КОМПЬЮТЕРНЫЕ ВИРУСЫ Лекция 9 n Стоит мне

КОМПЬЮТЕРНЫЕ ВИРУСЫ Лекция 9

n “Стоит мне что-то проглотить, как тут же происходит что-нибудь интересное. Посмотрим, что это будет на этот раз!” Льюис Кэррол. Алиса в стране чудес

Компьютерный вирус n это программа (специально написанная и небольшая по размерам), которая может создавать свои копии и внедряться в другие программы , системные области компьютера, вычислительные сети (т. е. "заражать" их) и выполнять различные нежелательные действия.

Немного истории n Идея принадлежит писателю-фантасту Т. Дж. Райну. В одной из своих книг (США 1977 г. ) он описал эпидемию, за короткое время поразившую более 7000 компьютеров. Причиной стал вирус, который передавался от одного компьютера к другому, внедрялся в операционные системы и выводил компьютеры из строя. К концу 80 -х годов описанные «фантастические» события стали суровой реальностью.

Немного истории n В научной литературе термин «компьютерный вирус» появился позднее - официально считается, что его впервые употребил сотрудник Лехайского университета (США) Ф. Коэн в 1984 г. на 7 -й конференции по безопасности информации, проходившей в США.

Немного истории n Первые случаи массового заражения компьютерными вирусами отмечены в 1987 году - "Пакистанский вирус", создан братьями Амджатом и Базитом Алви. Они решили наказать американцев, покупавших дешевые нелицензионные копии ПО в Пакистане. Они заразили такие копии вирусом и продавали их. В результате 18000 ПЭВМ в США были заражены им.

Немного истории n В 1989 г. вирус, написанный американским студентом Моррисом, заразил и вывел из строя 6000 компьютеров в США, в том числе в Министерстве обороны США. Моррис был приговорен к 3 -м месяцам тюрьмы и штрафу в 270000 $.

Классификация компьютерных вирусов

По среде обитания вируса: · сетевые - распространяются в компьютерных · · сетях; файловые - внедряются в файлы программ (чаще всего *. com и *. exe). Заражение происходит при запуске таких программ. загрузочные - заражают компоненты системной области диска или дискеты, используемые при загрузке DOS. Заражение происходит при загрузке ПЭВМ с таких дискет.

По способу заражения (активизации) n Нерезидентные вирусы - активизация вируса происходит после запуска инфицированной программы. Программа -вирус исполняется 1 раз и осуществляет свои вредные действия. Нерезидентные вирусы не заражают память компьютера и являются активными в течении ограниченного времени.

По способу заражения (активизации) n Резидентный вирус - при инфицировании ПЭВМ оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение DOS к другим программам и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки ПЭВМ. По сравнению с нерезидентными - эти вирусы более опасны и их труднее обнаружить антивирусными средствами.

Основные деструктивные действия вирусов: n влияние на работы ПЭВМ (звуковые, видео-эффекты) n искажение файлов программ n форматирование диска или его части n замена информации на диске или его части n искажение информации, хранящейся в системной части диска n разрушение связанности частей файла в FAT n искажение данных в системных установках компьютера (например: нарушение работы часов). самого

По особенностям алгоритма n Вирусы-спутники - это вирусы, не изменяющие файлы. Они создают для exeфайлов файлы-спутники, имеющие такое же имя , но с расширением. com. При запуске такого файла DOS первым обнаружит и выполнит. com файл, т. е. вирус, который затем запустит и exe-файл.

По особенностям алгоритма n Вирусы-черви - вирусы, которые распространяются в компьютерной сети. Они проникают в память компьютера из сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. В результате уменьшается пропускная способность сети, замедляется работа серверов.

По особенностям алгоритма n Вирусы-паразиты - при распространении своих копий обязательно изменяют содержание дисковых секторов и файлов.

По особенностям алгоритма n Стелс-вирусы (невидимки) - Stealth перехватывают обращение DOS к пораженным файлам или секторам дисков и подставляют вместо себя незараженные участки информации.

По особенностям алгоритма n Вирусы-призраки (полиморфные)- трудно обнаруживаемые вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же вируса могут не иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы расшифровщика.

По особенностям алгоритма n Macro-вирусы используют возможности макро-языков, встроенных в различные системы обработки информации (текстовые редакторы, электронные таблицы). Распространены в системах MS Word и Excel. Вирусы захватывают управление при открытии или закрытии зараженного файла, перехватывают некоторые файловые функции и затем заражают файлы, к которым происходит обращение. Вирусы можно назвать "резидентными", так как они активны только в своей среде - соответствующем приложении. Особенность - быстрое распространение по сети.

3 случая заражения ПЭВМ вирусом: n на компьютере была выполнена зараженная программа, содержащая вирус типа. сom или. exe. n компьютер загружался с системной дискеты, содержащей зараженный загрузочный сектор. n на новый компьютер была установлена DOS или драйверы внешних устройств, зараженные вирусом.

Признаки появления вируса на компьютере: n доступный объем ОЗУ сокращается, хотя никаких новых данных n n или программ не загружено; попытка записи на дискету, хотя Вы не давали команду на запись; резко замедляется работа системы; программа, с которой Вы работаете, выдает сообщения не описанные в документации или меняется вид экрана; зависание и разрушение системы;

Признаки появления вируса на компьютере: n DOS выдает неожиданное сообщение типа: n n invalid drive specification (неправильное описание устройства); изменяется размер файла или его характеристики без видимой причины; неожиданно изменяется количество файлов на диске, в каталоге; каталоги становятся слишком большими; нажатие какой-либо клавиши вызывает действия, отличные от описанных в документации.

Алгоритм работы файлового вируса n Файловые вирусы при распространении внедряются в тело зараженного файла. Чаще всего - вирус дописывается в конец файла. При этом начало файла изменяется так, что первыми выполняемыми командами программы становятся команды вируса. Вирус после передачи ему управления : n n n восстанавливает программу (но не файл) в исходном виде, проверяет ОЗУ на наличие своей копии и инфицирует память, ищет незараженные файлы в текущем или корневом каталоге и заражает их, выполняет дополнительные деструктивные действия, возвращает управление основной программе.

Алгоритм работы загрузочного вируса n Загрузочные вирусы заражают загрузочный (Boot) сектор диска или винчестера. При инфицировании диска вирус переносит оригинальный Boot-сектор в какой-либо другой сектор диска (например в первый свободный). Если длина вируса больше, чем длина сектора , то в заражаемый сектор помещается первая часть вируса, а остальные части размещаются в других секторах. n Загрузочные вирусы всегда резидентны.

Методы защиты от вирусов решают 3 задачи : n обнаружить вирус, n локализовать и уничтожить, n определить и восстановить нанесенные вирусом повреждения.

Классификация методов защиты

Фильтры-сторожа n Резидентные программы, обеспечивают контроль выполнения n n характерных для вирусов действий и сообщение о них пользователю. Примеры таких действий: 1) обновление программных файлов 2) прямая запись на диск 3) форматирование диска 4) резидентное размещение какой-либо программы в ОЗУ. Пользователь может разрешить или отменить выполняемые действия. Степень защиты с помощью таких программ не высока. Преимущество - обнаружение вируса на ранней стадии. Примеры программ: Disk Monitor, Floserum. и др.

Вакцины-иммунизаторы n Модифицируют программы и диски таким образом, что это не отражается на работе программ, но вирус считает, что эти программы и диски уже зараженные. n Некоторые иммунизаторы размещаются резидентно в памяти, вследствие чего настоящий вирус в память не загружается. Эти программы используют редко, так как их эффективность невысока.

Детекторы (сканеры) n Проверяют имеется ли в файлах специфическая для данного вируса комбинация байтов. При ее обнаружении - выводится сообщение на экран. Детекторы имеют режимы лечения или уничтожения файлов, зараженных вирусом. n Вирусные базы современных детекторов содержат до 13000 масок вирусов. n Детекторы содержат алгоритмы поиска неизвестных вирусов (эвристические анализаторы). Эффективность такого поиска превышает 80%. n Особенностью детекторов является то, что их базы должны постоянно пополняться информацией о новых вирусах, особенно получивших распространение в данном регионе.

Детекторы (сканеры) n Наиболее известные детекторы - Dr. Web - 98, 6% распознавания, фирма Диалог-Наука (Россия), n SCAN (Viru. Sean) - 96, 8 % распознавания, фирма Mc. Afee Associates (США) n

Доктора n такие программы не только обнаруживают вирус, но и удаляют его n n или целиком зараженный файл. Многие программы-детекторы являются одновременно и докторами. Наиболее известные программы-доктора: 1. Clean-Up (Clean) - Mc. Afee Associates (США) 2. Aidstest - Д. Н. Лозинский 3. SCAN (Viru. Scan) - Mc. Afee Associates (США)

Ревизоры n Эти программы имеют 2 стадии работы. Сначала они запоминают сведения о состоянии программы и системных областей дисков (загрузочного сектора ВООТ и таблицы размещения файлов-FAT). Предполагается, что в этот момент ПЭВМ не заражена вирусом. n Затем в любой момент программа-ревизор может сравнить состояние программ и системных областей диска с исходными и выявить несовпадения. О результатах проверки она сообщает пользователю. n Наиболее известная программа - ADINF - Д. Мостовой Диалог - Наука, Москва.

Аппаратные средства защиты. n Специальные дополнительные устройства, обеспечивающие достаточно надежную защиту. Пример - плата Sheriff представляющая собой драйвер и аппаратную плату, вставляемую в ISA слот компьютера. Использование этой платы позволяет предотвратить нападение вируса.

Результаты тестирования антивирусных программ (значения эффективности их работы приведены в %)

Профилактика заражения вирусом n Каждый день в конце рабочего дня проверять компьютер антивирусной программой и сторожем. n Многие антивирусы будут не в состоянии обнаружить вирус в архивах и самораспаковывающихся исполняемых программах. n Hаиболее ценная информация обязательно должна храниться на дискетах.

Профилактика заражения вирусом n Необходимо проверять на вирусы программы с CD-ROM диска. n Антивирусную проверку ЖЕЛАТЕЛЬHО проводить в "чистой" системе, то есть после загрузки с системной дискеты ! n При обнаружении характерных для вируса действий следует немедленно прекратить работу и перезагрузившишь с системной дискеты проверить диски антивирусами.