48270

Понятие и классификация компьютерных вирусов

Лекция

Информатика, кибернетика и программирование

Так репликаторные программы благодаря своему быстрому воспроизводству приводят к переполнению основной памяти при этом уничтожение программ-репликаторов усложняется если воспроизводимые программы не являются точными копиями оригинала. В компьютерных сетях распространены программычерви. Например такая вирусная программа начинает работать после некоторого числа прикладной программы комплекса при наличии или отсутствии определенного файла или записи файла и т. Программы-мутанты самовоспроизводясь воссоздают копии которые явно отличаются...

Русский

2013-12-08

198 KB

38 чел.

Лекция 9.

Понятие и классификация компьютерных вирусов.

План:

1. Понятие компьютерного вируса. Признаки компьютерного вируса.

2. Классификация компьютерных вирусов.

1. Понятие компьютерного вируса. Признаки компьютерного вируса

Впервые определение компьютерного вируса было сформулировано американским исследователем Ф. Коэном в 1984 г.

Однако и по сей день не прекращаются споры вокруг этого понятия. В настоящее время под компьютерным вирусом принято понимать программный код, обладающий следующими необходимыми свойствами:

способностью к созданию собственных копий, не обязательно совпадающих с оригиналом, но обладающих свойствами оригинала (самовоспроизведение);

наличием механизма, обеспечивающего внедрение создаваемых копий в исполняемые объекты вычислительной системы.

Компьютерным вирусом принято называть специально написанную, обычно небольшую по размерам программу, способную самопроизвольно присоединяться к другим программам (т.е. заражать их), создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера и в другие объединенные с ним компьютеры с целью нарушения нормальной работы программ, порчи файлов и каталогов, создания различных помех при работе на компьютере.

Программа, внутри которой находится вирус, называется «зараженной».

Способ функционирования большинства вирусов - это такое изменение системных файлов компьютера, чтобы вирус начинал свою деятельность при каждой загрузке. Некоторые вирусы инфицируют файлы загрузки системы, другие специализируются на ЕХЕ-, СОМ- и других программных файлах. Всякий раз, когда пользователь копирует файлы на гибкий диск или посылает инфицированные файлы по модему, переданная копия вируса пытается установить себя на новый диск.

Обычно вирус разрабатывается так, чтобы он появился, когда происходит некоторое событие вызова, например, пятница 13-е, другая дата, определенное число перезагрузок зараженного или какого-то конкретного приложения, процент заполнения жесткого диска и др.

После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и ее работа некоторое время не отличается от работы незараженной. Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователь часто и не замечает, что компьютер работает со "странностями".

К признакам появления вируса можно отнести:

  •  замедление работы компьютера;
  •  невозможность загрузки операционной системы;
  •  частые "зависания" и сбои в работе компьютера;
  •  прекращение работы или неправильную работу ранее успешно функционировавших программ;
  •  увеличение количества файлов на диске;
  •  изменение размеров файлов;
  •  периодическое появление на экране монитора неуместных сообщений;
  •  уменьшение объема свободной оперативной памяти;
  •  заметное возрастание времени доступа к жесткому диску;
  •  изменение даты и времени создания файлов;
  •  разрушение файловой структуры (исчезновение файлов, искажение каталогов и др.);
  •  загорание сигнальной лампочки дисковода, когда к нему нет обращения, и др.

Надо заметить, что названные симптомы необязательно вызываются компьютерными вирусами, они могут быть следствием других причин, поэтому компьютер следует периодически диагностировать.

Во многих странах действуют законодательные меры по борьбе с компьютерными преступлениями и злоумышленными действиями, разрабатываются антивирусные программные средства, однако количество новых программных вирусов возрастает.

В мае 2000 г. вирус под названием "I love you" (Я тебя люблю), распространенный по электронной почте, поразил сотни тысяч персональных компьютеров в США и странах Европы. Это, по оценкам специалистов, принесло в первые же дни эпидемии до 1 млрд долл. убытков фирмам и неприятности простым пользователям. Зараженными оказались даже компьютерные системы британского парламента и американского конгресса.

2. Классификация компьютерных вирусов

Основными путями заражения компьютеров вирусами являются съемные диски (дискеты и CD-ROM) и компьютерные сети. Заражение жесткого диска компьютера может произойти при загрузке компьютера с дискеты, содержащей вирус. Для усиления безопасности необходимо обращать внимание на то, как и откуда получена программа (из сомнительного источника, имеется ли наличие сертификата, эксплуатировалась ли раньше и т.д.). Однако главная причина заражения компьютеров вирусами - отсутствие в операционных системах эффективных средств защиты информации от несанкционированного доступа.

По данным специальной литературы, к концу 1998 г. в мировой практике было зарегистрировано более 20 тыс. компьютерных вирусов, и каждую неделю появляется около десяти новых вирусов. Одна из схем классификации компьютерных вирусов представлена на рис. 1.

В зависимости от среды обитания вирусы классифицируются на: 

  1.  загрузочные,
  2.  файловые,
  3.  системные,
  4.  сетевые,
  5.  файлово-загрузочные.

Загрузочные вирусы внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска.

Файловые вирусы внедряются в основном в исполняемые файлы с расширением .СОМ и .ЕХЕ.

Системные вирусы проникают в системные модули и драйверы периферийных устройств, таблицы размещения файлов и таблицы разделов.

Сетевые вирусы обитают в компьютерных сетях; файлово-загрузочные (многофункциональные) поражают загрузочные секторы дисков и файлы прикладных программ.

По способу заражения среды обитания вирусы подразделяются на: 

  1.  резидентные,
  2.  нерезидентные.

Резидентные вирусы при заражении компьютера оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к другим объектам заражения, внедряется в них и выполняет свои разрушительные действия вплоть до выключения или перезагрузки компьютера.

Нерезидентные вирусы не заражают оперативную память ПК и являются активными ограниченное время.

Рис. 1. Классификация компьютерных вирусов

Алгоритмическая особенность построения вирусов оказывает влияние на их проявление и функционирование. Так, репликаторные программы благодаря своему быстрому воспроизводству приводят к переполнению основной памяти, при этом уничтожение программ-репликаторов усложняется, если воспроизводимые программы не являются точными копиями оригинала. В компьютерных сетях распространены программы-черви. Они вычисляют адреса сетевых компьютеров и рассылают по этим адресам свои копии, поддерживая между собой связь. В случае прекращения существования "червя" на каком-либо ПК оставшиеся отыскивают свободный компьютер и внедряют в него такую же программу.

"Троянский конь" - это программа, которая, маскируясь под полезную программу, выполняет дополнительные функции, о чем пользователь и не догадывается (например, собирает информацию об именах и паролях, записывая их в специальный файл, доступный лишь создателю данного вируса), либо разрушает файловую систему.

Логическая бомба - это программа, которая встраивается в большой программный комплекс. Она безвредна до наступления определенного события, после которого реализуется ее логический механизм. Например, такая вирусная программа начинает работать после некоторого числа прикладной программы, комплекса, при наличии или отсутствии определенного файла или записи файла и т.д.

Программы-мутанты, самовоспроизводясь, воссоздают копии, которые явно отличаются от оригинала.

Вирусы-невидимки, или стелс-вирусы, перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо себя незараженные объекты. Такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие "обманывать" резидентные антивирусные мониторы.

Макровирусы используют возможности макроязыков, встроенных в офисные программы обработки данных (текстовые редакторы, электронные таблицы и т.д.).

По степени воздействия на ресурсы компьютерных систем и сетей, или по деструктивным возможностям, выделяются безвредные, неопасные, опасные и разрушительные вирусы.

Безвредные вирусы не оказывают разрушительного влияния на работу ПК, но могут переполнять оперативную память в результате своего размножения.

Неопасные вирусы не разрушают файлы, но уменьшают свободную дисковую память, выводят на экран графические эффекты, создают звуковые эффекты и т.д. Опасные вирусы нередко приводят к различным серьезным нарушениям в работе компьютера; разрушительные - к стиранию информации, полному или частичному нарушению работы прикладных программ. Необходимо иметь в виду, что любой файл, способный к загрузке и выполнению кода программы, является потенциальным местом, куда может внедриться вирус.

Лекция 10.

Антивирусные программы. Классификация антивирусных программ.

Массовое распространение компьютерных вирусов вызвало разработку антивирусных программ, позволяющих обнаруживать и уничтожать вирусы, "лечить" зараженные ресурсы.

В основе работы большинства антивирусных программ лежит принцип поиска сигнатуры вирусов. Вирусная сигнатура - это некоторая уникальная характеристика вирусной программы, которая выдает присутствие вируса в компьютерной системе. Обычно в антивирусные программы входит периодически обновляемая база данных сигнатур вирусов. Антивирусная программа просматривает компьютерную систему, проводя сравнение и отыскивая соответствие с сигнатурами в базе данных. Когда программа находит соответствие, она пытается вычистить обнаруженный вирус.

По методу работы антивирусные программы подразделяются на фильтры, ревизоры доктора, детекторы, вакцины и другие.

Программы-фильтры, или "сторожа", постоянно находятся в оперативной памяти, являясь резидентными, и перехватывают все запросы к операционной системе на выполнение подозрительных действий, т.е. операций, используемых вирусами для своего размножения и порчи информационных и программных ресурсов в компьютере, в том числе для переформатирования жесткого диска. Такими действиями могут быть попытки изменения атрибутов файлов, коррекции исполняемых СОМ- или ЕХЕ-файлов, записи в загрузочные секторы диска и др.

При каждом запросе на такое действие на экран компьютера выдается сообщение о том, какое действие затребовано и какая программа желает его выполнять. Пользователь в ответ на это должен либо разрешить выполнение действия, либо запретить его. Подобная часто повторяющаяся "назойливость", раздражающая пользователя, и то, что объем оперативной памяти уменьшается из-за необходимости постоянного нахождения в ней "сторожа", являются главными недостатками этих программ. К тому же программы-фильтры не "лечат" файлы или диски, для этого необходимо использовать другие антивирусные программы. Примером программ-сторожей являются AVP, Norton AntiVirus for Windows 95, McAfee Virus Scan 95, Thunder Byte Professional for Windows 95.

Надежным средством защиты от вирусов считаются программы-ревизоры. Они запоминают исходное состояние программ, каталогов и системных областей диска, когда компьютер еще не был заражен вирусом, а затем периодически сравнивают текущее состояние с исходным. При выявлении несоответствий (по длине файла, дате модификации, коду циклического контроля файла и др.) сообщение об этом выдается пользователю. Примером программ-ревизоров являются программа Adinf фирмы "Диалог-Наука" и дополнение к ней в виде Adinf Cure Module.

Программы-доктора не только обнаруживают, но и "лечат" зараженные программы или диски, "выкусывая" из зараженных программ тело вируса. Программы этого типа делятся на фаги и полифаги. Последние служат для обнаружения и уничтожения большого количества разнообразных вирусов. Наибольшее распространение в России имеют такие полифаги, как MS Anti Virus, Aidstest и Doctor Web, которые непрерывно обновляются для борьбы с появляющимися новыми вирусами.

Программы-детекторы позволяют обнаруживать файлы, зараженные одним или несколькими известными разработчикам программ вирусами.

Программы-вакцины, или иммунизаторы, относятся к резидентным программам. Они модифицируют программы и диски таким образом, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает их уже зараженными и не внедряется в них.

К настоящему времени зарубежными и отечественными фирмами и специалистами разработано большое количество антивирусных программ. Многие из них, получившие широкое признание, постоянно пополняются новыми средствами для борьбы с вирусами и сопровождаются разработчиками.

У российских пользователей персональных компьютеров популярностью пользуется антивирусный комплекс АО "Диалог-Наука", в который входят программа-ревизор диска Adinf и лечащий блок Adinf Cure Module. Одна из последних версий этой программы-полифага Aidstest обнаруживает более 1700 вирусов. Aidstest для своего нормального функционирования требует, чтобы в оперативной памяти не было других резидентных антивирусных программ, блокирующих запись в программные файлы, поэтому их следует предварительно выгрузить.

При запуске программы Aidstest проверяет оперативную память на наличие известных вирусов и обезвреживает их. При этом парализуются функции вируса, связанные с размножением, а другие побочные эффекты могут оставаться, в связи с чем после окончания обезвреживания вируса программа выдает запрос о перезагрузке. Перезагрузку рекомендуется осуществить кнопкой RESET, так как при перезагрузке клавишами [CTRL]+[Alt]+[Del] некоторые вирусы могут сохраняться. Кроме того, компьютер и антивирусную программу лучше запустить с защищенной от записи дискеты, чтобы при запуске с зараженного диска вирус не смог записаться в память резидентом и препятствовать лечению.

Aidstest тестирует программное тело на наличие известных вирусов, а также по искажению в своем коде судит о заражении неизвестным вирусом, при этом возможны случаи "ложной тревоги", например при сжатии антивируса программой-упаковщиком.

Программа не имеет графического интерфейса, режимы ее работы задаются с помощью ключей. Указав путь, можно проверить не весь диск, а отдельный подкаталог. Оптимальный режим для ежедневной работы задается ключами /g (проверка всех файлов) и А (медленная проверка). Увеличение времени при таких опциях практически не ощутимо.

Ключ следует использовать тогда, когда Aidstest, а также другие программы-антивирусы указывают на наличие вируса в каком-либо файле. При обнаружении вируса в ценном для пользователя файле этот файл следует переписать на дискету и попытаться вылечить с помощью ключа /f. Если попытка не увенчается успехом, надо удалить все зараженные, копии файла и проверить диск снова. Если в файле содержится важная информация, которую нежелательно удалять, можно сархивировать файл или найти другую антивирусную программу, способную лечить этот тип вируса.

Для создания в файле протокола работы программы Aidstest служит ключ . Протокол нужен, если пользователь не успевает просмотреть имена зараженных файлов. Для поддержки антивирусного программно-аппаратного комплекса Sheriff предназначен ключ /z.

Программа-полифаг Doctor Web необходима прежде всего для борьбы с полиморфными вирусами, которые появились сравнительно недавно. Так же как и Aidstest, Doctor Web обновляется не реже раза в месяц, а в промежутках между версиями выходят 1-3 дополнения вирусной базы Doctor Web.

Использование программы Doctor Web для проверки дисков и удаления обнаруженных вирусов в целом подобно Aidstest, в связи с чем эту программу можно запускать сразу после (или до) запуска Aidstest. При этом практически не происходит "дублирования", так как Aidstest и Doctor Web работают на разных наборах вирусов.

В режиме эвристического анализа программа Doctor Web способна эффективно определять файлы, зараженные новыми, неизвестными вирусами. Применяя одновременно A idstest и Doctor Web для контроля дискет и получаемых по сети файлов, можно почти наверняка избежать заражения.

С программой Doctor Web можно работать как в режиме полноэкранного интерфейса с использованием меню и диалоговых окон, так и в режиме командной строки. В командной строке задаются диск, путь и необходимые ключи. Среди ключей: а/ -диагностика всех файлов на заданном устройстве; - удаление вирусов с подтверждением пользователя; /dl - удаление файлов, корректное "лечение" которых невозможно; /CU - "лечение" дисков и файлов; /zp - запись протокола работы в файл. При работе в режиме полноэкранного интерфейса после запуска антивирусной программы пользователь использует необходимые установки через пункты основного меню: Тест Настройки Дополнения/.

Переход на использование операционной системы Windows 95/ NT породил проблемы с защитой от вирусов, создаваемых специально для этой среды. Кроме того, появилась новая разновидность инфекции - макровирусы, "вживляемые" в документы, подготавливаемые текстовым процессором Word и электронными таблицами Excel. АО "Диалог-Наука" предложен программно-аппаратный комплекс Sheriff, предназначенный для антивирусного мониторинга и защиты, но он предполагает установку в ПК дополнительной платы. Известными антивирусными программами являются AntiViral Toolkit Pro (AVP32), Norton AntiVirus for Windows 95, McAffee VirusScan95, Sophos SWEEP for Windows 95, Thunder BYTE AntiVirus Utilities и др. Эти программы работают в виде программ-сканеров и проводят антивирусный контроль оперативной памяти, папок и дисков, содержат алгоритмы для распознавания новых типов вирусов, позволяют в процессе проверки лечить файлы и диски.

Программа AntiViral Toolkit Pro (AVP32) является 32-разрядным приложением, работающим в Windows NT, имеет удобный пользовательский интерфейс, систему помощи, гибкую систему настроек, выбираемых пользователем, распознает более 7 тыс. различных вирусов. Для работы этой программы компьютер должен иметь не менее 4 Мбайт оперативной памяти и не менее 2 Мбайт свободного места на жестком диске. AntiViral Toolkit Pro распознает (детектирует) и удаляет полиморфные вирусы, вирусы-мутанты и вирусы-невидимки, макровирусы, заражающие документ Word и таблицы Excel, объекты Access - "троянские кони".

Важная особенность этой программы состоит в возможности контроля всех файловых операций в системе в фоновом режиме и обнаружении вирусов до момента реального заражения системы, а также в возможности детектирования вирусов внутри архивов формата ZIP, ARJ, ZHA, RAR.

Интерфейс программы AllMicro Anti Virus for Windows 95 довольно прост и не требует от пользователя дополнительных знаний о продукте - просто нужно нажать кнопку Пуск (Scan), после чего начинается проверка или сканирование оперативной памяти, загрузочных и системных секторов жесткого диска, а затем всех файлов, включая архивные и упакованные. Но простота работы не означает плохое качество: в базе данных программы содержится более 8000 сигнатур, и она может проверять не только традиционные исполняемые файлы, но и архивы, и новые типы файлов Windows 95/NT. При этом пользователь имеет возможность задать строку условий для поиска не знакомых программе вирусов.

Программа Vscan 95 каждый раз в процессе начальной загрузки проверяет память компьютера, загрузочные секторы системного диска и все файлы в корневом каталоге. Две другие программы пакета (McAfee Vshield и Vscan) созданы как приложения Windows 95. Первая обеспечивает после загрузки Windows 95 слежение за вновь подключенными дисками, контроль исполняемых программ и копируемых файлов, вторая программа служит для дополнительной проверки памяти, дисков и файлов. Пакет McAfee VirusScan 95 умеет находить макровирусы в файлах MS Word.

Учитывая развитие локальных компьютерных сетей, электронной почты и сети Интернет и внедрение сетевой ОС Windows NT, разработчиками антивирусных программ разработаны и поставляются на рынок такие программы, как Mail Checker - для проверки входящей и исходящей электронной почты, Anti Viral Toolkit Pro для Novell NetWare (AVPN) - для обнаружения, лечения, удаления и перемещения в специальный каталог пораженных вирусом файлов при работе с сетевой ОС Novell NetWare версий 3.x и 4.x.

AVPN работает как антивирусный сканер и фильтр, постоянно контролируя хранящиеся на сервере файлы. В режиме фильтра сканируются на наличие известных файловых вирусов файлы, приходящие на сервер и исходящие с сервера (в том числе запускаемые и считываемые), в режиме сканера происходит немедленное или автоматическое сканирование томов сервера.

AVPN имеет возможность удалять, перемещать и "лечить" зараженные объекты; проверять упакованные и архивные файлы; детектировать неизвестные вирусы с помощью эвристического механизма; проверять в режиме сканера удаленные серверы; отключать зараженную станцию от сети и т.д.

Кроме того, AVPN легко настраивается для сканирования файлов различных типов; имеет удобную схему пополнения антивирусной базы; посылает сообщения о заражении сервера вирусом по сети, электронной почте и на пейджер; осуществляет автоматическое ведение файла-отчета о проделываемых операциях и управление программой с рабочей станции.


 

А также другие работы, которые могут Вас заинтересовать

66875. Устройство оптоэлектроники 702.06 KB
  Изобразить структуру фотоприемника. Изобразить ВАХ фотоприемника. Дать определение основным параметрам. Пояснить принцип работы фотоприемника. Фототиристор Фотоприемный прибор, имеющий три и более р-п перехода, в ВАХ которого имеется участок отрицательного дифференциального сопротивления, называются фототиристорами.
66876. Структура лексического значения 135 KB
  Так если денотатом слова птица в первом понимании является множество всех птиц то во втором понимании – образ типичной птицы. В первом случае слова враги друзья указывают на конкретное окружение Онегина.
66877. Фонема. Система фонем 90.46 KB
  Один из важнейших аспектов учения о звуковой стороне языка состоит в различении понятий звука речи и фонемы. Звук речи – минимальная единица речевой цепи, являющаяся результатом сложной артикуляционной деятельности человека и характеризующаяся...
66878. Язык как система знаков 156 KB
  Знаки и образуемые ими знаковые системы изучает семиотика (семиология). Мысль о языке как системе знаков наиболее явно сформулировал Фердинанд де Соссюр. Система – это множество однородных элементов (в нашем случае – знаков), которые находятся между собой в определенных отношениях и образуют единство.
66879. ФАЗЫ В МЕТАЛЛИЧЕСКИХ СПЛАВАХ 38 KB
  Твердыми растворами называют фазы в которых один из компонентов сплава сохраняет свою кристаллическую решетку а атомы другого или других компонентов располагаются в решетке первого компонента растворителя изменяя ее размеры периоды.
66880. Споживчий ринок товарів 22.5 KB
  Основними тенденціями розвитку народного споживання можна вважати зростання обсягів споживання зміну структури в бік збільшення частки непродовольчих товарів. Слід відмітити тенденцію зростання питомої ваги суспільних фондів споживання.
66881. Продукційна модель представленнязнань 39.3 KB
  Вивчення представлення знань засобами С++ та ПАСКАЛЬ в рамках продукційної моделі. Папір - метод читання оптичний, обєм середній, перезапис неможливий. Перфокарта - метод читання оптичний, обєм малий, перезапис неможливий. ГМД - метод читання магнітний, обєм середній, перезапис можливий.
66882. Комбинационные микросхемы 389 KB
  В лекции рассказывается о комбинационных микросхемах: шифраторах дешифраторах мультиплексорах и компараторах кодов об их алгоритмах работы параметрах типовых схемах включения а также о реализации на их основе некоторых часто встречающихся функций.
66883. ПЕРВОБЫТНОЕ ИСКУССТВО 86 KB
  Наскальные изображения. Зооморфные и антропоморфные изображения. Изображения людей: а женщины б мужчины в лицевая часть головы г человек в композиции с другими объектами. Изображения женщин встречаются двух видов: 1 наиболее древние изображения...