Главная Windows Vista Компьютерные вирусы и их виды. Компьютерные вирусы, их свойства и классификация

Компьютерные вирусы и их виды. Компьютерные вирусы, их свойства и классификация

Добрый день! Каждый из нас слышал такое слово, как компьютерный вирус. Часть людей об этом понятии знает довольно много, но для большинства читателей, это слово остаётся загадочным, непонятным, чем-то далёким.

Что значит компьютерный вирус? Давайте в начале дадим определение обычному вирусу. Вирус, это своеобразный кристалл, который имеет своё ДНК, цитоплазму и прочие элементы. Но вирус не имеет своего ядра, не является самостоятельным организмом и не может существовать вне какого-либо живого существа, будь то клетка или многоклеточный организм.

Вирусы могут находиться в периоде спячки, инкубации или в активном периоде. Всё это относится и к компьютерный вирусам. Суть их действительно похожа. Они также встраиваются в другой организм, т.е. программу, меняют её код, активно размножаются, иногда даже повреждают железо ПК. Также, как и у обычных вирусов, виды компьютерных вирусов довольно разнообразны.

Можно сказать, что вирус компьютера – представляет собой программу, которая способна создавать многократные свои дубли, встраиваться в код прочих программных обеспечений, в память системы, её , внедрять свои многочисленные дубли различными путями.

Задачей компьютерных вирусов является сбой в работе различных программных систем, удаления многих файлов, сбой в структуре информации, блокировка в работе различных узлов ПК с целью затруднения их работоспособности.

И это действительно так, вот буквально три дня назад, ко мне зашел племянник, я ему скачивал игры через торрент. В процессе скачивания, на экране монитора стали появляться различные не нужные мне ярлыки различных программ.

Мне потом пришлось удалять эти софты, но это ерунда, главное, что в при этом внедрился вирус, который я ели удалил. И то сделал это в «Безопасном режиме работы ПК» (При этом режиме включается только часть драйверов и прочих программ, самая необходимая, что даёт возможность искать вирус без сбоев в работе антивируса).

Советую его применять, т.к. многие вирусы первым делом стремятся отключить антивирус, что и произошло с моим компьютером. Включается он довольно легко, нажимаете на кнопку жесткой перезагрузки (рядом с кнопкой «Пуск»), в процессе загрузки вам предложат три варианта включения, одни из которых это «Обычный режим» и «Безопасный».

Также хочу вам дать совет, когда вы скачиваете через , всегда смотрите, что вы качаете, сколько файлов. Обычно файл должен быть один, если это одна программа, а не несколько. Если их несколько – это уже подозрительно!

Также следите, нет ли среди скачиваемых приложений так называемых файлов с названием «Тихая установка». Если увидели подобный файл, сразу убирайте с него галочку. Иначе, не понятно, что вы установите!

И еще один совет, если вы пользуетесь Касперским, лучше выберите KIS, т.к. он блокирует подобные файлы тихой установки! Вообще не стоит экономит на хорошем антивирусе! Но вернемся к видам вирусов.

Виды компьютерных вирусов и их стадии

По поводу стадий залегания вируса, она бывает Латентной, Инкубационной и Активной (Самая опасная!).

А) Латентный период – в данном периоде вирус находится в ОС без активных действий. Человек его может и не заметить. Его способен в данном состоянии заметить только , и то тогда, когда начнет сканировать весь компьютер.

В) Период инкубации – в отличие от предыдущего, довольно опасный период. В этом периоде код вирусного ПО производит активацию и во множестве дублирует себя, распределяя свои дубли не только по различные части конкретного ПК, но и во всемирную сеть.

Почти каждый владелец компьютера, если и не знаком еще с вирусами, то обязательно наслышан о них различных баек и историй. Большинство из которых, конечно, преувеличены другими начинающими пользователями.

Так что же такой вирус?

Вирус - это саморазмножающаяся программа. Многие вирусы вообще ничего разрушительного не делают с вашим ПК, часть вирусов, например, делает небольшую пакость: выводит на экран какую-нибудь картинку, запускает ненужные сервисы, открывает интернет-странички для взрослых и пр.. Но есть и те, которые могут вывести ваш компьютер из строя, отформатировав диск, или испортив Bios материнской платы.

Для начала, наверное, стоит разобраться с самыми популярными мифами о вирусах, гуляющими по сети.

1. Антивирус - защита от всех вирусов

К сожалению, это не так. Даже имея навороченный антивирус с последней базой - вы не застрахованы от вирусной атаки. Тем не менее, от известных вирусов вы будете боле-менее защищены, угрозу будут представлять только новые, неизвестные антивирусной базе.

2. Вирусы распространяются с любыми файлами

Это не так. Например, с музыкой, видео, картинками - вирусы не распространяются. Но часто бывает так, что вирус маскируется под эти файлы, заставляя неопытного пользователя ошибиться и запустить зловредную программу.

3. Если вы заразились вирусом - ПК под серьезной угрозой

Это тоже не так. Большинство вирусов вообще ничего не делают. Им достаточно того, что они просто заражают программы. Но в любом случае, обратить на это внимание стоит: по крайней мере, проверить весь компьютер антивирусом с последней базой. Если заразились одним - то почему не могли вторым?!

4. Не пользоваться почтой - гарантия безопасности

Боюсь, это не поможет. Бывает такое, что по почте вам приходят письма с незнакомых адресов. Лучше всего просто не открывать их, сразу удаляя и очищая корзину. Обычно вирус идет в письме в качестве вложения, запустив которое, ваш ПК будет заражен. Защитится достаточно легко: не открывать письма от незнакомцев… Так же не лишним будет настроить антиспам-фильтры.

5. Если вы скопировали зараженный файл - вы заразились

Вообще, пока вы не запустите исполняемый файл, вирус, как и обычный файл, просто будет лежать у вас на диске и ничего плохого вам не сделает.

Виды компьютерных вирусов

Самые первые вирусы (история)

История эта началась примерно в 60-70 годах в некоторых лабораториях США. На ЭВМ, помимо обычных программ, были еще и те, которые работали сами по себе, никем не управляемые. И все бы ничего, если бы они сильно не нагружали ЭВМ и не расходовали ресурсы попусту.

Через какой-то десяток лет, к 80-м годам, таких программ было уже несколько сотен. В 1984 году появился и сам термин «компьютерный вирус».

Такие вирусы, обычно никак свое присутствие от пользователя не скрывали. Чаще всего мешали ему работать, показывая какие-нибудь сообщения.

В 1985 году появился первый опасный (и главное быстро распространяемый) компьютерный вирус Brain. Хотя, написан он был из благих намерений - наказать пиратов, незаконно копирующих программы. Вирус срабатывал только на нелегальных копиях софта.

Наследники вируса Brain просуществовали еще около десятка лет и потом их поголовье стало резко снижаться. Действовали они не хитро: просто записывали свое тело в файл программы, тем самым он увеличивался в размерах. Антивирусы быстро научились определять размер и находить зараженные файлы.

Программные вирусы

Вслед за вирусами, прикреплявшимися в тело программы, стали появляться новые виды - в виде отдельной программы. Но, основная сложность в том, как заставить пользователя запустить такую зловредную программу? Оказывается, очень просто! Достаточно назвать ее какой-нибудь ломалкой для программы и выложить в сеть. Многие просто скачают, и несмотря на все предупреждения антивируса (если такой имеется) - все равно запустят…

В 1998-1999 г. мир содрогнулся от опаснейшего вируса - Win95.CIH. Он выводил из строя Bios материнской платы. Тысячи компьютеров по всему миру были выведены из строя.

Вирус, распространяемый через вложения к письмам.

В 2003 г. вирус SoBig смог заразить сотни тысяч компьютеров, благодаря тому, что сам прикреплялся к письмам, отправляемые пользователем.

Основная борьба с такими вирусами: регулярное обновление ОС Windows, установка антивируса. Так же отказаться от запуска любых программ, полученных из сомнительных источников.

Макровирусы

Многие пользователи, наверное, и не подозревают, что кроме исполняемых файлов exe или com, вполне реальную угрозу могут нести и обычные файлы из Microsoft Word или Excel. Как такое возможно? Просто в эти редакторы в свое время был встроен язык программирования VBA, для того, чтобы можно было дописывать макросы в качестве дополнения к документам. Тем самым, если заменить их на свой макрос - вполне может получиться вирус…

Сегодня, почти все версии офисных программ, перед запуском документа из незнакомого источника, обязательно вас переспросят, а точно ли хотите запустить макросы из этого документа, и если нажать на кнопку «нет» - то ничего не произойдет, если даже документ был с вирусом. Парадокс заключается в том, что большинство пользователей сами нажимают на кнопку «да»…

Одним из самых известных макровирусов, можно считать Mellis’y, пик которой пришелся на 1999г. Вирус заражал документы и через почту Outlook отправлял вашим друзьям письмо с зараженной начинкой. Таким образом, за небольшой срок им оказалось заражены десятки тысяч компьютеров по всему миру!

Скриптовые вирусы

Макровирусы, как определенный вид, входят в группу скриптовых вирусов. Суть здесь в том, что не только Microsoft Office использует в своих продуктах скрипты, но и другие программные пакеты их содержат. Например, Media Player, Internet Explorer.

Большая часть таких вирусов распространяется посредством вложения в письма, через электронную почту. Часто вложения маскируются под какую-нибудь новомодную картинку или музыкальную композицию. В любом случае, не запускайте и лучше даже не открывайте вложения с незнакомых адресов.

Часто пользователей вводит в заблуждение расширение файлов… Ведь, давно известно, что картинки безопасны, тогда почему нельзя открыть на почте картинку, которую прислали… По умолчанию проводник не показывает расширения файлов. И если вы видите название картинки, вроде «interesnoe.jpg» - это не означает, что у файла именно такое расширение.

Для того, чтобы видеть расширения, включите следующую опцию.

Покажем на примере Windows 7. Если зайти в любую папку и нажать «упорядочить/параметры папок и поиска» можно попасть в меню «вид». Там то и есть наша заветная галочка.

Убираем галочку на опции «скрывать расширения для зарегистрированных типов файлов», а так же еще включите функцию «показа скрытых файлов и папок».

Теперь, если взглянуть на присланную вам картинку, вполне может оказаться, что «interesnoe.jpg» вдруг стала «interesnoe.jpg.vbs». Вот, собственно и весь фокус. Многие начинающие пользователи не раз попадались на эту ловушку, да и будут попадаться еще…

Основная защита от скриптовых вирусов заключается в своевременном обновлении ОС и антивируса. Так же отказ от просмотра подозрительных писем, тем более, которые содержат непонятные файлы… Кстати, не лишним будет регулярно делать резервное сохранение важных данных. Тогда вы на 99,99% будете защищены от любых угроз.

Троянские программы

Этот вид хоть и был отнесен к вирусам, но непосредственно им не является. Их проникновение на ваш ПК во многом схожа с вирусами, только задачи у них разные. Если у вируса задача заразить как можно больше компьютеров и выполнить действие по удалению, открытию окон и пр. - то у троянской программы, как правило, одна цель - скопировать ваши пароли от различных сервисов, узнать какую-нибудь информацию. Часто бывает так, что троянской программой могут управлять через сеть, и по приказу хозяина она вмиг может перезагрузить ваш ПК, или, что еще хуже, удалить какие-нибудь файлы.

Так же стоит отметить и еще одну особенность. Если вирусы частенько заражают другие исполняемые файлы, троянцы этим не занимаются, это самодостаточная отдельная программа, которая работает сама по себе. Часто она маскируется под какой-нибудь системный процесс, чтобы начинающему пользователю было трудно ее выловить.

Чтобы не стать жертвой троянов, во-первых, не качайте никаких файлов, вроде взлом интернета, взлом каких то программ и т.д. Во-вторых, помимо антивируса, понадобиться еще специальная программа, например: The Cleaner, Trojan Remover, AntiViral Toolkit Pro и др. В-третьих, не лишним будет установка фаервола (программа, контролирующая доступ в интернет других приложений), с ручной настройкой, где все подозрительные и неизвестные процессы будут блокироваться вами. Если троянская программа не получит выхода в сеть - пол дела уже сделано, по крайней мере, ваши пароли никуда не уплывут…

Подводя итог, хочется сказать, что все принятые меры и рекомендации будут бесполезны, если пользователь сам из любопытства будет запускать файлы, отключать антивирусные программы и пр. Парадокс в том и состоит, что заражение вирусами происходит в 90% случаев по вине самого владельца ПК. Ну а чтобы не стать жертвой тех 10% - достаточно иногда производить . Тогда можно быть уверенным практически на все 100, что все будет ОК!

вирус программа компьютер

Как уже говорилось, наиболее распространенными являются троянские кони, полиморфные вирусы и неполиморфные шифрующиеся вирусы, стелс-вирусы, медленные вирусы, ретро-вирусы, составные вирусы, вооруженные вирусы, вирусы-фаги и макровирусы. Каждый из них производит некоторые специфические действия:

1. Троянскими конями называются вирусы, прячущиеся в файлах данных (например, сжатых файлах или документах). Чтобы избежать обнаружения, некоторые разновидности троянских коней прячутся и в исполняемых файлах. Таким образом, эта программа может располагаться и в программных файлах, и в файлах библиотек, пришедших в сжатом виде. Однако зачастую троянские кони содержат только подпрограммы вируса. Возможно, самое лучшее определение троянских коней дал Дэн Эдварде - бывший хакер, занимающийся теперь разработкой антивирусного программного обеспечения для NSA (National Security Administration). По словам Дэна, троянским конем называется "небезопасная программа, скрывающаяся под видом безобидного приложения, вроде архиватора, игры или (знаменитый случай 1990 года) программы обнаружения и уничтожения вирусов". Большинство новых антивирусных программ обнаруживает практически всех троянских коней.

Одной из наиболее известных "троянских лошадок" стала программа Crackerjack. Как и все другие средства для взлома паролей, доступные в Internet, эта программа тестировала относительную мощность паролей, расположенных в выбранном файле. После своего запуска она выдавала список взломанных паролей и предлагала пользователю удалить этот файл. Первая версия программы не только взламывала пароли, но также и передавала их автору троянского коня. Crackerjack оказался достаточно полезным средством, в чем вы можете убедиться сами. Для этого достаточно загрузить программу из Internet.

2. Полиморфные вирусы - это вирусы, которые зашифровывают свое тело и благодаря этому могут избежать обнаружения путем проверки сигнатуры вируса. Прежде чем приступить к работе, такой вирус расшифровывает себя с помощью специальной процедуры расшифровки. Как уже говорилось в главе 4, процедура расшифровки превращает зашифрованную информацию в обычную. Чтобы расшифровать тело вируса, процедура расшифровки захватывает управление машиной. После расшифровки управление компьютером передается расшифрованному вирусу. Первые шифрующиеся вирусы были неполиморфными. Другими словами, процедура расшифровки вируса не изменялась от копии к копии. Поэтому антивирусные программы могли обнаружить вирус по сигнатуре, присущей процедуре расшифровки. Но вскоре ситуация изменилась коренным образом. Полиморфные вирусы обнаружить очень трудно. Дело в том, что они генерируют абсолютно новые процедуры расшифровки при каждом новом заражении. Благодаря этому сигнатура вируса изменяется от файла к файлу. Для изменения процедуры шифрования используется достаточно простой генератор машинного кода, называющийся генератором мутаций. Он использует генератор случайных чисел и достаточно простой алгоритм изменения сигнатуры вируса. С его помощью программист может превратить любой вирус в полиморфный. Для этого о должен изменить текст вируса так, чтобы перед каждым созданием своей копии он вызывал генератор мутаций.

Несмотря на то что полиморфные вирусы нельзя обнаружить с помощью обычных методов проверки (вроде сравнения строк кода), они все же детектируются специальными антивирусными программами. Итак, полиморфные вирусы можно обнаружить. Однако этот процесс занимает огромное количество времени, а на создание антивирусной программы уходит гораздо больше сил. Наиболее свежие обновления антивирусного программного обеспечения производят поиск процедур шифрования, с помощью которой обнаруживают полиморфные вирусы. Полиморфный вирус изменяет свою сигнатуру при создании очередной копии. от файла к файлу.

3. Стелс-вирусы - это вирусы, которые прячут изменения, созданные в зараженном файле. Для этого они отслеживают системные функции чтения файлов или секторов на носителях информации. Если происходит вызов такой функции, то вирус старается изменить полученные ею результаты: вместо настоящей информации вирус передает функции данные незараженного файла. Таким образом, антивирусная программа не может обнаружить никаких изменений в файле. Но, для того чтобы перехватывать системные вызовы, вирус должен находиться в памяти машины. Все достаточно хорошие антивирусные программы могут обнаружить подобные вирусы во время загрузки зараженной программы. Хорошим примером стелс-вируса является один из первых задокументированных вирусов DOS - Brain. Этот загрузочный вирус просматривал все дисковые системные операции ввода/вывода и перенаправлял вызов всякий раз, когда система пыталась считать зараженный загрузочный сектор. При этом система считывала информацию не с загрузочного сектора, а с того места, где вирус сохранил копию этого сектора. Стелс-вирусами также являются вирусы Number, Beast и Frodo. Говоря языком программистов, они перехватывают прерывание 21Н -основное прерывание DOS. Поэтому всякая команда пользователя, способная обнаружить присутствие вируса, перенаправляется вирусом в определенное место в памяти. Благодаря этому пользователь не может "заметить" вирус. Как правило, стелс-вирусы либо обладают невидимым размером, либо они невиди-мы для чтения. Вирусы с невидимым размером принадлежат к подвиду вирусов, заражающих файлы. Такие вирусы помешают свое тело внутрь файла, вызывая тем самым увеличение его размера. Однако вирус изменяет информацию о размере файла так, чтобы пользователь не мог обнаружить его присутствия. Другими словами, система указывает на то, что длина зараженного файла равняется длине обычного (незараженного) файла. Вирусы, невидимые для чтения (вроде Stoned.Monkey), перехватывают запросы на чтение зараженной загрузочной записи или файла и предоставляют в ответ первоначальную, не измененную вирусом информацию. И снова пользователь не может обнаружить присутствие вируса. Стелс-вирусы достаточно легко обнаружить. Большинство стандартных антивирусных программ "вылавливают" стелс-вирусы. Для этого достаточно запустить антивирусную программу до того, как вирус будет размещен в памяти машины. Надо запустить компьютер с чистой загрузочной дискеты, а затем выполнить антивирусную программу. Как уже говорилось, стелс-вирусы могут замаскироваться только в том случае, если они уже размещены в памяти. Если же это не так, то антивирусная программа легко обнаружит наличие таких вирусов на жестком диске.
4. Медленные вирусы очень трудно обнаружить, так как они заражают только те файлы, которые изменяются или копируются операционной системой. Другими словами, медленный вирус заражает любой исполняемый файл, причем делает это в тот момент, когда пользователь выполняет некоторые операции с этим файлом. Например, медленный вирус может производить заражение загрузочной записи дискеты при выполнении команд системы, изменяющих эту запись (например, FORMAT или SYS). Медленный вирус может заразить копию файла, не заразив при этом файл-источник. Одним из наиболее известных медленных вирусов является Darth_Vader, который заражает только СОМ-файлы и только во время их записи.

Обнаружение медленных вирусов - это достаточно сложный процесс. Хранитель целостности должен обнаружить новый файл и сообщить пользователю о том, что у этого файла нет значения контрольной суммы. Хранитель целостности - это антивирусная программа, наблюдающая за содержанием жестких дисков, а также за размером и контрольной суммой каждого из расположенных на них файлов. Если хранитель обнаружит изменения в содержании или размере, то он немедленно сообщит об этом пользователю. Однако сообщение будет выдано и в том случае, если пользователь сам создаст новый файл. Поэтому пользователь, скорее, укажет хранителю целостности вычислить новую контрольную сумму для нового (инфицированного) файла.

Наиболее удачным средством против медленных вирусов являются оболочки целостности. Оболочки целостности - это резидентные хранители целостности. Они постоянно находятся в памяти компьютера и наблюдают за созданием каждого нового файла, и у вируса не остается практически никаких шансов. Еще одним способом проверки целостности является создание ловушек. Здесь специальная антивирусная программа создает несколько СОМ- и ЕХЕ-файлов определенного содержания. Затем программа проверяет содержимое этих файлов. Если медленный вирус заразит их, то пользователь сразу же узнает об этом. Например, медленный вирус может наблюдать за программой копирования файлов. Если DOS выполняет запрос на.копирование, то вирус поместит свое тело в новую копию файла.

5. Ретро-вирус - это вирус, который пытается обойти или помешать действиям антивирусных программ. Другими словами, эти вирусы атакуют антивирусное программное обеспечение. Компьютерные профессионалы называют ретро-вирусы анти-антивирусами. (Не спутайте анти-антивирусы с анти-вирус-вирусами - вирусами, созданными для уничтожения других вирусов.) Создание ретро-вируса является относительно несложной задачей. В конце концов, создатели вирусов обладают доступом ко всем антивирусным программам. Приобретая такую программу, они изучают ее работу, находят бреши в обороне и после этого создают вирус на основе обнаруженных просчетов. Большинство ретро-вирусов занимается поисками и удалением файлов с данными о сигнатурах вирусов. Таким образом, антивирусная программа, использовавшая этот файл, не может больше нормально функционировать. Более сложные ретровирусы занимаются поиском и удалением баз данных, содержащих информацию о целостности файлов. Удаление подобной базы производит на хранителя целостности такой же эффект, как уничтожение файлов с сигнатурами вирусов на антивирусную программу. Многие ретро-вирусы обнаруживают активизацию антивирусных программ, а затем прячутся от программы либо останавливают ее выполнение. Кроме того, они могут запустить процедуру разрушения до того, как антивирусная программа обнаружит их присутствие. Некоторые ретро-вирусы изменяют оболочку вычислений антивируса и таким образом влияют на выполнение антивирусных программ. Кроме того, существуют ретро-вирусы, использующие недостатки антивирусного программного обеспечения, чтобы замедлить его работу или свести на нет эффективность программы.
6. Составные вирусы заражают как исполняемые файлы, так и загрузочные сектора дисков. Кроме того, они могут заражать загрузочные сектора дискет. Такое название они получили потому, что заражают компьютер различными путями. Другими словами, они не ограничиваются одним типом файлов или определенным местом на диске. Если запустить инфицированную программу, вирус заразит загрузочную запись жесткого диска. При следующем включении машины вирус активизируется и будет заражать все запущенные программы. Одним из наиболее известных составных вирусов является One-Half, который обладает признаками стелс-вируса и полиморфного вируса.
7. Вооруженные вирусы защищают себя с помощью специального кода, благодаря которому сильно усложняется отслеживание и дизассемблирование вируса. Вооруженные вирусы могут воспользоваться для защиты "пустышкой". Это - код, позволяющий увести разработчика антивирусных программ от настоящего кода вируса. Кроме того, вирус может включать в себя специальный фрагмент, указывающий на то, что вирус расположен в одном месте, хотя на самом деле его там не будет. Одним из наиболее известных вооруженных вирусов является Whale.
8. Вирусы - компаньоны. Свое название эти вирусы получили потому, что параллельно с заражаемым файлом они создают файл с таким же именем, но с другим расширением. Например, вирус-компаньон может сохранить свое тело в файле winword.com. Благодаря этому операционная система перед каждым запуском файла winword.exe будет запускать файл winword.com, который будет располагаться в памяти компьютера. Обычно вирусы-компаньоны генерируются вирусами-фагами.
9. Последним классическим типом вирусов являются вирусы-фаги. Вирус-фаг - это программа, которая изменяет другие программы или базы данных. Компьютерные профессионалы называют эти вирусы фагами потому, что по своему действию они напоминают живые микроорганизмы. В природе вирусы-фаги представляют собой особенно вредные микроорганизмы, которые замещают содержимое клетки своим собственным. Обычно фаги замещают текст программы своим собственным кодом. Чаще всего они являются генераторами вирусов компаньонов. Фаги - это наиболее опасный вид вирусов. Дело в том, что они не только размножаются и заражают другие программы, но и стремятся уничтожить все зараженные программы.
10. Червь. В первой главе этой курсовой работы я уже рассказывала о знаменитом черве Internet, появившемся в конце 80-х годов. Как уже говорилось, червь Internet (известный также как червь Морриса) был самым первым вирусом, поразившим Internet. Этот вирус делал невозможной работу компьютера, создавая огромное количество своих копий в памяти компьютера. Так как червь старается остановить зараженный компьютер, создатель вируса должен наделить его способностями перемещаться с помощью сети от одной машины к другой. Я уже рассказывал о том, что черви копируют себя на другие компьютеры с помощью протоколов и систем, описанных во второй главе. Удаленное воспроизведение необходимо, так как после остановки машины пользователь постарается вычистить все имеющиеся на жестком диске вирусы. Для своего распространения вирусам-червям не требуется изменять программы хоста. Для нормальной работы червям необходимы операционные системы, обеспечивающие возможность удаленного выполнения и позволяющие приходящим программам выполняться на компьютере. В 1988 году такими возможностями обладала только одна операционная система - Unix. До недавнего времени многие персональные компьютеры не могли быть заражены червем - этого не позволяют сделать ни DOS, ни Windows 95. Однако Windows NT уже обладает возможностями удаленного выполнения и поэтому может поддерживать работу вирусов - червей.

Одним из самых распространенных вирусов в Internet является WINSTART. Свое название он получил от имени файла - winstart.bat, - в котором обычно и располагается тело вируса. Этот червь, как и многие остальные, копирует себя в памяти машины до тех пор, пока не будет выведена из строя операционная система. После этого компьютер автоматически зависает. Во время своего выполнения вирус параллельно занимается поиском следующей жертвы. По иронии судьбы червем называется не только определенный тип вирусов, но и очень полезное антивирусное инструментальное средство. Недостаток большинства стандартных средств аудита и хранителей целостности заключается в том, что они также могут стать жертвами вирусов. Однако можно хранить информацию безопасности и программы на изолированном и неизменяемом носителе. Наиболее подходят для этих целей WORM-диски. ("Write-once, read-many" -одна запись, многоразовое чтение; английское слово worm переводится как червь. - Прим. перев.). Привод WORM-диска обычно представляет собой приспособление оптического хранения данных, работающее с несколькими WORM-дисками.

Лекция 14 Компьютерные вирусы

Классификация компьютерных преступлений.

Компьютерные вирусы, их свойства и классификация

Свойства компьютерных вирусов

Прежде всего, вирус - это программа. Такое простое утверждение само по себе способно развеять множество легенд о необыкновенных возможностях компьютерных вирусов. Вирус может перевернуть изображение на вашем мониторе, но не может перевернуть сам монитор. К легендам о вирусах-убийцах, «уничтожающих операторов посредством вывода на экран смертельной цветовой гаммы 25-м кадром» также не стоит относиться серьезно.

Вирус - программа, обладающая способностью к самовоспроизведению. Такая способность является единственным средством, присущим всем типам вирусов. Но не только вирусы способны к самовоспроизведению. Любая операционная система и еще множество программ способны создавать собственные копии. Копии же вируса не только не обязаны полностью совпадать с оригиналом, но и могут вообще с ним не совпадать!

Вирус не может существовать в «полной изоляции»: сегодня нельзя представить себе вирус, который не использует код других программ, информацию о файловой структуре или даже просто имена других программ. Причина понятна: вирус должен каким-нибудь способом обеспечить передачу себе управления.

Классификация вирусов

среде обитания

способу заражения среды обитания

воздействию

особенностям алгоритма

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные.

Сетевые вирусы распространяются по различным компьютерным сетям.

Файловые вирусы внедряются главным образом в исполняемые модули, т. е. В файлы, имеющие расширенияCOMиEXE. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению.

Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (MasterBootRe-cord).

Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

По способу заражения вирусы делятся на резидентные и нерезидентные.

Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.

Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия вирусы можно разделить на следующие виды:

неопасные , не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах

опасные вирусы, которые могут привести к различным нарушениям в работе компьютера

очень опасные , воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия.

вирусы-репликаторы , называемыечервями , которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.

Известны вирусы-невидимки , называемыестелс-вирусами , которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска.

Наиболее трудно обнаружить вирусы-мутанты , содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Имеются и так называемыеквазивирусные или «троянские» программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

Загрузочные вирусы

Рассмотрим схему функционирования очень простого загрузочного вируса, заражающего дискеты. (boot-sector).

Пусть у вас имеются чистая дискета и зараженный компьютер, под которым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая жертва - в нашем случае не защищенная от записи и еще не зараженная дискета, он приступает к заражению. Заражая дискету, вирус производит следующие действия:

выделяет некоторую область диска и помечает ее как недоступную операционной системе, это можно сделать по-разному, в простейшем и традиционном случае занятые вирусом секторы помечаются как сбойные (bad)

копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор

замещает программу начальной загрузки в загрузочном секторе (настоящем) своей головой

организует цепочку передачи управления согласно схеме.

Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору.

Файловые вирусы

Рассмотрим теперь схему работы простого файлового вируса.

В отличие от загрузочных вирусов, которые практически всегда резидентны, файловые вирусы совсем не обязательно резидентны. Рассмотрим схему функционирования нерезидентного файлового вируса. Пусть у нас имеется инфицированный исполняемый файл. При запуске такого файла вирус получает управление, производит некоторые действия и передает управление «хозяину»

Какие же действия выполняет вирус? Он ищет новый объект для заражения - подходящий по типу файл, который еще не заражен. Заражая файл, вирус внедряется в его код, чтобы получить управление при запуске этого файла. Кроме своей основной функции - размножения, вирус вполне может сделать что-нибудь замысловатое (сказать, спросить, сыграть) - это уже зависит от фантазии автора вируса. Если файловый вирус резидентный, то он установится в память и получит возможность заражать файлы и проявлять прочие способности не только во время работы зараженного файла. Заражая исполняемый файл, вирус всегда изменяет его код - следовательно, заражение исполняемого файла всегда можно обнаружить.

Но, изменяя код файла, вирус не обязательно вносит другие изменения:

он не обязан менять длину файла

неиспользуемые участки кода

не обязан менять начало файла

Таким образом, при запуске любого файла вирус получает управление (операционная система запускает его сама), резидентно устанавливается в память и передает управление вызванному файлу.

Загрузочно-файловые вирусы

Основное разрушительное действие - шифрование секторов винчестера. При каждом запуске вирус шифрует очередную порцию секторов, а, зашифровав половину жесткого диска, радостно сообщает об этом. Основная проблема при лечении данного вируса состоит в том, что недостаточно просто удалить вирус из файлов, надо расшифровать зашифрованную им информацию.

Полиморфные вирусы

Этот вид компьютерных вирусов представляется на сегодняшний день наиболее опасным. Объясним же, что это такое.

Полиморфные вирусы - вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.

Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.

Полиморфные вирусы - это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы, вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса.

Стелс-вирусы

Стелс-вирусы обманывают антивирусные программы и в результате остаются незамеченными. Тем не менее, существует простой способ отключить механизм маскировки стелс-вирусов. Достаточно загрузить компьютер с не зараженной системной дискеты и сразу, не запуская других программ с диска компьютера (которые также могут оказаться зараженными), проверить компьютер антивирусной программой.

К компьютерным вирусам примыкают и так называемые троянские кони (троянские программы, троянцы).

Программные вирусы.

Программные вирусы - это блоки программного кода, целенаправленно внедренные внутрь других прикладных программ. При запуске программы, несущий вирус, происходит запуск имплантированного в нее вирусного кода.

Работа этого кода вызывает скрытые от пользователя изменения в файловой системе жестких дисков и/или в содержании других программ. Так, например, вирусный код может воспроизводить себя в теле других программ - этот процесс называется размножением. По прошествии определенного времени, создав достаточное количество копий, программный вирус может перейти к разрушительным действиям: нарушению работы программ и операционной системы, удалению информации, хранящейся на жестком диске. Этот процесс называется вирусной атакой.

Самые разрушительные вирусы могут инициировать форматирование жестких дисков. Поскольку форматирование диска - достаточно продолжительный процесс, который не должен пройти незамеченным со стороны пользователя, во многих случаях программные вирусы ограничиваются умножением данных только в системных секторах жесткого диска, что эквивалентно потере таблиц файловой системы. В этом случае данные на жестком диске остаются нетронутыми, но воспользоваться ими без применения специальных средств нельзя, поскольку неизвестно, какие сектора диска каким файлам принадлежат. Теоретически восстановить данные в этом случае можно, но трудоемкость этих работ может оказаться исключительно высокой.

Считается, что никакой вирус не в состоянии вывести из строя аппаратное обеспечение компьютера. Однако бывают случаи, когда аппаратное и программное обеспечение настолько взаимосвязаны, что программные повреждения приходится устранять заменой аппаратных средств. Так, например, в большинстве современных материнских плат базовая система ввода-вывода (BIOS) хранится в перезаписываемых постоянных запоминающих устройствах (так называемая флэш-память).

Возможность перезаписи информации в микросхеме флэш-памяти используют некоторые программные вирусы для уничтожения данных BIOS.

В этом случае для восстановления работоспособности компьютера требуется либо замена микросхемы, хранящей BIOS, либо перепрограммирование с помощью специальных программных средств.

Программные вирусы поступают на компьютер при запуске непроверенных программ, полученных на внешнем носителе (гибкий диск, компакт-диск и т.п.) или принятых из Интернета. Особое внимание следует обратить на слова при запуске. При обычном копировании зараженных файлов заражение компьютера произойти не может. В связи с этим все данные, принятые из Интернета, должны проходить обязательную проверку на безопасность, а если получены незатребованные данные из незнакомого источника, их следует уничтожать, не рассматривая. Обычный прием распространения «троянских» программ - приложении к электронному письму с «рекомендацией» извлечь и запустить якобы полезную программу.

Загрузочные вирусы.

От программных вирусов загрузочные вирусы отличаются методом распространения. Они поражают не программные файлы, определенные системные области магнитных носителей (гибких и жестких дисков). Кроме того, на включенном компьютере они могут временно располагаться в оперативной памяти.

Обычно заражение происходит при загрузки компьютера с магнитного носителя, системная область которого содержит загрузочный вирус. Так, например, при попытке загрузить компьютер с гибкого диска происходит сначала проникновение вируса в оперативную память, а затем в загрузочный сектор жестких дисков. Далее этот компьютер сам становится источником распространения загрузочного вируса.

Макровирусы.

Эта особая разновидность вирусов поражает документы, выполненные в некоторых прикладных программах. Имеющих средства для исполнения так называемых макрокоманд. В частности, к таким документам относятся документы текстового процессора Microsoft Word (они имеют расширение.Doc). Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд.

Как и для других типов вирусов, результат атаки может быть как относительно безобидным, так и разрушительным.

Основные виды компьютерных вирусов.

В настоящее время известно более 5000 программных вирусов, их можно классифицировать по следующим признакам (рис. 1):

-среде обитания;
-способу заражения среды обитания;
-воздействию;
-особенностям алгоритма:

Сетевые вирусы распространяются по различным компьютерным сетям.

Файловые вирусы внедряются главным образом в исполняемые модули, т.е. в файлы, имеющие расширения СОМ и ЕХЕ. Файловые вирусы могут внедряться и в другие типы файлов, но как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению.

Загрузочные вирусы внедряются в загрузочный сектор диска (Boot) или в сектор, содержащий программу загрузки системного диска (Master Boot Record).

Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.