• Компьютерные вирусы: происхождение, реальная угроза и методы защиты. Что такое компьютерный вирус? Виды компьютерных вирусов. Защита от компьютерных вирусов

    В сети существует огромное количество вредоносных программ и вирусов, которые могут влиять на работу компьютера разнообразными способами. Одни уничтожают ваши файлы, другие используют ваши данные на сайтах, о которых вы и знать - не знаете. Многие антивирусные программы не всегда могут справиться с возникающими проблемами. Вследствие чего и возникают признаки заражения компьютера вирусом.

    — это небольшие программы, которые распространяются с компьютера на компьютер и вмешиваются в работу операционной системы.

    Вирусы действуют только программным путем. Они, как правило, присоединяются к файлу или проникают в тело файла. В этом случае говорят, что файл заражен вирусом.

    Вирус попадает в компьютер только вместе с зараженным файлом. Для активизации вируса нужно загрузить зараженный файл, и только после этого, вирус начинает действовать самостоятельно.

    Вирус может заразить компьютер, повредить или удалить данные на нем, распространиться на другие системы с помощью вашей программы электронной почты и даже уничтожить все, что находится на жестком диске.

    Действие вирусов может проявляться по разному: от разных визуальных эффектов, мешающих работать, до полной потери информации. Большинство вирусов заражают исполнительные программы, то есть файлы с расширением.EXE и.COM (заражение компьютера вирусом можно «подхватить» из Интернета вместе с нелицензионным программным обеспечением или другими файлами и программами), хотя в последнее время большую популярность приобретают вирусы, распространяемые через систему электронной почты. Поэтому очень важно никогда не открывать вложения, если вы не ожидали их получить или не знаете, от кого они.

    Заражение компьютера может происходить под видом картинок, ссылок на них, поздравительных открыток, звуковых и видеофайлов.

    Кстати, есть некоторые характерные признаки поражения вирусом через почту:

    • друзья или знакомые говорят вам о сообщениях от вас, которые вы не отправляли;
    • в вашем почтовом ящике находится большое количество сообщений без обратного адреса и заголовка.

      Следует отметить, что не всегда такие признаки вызываются присутствием вирусов. Иногда они могут быть следствием других причин. Например, в случае с почтой зараженные сообщения могут рассылаться с вашим обратным адресом, но не с вашего компьютера.

    Пользователям часто советуют использовать антивирус для проверки ПК на наличие вирусов, но, к сожалению, сегодня этого уже недостаточно. Часто, для того чтобы определить, заражен ли компьютер вирусом, необходимо понимать основы компьютерной безопасности. Однако многие начинающие пользователи либо совсем не разбираются, либо мало что понимают в этой проблеме. Несмотря на то, что многие вирусы разрабатываются таким образом, чтобы их невозможно было обнаружить, все-таки существуют некоторые признаки, по которым можно определить, существует ли угроза системе.

    Признаки заражения компьютера вирусом:

    1. Компьютер «разговаривает» : появляется множество всплывающих окон и сообщений о том, что компьютер заражeн, находится в опасности и нуждается в защите… Это верный признак того, что компьютер заражeн, возможно, даже лже-антивирусом (иногда его называют «rogueware»).

    2. Снижение производительности . Компьютер стал медленно работать, Интернет «виснуть», программы стали открываться дольше обычного — : это может быть признаком многих проблем, включая инфицирование компьютера вирусом. .

    Если система заражена вирусом (например, Трояном), то компьютер автоматически запускает много лишних программ. Из-за этого система работает значительно медленнее, чем обычно.

    3. Программы не загружаются: Сколько раз вы пытались запустить приложения из меню или с рабочего стола, но ничего не происходило? А может вместо нужной открывалась совершенно другая программа? Или появляются предупреждения об ошибках.
    Как и в предыдущем случае, это еще не значит, что ваш компьютер точно заражен. Возможно, причина в другом. Но, в любом случае, это сигнал, что что-то не так.

    4. Вы не можете подключиться к Интернету или он работает слишком медленно. Отсутствие подключения к Интернету - еще один частый признак заражения компьютера (хотя, возможно, это просто перебои в работе провайдера). Также бывает, что Интернет работает, но значительно медленнее, чем обычно. Если компьютер заражeн, вирус может автоматически подключаться к Интернету, снижая пропускную способность, или может сделать подключение к сети невозможным.

    5. При подключении к Интернету открываются различные окна, или браузер отображает страницы, которые вы не открывали. Это верный признак заражения. Многие вирусы перенаправляют трафик на определенные сайты против вашей воли. Также они могут подделывать веб-страницы, тогда пользователь думает, что просматривает надежный сайт, а на самом деле - его опасную имитацию.

    6. Пропали файлы — исчезновение файлов и каталогов или искажение их содержимого. Существуют вирусы, которые удаляют, шифруют данные или переносят их из одного места в другое…Если с вами такое произошло, есть повод для беспокойства…

    7. Изменения внешнего вида и размеров файлов . Непонятные (без причин) изменения в файлах, а также изменения размеров и даты последней модификации файлов. Увеличение или уменьшение количества файлов на внешнем или жестком носителе;

    8. Антивирус исчез, а брандмауэр заблокирован… Другой распространённый признак угрозы - блокировка системы защиты (антивируса, брандмауэра, и т.д.), которые установлены на компьютере. Однако нужно иметь в виду: если внезапно перестало работать только что-то одно, то, возможно, это - специфическая ошибка данного ПО. А если перестали работать все компоненты системы безопасности, то, скорее всего, ваш компьютер заражен вирусом.

    9. Компьютер использует непонятный язык. Если язык некоторых приложений поменялся, экран некорректно отображает файлы, ваш компьютер точно заражен.

    10. Сохраненные файлы игр, программ и др. пропали из компьютера. Это опять же может быть признаком инфицирования вирусом. Хотя, возможно, причина заключается в неполной или неправильной установке программ.

    11. Компьютер буквально сошел с ума! Если компьютер действует сам по себе, система отправляет письма без вашего ведома, разные сайты открываются самостоятельно, то ваш компьютер инфицирован. Следует обратить внимание на непонятные системные сообщения, музыкальные и визуальные эффекты и т.д. Явный признак наличия вируса на вашем компьютере — появление самозагружающихся программ, сообщений или изображений.

    12. Сокращение размеров свободной оперативной памяти . На жестком диске резко уменьшилось свободное место, хотя вы уверены, что ничего нового не записывалось

    13.Ошибки при загрузке операционной системы — невозможность загрузки файлов или операционной системы

    14. Невозможность сохранять файлы в нужных каталогах .

    15. Интернет-браузер «зависает» или ведет себя неожиданным образом (например, окно программы невозможно закрыть). Или сама по себе меняется стартовая страница браузера

    16. Частое обращение к жесткому диску (часто мигает лампочка на системном блоке)

    Этот список можно долго продолжать и все равно он будет не полный. Каждый вредоносный код может проявить себя совершенно неожиданно. Но общее у них одно — необычное «поведение» компьютера.

    Чем больше вы заметили таких отклонений в работе компьютера, тем выше вероятность, что компьютер заражен вирусом.

    В 90% случаев наличие косвенных симптомов вызвано сбоем в аппаратном или программном обеспечении. Несмотря на то, что подобные симптомы с малой вероятностью свидетельствуют о заражении, при их появлении рекомендуется провести полную проверку вашего компьютера.

    Современные вирусы не так страшны, как их предшественники. Улучшенные механизмы защиты операционных систем часто не позволяют им творить тот же беспредел, что и раньше (например, форматирование винчестера). Вирусы и атаки мошенников теперь в основном направлены на получение финансовой выгоды или управление компьютером пользователя, но не на уничтожение данных. При этом для выполнения перечисленных задач не всегда даже требуется вирус, нередко достаточно правильно составленного письма или SMS, чтобы его получатель сам отправил сведения о кредитной карте или другую конфиденциальную информацию злоумышленникам. В базе сигнатур большинства антивирусов содержится несколько миллионов записей о различных вирусах, однако серьезную угрозу составляют не более 10 разных видов атак.

    Основные признаки заражения вирусом-вымогателем :

    Что делать при наличии признаков заражения

    Если вы заметили, что ваш компьютер "ведет себя подозрительно" -- не паникуйте! Не поддаваться панике - золотое правило, которое может избавить вас от потери важных данных и лишних переживаний.

    Если в процессе проверки вирусы найдены не были , а признаки, испугавшие вас, относились к разряду косвенных, скорее всего у вас нет повода для волнения. Проверьте программное и аппаратное обеспечение, установленное на компьютере (удалите нелицензионные программы и ненужные файлы), и установите последние обновления операционной системы (установите патчи для Windows, воспользовавшись сервисом Windows Update, а лучше скачайте эти обновления вручную, отдав приориет критическим обновлениям безопасности ) и прикладных программ.

    Во всех вышеперечисленных случаях, а также при малейшем подозрении, что Ваш компьютер заражён, следует подобрать альтернативные решения безопасности вместо тех, что уже установлены на вашем компьютере. Если Вы сомневаетесь в безопасности своего ПК, лучше обратиться к специалисту. Это сохранит все нужные файлы и программы на вашем компьютере.

    По материалам www.molnet.ru, www.mihafilm.narod.ru, www.windxp.com.ru

    Все слышали про компьютерные вирусы, но мало кто знает о них что-то конкретное. Эта статья исправит это и позволит вам чувствовать себя увереннее выходя в глобальную сеть. Вы узнаете о том, какие бывают вирусы и как сделать так, чтобы компьютер никогда ими не заболел, а так же как вылечить свой ПК.

    Виды компьютерных вирусов

    Существуют вирусы, созданные с целью позабавиться, которые могут заставить курсор бегать по вашему экрану или вывести какую-нибудь пошлую картинку на экране, но все это не приносит вреда, только раздражает. Другое дело специальные программы, созданные с целью похищения денег, личной информации или полным её уничтожением.

    Существует «почти» официальная классификация, которая подскажет какие бывают вирусы и, для наглядности, разделяет их:

    1. По поражаемым объектам (сценарные, файловые,загрузочные, вирусы поражающие исходный код).
    2. По механизму заражения.
    3. По поражаемым операционным системам (UNIX, LINUX, WINDOWS, DOS).
    4. По технологиям, используемым вредоносным ПО (Полиморфные вирусы, руткиты, стелсы).
    5. По языку, на котором был написан вирус (низкоуровневые, высокоуровневые языки программирования, сценарные, скриптовые языки).
    6. По дополнительной вредоносной функциональности (шпионы, бэкдоры, бот-неты).

    Эта классификация позволяет, более-менее, все разложить по полочкам, однако она далеко не идеальна. Сегодня существует огромное количество неизвестных вирусов, создаваемых каждый день и функциональность их постоянно меняется. Поэтому не получится создать точное разделение в этой области.

    В среде огромного количества программ способных заразить ваш ПК существуют такие о которых слышал чуть ли не каждый пользователь интернета, такие как:

    Это самые известные вредоносные программы (алгоритмы), которые принесли много вреда и от которых придумали большое количество средств защиты. Однако это далеко не все существующие и известные на сегодняшний день! Для полноты статьи приведу более полный список известных вредоносных программ:

    Их много и это плохо… Но мы ведь еще со школы помним, что действие вызывает противодействие и в этом случае добрые люди создали средства защиты, давайте о них поговорим. Правда сначала рекомендую посмотреть вот этот документальный фильм для общего развития в этой теме:

    Компьютерные вирусы и защита от них

    В интернете много опасностей, но они нам не страшны, если мы будем делать все осмысленно и разумно. Для начала основные моменты:

    • Поставить себе хороший антивирус от известной компании с автообновлениями.
    • Пользоваться только проверенными программами от известных компаний (разумеется за хорошие деньги).
    • Не стоит давать всем подряд свою флэшку или переносной жесткий диск.

    В большинстве случаев этого хватит навсегда. Правда дополнительные меры защиты не помешают:

    • Пользуйтесь компьютером только с правами пользователя, если не знаете как правильно работать с компьютером будучи администратором.
    • Не открывайте и, желательно, не скачивайте файлы с неизвестных ресурсов.
    • Делайте резервные копии важных файлов, на случай если вдруг вас все-таки найдет вирус.

    Как вылечить вирус в компьютере

    Если даже вы не уверены в заражении, но есть подозрения, тогда не стоит медлить. Для начала отключите компьютер от интернета, чтобы похищенные (если такие есть) данные не смогли попасть в руки злоумышленников. Затем перенесите все важные файлы на внешний носитель (флешку), предварительно проверив на наличие вирусовфайлы и сам носитель. После этого запустите полную проверку компьютера на наличие заражения с помощью антивирусной программы.

    После чего, даже если проверка не выявила угроз, стоит переустановить операционную систему и опять проверить компьютер на наличие заражения. В 99 случаях из 100 этого достаточно для полного выздоровления компьютера.

    Заключение

    Компьютерные вирусы — это неприятная проблема, которая может коснуться каждого. Но не стоит этого бояться и ждать дня, когда вам придется лечить ПК, потому что,скорее всего, этот день никогда не наступит. Соблюдайте элементарные правила и вам не придется терять свои нервы и время в будущем.

    Каждый из нас хотя бы раз в жизни сталкивался с компьютерным вирусом. И хорошо, если вредитель оказался слабым. С простым вирусом легко справится антивирусник. А вот более серьезное программное обеспечение, которое обычно используют хакеры, может нанести непоправимый ущерб всей системе и личным данным.

    Понятие

    Что такое компьютерный вирус, знают многие. Но не все до конца понимают его роль и возможности. Этот тип вредоносного программного обеспечения легко может копировать себя, проникать в код других приложений, нарушать работоспособность системных структур памяти и загрузочных секторов, распространяться по разным каналам связи.

    Многие неопытные пользователи считают, что задача вируса - повреждение или удаление личных данных. На деле же это не так. Конечно, виды компьютерных вирусов бывают разные, но чаще всего их основная цель - распространение вредоносного ПО. А вот сопутствующие действия - это как раз удаление информации, повреждение элементов данных, блокировка функционирования и многое другое.

    Важно понимать, что компьютерный вирус не всегда управляемый. Поэтому, если хакер и не хотел создавать вредоносные элементы, ПО все равно может навредить системе из-за оплошностей, которые были допущены во время разработки, а ОС и другие приложения просто могут не регистрировать подобные ошибки.

    Неопытные пользователи часто называют вирусами любое вредоносное ПО. Это не совсем правильно, поскольку конкретно вирусы - лишь вид подобного программного обеспечения.

    Рождение

    Когда специалисты разрабатывали самовоспроизводящиеся вирус — не знал никто. Но именно подобные разработки стали основой для его формирования.

    Перед тем как создать самовоспроизводящиеся механизмы, нужно было заложить алгоритмы теории. Этим занимался Джон фон Нейман. Уже в 1951 году он открыл способы создания такой программы.

    Его идею поддержали многие специалисты и начали активную публикацию, которая была посвящена разработке самовоспроизводящейся системы.

    В одной из статей была представлена первая механическая конструкция подобного типа. Так люди смогли узнать о двумерной модели структур, которые могли бы самостоятельно активироваться, захватывать и освобождаться.

    Подобная самовоспроизводящаяся программа была несовершенна за счет того, что виртуальное «существо» погибало из-за отсутствия подачи тока на платформу.

    Игра без правил

    Еще одной попыткой разработать первые компьютерные вирусы стало изобретение необычной головоломки под названием «Дарвин». В начале 60-х годов ученые одной американской фирмы создали ряд утилит, которые назвали «организмами». Софт нужно было загрузить в архивы компьютера. «Организмы», которые были сформированы одним игроком, должны были поглотить вражеские «организмы» и забрать их территорию. Выигрывал тот, кто отбирал всю память или накапливал большее количество баллов.

    Попытки

    Многие полагают: человечество узнало, что такое компьютерный вирус уже к 70-м годам XX века. Но все же нельзя назвать самовоспроизводящиеся программы или игры типа «Дарвин» вирусами. Настоящие «вредители» стали известны гораздо позже и были намного влиятельнее и опаснее.

    Самый создали в начале 80-х годов. После этого началось активное развитие вредоносного ПО. В итоге, вместе с Elk Cloner появляется вирус Джо Деллинджера, проект «Грязная дюжина», а следом и ряд антивирусных утилит.

    Был первым, кто показал миру загрузочный вирус. Elk Cloner был разработан специально для Apple II. Отыскать «вредителя» можно было сразу при загрузке системы: появлялось сообщение с небольшим стихотворением, в котором вирус угрожал юзеру потерей личных файлов, нарушением системной работы и невозможностью удаления.

    Начинает свою деятельность и Джон Деллинджер. Он тоже разработал вирус для Apple II. Специалист так хотел быть первым, что упустил одну из вредоносных программ. Она стала «расползаться» по всему университету. Один из секторов анализа памяти легко обнаруживал ее. Хотя обычный пользователь найти этот раздел в системе не смог бы.

    Вирус Джона Деллинджера подавлял графику одной известной головоломки. В итоге, спустя полмесяца все «пиратские» версии были «сломаны». Чтобы исправить ошибку, разработчик создал еще один вирус, который исправлял предыдущую версию.

    Развитие

    Уже к 1984 году многие специалисты стали понимать, что такое компьютерный вирус. Была выпущена первая исследовательская статья, которая поднимала вопросы и проблемы системного заражения. Несмотря на то что сам термин был предложен куратором автора статьи, именно исследователя Коэна называют автором данного термина.

    Защитная реакция

    Когда многие стали понимать, что такое компьютерный вирус, выяснилось, что есть потребность создать защиту системы от него. Первой антивирусной программой оказалась разработка Энди Хопкинса. Подобная утилита уже с 1984 года анализировала текст загрузочного файла, указывала на все сомнительные элементы кодов и уведомлений.

    В свое время она оказалась самой простой и эффективной. Программа могла перенаправлять процессы записи и форматирования, которые происходили через BIOS. При этом она разрешала юзеру вмешиваться в операции.

    Системные катастрофы

    К концу восьмидесятых годов был выпущен дешевый ПК IBM. Его появление стало толчком для разработки более масштабных вирусов. Поэтому за короткий период случились три крупные системные катастрофы.

    «Мозговой штурм» и «гость» из Иерусалима

    Естественно, эпидемии компьютерных вирусов до этого не случались. Поэтому борьба с ними оказалось непростой. Первая атака произошла благодаря вирусу Brain, который разработали два брата еще в 1986 году. А уже на следующий год он был запущен на все компьютеры.

    Сейчас сложно сказать, насколько масштабной была эпидемия. Известно лишь, что вирус затронул более 18 тысяч систем. Как оказалось позже, братья не хотели никому навредить. Вирус должен был наказать «пиратов», которые воровали программное обеспечение. Но что-то пошло не так, и Brain коснулся не только самого Пакистана, а и пользователей по всему миру. Многие специалисты познакомились с первым стелс-вирусом, который менял зараженный сектор на его целостной оригинал.

    С вирусом Brain связывают и вредителя, который известен как Jerusalem. В конце 80-х годов от него пострадали несколько компаний и вузов. Вирус моментально удалял данные при их активации. Позже стало известно, что это один из наиболее масштабных вредителей, который коснулся пользователей из Европы, Америки и Ближнего Востока.

    Работа над ошибками

    На этом заражение компьютерными вирусами не остановилось. Вскоре мир узнал о черве Морриса. Это был первый сетевой «вредитель», который был нацелен на атаку Unix. Планировалось, что утилита попадет в вычислительную систему и сохранится там, без возможности обнаружения. Автор вируса хотел сделать его скрытым и безвредным, но все пошло не по плану. Причиной саморазмножения вируса стали ошибки, допущенные при разработке.

    Эпидемия с сильно повлияла на функциональность систем. Позже оказалось, что ущерб составил 96 млн долларов. Хотя, если бы автор хотел целенаправленно навредить операционной системе, то сумма была бы значительно больше.

    Такая неудачная разработка привела Морриса в суд, где ему назначили три года условно, отправили на общественные работы и вынудили заплатить «круглую» сумму.

    Вирусная серия

    Пока специалисты не стали разбираться в типах компьютерных вирусов, системные эпидемии случались все чаще. Так в 1989 году стал известен DATACRIME. Это был не просто вирус, а целая серия. Всего за несколько месяцев ей удалось поразить более 100 тысяч систем.

    Эта проблема не могла пройти мимо программистов, и вскоре были выпущены утилиты, которые сканировали характерные для этого вируса строки.

    Когда с этой серией вирусных программ было покончено, тут же появился первый «троянский конь» под названием AIDS. Так пользователи узнали о программах-вымогателях, которые закрывали доступ к данным на жестком диске и показывали единственную информацию на мониторе. AIDS требовал 189 долларов на определенный адрес. Естественно, многие пользователи заплатили вымогателю. Но он вскоре был арестован, попавшись на обналичивании чеков.

    Классификация

    Оказалось, что знать, что такое компьютерный вирус - недостаточно. Нужно было как-то различать «вредителей», чтобы после разрабатывать защитные утилиты. Кроме того, на классификацию компьютерных вирусов повлияло и развитие ПК.

    Вредоносные программы сейчас можно классифицировать по методам «размножения» и функциональности. До широкого развития интернета вирусы могли храниться на дискетах и других носителях. Сейчас же они преимущественно передаются через локальные и глобальные сети. Вместе с этим выросла и их функциональность.

    К сожалению, разработать четкую классификацию до сих пор так и не удалось. Тем не менее вирусы можно разделить на те, которые:

    • имеют разные методы поражения;
    • распространяются разными механизмами;
    • вредят операционным системам;
    • используют особые технологии;
    • написаны на разных языках;
    • имеют дополнительную вредоносную функциональность.

    Методы поражения

    Сюда относят следующие виды компьютерных вирусов: файловые, загрузочные, сценарные, нарушающие исходный код, макровирусы.

    Например, файловый вредитель затрагивает файловую систему компьютера для своего «размножения». Он внедряется практически в любой исполняемый документ операционной системы. Обычно, своей «жертвой» он может выбрать двоичные файлы с расширением «.exe» или «.com», может затрагивать динамическую библиотеку, «дрова» или командные файлы.

    Макровирус обычно «поселяется» в прикладных пакетах типа Microsoft Office. С помощью макроязыков такие «вредители» могут перемещаться от одного файла к другому.

    Механизмы заражения

    Операционные системы

    Есть вирусы, которые могут поражать любую операционную систему. Но не все направлены на то, чтобы «сотрудничать» с каждой платформой. Поэтому хакеры разрабатывают вирусы для отдельных ОС. Сюда входит DOS, Windows, Linux, Unix и многие другие.

    Технологии

    Особенность компьютерных вирусов в том, что они могут использовать особые технологии. К примеру, используют технику, которая понижает уровень их обнаружения. В итоге, самые простые антивирусные приложения не могут обнаружить вредителя.

    Стелс-вирусы переводятся как «невидимки». Такое программное обеспечение полностью или частично скрывает свое присутствие. Чтобы это сделать, вирус перехватывает обращения к ОС.

    В эту группу относят руткиты. Они могут быть представлены исполняемыми файлами, скриптами, конфигурационными документами. Их задача обеспечить маскировку объектов, управлять событиями, которые происходят в системе, собирать данные.

    Компьютерные вирусы и антивирусные программы

    С момента появления вирусов и антивирусников прошло очень много времени. В разные годы появлялись особые вредители, которые запоминались всему миру благодаря своему катастрофическому влиянию.

    Например, CIH - вирус, который был посвящен трагедии на Чернобыльской АЭС. В момент активации «вредитель» парализовал работу всех систем. Nimida оказался самым шустрым вирусом, которому понадобилось четверть часа для заражения миллиона ПК.

    Slammer прозвали самым агрессивным за то, что вирус удалил информацию с 75 тысяч систем всего за 10 минут. Conficker принято считать одним из самых опасных «вредителей». Червь атаковал системы на ОС Windows и за 3 месяца навредил 12 миллионам компьютеров.

    В 2000-х году был зарегистрирован вирус ILOVEYOU. Позже он попал в Книгу рекордов Гиннесса, получив звание «Самого разрушительного компьютерного вируса в мире». Этот червь поразил 15 миллионов компьютеров, а ущерб мировой экономике по разным подсчетам составил 10-15 миллиардов долларов.

    Сейчас до сих пор происходят, но с ними порой справляются мощные антивирусные программы. Существует международная независимая организация, которая анализирует работоспособность защитных утилит. AV-TEST представила список лучших антивирусников 2017 года:

    На данный момент это самые эффективные утилиты. И хотя все они платные, каждая имеет пробный период, а также относительно невысокую годовую стоимость.

    Введение

    1. Сущность проявления компьютерных вирусов

    2. Характеристика путей проникновения вирусов в компьютеры

    3. Стандартные методы заражения

    4. Сценарии распространения вирусов

    5. Сценарии нанесения ущерба вирусами

    6. Структура современных вирусных программ

    6.1 Структура файлового нерезидентного вируса

    6.2 Структура файлового резидентного вируса

    6.3 Структура бутового вируса

    7. Как работает вирус

    8. Понятие стелс-алгоритмов

    Список использованной литературы


    Введение

    Существует два варианта атак компьютерной системы: изнутри и снаружи. Следует сказать, что в последнее время, с распространением Интернета и локальных сетей, все большую угрозу для компьютеров представляют именно наружные атаки. Компьютер, подключенный к сети, может быть атакован по этой сети с удаленного компьютера. Почти во всех случаях такая атака состоит из передачи по сети на атакуемую машину некоторой программы, при выполнении которой атакуемой машине наносится ущерб. По мере того как количество подключенных к Интернету компьютеров продолжает увеличиваться, опасность подобных атак также растет.

    В последнее время сообщения об атаке компьютеров каким-либо вирусом иди червем появляются в газетах почти каждый день. Вирусы и черви представляют главную проблему безопасности для отдельных пользователей и компаний. Коварность вирусов не знает границ, а вред, который они могут принести в крупной компьютерной системе, поражает воображение. Не зря во многих странах создание и распространение вирусов преследуется по закону как уголовное преступление. Представьте себе, какие могут быть последствия потери информации в крупном банке, медицинском учреждении или нарушения работы военной компьютерной системы. А между тем подобные случаи уже возникали в ряде стран.

    Важное свойство компьютерных вирусов – способность “размножаться”, бесконтрольно распространяясь в компьютерной среде. Переносчики компьютерных вирусов – это дискеты, локальные и глобальные сети, а в последнее время и компакт-диски, особенно с нелицензионным программным обеспечением. Вирусная эпидемия может в считанные дни или часы охватить крупный вычислительный центр (а то и несколько центров), полностью парализовав его работу. При этом издержки могут исчисляться миллионами и десятками миллионов долларов.

    В данной работе мы подробно остановимся на вопросах, связанных с проявлением, функционированием и последствиями работы компьютерных вирусов.


    Массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации. Проникнув в один компьютер, компьютерный вирус способен распространиться на другие компьютеры.

    Использование пиратского программного обеспечения

    Незаконное использование программного обеспечения, при котором оно многократно копируется многими людьми, легко позволяет вирусам распространяться от компьютера к компьютеру. В нашей стране, да и во всем мире, пиратское копирование программ широко распространено.

    Быстрее всего вирусы распространяются, заражая выполнимые файлы компьютерных игр. Немногие могут удержаться, чтобы не скопировать у хорошего знакомого новую версию популярной игры, просто переписав на свои дискеты все ее файлы. Затем кто-нибудь перепишет игру у вас и так далее и так далее... Если на одном из компьютеров этой цепочки находится вирус, и он заразит выполнимые файлы игры, то все остальные любители развлечений также получат вирус.

    Только в случае законного использования программ вы можете быть спокойны за то, что не получите вирус или троянскую программу. В крайнем случае, у вас будет кому выдвинуть претензии.

    Тем не менее, известны случаи, когда даже фирменное программное обеспечение содержало в себе вирус, поэтому вы всегда должны внимательно относиться к проблеме антивирусной защиты компьютера.

    Широкое использование программ Freeware и Shareware

    Помимо фирменного программного обеспечения существуют так называемые бесплатные (Freeware) и условно бесплатные (Shareware) программы. Вы можете свободно копировать и использовать такое программное обеспечение. Программы Shareware отличаются от Freeware тем, что если вы используете их дольше определенного срока и они вам понравились, вы должны отправить их создателю небольшое количество денег, обычно от пяти до двадцати американских долларов.

    В качестве Shareware распространяются программы архиваторы, например архиватор ARJ, различные графические пакеты и другие мелкие полезные программы.

    Всякий человек, имеющий дело с компьютерами, несомненно, много раз встречался с понятием "вирус", "троян", "троянский конь" и тому подобные, раньше, еще в докомпьютерную эру, употреблявшиеся исключительно в медико-биологических и исторических исследованиях. Этими словами обозначают некоторую разновидность программ, которыми часто пугают неопытных пользователей, расписывая их непреодолимую силу, способную разрушить в компьютере все, вплоть до механической конструкции жесткого диска.

    Компьютерный вирус представляет собой злонамеренную компьютерную программу, в которой содержится часть кода, исполняемая после запуска вируса в компьютерной системе. Во время работы вирус заражает другие программы копиями самого себя.

    Эффект действия вируса может варьироваться от легкого раздражения пользователя до полного уничтожения всех данных в системе. Однако некоторые вирусы могут реплицировать самих себя и распространяться в другие системы. Это затрудняет локализацию вирусов и защиту от них. Чтобы написать простой вирус, достаточно ввести несколько строк программного кода.

    Вирусы можно передавать по линиям связи или распространять на инфицированных носителях . Это затрудняет локализацию создателя вируса. Некоторые вирусы могут скрываться внутри других программ или проникать в операционную систему компьютера.

    Вирусным атакам уязвимы все компьютерные операционные системы , однако некоторые из них более уязвимы, чем другие. Вирусы нередко скрываются в новой компьютерной игре , которую вы можете загрузить в Интернете. Кроме того, вирусы можно обнаружить в макросах , используемых в офисных информационных системах, либо в компонентах загружаемых из Интернета страничек Web. Пути попадания вирусов в компьютеры различны, но общее в них одно - вирусы входят в компьютерные системы только из внешних источников .

    Как только вирус входит в систему, он может начать свою разрушительную деятельность сразу, или же вирус может ожидать активации каким-то событием, например, получением определенных данных или наступлением заданной даты или времени. Известны несколько различных форм вирусов , которые могут вторгнуться в компьютерную систему.

    Троянский конь представляет собой компьютерную программу, которая маскируется или скрывается в части программы. В отличие от прочих вирусов, троянцы не реплицируют самих себя в системе. Некоторые формы троянских коней могут быть запрограммированы на саморазрушение и не оставляют никаких следов, кроме причиненных ими разрушений. Некоторые хакеры используют троянских коней для получения паролей и отсылки их обратно хакеру. Кроме того, они могут использоваться для банковских мошенничеств, когда небольшие суммы денег снимаются с законных счетов и передаются на секретный счет.

    Черви представляют собой программы, которые разрушают компьютерную систему. Они могут проникать в программы обработки данных и подменять или разрушать данные. Черви подобны троянским коням в том отношении, что не могут реплицировать самих себя. Однако, как вирусы, они могут причинять большие разрушения, если их не обнаружить вовремя. Намного проще ликвидировать червя или троянского коня, если существует только единственная копия программы-разрушителя.

    Логические бомбы подобны программам, используемым для троянских коней. Однако логические бомбы имеют таймер, который взрывает их в заданную дату и время. Например, вирус Michelangelo имеет триггер, установленный на день рождения знаменитого художника Микеланджело - 6 марта. Логические бомбы часто используются недовольными служащими, которые могут установить их на активацию после того, как они оставят компанию. Например, логическая бомба может "взорваться", когда имя этого служащего исключается из платежной ведомости. Благодаря встроенному механизму задержки, логические бомбы активно используются для шантажа. Например, шантажист может послать сообщение, говорящее, что если ему будет выплачена определенная сумма денег, он предоставит инструкцию для отключения логической бомбы.

    История зарождения вирусов довольно туманна, так же как и цели, которые преследуют их разработчики. В компьютерных книгах утверждается, что первым известным вирусом была программа, реализующая модель Вселенной, в которой обитали некие существа, умеющие двигаться, искать и поедать пищу, а также размножаться и умирать от голода. С точки зрения авторов книги, программы-вирусы представляют собой результат чисто научных исследований в области создания неких искусственных организмов, способных к самостоятельному существованию, наподобие живых существ. Это же подчеркивает и название программ, разработанных на основании таких изысканий - вирусы, т.е. нечто живое, способное к размножению, мутации и самовыживанию. Надо так понимать, что создателей компьютерных вирусов нам предлагается отнести к разряду безобидных чудаков, занятых исключительно оторванными от реальной жизни научными проблемами.

    Мы не будем углубляться в полемику по этому поводу, отметив только, что первая программа, которая действительно могла претендовать на звание вируса, появилась в 1987 году , и это был Пакистанский вирус, разработанный братьями Амджатом и Бази том Алви (Amdjat и Bazit Alvi). Их целью было наказать (!) граждан США за покупку в Пакистане дешевых копий программ. Далее число вирусов стало расти с лавинообразной быстротой, а убытки от их появления в компьютерах стали исчисляться миллионами и сотнями миллионов долларов. Заражение компьютеров вирусами различной природы приняло характер эпидемии и потребовало принятия мер защиты, том числе и юридических. Рассмотрим, как же эти зловредные создания, вирусы, попадают в компьютерные системы.

    Пути проникновения вирусов могут быть самыми разнообразными. Вирусы попадают в вашу компьютерную систему из множества разнообразных источников, исполняемых программ, программ и файлов, передаваемых вам коллегами, программного обеспечения, приобретаемого в архивированной форме. Давайте рассмотрим структуру, применяемую для хранения данных на гибких дисках , чтобы выявить места, функционально пригодные для скрытого существования вирусов. Гибкие диски могут хранить файлы данных, программ и программное обеспечение операционных систем. Они служат самым общепринятым посредником для передачи файлов данных. Гибкий диск состоит из загрузочного сектора и данных. При необходимости, в загрузочном секторе может храниться информация, нужная для загрузки компьютера. Кроме того, здесь же хранится информация о разделах, информация по управлению загрузкой и информация о размещении файлов. Данные представляют собой всю содержательную информацию, которая храниться на гибком диске. Излюбленным местом обитания вирусов являются загрузочные сектора и исполняемые файлы, хранимые на гибком диске. Помещенные в загрузочном секторе вирусы могут запускаться при загрузке системы с дискеты. Вирусы, помещенные в исполняемые файлы, запускаются вместе с зараженной программой, после чего начинают свою деятельность в компьютерной системе.

    Те же самые возможности переноса вирусов обеспечивают компакт-диски , ныне ставшие основным средством переноса файлов и информации между компьютерами. В компакт-дисках содержится двоичная цифровая информация, которая записывается на диск путем создания микроскопических ямок на поверхности диска. Информация считывается при проходе по диску луча света, генерируемого лазером. Компакт-диски подобны гибким дискам в том отношении, что.для хранения данных в них также используется структура, состоящая из загрузочного сектора и данных.

    Интернет предоставил пользователям новые возможности установления связи, которые увеличивают потенциальную опасность прорех в системе защиты от вирусов. Технологии Web, например, для создания аплетов Java и ActiveX, облегчают пользователям взаимодействие по Интернету, но, с другой стороны, служат удобным средством для распространения злонамеренного программного обеспечения. Пользователи рабочей станции, установленной на компьютере, для выполнения своих задач используют программное обеспечение и файлы данных. Вся эта информация, включая операционную систему, хранится на жестком диске компьютера. Другим местом постоянного хранения информации, необходимой компьютеру для работы, является энергонезависимая память CMOS, хранящая базовую систему ввода/вывода (BIOS) компьютера; процедуры BIOS используются при загрузке системы, так что их заражение-это серьезная опасность, несмотря на небольшие размеры CMOS. Таким образом, в компьютере имеется два основных места, способных постоянно хранить и обновлять информацию - жесткий диск и память CMOS. Эти компоненты компьютерной системы и являются тем местом, куда чаще всего попадают вирусы при инфицировании компьютера. Излюбленным местом обитания вирусов является жесткий диск. Жесткий диск состоит из следующих элементов. Таблица разделов, используемая для отслеживания разделов и структуры диска Главная загрузочная запись, указывающая, способен ли этот диск к самозагрузке или нет. Загрузочный сектор, указывающий загрузчику системы, где следует искать первый файл, необходимый для запуска операционной системы. . Первая таблица FAT хранит запись, указывающую, каким образом связаны все остальные записи в области диска, предназначенной для хранения данных. . Вторая таблица FAT, представляющая собой резервную копию первой таблицы FAT, на случай повреждения первой таблицы. . Диагностический цилиндр, используемый для отслеживания ошибок или локализации проблем в части оборудования или программы. Он доступен только самому жесткому диску для решения внутренних задач. Чаще всего вирусы прячутся в загрузочных секторах, что позволяет им влиять на загрузку системы (см. следующий раздел). Другое излюбленное место - исполняемые файлы. В исполняемые файлы входят следующие элементы. Заголовок, информирующий операционную систему о типе данного файла и указывающий, предназначен ли он для работы с текущей операционной системой. Кроме того, заголовок предоставляет другую информацию, которая может понадобиться операционной системе, например, объем памяти, необходимый для открытия файла, Заголовок занимает определенную область, которая может разделять различные части файла. Нижний колонтитул, информирующий операционную систему компьютера о достижении конца файла. Кроме того, он информирует компьютер, что он должен делать, после достижения конца файла. Файл может быть дополнен незначащей информацией, чтобы данные, записанные на диск, заполняли определенное пространство. Дополнение исполняемого файла не содержит никакой информации. Например, исполняемый файл, содержащий 500 байт кода, может быть записан в блоке размером 512 байт с дополнением 12 байтов единицами. При заражении исполняемого файла вирус заменяет исполняемый код программы свои собственным кодом. При запуске программы запускается код вируса, выполняя различные действия взамен тех, которые должна выполнять программа. Место обитания вируса связано с его функционированием самым непосредственным образом (как и у настоящих живых вирусов). Вирусные атаки можно даже классифицировать по месту их расположения в компьютере.

    Типы вирусных атак

    Известны три основных типа вирусных атак.

    • Атака загрузочного сектора.
    • Инфицирование файла.
    • Атака с использованием макросов.

    Вирусы загрузочного сектора инфицируют загрузочный сектор или главную загрузочную запись компьютерной системы. Когда компьютер загружается, вирусная программа активируется. Вирусы загрузочного сектора, прежде всего, перемещают в другое место или перезаписывают исходный загрузочный код и замещают его инфицированным загрузочным кодом. Информация исходного загрузочного сектора переносится на другой сектор диска, который помечается как дефектная область диска и далее не используется. Поскольку загрузочный сектор - первый элемент, загружаемый при запуске компьютера, обнаружение вирусов загрузочного сектора может оказаться нелегкой задачей. Вирусы загрузочного сектора - один из самых популярных типов вирусов. Они могут распространяться путем использования инфицированных гибких дисков при загрузке компьютера. Это может легко произойти, если при перезагрузке компьютера гибкий диск, вставлен в дисковод.

    Вирусы, инфицирующие файлы , поражают исполняемые файлы. Они могут активироваться только при исполнении файла. Чаще прочих поражаются файлы типов СОМ, ЕХЕ, DLL, DRV, BIN, SYS и VXD. Вирусы, инфицирующие файлы, могут становиться резидентными и присоединяться к другим исполняемым программам. Вирусы, инфицирующие файлы, обычно заменяют инструкции загрузки программы исполняемого файла своими собственными инструкциями. Затем они переносят исходную инструкцию загрузки программы в другой раздел файла. Этот процесс увеличивает размер файла, что может помочь обнаружению вируса.

    Вирусы, в основе которых лежат макросы (макровирусы ), исполняют непредусмотренные действия путем использования макроязыка приложения для своего распространения в другие документы. Они могут, например, инфицировать файлы.DOT и.DOC приложения Microsoft Word, а также файлы Microsoft Excel.

    Эти вирусы относятся к межплатформенным вирусам и могут инфицировать как системы Macintosh, так и PC.

    Прочие вирусы могут иметь черты одного или нескольких описанных выше типов.

    * Вирусы-невидимки (жаргонное название - "стелс-вирусы") при работе пытаются скрыться как от операционной системы, так и антивирусных программ. Чтобы перехватить все попытки использования операционной системы, вирус должен находиться в памяти. Вирусы невидимки могут скрывать все изменения, которые они вносят в размеры файлов, структуру каталогов или иные разделы операционной системы. Это значительно затрудняет их обнаружение. Чтобы блокировать вирусы-невидимки, их следует обнаружить, когда они находятся в памяти.

    * Зашифрованные вирусы во время работы шифруют свой вирусный код, что позволяет им предотвратить обнаружение и распознание вируса.

    * Полиморфные вирусы могут изменять свой внешний вид при каждом инфицировании. Для изменения внешнего вида и затруднения обнаружения они используют механизмы мутаций. Полиморфные вирусы способны принимать более двух миллиардов различных форм, поскольку при каждом инфицировании изменяют алгоритм шифрования. Многокомпонентные вирусы инфицируют как загрузочные секторы, так и исполняемые файлы. Это один из самых сложных для обнаружения вирусов, поскольку многокомпонентные вирусы могут сочетать некоторые или все методы скрытия своей деятельности, присущие вирусам-невидимкам и полиморфным вирусам.

    * Самообновляющиеся вирусы, которые появились в самое последнее время, способные скрытно обновляться через Интернет во время сеансов связи.

    Встреча компьютера с вирусом влечет несколько последствий.

    * Появление необычных системных сообщений.

    * Исчезновение файлов или увеличение их размеров.

    * Замедление работы системы.

    * Внезапный недостаток дискового пространства.

    * Диск становится недоступным.

    Антивирусные программы Важный метод защиты от вирусов - развертывание антивирусных программ. Антивирусная программа должна выполнять три основные задачи.

    * Обнаружение вируса.

    * Удаление вируса.

    * Превентивная защита.

    Чтобы предотвратить вирусную атаку, антивирусная программа реализует множество различных методов обнаружения. Различные антивирусные программы используют некоторые или все методы из следующей группы.

    * Сканирование цифровой сигнатуры используется для идентификации уникального цифрового кода вируса. Цифровая сигнатура представляет собой предварительно установленный шестнадцатеричный код, наличие которого в файле свидетельствует о заражении вирусом. Сканирование цифровой сигнатуры представляет собой в высшей степени успешный метод идентификации вирусов. Он, однако, всецело зависит от поддержки базы данных с цифровыми сигнатурами вирусов и тонкостей механизма сканирования. Возможно ложное обнаружение вируса в неповрежденном файле.

    * Эвристический анализ (или сканирование по заданным правилам) выполняется быстрее, чем сканирование большинством традиционных методов. Этот метод использует набор правил для эффективного анализа файлов и быстро обнаруживает подозрительный вирусный код. Как отмечено, все эвристические методы в той или иной форме выполняют эмулирование исполнения кода вируса. Поэтому, при наличии некоторого опыта, разработчик вируса может защитить свое "изделие" от обнаружения эвристическим анализом. Эвристический анализ склонен к ложным тревогам, и, к сожалению, зависит от корректности набора правил выявления вируса, которые все время изменяются.

    * Исследование памяти - еще один метод, обычно успешно применяемый для обнаружения вирусов. Он зависит от распознавания местоположения известных вирусов и их кодов, когда они находятся в памяти. И хотя исследование памяти обычно приводит к успеху, использование такого метода может потребовать значительных ресурсов компьютера. Кроме того, он может вмешиваться в нормальный ход выполнения операций компьютера.

    * Мониторинг прерываний работает путем локализации и предотвращения вирусных атак, использующих вызовы прерываний. Вызовы прерываний представляют собой запросы различных функций через системные прерывания. Мониторинг прерываний, подобно исследованию памяти, также может отвлечь значительные системные ресурсы. Он может стать причиной проблем при легальных системных вызовах и замедлить работу системы. Из-за большого числа вирусов и легальных системных вызовов, мониторинг прерываний может испытывать трудности в локализации вирусов.

    * Контроль целостности (известный также как вычисление контрольных сумм) просматривает характеристики файлов программ и определяет, были ли они модифицированы вирусным кодом. Этот метод не нуждается в обновлении программного обеспечения, поскольку не зависит от цифровых подписей вирусов. Однако он требует от вас поддержания базы данных контрольных сумм файлов, свободных от вирусов. Контроль целостности не способен обнаруживать пассивные и активные вирусы-невидимки. Кроме того, он не может идентифицировать обнаруженные вирусы по именам или типам. Если антивирусная программа резидентная, она контролирует вирусы непрерывно. Это традиционная мера защиты файловых серверов, поскольку в них каждый файл при использовании должен пройти проверку. Непрерывный контроль может быть неподходящим средством для клиентской машины, поскольку может привести к обработке слишком большого объема информации, а это замедляет работу компьютера. На клиентской машине предпочтительнее конфигурировать антивирусную программу на запуск в определенное время. Например, она может запускаться при загрузке компьютера или считывании нового файла с гибкого диска. В некоторых пакетах (в том числе, описываемых ниже Norton AntiVirus и MacAfee VirusScan) используют метод, известный как сканирование по расписанию, для выполнения поиска вирусов на жестком диске в заданные периоды времени. Еще один метод заключается в использовании антивирусной программы в период простоя компьютера. Например, его можно использовать как часть программы экранной заставки.

    Типы антивирусных средств.

    1. Программы - детекторы обнаруживают файлы, зараженные одним из известных вирусов, такие программы в чистом виде в настоящее время редки.

    2. Фаги или программы - доктора, а также программы - вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы вируса, восстанавливая программу в том состоянии, в котором она находилась до заражения вирусом. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Полифаги - уничтожают большое количество вирусов. Aidstest, Scan, Norton AntiVirus, Doctor Web.

    3. Программы- ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, тогда, когда компьютер еще не заражен вирусом, а затем периодически сравнивают текущее состояние файла с исходным. Если обнаружены изменения, то на экран дисплея выводятся сообщения. ADinf.

    4. Программы - фильтры или «сторожа» - небольшие резидентные программы, постоянно находящиеся в памяти компьютера. Они контролируют операции компьютера и обнаруживают подозрительные действия при работе компьютера, характерные для вирусов. При попытке какой - либо программы произвести указанные действия «сторож» посылает сообщение, а пользователь может запретить или разрешить выполнение соответствующей операции. Программы фильтры позволяют обнаружить вирус на ранней стадии его существования, но они не «лечат» файлы и диски.

    Читать еще: