Лекция 4. Компьютерные вирусы и антивирусные средства

Лекция 4. Компьютерные вирусы и антивирусные средства

Компьютерный вирус – это программа, способная создавать свои копии, (не обязательно полностью совпадающие с оригиналом), внедрять их в различные объекты систем и сетей и производить определенные действия без ведома пользователя.

Программа, внутри которой находится вирус, называется зараженной или инфицированной. Когда инфицированная программа начинает работу, то сначала управление получает вирус. Вирус заражает другие программы и выполняет запланированные действия. После этого передает управление той программе, в которой он находится. В среднем в месяц появляется около 300 новых разновидностей вирусов.

Симптомы вирусного заражения компьютера:

1. Замедление работы некоторых программ.

2. Увеличение размеров файлов, особенно исполняемых.

3. Произвольное появление не существовавших ранее файлов.

4. Уменьшение объема доступной ОП, по сравнению с обычным режимом работы.

5. Внезапные видео и звуковые эффекты.

6. Зависание ОС.

7. Запись на диск в непредусмотренный момент времени.

8. Прекращение работы ранее нормально функционировавших программ.

Классификация вирусов

I. По способу заражения :

Вирусы делятся на резидентные и нерезидентные

Резидентные – оставляют в ОП свою резидентную часть, которая затем перехватывает обращения неинфицированных программ к ОС и внедряется в них.

Нерезидентные – не заражают ОП, проявляют свою активность однократно при запуске инфицированной программы.

II. По особенностям алгоритма .

1. Вирусы – компаньоны.

Создают для файлов с расширением EXEновые зараженные файлы с тем же именем, но с расширениемCOM. При запуске программ ОС запускает сначала файлы с расширениемCOM, затем - с расширениемEXE. В результате зараженный файл будет запускаться первым и заражать остальные программы.

2. Паразитические вирусы.

Изменяют содержимое дисковых секторов или файлов. В эту группу входят все вирусы, не являющиеся компаньонами или червями.

3. Черви.

Это вирусы, которые распространяются в сети, проникают в память, находят сетевые адреса и рассылают по этим адресам свои копии. Черви уменьшают пропускную способность сети, замедляют работу серверов.

Например, почтовый вирус Melissa стал причиной массовых сбоев в работе почтовых служб во многих странах. Этот вирус маскируется под сообщение электронной почты и при открытии пользователем посылает аналогичные сообщения по первым 50 адресам его адресной книги.

4. Вирусы типа « троянский конь » ( BackDoor-G).

Маскируются под полезную программу. Выполняют разрушительную работу, например, стирают FATтаблицу.

Аналогичными вирусами являются Armageddon, BackOrifice и NetBus, они характерны тем, что представляют собой смесь вирусов и средств взлома защиты компьютерных программ.

5. Макровирусы.

Используют возможности макроязыков, встроенных в текстовые редакторы и электронные таблицы.

6. Вирусы, разрушающие “компьютерное железо ”.

CIH или “ Чернобыль”, срабатывающий 26 апреля (в годовщину чернобыльской катастрофы). Другая версия вируса проявляет свои разрушительные свойства по 26 числам каждого месяца. Написанный программистом с Тайваня «Чернобыль» портит данные на жестком диске и разрушает базовую систему ввода/вывода (BIOS), что делает невозможным загрузку компьютера, что в итоге приводит к необходимости замены микросхемы ПЗУ. Переносчиком вируса является CD-ROM с пиратским ПО.

В Израиле появился вирус Worm.ExploreZip, сочетающий плодовитость «червя» Melissa с разрушительной силой « Чернобыля ». Этот вирус также распространяется по электронной почте, но приходит в ответ на реальные сообщения, поэтому не вызывает у пользователя особых подозрений. Вирусное послание содержит файлы, упакованные программой-архиватором ZIP. При попытке разархивирования вирус выдает сообщение об ошибке и заражает компьютер, после чего стирает с жесткого диска все данные.

Антивирусные программы

Эти программы могут обнаруживать только те вирусы, сигнатуры (портреты) которых им известны - помещены в библиотеку программы.

Антивирусные программы подразделяются на:

· сканеры;

· программы – доктора;

· ревизоры;

· фильтры;

· иммунизаторы.

Сканеры сканируют ОП, диски, выполняя поиск зараженных файлов.

Программы – доктора не только находят зараженные файлы, но и лечат, удаляя из файла тело программы – вируса.

Наиболее известные программы – доктора:

AVP– автор Касперский.

AidTest– автор Лозинский.

DoctorWeb– автор Данилов и др.

AntiVirXP

ADinf– автор Мостовой. Программа не использует сигнатуры вирусов, поэтому эффективна против новых вирусов..

Ревизоры – программы, которые анализируют текущее состояние файлов и системных областей диска, а также сравнивают его с информацией, сохраненной ранее в одном из файлов ревизора. При этом проверяется состояниеFATтаблицы, длина файлов, время создания, атрибуты, контрольные суммы.

Фильтры – это резидентные программы (сторожа), которые оповещают пользователя обо всех попытках какой-либо программы выполнить подозрительные действия. Фильтры контролируют:

· обновление программных файлов и системной области диска;

· форматирование диска;

· резидентное размещение программ в ОП.

Программы – фильтры должны быть установлены при работе в сети Интернет.

Пример: программаVSafe.

Рекомендации.

1. Перед считывание с носителей информации проверять носитель на вирусы.

2. Проверять файлы сразу после разархивации.

3. Не оставлять носители в разъемах при включении и перезагрузки ПК, т.к. это может привести к заражению загрузочными вирусами.

4. Получив электронное письмо, к которому приложен исполняемый файл, не запускать этот файл без предварительной проверки.

5. При установке большого программного продукта проверить все дистрибутивные файлы, а после инсталляции повторно произвести проверку на вирус.

6. Обновлять базы антивирусных программ.

Какой вред наносят вирусы

- Различные вирусы выполняют различные деструктивные действия:

- выводят на экран мешающие текстовые сообщения;

- создают звуковые эффекты;

- создают видео эффекты;

- замедляют работу ЭВМ, постепенно уменьшают объем оперативной памяти;

- увеличивают износ оборудования;

- вызывают отказ отдельных устройств, зависание или перезагрузку компьютера и крах работы всей ЭВМ;

- имитируют повторяющиеся ошибки работы операционной системы;

- уничтожают FAT-таблицу, форматируют жесткий диск, стирают BIOS, стирают или изменяют установки в CMOS, стирают секторы на диске, уничтожают или искажают данные, стирают антивирусные программы;

- осуществляют научный, технический, промышленный и финансовый шпионаж;

- выводят из строя системы защиты информации, дают злоумышленникам тайный доступ к вычислительной машине;

- делают незаконные отчисления с каждой финансовой операции и т.д.;

- Главная опасность самовоспроизводящихся кодов заключается в том, что программы-вирусы начинают жить собственной жизнью, практически не зависящей от разработчика программы. Так же, как в цепной реакции в ядерном реакторе, запущенный процесс трудно остановить.

Какие бывают вирусы

Рассмотрим основные виды вирусов. Существует большое число различных классификаций вирусов:

· по среде обитания:

- сетевые вирусы, распространяемые различными компьютерными сетями;

- файловые - инфицируют исполняемые файлы, имеющие расширение exe и com. К этому же классу относятся и макровирусы, написанные с помощью макрокоманд. Они заражают неисполняемые файлы (в Word, Excel);

- загрузочные - внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска. Некоторые вирусы записываются в свободные секторы диска, помечая их в FAT-таблице как плохие;

- загрузочно-файловые - интегрируют черты последних двух групп;

· по способу заражения (активизации):

- резидентный вирус логически можно разделить на две части - инсталятор и резидентный модуль. При запуске инфицированной программы управление получает инсталятор, который выпоняет следующие действия:

1. размещает резидентный модуль вируса в ОЗУ и выполняет операции, необходимые для того, чтобы последний хранился в ней постоянно;

2. подменяет некоторые обработчики прерываний, чтобы резидентный модуль мог получать управление при возникновении определенных событий.

- нерезидентный вирусы не заражают оперативную память и проявляют свою активность лишь однократно при запуске инфицированной программы;

· по степени опасности:

- не опасные - звуковые и видеоэффекты;

- опасные - уничтожают часть файлов на диске;

- очень опасные - самостоятельно форматируют жесткий диск;

· по особенностям алгоритма:

- компаньон-вирусы не изменяют файлы. Алгоритм их работы состоит в том, что они создают для exe-файлов новые файлы-спутники (дубликаты), имеющие то же имя, но с расширением com. (com-файл обнаруживается первым, а затем вирус запускает exe-файл);

- паразитические - при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов (все вирусы кроме компаньонов и червей);

- черви (репликаторы) - аналогично компаньонам не изменяют файлы и секторы диска. Они проникают в компьютер по сети, вычисляют сетевые адреса других компьютеров и рассылают по этих адресам свои копии. Черви уменьшают пропускную способность сети, замедляют работу серверов;

- невидимки (стелс) - используют набор средств для маскировки своего присутствия в ЭВМ. Их трудно обнаружить, т.к. они перехватывают обращения ОС к пораженным файлам или секторам и подставляют незараженные участки файлов;

- полиморфики (призраки, мутанты) - шифруют собственное тело различными способами. Их трудно обнаружить, т.к. их копии практически не содержат полностью совпадающих участков кода;

- троянская программа - маскируется под полезную или интересную программу, выполняя во время своего функционирования еще и разрушительную работу или собирает на компьютере информацию, не подлежащую разглашению. В отличие от вирусов, троянские программы не обладают свойством самовоспроизводства.

· по целостности:

- монолитные - программа представляет единый блок;

- распределенные - программа разделена на части. Эти части содержат инструкции, которые указывают как собрать их воедино, чтобы воссоздать вирус.