Компьютерные вирусы

          Компьютерные вирусы.

 

     Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.

     Несмотря на принятые  во многих странах законы о  борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растёт. Это требует от пользователя знаний о природе вирусов, способах заражения вирусами и защиты от них.

 

          Свойства компьютерных вирусов.

 

     Сейчас применяются персональные компьютеры, в которых пользователь имеет свободный доступ ко всем ресурсам машины. Именно это открыло возможность для опасности, которая получила название компьютерного вируса.

     Формальное определение понятия «компьютерный вирус» до сих пор не придумано, и есть серьёзные сомнения, что оно вообще может быть дано. Многочисленные попытки дать «современное» определение вируса не привели к успеху. Чтобы почувствовать всю сложность проблемы, попробуйте, к примеру, дать определение понятию «редактор». Вы либо придумаете нечто очень общее, либо начнёте перечислять все известные типы редакторов. И то и другое вряд ли можно считать приемлемым. Поэтому мы ограничимся рассмотрением некоторых свойств компьютерных вирусов, которые позволяют говорить о них как об определённом классе программ.

     Прежде всего вирус  – это программа. Такое простое утверждение само по себе способно развеять множество легенд о необыкновенных возможностях компьютерных вирусов. Вирус может перевернуть изображение на вашем мониторе, но не может перевернуть сам монитор.

     Вирус – программа,  обладающая способностью к самовоспроизведению. Такая способность является единственным средством, присущим всем типам вирусов. Они способны создавать собственные копии. Копии вирусов не всегда полностью совпадают с оригиналом и могут вообще с ним не совпадать.

     Вирус не может существовать в «полной изоляции», он может использовать код др. программ, информацию о файловой структуре, имена др. программ. Причина понятна: вирус должен как-то обеспечить программу управления.

 

          Классификация вирусов.

 

     В наст. время известно более 70 000 программных вирусов, их можно классифицировать по следующим признакам:

     -среда обитания;

     -способ заражения  среды обитания;

     -воздействие; 

     -особенности алгоритма.

     В зависимости от  среды обитания вирусы можно разделить на сетевые, загрузочные, файловые и файлово-загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются чаще всего в исполняемые модули. Загрузочные вирусы внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска. Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.    

     По способу заражения  вирусы делятся на резидентные  и нерезидентные. Резидентный  вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения и внедряется в них. Такие вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

     По степени воздействия  вирусы можно разделить на  следующие виды:

     -неопасные, не мешающие  работе компьютера, но уменьшающие  объём свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляется в каких-либо графических или звуковых эффектах;

     -опасные вирусы, которые  могут привести к различным  нарушениям в работе компьютера;

     -очень опасные, воздействие  которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

     По особенностям алгоритма  вирусы трудно классифицировать  из-за большого разнообразия. Простейшие  вирусы – паразитические, они  изменяют содержимое файлов и  секторов диска и могут быть достаточно легко обнаружены и уничтожены. Можно отметить вирусы-репликаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии. Известны вирусы-невидимки, называемые стелс-вирусами, которые трудно обнаружить и обезвредить, т. к. они перехватывают обращения операционной системы к поражённым файлам и секторам дисков и подставляют вместо своего тела незаражённые участки диска. Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Имеются и квазивирусные программы, которые хотя и не способны к самораспространению, но очень опасны, т. к., маскируясь под полезную программу, разрушают загрузочный сектор и файловую структуру дисков.

 

     Пути проникновения вирусов в компьютер.    

 

     Основными путями проникновения вирусов в компьютер являются съёмные диски, а также компьютерные сети. Заражение жёсткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным. Гораздо проще заразить дискету. На неё вирус может попасть, даже если дискету просто вставили в дисковод заражённого компьютера и, например, прочитали её оглавление.

     Вирус внедряется  в рабочую программу таким  образом, чтобы при её запуске  управление сначала передалось  ему и только после выполнения  всех его команд снова  вернулось  к рабочей программе. Получив доступ к управлению, вирус прежде всего переписывает сам себя в другую рабочую программу и заражает её. После запуска программы, содержащей вирус, становится возможным заражение других файлов.

     После заражения программы  вирус может выполнить какую-нибудь диверсию. И не забывает возвратить управление той программе, из которой был запущен. Каждое выполнение заражённой программы переносит вирус в следующую. Таким образом заразится всё программное обеспечение.

 

     Признаки  появления вирусов.

 

     При заражении компьютера  вирусом важно его обнаружить. Для этого следует знать об  основных признаках проявления  вирусов. К ним можно отнести  следующие:

     -прекращение работы  или неправильная работа ранее  успешно функционировавших программ;

     -медленная работа компьютера;

     -невозможность загрузки операционной системы;

     -исчезновение файлов  и каталогов или искажение  их содержимого;

     -изменение даты и  времени модификации файлов;

     -изменение размеров  файлов;

     -неожиданное значительное увеличение кол-ва файлов на диске;

     -существенное уменьшение  размера свободной оперативной  памяти;

     -вывод на экран  непредусмотренных сообщений или  изображений;

     -подача непредусмотренных  звуковых сигналов;

     -частые зависания  и сбои в работе компьютера.

     Следует отметить, что  вышеперечисленные явления необязательно  вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика компьютера.

 

     Обнаружение,  защита и профилактика.

 

     Как обнаружить  вирус.

 

     Итак, некий вирусописатель создаёт вирус и запускает его. Некоторое время вирус, возможно, погуляет вволю, но рано или поздно кто-то заподозрит неладное. Как правило, вирусы обнаруживают обычные пользователи, которые замечают те или иные аномалии в поведении компьютера. Они в большинстве случаев не способны самостоятельно справиться с вирусом, но этого от них и не требуется.

     Необходимо обратиться  к специалистам. Профессионалы изучат  вирус, выяснят, «что он делает», «как он делает», «когда он делает» и пр. В процессе такой работы собирается вся необходимая информация о данном вирусе, в частности, выделяется сигнатура вируса. Для построения сигнатуры обычно берутся наиболее важные и характерные участки кода вируса. Одновременно становятся ясны механизмы работы вируса. Полученная информация позволяет выяснить, как обнаружить вирус. Для этого уточняются методы поиска сигнатур в потенциальных объектах вирусной атаки. Также необходимо определить, как обезвредить вирус, если это возможно, разрабатываются алгоритмы удаления вирусного кода из поражённых объектов. 

 

     Программы  обнаружения и защиты от вируса.  

 

     Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:

     -программы-детекторы;

     -программы-доктора,  или фаги;

     -программы-ревизоры;

     -программы-фильтры;

     -программы-вакцины,  или иммунизаторы.

     Программы-детекторы  осуществляют поиск характерной  для конкретного вируса сигнатуры  в оперативной памяти и в  файлах и при обнаружении выдают  соответствующее сообщение. Недостатком  таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

     Программы-доктора, или  фаги, а также программы-вакцины  не только находят заражённые  вирусами файлы, но и «лечат»  их, т. е. удаляют из файла  тело вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, предназначенные для поиска и уничтожения большого кол-ва вирусов. Наиболее известные из них: Kaspersky Antivirus, Norton Antivirus, Doctor Web.

     Учитывая, что постоянно  появляются новые вирусы, программы-детекторы  и программы-доктора быстро устаревают  и требуется регулярное обновление  версий.

     Программы-ревизоры относятся к самым надёжным средством защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражён вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля, дата и время модификации и другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесённых вирусом. К числу программ-ревизоров относится широко распространённая в России программа Kaspersky Monitor.

    Программы-фильтры, или «сторожа», представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

     -попытки коррекции  файлов с расширениями COM, EXE;

     -изменение атрибутов  файла;

     -прямая запись на  диск по абсолютному адресу;

     -запись в загрузочные  сектора диска;

     -загрузка резидентной  программы.

     При попытке какой- либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, т. к. способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость», а также возможные конфликты с другим программным обеспечением.

     Вакцины- это резидентные  программы, предотвращающие заражение  файлов. Вакцины применяют, если  отсутствуют программы-доктора,  уничтожающие этот вирус. Вакцинация  возможна только от известных  вирусов. Вакцина модифицирует  программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их заражёнными и поэтому не внедрится. В наст. время программы-вакцины имеют ограниченное применение.

     Своевременное обнаружение  заражённых вирусами файлов и  дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.