Компьютерные вирусы: классификация, методы и средства борьбы

     Типы  компьютерных вирусов различаются  между собой по следующим основным признакам:

• среда обитания;
• способ заражения среды обитания;
• степени воздействия;
• особенностям алгоритма

     Среда обитания

     Под «средой обитания» понимаются системные  области компьютера, операционные системы или приложения, в компоненты (файлы) которых внедряется код вируса.

     По  среде обитания вирусы можно разделить на:

• файловые – внедряются в выполняемые файлы (т.е. имеющие расширения COM и EXE);
• загрузочные – внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record);
• файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков;
• сетевые – распространяются по компьютерной сети;
• макро- используя возможности макро-языков, переносят себя из одного зараженного файла (документа или таблицы) в другие.
• скриптовые, являются подгруппой файловых вирусов,  которые написаны на различных скрипт-языках (VBS, JS, BAT, PHP и т.д.) и, либо заражают другие скрипт-программы (командные и служебные файлы MS Windows или Linux), либо являются частями многокомпонентных вирусов.

     Способ  заражения

     Под «способом заражения» понимаются различные  методы внедрения вирусного кода в заражаемые объекты.

     Способы заражения делятся на:

• резидентный – при инфицировании компьютера резидентный вирус оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения и перезагрузки компьютера.
• Нерезидентный – нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

     По  способу заражения  файлов вирусы делятся на:

• перезаписывающие (overwriting)- вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое.;
• паразитические (parasitic) - которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными;
• вирусы-компаньоны (companion)- вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т. е. вирус.
• вирусы-ссылки (link)-также не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.
• вирусы, заражающие объектные модули (OBJ);
• вирусы, заражающие библиотеки компиляторов (LIB);
• вирусы, заражающие исходные тексты программ.

     По  степени воздействия вирусы делятся на:

• Безвредные – не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске);
• Неопасные – ограничиваются уменьшением свободной памяти на диске, графическими, звуковыми и прочими эффектами;
• Опасные – могут привести к серьезным сбоям в работе компьютера;
• Очень опасные – могут привести к потере программ, уничтожению данных, стиранию информации, необходимой для работы компьютера, записанной в системных областях памяти.

     По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия.

• Простейшие вирусы - паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.
• Вирусы-репликаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.
• Вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска.
• Вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов.
• Квазивирусные или «троянские» программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.⁵

     2. Профилактика заражения  компьютера 

     Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.

     Меры  по противодействию компьютерным вирусам  можно разделить на несколько групп:

• профилактика заражения вирусом и уменьшение предполагаемого ущерба от такого заражения;
• методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса;
• способы обнаружения и удаления неизвестного вируса.

     Одним из основных методов борьбы с вирусами является, как и в медицине, своевременная  профилактика. Компьютерная профилактика состоит из небольшого количества правил, соблюдение которых значительно снижает вероятность заражения вирусом и утери каких-либо данных.

     Ниже  перечислены основные правила безопасности, выполнение которых позволяют избегать вирусных атак.⁶

     Правило № 1: нужно защитить компьютер с помощью антивирусной программы и программ безопасной работы в Интернете. Для этого:

• Безотлагательно установить Антивирус Касперского Personal Pro.
• Регулярно обновлять антивирусные базы. 
• Задать настройки для постоянной защиты. Постоянная защита вступает в силу сразу после включения компьютера и затрудняет вирусам проникновение на компьютер.
• Задать настройки для полной проверки компьютера и выполнение ее реже одного раза в неделю.
• Рекомендуется также установить программу Kaspersky Anti-Hacker для защиты компьютера при работе в Интернете.
• Правило № 2: быть  осторожным при записи новых данных на компьютер, для этого:
• Проверять на присутствие вирусов все съемные диски (дискеты, CD диски, флэш-карты и пр.) перед их использованием.
• Осторожно обращаться с почтовыми сообщениями. Не запускать никаких файлов, пришедших по почте, если нет уверенности, что они действительно должны были прийти к вам.
• Внимательно относиться к информации, получаемой из Интернета. Если с какого-либо веб-сайта предлагается установить новую программу, обращать внимание на наличие у нее сертификата безопасности.
• Если копируется из Интернета или локальной сети исполняемый файл, обязательно нужно проверить его Антивирусом Касперского Personal Pro.
• Внимательно относиться к выбору посещаемых Интернет-сайтов. Некоторые из сайтов заражены опасными скрипт-вирусами или Интернет-червями.

     Правило № 3: Нужно внимательно относиться к информации от Лаборатории Касперского.

     В большинстве случаев  Лаборатория Касперского сообщает о начале новой эпидемии задолго  до того, как она достигнет своего пика и, скачав обновленные антивирусные базы, можно защитить себя от нового вируса заблаговременно.

     Правило № 4: с недоверием относиться к вирусным мистификациям - "страшилкам", письмам об угрозах заражения.

     Правило № 5: пользоваться сервисом Windows Update и регулярно устанавливать обновления операционной системы Windows.

     Правило №6: покупать дистрибутивные копии программного обеспечения у официальных продавцов.

     Правило № 7: ограничить круг людей, допущенных к работе на вашем компьютере.

     Правило № 8: для уменьшения риска неприятных последствий возможного заражения:

• Своевременно делать резервное копирование данных. В случае потери данных система достаточно быстро может быть восстановлена при наличии резервных копий.  
• Обязательно создать системную аварийную дискету, с которой при необходимости можно будет загрузиться, используя "чистую" операционную систему.

     3. Методы защиты  от вирусов 

     Несмотря  на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы) .

     1.Программы-детекторы -  позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение.

     Многие  детекторы имеют режимы лечения  или уничтожения зараженных файлов.

     Следует подчеркнуть, что программы-детекторы  могут обнаруживать только те вирусы, которые ей "известны". Но невозможно разработать такую программу, которая  могла бы обнаруживать любой заранее неизвестный вирус.

     Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова - в  ней могут сидеть какой-нибудь новый  вирус или слегка модифицированная версия старого вируса, неизвестные  программам-детекторам.

     Многие  программы-детекторы не умеют обнаруживать заражение "невидимыми" вирусами, если такой вирус активен в  памяти компьютера. Дело в том, что  для чтения диска они используют функции DOS, а они перехватываются  вирусом, который говорит, что все хорошо. Правда, некоторые детекторы пытаются выявить вирус путем просмотра оперативной памяти, но против некоторых "хитрых" вирусов это не помогает. Так что надежный диагноз программы-детекторы дают только при загрузке DOS с "чистой", защищенной от записи дискеты, при этом копия программы-детектора также должна быть запущена с этой дискеты.

     Некоторые детекторы умеют ловить "невидимые" вирусы, даже когда они активны. Для  этого они читают диск, не используя  вызовы DOS. Правда, этот метод работает не на всех дисководах.

     Большинство программ-детекторов имеют функцию "доктора", т.е. они пытаются вернуть  зараженные файлы или области  диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.

     Большинство программ-докторов умеют "лечить" только от некоторого фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые программы  могут обучаться не только способам обнаружения, но и способам лечения  новых вирусов.

     2. Программы-ревизоры -  имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

     Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл AUTOEXEC.BAT. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти поврежденные вирусом файлы.