Компьютерные вирусы: классификация, методы и средства борьбы

Содержание 

Введение……………………………………………………………….….….….….….3

1. Определение и классификация вирусов………………..….…………..…….…… 5

2. Профилактика  заражения компьютера…………..………………...………….…..12

3. Методы защиты  от вирусов………………………………………………………..14

Заключение…………………………………………………………………..……..….21

Список литературы ……………………………………………………….…….........22

 

      Введение 

     С увеличением количества людей, пользующихся компьютером, и возможностей обмена между ними информацией по электронной  почте и через Интернет возросла угроза заражения компьютера, а также порчи или хищения информации вредоносными программами.

     К вредоносному программному обеспечению  относятся сетевые черви, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.

     Основная  масса вирусов и троянских  программ в прошлом создавалась  студентами и школьниками, которые  только что изучили язык программирования, хотели попробовать свои силы, но не смогли найти для них более достойного применения. Значительная часть подобных вирусов их авторами не распространялась, и вирусы через некоторое время умирали сами вместе с дисками, на которых хранились.

     Вторую  группу создателей вирусов также  составляют молодые люди (чаще - студенты), которые еще не полностью овладели искусством программирования. Единственная причина, толкающая их на написание вирусов, это комплекс неполноценности, который компенсируется компьютерным хулиганством. «Хулиганские» вирусы в последние годы становятся все менее и менее актуальными.

     Став  старше и опытнее, многие из подобных вирусописателей попадают в третью, наиболее опасную группу, которая  создает и запускает в мир  «профессиональные» вирусы. Эти тщательно  продуманные и отлаженные программы создаются профессиональными, часто очень талантливыми программистами. Такие вирусы нередко используют достаточно оригинальные алгоритмы проникновения в системные области данных; ошибки в системах безопасности операционных сред; социальный инжиниринг и прочие хитрости. «Профессиональные» вирусы часто выполнены по технологии «стелс» или «призрак»

     Отдельно  стоит четвертая группа авторов  вирусов - «исследователи», довольно сообразительные  программисты, которые занимаются изобретением принципиально новых методов заражения, скрытия, противодействия антивирусам и т. д. Они же придумывают способы внедрения в новые операционные системы. Эти программисты пишут вирусы не ради собственно вирусов, а скорее ради исследования потенциалов «компьютерной фауны». Часто авторы подобных вирусов не распространяют свои творения, однако активно пропагандируют свои идеи через многочисленные Интернет-ресурсы, посвященные созданию вирусов. При этом опасность, исходящая от таких «исследовательских» вирусов, тоже весьма велика - попав в руки «профессионалов» из предыдущей группы, эти идеи очень быстро появляются в новых вирусах.

     Наиболее  опасную категорию вирусописателей  составляют хакеры-одиночки или группы хакеров, которые осознанно или  неосознанно создают вредоносные  программы с единственной целью: получить чужие деньги (рекламируя что-либо или просто воруя их), ресурсы зараженного компьютера (опять-таки, ради денег - для обслуживания спам-бизнеса или организации DoS-а также с целью дальнейшего шантажа).

     Учитывая  эти факты, защита информации от вирусов приобретает исключительно важное значение. По этой причине тема работы: Компьютерные вирусы: классификация, методы и средства борьбы, является актуальной. 

 

      1. Определение и классификация вирусов 

     Компьютерным  вирусом называется программа, способная самостоятельно создавать свои копии и внедряться в другие программы, в системные области дисковой памяти компьютера, распространяться по каналам связи. Целью создания и применения программ-вирусов является нарушение работы программ, порчи файловых систем и компонентов компьютера, нарушение нормальной работы пользователей.

     Компьютерный  вирус - это специально написанная небольшая  по размерам программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), а также выполнять различные нежелательные действия на компьютере.¹

     Программа, внутри которой находится вирус, называется "зараженной". Когда  такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, "засоряет" оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает так же, как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.

     Многие  разновидности вирусов устроены так, что при запуске зараженной программы вирус остается резидентно, т.е. до перезагрузки DOS, в памяти компьютера и время от времени заражает программы  и выполняет вредные действия на компьютере.²

     Компьютерный  вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющих в компьютере дисках. Но некоторые виды файлов вирус может "заразить". Это означает, что  вирус может "внедриться" в  эти файлы, т.е. изменить их так, что  они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.

     Следует заметить, что тексты программ и  документов, информационные файлы без  данных, таблицы табличных процессоров  и другие аналогичные файлы не могут быть заражены вирусом, он может их только испортить.

     Компьютерным  вирусам характерны определенные стадии существования: пассивная стадия, в  которой вирус никаких действий не предпринимает; стадия размножения, когда вирус старается создать  как можно больше своих копий; активная стадия, в которой вирус переходит к выполнению деструктивных действий в локальной компьютерной системе или компьютерной сети.

     По  среде обитания вирусов

     Сетевые вирусы используют для своего распространения команды и протоколы телекоммуникационных сетей.

     Файловые вирусы чаще всего внедряются в исполняемые файлы, имеющие расширение ехе и com, но могут внедряться и в файлы с компонентами операционных систем, драйверы внешних устройств, объектные файлы и библиотеки, в командные пакетные файлы. При запуске зараженных программ вирус на некоторое время получает управление и в этот момент производит запланированные деструктивные действия и внедрение в другие файлы программ.

     Загрузочные вирусы внедряются в загрузочный сектор дискеты или в главную загрузочную запись жесткого диска. Такой вирус изменяет программу начальной загрузки операционной системы, запуская необходимые для нарушения конфиденциальности программы или подменяя, для этой же цели, системные файлы, в основном это относится к файлам, обеспечивающим доступ пользователей в систему.

     Документные вирусы (макровирусы) заражают текстовые файлы редакторов или электронных таблиц, используя макросы, которые сопровождают такие документы. Вирус активизируется, когда документ загружается в соответствующее приложение.³

     По  способу заражения среды обитания

     Резидентные вирусы после завершения инфицированной программы остаются в оперативной памяти и продолжают свои деструктивные действия, заражая другие исполняемые программы, вплоть до выключения компьютера.

     Нерезидентные вирусы запускаются вместе с зараженной программой и удаляются из памяти вместе с ней.

     По  алгоритмом функционирования

     Паразитирующие - вирусы, изменяющие содержимое зараженных файлов. Эти вирусы легко обнаруживаются и удаляются из файла, так как имеют всегда один и тот же внедряемый программный код.

     Троянские кони - вирусы, маскируемые под полезные программы, которые очень хочется иметь на своем компьютере. Наряду с полезными функциями, соответствующими устанавливаемой программе, вирус может выполнять функции, нарушающие работу системы, или собирать информацию, обрабатываемую в ней.

     Вирусы-невидимки  способны прятаться при попытках их обнаружения. Они перехватывают запрос антивирусной программы и либо временно удаляются из зараженного файла, либо подставляют вместо себя незараженные участки программы.

     Мутирующие  вирусы периодически изменяют свой программный код, что делает задачу обнаружения вируса очень сложной.

     Для своевременного обнаружения и удаления вирусов необходимо знать основные признаки появления вирусов в компьютере. К таким признакам относятся:

• отказ в работе компьютера или отдельных компонентов;
• отказ в загрузке операционной системы;
• замедление работы компьютера;
• нарушение работы отдельных программ;
• искажение, увеличение размера или исчезновение файлов;
• уменьшение доступной программой оперативной памяти.

     Каждая  конкретная разновидность вируса может  заражать только один или два типа файлов. Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые  вирусы заражают и файлы, и загрузочные  области дисков. Вирусы, заражающие драйверы устройств, встречаются крайне редко, обычно такие вирусы умеют заражать и исполнимые файлы.⁴

     В последнее время получили распространение  вирусы нового типа - вирусы, имеющие  файловую систему на диске. Эти вирусы обычно называются DIR. Такие вирусы прячут свое тело в некоторый участок диска (обычно - в последний кластер диска) и помечают его в таблице размещения файлов (FAT) как конец файла.

     Чтобы предотвратить свое обнаружение, некоторые  вирусы применяют довольно хитрые приемы маскировки. Наиболее распространенные из них: "невидимые" и самомодифицирующие вирусы.

• "Невидимые" вирусы.

     Многие  резидентные вирусы (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают  обращения DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

                - самомодифицирующие вирусы.

     Другой  способ, применяемый вирусами для  того, чтобы укрыться от обнаружения, - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с  помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а, кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами.

     Чтобы знать, какого рода опасности могут  угрожать нашим данным, полезно знать, какие бывают вредоносные программы и как они работают [3]. В целом вредоносные программы можно разделить на следующие три класса:

• Черви (Worms) - данная категория вредоносных программ для распространения использует уязвимости в сетевой защите. Название этого класса было дано исходя из способности червей "переползать" с компьютера на компьютер, используя сети, электронную почту и другие информационные каналы. Благодаря этому черви обладают исключительно высокой скоростью распространения.
• Вирусы (Viruses) - программы, которые заражают другие программы - добавляют в них свой код, чтобы при запуске зараженного файла получить возможность выполнения несанкционированных действий. Это простое определение дает возможность выявить основное действие, выполняемое вирусом - заражение. Скорость распространения вирусов несколько ниже, чем у червей.
• Троянские программы (Trojans) - программы, которые выполняют на поражаемых компьютерах несанкционированные пользователем действия, т.е. в зависимости от каких-либо условий уничтожают информацию на дисках, приводят систему к "зависанию", воруют конфиденциальную информацию и т.д. Данный класс вредоносных программ не является вирусом в традиционном понимании этого термина (т.е. не заражает другие программы или данные); троянские программы не способны самостоятельно проникать на компьютеры и распространяются злоумышленниками под видом "полезного" программного обеспечения. При этом вред, наносимый ими, может во много раз превышать потери от традиционной вирусной атаки.