Компьютерные вирусы. Обзор и классификация компьютерных вирусов. Средства защиты от компьютерных вирусов

 

Министерство сельского  хозяйства Российской Федерации

ФГОУ ВПО Тюменская  государственная сельскохозяйственная академия

Механико-технологический  институт

Кафедра экономико-математических методов и вычислительной техники

 

 

 

РЕФЕРАТ

по теме:

КОМПЬЮТЕРНЫЕ ВИРУСЫ. ОБЗОР  И КЛАССИФИКАЦИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ. СРЕДСТВА ЗАЩИТЫ ОТ КОМПЬЮТЕРНЫХ ВИРУСОВ.

 

 

 

 

 

 

 

Руководитель                                                         С.М.Каюгина

Исполнитель                                                           К.Р.Миннуллина, гр. Б-ТТМ 11

Тюмень 2011

Введение. 3

История вредоносных  программ. 5

Первый сетевой  вирус. 5

Основные источники  вирусов. Признаки заражения компьютера вирусом. 7

Классификация вирусов. 9

Средства защиты компьютера от вирусов. Антивирусные программы. 14

Заключение. 19

Список литературы. 20

 

 

 

 

Введение.

 

Компьютерный вирус - это  специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также  выполнять различные нежелательные  действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа  начинает работу, то сначала управление получает вирус.  
        Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, "засоряет" оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает также, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной. 
        Многие разновидности вирусов устроены так, что при запуске зараженной программы вирус остается резидентно, т.е. до перезагрузки ОС, в памяти компьютера и время от времени заражает программы и выполняет вредные действия на компьютере. 
Компьютерный вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющих в компьютере дисках. Но некоторые виды файлов вирус может "заразить". Это означает, что вирус может "внедриться" в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу. 
        Следует заметить, что тексты программ и документов, информационные файлы без данных, таблицы табличных процессоров и другие аналогичные файлы не могут быть заражены вирусом, он может их только испортить. 
Вирус - это программа. И, следовательно, вредить она может лишь программно, но никак не аппаратно - страшные сказки о вирусах, убивающих и сводящих с ума пользователей при помощи вывода на экран смертельной цветовой гаммы, были и остаются всего лишь сказками. Далее - вирус является программой, способной к размножению. Существуют вирусы, которые не занимаются ничем, кроме самораспространения.

Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру  дисков и наносящих ущерб хранимой в компьютере информации.

Несмотря на принятые во многих странах законы о борьбе с  компьютерными преступлениями и  разработку специальных программных  средств защиты от вирусов, количество новых программных вирусов постоянно  растет. Это требует от пользователя персонального компьютера знаний о  природе вирусов, способах заражения  вирусами и защиты от них.

 

 

 

 

 

 

 

 

 

История вредоносных программ.

 

Время рождения первого вируса — спорно. Известно лишь, что на машине Чарльза Бэббиджа, считающегося изобретателем первого  компьютера, вирусов не было, а на Univax 1108 и IBM 360/370 в середине 1970-х годов они уже были.

Самый первый компьютерный вирус назывался демонстрационным для VAX 11/750 под управлением Unix. Надо сказать, что руководителем был Леонард Элдман, известный в компьютерном мире как гуру этого направления. Сам Элдман известен благодаря самой распространенной на данный момент криптосистемы, которая используется для шифрования цифровых подписей. В истории развития компьютерных систем именно этот день принято считать первым днем появления информационного терроризма в новой форме. Но на самом деле, хоть данная дата считается официальной и утвержденной, первый компьютерный вирус появился гораздо раньше. Его создателем был американский ученый, выходец из Венгрии, Джон фон Нейман.

В 1949 году Нейман написан статью под  названием «Теория и организации  сложных автоматов». В этой статье он рассматривал возможность создания программы, которая могла бы размножаться. А в 1970 году вышел роман «На  гребне ударной волны» писателя-фантаста Тома Браннера. Он описывал боевых роботов, которые были заражены вредительскими программами.

Первый  сетевой вирус.

Как известно, прототипом Интернета  является сеть Пентагона. Считается, что  первый сетевой вирус Creeper появился здесь. Та программа, которая там  выступала в качестве вируса, могла  сама выйти в сеть и оставить на удаленной машине свою копию. Тот  вирус выполнял функции, которые  соответствуют функциям современного антивируса. Он распространялся по сети, после чего обнаруживал вирус Creeper и уничтожал его. Однако конкретно  слова «вирус» тогда не было. Получается. Что Фред Коэн скорее является не автором вируса, а создателем термина. Тем не менее, Фред Коэн считается одним из самых авторитетных специалистов в области безопасности компьютерных сетей. Также он еще в 1987 году доказал, что нельзя создать алгоритм для стопроцентного обнаружения всех возможных вирусов. Пользователям рекомендуется только чаще обновлять антивирусное программное обеспечение.

Существуют потенциально опасные  места в интернете, на которых  проще всего подцепить компьютерный вирус. Поэтому если человек часто  пользуется такими небезопасными ресурсами, у него должен стоять антивирус в  своей самой новой комплектации. Обновление антивируса не занимает много  времени, но защищает компьютер от нападений. [10, 11]

 

 

 

 

 

 

 

 

 

 

 

 

Основные источники вирусов. Признаки заражения компьютера вирусом.

 

Основные источники вирусов:

• дискета, на которой находятся зараженные вирусом файлы;
• компьютерная сеть, в том числе система электронной почты и Internet;
• жесткий диск, на который попал вирус в результате работы с зараженными программами;
• вирус, оставшийся в оперативной памяти после предшествующего пользователя.

При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:

• прекращение работы или неправильная работа ранее успешно функционировавших программ;
• медленная работа компьютера;
• невозможность загрузки операционной системы;
• исчезновение файлов и каталогов или искажение их содержимого;
• изменение даты и времени модификации файлов;
• изменение размеров файлов;
• неожиданное значительное увеличение количества файлов на диске;
• существенное уменьшение размера свободной оперативной памяти;
• вывод на экран непредусмотренных сообщений или изображений;
• подача непредусмотренных звуковых сигналов;
• частые зависания и сбои в работе компьютера;

Следует отметить, что вышеперечисленные  явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.

Признаки активной фазы вируса:

• исчезновение файлов;
• форматирование жесткого диска;
• невозможность загрузки файлов или операционной системы. [2, 3, 5]

 

 

 

 

 

 

 

 

 

 

Классификация вирусов.

Существует очень много  разных вирусов. Условно их можно  классифицировать следующим образом:

1) загрузочные вирусы или BOOT-вирусы заражают boot-секторы дисков

2) файловые вирусы заражают файлы. Делятся на:

• вирусы, заражающие программы (файлы с расширением .EXE и .COM);
• макровирусы вирусы, заражающие файлы данных, например, документы Word или рабочие книги Excel;
• вирусы-спутники используют имена других файлов;
• вирусы семейства DIR искажают системную информацию о файловых структурах;

3) загрузочно-файловые;

4) вирусы-невидимки или STEALTH-вирусы;

5) ретровирусы - компьютерная вирусная программа объектом нападения которой являются антивирусные программы;

6) Троянские кони, программные закладки и сетевые черви.

 

Загрузочные вирусы.

Загрузочные вирусы заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера - после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает на него управление.

Вирусы способны заражать не только загрузочные секторы  дискет, но и загрузочные секторы винчестеров. При этом в отличие от дискет на винчестере имеются два типа загрузочных секторов, содержащих программы начальной загрузки, которые получают управление. При загрузке компьютера с винчестера первой берет на себя управление программа начальной загрузки в MBR (Master Boot Record - главная загрузочная запись). Если ваш жесткий диск разбит на несколько разделов, то лишь один из них помечен как загрузочный (boot). Программа начальной загрузки в MBR находит загрузочный раздел винчестера и передает управление на программу начальной загрузки этого раздела. Код последней совпадает с кодом программы начальной загрузки, содержащейся на обычных дискетах, а соответствующие загрузочные секторы отличаются только таблицами параметров. Таким образом, на винчестере имеются два объекта атаки загрузочных вирусов - программа начальной загрузки в MBR и программа начальной загрузки в бут-секторе загрузочного диска.

Файловые вирусы

В отличие от загрузочных  вирусов, которые практически всегда резидентны, файловые вирусы совсем не обязательно резидентны.

Вирус ищет новый объект для заражения - подходящий по типу файл, который еще не заражен. Заражая файл, вирус внедряется в его код, чтобы получить управление при запуске этого файла. Кроме своей основной функции - размножения, вирус вполне может сделать что-нибудь замысловатое (сказать, спросить, сыграть) - это уже зависит от фантазии автора вируса. Если файловый вирус резидентный, то он установится в память и получит возможность заражать файлы и проявлять прочие способности не только во время работы зараженного файла. Заражая исполняемый файл, вирус всегда изменяет его код - следовательно, заражение исполняемого файла всегда можно обнаружить. Но, изменяя код файла, вирус не обязательно вносит другие изменения:

• он не обязан менять длину файла;
• неиспользуемые участки кода;
• не обязан менять начало файла.

Загрузочно-файловые вирусы

Крайне «популярный» в последнее время загрузочно-файловый вирус OneHalf, заражающий главный загрузочный сектор (MBR) и исполняемые файлы. Основное разрушительное действие - шифрование секторов винчестера. При каждом запуске вирус шифрует очередную порцию секторов, а, зашифровав половину жесткого диска, радостно сообщает об этом. Основная проблема при лечении данного вируса состоит в том, что недостаточно просто удалить вирус из MBR и файлов, надо расшифровать зашифрованную им информацию.

STEALTH-вирусы.

В ходе проверки компьютера антивирусные программы считывают  данные - файлы и системные области  с жестких дисков и дискет, пользуясь  средствами операционной системы и  базовой системы ввода/вывода BIOS. Ряд вирусов, после запуска оставляют в оперативной памяти компьютера специальные модули, перехватывающие обращение программ к дисковой подсистеме компьютера. Если такой модуль обнаруживает, что программа пытается прочитать зараженный файл или системную область диска, он на ходу подменяет читаемые данные, как будто вируса на диске нет.

STEALTH-вирусы обманывают антивирусные программы и в результате остаются незамеченными. Тем не менее, существует простой способ отключить механизм маскировки STEALTH-вирусов. Достаточно загрузить компьютер с не зараженной системной дискеты и сразу, не запуская других программ с диска компьютера (которые также могут оказаться зараженными), проверить компьютер антивирусной программой.

При загрузке с системной  дискеты вирус не может получить управление и установить в оперативной  памяти резидентный модуль, реализующий  STEALTH- механизм. Антивирусная программа сможет прочитать информацию, действительно записанную на диске, и легко обнаружит вирус.

Троянские кони, программные  закладки и сетевые черви.

Троянский конь – это  программа, содержащая в себе некоторую  разрушающую функцию, которая активизируется при наступлении некоторого  условия  срабатывания. Обычно такие программы  маскируются под какие-нибудь  полезные утилиты. Вирусы могут нести  в себе троянских коней или  "троянизировать" другие программы  – вносить в них разрушающие  функции.

«Троянские кони» представляют собой программы, реализующие помимо  функций, описанных в документации, и некоторые другие функции, связанные  с  нарушением безопасности и деструктивными действиями. Отмечены случаи  создания таких программ с целью облегчения распространения вирусов. Списки  таких программ широко публикуются  в зарубежной печати. Обычно они  маскируются под игровые или  развлекательные программы и  наносят вред под  красивые картинки или музыку.

Программные закладки также  содержат некоторую функцию, наносящую  ущерб ВС, но эта функция, наоборот, старается быть как можно незаметнее, т.к.  чем дольше программа не будет  вызывать подозрений, тем дольше закладка  сможет работать.

Если вирусы и «троянские кони» наносят ущерб посредством  лавинообразного саморазмножения  или явного разрушения, то основная функция вирусов типа «червь»,  действующих в компьютерных сетях, – взлом атакуемой системы, т.е.  преодоление защиты с целью нарушения безопасности и целостности.

В более 80% компьютерных преступлений, расследуемых ФБР,  "взломщики" проникают в атакуемую систему  через глобальную сеть Internet.  Когда такая попытка удается, будущее компании, на создание которой ушли  годы, может быть поставлено под угрозу за какие-то секунды.

Этот процесс может  быть автоматизирован с помощью  вируса, называемого сетевой червь.

Червями называют вирусы, которые  распространяются по глобальным  сетям, поражая целые системы, а не отдельные  программы. Это самый опасный  вид вирусов, так как объектами  нападения в этом случае становятся  информационные системы государственного масштаба. С появлением  глобальной сети Internet этот вид нарушения безопасности представляет  наибольшую угрозу, т. к. ему в любой момент может подвергнуться любой из 40  миллионов компьютеров, подключенных к этой сети. [1, 4, 6, 7]

 

 

 

 

 

 

 

Средства защиты компьютера от вирусов. Антивирусные программы.

К общим средствам, помогающим предотвратить заражение и его  разрушительных последствий относят:

• резервное копирование информации (создание копий файлов и системных областей жестких дисков);
• избежание пользования случайными и неизвестными программами. Чаще всего вирусы распространяются вместе с компьютерными программами;
• перезагрузка компьютера перед началом работы, в частности, в случае, если за этим компьютером работали другие пользователи;
• ограничение доступа к информации, в частности физическая защита дискеты во время копирования файлов с нее.

К программным средствам  защиты относят разные антивирусные программы (антивирусы). Антивирус - это  программа, выявляющая и обезвреживающая  компьютерные вирусы. Следует заметить, что вирусы в своем развитии опережают  антивирусные программы, поэтому даже в случае регулярного пользования  антивирусов, нет 100% гарантии безопасности. Антивирусные программы могут выявлять и уничтожать лишь известные вирусы, при появлении нового компьютерного  вируса защиты от него не существует до тех пор, пока для него не будет  разработан свой антивирус. Однако, много  современных антивирусных пакетов  имеют в своем составе специальный  программный модуль, называемый эвристическим  анализатором, который способен исследовать  содержимое файлов на наличие кода, характерного для компьютерных вирусов. Это дает возможность своевременно выявлять и предупреждать об опасности  заражения новым вирусом.

 

Различают такие типы антивирусных программ:

1) программы-детекторы: предназначены для нахождения зараженных файлов одним из известных вирусов. Некоторые программы-детекторы могут также лечить файлы от вирусов или уничтожать зараженные файлы. Существуют специализированные, то есть предназначенные для борьбы с одним вирусом детекторы и полифаги, которые могут бороться с многими вирусами;

2) программы-лекари: предназначены для лечения зараженных дисков и программ. Лечение программы состоит в изъятии из зараженной программы тела вируса. Также могут быть как полифагами, так и специализированными;

3) программы-ревизоры: предназначены для выявления заражения вирусом файлов, а также нахождение поврежденных файлов. Эти программы запоминают данные о состоянии программы и системных областей дисков в нормальном состоянии (до заражения) и сравнивают эти данные в процессе работы компьютера. В случае несоответствия данных выводится сообщение о возможности заражения;

4) лекари-ревизоры: предназначены для выявления изменений в файлах и системных областях дисков и, в случае изменений, возвращают их в начальное состояние.

5) программы-фильтры: предназначены для перехвата обращений к операционной системе, которые используются вирусами для размножения и сообщают об этом пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции. Такие программы являются резидентными, то есть они находятся в оперативной памяти компьютера.

6) программы-вакцины: используются для обработки файлов и boot-секторов с целью предупреждения заражения известными вирусами (в последнее время этот метод используется все чаще).

Следует заметить, что выбор  одного "наилучшего" антивируса крайне ошибочное решение. Рекомендуется  использовать несколько разных антивирусных пакетов одновременно. Выбирая антивирусную программу следует обратить внимание на такой параметр, как количество распознающих сигнатур (последовательность символов, которые гарантированно распознают вирус). Второй параметр - наличие эвристического анализатора неизвестных вирусов, его присутствие очень полезно, но существенно замедляет время  работы программы. На сегодняшний день существует большое количество разнообразных  антивирусных программ. Рассмотрим коротко, распространенные в странах СНГ.

Антивирусные  программы.

DR.WEB

Один из лучших антивирусов  с мощным алгоритмом нахождения вирусов. Полифаг, способный проверять файлы  в архивах, документы Word и рабочие книги Excel, выявляет полиморфные вирусы, которые в последнее время, получают все большее распространение. Достаточно сказать, что эпидемию очень опасного вируса OneHalf остановил именно Dr.Web. Эвристический анализатор Dr.Web, исследуя программы на наличие фрагментов кода, характерных для вирусов, разрешает найти почти 90% неизвестных вирусов. При загрузке программы, в первую очередь Dr.Web проверяет самого себя на целостность, после чего тестирует оперативную память. Программа может работать в диалоговом режиме, имеет удобный настраиваемый интерфейс пользователя.

ADINF

Антивирус-ревизор диска  ADINF (Avanced DiskINFoscope) разрешает находить и уничтожать, как существующие обычные, stealth- и полиморфные вирусы, так и совсем новые. Антивирус имеет в своем распоряжении лечащий блок ревизора ADINF - Adinf Cure Module - что может обезвредить до 97% всех вирусов. Эту цифру приводит "Диалогнаука", исходя из результатов тестирования, которое происходило на коллекциях вирусов двух признанных авторитетов в этой области - Д.Н.Лозинского и фирмы Dr.Sоlомоn's (Великобритания).

ADINF загружается автоматически в случае включения компьютера и контролирует boot-сектор и файлы на диске (дата и время создания, длина, контрольная сумма), выводя сообщения про их изменения. Благодаря тому, что ADINF осуществляет дисковые операции в обход операционной системы, обращаясь к функциям BIOS, достигаются не только возможность выявления активных stеаlth-вірусів, но и высокая скорость проверки диска. Если найден boot-вирус, то ADINF просто восстановит предшествующий загрузочный сектор, который хранится в его таблице. Если вирус файловый, то здесь на помощь приходит лечащий блок Adinf Cure Module, который на основе отчета основного модуля о зараженных файлах сравнивает новые параметры файлов с предыдущими, хранящиеся в специальных таблицах. При выявлении расхождений ADINF восстанавливает предыдущее состояние файла, а не уничтожает тело вируса, как это делают полифаги.

AVP

Антивирус AVP (AntiVirus Program) относится к полифагам, в процессе работы проверяет оперативную память, файлы, в том числе архивные, на гибких, локальных, сетевых и CD-ROM дисках, а также системные структуры данных, такие как загрузочный сектор, таблицу разделов и т.д. Программа имеет эвристический анализатор, который, по утверждениям разработчиков антивируса способен находить почти 80% всех вирусов. Программа AVP является 32-разрядным приложением для работы в среде операционных систем Windows 98, NT и 2000, имеет удобный интерфейс, а также одну из самых больших в мире антивирусную базу. Базы антивирусов к AVP обновляются приблизительно один раз в неделю и их можно получить с Internеt. Эта программа осуществляет поиск и изъятие разнообразнейших вирусов, в том числе:

• полиморфных, или самошифрующихся вирусов;
• стелс-вирусов, или вирусов-невидимок;
• новых вирусов для Windows;
• макровирусов, заражающих документы Word и таблицы Excel.

Кроме того, программа AVP осуществляет контроль файловых операций в системе в фоновом режиме, выявляет вирус до момента реального заражения системы, а также определяет неизвестные вирусы с помощью эвристического модуля. [6, 8, 9]

 

 

 

 

 

 

 

 

Заключение.

Ни один тип антивирусных программ по отдельности  не дает  полной  защиты от вирусов. Лучшей стратегией защиты от вирусов является  многоуровневая, "эшелонированная" оборона. Средствам  разведки в "обороне" от вирусов  соответствуют  программы-детекторы, позволяющие  проверять  вновь  полученное  программное  обеспечение  на  наличие вирусов.    На переднем крае обороны находятся  программы-фильтры. Эти программы  могут первыми сообщить о работе вируса и предотвратить заражение  программ и дисков. Второй эшелон обороны  составляют программы-ревизоры, программы-доктора  и доктора-ревизоры.  Самый глубокий  эшелон обороны - это средства  разграничения  доступа. Они не позволяют вирусам  и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.

В "стратегическом резерве" находятся архивные копии информации. Это позволяет  восстановить информацию при её повреждении.  Это неформальное описание позволяет лучше понять методику применения антивирусных средств.

 

 

 

 

 

 

 

 

 

Список литературы.

1. Информатика. Базовый курс. / Под ред. С.В.Симоновича. - СПб., 2000 г.
2. А.П.Микляев, Настольная книга пользователя IBM PC 3-издание М.:, "Солон-Р", 2000, 720 с.
3. Симонович С.В., Евсеев Г.А., Мураховский В.И. Вы купили компьютер: Полное руководство для начинающих в вопросах и ответах. - М.: АСТ-ПРЕСС КНИГА; Инфорком-Пресс, 2001.- 544 с.: ил. (1000 советов).
4. Ковтанюк Ю.С., Соловьян С.В. Самоучитель работы на персональном компьютере - К.:Юниор, 2001.- 560с., ил.
5. Ф.Файтс, П.Джонстон, М.Кратц "Компьютерный вирус: проблемы и прогноз", Москва, "Мир", 1993 г.
6. Н.Н.Безруков "Классификация компьютерных вирусов MS-DOS и методы защиты от них", Москва, СП "ICE", 1990 г.
7. Безруков Н.Н. "Компьютерные вирусы", Москва, Наука, 1991.
8. Мостовой Д.Ю. "Современные технологии борьбы с вирусами" // Мир ПК. - №8. - 1993.
9. Денисов Т.В. "Антивирусная защита"//Мой Компьютер-№4-1999г.
10. http://antivibest.ru/category/komputer-virus
11. http://rxploit.ru/enciklopedia.htm