2.5.3. Компьютерные вирусы и защита от них

2.5.3.1. Свойства и типы компьютерных вирусов

Компьютерный вирус – небольшая по размерам программа, которая может приписывать себя к другим программам («заражать» их), создавать свои копии и внедрять их в файлы, системные области компьютера и т.д., а также выполнять различные нежелательные действия на компьютере.

Первые вирусы появились в 60-х г.г. Свойства компьютерных вирусов, уподобляющие их естественным вирусам:

• способность к саморазмножению;

• высокая скорость распространения;

• избирательность поражаемых систем;

• способность заражать еще не зараженные системы;

• трудности борьбы с вирусами;

• постоянно увеличивающаяся быстрота появления модификаций (мутаций) и новых поколений вирусов.

Программа, внутри которой находится вирус, называется «зараженной». Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или информацию об их размещении, засоряет оперативную память и т.д.). Для маскировки вируса вредоносные действия могут выполняться не всегда, а только при выполнении определенных условий.

Классификация вирусов:

1. По среде обитания:

Сетевые	Распространяются по компьютерной сети
Файловые	Внедряются в выполняемые файлы
Загрузочные	Внедряются в загрузочный сектор диска (Boot-сектор)

2. По способам заражения:

Резидентные	Находятся в памяти, активны до выключения компьютера
Нерезидентные	Не заражают память, являются активными ограниченное время

3. По деструктивным возможностям:

Безвредные	Практически не влияют на работу; уменьшают свободную память на диске в результате своего распространения
Неопасные	Уменьшают свободную память, создают звуковые, графические и прочие эффекты
Опасные	Могут привести к серьезным сбоям в работе
Очень опасные	Могут привести к потере программ или системных данных

4. По особенностям алгоритма вируса:

Вирусы-«спутники»	Вирусы, не изменяющие файлы, созда­ют для ЕХЕ-файлов файлы-спутники с расширением .СОМ
Вирусы-«черви»	Распространяются по сети, рассылают свои копии, вычисляя сетевые адреса
«Паразитические»	Изменяют содержимое дисковых секторов или файлов
«Студенческие»	Примитив, содержат большое количество ошибок
«Стелс»-вирусы (невидимки)	Перехватывают обращения ОС к пораженным файлам или секторам и подставляют вместо себя незараженные участки
Вирусы-призраки	Не имеют ни одного постоянного участка кода, труднообнаруживаемы, основное тело вируса зашифровано
Макровирусы	Пишутся не в машинных кодах, а на WordBasic, живут в документах MSOffice, переписывают себя в Normal.dot

Способы заражения программ:

1. Метод приписывания – код вируса приписывается к концу файла заражаемой программы, и тем или иным способом осуществляется переход вычислительного порцесса на команды этого фрагмента.

2. Метод оттеснения – код вируса располагается в начале зараженной программы, а тело самой программы приписывается к концу.

3. Метод вытеснения – из середины файла изымается фрагмент, равный по объему коду вируса, и приписываемый к концу. Вирус записывается на освободившееся место. Разновидность метода вытеснения – когда вытесненный фрагмент не сохраняется вообще. Такие программы восстановлены быть не могут.

4. Прочие методы – сохранение вытесненного фрагмента в «кластерном хвосте» файла и т.п.

Признаки проявления вируса:

• прекращение работы или неправильная работа ранее успешно функционировавших программ;

• замедление работы компьютера;

• невозможность загрузки ОС;

• исчезновение файлов или каталогов или искажение их содержимого;

• изменение даты и времени модификации файлов;

• изменение размеров файлов;

• неожиданное значительное увеличение количества файлов на диске;

• существенное уменьшение размера свободной оперативной памяти;

• вывод на экран непредусмотренных изображений или сообщений;

• подача непредусмотренных звуковых сигналов;

• частые зависания и сбои в работе компьютера.

Меры защиты от вирусов:

• общие средства защиты информации (копирование информации, разграничение доступа и профилактические меры;

• специализированные программы.

Разновидности специализированных программ:

1. Программы-детекторы осуществляют поиск характерного для вируса кода (сигнатуры) в оперативной памяти и в файлах. Недостаток – возможность обнаружения только известных вирусов.

2. Программы-доктора или фаги, а также программы-вакцины находят зараженные файлы и удаляют из них тело вируса. Перед лечением дисковых файлов фаги ищут вирусы в оперативной памяти. Фаги, предназначенные для поиска и уничтожения большого количества вирусов, называют полифагами.

3. Программы-ревизоры относятся к самым надежным средствам защиты. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма), дата и время модификации, другие параметры.

4. Программы фильтры (сторожа) представляют собой небольшие резидентные программы, предназначенные для обнаружения подозорительных действий при работе компьютера, характерных для вирусов. Такими действиями являются:

   1. попытки корректировки исполняемых файлов;

   2. изменение атрибутов файла;

   3. прямая запись на диск;

   4. запись в загрузочные сектора диска;

   5. загрузка резидентной программы. При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы фильтры всегда полезны, т.к. способны обнаружить вирус на самой ранней стадии его существования до размножения.

5. Вакцины или иммунизаторы – резидентные программы, предотвращающие заражение файлов. Вакцины применяют, елси отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, что на работе это не отражается, а вирус будет считать соответствующий объект зараженным.