Введение
Определение 2
Компьютерный вирус – это вредоносная программа, имеющая малый объём и обладающая способностью присоединяться к другим программным продуктам с целью выполнения различных недопустимых действий на компьютере.
Программные продукты, имеющие в своём составе посторонние вирусные вставки, считаются заражёнными. После запуска таких программ, сначала активируется вирусное вложение. Вирус может распространить заражение на практически все найденные им программные приложения, и, помимо этого, он способен выполнять разные операции, которые могут нанести ущерб этому компьютеру. Такими вредоносными операциями могут быть коррекция или ликвидация файлов, засорение «мусорной» информацией оперативной памяти и тому подобное. Кроме того, вирусные вложения имеют свойство самовоспроизведения. Такой особенностью обладают фактически все вирусные типы. Вирус не может существовать в режиме абсолютной изоляции, поскольку его целью является захват управления любыми средствами.
История компьютерных вирусных программ может быть представлена в виде постоянной «гонки за лидером». Причём необходимо заметить, что при наличии достаточно мощной антивирусной базы, лидируют в этой гонке почему-то всегда вирусные программы. При этом во всём множестве вирусов следует отметить лишь порядка нескольких десятков из них, которые являются оригинальными программными продуктами, использующими наиболее продвинутые идеи. Всё оставшееся огромное количество вирусов, по существу, только различные варианты указанных выше базовых вирусных программ.
Однако возникновение новых оригинальных вирусных вложений заставляет разработчиков антивирусных программ находить методы приспособления к новой информации, то есть стремиться догнать вирусные технологии. Широкую известность получил американский программист с фамилией Моррис. Он изобрёл вирусную программу, которая заразила в восьмидесятых годах двадцатого века почти семь тысяч персональных компьютеров, подключенных к сети Интернет.
Как появились компьютерные вирусы
Официально история компьютерных вирусов начинается с 1981 года. Вычислительная техника находилась в стадии становления. Тогда никто еще не знал, что такое компьютерный вирус. Ричард Скрента написал первый загрузочный вирус для компьютера Apple II. Он был сравнительно безобидным и выводил на экран стихотворение. Позже начали появляться вирусы и для MS-DOS. В 1987 году были зафиксированы сразу три эпидемии вирусов. Этому поспособствовал выход на рынок сравнительно недорогого компьютера IBM и рост компьютеризации в целом по земному шару.
Первая эпидемия была спровоцирована вредоносной программой Brain, или «Пакистанским вирусом». Разработали его братья Алви, чтобы наказать пользователей, использующих взломанные версии их программного обеспечения. Братья не ожидали, что вирус выйдет за пределы Пакистана, однако это произошло, и вирусом Brain были заражены компьютеры по всему миру.
Вторая эпидемия возникла в Лехайском университете в Соединенных Штатах Америки, и несколько сотен дискет в библиотеке вычислительного центра университета были уничтожены. Эпидемия имела средние по тем временам масштабы, и вирус поразил всего 4 тысячи компьютеров.
Третий вирус — Jerusalem возник сразу в нескольких странах мира. Вирус уничтожал все файлы сразу при их запуске. Среди эпидемий 1987-1988 года эта была самой масштабной.
1990 год стал отправной точкой активной борьбы с вирусами. К этому времени было написано уже много программ, наносящих вред компьютерам, но до 90-х годов это не было большой проблемой.
В 1995 году начали появляться сложные вирусы, и произошел инцидент, при котором все диски с бета-версией Windows 95 оказались заражены вирусами.
Сегодня выражение «компьютерный вирус» стало привычным для всех, и индустрия программ для нанесения вреда стремительно растет и развивается. Ежедневно возникают новые вирусы: компьютерные, телефонные, а теперь и вирусы для часов. В пику им различные компании производят защитные комплексы, однако компьютеры по-прежнему заражаются во всех уголках света.
Компьютерные вирусы. Что такое компьютерный вирус?
Компьютерный вирус — это небольшая, специально написанная программа, которая может «выдавать себя за» (т.е. «заражать») другие программы и выполнять различные нежелательные действия на компьютере. Программа, содержащая вирус, называется зараженной программой. Когда такая программа начинает работать, вирус сначала берет управление на себя. Вирус находит и «заражает» другие программы и выполняет некоторые вредные действия (например, повреждает файлы или таблицу распределения файлов (FAT) на жестком диске, «засоряет» память и т.д.).
Для маскировки вируса не всегда выполняются действия, заражающие другие программы и причиняющие вред, а, например, при выполнении определенных условий. После того, как вирус выполнил необходимые действия, он передает управление программе, в которой он находится, и работает в обычном режиме. Таким образом, работа зараженной программы выглядит так же, как и незараженной.
Многие типы вирусов сконструированы таким образом, что при запуске зараженной программы вирус остается в памяти компьютера и время от времени заражает программы и совершает нежелательные действия на компьютере.
Все действия вируса могут быть очень быстрыми и без сообщений, поэтому пользователю очень сложно, если не невозможно, обнаружить, что на компьютере происходит что-то необычное.
До тех пор, пока на компьютере заражено относительно небольшое количество программ, присутствие вируса может быть практически незаметным. Однако по прошествии некоторого времени на компьютере, например, начинает происходить что-то странное:
- некоторые программы перестают работать или работают неправильно;
- некоторые программы перестают работать или начинают работать некорректно; на экране появляются сообщения, иконки и т.д;
- Работа компьютера значительно замедляется;
- Некоторые файлы повреждены и т.д.
На данный момент, как правило, некоторые (или даже большинство) программы, с которыми вы работаете, уже заражены вирусом, а некоторые файлы и диски повреждены. Кроме того, зараженные программы, возможно, уже были перенесены с вашего компьютера на компьютеры ваших коллег и друзей через дискеты или локальную сеть.
Некоторые вирусы ведут себя очень коварно. Сначала они тайно заражают большое количество программ и жестких дисков, а затем наносят очень серьезный ущерб — например, форматирование всего жесткого диска женского компьютера — после чего восстановить данные просто невозможно. И есть вирусы, которые ведут себя очень коварно, постепенно повреждая данные на жестком диске или перемещая таблицу распределения файлов (FAT).
Это означает, что если ничего не сделать для защиты от вируса, последствия инфекции могут быть очень серьезными. Например, в начале 1989 года вирус, созданный американским студентом по имени Моррис, заразил и покалечил тысячи компьютеров, в том числе и компьютеры Министерства обороны США. Автор вируса был приговорен к трем месяцам тюремного заключения и штрафу в размере 270 000 долл
Наказание могло быть выше, но суд принял во внимание, что вирус не повредил данные, а лишь дублировал их
Вирусная программа должна быть маленькой, чтобы быть невидимой, поэтому она не должна быть видимой. По этой причине вирусы обычно пишутся на низкоуровневых языках ассемблера или на низкоуровневых инструкциях языка SI.
Вирусы пишутся опытными программистами или студентами, либо из любопытства, либо для того, чтобы отомстить кому-то или какой-то компании, которая плохо с ними обращалась, либо в коммерческих целях, либо для целенаправленного саботажа. Независимо от намерений автора, вирус может оказаться на вашем компьютере и попытаться сделать те же вредоносные вещи, для которых он был создан.
Следует отметить, что написание вируса не является сложной задачей и находится в пределах досягаемости студента-программиста. Вот почему каждую неделю в мире появляются новые вирусы. И многие из них сделаны в нашей стране.
13.5. Что такое антивирусная программа
Для борьбы с вирусами разрабатываются антивирусные программы.
Антивирусное средство это программный продукт или устройство, выполняющее одну, либо несколько из следующих функций: 1) защиту данных от разрушения; 2) обнаружение вирусов; 3) нейтрализацию вирусов. |
Различают следующие виды:
-
программы-детекторы рассчитаны на обнаружение конкретных, заранее известных программе
вирусов и основаны на сравнении характерной последовательности байтов (сигнатур), содержащихся в теле
вируса, с байтами проверяемых программ. Программы-детекторы снабжаются блоками эвристического анализа.
В этом режиме делается попытка обнаружить новые или неизвестные вирусы по характерным для всех
вирусов кодовым последовательностям. -
программы-дезинфекторы (фаги) не только находят зараженные файлы, но и лечат
их, удаляя из файла тело программы-вируса. В России получили широкое распространение детекторы,
одновременно выполняющие функции дезинфекторов: AVP, Aidstest, DoctorWeb. -
программы-ревизоры анализируют текущее состояние файлов и системных областей
диска и сравнивают его с информацией, сохраненной ранее в одном из файлов ревизора.
При этом проверяется состояние загрузочного сектора, FAT-таблицы, а также длина файлов,
их время создания, атрибуты, контрольные суммы. (ADinf) -
программы-фильтры (мониторы) оповещают пользователя обо всех попытках
какой-либо программы выполнить подозрительные действия. Фильтры контролируют
обновление программных файлов и системной области диска, форматирование диска,
резидентное размещение программ в ОЗУ.
Компьютерные вирусные программы и способы борьбы с ними
На сегодняшний день применяется такая структурная организация компьютеров, которая предполагает доступность пользователям всего набора машинных ресурсов. Как раз это обстоятельство и способствовало появлению угрозы, именуемой компьютерными вирусами. В качестве вируса может выступать компьютерная программа. Такой простейший посыл развенчал огромное число легенд о невообразимых вирусных свойствах. Вирус может развернуть изображение на экране монитора, однако не может развернуть сам монитор. Рассказы о вирусных вложениях, которые способны убить пользователей за счёт вывода на экран дисплея смертоносного сочетания цветов, заложенных в двадцать пятом кадре, остаются всего лишь байками, не имеющими ничего общего с реальностью.
У вирусных программ имеется свойство самовоспроизведения. Такое свойство есть практически у всех вирусных типов. Однако такое же свойство имеют не только вирусы, почти каждая операционная система и отдельные программные продукты имеют возможность формирования своих копий. Следует отметить, копии вирусных программ могут и не соответствовать полностью своему оригиналу, и даже они способны стать абсолютно иными.
На сегодняшний день известно более пяти тысяч различных вирусных продуктов, которые могут быть классифицированы по следующим параметрам:
- По среде обитания.
- По методикам, обеспечивающим заражение среды обитания.
- По выполняемым операциям.
- По используемому алгоритму.
Средой обитания вирусов смогут быть различные сети, файлы разных типов, загрузки и комбинация этих сред, то есть вирусы могут быть и файловые, и загрузочные одновременно. Сетевые вирусные программы могут внедряться в различные компьютерные сети. Файловые вирусы, как правило, внедряются в файлы, которые имеют расширения, предполагающие их исполнение, к примеру, такими расширениями являются COM и EXE.
У загрузочных вирусов в качестве цели выбраны Boot-сектора, то есть загрузочные, или же сектора, содержащие загрузочные модули системных дисков (Master Boot Re-cord). Комбинированный тип вирусов способен проникнуть в каждую из этих систем.
По методикам заражения вирусные вложения могут быть поделены на резидентные и нерезидентные. Резидентные вирусы пересылают свою основную составляющую в оперативную память компьютера, а далее она овладевает контролем над запросами операционных систем к разным файлам и внедряется в эти файлы. Вирусные вложения нерезидентного типа не внедряются в оперативную память, а активными они могут быть только в течение некоторого временного интервала.
По выполняемым действиям и используемым алгоритмам вирусные программы классифицировать достаточно непросто, поскольку здесь присутствует очень большой и разнообразный набор вариантов.
Для защиты персонального компьютера от вирусных вложений можно использовать следующие методы:
- Общие методы информационной защиты, которые нужны, как и защита от непосредственной поломки жёстких дисков, неправильных пользовательских действий.
- Методы профилактики, которые существенно уменьшают возможность вирусного заражения.
- Специальные программные приложения, защищающие от вирусов.
Общие методы информационной защиты защищают не только от вирусов, и существуют такие их типы:
- Резервное копирование информации.
- Установка уровней доступа к данным.
Общие методы информационной защиты имеют важное значение, но, тем не менее, этого мало. Следует применять специальные антивирусные программы
Антивирусы делятся на следующие виды:
- Программы детекторы.
- Докторские программы.
- Программы ревизоры.
- Программы, совмещающие докторские и функции ревизора.
- Программы иммунизации (вакцины и фильтры).
Маскировка под вирус
Попробуем взглянуть на маскировку и защиту, которую используют вирусы против нас обычные пользователи и антивирусные программы.
Маскировка — самый важный и быстрый способ совершить зло, прежде чем его обнаружат. Чернобыльский вирус, например, полностью стирает BIOS (программа запуска, которая находится в микросхеме ПЗУ и обеспечивает работу компьютера). После этого компьютер вообще ничего не сможет отобразить. Однако его функции можно легко заблокировать, если в компьютере установлен переключатель, запрещающий запись в область ПЗУ. По этой причине он был не только первым, но и, думаю, последним представителем аппаратных вирусов.
Регенерирующие вирусы делят свое тело на несколько частей и хранят его в разных местах на жестком диске. Эти части могут найти друг друга и соединяться вместе для регенерации организма вируса. Антивирус обнаруживает и убивает только тело вируса, но части тела вируса не хранятся в антивирусной базе данных, так как они были изменены. Целевое низкоуровневое форматирование жесткого диска помогает избавиться от таких вирусов. Для заблаговременной защиты информации необходимо принять соответствующие меры.
Хитрые вирусы скрывают не только от нас, но и от антивирусных программ. Эти «хамелеоны» модифицируются самыми сложными и хитрыми операциями, применяя как текущие данные (время создания файла), так и почти половину всего набора команд процессора. В какой-то момент, конечно, следуя хитроумному алгоритму, они превращаются в подлый вирус и начинают портить наш компьютер. Это самый сложный тип вируса для обнаружения, но некоторые антивирусные программы, такие как Dr.Weber, способны обнаружить и обезвредить даже такие вирусы путем проведения так называемого эвристического анализа.
«Невидимые» вирусы используют так называемый метод «Стелт», чтобы предотвратить их обнаружение. Это вирус, который находится в памяти; он перехватывает вызовы DOS (и, следовательно, прикладных программ) к зараженным файлам и областям диска и генерирует их в исходном (незараженном) состоянии. Конечно, этот эффект виден только на зараженном компьютере; на чистом компьютере изменения в файлах и областях диска могут быть легко обнаружены. Однако некоторые антивирусные программы могут обнаруживать вирусы, которые «невидимы» даже на зараженных компьютерах.
Рандоновый червь появился в марте 2003 года, распространяясь по IRC-каналам и локальным сетевым ресурсам и заражая компьютеры под управлением Windows2000 и Windows XP. Для проникновения на компьютер он подключается к локальной сети или IRC-серверу, сканирует пользователей на нем, подключается к ним через порт 445 и пытается выбрать пароль из встроенного списка наиболее часто употребляемых фраз. В случае успешной компрометации системы Random посылает троянца «Apher», который, в свою очередь, загружает остальные компоненты червя с удаленного сайта. После этого «Random» устанавливает свои компоненты в системный каталог Windows и регистрирует его главный файл. Для сокрытия своего присутствия в памяти она использует специальную утилиту «HideWindows», которая также является компонентом червя. Это делает его невидимым для пользователя, так что активный процесс «Randon» может быть обнаружен только в Windows Task Manager. Его побочным эффектом является генерация большого количества избыточного трафика на зараженной машине и переполнение IRC-каналов.
Лаборатория Касперского», ведущий разработчик антивирусного программного обеспечения, представляет обзор вирусной активности в марте 2003 года.
Таблица 2. Двадцатка наиболее распространенных вредоносных программ
Название | Доля в общем числе вирусных инцидентов (%) |
1. I-Worm.Klez | 37,60% |
2. I-Worm.Sobig | 10,75% |
3. I-Worm.Lentin | 9,03% |
4. I-Worm.Avron | 3,30% |
5. Macro.Word97.Thus | 2,62% |
6. I-Worm.Tanatos | 1,38% |
7. Macro. Word97.Marker | 1,21% |
8. Worm.Win32.Opasoft | 1,13% |
9. I-Worm.Hybris | 1,04% |
10. Win95.CIH | 0,69% |
11. Worm.Win32.Randon | 0,58% |
12. VBS.Redlof | 0,57% |
13. Backdoor.Death | 0,51% |
14. Win95.Spaces | 0,51% |
15. I-Worm.Roron | 0,49% |
16.Trojan.PSW.Gip | 0,49% |
17. Backdoor.NetDevil | 0,48% |
18. Win32.HLLP.Hantaner | 0,45% |
19. TrojanDropper.Win32.Delf | 0,42% |
20. TrojanDropper.Win32.Yabinder | 0,41% |
Другие вредоносные программы* | 26,33% |
*не вошедшие в 20 наиболее распространенных
Программные вирусы.
Программные вирусы – это блоки программного кода, целенаправленно внедренные внутрь других прикладных программ. При запуске программы, несущий вирус, происходит запуск имплантированного в нее вирусного кода.
Работа этого кода вызывает скрытые от пользователя изменения в файловой системе жестких дисков и/или в содержании других программ. Так, например, вирусный код может воспроизводить себя в теле других программ – этот процесс называется размножением. По прошествии определенного времени, создав достаточное количество копий, программный вирус может перейти к разрушительным действиям: нарушению работы программ и операционной системы, удалению информации, хранящейся на жестком диске. Этот процесс называется вирусной атакой.
Самые разрушительные вирусы могут инициировать форматирование жестких дисков. Поскольку форматирование диска – достаточно продолжительный процесс, который не должен пройти незамеченным со стороны пользователя, во многих случаях программные вирусы ограничиваются умножением данных только в системных секторах жесткого диска, что эквивалентно потере таблиц файловой системы. В этом случае данные на жестком диске остаются нетронутыми, но воспользоваться ими без применения специальных средств нельзя, поскольку неизвестно, какие сектора диска каким файлам принадлежат. Теоретически восстановить данные в этом случае можно, но трудоемкость этих работ может оказаться исключительно высокой.
Считается, что никакой вирус не в состоянии вывести из строя аппаратное обеспечение компьютера. Однако бывают случаи, когда аппаратное и программное обеспечение настолько взаимосвязаны, что программные повреждения приходится устранять заменой аппаратных средств. Так, например, в большинстве современных материнских плат базовая система ввода-вывода (BIOS) хранится в перезаписываемых постоянных запоминающих устройствах (так называемая флэш-память ).
Возможность перезаписи информации в микросхеме флэш-памяти используют некоторые программные вирусы для уничтожения данных BIOS.
В этом случае для восстановления работоспособности компьютера требуется либо замена микросхемы, хранящей BIOS, либо перепрограммирование с помощью специальных программных средств.
Программные вирусы поступают на компьютер при запуске непроверенных программ, полученных на внешнем носителе (гибкий диск, компакт-диск и т.п.) или принятых из Интернета
Особое внимание следует обратить на слова при запуске. При обычном копировании зараженных файлов заражение компьютера произойти не может. В связи с этим все данные, принятые из Интернета, должны проходить обязательную проверку
на безопасность, а если получены незатребованные данные из незнакомого источника, их следует уничтожать, не рассматривая. Обычный прием распространения «троянских» программ – приложении к электронному письму с «рекомендацией» извлечь и запустить якобы полезную программу.
5 Два антивируса на компьютере лучше, чем один
Антивирус ведет себя в операционной системе ровно как вирус. Второй антивирус будет воспринимать своего «коллегу» как вредоносную программу, которая «сует свой нос» во все дела, где надо и где не надо.
В результате каждый из двух антивирусов будет занят лишь тем, чтобы «уничтожить», «утихомирить», «обезвредить» своего напарника. Но антивирус не так прост, как мы думаем. Его не уничтожить, не притормозить, не заблокировать. По крайней мере, это сделать непросто. Как итог, антивирусы будут непрерывно заняты напрасной борьбой друг с другом без видимого результата, а не защитой компьютера от внешних угроз.
Поэтому, нужен один единственный антивирус. Какой? Тут нет единого мнения. Кому как нравится, кто к чему привык, у кого какие ассоциации.
По себе могу сказать, что уже много лет пользуюсь антивирусом, встроенным в операционную систему Windows. Я не применяю другие антивирусы. Тем более, что в современной «десятке» встроенный антивирус работает спокойно, незаметно. И лишь эпизодически сообщает, что все в порядке.
Виды компьютерных вирусов по принципу функционирования
Трояны – название говорит само за себя. Ведут себя так, как вел Троянский конь. Моделируют собственные модули под модули прочих софтов, создают файлы с такими же названиями и функциональностью. Заменяют данные реестра, различные ссылочки модулей софта на собственные, которые вызывают модуль вирусного ПО.
Также трояны уничтожают данные человека, занимаются спамом, следят за действием человека. Большая часть троянов дублировать себя не могут, но, зато их трудно вычислить. Часто обычного сканирования ПК при этом мало.
Паразиты – занимаются выводом файлов из рабочего состояния. Выявить их просто, но, в большинстве случаев, поврежденный файл становится не рабочим.
Невидимки – любят маскироваться против сканирования. Маскировка происходит методом замены вредительского кода полезным, когда их отслеживают, также выводят функциональные модули из работы при сканировании. Скрывают свои процессы и прочее.
Репликаторы – смысл данных вредителей в скорейшем размножении по различным уголкам компьютера. Частенько сами вредительством не занимаются, а служат чем-то вроде транспорта для прочих вредителей.
Мативирующиеся – данный вредитель не имеет постоянной сигнатуры. Он изменяет совой код во время работы и во время производства копий. Отсюда, простым антивирусом их трудно отследить. Что бы их обнаружить, желательно применение эвритического анализа.
Отдыхающие – довольно опасный вид вредителей, т.к. в течение длительного периода могут находиться в состоянии анабиоза, распространяясь по интернету. Чтобы произошло активирование, необходимы определенные условия, вроде времени, даты. При этом, в одно и тоже время выходит из строя приличное количество ПК, что может вызвать катастрофу, как в прямом, так и в переносном смысле (особенно на больших и значимых предприятиях). Похожее уже случалось, например, во время годовщины Чернобыля, когда вышли из рабочего состояния тысячи ПК.
Самошифрующиеся – данные вирусы опасны тем, что хранят и распространяют свою информацию в зашифрованном состоянии. Из-за этого они частенько недоступны большинству антивирусов.
Я перечислил основные виды компьютерных вирусов, но их больше. Поэтому, необходимо принятие защитных мер. А лучшей защитой является недопущение заражения. Поэтому, как я говорил выше:
- не экономьте на хорошем антивирусе;
- вместе с антивирусом, установите и файрвол;
- значимые данные желательно скопировать на съёмные носители;
- следите за тем, что вы загружаете;
- не стоит пользоваться не знакомыми флэшками (также и лазерными дисками);
- при использовании посторонних флэшек проверяйте их на вирусы;
- во время загрузки через Торрент, убирайте галочки с файлов «Тихая загрузка»;
- во время установки файлов, убирайте галки со строк, функции которых вы не понимаете;
- из Российских антивирусов, я бы порекомендовал KIS, т.к. у обычного Касперского меньше функционал (KIS не только антивирус, но и файрвол).
На этом я буду статью заканчивать. Я надеюсь, что на понятном языке объяснил про основные виды компьютерных вирусов и их функциональность.