Поняття про комп'ютерні віруси та їх класифікація. Антивірусні програми та їх застосування. Профілактика зараження комп'ютерними вірусами.

Комп'ютерний вірус - це спеціально написана, невеличка по розмірам програма (тобто. деяка сукупність виконуваного коду), яка може " приписувати " себе на інших програмах просто ( " заражати " їх), створювати свої копії та активніше впроваджувати в файли, системні області комп'ютера та т.д., а також виконувати різні небажані дії на компьютере.

Програма, всередині якої знаходиться вірус, називається " зараженої " . Коли такі програма починає цю роботу, то спочатку управління отримує вірус. Вірус знаходить і " заражає " інші програми, і навіть виконує якісь шкідливі дії (наприклад, псує файли чи таблицю розміщення файлів на диску, " засмічує " оперативну пам'ять і т.д.). Для маскування вірусу дії з зараженню інших програм, тож шкодять можуть виконуватися який завжди, а, скажімо, і під час певних условий.

Комп'ютерним вірусом називається невелика програма (розмі­ром не більш як 500 байт), що самостійно запускається, багато­разово копіює свій код і впроваджує його у файли, системні об­ласті дисків, обчислювальні мережі тощо. Створені в такий спо­сіб копії вірусу зберігають здатність до подальшого самовідтво­рення і поширення. Об'єкти, у які впроваджуються комп'ютерні віруси, називаються середовищем існування вірусів. Залежно від середовища існування розрізняють такі типи вірусів:

•    Файлові віруси — впроваджуються у файли, що виконуються (ехе, соm, bat), у системні файли Іо.sys і Мsdos.sys, у файли драйверів,   що  завантажуються   (sys,   drv,   vxd),  у  файли бібліотек (dll), а також у файли інших типів. Після впровад­ ження файлові віруси починають розмножуватися при кож­ному запуску файла.

•    Завантажувальні віруси  -  заражають  завантажувальний сектор диска (Вооt-сектор) або системний завантажник вінчестера. Вірус такого типу заміщає собою програму в за­вантажувальному секторі, потрапляє в оперативну пам'ять і одержує управління відразу при завантаженні операційної системи.

•    Файлово-завантажувальні віруси — здатні впроваджуватися як у файли, так і в завантажувальні сектори. До таких вірусів   належать,   наприклад,   стеле-віруси   і   найнебезпечніші екземпляри поліморфних вірусів .

•    Макровіруси —   впроваджуються у файли документів Word та інші файли, підготовлені в додатках, що мають свою мову макрокоманд (наприклад, Ехсеl). Формально ці віруси є файловими, але заражають вони не файли, що викону­ються, а файли даних. Небезпека макровірусів не стільки в їхній руйнівній дії, скільки в поширеності й численності документів, підготовлених у популярних системах World і Ехсеl.

•    Мережні віруси — поширюються по комп'ютерній мережі Особливість цих вірусів полягає в тому, що вони заражають тільки оперативну пам'ять комп'ютерів і не записуються на носії інформації. Якщо який-небудь з окремих комп'ютерів вимикається, то вірус перечікує цей час на інших ввімкне­них комп'ютерах мережі.

Можлива класифікація вірусів не тільки за середовищем їх іс­нування, а й за іншими характеристиками, наприклад, за спосо­бом зараження, руйнівною здатністю, алгоритмом роботи. За способом зараження розрізняють резидентами і нерезидентний віруси. Резидентні віруси потрапляють в оперативну пам'ять і мо­жуть виявляти свою активність аж до вимикання чи перезаванта­ження комп'ютера. Нерезиденти віруси, навпаки, у пам'ять не впроваджуються й активні тільки обмежений час, пов'язаний виконанням певних задач.

Для захисту від вірусів розробляються спеціальні антивірусні програми, що дають змогу виявляти віруси, лікувати заражені файли і диски, попереджати підозрілі дії. Залежно від виконува­них функцій антивірусні програми поділяються на такі види.

- Програми-детектори До таких програм належить відома і популярна в минулі роки програма Aidtest розроблена Д. Лозинським. Детектори більш пізніх розробок містять евристичний аналізатор, здатний виявляти віруси, що ще не були відомі авторам детектора. Прикладом евристичного детектора є потужна антивірусна програма DrWeb І. Дани- лова, що також дає змогу боротися з поліморфними віруса­ми.               .

•    Програми-ревізори. Ці програми контролюють всі уразливi для вірусної атаки компоненти комп'ютера. Вони запам'я­товують відомості про стан файлів і системних областей дисків, а при наступних запусках порівнюють їхній стан з початковим.

•    Програми-сторожі. Програма резидентно розміщується в пам'яті комп'ютера й автоматично перевіряє на наявність вірусів файли, що запускаються, дискети, що вставляються в дисковод. У разі виявлення вірусу програма-сторож може видавати попереджувальне повідомлення, а також може за­ побігти шкідливим діям вірусу.

•    Антивірусні комплекси.  Сучасні  антивірусні  програми  є комплексами, що поєднують у собі функції детектора, реві­ зора і сторожа. До таких комплексів належить відома у світі програма  Norton Antivirus а також пакет AVP. Останній створений у Росії в лабора­торії Є. Касперського і найпопулярніший у країнах СНД.

Ознаки прояви вируса.

При зараження комп'ютера вірусом дуже важливо його знайти. І тому слід знайомитися з основних ознаках прояви вірусів. До них віднести такі: 9. припинення роботи, чи неправильна робота раніше успішно функционировавших програм 10. повільна робота комп'ютера 11. неможливість завантаження ОС 12. зникнення файлів і каталогів чи спотворення їх вмісту 13. зміна дати й часу модифікації файлів 14. зміна розмірів файлів 15. несподіване значне збільшення кількості файлів на диску 16. істотне зменшення розміру вільної оперативної пам'яті 17. висновок на екран непередбачених повідомлень чи вірогідних зображень 18. подача непередбачених звукових сигналів 19. часті зависання і збої у роботі компьютера

Слід зазначити, що названі вище явища необов'язково викликаються присутністю вірусу, а може бути наслідком інших причин. Тому завжди утруднена правильна діагностика стану компьютера.

 

З вірусами можна боротись не тільки після їхньої появи, а й певними профілактичними заходами..

•    Перед використанням сторонніх дискет обов'язково пере­віряйте їх на наявність вірусів. Не запускайте неперевірені файли, що отримані з мережі, по електронній пошті.

•    Необхідно   регулярно   виконувати   копіювання   істотної інформації на зовнішні носії. Під час копіювання на гнучкі диски бажано мати дві резервні  копії через невисоку надійність цих носіїв.

•    Завжди майте під рукою завантажувальну дискету із записа­ною на неї антивірусною програмою. Ця дискета має бути захищена від запису.

•    Періодично перевіряйте всі диски вашого комп'ютера і па­м'яті за допомогою свіжих версій антивірусних програм.

Вчасно поновлюйте свої антивірусні програми, щоб встигну­ти за "творцями" нових вірусів.

 Одне з найавторитетніших «вірусологів» країни Євген Касперський пропонує умовно класифікувати віруси за такими ознаками :

1. по середовища проживання вируса

2. за способом зараження середовища обитания

3. по деструктивним возможностям

4. про особливості алгоритму вируса.

Характеристика антивірусних программ.

Антивірусні програми діляться на: программы-детекторы, програми- доктора, программы-ревизоры, программы-фильтры, программы-вакцины.

Программы-детекторы забезпечують пошук і освоєння виявлення вірусів у оперативної пам'яті і зовнішніх носіях, і за виявленні видають відповідне повідомлення. Розрізняють детектори універсальні і специализированные.

Універсалістські детектори у роботі використовують перевірку незмінності файлів шляхом підрахунку і перевірки еталоном контрольної суми. Недолік універсальних детекторів пов'язані з неможливістю визначення причин спотворення файлов.

Спеціалізовані детектори виконують пошук відомих вірусів з їхньої сигнатуре (повторюваному ділянці коду). Недолік таких детекторів у тому, що вони нездатні виявляти всі відомі вирусы.

Детектор, дозволяє виявляти кілька вірусів, називають полидетектором.

Недоліком таких антивірусних про грам і те, що можуть знаходити ті віруси, які відомі розробникам таких программ.

Программы-доктора (фаги), як знаходять заражені вірусами файли, а й " лікують " їх, тобто. видаляють з файла тіло програми вірусу, повертаючи файли у початковий стан. На початку своєї роботи фаги шукають віруси в оперативної пам'яті, знищуючи їх, і лише для того переходять до " лікуванню " файлів. Серед фагов виділяють полифаги, тобто. программы-доктора, призначені на допомогу пошуку і знищення великої кількості вирусов.

З огляду на, що постійно з'являються нові віруси, программы-детекторы і программы-доктора швидко застарівають, і потрібно регулярне відновлення їх версий.

Программы-ревизоры ставляться до надійним засобам захисту від вірусів. Ревізори запам'ятовують вихідне стан програм, каталогів і системних областей диска тоді, коли комп'ютер не заражений вірусом, та був періодично чи з бажанню користувача порівнюють поточний стан з вихідним. Виявлені зміни виводяться на екран відеомонітора. Як правило, порівняння станів виробляють відразу після завантаження операційній системи. При порівнянні перевіряються довжина файла, код циклічного контролю (контрольна сума файла), дата та палестинці час модифікації, інші параметры.

Программы-ревизоры мають досить розвинені алгоритми, виявляють стелс-вирусы і витрати можуть відрізнити зміни версії перевіреній програми змін, внесених вирусом.

Программы-фильтры (сторожа) являють собою невеличкі резидентные програми, призначені щоб виявити підозрілих дій при роботі комп'ютера, притаманних вірусів. Такими діями можуть являться:

. спроби корекції файлів з розширеннями СОМ і ЕХЕ;

. зміна атрибутів файлов;

. пряма запис на диск з абсолютного адресу;

. запис в завантажувальні сектора диска.

. завантаження резидентной программы.

При спробі будь-якої програми зробити зазначені дії " сторож " посилає користувачеві повідомлення зв пропонує заборонити чи дозволити відповідне дію. Программы-фильтры дуже потрібні, так як здатні знайти вірус самісінькому ранній стадії його існування до розмноження. Але вони не " лікують " файли і диски. Для знищення вірусів потрібно застосувати інші програми, наприклад фаги. До вад програм- сторожів можна віднести їх не " настирливість " (наприклад, вони постійно видають попередження про будь-який спробі копіювання виконуваного файла), і навіть можливим конфліктам з іншим програмним обеспечением.

Вакцини (иммунизаторы) - це резидентные програми, предотвращающие зараження файлів. Вакцини застосовують, якщо відсутні программы-доктора, " і " цей вірус. Вакцинація можливе тільки відомі вірусів. Вакцина модифікує програму чи диск в такий спосіб, щоб це відбивалося з їхньої роботі, а вірус сприйматиме їх зараженими і тому вселиться. Нині программы-вакцины мають обмежений применение.

Суттєвим недоліком таких програм був частиною їхнього обмежені спроби з запобіганню зараження від значної частини різноманітних вирусов.

Основними джерелами вірусів є:

• дискета, на якій знаходяться заражені вірусом файли;

• комп'ютерна мережа, в тому числі система електронної пошти та Internet;

• жорсткий диск, на який потрапив вірус в результаті роботи з зараженими програмами;

• вірус, що залишився в оперативній пам'яті після попереднього користувача.

Звідси випливає, що зараження комп'ютера не відбудеться, якщо:

• на комп'ютері переписуються тексти програм, документів, файли даних системи управління базами даних (СУБД), таблиць табличних процесорів і т. д. (ці файли не є програмами);

• виконується копіювання файлів з однієї дискети на іншу, в разі копіювання зараженого файлу його копія також буде заражена.

Основними ранніми ознаками зараження комп'ютера вірусом є:

• зменшення обсягу вільної оперативної пам'яті;

• сповільнення завантаження та роботи комп'ютера;

• незрозумілі (без причин) зміни у файлах, а також зміни розмірів та дати останньої модифікації файлів;

• помилки при завантаженні операційної системи;

• неможливість зберігати файли в потрібних каталогах;

• незрозумілі системні повідомлення, музикальні та візуальні ефекти і т.д.

Коли вірус переходить в активну фазу можливі такі ознаки:

• зникнення файлів;

• форматування жорсткого диска;

• неспроможність завантаження файлів або операційної системи.

Існує дуже багато різних вірусів. Умовно їх можна класифікувати наступним чином:

1. завантажувальні віруси або BOOT-віруси: заражають boot-сектори дисків. Дуже небезпечні, можуть призвести до повної втрати всієї інформації, що зберігається на диску;

2. файлові віруси: заражають файли. Поділяються на:

   1. віруси, що заражують програми (файли з розширенням .EXE і .COM);

   2. макровіруси: віруси, що заражують файли даних, наприклад, документи Word або робочі книги Excel;

   3. віруси-супутники: використовують імена інших файлів;

   4. віруси сімейства DIR: спотворюють системну інформацію про файлові структури;

3. завантажувально-файлові віруси: здатні вражати як код boot-секторів, так і код файлів;

4. віруси-невидимки або STEALTH-віруси: фальсифікують інформацію прочитану з диска так, що програма, якій призначена ця інформація отримує невірні дані. Ця технологія, яку, інколи, так і називають Stealth-технологією, може використовуватися як в BOOT-вірусах, так і у файлових вірусах;

5. ретровіруси: заражують антивірусні програми, намагаючись знищити їх або зробити непрацездатними;

6. віруси-хробаки: заражують невеликі повідомлення електронної пошти, так званим заголовком, який по своїй суті є всього навсього лише Web-адресою місцезнаходження самого вірусу. При спробі прочитати таке повідомлення вірус починає зчитувати через глобальну мережу Internet своє 'тіло', яке після завантаження починає свою деструктивну дію. Дуже небезпечні, так як виявити їх дуже важко у зв'язку з тим, що заражений файл фактично не містить коду вірусу.

7. Поліморфік - генератори, як і конструктори вірусів, не є вірусами в буквальному значенні цього слова, оскільки в їхній алгоритм не закладаються функції розмноження, тобто відкриття, закриття і запису у файли, читання і запису секторів і т.д. Головною функцією подібного роду програм є шифрування тіла вірусу і генерація відповідного розшифровувача. Звичайні поліморфні генератори поширюються їхніми авторами без обмежень у вигляді файла-архіву.

8. Стелс-віруси тими або іншими засобами приховують факт своєї присутності в системі. Відомі стелс-віруси всіх типів, за винятком Windows-вірусів - завантажувальні віруси, файлові DOS-віруси і навіть макро-віруси. Поява стелс-вірусів, що інфікують файли Windows, є швидше за все справою часу. Завантажувальні стелс-віруси для маскування свого коду використовують два основних способи. Перший із них полягає в тому, що вірус перехоплює команди читання інфікованого сектора і підставляє замість нього неінфікований оригінал. Цей засіб робить вірус невидимим для будь-якої DOS-програми, включаючи антивіруси, недієздатні “лікувати“ оперативну пам'ять комп'ютера. Можливе перехоплення команд читання секторів на нижчому рівні. Другий засіб спрямований проти антивірусів, що підтримують команди прямого читання секторів через порти контролера диску. Такі віруси при запуску будь-якої програми (включаючи антивірус) відновлюють інфіковані сектори, а після закінчення її роботи знову інфікують диск. Оскільки цей вірус перехоплює запуск і закінчення роботи програм, то він повинен перехоплювати також DOS-переривання. З деякими допущеннями стелс-вірусами можна назвати віруси, що вносять мінімальні зміни в інфікований сектор або маскуються під код стандартного завантажувача.

Якщо не вживати заходів для захисту від комп'ютерних вірусів, то наслідки зараження можуть бути дуже серйозними. В ряді країн карне законодавство передбачає відповідальність за комп'ютерні злочини, в тому числі за впровадження вірусів. Для захисту інформації від вірусів використовуються загальні та програмні засоби.

До загальних засобів, що допомагають запобігти зараженню та його руйнівних наслідків належать:

• резервне копіювання інформації (створення копій файлів і системних областей жорстких дисків);

• уникнення користування випадковими й невідомими програмами. Найчастіше віруси розповсюджуються разом із комп'ютерними вірусами;

• перезавантаження комп'ютера перед початком роботи, зокрема, у випадку, якщо за цим комп'ютером працювали інші користувачі;

• обмеження доступу до інформації, зокрема фізичний захист дискети під час копіювання файлів із неї.

До програмних засобів захисту належать різні антивірусні програми (антивіруси). Антивірус - це програма, яка виявляє й знешкоджує комп'ютерні віруси. Слід зауважити, що віруси у своєму розвиткові випереджають антивірусні програми, тому навіть у випадку регулярного користування антивірусів немає 100% гарантії безпеки. Антивірусні програми можуть виявляти та знищувати лише відомі віруси, при появі нового комп'ютерного вірусу захисту від нього не існує до тих пір, поки для нього не буде розроблено свій антивірус. Однак, багато сучасних антивірусних пакетів мають у своєму складі спеціальний програмний модуль, який називається евристичний аналізатор, і який здатний досліджувати вміст файлів на наявність коду, характерного для комп'ютерних вірусів. Це дає змогу вчасно виявляти та попереджати про небезпеку зараження новим вірусом.