Компьютерные вирусы. Классификация вирусов. Антивирусные программы

Министерство образования Республики Беларусь

Учреждение образования «Белорусский государственный технологический  
университет» 
 

Кафедра редакционно-издательских технологий 
 
 

Реферат по дисциплине «Обработка текстовой информации»

Тема: «Компьютерные вирусы. Классификация вирусов. Антивирусные программы» 
 
 
 
 
 

Подготовила: студентка 3 к. 5 гр. 
факультета ИДиП 
Лабоха Евгения Константиновна 

Проверил:     доц. кафедры РИТ 
Шпаковский Юрий Францевич 
 
 
 

Минск, 2010

     Оглавление

Введение 

    Раздел 1. Компьютерные вирусы 

    Раздел 2. Классификация вирусов 

    Раздел 3. Антивирусные программы 

    Раздел 4. Лучшие антивирусные программы на текущий год 

Заключение 

Список использованной литературы 

     Введение

     В последнее время важное место  в различных отраслях занимает проблема защиты информации от компьютерных вирусов. С каждым днем количество вирусов растет, увеличивается их разнообразие, все сложнее защитить от них компьютер и содержащиеся в нем данные. С развитием вирусов развивается и защита от них, хотя и несколько медленнее. Антивирусная защита уже представляет собой комплекс мероприятий, от поиска известных уже вирусов до мониторинга работы компьютера, сверку его состояния с исходным.

     Цель  данной работы — отразить классификацию компьютерных вирусов и каналы их распространения, а также рассмотреть способы защиты информации и предоставить информацию о лучших антивирусных программах на данный момент.

     Компьютерные  вирусы

     Компьютерный  вирус — это программа, способная создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.

Основная черта компьютерного вируса — это способность к саморазмножению.

     Условно жизненный цикл любого компьютерного  вируса можно разделить на пять стадий:

1. Проникновение на чужой компьютер.
2. Активация.
3. Поиск объектов для заражения.
4. Подготовка копий.
5. Внедрение копий.

     Распространение вирусов

     Вирусы  распространяются, копируя свое тело и обеспечивая его последующее исполнение: внедряя себя в исполняемый код других программ, заменяя собой другие программы, прописываясь в автозапуск и др. Вирусом или его носителем могут быть не только программы, содержащие машинный код, но и любая информация, содержащая автоматически исполняемые команды — например, пакетные файлы и документы Microsoft Word и Excel, содержащие макросы. Кроме того, для проникновения на компьютер вирус может использовать уязвимости в популярном программном обеспечении (например, Adobe Photoshop, Internet Explorer, Outlook), для чего распространители внедряют его в обычные данные (картинки, тексты и т. д.) вместе с эксплоитом, использующим уязвимость.

     Каналы распространения

1. Дискеты. Самый распространенный канал заражения в 1980–90 годы. Сейчас практически отсутствует из-за появления более распространенных и эффективных каналов и отсутствия флоппи-дисководов на многих современных компьютерах.
2. Флеш-накопители (флешки). В настоящее время USB-флешки заменяют дискеты и повторяют их судьбу — большое количество вирусов распространяется через съемные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, цифровые плееры (MP3-плееры), сотовые телефоны. Использование этого канала ранее было преимущественно обусловлено возможностью создания на накопителе специального файла autorun.inf, в котором можно указать программу, запускаемую Проводником Windows при открытии такого накопителя. В версии MS Windows под торговым названием Windows 7 возможность автозапуска файлов с переносных носителей была устранена. Флешки — основной источник заражения для компьютеров, не подключенных к Интернету.
3. Электронная почта. Сейчас один из основных каналов распространения вирусов. Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб-сайт, содержащий вирусный код. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше.
4. Системы обмена мгновенными сообщениями. Также распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и через другие программы мгновенного обмена сообщениями.
5. Веб-страницы. Возможно также заражение через страницы Интернета ввиду наличия на страницах всемирной паутины различного «активного» содержимого: скриптов, ActiveX-компонент. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (что опаснее, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей), а ничего не подозревающие пользователи, зайдя на такой сайт, рискуют заразить свой компьютер [2].

     Классификация вирусов

     На  сегодняшний день существует немало разновидностей вирусов, различающихся по основному способу распространения и функциональности. Если изначально вирусы распространялись на дискетах и других носителях, то сейчас доминируют вирусы, распространяющиеся через Интернет. Также растет функциональность вирусов, которую они перенимают от других программ.

     Классификация 1

     Один  из авторитетнейших «вирусологов»  России Евгений Касперский предлагает условно классифицировать вирусы по следующим признакам:

• по среде обитания вируса;
• по способу заражения среды обитания;
• по деструктивным возможностям;
• по особенностям алгоритма вируса.

     Более подробную классификацию внутри этих групп можно представить следующим образом [1]:

1. Среда обитания:
1. сетевые — распространяются по компьютерной сети;
2. файловые — внедряются в выполняемые файлы;
3. загрузочные — внедряются в загрузочный сектор диска (Boot-сектор);
2. Способы заражения:
1. резидентные — находятся в памяти, активны до выключения компьютера;
2. нерезидентные — не заражают память, являются активными ограниченное время;
3. Деструктивные возможности:
1. безвредные — практически не влияют на работу; уменьшают свободную память на диске в результате своего распространения;
2. неопасные — уменьшают свободную  память, создают звуковые, графические и прочие эффекты;
3. опасные — могут привести к серьезным сбоям в работе;
4. очень опасные — могут привести к потере программ или  системных данных;
4. Особенности алгоритма вируса:
1. вирусы-«спутники» — вирусы, не изменяющие файлы, создают для ЕХЕ-файлов файлы-спутники с расширением *.СОМ;
2. вирусы-«черви» — распространяются по сети, рассылают свои копии, вычисляя сетевые адреса;
3. «паразитические» — изменяют содержимое дисковых секторов или файлов;
4. «студенческие» — примитив, содержат большое количество ошибок;
5. «стелс»-вирусы (невидимки) — перехватывают обращения ОС к пораженным файлам или секторам и подставляют вместо себя незараженные участки;
6. вирусы-призраки — не имеют ни одного постоянного участка кода, труднообнаруживаемы, основное тело вируса зашифровано;
7. макровирусы — пишутся не в машинных кодах, а на WordBasic, живут в документах Word, переписывают себя в Normal.dot;
8. «троянские» вирусы — работают в скрытом режиме, могут удалить все файлы с компьютера, заразить компьютер, попробовать заразить другие компьютеры, находящиеся в сети, и др.

     Классификация 2

     Также существует другая классификация, согласно которой вредоносные программы делятся на три большие группы: компьютерные вирусы, сетевые черви и троянские программы. Компьютерные вирусы обладают способностью размножаться и внедряют свои копии в другие файлы; сетевые черви размножаются по различным сетевым ресурсам (почта, Web-сайты и пр.), но не внедряют копии в другие файлы; троянские программы не размножаются и не рассылаются сами, но выполняют на компьютерах различные вредоносные действия.

     Вирусы

     Компьютерные  вирусы — это программы, способные распространяться самостоятельно, дописывая свой код к файлам или в служебные области диска. Вирусы могут быть менее опасными (вызывать нежелательные видеоэффекты) и более опасными (изменять или уничтожать информацию владельца), но в любом случае, даже если вирус не содержит деструктивных функций, он так или иначе влияет на работу системы — занимает место и может мешать работе других программ.

     Вирусы подразделяются на несколько групп:

1. Файловые вирусы — при размножении используют файловую систему какой-либо ОС. В свою очередь, по способу заражения файловые вирусы делятся на целый ряд подгрупп:
1. оverwriting-вирусы записывают свой код вместо кода заражаемого файла, уничтожая его содержимое;
2. рarasitic-вирусы изменяют содержимое файлов, оставляя при этом сами файлы полностью или частично работоспособными;
3. сompanion-вирусы не изменяют заражаемых файлов, а создают для заражаемого файла файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, то есть вирус;
4. файловые черви (worms) являются разновидностью компаньон-вирусов, однако не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в расчете на то, что эти новые копии будут когда-либо запущены пользователем;
5. link-вирусы, как и компаньон-вирусы, не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» ОС выполнить свой код за счет модификации необходимых полей файловой системы;
6. OBJ, LIB и вирусы в исходных текстах представляют собой группу вирусов, которые заражают библиотеки компиляторов, объектные модули и исходные тексты программ. Вирусы, заражающие OBJ- и LIB-файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл не является выполняемым и не способен на дальнейшее распространение вируса в текущем состоянии. Носителем же «живого» вируса становится COM- или EXE-файл, получаемый в процессе линковки зараженного OBJ/LIB-файла с другими объектными модулями и библиотеками. Загрузочные вирусы называются так потому, что заражают загрузочный (boot) сектор — записывают себя в загрузочный сектор диска (boot-сектор) либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record). Загрузочные вирусы замещают код программы, получающей управление при загрузке системы. Таким образом, при перезагрузке управление передается вирусу.
2. Макровирусы являются программами на макроязыках, встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т. д.). Они заражают документы и электронные таблицы ряда офисных редакторов. Для размножения эти вирусы используют возможности макроязыков и с их помощью переносят себя из одного зараженного файла в другие. Наибольшее распространение получили макровирусы для Microsoft Word, Excel и Office 97. Вирусы этого типа получают управление при открытии зараженного файла и инфицируют файлы, к которым впоследствии идет обращение из соответствующего офисного приложения — Word, Excel и пр.
3. Скрипт-вирусы — это вирусы, написанные на скрипт-языках, таких как Visual Basic Script, Java Script и др. Они, в свою очередь, делятся на вирусы для DOS, Windows и для других систем.

     Сетевые черви

     Червей (worms) часто называют вирусами, хотя, строго говоря, они таковыми не являются, — это программы, которые не изменяют файлы на дисках, а распространяются в компьютерной сети, проникают в память компьютера, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Программы этого типа могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). Сетевые черви подразделяются на следующие типы: Интернет-черви (распространяются по Интернету), LAN-черви (распространяются по локальной сети), IRC-черви Internet Relay Chat (распространяются через чаты).

     Троянские программы

     Троянские программы, троянские кони, или просто троянцы, — это программы, которые совершают деструктивные действия, но при этом не размножаются и не рассылаются сами. Своим названием эти программы обязаны троянскому коню из «Илиады» Гомера. Подобно троянскому коню программа-троянец выдает себя за что-либо вполне безобидное, «подделываясь» под другие программы (игры, новые версии популярных утилит и пр.).

     Троянские программы подразделяют на несколько видов:

• утилиты несанкционированного удаленного управления, внедряясь в ваш компьютер, предоставляют хозяину троянца доступ к этому компьютеру и возможность управления им;
• эмуляторы DDoS-атак (Distributed Denial of Service) вызывают «атаки» на Web-серверы, при которых на Web-сервер из разных мест поступает большое количество пакетов, что приводит к отказу системы;
• похитители секретной информации воруют информацию;
• дроппер (от англ. drop — бросать) — программа, задача которой «сбросить» в систему вирус или другие вредоносные программы.

     В зависимости от команды троянец  может выполнять следующие действия:

• высылать имена компьютера и пользователя, а также информацию о системе: тип процессора, размер памяти;
• разрешать удаленный доступ к дискам;
• искать файлы на дисках;
• посылать/принимать файлы, а также уничтожать, копировать их и т. п.;
• создавать/уничтожать каталоги;
• упаковывать/распаковывать файлы;
• отключать текущего пользователя от сети;
• подключаться к сетевым ресурсам;
• получать и отправлять кэшированные пароли (которые задействовались пользователем в течение текущего сеанса);
• читать/модифицировать системный реестр;
• открывать/перенаправлять другие сокеты TCP/IP;
• перехватывать, запоминать и затем высылать строки, вводимые с клавиатуры в момент подсоединения компьютера к сети;
• многие другие действия [2].

     Антивирусные  программы

     Для обнаружения, удаления и защиты от компьютерных вирусов разработаны специальные  программы, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как превентивные, профилактические средства, так и средства лечения вирусов и восстановления данных.

     Антивирусные  программы делятся на: программы-детекторы, программы-доктора, программы-ревизоры, программы-фильтры, программы-вакцины.

     Программы-детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях, и при обнаружении выдают соответствующее сообщение. Различают детекторы универсальные и специализированные.

     Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов.

     Специализированные  детекторы выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособны обнаруживать все известные вирусы.

     Детектор, позволяющий обнаруживать несколько  вирусов, называют полидетектором.

     Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

     Программы-доктора (фаги), не только находят зараженные вирусами файлы, но и «лечат» их, т. е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т. е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.

     Учитывая факт постоянного появления новых вирусов, программы-детекторы и программы-доктора быстро устаревают, вследствие чего требуется регулярное обновление их версий.

     Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран видеомонитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры.

     Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут  даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом.

     Программы-фильтры, или сторожа, представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, которые характерны для вирусов. Такими действиями могут являться:

• попытки коррекции файлов с расширениями СОМ и ЕХЕ;
• изменение атрибутов файлов;
• прямая запись на диск по абсолютному адресу;
• запись в загрузочные сектора диска;
• загрузка резидентной программы.

     При попытке какой-либо программы произвести указанные действия, «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например, фаги. К недостаткам программ-сторожей можно отнести их «назойливость» (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением.

     Вакцины, или иммунизаторы, — это резидентные программы, предотвращающие заражение файлов. Вакцины применяют в случае отсутствия программы-доктора, которая «лечит» этот вирус. Иммунизатор модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. Вакцинация возможна только от известных вирусов.

     В настоящее время программы-вакцины  имеют ограниченное применение. Существенным недостатком таких программ является их ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов [4].

     Лучшие  антивирусные программы  на текущий год

     Сведения  взяты с сайта информационно-аналитического центра Anti-Malware (http://www.anti-malware.ru/). Приведены результаты тестов антивирусных программ по разным параметрам.

     Тест  самозащиты антивирусов (сентябрь 2010)

     Зачастую  вредоносные программы содержат в себе функции, предназначенные для подавления или нарушения работы антивирусной защиты системы. В таких условиях современные антивирусные продукты должны уметь надежно себя защищать, т. е. обладать самозащитой. Это позволяет им выстоять в случае наиболее сложных атак, когда вредоносная программа пытается различными методами нарушить их работу, и далее удалить инфекцию штатными средствами.

     Результаты  теста проактивной антивирусной защиты (июнь 2010)

     Проактивные методы антивирусной защиты по-прежнему продолжают играть важную роль в защите от новых видов и модификаций  вредоносных программ. Для многих антивирусных продуктов на рынке они, по сути, продолжают оставаться единственными составляющими проактивности защиты.

     В этом тесте сравнивались только эвристические компоненты антивирусной защиты (эвристики + generic-детект, т. е. расширенные сигнатуры), во внимание не принимался анализ системных событий (поведенческие блокираторы, HIPS).

     Основные  результаты тестирования (детектирование – ложные срабатывания):

     Результаты  теста антивирусов  на лечение активного заражения (февраль 2010)

     Каждый  день появляются тысячи новых образцов вредоносных программ. В погоне за наживой вирусописатели придумывают все новые методы противодействия обнаружению и удалению своего вредоносного кода из системы антивирусными программами, например, при помощи развития руткит-технологий маскировки. В таких условиях ни один антивирус не способен гарантировать 100% защиту компьютера, поэтому у простого пользователя всегда будут оставаться риски заражения даже с установленной антивирусной защитой. В результате данного теста были проверены персональные версии антивирусов на способность успешно (не нарушая работоспособность операционной систем) обнаруживать и удалять вредоносные программы, уже проникшие на компьютер, начавшие действовать и скрывающие следы своей активности [6].

     Заключение

     Компьютерные вирусы представляют собой реальную угрозу для файлов и различных выполняемых объектов компьютера. Отличительной чертой вируса является его способность к саморазмножению, эта же черта и определяет его «вредоносность». На сегодня существует уже много видов вирусов, однако единой классификации для них не разработано. Различаются вирусы по среде обитания, алгоритму написания и другим параметрам (параметры могут изменяться в зависимости от классификации).

     Для защиты компьютера от вредоносных программ разрабатывается антивирусная защита. Антивирусы классифицируются в зависимости  от выполняемых функций.

     На  данный момент лучшими антивирусами можно назвать:

1. в категории «самозащита» — Антивирус Касперского 2011 и DrWeb 6.0;
2. в категории «проактивная защита» лучший результат показал AVG Internet Security 9.0;
3. в категории «лечение активного заражения» — Антивирус Касперского 2010 и DrWeb 5.0 (на момент проведения теста следующие версии еще не были выпущены).

     Список  использованной литературы

1. Касперский, Е. Антивирус как элемент комплексной  системы безопасности / Е. Касперский; беседовал А. Прохоров // КомпьютерПресс. № 7, 2000. С. 10–12.
2. Прохоров, А. Борьба с вирусами в эпоху Интернет / Александр Прохоров // КомпьютерПресс. № 2, 2003. С. 16–19.
3. Прохоров, А. Вредоносные программы, и как их победить / Александр Прохоров // КомпьютерПресс. № 3, 2006. С. 13–16.
4. Прохоров, А. Обзор антивирусных программ для персональных пользователей / Александр Прохоров // КомпьютерПресс. № 3, 2003. С. 13–16.
5. Прудовский, А. В. Вирусы, доктора и все-все-все... / А. В. Прудовский // Мир ПК. № 4, 1997. С. 10–13.
6. Рейтинг антивирусов 2009–2010, лучший антивирус, история наград / Информационно-аналитический центр Anti-Malware.ru. — Москва, 2010. — Режим доступа: http://www.anti-malware.ru/tests_results.