика и, скачав обновленные антивирусные базы, можно защитить себя от нового вируса заблаговременно.

     Правило № 4: с недоверием относиться к вирусным мистификациям - "страшилкам", письмам об угрозах заражения.

     Правило № 5: пользоваться сервисом Windows Update и регулярно устанавливать обновления операционной системы Windows.

     Правило №6: покупать дистрибутивные копии программного обеспечения у официальных продавцов.

     Правило № 7: ограничить круг людей, допущенных к работе на вашем компьютере.

     Правило № 8: для уменьшения риска неприятных последствий возможного заражения:

• Своевременно делать резервное копирование данных. В случае потери данных система достаточно быстро может быть восстановлена при наличии резервных копий.  
• Обязательно создать системную аварийную дискету, с которой при необходимости можно будет загрузиться, используя "чистую" операционную систему.

     3. Методы защиты  от вирусов 

     Несмотря  на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы) .

     1.Программы-детекторы -  позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение.

     Многие  детекторы имеют режимы лечения  или уничтожения зараженных файлов.

     Следует подчеркнуть, что программы-детекторы  могут обнаруживать только те вирусы, которые ей "известны". Но невозможно разработать такую программу, которая  могла бы обнаруживать любой заранее неизвестный вирус.

     Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова - в  ней могут сидеть какой-нибудь новый  вирус или слегка модифицированная версия старого вируса, неизвестные  программам-детекторам.

     Многие  программы-детекторы не умеют обнаруживать заражение "невидимыми" вирусами, если такой вирус активен в  памяти компьютера. Дело в том, что  для чтения диска они используют функции DOS, а они перехватываются  вирусом, который говорит, что все хорошо. Правда, некоторые детекторы пытаются выявить вирус путем просмотра оперативной памяти, но против некоторых "хитрых" вирусов это не помогает. Так что надежный диагноз программы-детекторы дают только при загрузке DOS с "чистой", защищенной от записи дискеты, при этом копия программы-детектора также должна быть запущена с этой дискеты.

     Некоторые детекторы умеют ловить "невидимые" вирусы, даже когда они активны. Для  этого они читают диск, не используя  вызовы DOS. Правда, этот метод работает не на всех дисководах.

     Большинство программ-детекторов имеют функцию "доктора", т.е. они пытаются вернуть  зараженные файлы или области  диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.

     Большинство программ-докторов умеют "лечить" только от некоторого фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые программы  могут обучаться не только способам обнаружения, но и способам лечения  новых вирусов.

     2. Программы-ревизоры -  имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

     Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл AUTOEXEC.BAT. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти поврежденные вирусом файлы.