Самошифрование и полиморфичность как свойства компьютерных вирусов

Обновлено: 03.07.2024

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия.

По особенностям алгоритма работы вирусы делятся на:

резидентные;
стелс-вирусы;
полиморфик-вирусы;
вирусы, использующие нестандартные приемы.

Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы.

Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными

К резидентным вирусам относятся макровирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие "перезагрузка операционной системы" трактуется как выход из редактора.

В многозадачных операционных системах время "жизни" резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов OC.

Вирусы-невидимки, называемые стелс-вирусами(STEALTH-вирусы),маскируют свое присутствие в ЭВМ, их очень трудно обнаружить и обезвредить. Наиболее распространенным стелс-алгоритмом является перехват запросов операционной системы на чтение/запись зараженных объектов. Стелс-вирусы при этом:

1) либо временно лечат их,

2) либо "подставляют" вместо себя незараженные участки информации.

В случае макровирусов наиболее популярный способ – запрет вызовов меню просмотра макросов.

Таким образом, Вирусы-невидимки или стелс-вирусыфальсифицируют информацию, прочитанную из диска так, что программа, какой предназначена эта информация получает неверные данные. Эта технология, которую, иногда, так и называют Stealth-технологией, может использоваться как в BOOT-вирусах, так и в файловых вирусах.

Вирусы-мутанты (призраки, полиморфные вирусы, полиморфики)

Полиморфик-вирусы (polymorphic)-, содержащие алгоритмы шифрования основного тела вируса и модификации программы-расшифровщика, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов.

Их трудно обнаружить, т.к. их копии практически не содержат полностью совпадающих участков кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения Это достигается тем, что в программы вирусов добавляются пустые команды (мусор), которые не изменяют алгоритм работы вируса, но затрудняют их выявление. (OneHalf – локальные «эпидемии» его возникают регулярно).

Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования (обнаружения) вируса.

Различные нестандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре операционной системы, защитить от обнаружения свою резидентную копию, затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и т. д.

Квазивирусные или«троянские»программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков(например, стирает FAT), или собирает на компьютере информацию, не подлежащую разглашению. Не обладают свойством самовоспроизводства.

Методы реализации защиты: программные, аппаратные, организационные

Программные средства защиты информации — это специальные программы и программные комплексы, предназначенные для защиты информации в информационной системе [7, с. 38.].

Программные средства включают программы для идентификации

пользователей, контроля доступа, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и другие.

Преимущества программных средств – универсальность, гибкость, надежность, простота установки, способность к модификации и развитию.

Недостатки – использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств) [26, с. 79-80].

К программным средствам защиты программного обеспечения относятся:

· встроенные средства защиты информации – это средства, реализующие авторизацию и аутентификацию пользователей (вход в систему с использованием пароля), разграничение прав доступа, защиту ПОот копирования, корректность ввода данных в соответствии с заданным форматом и так далее.

Кроме того, к данной группе средств относятся встроенные средства операционной системы по защите от влияния работы одной программы на работу другой программы при работе компьютера в мультипрограммном режиме, когда в его памяти может одновременно находиться в стадии выполнения несколько программ, попеременно получающих управление в результате возникающих прерываний. В каждой из таких программ вероятны отказы (ошибки), которые могут повлиять на выполнение функций другими программами. Операционная система занимается обработкой прерываний и управлением мультипрограммным режимом. Поэтому операционная система должна обеспечить защиту себя и других программ от такого влияния, используя, например, механизм защиты памяти и распределение выполнения программ в привилегированном или пользовательском режиме;

· антивирусные программы – программы, предназначенные для обнаружения компьютерных вирусов, лечения или удаления инфицированных файлов, а также для профилактики – предотвращения заражения файлов или операционной системы вредоносным кодом. В качестве примера можно привести: ADINF, AIDSTEST, AVP, DrWeb;

· специализированные программные средства защиты информации от несанкционированного доступа – обладают в целом лучшими возможностями и характеристиками, чем встроенные средства. В настоящее время рынок программных средств предоставляет большой выбор специализированных программ, предназначенных для: защиты папок и файлов на компьютере; контроля за выполнением пользователями правил безопасности при работе с компьютером, а также выявления и пресечения попыток несанкционированного доступа к конфиденциальным данным, хранящимся на персональном компьютере; наблюдения за действиями, происходящими на контролируемом компьютере, работающем автономно или в локальной вычислительной сети;

программные средства тестового контроля, предупреждающие и выявляющие дефекты, а также удостоверяющие надежность программ и оперативно защищающие функционирование программных средств при их проявлениях. Одним из основных путей повышения надежности программного обеспечения является использование современных инструментальных программных средств, позволяющих выполнять систематическое автоматизированное тестирование и испытание ПОдля обнаружения и устранения ошибок проектирования, разработки и сопровождения;

· межсетевые экраны (также называемые брандмауэрами или файрволами). Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет данную опасность полностью. Более защищенная разновидность метода – это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой;

· proxy-servers. Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью – маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Примером могут служить: 3proxy (BSD, многоплатформенный), CoolProxy (проприетарный, Windows), Ideco ICS (проприетарный, Linux);

VPN (виртуальная частная сеть) позволяет передавать секретную

информацию через сети, в которых возможно прослушивание трафика посторонними людьми. Например: IPSec (IP security), PPTP (point-to-point tunneling protocol), L2TPv3 (Layer 2 Tunnelling Protocol version 3) [26, с. 76-79.].

Программные средства защиты информации являются одним из наиболее распространенных методов защиты информации в компьютерах и информационных сетях, а так же их важнейшей и непременной частью.

Аппаратные средства – это технические средства, используемые для обработки данных. Сюда относятся: Персональный компьютер (комплекс технических средств, предназначенных для автоматической обработки информации в процессе решения вычислительных и информационных задач).

Периферийное оборудование (комплекс внешних устройств ЭВМ, не находящихся под непосредственным управлением центрального процессора).

Физические носители машинной информации.

К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. К настоящему времени разработано значительное число аппаратных средств различного назначения, однако наибольшее распространение получают следующие:

-специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;

-генераторы кодов, предназначенные для автоматического генерирования идентифицирующего кода устройства;

-устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;

-специальные биты секретности, значение которых определяет уровень секретности информации, хранимой в ЗУ, которой принадлежат данные биты;

-схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных. Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы).

рганизационные методы защиты информации включают меры, мероприятия и действия, которые должны осуществлять должностные лица в процессе создания и эксплуатации КС для обеспечения заданного уровня безопасности информации.

В соответствии с законами и нормативными актами в министерствах, ведомствах, на предприятиях (независимо от форм собственности) для защиты информации создаются специальные службы безопасности, подчиняющиеся непосредственно руководству учреждения. Руководители служб организуют создание и функционирование системы защиты информации.

На организационном уровне решаются следующие задачи обеспечения безопасности информации в КС:

- организация работ по разработке системы защиты информации;

- ограничение доступа на объект и к ресурсам КС;

- разграничение доступа к ресурсам КС;

- воспитание и обучение обслуживающего персонала и пользователей;

- сертификация средств защиты информации;

- лицензирование деятельности по защите информации;

- аттестация объектов защиты;

- совершенствование системы защиты информации;

- оценка эффективности функционирования системы защиты информации;

- контроль выполнения установленных правил работы в КС.

Организационные методы являются стержнем комплексной системы защиты информации в КС. Только с помощью этих методов возможно объединение на правовой основе технических, программных и криптографических средств защиты информации в единую комплексную систему.

Конкретные организационные методы защиты информации будут проводиться при рассмотрении парирования угроз безопасности информации. Наибольшее внимание организационным мероприятиям уделяется при изложении вопросов построения и организации функционирования комплексной системы защиты информации.

изучить классы компьютерных вирусов и их характеристику.

Требования к знаниям и умениям

Студент должен знать:

классы компьютерных вирусов;

характеристику различных компьютерных вирусов.

Студент должен уметь:

классифицировать компьютерные вирусы.

Ключевой термин

Ключевой термин: класс компьютерного вируса.

Класс компьютерного вируса определяется средой "обитания", особенностью алгоритма его работы, а также деструктивными действиями.

Второстепенные термины

среда "обитания" вируса;

самошифрование и полиморфичность.

Структурная схема терминов

2.2.2. Классификация компьютерных вирусов по среде обитания

По среде "обитания" вирусы делятся на:

Файловые вирусы внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).

Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик жесткого диска (Master Boot Record), либо меняют указатель на активный boot-сектор.

Макровирусы заражают файлы-документы и электронные таблицы популярных офисных приложений.

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Существует большое количество сочетаний – например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс- и полиморфик-технологии. Другой пример такого сочетания – сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

Заражаемая операционная система является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS – DOS, Windows, и т. д. Макровирусы заражают файлы форматов Word, Excel, пакета Office. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.

2.2.3. Классификация компьютерных вирусов по особенностям алгоритма работы

По особенностям алгоритма работы вирусы делятся на:

вирусы, использующие нестандартные приемы.

Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. К резидентным относятся макровирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие "перезагрузка операционной системы" трактуется как выход из редактора.

Использование стелс-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов операционной системы на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо "подставляют" вместо себя незараженные участки информации. В случае макровирусов наиболее популярный способ – запрет вызовов меню просмотра макросов.

Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования (обнаружения) вируса. Полиморфик-вирусы (polymorphic) – это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т. е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

2.2.4. Классифиация компьютерных вирусов по деструктивные возможностям

По деструктивным возможностям вирусы можно разделить на:

безвредные, т. е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

неопасные, влияние которых ограничивается уменьшением свободной памяти на диске;

опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;

очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже повредить аппаратные средства компьютера.

2.2.5. Выводы по теме

По среде "обитания" вирусы делятся на файловые, загрузочные, макровирусы, сетевые.

Файловые вирусы внедряются в выполняемые файлы, либо создают файлы-двойники, либо используют особенности организации файловой системы.

Загрузочные вирусы записывают себя либо в загрузочный сектор диска, либо в сектор, содержащий системный загрузчик жесткого диска.

Макровирусы заражают файлы-документы и электронные таблицы офисных приложений.

По особенностям алгоритма работы вирусы делятся на резидентные, стелс-вирусы, полиморфик-вирусы и вирусы, использующие нестандартные приемы.

Стелс-вирусы скрывают свое присутствие в "среде обитания".

По деструктивным возможностям вирусы можно разделить на безвредные, неопасные, опасные и очень опасные вирусы.

2.2.6. Вопросы для самоконтроля

Перечислите классификационные признаки компьютерных вирусов.

Охарактеризуйте файловый и загрузочный вирусы.

В чем особенности резидентных вирусов?

Сформулируйте признаки стелс-вирусов.

Перечислите деструктивные возможности компьютерных вирусов.

Поясните самошифрование и полиморфичность как свойства компьютерных вирусов.

2.2.7. Ссылки на дополнительные материалы (печатные и электронные ресурсы)

Касперский Е. Компьютерные вирусы в MS-DOS. – М.: Эдель, 1992.

Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности. – М.: Издательство Молгачева С. В., 2001.

Фролов А. В., Фролов Г. В. Осторожно: компьютерные вирусы. – М.: ДИАЛОГ-МИФИ, 1996.

Галатенко В. А. Основы информационной безопасности. – М: Интернет-Университет Информационных Технологий – ИНТУИТ. РУ, 2003

Но компьютерная революция сопровождалась появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютеров, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.
Компьютерные вирусы. Что это такое и как с этим бороться? На эту тему уже написаны десятки книг и сотни статей, борьбой с компьютерными вирусами профессионально занимаются сотни (или тысячи) специалистов в десятках (а может быть, сотнях) компаний. Казалось бы, тема эта не настолько сложна и актуальна, чтобы быть объектом такого пристального внимания. Однако это не так. Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Известны случаи, когда вирусы блокировали работу организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека - в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию.

Несмотря на огромные усилия конкурирующих между собой антивирусных фирм, убытки, приносимые компьютерными вирусами, не падают и достигают астрономичсеских величин в сотни миллионов долларов ежегодно. Эти оценки явно занижены, поскольку известно становится лишь о части подобных инцидентов.

При этом следует иметь в виду, что антивирусные программы и «железо» не дают полной гарантии защиты от вирусов. Примерно так же плохо обстоят дела на другой стороне тандема «человек-компьютер». Как пользователи, так и профессионалы-программисты часто не имеют даже навыков «самообороны», а их представления о вирусе порой являются настолько поверхностными, что лучше бы их (представлений) и не было.

Немногим лучше обстоят дела на Западе, где и литературы побольше (издается аж три ежемесячных журнала, посвященных вирусам и защите от них), и вирусов поменьше (поскольку «левые» китайские компакт-диски особо на рынок не поступают), и антивирусные компании ведут себя активнее (проводя, например, специальные конференции и семинары для специалистов и пользователей).

У нас же, к сожалению, все это не совсем так. И одним из наименее »проработанных» пунктов является литература, посвященная проблемам борьбы с вирусами. На сегодняшний день имеющаяся на прилавках магазинов печатная продукция антивирусного толка либо давно устарела, либо написана непрофессионалами, либо авторами типа Хижняка, что гораздо хуже.

Довольно неприятным моментом является также опережающая работа Российского компьютерного «андеграунда»: только за два года было выпущено более десятка электронных номеров журнала вирусописателей «Infected Voice», появилось несколько станций BBS и WWW-страниц, ориентированные на распространение вирусов и сопутсвующей информации.

Все это и послужило толчком к тому, чтобы собрать воедино весь материал, который скопился у меня за восемь лет профессиональной работы с компьютерными вирусами, их анализа и разработке методов обнаружения и лечения.

Компьютерные вирусы. Что это такое и как с этим бороться? На эту тему уже написаны десятки книг и сотни статей, борьбой с компьютерными вирусами профессионально занимаются сотни (или тысячи) специалистов в десятках (а может быть, сотнях) компаний. Казалось бы, тема эта не настолько сложна и актуальна, чтобы быть объектом такого пристального внимания. Однако это не так. Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Известны случаи, когда вирусы блокировали работу организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека - в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию.

Несмотря на огромные усилия конкурирующих между собой антивирусных фирм, убытки, приносимые компьютерными вирусами, не падают и достигают астрономических величин в сотни миллионов долларов ежегодно. Эти оценки явно занижены, поскольку известно становится лишь о части подобных инцидентов.

При этом следует иметь в виду, что антивирусные программы и «железо» не дают полной гарантии защиты от вирусов. Примерно так же плохо обстоят дела на другой стороне тандема «человек-компьютер». Как пользователи, так и профессионалы-программисты часто не имеют даже навыков «самообороны», а их представления о вирусе порой являются поверхностными. Что же такое компьютерный вирус?

Цель исследования. Ознакомиться с основами компьютерной вирусологии.

Задачи и сследования :

Понять что такое компьютерный вирус и какие они бывают;

Как с ними бороться.

Компьютерный вирус – это специально написанная программа, обязательным (необходимым) свойством которого является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.

Как правило, целью вируса является нарушение работы программно-аппаратных комплексов: удаление файлов, приведение в негодность структур размещения данных, блокирование работы пользователей или же приведение в негодность аппаратных комплексов компьютера и т. п. Даже если автор вируса не запрограммировал вредоносных эффектов, вирус может приводить к сбоям компьютера из-за ошибок, неучтённых тонкостей взаимодействия с операционной системой и другими программами. Кроме того, вирусы, как правило, занимают место на накопителях информации и потребляют некоторые другие ресурсы системы.

Следует заметить, что тексты программ и документов, информационные файлы без данных, таблицы табличных процессоров и другие аналогичные файлы не могут быть заражены вирусом, он может их только испортить.

Признаки проявления вируса

При заражении компьютера вирусом можно обнаружить следующие признаки:

1. Прекращение работы или неправильная работа ранее успешно функционировавших программ;

2. Медленная работа компьютера;

3. Невозможность загрузки операционной системы;

4. Исчезновение файлов и каталогов или искажение их содержимого;

5. Изменение даты и времени модификации файлов;

6. Изменение размеров файлов;

7. Неожиданное значительное увеличение количества файлов на диске;

8. Существенное уменьшение размера свободной оперативной памяти;

10. Подача непредусмотренных звуковых сигналов;

11. Частые зависания и сбои в работе компьютера.

Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.

Таким образом, если не предпринимать мер по защите от вируса, то последствия заражения компьютера могут быть очень серьезными. А чтобы предпринять какие - либо меры нужно знать «врага» в лицо, поэтому рассмотрим классификацию вирусов [2].

Классификация вирусов

Вирусы можно разделить на классы по следующим основным признакам:

операционная система (ОС);

особенности алгоритма работы;

по среде обитания вирусы можно разделить на:

Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).

Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.

Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Существует большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс и полиморфик-технологии. Другой пример такого сочетания - сетевой макро-вирус , который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

Заражаемая операционная система (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS - DOS, Windows, Win95/NT, OS/2 и т.д. Макро-вирусы заражают файлы форматов Word, Excel, Office97. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.

Среди особенностей алгоритма работы вирусов выделяются следующие пункты:

самошифрование и полиморфичность;

использование нестандартных приемов.

Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.

Резидентными можно считать макро-вирусы, посколько они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие «перезагрузка операционной системы» трактуется как выход из редактора.

В многозадачных операционных системах время «жизни» резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов ОС.

Использование стелс - алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов ОС на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации. В случае макровирусов наиболее популярный способ — запрет вызовов меню просмотра макросов. Один из первых файловых стелс-вирусов — вирус «Frodo», первый загрузочный стелс-вирус — «Brain».

Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы (polymorphic) - это достаточно трудно обнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

Различные нестандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре ОС (как это делает вирус «ЗАРАЗА»), защитить от обнаружения свою резидентную копию (вирусы «ТРУО», «Trout2») _? затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и т.д.

По деструктивным возможностям вирусы можно разделить на:

безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;

опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;

очень опасные, в алгоритм работы которых, заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов - вводить в резонанс и разрушать головки некоторых типов винчестеров.

Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе, этот вирус нельзя с полной уверенностью назвать безвредным, так как проникновение его в компьютер может вызвать непредсказуемые и порой катастрофические последствия. Ведь вирус, как и всякая программа, имеет ошибки, в результате которых могут быть испорчены как файлы, так и сектора дисков (например, вполне безобидный на первый взгляд вирус «DenZuk» довольно корректно работает с 360К дискетами, но может уничтожить информацию на дискетах большего объема). До сих пор попадаются вирусы, определяющие «СОМ или ЕХЕ» не по внутреннему формату файла, а по его расширению. Естественно, что при несовпадении формата и расширения имени файл после заражения оказывается неработоспособным. Возможно также «заклинивание» резидентного вируса и системы при использовании новых версий DOS, при работе в Windows или с другими мощными программными системами. И так далее. Загрузочные вирусы; Макровирусы; Полиморфик-вирусы; Прочие «вредные программы»; Резидентные вирусы; Сетевые вирусы; Стелс-вирусы; Файловые вирусы; IRC-черви.

При работе с современным персональным компьютером пользователя (а особенно начинающего) может подстерегать множество неприятностей: потеря данных, зависание системы, выход из строя отдельных частей компьютера и другие. Одной из причин этих проблем (наряду с ошибками в программном обеспечении) и неумелыми действиями самого оператора ПЭВМ, могут быть проникшие в систему компьютерные вирусы. Эти программы подобно биологическим вирусам размножаются, записываясь в системные области диска, или, приписываясь к файлам, производят различные нежелательные действия, которые, зачастую, имеют катастрофические последствия. Чтобы не стать жертвой этой напасти, каждому пользователю следует хорошо знать принципы защиты от компьютерных вирусов.

Способы противодействия компьютерным вирусам можно разделить на несколько групп: профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения; методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса; способы обнаружения и удаления неизвестного вируса.

Анализ алгоритма вируса

Восстановление пораженных объектов

Обнаружение неизвестного вируса

Профилактика заражения компьютера

С давних времён известно, что к любому яду рано или поздно можно найти противоядие. Таким противоядием в компьютерном мире стали программы, называемые антивирусными. Данные программы можно классифицировать по пяти основным группам: фильтры, детекторы, ревизоры, доктора и вакцинагоры.

1. Не работать под привилегированными учётными записями без крайней необходимости. (Учётная запись администратора в Windows)

2. Не запускать незнакомые программы из сомнительных источников.

3. Стараться блокировать возможность несанкционированного изменения системных файлов.

4. Отключать потенциально опасную функциональность системы (например, autorun-носителей в MS Windows, сокрытие файлов, их расширений и пр.).

5. Не заходить на подозрительные сайты, обращать внимание на адрес в адресной строке обозревателя.

6. Пользоваться только доверенными дистрибутивами.

7. Постоянно делать резервные копии важных данных, желательно на носители, которые не стираются (например, BD-R) и иметь образ системы со всеми настройками для быстрого развёртывания.

8. Выполнять регулярные обновления часто используемых программ, особенно тех, которые обеспечивают безопасность системы.

К основным видам борьбы с программами - шпионами относится:

1. Дефрагментация диска. Это установка и использование специальной программы для удаления шпионов. Для примера можно привести «Spyware Doctor».

2. Изменение настроек браузера.

Заключается в снижении в браузерах периода сохранения посещаемых страниц, как стоит по умолчанию до 1-2-х дней или на удаление их сразу после выхода со странички сайта.

3. Смена дизайна на более простой и отключение различных эффектов. Быстродействие после этого намного улучшится.

4. Постоянное использование и обновление антивируса. Удаление вредоносных программ не позволяет им дольше распространяться, и работа компьютера ускоряется [4].

При работе с современным персональным компьютером пользователя (а особенно начинающего) может подстерегать множество неприятностей: потеря данных, зависание системы, выход из строя отдельных частей компьютера и другие. Одной из причин этих проблем наряду с ошибками в программном обеспечении) и неумелыми действиями самого оператора ПЭВМ могут быть проникшие в систему компьютерные вирусы. Эти программы подобно биологическим вирусам размножаются, записываясь в системные области диска или приписываясь к файлам и производят различные нежелательные действия, которые, зачастую, имеют катастрофические последствия. Чтобы не стать жертвой этой напасти, каждому пользователю следует хорошо знать принципы защиты от компьютерных вирусов.

Итак, можно привести массу фактов, свидетельствующих о том, что угроза информационному ресурсу возрастает с каждым днем, подвергая в панику ответственных лиц в банках, на предприятиях и в компаниях во всем мире. И угроза эта исходит от компьютерных вирусов, которые искажают или уничтожают жизненно важную, ценную информацию, что может привести не только к финансовым потерям, но и к человеческим жертвам.

Компьютерный вирус - специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе компьютера.

В настоящее время известно более 5000 программных вирусов, число которых непрерывно растет. Известны случаи, когда создавались учебные пособия, помогающие в написании вирусов.

Из истории компьютерной вирусологии ясно, что любая оригинальная компьютерная разработка заставляет создателей антивирусов приспосабливаться к новым технологиям, постоянно усовершенствовать антивирусные программы.

Причины появления и распространения вирусов скрыты с одной стороны в психологии человека, с другой стороны - с отсутствием средств защиты у операционной системы [3].

Таким образом, вирусы являются актуальной проблемой нашего времени, а вирусы - шпионы и вовсе называют чумой XXI века, так как заражение компьютеров может происходить совершенно не заметно. Ежедневный запуск полного сканирования жесткого диска на наличие вирусов не блестящий шаг в профилактике заражений. Единственный цивилизованный способ защиты от вирусов заключается в соблюдении профилактических мер предосторожности при работе на компьютере.

Таким образом, в результате написания работы, была достигнута его цель и решены все поставленные задачи.

Н.Н.Безруков "Классификация компьютерных вирусов MS-DOS и методы защиты от них". Москва, СП "ICE", 1990 г.

Ф.Файтс, П.Джонстон, М.Кратц "Компьютерный вирус: проблемы и прогноз". Москва, "Мир", 1993 г.

Информатика: Учебник / под ред. Проф. Н.В. Макаровой. - М.: Финансы и статистика, 1997.

Мостовой Д.Ю. Современные технологии борьбы с вирусами // Мир ПК. - №8. - 1993.

Читайте также: