КОМПЬЮТЕРНЫЙ ВИРУС 1 Что такое вирусы и

КОМПЬЮТЕРНЫЙ ВИРУС

1. Что такое вирусы и как они появились

Компьютерный мир не свободен от преступности и один из главных преступников - вирус Человеку, незнакомому с этими понятиями, вирус представляется чем - то таинственным, загадочным и страшным Столкнувшись с вирусом, такой человек оказывается беспомощным и впадает в панику

Что такое вирус ? Компьютерный вирус – это специально написанная небольшая по размерам программа, способная, размножаясь, внедряться в другие программы (заражать их), системные области дисков и память компьютера, производящая нежелательные для пользователя действия: - создание помех и замедления в работе, - сбои компьютера и программ, - уменьшение объема системной памяти - занятие места на диске - уничтожение информации

Откуда берутся вирусы ? Компьютерный вирус, в отличие от биологического (например вирус гриппа), не живой организм – это программа, созданная с определенными целями. Кто и зачем их создает ? Автором вируса может быть школьник, студент и даже профессиональный программист – написание его несложно. Причины написания вируса: q Интерес, желание попробовать свои силы, самоутвердиться q Подшутить, поздравить или посмеяться над кем-то q Насолить обидчику, уволившему человека начальнику q Навредить конкурентам по бизнесу q. . .

Из истории вирусов. . . Появление компьютерных вирусов связано с идеей создания самовоспроизводящихся механизмов еще в 50 – е годы, предложенной отцом вычислительной техники Джоном фон Нейманом В результате появились игровые программы, основанные на «вирусной» технологии Некоторые программисты (именуемые иногда технокрысами), стали разрабатывать самовоспроизводящиеся программы, цель которых – нанесение ущерба пользователям компьютера

Первые вирусы Первые случаи заражения компьютеров - в 1987 году – Пакистанский вирус, разработанный братьями Алви. Этим они решили наказать американцев, покупавших незаконные копии программных продуктов в Пакистане. В результате в США он заразил 18 тыс. компьютеров и даже попал в СССР 1989 г – Лехайский вирус (США) поразил 4 тыс. компьютеров Дальше – число вирусов лавинообразно увеличивалось Необходимость борьбы с компьютерной «заразой» привела: q К созданию первых антивирусных средств q К принятию правительствами «продвинутых» стран законодательства о компьютерных преступлениях

Вирусы сегодня Главным источником вирусов сегодня является электронная почта (около 80% всех случаев), причем заражение всегда становится массовым (миллионы компьютеров Интернет), а ущерб оценивается миллиардами долларов Очень распространены вирусы способные самовозобновляться и модернизировать себя с удаленного компьютера во время сеанса работы в Интернет

Что червь грядущий нам готовит. . . Несомненно, лидерство электронной почты сохранится. Интернет – черви «взрослеют» и почти не нуждаются в участии человека Большое распространение вирусов для мобильных телефонов и карманных компьютеров В мире идет неустанная борьба производителей и ловцов вирусов, и, похоже, результаты ее не в пользу рядовых пользователей

2. Классификация вирусов

Классифицировать вирусы можно по ряду признаков: Классификация вирусов Среда обитания Операционная система Особенности алгоритма работы Деструктивные возможности

Классификация по среде обитания Среда обитания Файловые Загрузочные Макро - вирусы Сетевые Файловые – это вирусы, проникающие в область данных диска и заражающие исполнимые файлы и драйвера устройств (. exe, . com, . bat, . sys) При запуске такой программы вирус начинает действия. Наиболее опасны из них те, которые остаются в памяти компьютера резидентно, т. е и после выключения зараженной программы. При этом они могут заражать исполнимые файлы других программ

Загрузочные вирусы (Boot-вирусы) заражают загрузочный сектор диска (boot-сектор), либо системный загрузчик винчестера (Master Boot Record), либо таблицу размещения файлов FAT Такой вирус начинает работу при начальной загрузке компьютера и остается резидентным, заражая загрузочные записи вставляемых дискет Часто такой вирус состоит из двух частей: q первая часть небольшая и записывается в загрузочный сектор (т. к. загрузочный сектор невелик и целиком вирус не входит) q Вторая часть записывается в другом месте (объявляя кластер, в котором она находится дефектным для своей защиты) Макровирусы - вирусы, заражающие приложения, содержащие макросы (Word, Excel, Power. Point, Access) Такие вирусы встраиваются в макросы и изменяют их (например при выполнении макроса сохранения файла они сохраняют пустой лист)

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты. Проникнув в компьютер с электронным письмом, такой вирус находит почтовые адреса на компьютере, размножается и, при выходе компьютера в Интернет, рассылает свой копии по этим адресам. Возникает лавинообразное массовое заражение компьютеров.

Классификация по особенностям алгоритма работы: 1. Резидентность. Такие вирусы оставляют часть своего кода в оперативной памяти компьютера и заражают последующие открываемые программы, пока не будет выполнена перезагрузка компьютера. Нерезидентные вирусы активны только во время обращения к зараженной программе. 2. СТЕЛС – алгоритмы (невидимки) – вирусы пытаются скрыть свое присутствие. Способом скрытия является перехват запросов операционной системы на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации.

Вопрос 2: Классификация вирусов 3. Полиморфные вирусы (полиморфики) Такие вирусы - достаточно трудно обнаружить, они не имеют сигнатур, т. е. не содержат ни одного постоянного участка кода. Самошифрование и полиморфизм используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру обнаружения вируса 4. Вирусы, использующие нестандартные приемы маскировки и шифрования Эти вирусы могут «спрятаться» в BIOSе или в ядре операционной системы, установить запрет антивирусной программе на тестирование оперативной памяти, где он резидентно находится и благополучно «переживает» проверку Многие вирусы являются комбинированными, например вирус TPVO. 3464 является резидентным файлово – загрузочным, кроме того использует стелс – технологии маскировки

Классификация по деструктивным действиям (степени нанесенного вреда) Степень опасности Безопасные Уменьшение свободной памяти, места на диске за счет различных видео и звуковых эффектов, приколов, поздравлений … Опасные Очень опасные Сбои в работе компьютера, замедление работы, уменьшения объема ОП, места на диске … Нарушают работу программ, удаляют данные с диска, стирают и форматируют диски и т. д …

Классификация по заражаемым объектам операционной системы Операционная система Вирусы, заражающие объекты DOC Вирусы, заражающие объекты различных версий Windows (W 95/WNT/OC 2 …) Вирусы, заражающие определенные приложения Каждый вирус заражает объекты «своей» операционной системы или «своего» приложения

Прочие вредные программы Троянские программы – опасные программы, суть которых заключается в обмане пользователя (вспомните древнегреческую легенду о троянском коне). Такая программа маскируется под полезную программу с целью проникновения в компьютер, но обладает разрушительными действиями В отличие от вирусов Трояны не могут размножаться и внедряться в другие программы Вот один из нашумевших случаев: Некий Джозеф Попп послал по всему миру дискеты с информацией о СПИДЕ. Программа, ее отображающая была троянской – разрушала данные на дисках, пока пользователь читал информацию о СПИДЕ. Затем программа выводила сообщение о том, что для исцеления дисков необходимо послать 387 долларов на указанное почтовое отделение в Панаме. В результате шутник был привлечен к уголовной ответственности

3. Демонстрации вирусов

Вопрос 3: Демонстрации вирусов Сейчас вы сможете пронаблюдать некоторые демонстрации вирусов (видео и звуковые эффекты) и прочитать описания их деструктивных действий Для просмотра нажмите гиперссылку Демонстрация, Для выхода из просмотра нажмите клавишу Esc

Вопрос 3: Демонстрации вирусов Lichen. 1024 Неопасный резидентный вирус. Перехватывает прерывание INT 21 h и записывается в конец COM- и EXEфайлов при их запуске. Через месяц после заражения перехватывает INT 8, 9 и проявляется видео-эффектом. Демонстрация Jvirus. 2267 Очень опасный резидентный полиморфик -вирус. Трассирует INT 13 h, 21 h, затем перехватывает INT 21 h и записывается в начало COM- и конец EXE-файлов при их запуске. По первым числам проявляется видео-эффектом - передвигает по экрану строку: J-virus(HK) 1. 0 затем вирус затирает файлы C: COMMAND. COM и C: WINDOWSWIN. COM своей копией, при запуске которой вызывается тот же эффект. Демонстрация

Вопрос 3: Демонстрации вирусов Iwag. 4183 Неопасный резидентный полиморфик -вирус. Перехватывает INT 8, 17 h, 21 h, 2 Fh и записывается в конец EXE-файлов при обращениях к ним. При запуске программ также проверяет командную строку. При запуске файлов с именами TD*, перезагружает компьютер: В зависимости от своих внутренних счетчиков вирус открывает/закрывает CD-диск или выводит на принтер один из текстов: To ja-twoja drukarka: Rzeczy, ktore mi kazesz drukowac sa bez sensu! Moze wreszcie kupisz mi dobry papier? Boli mnie glowa : ( Daj mi spokoj! В зависимости от текущей даты вирус также перехватывает INT 17 h (принтер) и меняет символы при печати. Вирус также блокирует драйвер мыши, пищит системным спикером, выводит текст: Zartowalem : ) Демонстрация (при нажатии у Вас откроется CD-ROM)

Вопрос 3: Демонстрации вирусов I_Love_DOS. 3618 Опасный резидентный стелс - вирус. Перехватывает INT 21 h и Записывается в конец COM- и EXE-файлов при обращениях к ним. В зависимости от текущей даты вызывает звуковой и видео-эффекты, портит CMOS, выводит текст: CMOS Your computer will be need a psychiatrist. . . DEAD Также содержит строки: Демонстрация IOSYS COMSPEC= EXECOM I love MS-DOS ! Hypnotiser. 1784 Неопасный резидентный зашифрованный вирус. Перехватывает INT 21 h и записывается в конец запускаемых COM- и EXE-файлов. Уничтожает антивирусный файл данных CHKLIST. MS. По 10 -м числам проявляется видео-эффектом. Содержит также строки: HYPNOTi. SER. By b. QN v. LA&|^JM : 6' Демонстрация

Вопрос 3: Демонстрации вирусов HH&HH, семейство Неопасные резидентные зашифрованные вирусы. Перехватывают INT 1 Ch, 21 h и записываются в конец запускаемых. COM-файлов. При заражении переименовывают файл в *. A*, записываются в него, а затем переименовывают обратно. По понедельникам записывают 0 в порт A 0 h и B 0 h в порт 41 h. Ищут на экране строку "Esik" и, если таковая обнаружена, через некоторое время переходят в графический видеорежим и выводят на экран скачущий шар. Демонстрация Hafen, семейство Нерезидентные неопасные вирусы, ищут в подкаталогах. EXE-файлы и записываются в их конец. "Hafen. 1640, 1641, 1689" содержит зашифрованное тело вируса "Ambulance" и записывает его в. COM-файлы (т. е. заражает файлы другим вирусом) "Hafen. 1191" проявляется движущейся картинкой Демонстрация

Вопрос 3: Демонстрации вирусов Ghost_2. 5000 Очень опасный резидентный зашифрованный стелс-вирус. Перехватывает INT 21 h, 25 h и записывается в начало COM и EXE-файлов при их запуске, открытии или закрытии. Если длина COM-файла после заражения превышает 64 K, то вирус конвертирует файл в EXE-формат. В январе вирус портит данные на винчестере, имитирует на экране падающий снег и выводит текст (вместо "00000" могут стоять произвольные цифры) Демонстрация Froll. 1665 Опасный нерезидентный зашифрованный вирус. При запуске ищет. COM-файлы и записывается в их конец. Уничтожает файлы из второй строки, проявляется видео и звуковым шумом, завешивает компьютер Демонстрация

Вопрос 3: Демонстрации вирусов Chinese. 2311 Неопасный резидентный зашифрованный вирус. Перехватывает INT 21 h и записывается в конец. COM- и. EXE-файлов при их запуске и вызовах DOS-функций Find. First/Next FCB (команда DIR). При заражении памяти выводит текст на китайском. Демонстрация Aids. 552 Резидентный очень опасный вирус. Перехватывает INT 3, 21 h и записывается в конец EXE-файлов при их закрытии. В каждый 16 -й закрываемый COM-файл записывает часть своего кода (файл не восстанавливается, так как вирус не сохраняет старое содержимое файла). При запуске такого файла на экран крупными буквами выдается слово "AIDS". Демонстрация

1. Симптомы заражения

Часто, работая за компьютером, мы и не подозреваем, что там «сидит» вирус, и, скорее всего не один Многие вирусы, проникнув в компьютер, не производят сразу каких -то действий, у них есть инкубационный период, который может длиться некоторое время (например до пятницы 13 -го) Но с наступлением времени X (Новый год, 13 число, знаменательная дата …) вирус переходит в фазу детонации – т. е. активизируется и выполняет заложенные в нем «черные дела» Часто мы не обращаем внимания на незначительные «глюки» при работе компьютера: или замедлится какая –то программа, или промелькнет непонятное сообщение или еще что – то, списывая это на недостатки нелицензионной Windows или неизвестного происхождения установленных программ

В повседневной работе мы можем предположить наличие вирусов на нашем компьютере обычно по ряду симптомов: q Замедление работы программ, медленная загрузка операционной системы (хотя чаще причина бывает в том, что ваш диск (С) чрезмерно переполнен установленными программами и файлами и на нем очень мало места) q Уменьшение объема оперативной памяти , т. е какие - то программы активно работают и занимают много системной памяти и, как следствие этого – компьютер работает медленно q Неуместное появление на экране системных сообщений ( к примеру появляется сообщение « 1 File copied» , хотя вы ничего не копировали

q Увеличение количества файлов на диске ( на диске появляются файлы, которые мы не создавали, которые занимают много места) q Появление на дисках зарегистрированных дефектных кластеров (там возможно прячется вирус и объявляет этот кластер дефектным) q Сбои в работе операционной системы, «зависание» , либо вообще невозможность загрузки ОС q Разрушение файловой структуры (исчезновение, «невидимость» каталогов и файлов) Вывод: действия вирусов часто коварны и трудноопределимы Как уберечься от вирусов ?

2. Меры профилактики и защита информации

Рассмотрим ряд мер, которые позволят защитить свою информацию (и не только от вирусов) СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ Общие средства защиты информации Профилактические меры Специализированные программы

Общие средства защиты информации Ограничение доступа к своему компьютеру (не допускайте к своему компьютеру посторонних людей, поставьте пароль на загрузку компьютера и выход из заставки) Будьте осторожны при работе в сети ( открытый общий доступ к Вашим папкам – путь к потере информации) Резервное копирование ( важную для Вас информацию сохраняйте на съемных дисках, например на компакт – дисках, причем делайте это регулярно и Ваши потери будут сведены к минимуму)

Профилактические меры Использование лицензионного программного обеспечения (помните, что вирус не зарождается сам собой в Вашем компьютере, а только заносится с дискетками, компакт – дисками, причем неизвестного происхождения) На компьютере должна быть установлена антивирусная программа (все диски перед использованием необходимо проверить антивирусом, причем антивирусные базы необходимо регулярно обновлять, иначе эффективность программы резко снижается) Защита дискеты от записи (если Вы не используете дискету для записи, закройте ее «окошко» - и ничего на нее не попадет) Оптимизация системы (посмотрите файл autoexec. bat, уберите все лишнее, оптимизируйте свой жесткий диск, проверьте автозагрузку) Будьте осторожны с электронной почтой ( 80% заражений происходит через электронную почту, не открывайте писем от неизвестного адресата, лучше удалите их)

3. Антивирусные программы

Антивирусные программы Наиболее эффективны в борьбе с компьютерными вирусами антивирусные программы, позволяющие выявлять вирусы, лечить зараженные файлы и диски, обнаруживать и предотвращать подозрительные действия

Если лечение невозможно, то зараженный файл удаляется целиком Компьютерный вирус Антивирусная 111000 программа 1010101010111000 101010 Незараженный файл Зараженный файл Вылеченный файл Схема заражения файла компьютерным вирусом и его лечение с использованием антивирусной программы

Два простых правила, на случай сбоя или заражения машины вирусом: Правило N 1. Создав любой новый файл (содержащий, например, текст, программу или рисунок), обязательно сразу скопируйте его на дискету, диск. Правило N 2. Любую дискету, побывавшую на чужой машине, обязательно проверьте антивирусными программами

Антивирусные средства защиты информации Антивирусные блокировщики Ревизоры Полифаги - сканеры Полифаги - мониторы

Антивирусные программы (популярные) Command Anti. Virus Doctor Web Kaspersky Antivirus ADinf 32 Symantec Norton Anti. Virus

Антивирусные программы – специальные программы, предназначенные для диагностирования, обнаружения, лечения, иммунизации, профилактики вирусных «заболеваний» ( Как это близко к медицине ! ) Классификация антивирусных программ Детекторы Ревизоры Доктора Вакцинаторы Сторожа

Программы - детекторы Программы – детекторы – это передний край обороны компьютера, они проверяют, имеется ли в файлах специфическая комбинация файлов (сигнатура) для известных вирусов и сообщают об этом пользователю Программы - доктора Программы – доктора лечат зараженные программы, «выкусывая» из них тело вируса, при этом не всегда зараженный файл остается работоспособным Более распространены комбинированные программы: доктора – детекторы, обнаруживающие вирусы и исцеляющие зараженные файлы, к которым можно отнести Aidstest, Doctor Web, AVP Касперского, Norton Antivirus

Программы - сторожа Программы – сторожа располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда и сообщают об этом пользователю Многие антивирусные программы класса доктор - детектор (AVP Касперского, Doctor Web, Norton Antivirus) имеют встроенный резидентный модуль – фильтр (сторож)

Программы - ревизоры Программы – ревизоры имеют две стадии работы: 1. Запоминание сведений о состоянии программ и системных областей дисков (исходное состояние) 2. Периодическое сравнение состояния диска с исходным и при несоответствии - сообщение пользователю Преимущества: § Высокая скорость проверки § не требуется частого обновления § обнаружение Steals - вирусов Ревизор вычисляет контрольную сумму файла (побитно), затем проверяет ее. Изменить программу, не изменив при этом контрольную сумму файла вирусу почти невозможно и, как следствие – высокий уровень защиты

Программы - вакцинаторы Программы – вакцины, или иммунизаторы модифицируют программы и диски таким образом, что это не отражается на работе программ, но вирус, «желающий заразить» эту программу видит ее уже зараженной и пропускает Работа этих программ недостаточно эффективна (для каждого штамма вируса нужна своя «прививка» ) Итак, для защиты нашего компьютера есть много средств: § Общие средства защиты § Профилактические меры § Антивирусные программы

Эшелоны обороны компьютера РЕЗЕРВ (Архивные копии файлов)