Компьютерные вирусы Компьютерным вирусом называется программа без

Компьютерные вирусы

Компьютерным вирусом называется программа, без ведома пользователя внедряющаяся на компьютеры и производящая различные несанкционированные действия. Считается, что впервые термин "компьютерный вирус" употребил сотрудник Лехайского университета (США) Ф. Коэн в 1984 г. на 7 -й конференции по безопасности информации, проходившей в США.

Кто пишет вирусы и зачем? Это интересует абсолютно всех. Особенно вопрос «кто» (с просьбой указать адрес и номер телефона) волнует тех, кто подвергся вирусной атаке и потерял результаты многолетней кропотливой работы.

Кто пишет вирусы и зачем? Основную их массу создают студенты и школьники, которые только что изучили язык ассемблера, хотят попробовать свои силы, но не могут найти для них более достойного применения.

Вирусы можно разделить на классы по следующим основным признакам: qсреда обитания; qоперационная система (OC); qособенности алгоритма работы; qдеструктивные возможности.

По среде обитания вирусы можно разделить на: qфайловые; qзагрузочные; qмакро; qсетевые.

Файловые вирусы q различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), q создают файлы-двойники (компаньон -вирусы), q используют особенности организации файловой системы (link-вирусы).

Загрузочные вирусы qзаписывают себя либо в загрузочный сектор диска (bootсектор), qлибо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), qлибо меняют указатель на активный boot-сектор.

Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов, имеющих в своей среде Visual Basic Application: документы MS Word, MS Excel, MS Access, MS Power Point и других программ пакета MS Office

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Операционная система, объекты которой подвержены заражению, является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS - DOS, Windows, Win 95/NT, OS/2, Linux и т. д.

Операционная система Макро-вирусы заражают файлы форматов Word, Excel, Office. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.

Среди особенностей алгоритма работы вирусов выделяются следующие пункты: qрезидентность; qиспользование стелсалгоритмов; qсамошифрование и полиморфичность; qиспользование нестандартных приемов.

Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы.

Резидентными можно считать макро-вирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие "перезагрузка операционной системы" трактуется как выход из редактора.

Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.

Использование Стелс-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелсалгоритмом является перехват запросов OC на чтение/запись зараженных объектов. В случае макро-вирусов наиболее популярный способ - запрет вызовов меню просмотра макросов. Один из первых файловых стелс-вирусов вирус "Frodo", первый загрузочный стелсвирус - "Brain".

Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т. е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения.

Различные нестандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре OC (как это делает вирус "3 APA 3 A"), защитить от обнаружения свою резидентную копию (вирусы "TPVO", "Trout 2"), затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и т. д.

По деструктивным возможностям вирусы можно разделить на: qбезвредные, т. е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске); qнеопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами; qопасные вирусы, которые могут привести к серьезным сбоям в работе компьютера; qочень опасные, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию.

Компьютерные вирусы (размножаются и внедряют копии в другие файлы) Файловые вирусы Макровирусы Сетевые черви (размножаются, но не внедряют копии в другие файлы) Internet-черви LAN-черви Троянские программы (не размножаются и не рассылаются сами) Скрипт-вирусы Загрузочные IRC-черви Смешанные Эмуляторы DDo. S-атак Деструктивные троянские программы Дропперы Похитители секретной информации Утилиты

DDo. S-атака сокращение от Distributed Denial Of Service Attack. Особенностью данного вида компьютерного преступления является то, что злоумышленники не ставят своей целью незаконное проникновение в защищенную компьютерную систему с целью кражи или уничтожения информации. Цель данной атаки - парализовать работу атакуемого веб-узла.

"Дроппер" (Dropper) - файл - носитель, устанавливающий вирус в систему. Техника иногда используемая вирусописателями для "прикрытия" вирусов от антивирусных программ. Данный вирус еще называю – “приманка”.

Составы компьютерных преступлений (т. е. перечень признаков, характеризующих общественно опасное деяние как конкретное преступление) приведены в 28 главе УК, которая называется "Преступления в сфере компьютерной информации" и содержит три статьи: "Неправомерный доступ к компьютерной информации" (ст. 272), "Создание, использование и распространение вредоносных программ для ЭВМ" (ст. 273) "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети" (ст. 274).

Правила “компьютерной гигиены“: qни в коем случае не открывайте файлы, присылаемые Вам по электронной почте неизвестными людьми qосторожно относитесь к файлам, присылаемым Вашими знакомыми и партнерами. Они могут даже и не знать, что с их компьютера вирус незаметно рассылает свои копии людям из их адресной книги!

Правила “компьютерной гигиены“: q обязательно проверяйте все дискеты, компакт-диски и др. носители информации, а также файлы, получаемые из сети Интернет и других ресурсов (электронных конференций и т. д. ) qпроводите полную антивирусную проверку компьютера после его получения из ремонтных служб. qс осторожностью допускайте работать с Вашим компьютером других пользователей

Правила “компьютерной гигиены“: qвнимательно следите за предоставляемыми правами доступа к Вашему компьютеру qсвоевременно устанавливаете “заплатки“ от производителей используемых Вами операционных систем и программ qдля повышения сохранности Ваших данных периодически проводите резервную архивацию информации на независимые носители

Антивирус – это специализированная программа, которая предназначена для поиска и уничтожения компьютерных вирусов, а также для предохранения от заражения вирусом.

Выделяют: Программы-детекторы Программы-доктора (фаги) Программы-ревизоры Доктора-ревизоры Программы-фильтры Программы-вакцины (иммунизаторы)

Дополнения: Программы-детекторы позволяют обнаруживать файлы зараженные одним из известных вирусов. Программы-доктора, или фаги лечат зараженные программы или диски, выкусывая из зараженных программ тело вируса, т. е. восстанавливая программу в то состояние, в котором она находилась до заражения вируса.

Программы-ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояние с исходными. При появлении несоответствий об этом сообщается пользователю.

Доктора-ревизоры это гибриды ревизоров и докторов, т. е. программ, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменения вернуть их в исходное состояние.

Программы-фильтры располагаются резидентно в оперативной памяти компьютера и перехватывают те сообщения к оперативной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них соответствующей операции. Пользователь может разрешить или запретить выполнение соответствующей операции.

Программы-вакцины или иммунизаторы модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус против которого производится вакцинация, считает эти программы или диски уже зараженными. На данный момент эти программы крайне не эффективны.

Антивирусные средства позволяют: ü обнаружить вирусы в передаваемых файлах и вложениях писем; ü проверять архивированные файлы; ü Осуществлять автоматическую установку и обновление версий и баз данных по вирусам; ü отслеживать в реальном времени все записываемые и открываемые файлы; ü использовать сканирующие и резидентные модули;

ü сканировать диски, когда компьютер простаивает, или по расписанию; ü проверять входящий/исходящий трафик посредством установки на Firewall; ü осуществлять удалённое администрирование и оповещение в случае выявления вирусов.

Парад лучших антивирусов (в алфавитном порядке) Aladdin Knowledge Systems e. Safe Command Anti. Virus Computer Associates Inoculatel. T Doctor Web Eset NOD 32 F-Secure Anti-Virus Kaspersky Antivirus Network Associates Mc. Afee Virus. Scan Norman Virus Control Panda Antivirus Platinum Symantec Norton Anti. Virus

Источники: 1. Е. Касперский Компьютерные вирусы. 2. http: //www. viruslist. com/viruslistbooks. html