Лекция 13. Вирусы и антивирусные программы
13.1. Что такое компьютерный вирус
Компьютерный вирус это программа, способная создавать свои копии,
внедрять их в различные объекты или ресурсы компьютерных систем,
сетей и производить определенные действия без ведома пользователя.
|
Программа, внутри которой находится вирус, называется зараженной (инфицированной).
Когда инфицированная программа начинает работу, то сначала управление получает вирус.
Вирус заражает другие программы, а также выполняет запланированные деструктивные
действия. Для маскировки вирус активизируется не всегда, а лишь при выполнении
определенных условий (время, действие). После того, как вирус выполнит нужные ему действия,
он передает управление той программе, в которой он находится.
Подобно настоящим вирусам, компьютерные вирусы прячутся, размножаются и ищут
возможность перейти на другие ЭВМ.
13.2. Какой вред наносят вирусы
Различные вирусы выполняют различные деструктивные действия:
- выводят на экран мешающие текстовые сообщения;
- создают звуковые эффекты;
- создают видео эффекты;
- замедляют работу ЭВМ, постепенно уменьшают объем оперативной памяти;
- увеличивают износ оборудования;
- вызывают отказ отдельных устройств, зависание или перезагрузку компьютера и крах работы всей ЭВМ;
- имитируют повторяющиеся ошибки работы операционной системы;
- уничтожают FAT-таблицу, форматируют жесткий диск, стирают BIOS, стирают или изменяют установки в CMOS, стирают секторы на диске, уничтожают или искажают данные, стирают антивирусные программы;
- осуществляют научный, технический, промышленный и финансовый шпионаж;
- выводят из строя системы защиты информации, дают злоумышленникам тайный доступ к вычислительной машине;
- делают незаконные отчисления с каждой финансовой операции и т.д.;
Главная опасность самовоспроизводящихся кодов заключается в том,
что программы-вирусы начинают жить собственной жизнью, практически не зависящей
от разработчика программы. Так же, как в цепной реакции в ядерном реакторе, запущенный
процесс трудно остановить.
13.3.Что показывает на вирусное заражение
Основные симптомы вирусного заражения ЭВМ следующие:
- замедление работы некоторых программ;
- увеличение размеров файлов;
- появление не существовавших ранее файлов;
- уменьшение объема доступной оперативной памяти;
- появление сбоев в работе операционной системы;
- запись информации на диски в моменты, когда этого не должно происходить.
13.4.Какие бывают вирусы
Рассмотрим основные виды вирусов. Существует большое число различных классификаций вирусов:
- по среде обитания:
- сетевые вирусы, распространяемые различными компьютерными сетями;
- файловые - инфицируют исполняемые файлы, имеющие расширение exe и com.
К этому же классу относятся и макровирусы, написанные с помощью макрокоманд.
Они заражают неисполняемые файлы (в Word, Excel);
- загрузочные - внедряются в загрузочный сектор диска или в сектор,
содержащий программу загрузки системного диска. Некоторые вирусы
записываются в свободные секторы диска, помечая их в FAT-таблице как плохие;
- загрузочно-файловые - интегрируют черты последних двух групп;
- по способу заражения (активизации):
- резидентный вирус логически можно разделить на две части - инсталятор
и резидентный модуль. При запуске инфицированной программы управление получает инсталятор,
который выпоняет следующие действия:
- размещает резидентный модуль вируса в ОЗУ и выполняет операции, необходимые для того,
чтобы последний хранился в ней постоянно;
- подменяет некоторые обработчики прерываний, чтобы резидентный модуль
мог получать управление при возникновении определенных событий.
- нерезидентный вирусы не заражают оперативную память и проявляют свою
активность лишь однократно при запуске инфицированной программы;
- по степени опасности:
- не опасные - звуковые и видеоэффекты;
- опасные - уничтожают часть файлов на диске;
- очень опасные - самостоятельно форматируют жесткий диск;
- по особенностям алгоритма:
- компаньон-вирусы не изменяют файлы. Алгоритм их работы состоит в том, что
они создают для exe-файлов новые файлы-спутники (дубликаты), имеющие то же имя, но
с расширением com. (com-файл обнаруживается первым, а затем вирус запускает exe-файл);
- паразитические - при распространении своих копий обязательно изменяют
содержимое дисковых секторов или файлов (все вирусы кроме компаньонов и червей);
- черви (репликаторы) - аналогично компаньонам не изменяют файлы и
секторы диска. Они проникают в компьютер по сети, вычисляют сетевые адреса других
компьютеров и рассылают по этих адресам свои копии. Черви уменьшают пропускную
способность сети, замедляют работу серверов;
- невидимки (стелс) - используют набор средств для маскировки своего
присутствия в ЭВМ. Их трудно обнаружить, т.к. они перехватывают обращения ОС
к пораженным файлам или секторам и подставляют незараженные участки файлов;
- полиморфики (призраки, мутанты) - шифруют собственное тело
различными способами. Их трудно обнаружить, т.к. их копии практически не
содержат полностью совпадающих участков кода;
- троянская программа - маскируется под полезную или интересную
программу, выполняя во время своего функционирования еще и разрушительную работу
или собирает на компьютере информацию, не подлежащую разглашению. В отличие от вирусов,
троянские программы не обладают свойством самовоспроизводства.
- по целостности:
- монолитные - программа представляет единый блок;
- распределенные - программа разделена на части. Эти части содержат инструкции,
которые указывают как собрать их воедино, чтобы воссоздать вирус.
13.5. Что такое антивирусная программа
Для борьбы с вирусами разрабатываются антивирусные программы.
Антивирусное средство это программный продукт или устройство,
выполняющее одну, либо несколько из следующих функций:
1) защиту данных от разрушения; 2) обнаружение вирусов; 3) нейтрализацию вирусов.
|
Различают следующие виды:
- программы-детекторы рассчитаны на обнаружение конкретных, заранее известных программе
вирусов и основаны на сравнении характерной последовательности байтов (сигнатур), содержащихся в теле
вируса, с байтами проверяемых программ. Программы-детекторы снабжаются блоками эвристического анализа.
В этом режиме делается попытка обнаружить новые или неизвестные вирусы по характерным для всех
вирусов кодовым последовательностям.
- программы-дезинфекторы (фаги) не только находят зараженные файлы, но и лечат
их, удаляя из файла тело программы-вируса. В России получили широкое распространение детекторы,
одновременно выполняющие функции дезинфекторов: AVP, Aidstest, DoctorWeb.
- программы-ревизоры анализируют текущее состояние файлов и системных областей
диска и сравнивают его с информацией, сохраненной ранее в одном из файлов ревизора.
При этом проверяется состояние загрузочного сектора, FAT-таблицы, а также длина файлов,
их время создания, атрибуты, контрольные суммы. (ADinf)
- программы-фильтры (мониторы) оповещают пользователя обо всех попытках
какой-либо программы выполнить подозрительные действия. Фильтры контролируют
обновление программных файлов и системной области диска, форматирование диска,
резидентное размещение программ в ОЗУ.
13.6. Как защитить компьютер от вирусов
Рассмотрим основные меры по защите ЭВМ от заражения вирусами:
- Необходимо оснастить ЭВМ современными антивирусными
программами и постоянно обновлять их версии.
- При работе в сети обязательно должна быть установлена программа-фильтр.
- Перед считыванием с дискет информации, записанной на
других ЭВМ, следует всегда проверять эти дискеты на наличие вирусов.
- При переносе файлов в архивированном виде
необходимо их проверять сразу же после разархивации.
- При работе на других компьютерах необходимо защищать
свои дискеты от записи.
- Делать архивные копии ценной информации на других носителях.
- Не оставлять дискету в дисководе при включении или перезагрузке
ЭВМ, это может привести к заражению загрузочными вирусами.
- Получив электронное письмо, к которому приложен исполняемый файл,
не следует запускать этот файл без предварительной проверки.
- Необходимо иметь аварийную загрузочную дискету, с которой можно
будет загрузиться, если система откажется сделать это обычным образом