7. Компьютерные вирусы: способы распространения, защита от вирусов.

Термин «компьютерный вирус» впервые употребил сотрудник Лехайского университета (США) Ф. Коэн на конференции по безопас­ности информации в 1984 г., однако еще в работах Н. Винера и Д. фон Неймана исследовались различные виды конечных автоматов, в том числе и самовоспроизводящихся.

Исторически возникновение компьютерных вирусов связано с иде­ей создания самовоспроизводящихся программ — концепцией, уходя­щей своими корнями в 50-е гг.

Предшественниками вирусов были различного рода программы (не­которые из них в виде игр), принцип работы которых заключался в спо­собности саморазмножаться. Уже в начале 60-х гг. появилась «Игра для полуночников», в которой несколько ассемблерных программ, назван­ных «организмами», загружались в память компьютера. Организмы, созданные одним игроком (т. е. принадлежащие к одному виду), дол­жны были уничтожать представителей другого вида и захватывать жиз­ненное пространство. Победителем считался тот игрок, чьи организмы захватывали всю память или набирали наибольшее количество очков. И уже тогда в описании игры термин «вирус» применялся к одному из видов организмов.

Второй этап в развитии вирусов (1986 — 1990) был спровоцирован быстрым ростом производства и резким снижением цен на ПК серии IBM PC. Началом его следует считать 1987 г., когда одновременно в нескольких странах произошли первые эпидемии вирусов. В отличие от первого этапа, когда разработки вирусоподобных программ носили ис­следовательский характер и авторы выполняли эксперименты, заручив­шись согласием пользователей, стараясь внести вклад в системное про­граммирование, второй этап носит характер противостояния пользова­телей безответственным или уголовным элементам.

Самовоспроизводящиеся программы—вирусы препятствуют нормаль­ной работе компьютера, разрушают файловую структуру дисков, нано­сят ущерб хранимой на компьютере информации.

Компьютерный вирус — специально написанная програм­ма, способная самопроизвольно, без ведома пользователя присоеди­няться к другим программам, создавать свои копии и внедрять их в фай­лы, системные области компьютера и в компьютерные сети с целью нарушения работы программ, порчи файловой системы, создания все­возможных помех в работе на компьютере.

Способность к самовоспроизведению характерна для всех типов ком­пьютерных вирусов. При этом копии сохраняют способность дальней­шего распространения

В настоящее время известно более 5000 программных вирусов, их , можно разделить на классы по следующим признакам:

По среде обитания вируса:

• сетевые, распространяющиеся по компьютерным сетям;

• файловые — внедряются главным образом в исполнимые файлы (с расширениями сом, ехе). Файловый вирус может внедряться и в другие типы файлов, но, как правило, в таких файлах он никогда не получает управление и поэтому теряет способность к размножению;

• загрузочные, которые внедряются в загрузочный сектор дис­ка (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Record). Имеются загрузочные вирусы, заражающие только загрузочные сектора дискет или только загру­зочные сектора винчестеров (или главный загрузочный сектор винчестера), но чаще такие вирусы заражают и то и другое;

• файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы и часто применяют оригинальные методы проникновения в систему. Вирусов этого типа не очень много (пример: вирус OneHalf).

По способу заражения среды обитания:

• резидентные вирусы, которые при инфицировании компь­ютера оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы на­ходятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера;

• нерезидентные вирусы, не заражающие память компьюте­ра и являющиеся активными ограниченное время. Некоторые вирусы оставляют в оперативной памяти неболыцие резидентные программы, которые не распространяют вирус.

По деструктивным возможностям (по степени воздействия):

• неопасные вирусы (безвредные вирусы, т. е. никак не влия­ющие на работу компьютера). Их влияние ограничивается умень­шением свободной памяти на диске, а также графическими, зву­ковыми и другими эффектами;

• опасные вирусы, которые могут привести к серьезным сбоям в работе;

• очень опасные вирусы, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия:

• репликаторы (черви — worm), которые распространяют­ся в компьютерной сети. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьюте­ров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оператиЯ' ной памяти);

• паразитические вирусы, которые при распространении сво­их копий обязательно изменяют содержимое дисковых секторов или файлов;

• невидимки, или стелс - вирусы (stealth), представляющие собой весьма совершенные программы, которые перехватывают обращения операционной системы к пораженным файлам или сек­торам дисков и предъявляют вместо себя незараженные участки информации. Для большинства антивирусных программ вирусы, использующие стелс-технологию, — серьезная проблема. Исклю­чением является ревизор дисков Adinf' — уникальная российская программа, одно из замечательных свойств которой — способ­ность обнаруживать маскирующиеся вирусы;

• мутанты, или полиморфные вирусы (самошифрующие­ся, или вирусы-призраки, polymorphic), — достаточно трудно обнаруживаемые вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же вируса-мутанта не будут иметь ни одного совпадения. Это до­стигается шифрованием основного тела вируса и модификациями программы-расшифровщика;

• троянские вирусы, или квазивирусы, - программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разруша­ют загрузочный сектор диска и файловую систему дисков;

• компаньон-вирусы (companion), не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, что они создают для ехе-файлов файлы-спутники, имеющие то же самое имя, но с рас­ширением com. Например, для файла xcopy.exe создается файл xcopy.com. Вирус записывается в corn-файл и никак не изменяет ехе-файл. При запуске такого файла DOS первым обнаружит и вы­полнит corn-файл, т. е. вирус, который затем запустит и ехе-файл;

• студенческие — крайне примитивные вирусы, часто нере­зидентные и содержащие большое число ошибок;

• макровирусы, которые используют возможности макроязы­ков, встроенных в системы обработки данных (текстовые редак­торы, электронные таблицы и т. д.). В настоящее Время наибо­лее, распространены макровирусы, заражающие текстовые доку­менты редактора Microsoft Word.

Основными путями проникновения вирусов в компьютер являются дискеты, лазерные диски и компьютерные сети.

При заражении компьютера вирусом очень важно своевременно его обнаружить. К основным признакам проявления вируса в компьютере можно отнести:

• невозможность загрузки операционной системы;

• медленную работу компьютера;

• изменение размеров файлов или даты и времени модификации файлов;

• существенное уменьшение размера свободной оперативной памяти;

• вывод на экран непредусмотренных сообщений или изображений;

• подачу непредусмотренных звуковых сигналов;

• прекращение работы или неправильную работу ранее успешно функционировавших программ.