Компьютерные вирусы: понятие, история, классификация

Прежде всего, вирус - это программа. Такое простое утверждение само по себе способно развеять множество легенд о необыкновенных возможностях компьютерных вирусов. Вирус может перевернуть изображение на вашем мониторе, но не может перевернуть сам монитор. К легендам о вирусах-убийцах, «уничтожающих операторов посредством вывода на экран смертельной цветовой  гаммы 25-м кадром» также не стоит относиться серьезно.

Вирус - программа, обладающая способностью к самовоспроизведению. Такая способность является единственным средством, присущим всем типам вирусов. Но не только вирусы способны к самовоспроизведению. Любая операционная система и еще множество программ способны создавать собственные копии. Копии же вируса не только не обязаны полностью совпадать с оригиналом, но и могут вообще с ним не совпадать!

Вирус не может  существовать в «полной изоляции»: сегодня нельзя представить себе вирус, который не использует код других программ, информацию о файловой структуре или даже просто имена других программ. передачу себе управления.

§1.3 Классификация вирусов

В настоящее время известно более 7000 программных вирусов, их можно классифицировать по  следующим признакам:

• среде обитания
• способу заражения среды обитания
• воздействию
• особенностям алгоритма

 

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные.

Сетевые вирусы распространяются по различным компьютерным сетям.

Файловые вирусы внедряются главным образом в исполняемые модули, т. е. в файлы, имеющие расширения  COM  и EXE. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению.

Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Re-cord).

Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

По способу заражения вирусы делятся на резидентные и нерезидентные.

Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную (главную) часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т.п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.

Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

 

По степени воздействия вирусы можно разделить на следующие виды:

• неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах
• опасные вирусы, которые могут привести к различным нарушениям в работе компьютера
• очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

Здесь особо стоит отметить классификацию по степени воздействия, приводимую  автором многих книг, посвящённых компьютерным вирусам, А.А.Парандовским.

 Согласно классификации  Парандовского, по степени разрушительности вирусы можно условно разделить на два типа:"иллюзионисты" и "вандалы". Основным приоритетом при конструировании "иллюзионистов" является демонстрация какого-нибудь экзотического звукового или визуального эффекта типа бегающего шарика, осыпающихся букв и т.д. В качестве основного приоритета при конструировании "вандалов" является обеспечение как можно более скрытого размножения.

При этом наблюдается интересная взаимосвязь: если вирус демонстрирует нетривиальный визуальный или звуковой эффект, то скорее всего он не выполняет массированного разрушения данных. Поэтому, если неизвестный вирус демонстрирует какой-то изощренный эффект, то повышаются шансы на то, что он не выполняет массированных разрушений файловой системы.

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия.

Простейшие вирусы - паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.

Можно отметить вирусы-репликаторы, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.

Известны вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов.

 

§1.4 Особые типы компьютерных вирусов

Троянский конь – это программа, содержащая в себе некоторую разрушающую функцию, которая активизируется при наступлении некоторого  условия срабатывания. Обычно такие программы маскируются под какие-нибудь  полезные утилиты. Вирусы могут нести в себе троянских коней или "троянизировать" другие программы – вносить в них разрушающие функции.

«Троянские кони» представляют собой программы, реализующие помимо  функций, описанных в документации, и некоторые другие функции, связанные  с  нарушением безопасности и деструктивными действиями. Отмечены случаи  создания таких программ с целью облегчения распространения вирусов. Списки  таких программ широко публикуются  в зарубежной печати. Обычно они  маскируются под игровые или развлекательные программы.

Программные закладки также содержат некоторую функцию, наносящую ущерб операционной системе, но эта функция, наоборот, старается быть как можно незаметнее, т.к.  чем дольше программа не будет вызывать подозрений, тем дольше закладка  сможет работать.

Если вирусы и «троянские кони» наносят ущерб посредством  лавинообразного саморазмножения  или явного разрушения, то основная функция вирусов типа «червь»,  действующих в компьютерных сетях, – взлом атакуемой системы, т.е.  преодоление защиты с целью нарушения  безопасности и целостности.

Червями называют вирусы, которые распространяются по глобальным  сетям, поражая целые системы, а не отдельные программы. Это самый опасный вид вирусов, так как объектами нападения в этом случае становятся  информационные системы государственного масштаба. С появлением  глобальной сети Internet этот вид нарушения безопасности представляет  наибольшую угрозу, т. к. ему в любой момент может подвергнуться любой из компьютеров, подключенных к этой сети.

 

 

 

 

 

 

 

 

 

Глава 2. Пути проникновения компьютерных вирусов в

                компьютер и способы защиты от

                компьютерных вирусов

 

§2.1 Пути проникновения компьютерных вирусов в компьютер

    Основными путями проникновения вирусов в компьютер являются:

• лазерные диски
• внешние запоминающие устройства
• компьютерные сети

 Вирус, как правило,  внедряется в рабочую программу  таким образом, чтобы при ее  запуске управление сначала передалось  ему и только после выполнения  всех его команд снова вернулось  к рабочей программе. Получив  доступ к управлению, вирус, прежде  всего, переписывает сам себя  в другую рабочую программу  и заражает ее. После запуска  программы, содержащей вирус,  становится возможным заражение  других файлов.

Наиболее часто вирусом  заражаются загрузочный сектор диска  и исполняемые файлы, имеющие  расширения EXE, COM, SYS, BAT. Крайне редко  заражаются текстовые файлы. После заражения программы вирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь внимания. И, наконец, не забывает возвратить управление той программе, из которой был запущен. Каждое выполнение зараженной программы переносит вирус в следующую. Таким образом, заразится все программное обеспечение.

 

 

 

§2.2 Признаки появления компьютерных вирусов и основные эффекты, используемые вирусами

При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:

• отказ в выполнении той или иной функции (например, блокировка вирусом комбинации клавиш Ctrl+Alt+Del, дающих возможность остановить выполняемые процессы и перезагрузить систему);
• выполнение действий, не предусмотренных программой (например, изменение данных в каком-либо файле);
• разрушение отдельных файлов или всей файловой системы в целом (форматирование диска, удаление файла);
• выдача ложных, раздражающих или отвлекающих сообщений (например «Non system disk»);
• создание звуковых и визуальных эффектов (например, падение букв, замедление выполнения программ, проигрывание мелодий);
• инициирование ошибок или сбоев в программе или операционной системе, «зависание» или самопроизвольная перезагрузка операционной системы;
• блокирование доступа к системным ресурсам (разрастание заражённых файлов за счёт их многократного повторного заражения, невозможность изменения параметров заражённой программы, замедление работы компьютера путём выполнения специальных процессов);
• имитация сбоев аппаратуры (например, «зависание» компьютера через некоторое время после перезагрузки операционной системы);
• шифрование информации на жёстком диске (это происходит вследствие «борьбы за выживание»-при удалении самого вируса пользователь не сможет пользоваться зашифрованными данными);

Следует отметить, что вышеперечисленные  явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому  всегда затруднена правильная диагностика  состояния компьютера.

 

 

§2.3 Методы защиты от компьютерных вирусов

Каким бы ни был сам вирус  и каким бы путём он ни попал  в компьютер, необходимо знать основные методы защиты хранимой информации от компьютерных вирусов.

Для защиты от вирусов можно  использовать:

• общие средства защиты информации, которые полезны также и как

    страховка от физической порчи дисков, неправильно работающих

     программ или ошибочных действий пользователя;

• профилактические меры, позволяющие уменьшить вероятность заражения;
• специализированные программы для защиты от вирусов;

Стоит отметить, что общие  средства защиты информации полезны  не только для защиты от вирусов. Имеются  две основные разновидности этих средств:

• копирование информации - создание резервных копий файлов;
• ограничение доступа - создание на одном компьютере профиля ещё одного пользователя, доступ к системным файлам в котором ограничен.

 

§2.4  Проблемы борьбы с компьютерными вирусами

Распространение вирусов  по электронной почте (возможно, наиболее многочисленных и вредоносных) можно было бы предотвратить недорогими и эффективными средствами без установки антивирусных программ, если бы были устранены дефекты программ электронной почты, которые сводятся к выполнению без ведома и разрешения пользователя исполняемого кода, содержащегося в письмах.

Обучение пользователей  может стать эффективным дополнением  к антивирусному программному обеспечению. Простое обучение пользователей  правилам безопасного использования  компьютера (например, не загружать и не запускать на выполнение неизвестные программы из Интернета) снизило бы вероятность распространения вирусов и избавило бы от надобности пользоваться многими антивирусными программами.

Пользователи компьютеров  не должны всё время работать с  правами администратора. Если бы они  пользовались режимом доступа обычного пользователя, то некоторые разновидности  вирусов не смогли бы распространяться (или, по крайней мере, ущерб от действия вирусов был бы меньше).

Метод обнаружения вирусов  по поиску соответствия в словаре  не всегда достаточен из-за продолжающегося  создания всё новых вирусов, метод  подозрительного поведения не работает достаточно хорошо из-за большого числа  ошибочных решений о принадлежности к вирусам незаражённых программ. Следовательно, антивирусное программное  обеспечение в его современном  виде никогда не победит компьютерные вирусы.