Компьютерные вирусы и антивирусные программы

КОМПЬЮТЕРНЫЕ ВИРУСЫ И АНТИВИРУСНЫЕ ПРОГРАММЫ

 

Компьютерным  вирусом называется программа (некоторая совокупность выполняемого кода/инструкций), которая способна создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их без ведома пользователя в различные объекты/ресурсы компьютерных систем, сетей и т.д. При этом копии сохраняют способность дальнейшего распространения.

Вирусы можно разделить  на классы по следующим признакам:

по среде обитания вируса;

по способу заражения среды  обитания;

по деструктивным возможностям;

по особенностям алгоритма вируса;

по дополнительной вредоносной  функциональности;

по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, Linux).

По среде обитания вирусы делятся на сетевые, файловые и загрузочные. Сетевые вирусы распространяются по компьютерной сети, файловые - внедряются в выполняемые файлы, загрузочные - в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Record). Также существуют различные сочетания перечисленных классификаций, например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы и часто применяют оригинальные методы проникновения в систему.

Способы заражения делятся на резидентный и нерезидентный. Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время. Некоторые из них оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус.

По  деструктивным возможностям вирусы делят на:

·  безвредные, т.е. не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

·  неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами;

·  опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;

·  очень опасные, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.

По  особенностям алгоритма можно выделить

компаньон-вирусы (companion) - вирусы, не изменяющие файлы. Алгоритм работы которых состоит в том, что они создают для EXE-файлов файлы-спутники, с тем же именем, но с расширением .COM, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, т.е. вирус, который затем запустит и EXE-файл;

  вирусы-“черви” (worm) - вирусы,  распространение которых в компьютерной сети, так же как и компаньон-вирусов, не изменяет файлы или сектора на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).

“паразитические” - все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. В эту группу относятся все вирусы, которые не являются “червями” или “компаньон”.

“студенческие” - крайне примитивные вирусы, часто нерезидентные и содержащие большое число ошибок;

 “стелс”- вирусы (вирусы-невидимки), представляющие собой весьма совершенные программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков и “подставляют” вместо себя незараженные участки информации. Кроме этого, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие “обманывать” резидентные антивирусные мониторы.

 “полиморфик”-вирусы (самошифрующиеся или вирусы-призраки) - достаточно трудно обнаруживаемые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

“макро-вирусы” - вирусы этого семейства используют возможности макро-языков, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время наиболее распространены макро-вирусы заражающие текстовые документы редактора Microsoft Word.

По  дополнительной вредоносной функциональности

бэкдоры — программы, которые устанавливает взломщик на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к системе. При подключении предоставляет какой-либо доступ к системе.

кейлоггеры - это программное обеспечение или аппаратное устройство, регистрирующее различные действия пользователя - нажатия клавиш на клавиатуре компьютера, движения и нажатия клавиш мыши и т.д.

шпионы - программное обеспечение, осуществляющее деятельность по сбору информации о конфигурации компьютера, деятельности пользователя и любой другой конфиденциальной информации без согласия самого пользователя.

ботнеты - это компьютерные сети, состоящие из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или неодобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании.

троянская программа - вредоносная программа, распространяемая людьми, в отличие от вирусов и червей, которые распространяются самопроизвольно; может имитировать имя и иконку существующей, несуществующей, или просто привлекательной программы, компонента, или файла данных (например картинки), как для запуска пользователем, так и для маскировки в системе своего присутствия.

Троянская программа может в  той или иной мере имитировать  или даже полноценно выполнять задачу, под которую она маскируется (в  последнем случае вредоносный код  встраивается злоумышленником в существующую программу).

 

Основные  симптомы вирусного поражения следующие:

· замедление работы некоторых программ;

· увеличение размеров файлов (особенно выполняемых);

· появление не существовавших ранее “странных” файлов;

· уменьшение объема доступной оперативной памяти (по сравнению с обычным режимом работы);

· внезапно возникающие разнообразные  видео и звуковые эффекты.

 

Для защиты от вирусов  необходимо применять специализированные программы. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины.

Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов.

Программы-доктора или фаги – лечат зараженные программы или диски, выкусывая из зараженных программ тело вируса, т.е. восстанавливая программу в том состоянии, в котором она находилась до заражения вирусом.

Программы-ревизоры  сначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояния с исходным. При выявлении несоответствий сообщается пользователю.

Доктора-ревизоры -  это гибриды ревизоров и докторов, т.е. программы, которые не только обнаруживают изменения в файлах и системных областях, но и могут в случае изменения автоматически вернуть их в исходное состояние.

Программы-фильтры  располагаются резидентно в оперативной памяти  компьютера и перехватывают те обращения к операционной системе, которые используются для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.

Программы-вакцины или иммунизаторы модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программ или диски уже зараженными. Эти программы неэффективны и редко используются.

 

Задание

1. Выполните установку с диска антивирусной программы.
2. Установите автоматическое сканирование загружаемых дисков антивирусной программы (по требованию, по расписанию)
3. Выполните проверку на вирус диска С:
4. Произведите обновление антивирусной базы