Что такое компьютерный вирус какими свойствами обладают компьютерные вирусы
Термин «компьютерный вирус» впервые употребил сотрудник Лихайского университета (США) Фред Коэн в 1984 году.
Компьютерный вирус — одно из самых интересных явлений, которые можно наблюдать в результате развития компьютерной и информационной техники. Суть его сводится к тому, что программы приобретают свойства, присущие живым организмам: они рождаются, размножаются, умирают.
Главное условие существования вирусов — универсальная интерпретация информации в вычислительных системах. Вирус в процессе заражения программы может интерпретировать ее как данные, а в процессе выполнения — как исполняемый код. Этот принцип был положен в основу всех современных компьютерных систем, использующих архитектуру фон Неймана.
Компьютерный вирус — это небольшая, сложная, тщательно составленная и опасная программа, которая может самостоятельно размножаться, переноситься на диски и флэшки, прикрепляться к программам, передаваться сетью, нарушая работу компьютера. С понятием «компьютерный вирус» тесно связано такое понятие, как сигнатура. Сигнатура — это фрагмент кода, который можно найти во всех копиях вируса и только в них. Иными словами, сигнатура — это подпись вируса, которая однозначно определяет наличие или отсутствие его в программе.
Программа, в которой находится компьютерный вирус, называется зараженной.
Вирус (вирусная программа) обладает следующими свойствами:
- Возможность создавать свои копии и внедрять их в другие программные объекты.
- Обеспечение скрытности (латентность) до определенного момента ее существования и распространения.
- Несанкционированность (со стороны пользователя) производимых им действий.
- Наличие негативных последствий от ее функционирования.
Действия компьютерных вирусов могут проявляться по-разному:
- портятся некоторые файлы;
- программы перестают выполняться или выполняются неправильно;
- на экран монитора выводятся непредвиденные сообщение или символы;
- работа компьютера замедляется и т. д.
Некоторые вирусы при запуске никак себя внешне не проявляют и могут время от времени заражать другие программы и выполнять нежелательные действия на компьютере, к примеру отсылать конфиденциальную информацию злоумышленнику. Другие разновидности вирусов после заражения программ и дисков вызывают серьезные повреждения, например, форматируют жесткий диск и др., или угрожают это сделать, требуя перечислить деньги за разблокировку.
Зараженные программы с одного ПК могут быть перенесены с помощью флэш накопителей, дисков, локальной или глобальной сети на другие компьютеры.
Если не принимать меры для защиты от компьютерных вирусов, то последствия заражения компьютеров могут быть серьезными. В ряде стран уголовное законодательство предусматривает ответственность за компьютерные преступления, в том числе и за внедрение вирусов.
Первичное заражение ПК вирусом возможно тогда, когда:
- на компьютере выполнялась зараженная программа;
- ОС загружалась с флэшки или диска, содержащего зараженный загрузочный сектор;
- На компьютере установлена зараженная ОС или драйвер устройства;
- через локальную и глобальную сеть и др.
Классификация вирусов
На сегодняшний день существует сотни тысяч вирусов.
Классификация вирусов осуществляется по следующим признакам:
- средой обитания;
- способом заражения;
- действием;
- особенностями алгоритма.
В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово — загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы проникают главным образом в исполняемые модули, есть в файлы, имеющие расширения EXE и т.д. Файловые вирусы могут проникать и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы проникают в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record). Файлово — загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.
По способу заражения вирусы делятся на резидентные и нерезидентных. Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и проникает в них. Резидентные вирусы находятся в памяти и являются активными вплоть до отключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.
По степени воздействия вирусы можно разделить на следующие виды:
- безопасные, такие, которые не мешают работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках; действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;
- опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;
- очень опасные, действие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.
По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия. Простые вирусы — паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Можно отметить вирусы — репликаторы, называемые червями , которые распространяются по компьютерным сетям, находят адреса сетевых компьютеров и записывают по этим адресам свои копии.
Известны вирусы-невидимки , называемые стелс — вирусами , которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к зараженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Самое трудное, это выявить вирусы-мутанты , содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной цепочки байтов, которые повторяется. Есть и так называемые квазивирусные или «троянские»программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.
Способы защиты от вирусов
Одним из основных последствий деятельности вирусов является потеря или порча информации. Поэтому для обеспечения устойчивой и надежной работы необходимо (или, по крайней мере желательно) всегда иметь чистые, не зараженные (эталонные) копии используемой информации и программного обеспечения.
К общим средствам относятся:
- резервное копирование информации (создание копий файлов и системных областей дисков);
- разграничение доступа к информации (предотвращение несанкционированного использования информации).
К программным средствам относятся различные антивирусные программы, которые являются наиболее эффективными в борьбе с компьютерными вирусами. Однако не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, поскольку на любой алгоритм антивируса всегда можно предложить контр-алгоритм вируса, невидимого для этого антивируса. Невозможность существования абсолютного антивируса была доказана математически на основе теории конечных автоматов, автор доказательства — Фред Коэн.
Использование специальных антивирусных средств в большинстве случаев позволяет не только выявить вирусное вторжение, но и оперативно обезвредить обнаруженные вирусы и восстановить испорченную информацию.
Антивирусные программы — это утилиты, позволяющие выявить вирусы, вылечить, или ликвидировать зараженные файлы и диски, обнаруживать и предотвращать подозрительные (характерные для вирусов действия).
Существует очень много классификаций антивирусных программ. Рассмотрим одну из них.
Классификация антивирусных программ
Тип антивирусной программы | Принцип действия |
Детекторы | Обнаруживают файлы, зараженные одним из известных вирусов |
Врачи (фаги) | «Лечат» зараженные программы или диски, Извлекают из зараженных программ код вируса, то есть восстанавливают программу в том состоянии в котором она была до заражения вирусом |
Ревизоры | Сначала запоминают сведения о состоянии программ и системных областей дисков, а затем а затем сравнивают их состояние с исходным. При обнаружении несоответствия сообщают о нем. |
Фильтры | Загружаются резидентно в оперативной памяти, перехватывают те обращения к системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них. Можно разрешить или запретить выполнение данной операции. |
Среди популярных и эффективных антивирусных программных систем можно выделить:
- Антивирус Касперского — AntiViral Toolkit Pro (AVP) (https://www.avp.ru)
- Avast (https://www.avast.ru)
- DoctorWeb (https://www.drweb.ru)
- NOD 32 https://www.esetnod32.ru;
- Norton AntiVirus;
- Symantec AntiVirus и др.
Более надежную защиту дают те антивирусные программы, версии которых постоянно обновляются.
Обезвреживание шпионских программ
Есть еще одна категория вредоносного программного обеспечения (ПО), которая известна гораздо меньше, чем вирусы (но отнюдь не менее опасна) в силу специфики своей работы — программы шпионажа за действиями пользователя. Такие программы (spyware), как правило, поставляются вместе с распространяемыми через Internet бесплатными программами или же автоматически устанавливаются на ПК во время веб — серфинга.
Spyware определяют как программное обеспечение, которое позволяет собирать сведения о пользователе или организации без их ведома. Adware (от advertising — реклама) — программный код, без ведома пользователя внесен в программного обеспечения с целью демонстрации рекламных объявлений.
По данным New Scientist, в мире 5,1% подсоединенных к Интернету компьютеров имеют на своем винчестере программный код, предназначенный для несанкционированного сбора конфиденциальной информации и (или) демонстрации непрошеной рекламы с помощью всплывающих ( «pop-up») окон браузера.
По данным, полученным специалистами Вашингтонского университета в ходе наблюдений за распространением лишь четырех программ — шпионов (Gator, Cydoor, SaveNow, eZula) на компьютерах студенческого городка, на 5,1% машин было установлено программное обеспечение для слежения за действиями пользователя, а 69% всех отделов и офисов университета имели по крайней мере один компьютер, на котором было установлено spyware.
Как минимум две из указанных программ — Gator и eZula — дают возможность злоумышленнику не просто собирать информацию, но и контролировать чужой компьютер.
Программы, предназначенная для поиска и устранения шпионских модулей, сканируют оперативную память, файлы на жёстком диске и определяют в них программы — шпионы и запущенные вредоносные процессы. Сканируется также реестр операционной системы. Если в реестре обнаруживается запись, установленный вредоносной программой, то она удаляется. Предусмотрена возможность обновления анти шпионской базы через Internet. Если обнаруживаются шпионские модули, то программа предлагает удалить их все или выборочно. Для предотвращения случайного удаления нужного файла или записи в реестре предусмотрена функция восстановления (для этого автоматически создаются backup — копии данных). Такую программу должен иметь каждый пользователь, который работает на компьютере.
Следя за событиями последних лет, можно с уверенностью утверждать, что spyware, наряду с компьютерными вирусами стало глобальным бедствием в сети. Так по данным компании EarthLink, 90% всех подключенных к Internet ПК заражены подобным ПО. Всего было в обнаружено 29500000 шпионских программ, в среднем по 28 на ПК. Вполне возможно, что в будущем граница между тремя составляющими (spyware, вирусами и спамом) темной стороны Internet сотрется полностью, и бороться с ними будет уже не ряд разнообразных утилит, а один унифицированный программный комплекс.
Важные выводы:
- Антивирусная защита всегда будет актуальным.
- Антивирусная защита должна быть продуманным, комплексным и систематическим.
- Антивирусные базы нужно постоянно обновлять.
- Вероятность заражения компьютерными вирусами уменьшается при одновременном использовании нескольких антивирусных программ.
- Расходы на антивирусную защиту не бывают чрезмерными.
Источник
Введение
Каждый пользователь компьютера, должно быть, слышал или, что еще хуже, лично имел дело с вирусом. Однако немногие из них знают принцип своей работы, потому что в этой области, как и во многих других областях нашей жизни, существуют устоявшиеся стереотипы. Они являются результатом как недостаточного знания среднего пользователя и дезинформации, так и, скорее, отсутствия правильной и полезной информации со стороны производителей носителей и антивирусного программного обеспечения.
Что такое вирус?
Компьютерный вирус — это код, который из-за отсутствия системной защиты ресурсов в однопрограммных операционных системах персональных компьютеров вносит нежелательные изменения в системную среду, запрограммированную его автором, повреждая данные, программы, изменяя работу аппаратного обеспечения и т. д. Проще говоря, вирус — это чужой фрагмент кода, прикрепленный к программе. Выполнение этого кода после запуска программы приводит к тому, что диск находит другие «незараженные» программы и прикрепляет к ним код вируса. Таким образом, вирус заражает все больше и больше программ на компьютере, а «зараженные» файлы, передаваемые на дискеты или передаваемые по сети, уничтожают ресурсы других компьютеров. Вирус также может атаковать загрузочный сектор дискеты или диска. Эффекты, вызванные вирусами, имеют признаки преступления, связанного с контрфактной продукцией, защищенной законом.
Отдел компьютерных вирусов
Есть много подразделений компьютерных вирусов. С точки зрения пользователя компьютера, наиболее важные разделы, по-видимому, связаны с:
- Способ передачи вируса.
- Действия, предпринимаемые вирусом после заражения операционной системы.
По типу передачи можно выделить следующие типы вирусов:
- Вирусы, передаваемые через носители: дискеты, CD-ROM, жесткие диски.
- Вирусы, придерживающиеся исполняемых программ: системных программ, утилит и даже коммерческих приложений.
- Вирусы, распространяющиеся через компьютерную сеть: Java-апплеты, вирусы, атакующие сетевые сервисы, или самые распространенные почтовые черви.
Благодаря действиям, предпринятым после заражения, можно различить:
- Безобидные вирусы, которые отображают смешную или глупую информацию на экране компьютера,
- Вирусы, уничтожающие информацию, содержащуюся в пользовательских документах и самих документах,
- Вирусы, уничтожающие всю информацию на диске (включая операционную систему),
- Вирусы, которые удаляют процедуры BIOS компьютера,
- Вирусы, которые повреждают компьютерное оборудование.
Типы компьютерных вирусов
- Вирусы — небольшая программа, которая реплицируется путем заражения исполняемых файлов, блоков размещения файлов или загрузочного сектора носителя (HDD, FDD) и документов, созданных с использованием офисных пакетов, таких как MS Office.
- Троянские кони — эти вирусы, которые прячутся в полезных (казалось бы) программах, таких как антивирусная программа. После запуска программы такого типа, помимо выполнения своих «официальных» задач, она также наносит ущерб системе.
- Логические бомбы — это вид вируса, который может долго оставаться скрытым. Он активируется, когда приходит определенная дата или пользователь выполняет определенное действие, например, удаление определенного файла.
- Черви — маленькие, но очень вредные вирусы. Им не нужен носитель для правильного функционирования. Они воспроизводятся самопроизвольно и непрерывно, в результате чего системные ресурсы истощаются за очень короткое время. Эти типы вирусов способны парализовать даже довольно обширную компьютерную сеть за очень короткое время.
Подробная классификация вирусов
Файловые вирусы (так называемые «обычные», файловые вирусы)
Файловые вирусы являются старейшим семейством этих программ. Каждый вирус размножается в первую очередь до повреждения, поэтому развитие вирусной “индустрии” связано с обнаружением новых носителей. Первоначально вирусам подвергались только исполняемые (* .exe, .com) и пакетные (* .bat) файлы. Развитие вирусной технологии расширило группу скомпрометированных файлов с файлами, содержащими фрагменты кода, библиотеки, драйверы устройств (* .bin, * .dll, * .drv, * .lib, * .obj, * .ovl, * .sys, * .vxd).
Принцип действия:
Заражение происходит путем добавления кода вируса в конец файла (старые вирусы) или изменения его начала и добавления кода в середине или конце (новые вирусы атакуют неисполняемые файлы). Загрузка зараженного файла в память эквивалентна активации вируса. Многие вирусы не уничтожают скомпрометированный файл, поэтому после активации можно запустить хост-программу, чтобы пользователь ничего не подозревал.
Вирусы загрузочного сектора диска
Другим носителем вируса может быть загрузочный сектор носителя данных, например жесткий диск (MBR – Master Boot Record) или дискета (загрузочный сектор). Эти типы вирусов особенно опасны. Это связано с тем, что после запуска компьютер пытается загрузить систему, сохраненную в первом секторе диска или дискеты. На любой отформатированной дискете, даже если она не содержит системных файлов, есть загрузочный сектор, поэтому он может содержать вирус.
Принцип действия:
Этот тип вируса может находиться в MBR и, например, уничтожать его содержимое, тем самым предотвращая доступ к диску. В противном случае вирус передает код инициализации системы из загрузочного сектора в другую область диска и занимает его место, что приводит к его загрузке до загрузки системы и, следовательно, также до запуска любого антивирусного программного обеспечения. Этот тип действий позволяет вирусам контролировать программное обеспечение, предназначенное для борьбы с ними.
FAT вирусы (таблица размещения вирусов, ссылка / FAT вирусы)
Для репликации вирусы могут также использовать единицы размещения файлов (JAP), на которые таблица FAT разделяет раздел жесткого диска DOS. Чтобы получить доступ к файлу DOS, он находит в FAT номер своей первой единицы выделения, а затем (в соответствии с FAT) загружает все единицы, занятые файлом.
Принцип действия:
Вирусы, атакующие JAP, изменяют значение первого JA одного или нескольких файлов на число, указывающее JA кода вируса. Загрузка такого файла вызывает запуск вируса, который может загружать или не загружать правильную программу (для этого он должен запомнить исходный номер своего первого JAP).
Макровирусы
Макровирусы относятся к самому молодому семейству вирусов. Их создание связано с введением в офисные пакеты (например, MS Office, Lotus SmartSuite или Corel WordPerfect) языков, позволяющих создавать макросы, такие как, например, Visual Basic для приложений (VBA).
Принцип действия:
Большинство макровирусов Word используют тот факт, что шаблоны документов могут содержать макросы. Вирус активируется при открытии зараженного документа, после чего заражает исправные файлы с расширением * .doc и сохраняет их как шаблоны (документы не могут содержать макросы). На последнем этапе один или несколько автоматически выполняемых макросов заменяются кодом вируса.
Стелс-вирусы и полиморфные вирусы
В принципе, все перечисленные выше вирусы могут (но не обязаны) принадлежать к этой группе. Их появление связано с прогрессом в области их обнаружения. В первые годы появления вирусов у каждого была своя собственная подпись (только характерная строка байтов). Ситуация изменилась, когда болгарский информатик Dark Avenger разработал метод для создания самовосстанавливающихся вирусов.
Полиморфные вирусы не имеют фиксированной подписи, потому что их код изменяется автоматически при каждой инфекции.
Вирусы-невидимки — это вирусы, которые, когда антивирусная программа пытается получить доступ к зараженному файлу или диску, могут «на лету» восстанавливать поврежденные данные и скрывать их присутствие.
Эффекты вирусной инфекции
Активность вируса может иметь различные последствия в зависимости от его типа и назначения. Самыми «безобидными» являются вирусы, которые выводят на экран безобидное сообщение или используют систему только для воспроизведения. Гораздо худшие последствия — повреждение отдельных файлов, разрушение всего жесткого диска и даже повреждение компонентов компьютера, таких как материнская плата или платы расширения.
Вирусы, написанные неопытными программистами, обычно считаются очень вредными. Их вирусы, разработанные как «безвредные», могут нанести большой ущерб, вызванный ошибками в исходном коде.
Как защитить ПК от вирусов?
Основное правило — иметь хороший антивирусный пакет. «Пакет», потому что в настоящее время большинство программ такого типа состоит из множества модулей с различными функциями. При выборе антивирусного программного обеспечения стоит убедиться, что он содержит следующие компоненты:
- Пользовательский сканер (так называемый «ручной», сканер по требованию) – базовый модуль, встречающийся во всех видах программного обеспечения. Позволяет сканировать файлы пользователем в выбранное им время. Стандарт — управление сжатыми файлами.
- Резидентный сканер — сканер, который работает в фоновом режиме все время. В его задачи входит постоянный контроль всех запускаемых файлов, открытых документов или вставленных дискет. Он должен иметь функцию сканирования файлов, загруженных из Интернета.
- Расписание — позволяет запрограммировать пакет так, чтобы он искал вирусы в определенное время, например ночью.
Кроме того, антивирусное программное обеспечение должно обеспечивать генерацию отчетов о текущей работе. Также очень важно, чтобы сканер использовал новейшие методы поиска, такие как метод эвристического обнаружения вирусов, защищает от полиморфных вирусов, состоит в анализе кода файла и моделировании его выполнения. Он позволяет обнаруживать специфичные для вируса операции, такие как прямое тестирование, доступ к диску или контрольные суммы.
Источник