Комп`ютерні віруси та захист інформації

- за середовищем мешкання;

- за способом зараження  середовища мешкання;

- за деструктивними можливостями;

- за особливістю алгоритму  вірусу.

 Віруси класифікуються  як завантажувальні, файлові, системні, мережеві, файлово-загрузоні.

Мережеві  віруси – це комп'ютерні віруси які мають властивість розповсюджуватись (“переходити”) через телекомунікаційні мережі з однієї комп’ютерної системи до іншої, з одного комп'ютера на інший.

Файлові віруси – вбудовуються в структуру файлу, що виконуються, з розширенням СОМ і ЕХЕ, завантажувальні вбудовуються в завантажувальний сектор, який знаходиться на диску.

Завантажувальні віруси впроваджуються в завантажувальний сектор чи диска в сектор, що містить програму завантаження системного диска; файлово-загрузочні (багатофункціональні) уражають завантажувальні сектори дисків і файли прикладних програм.

Системні  віруси проникають у системні модулі і драйвери периферійних пристроїв, таблиці розміщення файлів і таблиці розділів.

По способі зараження  середовища обитания віруси підрозділяються  на резидентні і на нерезидентні.

Резидентні  віруси при зараженні комп'ютера залишають в оперативній пам'яті свою резидентну частина, що потім перехоплює звертання операційної системи до інших об'єктів зараження, впроваджується в них і виконує свої руйнівні дії аж до чи вимикання перезавантаження комп'ютера. Нерезидентні віруси не заражають оперативну пам'ять ПК і є активними обмежений час.Алгоритмічна особливість побудови вірусів впливає на їхній прояв і функціонування. Так, репликаторні програми завдяки своєму швидкому відтворенню приводять до переповнення основної пам'яті, при цьому знищення програм-реплікаторів ускладнюється, якщо відтворені програми не є точними копіями оригіналу. У комп'ютерних мережах поширені програми-хробаки. Вони обчислюють адреси мережних комп'ютерів і розсилають по цих адресах свої копії, підтримуючи між собою зв'язок. У випадку припинення існування «хробака» на якому-небудь ПК що залишилися відшукують вільний комп'ютер і впроваджують у нього таку ж програму.

За  деструктивними можливостями віруси поділяються  на:

- нешкідливі (які тільки  зменшують вільну пам’ять комп’ютера);

- небезпечні, які зупиняють  роботу комп'ютерної системи;

- дуже небезпечні, які  приводять до зникнення програм,  даних, інформації.

 

За  особливостями алгоритму вірусу можна виділити наступні групи:

- програмні;

- завантажувальні;

- компаньйон-віруси;

- стелс-віруси;

- поліморфік-віруси;

- макровіруси;

- комбіновані віруси.

Програмні віруси

Програмні віруси – це блоки програмного коду, цілеспрямовано впроваджені всередину інших прикладних програм. При запуску прикладної програми, відбувається запуск імплантованого в неї вірусного коду. Робота цього коду викликає приховані від користувача зміни в файловій системі жорстких дисків і/або в змісті інших програм. Так, наприклад, вірусний код може відтворювати себе в тілі інших програм цей процес називається розмноженням. Після певної години, створивши достатню кількість копій, програмний вірус переходить до руйнівних дій.

Програмні віруси при звичайному копіюванні не інфікують комп'ютер, а при запуску неперевірених  файлів, отриманих із зовнішнього  носія (гнучкий диск, компакт-диск або  з мережі Інтернет) інфікують програму, за допомогою якої цей файл був  оглянутий. Тому всі файли повинні  пройти обов'язкову перевірку на безпеку, а якщо дані отримані з незнайомого  джерела, їх потрібно знищувати, не продивляючись.

Завантажувальні віруси

Від програмних вірусів завантажувальні  віруси відрізняються методом поширення. Копії вражають не програмні файли, а певні системні області магнітних  носіїв (гнучких і жорстких дисків). Крім того, на включеному комп'ютері  копії можуть тимчасово розташовуватися  в оперативній пам'яті.

Звичайно зараження відбувається при спробі завантаження комп'ютера  з магнітного носія, системна область  якого містить завантажувальний вірус. Так, наприклад, при спробі завантажити  комп'ютер з гнучкого диска спочатку відбувається проникнення вірусу в  оперативну пам'ять, а потім - у завантажувальний сектор жорстких дисків. Далі цей комп'ютер сам стає джерелом поширення завантажувального  вірусу.

 

Компаньйон-віруси

 Компаньйон– віруси, які не змінюють файли, а створюють для завантажувальних файлів файли-супутники, що мають теж саме ім’я, але з іншим розширенням (наприклад, *.сом).

Стелс-віруси

Віруси–невидимки – це програми, які перехоплюють звернення системи до інфікованих кодів файлів або інфікованих секторів дисків та підставляють замість них неінфіковані свої частки.

Поліморфік-віруси

Поліморфік-віруси – віруси-примари, які самостійно шифрують свої вірусні коди.

Макровіруси

Це особливий різновид вірусів, який вражає файли, виконані в  деяких прикладних програмах, що мають  так звану мову-макрокоманд, яка  вбудовується в систему обробки  даних. До таких файлів відносять  документи текстового редактора  – Microsoft Word (файли мають розширення DОС). Зараження відбувається при відкритті файлу документа у вікні програми, якщо в ній не відключена можливість виконання макрокоманд. Як і для інших типів вірусів, результат атаки може бути як відносно нешкідливим, так і руйнівним.

3.Найбільш поширені віруси

«Троянський кінь» - це програма, що, маскуючи під корисну програму, виконує доповнюючі функції, про що користувач і не догадується (наприклад, збирає інформацію про імена і паролі, записуючи їх у спеціальний файл, доступний лише творцю даного вірусу), або руйнує файлову систему.

Логічна бомба - це програма, що вбудовується у великий програмний комплекс. Вона нешкідлива до настання визначеної події, після якого реалізується її логічний механізм. Наприклад, така вірусна програма починає працювати  після деякого числа прикладної програми, комплексу, при чи наявності  відсутності визначеного чи файлу  запису файлу і т.д.

Програми-мутанти, самовідтворюючи, відтворюють копії, що явно відрізняються  від оригіналу.

Віруси-невидимки, чи стелс-віруси, перехоплюють звертання операційної  системи до уражених файлів і секторів дисків і підставляють замість себе незаражені об'єкти. Такі ' віруси при звертанні до файлів використовують досить оригінальні алгоритми, що дозволяють «обманювати» резидентні антивірусні монітори.

Макровіруси використовують можливості макромов, убудованих в  офісні програми обробки даних (текстові редактори, електронні таблиці і  т.д.).

По ступені впливу на ресурси  комп'ютерних систем і мереж, чи по деструктивних можливостях, виділяються нешкідливі, безпечні, небезпечні і руйнівні віруси.

 

Нешкідливі  віруси не роблять руйнівного впливу на роботу ПК, але можуть переповняти оперативну пам'ять у результаті свого розмноження.

Безпечні  віруси не руйнують файли, але зменшують вільну дискову пам'ять, виводять на екран графічні малюнки, створюють звукові ефекти і т.д.

Небезпечні  віруси нерідко приводять до різних серйозних порушень у роботі комп'ютера;

Руйнівні - до стирання інформації, повному чи частковому порушенню роботи прикладних програм. Необхідно мати у виді, що будь-який файл, здатний до завантаження і виконання коду програми, є потенційним місцем, куди може упровадитися вірус.

 

4.Антивірусний захист

Масове поширення комп'ютерних  вірусів викликало розробку антивірусних програм, що дозволяють виявляти і знищувати  віруси, «лікувати» заражені ресурси.

В основі роботи більшості  антивірусних програм лежить принцип  пошуку сигнатури вірусів. Вірусна  сигнатура - це деяка унікальна характеристика вірусної програми, що видає присутність  вірусу в комп'ютерній системі.

Звичайно в антивірусні  програми входить періодично обновлювана  база даних сигнатур вірусів. Антивірусна  програма переглядає комп'ютерну систему, проводячи порівняння і відшукуючи відповідність із сигнатурами в базі даних. Коли програма знаходить відповідність, вона намагається вичистити виявлений вірус.

По методу роботи антивірусні  програми підрозділяються на фільтри, ревізора-доктора, детектори, вакцини  й ін.

Програми-фільтри, чи «сторожа», постійно знаходяться в оперативній  пам'яті, будучи резидентними, і перехоплюють усі запити до операційної системи  на виконання підозрілих дій, тобто операцій, використовуваних вірусами для свого розмноження і псування інформаційних і програмних ресурсів у комп'ютері, у тому числі для переформатування твердого диска. Такими діями можуть бути спроби зміни атрибутів файлів, корекції виконуваної СОМ- чи Ехе-файлов, запису в завантажувальні сектори диска й ін.

При кожнім запиті на таку дію  на екран комп'ютера видається  повідомлення про те, яке дія викликана  і яка програма бажає його виконувати. Користувач у відповідь на це повинен  або дозволити виконання дії, або заборонити його. Подібна часто  повторювана «настирливість», що дратує користувача, і те, що обсяг оперативної  пам'яті зменшується через необхідність постійного перебування в ній  «сторожа», є головними недоліками цих програм. До того ж програми-фільтри  не «лікують» чи файли диски, для  цього необхідно використовувати  інші антивірусні програми.

Надійним засобом захисту  від вірусів вважаються програми-ревізори. Вони запам'ятовують вихідний стан програм, каталогів і системних областей диска, коли комп'ютер ще не був заражений вірусом, а потім періодично порівнюють поточне стан з вихідним. При виявленні невідповідностей (по довжині файлу, даті модифікації, коду циклічного контролю файлу й ін.) повідомлення про це видається користувачу.Програми-доктора не тільки виявляють, але і «лікують» заражені чи програми диски, «выкусывая» із заражених програм тіло вірусу. Програми цього типу поділяються на фаги і поліфаги. Останні служать для виявлення і знищення великої кількості різноманітних вірусів.

Програми-детектори дозволяють виявляти файли, заражені одним чи декількома відомими розроблювачам програм  вірусами.

Чи вакцини імунізатори, відносяться до резидентним програм. Вони модифікують програми і диски  таким чином, що це не відбивається на роботі програм, але вірус, від  якого виробляється вакцинація, вважає їхній уже зараженими і не впроваджується в них.

До дійсного часу закордонними і вітчизняними фірмами і фахівцями  розроблена велика кількість антивірусних програм. Багато хто з них, що одержали широке визнання, постійно поповнюються новими засобами для боротьби з вірусами і супроводжуються розроблювачами.

У російських користувачів персональних комп'ютерів відомою популярністю користається антивірусний комплект ЗАТ «Діалог-Наука» - сімейство антивірусних програм Doctor Web.

Комплексний антивірус Doctor Web містить у собі компоненти, що забезпечують різні рівні боротьби з комп'ютерними вірусами :

• для захисту корпоративних  мереж;

• для захисту робочих  станцій;

• для захисту автономних комп'ютерів (домашнє користування);

• для реалізації спеціалізованих  рішень.

Сімейство Doctor Web включає  антивіруси для ряду операційних  систем, включаючи Windows 95/98/Me/NT/2000/XP, DOS, OS/2, Novell NetWare, Linux, FreeBSD, Solaris (Intel) і ін.

Програма-антивірус Doctor Web призначен  для пошуку і виявлення файлових, завантажувальних і файлово-загрузочних вірусів. Особливістю програми є закладені в ній три методи, що дозволяють виявляти віруси: по їх сигнатурі, за допомогою евристичного аналізатора, з використанням емулятора процесора.

Пошук вірусів по сигнатурі ( інша назва цього процесу - сканування вірусів) дозволяє дуже швидко знайти набір вірусних зразків, уже відомих  розроблювачу антивірусної програми. Використання ж евристичного аналізатора  дозволяє виявляти такі віруси, сигнатури  яких відсутні в антивірусній базі. Прийом емуляції процесора забезпечує боротьбу зі складними шифрованими  і поліморфними вірусами.

Особливою властивістю сімейства  програм Doctor Web є модульний принцип  побудови, що забезпечує можливість їхньої роботи на різних програмних платформах. Програма включає оболонку, орієнтовану  на роботу в конкретному середовищі; ядро, що не залежить від середовища, і вірусну базу, регулярно поповнювану. Така структура дозволяє ті самі файли  вірусної бази Doctor Web використовувати  для різних програмних платформ, підключати ядро до різних оболонок і додатків, а також реалізувати механізм автоматичного поповнення вірусних баз і відновлення версій оболонки і ядра через мережу Інтернет.