Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4607 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Южно-Российский государственный технический университет (Новочеркасский политехнический институт) (ЮРГТУ (НПИ))
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
9_Курс лекций МиСЗИ.doc
Скачиваний:
77
Добавлен:
11.04.2015
Размер:
142.85 Кб
Скачать
►Содержание►

Жизненный цикл компьютерных вирусов

Следует различать два основных действия (фазы), выполняемые компьютерным вирусом: размножение и проявление. Размножение обычно является первым и обязательным действием вируса при получении им управления. Фаза проявления, на которой выполняются несанкционированные действия, может чередоваться с размножением, начинаться через определенный (инкубационный) период или при сочетании некоторых условий. Она может заключаться в изощренных визуальных или звуковых эффектах, включать или исключительно состоять из нанесения повреждений файловой системе. Повреждения могут быть массированными, когда, например, стирается FAT и другие системные блоки, или наоборот, распределенными, когда довольно часто выполняются небольшие, трудно обнаруживаемые повреждения.

У ряда вирусов фаза проявления отсутствует, т.е. помимо размножения они никаких несанкционированных действий не выполняют. В то же время, любой вирус обладает рядом побочных эффектов, которые не были предусмотрены при создании вируса, но которые фактически относятся к его проявлениям. Наиболее частым побочным эффектом является зависание операционной системы или потеря работоспособности некоторых (чаще всего резидентных) программ. Другим важным побочным эффектом является появление некоторых "необъяснимых" сообщений операционной системы. Например, если при попытке запуска программы с защищенной дискеты появляется хорошо знакомое любому пользователю MS DOS сообщение Abort, Retry..., то это должно настораживать.

Наряду с указанными действиями, вирус может обладать определенной латентной фазой, в течение которой никаких действий по своему размножению или проявлению не предпринимается. Латентная фаза может быть обусловлена определенным временным периодом (например, определенным месяцем или годом), конфигурацией (например, вирус может активизироваться только при попадании на винчестер) или аппаратными особенностями (например, только на клонах IBM PC).

Длина пути от первоначально зараженной программы до программы, в которой этот вирус был впервые обнаружен, может быть довольно большой. Практика показывает, что обычно в качестве первичного носителя вируса выступает популярная игровая программа или новая версия популярного программного продукта. Вопросы использования программных средств, затрудняющих или делающих невозможным размножение вируса, рассматриваются ниже.

2. Вирусы и операционные системы

Программы-вирусы создаются для ЭВМ определенного типа, работающих с конкретными ОС. Для одних ОС созданы тысячи вирусов. В качестве примера можно привести ОС MS DOS, устанавливаемую на персональные компьютеры.

Привлекательность ОС для создателей вирусов определяется следующими факторами:

• распространенность ОС;

• отсутствие встроенных антивирусных механизмов;

• относительная простота;

• продолжительность эксплуатации.

Все приведенные факторы характерны для MS DOS. Наличие антивирусных механизмов, сложность систем и относительно малые сроки эксплуатации делают задачу создания вирусов трудно решаемой. Поэтому авторы вирусов для Windows, OS/2 часто прибегают к использованию из этих операционных систем хорошо знакомой MS DOS для внедрения вирусов.

Главным недостатком MS DOS является возможность полного и бесконтрольного доступа любой активной программы ко всем системным ресурсам ЭВМ, включая и модули самой ОС.

Операционная система Microsoft Windows 3.1 и ее модификация Microsoft Windows for Workgroups 3.11 не являются самостоятельными ОС, а больше похожи на очень большие программы MS DOS. В этих ОС введены ограничения на доступ к ОП. Каждая программа получает доступ только к своему виртуальному пространству ОП. Доступ же к дискам, файлам и портам внешних устройств не ограничены. Сохраняют работоспособность и загрузочные вирусы, разработанные для MS DOS, так как они получают управление еще до загрузки Microsoft Windows 3.1 ив этот период времени действия их ничем не ограничены.

Слабость защитных функций ОС Microsoft Windows 95/98 также объясняется совместимостью с MS DOS. Эта ОС имеет такую же устойчивость к воздействию вирусов, как и Microsoft Windows 3.1. К тому же в этой ОС получили распространение и макровирусы.

Значительно лучше защищена от вирусов операционная система IBM OS/2. Эта система полностью независима от MS DOS. Все программы, выполняемые в OS/2, работают в отдельных адресных пространствах, что полностью исключает возможность взаимного влияния программ. Существует возможность запретить рабочим программам (несистемным) иметь доступ к портам периферийных устройств. Если ЭВМ с Microsoft OS/2 используется в качестве файл-сервера IBM LAN Server, то с помощью драйвера 386 HPFS можно указывать права доступа к каталогам и файлам. Можно также защитить каталоги от записи в файлы, содержащиеся в них. В этой системе существует возможность выполнения программ MS DOS. Но в OS/2 для вирусов, созданных для MS DOS, гораздо меньше возможностей.

Хорошую защиту от вирусов имеют сетевые операционные системы Microsoft Windows NT.

Вирусофобия и попытки ее эксплуатации

Следует отметить, что в ряде организаций само появление нового вируса вызывает панику, парализуя работу на несколько дней. При отсутствии специалистов в процессе борьбы с попавшим вирусом зачастую выполняется огромный объем ненужной работы, например, переформатирование винчестера. В процессе выгрузки и загрузки информации пользователи сами могут в спешке уничтожить важную информацию.

Поскольку в таких организациях руководство обычно слабо представляет себе принципы действия и эффекты, вызываемые этим классом программ, у программистов появляется возможность использовать вирусы как "отходной вариант" для объяснения каких-то трудностей или причин срыва сроков. Варианты объяснений могут варьироваться от самых примитивных ("Я все сделал(а), а потом пришел вирус и все уничтожил"), до вполне квалифицированных.

Далеко не все повреждения файловой системы, отказы винчестера или оборудования вызываются вирусами. Например, некоторые типы винчестеров имеют довольно низкую надежность и "сыпятся" без всякого вмешательства вирусов. Имеются компьютеры, которые можно загрузить, только дав им прогреться в течение получаса.

В то же время имеется тенденция атрибутировать любое повреждение данных присутствием вируса. Это по сути один из вариантов мании ("вирусомания"), которая подобно печально известной шпиономании ("шпионы под каждой кроватью") имеет социально-психологическую этиологию. Первыми пользу из "вирусомании" научились извлекать электронщики: если компьютер барахлит, а им лень разбираться, то в ход пускается неотразимый аргумент: "Это у вас какой-то вирус".

Данные на июль 2006 г.

Прошло два года с того дня, как гражданин Венгрии Лазло К., автор червя Magold, был признан виновным в незаконном доступе к компьютерным системам (десяткам тысяч компьютерных систем, если быть точным) и приговорен к двум годам условного заключения и выплате штрафа в размере 2400 долларов США.

С тех пор многое изменилось.

1. Поменялась мотивация вирусописателей. Вредоносные программы теперь разрабатываются «конвейерным» способом для «зарабатывания» денег. В дни вынесения приговора Лазло К. этот тренд только оформлялся.

2. Соответствующим образом изменилась тактика киберпреступников. В последнее время наблюдается отказ от массовых рассылок зараженных электронных писем. Глобальные вирусные эпидемии сменились точечными молниеносными атаками, в рамках которых вредоносные программы рассылаются четко ограниченному кругу получателей. Поэтому почтовые черви типа Magold ныне составляют довольно незначительный процент всех перехватываемых вредоносных программ.

Выросли ставки. Вирусописатели начали жить за счет разработки вредоносных программ. Но увеличились и риски. Правоохранительные органы всей планеты научились выслеживать киберпреступников, начали взаимодействовать для их поимки. В результате число арестов и обвинительных приговоров за последние два года ощутимо возросло. На этой неделе стало известно о задержании и Финляндии и Великобритании трёх членов онлайновой группы M00P, подозреваемых в распространении программ-бэкдоров (включая троянец Breplibot) посредством спам-рассылок и использовании их для атак на коммерческие организации.

Учитывая размеры потенциальных криминальных прибылей можно с уверенностью утверждать, что эволюция вредоносных программ в обозримом будущем не остановится. Но также вероятно и то, что мы будем свидетелями всё большего и большего числа арестов и приговоров за разработку и распространение вредоносных программ.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности