Лекция 4. Компьютерные вирусы и антивирусные средства
Компьютерный вирус – это программа, способная создавать свои копии, (не обязательно полностью совпадающие с оригиналом), внедрять их в различные объекты систем и сетей и производить определенные действия без ведома пользователя.
Программа, внутри которой находится вирус, называется зараженной или инфицированной. Когда инфицированная программа начинает работу, то сначала управление получает вирус. Вирус заражает другие программы и выполняет запланированные действия. После этого передает управление той программе, в которой он находится. В среднем в месяц появляется около 300 новых разновидностей вирусов.
Симптомы вирусного заражения компьютера:
Замедление работы некоторых программ.
Увеличение размеров файлов, особенно исполняемых.
Произвольное появление не существовавших ранее файлов.
Уменьшение объема доступной ОП, по сравнению с обычным режимом работы.
Внезапные видео и звуковые эффекты.
Зависание ОС.
Запись на диск в непредусмотренный момент времени.
Прекращение работы ранее нормально функционировавших программ.
Классификация вирусов
По способу заражения:
Вирусы делятся на резидентные и нерезидентные
Резидентные – оставляют в ОП свою резидентную часть, которая затем перехватывает обращения неинфицированных программ к ОС и внедряется в них.
Нерезидентные – не заражают ОП, проявляют свою активность однократно при запуске инфицированной программы.
По особенностям алгоритма.
1. Вирусы – компаньоны.
Создают для файлов с расширением EXEновые зараженные файлы с тем же именем, но с расширениемCOM. При запуске программ ОС запускает сначала файлы с расширениемCOM, затем - с расширениемEXE. В результате зараженный файл будет запускаться первым и заражать остальные программы.
Паразитические вирусы.
Изменяют содержимое дисковых секторов или файлов. В эту группу входят все вирусы, не являющиеся компаньонами или червями.
Черви.
Это вирусы, которые распространяются в сети, проникают в память, находят сетевые адреса и рассылают по этим адресам свои копии. Черви уменьшают пропускную способность сети, замедляют работу серверов.
Например, почтовый вирус Melissaстал причиной массовых сбоев в работе почтовых служб во многих странах. Этот вирус маскируется под сообщение электронной почты и при открытии пользователем посылает аналогичные сообщения по первым 50 адресам его адресной книги.
Вирусы типа «троянский конь» (BackDoor-G).
Маскируются под полезную программу. Выполняют разрушительную работу, например, стирают FATтаблицу.
Аналогичными вирусами являются Armageddon, BackOrifice и NetBus, они характерны тем, что представляют собой смесь вирусов и средств взлома защиты компьютерных программ.
Макровирусы.
Используют возможности макроязыков, встроенных в текстовые редакторы и электронные таблицы.
Вирусы, разрушающие “компьютерное железо”.
CIH или “Чернобыль”, срабатывающий 26 апреля (в годовщину чернобыльской катастрофы). Другая версия вируса проявляет свои разрушительные свойства по 26 числам каждого месяца. Написанный программистом с Тайваня «Чернобыль» портит данные на жестком диске и разрушает базовую систему ввода/вывода (BIOS), что делает невозможным загрузку компьютера, что в итоге приводит к необходимости замены микросхемы ПЗУ. Переносчиком вируса является CD-ROM с пиратским ПО.
В Израиле появился вирус Worm.ExploreZip, сочетающий плодовитость «червя» Melissaс разрушительной силой «Чернобыля». Этот вирус также распространяется по электронной почте, но приходит в ответ на реальные сообщения, поэтому не вызывает у пользователя особых подозрений. Вирусное послание содержит файлы, упакованные программой-архиватором ZIP. При попытке разархивирования вирус выдает сообщение об ошибке и заражает компьютер, после чего стирает с жесткого диска все данные.
Антивирусные программы
Эти программы могут обнаруживать только те вирусы, сигнатуры (портреты) которых им известны - помещены в библиотеку программы.
Антивирусные программы подразделяются на:
сканеры;
программы – доктора;
ревизоры;
фильтры;
иммунизаторы.
Сканеры сканируют ОП, диски, выполняя поиск зараженных файлов.
Программы – доктора не только находят зараженные файлы, но и лечат, удаляя из файла тело программы – вируса.
Наиболее известные программы – доктора:
AVP– автор Касперский.
AidTest– автор Лозинский.
DoctorWeb– автор Данилов и др.
AntiVirXP
ADinf– автор Мостовой. Программа не использует сигнатуры вирусов, поэтому эффективна против новых вирусов..
Ревизоры– программы, которые анализируют текущее состояние файлов и системных областей диска, а также сравнивают его с информацией, сохраненной ранее в одном из файлов ревизора. При этом проверяется состояниеFATтаблицы, длина файлов, время создания, атрибуты, контрольные суммы.
Фильтры – это резидентные программы (сторожа), которые оповещают пользователя обо всех попытках какой-либо программы выполнить подозрительные действия. Фильтры контролируют:
обновление программных файлов и системной области диска;
форматирование диска;
резидентное размещение программ в ОП.
Программы – фильтры должны быть установлены при работе в сети Интернет.
Пример: программаVSafe.
Рекомендации.
Перед считывание с носителей информации проверять носитель на вирусы.
Проверять файлы сразу после разархивации.
Не оставлять носители в разъемах при включении и перезагрузки ПК, т.к. это может привести к заражению загрузочными вирусами.
Получив электронное письмо, к которому приложен исполняемый файл, не запускать этот файл без предварительной проверки.
При установке большого программного продукта проверить все дистрибутивные файлы, а после инсталляции повторно произвести проверку на вирус.
Обновлять базы антивирусных программ.
Факторы, определяющие качество антивирусных программ
Качество антивирусной программы определяется несколькими факторами. Перечислим их по степени важности:
Надежность и удобство работы – отсутствие "зависаний" антивируса и прочих технических проблем, требующих от пользователя специальной подготовки.
Качество обнаружения вирусов всех распространенных типов, сканирование внутри файлов-документов/таблиц, упакованных и архивированных файлов. Отсутствие "ложных срабатываний". Возможность лечения зараженных объектов.
Существование версий антивируса под все популярные платформы (DOS, Windows, Linux и т. д.).
Возможность сканирование "налету".
Существование серверных версий с возможностью администрирования сети.
Скорость работы.
Лекция 4. Компьютерные вирусы и антивирусные средства
Что такое компьютерный вирус
Компьютерный вирус это программа, способная создавать свои копии, внедрять их в различные объекты или ресурсы компьютерных систем, сетей и производить определенные действия без ведома пользователя. |
Программа, внутри которой находится вирус, называется зараженной (инфицированной). Когда инфицированная программа начинает работу, то сначала управление получает вирус. Вирус заражает другие программы, а также выполняет запланированные деструктивные действия. Для маскировки вирус активизируется не всегда, а лишь при выполнении определенных условий (время, действие). После того, как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится.
Подобно настоящим вирусам, компьютерные вирусы прячутся, размножаются и ищут возможность перейти на другие ЭВМ.
Какой вред наносят вирусы
Различные вирусы выполняют различные деструктивные действия:
выводят на экран мешающие текстовые сообщения;
создают звуковые эффекты;
создают видео эффекты;
замедляют работу ЭВМ, постепенно уменьшают объем оперативной памяти;
увеличивают износ оборудования;
вызывают отказ отдельных устройств, зависание или перезагрузку компьютера и крах работы всей ЭВМ;
имитируют повторяющиеся ошибки работы операционной системы;
уничтожают FAT-таблицу, форматируют жесткий диск, стирают BIOS, стирают или изменяют установки в CMOS, стирают секторы на диске, уничтожают или искажают данные, стирают антивирусные программы;
осуществляют научный, технический, промышленный и финансовый шпионаж;
выводят из строя системы защиты информации, дают злоумышленникам тайный доступ к вычислительной машине;
делают незаконные отчисления с каждой финансовой операции и т.д.;
Главная опасность самовоспроизводящихся кодов заключается в том, что программы-вирусы начинают жить собственной жизнью, практически не зависящей от разработчика программы. Так же, как в цепной реакции в ядерном реакторе, запущенный процесс трудно остановить.
Что показывает на вирусное заражение
Основные симптомы вирусного заражения ЭВМ следующие:
замедление работы некоторых программ;
увеличение размеров файлов;
появление не существовавших ранее файлов;
уменьшение объема доступной оперативной памяти;
появление сбоев в работе операционной системы;
запись информации на диски в моменты, когда этого не должно происходить.