48270

Понятие и классификация компьютерных вирусов

Лекция

Информатика, кибернетика и программирование

Так репликаторные программы благодаря своему быстрому воспроизводству приводят к переполнению основной памяти при этом уничтожение программ-репликаторов усложняется если воспроизводимые программы не являются точными копиями оригинала. В компьютерных сетях распространены программычерви. Например такая вирусная программа начинает работать после некоторого числа прикладной программы комплекса при наличии или отсутствии определенного файла или записи файла и т. Программы-мутанты самовоспроизводясь воссоздают копии которые явно отличаются...

Русский

2013-12-08

198 KB

48 чел.

Лекция 9.

Понятие и классификация компьютерных вирусов.

План:

1. Понятие компьютерного вируса. Признаки компьютерного вируса.

2. Классификация компьютерных вирусов.

1. Понятие компьютерного вируса. Признаки компьютерного вируса

Впервые определение компьютерного вируса было сформулировано американским исследователем Ф. Коэном в 1984 г.

Однако и по сей день не прекращаются споры вокруг этого понятия. В настоящее время под компьютерным вирусом принято понимать программный код, обладающий следующими необходимыми свойствами:

способностью к созданию собственных копий, не обязательно совпадающих с оригиналом, но обладающих свойствами оригинала (самовоспроизведение);

наличием механизма, обеспечивающего внедрение создаваемых копий в исполняемые объекты вычислительной системы.

Компьютерным вирусом принято называть специально написанную, обычно небольшую по размерам программу, способную самопроизвольно присоединяться к другим программам (т.е. заражать их), создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера и в другие объединенные с ним компьютеры с целью нарушения нормальной работы программ, порчи файлов и каталогов, создания различных помех при работе на компьютере.

Программа, внутри которой находится вирус, называется «зараженной».

Способ функционирования большинства вирусов - это такое изменение системных файлов компьютера, чтобы вирус начинал свою деятельность при каждой загрузке. Некоторые вирусы инфицируют файлы загрузки системы, другие специализируются на ЕХЕ-, СОМ- и других программных файлах. Всякий раз, когда пользователь копирует файлы на гибкий диск или посылает инфицированные файлы по модему, переданная копия вируса пытается установить себя на новый диск.

Обычно вирус разрабатывается так, чтобы он появился, когда происходит некоторое событие вызова, например, пятница 13-е, другая дата, определенное число перезагрузок зараженного или какого-то конкретного приложения, процент заполнения жесткого диска и др.

После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и ее работа некоторое время не отличается от работы незараженной. Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователь часто и не замечает, что компьютер работает со "странностями".

К признакам появления вируса можно отнести:

  •  замедление работы компьютера;
  •  невозможность загрузки операционной системы;
  •  частые "зависания" и сбои в работе компьютера;
  •  прекращение работы или неправильную работу ранее успешно функционировавших программ;
  •  увеличение количества файлов на диске;
  •  изменение размеров файлов;
  •  периодическое появление на экране монитора неуместных сообщений;
  •  уменьшение объема свободной оперативной памяти;
  •  заметное возрастание времени доступа к жесткому диску;
  •  изменение даты и времени создания файлов;
  •  разрушение файловой структуры (исчезновение файлов, искажение каталогов и др.);
  •  загорание сигнальной лампочки дисковода, когда к нему нет обращения, и др.

Надо заметить, что названные симптомы необязательно вызываются компьютерными вирусами, они могут быть следствием других причин, поэтому компьютер следует периодически диагностировать.

Во многих странах действуют законодательные меры по борьбе с компьютерными преступлениями и злоумышленными действиями, разрабатываются антивирусные программные средства, однако количество новых программных вирусов возрастает.

В мае 2000 г. вирус под названием "I love you" (Я тебя люблю), распространенный по электронной почте, поразил сотни тысяч персональных компьютеров в США и странах Европы. Это, по оценкам специалистов, принесло в первые же дни эпидемии до 1 млрд долл. убытков фирмам и неприятности простым пользователям. Зараженными оказались даже компьютерные системы британского парламента и американского конгресса.

2. Классификация компьютерных вирусов

Основными путями заражения компьютеров вирусами являются съемные диски (дискеты и CD-ROM) и компьютерные сети. Заражение жесткого диска компьютера может произойти при загрузке компьютера с дискеты, содержащей вирус. Для усиления безопасности необходимо обращать внимание на то, как и откуда получена программа (из сомнительного источника, имеется ли наличие сертификата, эксплуатировалась ли раньше и т.д.). Однако главная причина заражения компьютеров вирусами - отсутствие в операционных системах эффективных средств защиты информации от несанкционированного доступа.

По данным специальной литературы, к концу 1998 г. в мировой практике было зарегистрировано более 20 тыс. компьютерных вирусов, и каждую неделю появляется около десяти новых вирусов. Одна из схем классификации компьютерных вирусов представлена на рис. 1.

В зависимости от среды обитания вирусы классифицируются на: 

  1.  загрузочные,
  2.  файловые,
  3.  системные,
  4.  сетевые,
  5.  файлово-загрузочные.

Загрузочные вирусы внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска.

Файловые вирусы внедряются в основном в исполняемые файлы с расширением .СОМ и .ЕХЕ.

Системные вирусы проникают в системные модули и драйверы периферийных устройств, таблицы размещения файлов и таблицы разделов.

Сетевые вирусы обитают в компьютерных сетях; файлово-загрузочные (многофункциональные) поражают загрузочные секторы дисков и файлы прикладных программ.

По способу заражения среды обитания вирусы подразделяются на: 

  1.  резидентные,
  2.  нерезидентные.

Резидентные вирусы при заражении компьютера оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к другим объектам заражения, внедряется в них и выполняет свои разрушительные действия вплоть до выключения или перезагрузки компьютера.

Нерезидентные вирусы не заражают оперативную память ПК и являются активными ограниченное время.

Рис. 1. Классификация компьютерных вирусов

Алгоритмическая особенность построения вирусов оказывает влияние на их проявление и функционирование. Так, репликаторные программы благодаря своему быстрому воспроизводству приводят к переполнению основной памяти, при этом уничтожение программ-репликаторов усложняется, если воспроизводимые программы не являются точными копиями оригинала. В компьютерных сетях распространены программы-черви. Они вычисляют адреса сетевых компьютеров и рассылают по этим адресам свои копии, поддерживая между собой связь. В случае прекращения существования "червя" на каком-либо ПК оставшиеся отыскивают свободный компьютер и внедряют в него такую же программу.

"Троянский конь" - это программа, которая, маскируясь под полезную программу, выполняет дополнительные функции, о чем пользователь и не догадывается (например, собирает информацию об именах и паролях, записывая их в специальный файл, доступный лишь создателю данного вируса), либо разрушает файловую систему.

Логическая бомба - это программа, которая встраивается в большой программный комплекс. Она безвредна до наступления определенного события, после которого реализуется ее логический механизм. Например, такая вирусная программа начинает работать после некоторого числа прикладной программы, комплекса, при наличии или отсутствии определенного файла или записи файла и т.д.

Программы-мутанты, самовоспроизводясь, воссоздают копии, которые явно отличаются от оригинала.

Вирусы-невидимки, или стелс-вирусы, перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо себя незараженные объекты. Такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие "обманывать" резидентные антивирусные мониторы.

Макровирусы используют возможности макроязыков, встроенных в офисные программы обработки данных (текстовые редакторы, электронные таблицы и т.д.).

По степени воздействия на ресурсы компьютерных систем и сетей, или по деструктивным возможностям, выделяются безвредные, неопасные, опасные и разрушительные вирусы.

Безвредные вирусы не оказывают разрушительного влияния на работу ПК, но могут переполнять оперативную память в результате своего размножения.

Неопасные вирусы не разрушают файлы, но уменьшают свободную дисковую память, выводят на экран графические эффекты, создают звуковые эффекты и т.д. Опасные вирусы нередко приводят к различным серьезным нарушениям в работе компьютера; разрушительные - к стиранию информации, полному или частичному нарушению работы прикладных программ. Необходимо иметь в виду, что любой файл, способный к загрузке и выполнению кода программы, является потенциальным местом, куда может внедриться вирус.

Лекция 10.

Антивирусные программы. Классификация антивирусных программ.

Массовое распространение компьютерных вирусов вызвало разработку антивирусных программ, позволяющих обнаруживать и уничтожать вирусы, "лечить" зараженные ресурсы.

В основе работы большинства антивирусных программ лежит принцип поиска сигнатуры вирусов. Вирусная сигнатура - это некоторая уникальная характеристика вирусной программы, которая выдает присутствие вируса в компьютерной системе. Обычно в антивирусные программы входит периодически обновляемая база данных сигнатур вирусов. Антивирусная программа просматривает компьютерную систему, проводя сравнение и отыскивая соответствие с сигнатурами в базе данных. Когда программа находит соответствие, она пытается вычистить обнаруженный вирус.

По методу работы антивирусные программы подразделяются на фильтры, ревизоры доктора, детекторы, вакцины и другие.

Программы-фильтры, или "сторожа", постоянно находятся в оперативной памяти, являясь резидентными, и перехватывают все запросы к операционной системе на выполнение подозрительных действий, т.е. операций, используемых вирусами для своего размножения и порчи информационных и программных ресурсов в компьютере, в том числе для переформатирования жесткого диска. Такими действиями могут быть попытки изменения атрибутов файлов, коррекции исполняемых СОМ- или ЕХЕ-файлов, записи в загрузочные секторы диска и др.

При каждом запросе на такое действие на экран компьютера выдается сообщение о том, какое действие затребовано и какая программа желает его выполнять. Пользователь в ответ на это должен либо разрешить выполнение действия, либо запретить его. Подобная часто повторяющаяся "назойливость", раздражающая пользователя, и то, что объем оперативной памяти уменьшается из-за необходимости постоянного нахождения в ней "сторожа", являются главными недостатками этих программ. К тому же программы-фильтры не "лечат" файлы или диски, для этого необходимо использовать другие антивирусные программы. Примером программ-сторожей являются AVP, Norton AntiVirus for Windows 95, McAfee Virus Scan 95, Thunder Byte Professional for Windows 95.

Надежным средством защиты от вирусов считаются программы-ревизоры. Они запоминают исходное состояние программ, каталогов и системных областей диска, когда компьютер еще не был заражен вирусом, а затем периодически сравнивают текущее состояние с исходным. При выявлении несоответствий (по длине файла, дате модификации, коду циклического контроля файла и др.) сообщение об этом выдается пользователю. Примером программ-ревизоров являются программа Adinf фирмы "Диалог-Наука" и дополнение к ней в виде Adinf Cure Module.

Программы-доктора не только обнаруживают, но и "лечат" зараженные программы или диски, "выкусывая" из зараженных программ тело вируса. Программы этого типа делятся на фаги и полифаги. Последние служат для обнаружения и уничтожения большого количества разнообразных вирусов. Наибольшее распространение в России имеют такие полифаги, как MS Anti Virus, Aidstest и Doctor Web, которые непрерывно обновляются для борьбы с появляющимися новыми вирусами.

Программы-детекторы позволяют обнаруживать файлы, зараженные одним или несколькими известными разработчикам программ вирусами.

Программы-вакцины, или иммунизаторы, относятся к резидентным программам. Они модифицируют программы и диски таким образом, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает их уже зараженными и не внедряется в них.

К настоящему времени зарубежными и отечественными фирмами и специалистами разработано большое количество антивирусных программ. Многие из них, получившие широкое признание, постоянно пополняются новыми средствами для борьбы с вирусами и сопровождаются разработчиками.

У российских пользователей персональных компьютеров популярностью пользуется антивирусный комплекс АО "Диалог-Наука", в который входят программа-ревизор диска Adinf и лечащий блок Adinf Cure Module. Одна из последних версий этой программы-полифага Aidstest обнаруживает более 1700 вирусов. Aidstest для своего нормального функционирования требует, чтобы в оперативной памяти не было других резидентных антивирусных программ, блокирующих запись в программные файлы, поэтому их следует предварительно выгрузить.

При запуске программы Aidstest проверяет оперативную память на наличие известных вирусов и обезвреживает их. При этом парализуются функции вируса, связанные с размножением, а другие побочные эффекты могут оставаться, в связи с чем после окончания обезвреживания вируса программа выдает запрос о перезагрузке. Перезагрузку рекомендуется осуществить кнопкой RESET, так как при перезагрузке клавишами [CTRL]+[Alt]+[Del] некоторые вирусы могут сохраняться. Кроме того, компьютер и антивирусную программу лучше запустить с защищенной от записи дискеты, чтобы при запуске с зараженного диска вирус не смог записаться в память резидентом и препятствовать лечению.

Aidstest тестирует программное тело на наличие известных вирусов, а также по искажению в своем коде судит о заражении неизвестным вирусом, при этом возможны случаи "ложной тревоги", например при сжатии антивируса программой-упаковщиком.

Программа не имеет графического интерфейса, режимы ее работы задаются с помощью ключей. Указав путь, можно проверить не весь диск, а отдельный подкаталог. Оптимальный режим для ежедневной работы задается ключами /g (проверка всех файлов) и А (медленная проверка). Увеличение времени при таких опциях практически не ощутимо.

Ключ следует использовать тогда, когда Aidstest, а также другие программы-антивирусы указывают на наличие вируса в каком-либо файле. При обнаружении вируса в ценном для пользователя файле этот файл следует переписать на дискету и попытаться вылечить с помощью ключа /f. Если попытка не увенчается успехом, надо удалить все зараженные, копии файла и проверить диск снова. Если в файле содержится важная информация, которую нежелательно удалять, можно сархивировать файл или найти другую антивирусную программу, способную лечить этот тип вируса.

Для создания в файле протокола работы программы Aidstest служит ключ . Протокол нужен, если пользователь не успевает просмотреть имена зараженных файлов. Для поддержки антивирусного программно-аппаратного комплекса Sheriff предназначен ключ /z.

Программа-полифаг Doctor Web необходима прежде всего для борьбы с полиморфными вирусами, которые появились сравнительно недавно. Так же как и Aidstest, Doctor Web обновляется не реже раза в месяц, а в промежутках между версиями выходят 1-3 дополнения вирусной базы Doctor Web.

Использование программы Doctor Web для проверки дисков и удаления обнаруженных вирусов в целом подобно Aidstest, в связи с чем эту программу можно запускать сразу после (или до) запуска Aidstest. При этом практически не происходит "дублирования", так как Aidstest и Doctor Web работают на разных наборах вирусов.

В режиме эвристического анализа программа Doctor Web способна эффективно определять файлы, зараженные новыми, неизвестными вирусами. Применяя одновременно A idstest и Doctor Web для контроля дискет и получаемых по сети файлов, можно почти наверняка избежать заражения.

С программой Doctor Web можно работать как в режиме полноэкранного интерфейса с использованием меню и диалоговых окон, так и в режиме командной строки. В командной строке задаются диск, путь и необходимые ключи. Среди ключей: а/ -диагностика всех файлов на заданном устройстве; - удаление вирусов с подтверждением пользователя; /dl - удаление файлов, корректное "лечение" которых невозможно; /CU - "лечение" дисков и файлов; /zp - запись протокола работы в файл. При работе в режиме полноэкранного интерфейса после запуска антивирусной программы пользователь использует необходимые установки через пункты основного меню: Тест Настройки Дополнения/.

Переход на использование операционной системы Windows 95/ NT породил проблемы с защитой от вирусов, создаваемых специально для этой среды. Кроме того, появилась новая разновидность инфекции - макровирусы, "вживляемые" в документы, подготавливаемые текстовым процессором Word и электронными таблицами Excel. АО "Диалог-Наука" предложен программно-аппаратный комплекс Sheriff, предназначенный для антивирусного мониторинга и защиты, но он предполагает установку в ПК дополнительной платы. Известными антивирусными программами являются AntiViral Toolkit Pro (AVP32), Norton AntiVirus for Windows 95, McAffee VirusScan95, Sophos SWEEP for Windows 95, Thunder BYTE AntiVirus Utilities и др. Эти программы работают в виде программ-сканеров и проводят антивирусный контроль оперативной памяти, папок и дисков, содержат алгоритмы для распознавания новых типов вирусов, позволяют в процессе проверки лечить файлы и диски.

Программа AntiViral Toolkit Pro (AVP32) является 32-разрядным приложением, работающим в Windows NT, имеет удобный пользовательский интерфейс, систему помощи, гибкую систему настроек, выбираемых пользователем, распознает более 7 тыс. различных вирусов. Для работы этой программы компьютер должен иметь не менее 4 Мбайт оперативной памяти и не менее 2 Мбайт свободного места на жестком диске. AntiViral Toolkit Pro распознает (детектирует) и удаляет полиморфные вирусы, вирусы-мутанты и вирусы-невидимки, макровирусы, заражающие документ Word и таблицы Excel, объекты Access - "троянские кони".

Важная особенность этой программы состоит в возможности контроля всех файловых операций в системе в фоновом режиме и обнаружении вирусов до момента реального заражения системы, а также в возможности детектирования вирусов внутри архивов формата ZIP, ARJ, ZHA, RAR.

Интерфейс программы AllMicro Anti Virus for Windows 95 довольно прост и не требует от пользователя дополнительных знаний о продукте - просто нужно нажать кнопку Пуск (Scan), после чего начинается проверка или сканирование оперативной памяти, загрузочных и системных секторов жесткого диска, а затем всех файлов, включая архивные и упакованные. Но простота работы не означает плохое качество: в базе данных программы содержится более 8000 сигнатур, и она может проверять не только традиционные исполняемые файлы, но и архивы, и новые типы файлов Windows 95/NT. При этом пользователь имеет возможность задать строку условий для поиска не знакомых программе вирусов.

Программа Vscan 95 каждый раз в процессе начальной загрузки проверяет память компьютера, загрузочные секторы системного диска и все файлы в корневом каталоге. Две другие программы пакета (McAfee Vshield и Vscan) созданы как приложения Windows 95. Первая обеспечивает после загрузки Windows 95 слежение за вновь подключенными дисками, контроль исполняемых программ и копируемых файлов, вторая программа служит для дополнительной проверки памяти, дисков и файлов. Пакет McAfee VirusScan 95 умеет находить макровирусы в файлах MS Word.

Учитывая развитие локальных компьютерных сетей, электронной почты и сети Интернет и внедрение сетевой ОС Windows NT, разработчиками антивирусных программ разработаны и поставляются на рынок такие программы, как Mail Checker - для проверки входящей и исходящей электронной почты, Anti Viral Toolkit Pro для Novell NetWare (AVPN) - для обнаружения, лечения, удаления и перемещения в специальный каталог пораженных вирусом файлов при работе с сетевой ОС Novell NetWare версий 3.x и 4.x.

AVPN работает как антивирусный сканер и фильтр, постоянно контролируя хранящиеся на сервере файлы. В режиме фильтра сканируются на наличие известных файловых вирусов файлы, приходящие на сервер и исходящие с сервера (в том числе запускаемые и считываемые), в режиме сканера происходит немедленное или автоматическое сканирование томов сервера.

AVPN имеет возможность удалять, перемещать и "лечить" зараженные объекты; проверять упакованные и архивные файлы; детектировать неизвестные вирусы с помощью эвристического механизма; проверять в режиме сканера удаленные серверы; отключать зараженную станцию от сети и т.д.

Кроме того, AVPN легко настраивается для сканирования файлов различных типов; имеет удобную схему пополнения антивирусной базы; посылает сообщения о заражении сервера вирусом по сети, электронной почте и на пейджер; осуществляет автоматическое ведение файла-отчета о проделываемых операциях и управление программой с рабочей станции.


 

А также другие работы, которые могут Вас заинтересовать

30854. Функциональные системы 23 KB
  Функциональные системы Функциональная система это временная динамическая саморегулирующаяся организация все составные компоненты которой взаимодействуя обеспечивают достижение полезных приспособительных результатов. В функциональной системе есть периферические и центральные составляющие: Периферические составляющие: А Исполнительные соматические вегетативные и эндокринные компоненты в том числе и поведенческие включающие механизмы формирование результата. Б Полезный приспособительный результат. В Рецепторы...
30855. Рефлекторная регуляция 34.5 KB
  Передача возбуждения в синапсе . иррадиация возникшего возбужденияраспространение возбуждения на рядом лежащие нейроны. концентрация возбуждениястягивание возбуждения на один или несколько нейронов. Индукция бывает: положительная когда наводится процесс возбуждения отрицательная когда наводится процесс торможения.
30856. Рефлексы 31 KB
  Рефлексы Рефлексы делятся на безусловные и условные. Безусловные рефлексы Это врожденные рефлексы которые не требуют предварительной выработки при действии раздражителя реализуются однотипно без особых предварительных условий. Безусловные рефлексы являются видовыми т. Рефлексы направленные на сохранение вида.
30857. Вегетативная нервная система 35.5 KB
  Очаговое представительство нервных центров СНС и ПСНС в ЦНС и. СНС боковые рога тораколюмбального отдела спинного мозга. ПСНС три зоны где лежат её центры:а мезенцефальный отдел ветви в составе глазодвигательного нерва зрачок некоторые слюнные железы;б бульбарный отдел лицевой языкоглоточный нерв и n. ВНС представлена двумя отделами: а симпатическая нервная система СНС б парасимпатическая нервная система ПСНС.
30858. Гуморальная регуляция функций 39.5 KB
  Классификация биологически активных веществ БАВ: Неспецифические метаболиты. Специфические метаболиты: а тканевые гормоны парагормоны; б истинные гормоны. Неспецифические метаболиты продукты метаболизма вырабатываемые любой клеткой в процессе жизнедеятельности и обладающие биологической активностью СО2 молочная кислота. Специфические метаболиты продукты жизнедеятельности вырабатываемые определенными специализированными видами клеток обладающие биологической активностью и специфичностью действия: а тканевые...
30859. Гуморальная регуляция функций. Межсистемный уровень 29.5 KB
  Истинные гормоны. Парагормоны. Истинные гормоны БАВ вырабатывающиеся в специализированных железах внутренней секреции обладающие дистантным действием и высокой активностью. Делятся по принадлежности к железам внутренней секреции половые гормоны тиреоидные гормоны и т.
30860. Гипоталамо-гипофизарная система 24 KB
  Меланостатин Релизингфакторы регулируют выделение гормонов передней доли гипофиза большая часть которых гландулярные регулируют деятельность других желез внутренней секреции выделение ими гормонов. Регуляция в системе гипоталамус гипофиз осуществляется по принципу отрицательной обратной связи избыток гормонов в крови торможение их выработки: 1. Короткая петля регуляции: Рецепторы ГФ реагируют на концентрацию тропныхсобственных гормонов изменяют их выделение и опосредовано уровень гормонов периферических желез вн. Длинная...
30861. Передняя, задняя и промежуточная доли гипофиза 35.5 KB
  Передняя доля гипофиза Все гормоны передней доли являются веществами белковой природы пептиды белки гликопротеиды. Гормоны передней доли гипофиза: 1. Соматотропный гормон СТГ гормон роста соматотропин. Этот гормон белковой природы 191 аминокислота 1стимулирует синтез белка в органах и тканях 2способствует утилизации аминокислот 3увеличивает дифференцировку и созревание клеток.
30862. Щитовидная железа 32.5 KB
  Тиреокальцитонин гормон сберегающий кальций в организме снижает его уровень в крови способствует переходу кальция в костную ткань усиливает минирализацию костной ткани угнетает активность остеокластов ; активирует активность остеобластов угнетает процессы всасывания Са в кишечнике; угнетает процесс реабсорбции Са в почечных канальцах. Паратгормон повышает содержание кальция в крови: активирует функцию остеокластов разрушающих костную ткань активирует процессы всасывания Са в кишечнике; усиливает процесс реабсорбции Са в...