Компьютерные вирусы. Антивирусные программы

 

Компьютерный вирус – это программа, способная создавать свои копии, внедрять их в различные объекты или ресурсы компьютерных систем, сетей и производить определенные действия без ведома пользователя.

Программа, внутри которой находится вирус, называется зараженной (инфицированной). Когда инфицированная программа начинает работу, то сначала управление получает вирус. Вирус заражает другие программы, а также выполняет запланированные деструктивные действия. Для маскировки вирус активизируется не всегда, а лишь при выполнении определенных условий (время, действие). После того, как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится.

Подобно настоящим вирусам, компьютерные вирусы прячутся, размножаются и ищут возможность перейти на другие ЭВМ.

Различные вирусы выполняют различные деструктивные действия:

· выводят на экран мешающие текстовые сообщения;

· создают звуковые эффекты;

· создают видеоэффекты;

· замедляют работу ЭВМ, постепенно уменьшают объем оперативной памяти;

· увеличивают износ оборудования;

· вызывают отказ отдельных устройств, зависание или перезагрузку компьютера и крах работы всей ЭВМ;

· имитируют повторяющиеся ошибки работы операционной системы;

· уничтожают FAT-таблицу, форматируют жесткий диск, стирают BIOS, стирают или изменяют установки в CMOS, стирают секторы на диске, уничтожают или искажают данные, стирают антивирусные программы;

· осуществляют научный, технический, промышленный и финансовый шпионаж;

· выводят из строя системы защиты информации, дают злоумышленникам тайный доступ к вычислительной машине;

· делают незаконные отчисления с каждой финансовой операции и т. д..

Главная опасность самовоспроизводящихся кодов заключается в том, что программы-вирусы начинают жить собственной жизнью, практически не зависящей от разработчика программы. Так же, как в цепной реакции в ядерном реакторе, запущенный процесс трудно остановить.

Основные симптомы вирусного заражения ЭВМ следующие: замедление работы некоторых программ; увеличение размеров файлов; появление не существовавших ранее файлов; уменьшение объема доступной оперативной памяти; появление сбоев в работе операционной системы; запись информации на диски в моменты, когда этого не должно происходить.

Рассмотрим основные виды вирусов. Существуют различные классификации вирусов.

По среде обитания – это файловые, загрузочные, загрузочно-файловые вирусы. Файловые инфицируют исполняемые файлы, имеющие расширение exe и com. К этому же классу относятся и макровирусы, написанные с помощью макрокоманд. Они заражают рабочие файлы программ поддерживающих макросы. Преимущественно это программы пакета Microsoft Office. Загрузочные внедряются в загрузочный сектор устройств внешней памяти или в сектор, содержащий программу загрузки системного диска. Некоторые вирусы записываются в свободные секторы диска, помечая их в файловой-таблице как нерабочие. Загрузочно-файловые интегрируют черты последних двух групп.

По способу заражения (активизации) – это резидентные и нерезидентные вирусы. Резидентный вирус логически можно разделить на две части - инсталятор и резидентный модуль. При запуске инфицированной программы управление получает инсталятор, который выполняет следующие действия:

· размещает резидентный модуль вируса в ОЗУ и выполняет операции, необходимые для того, чтобы последний хранился в ней постоянно;

· подменяет некоторые обработчики прерываний, чтобы резидентный модуль мог получать управление при возникновении определенных событий.

Нерезидентный вирусы не заражают оперативную память и проявляют свою активность лишь однократно при запуске инфицированной программы.

По степени опасности вирусы могут быть неопасные, не повреждающие информаию и не влияющие на работу программ. Иногда воспроизводят различные звуковые и видеоэффекты. Основной вред от них – это уменьшение свободного места на устройстве внешней памяти за счет размножения вируса. Опасные, способны дестабилизировать работу операционной системы или отдельных программ. Очень опасные, которые могут повредить или уничтожить файлы на устройстве внешней памяти или повредить некоторые устройства компьютера.

По особенностям алгоритма вирусы делятся на компаньон-вирусы, паразитические, черви, невидимки (стелс-вирусы) и полиморфные вирусы.

Компаньон-вирусы не изменяют файлов. Алгоритм их работы состоит в том, что они создают для exe-файлов новые файлы-спутники (дубликаты), имеющие то же имя, но с расширением com. (com-файл обнаруживается первым, а затем вирус запускает exe-файл).

Паразитические при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов (все вирусы кроме компаньонов и червей).

Черви (репликаторы) аналогично компаньонам не изменяют файлы и секторы диска. Они проникают в компьютер по сети, вычисляют сетевые адреса других компьютеров и рассылают по этих адресам свои копии. Черви уменьшают пропускную способность сети, замедляют работу серверов.

Невидимки (стелс-вирусы) - используют набор средств для маскировки своего присутствия в ЭВМ. Их трудно обнаружить, т.к. Они перехватывают обращения ОС к пораженным файлам или секторам и подставляют незараженные участки файлов;

Полиморфные вирусы (мутанты) - шифруют собственный код различными способами. Их трудно обнаружить, т.к. Их копии практически не содержат полностью совпадающих участков кода;

Троянская программа - маскируется под полезную или интересную программу, выполняя при запуске еще и функции вируса. Троянские прграммы предназначены в основном для кражи конфиденциальной информации или для удаленного администрирования. В отличие от вирусов, троянские программы не обладают свойством самовоспроизводства.

По целостности вирусы бывают монолитные представляющие единый блок и распределенные, когда программа разделена на части. Эти части содержат инструкции, которые указывают как собрать их воедино, чтобы воссоздать вирус.

Антивирус это программный продукт, выполняющий одну либо несколько из следующих функций: 1) защиту данных от разрушения; 2) обнаружение вирусов; 3) нейтрализацию вирусов; 4) контроль обмена данными через компьютерную сеть.

В состав антивирусной программы могут входить следующие модули:

Программы-детекторы рассчитаны на обнаружение конкретных, заранее известных программе вирусов и основаны на сравнении характерной последовательности байтов (сигнатур), содержащихся в теле вируса, с байтами проверяемых программ. Программы-детекторы снабжаются блоками эвристического анализа. В этом режиме делается попытка обнаружить новые или неизвестные вирусы по характерным для всех вирусов кодовым последовательностям.

Программы-дезинфекторы (фаги) не только находят зараженные файлы, но и лечат их, удаляя из файла тело программы-вируса.

Программы-ревизоры анализируют текущее состояние файлов и системных областей диска и сравнивают его с информацией, сохраненной ранее. При этом проверяется состояние загрузочного сектора, файловой таблицы, а также длина файлов, их время создания, атрибуты, контрольные суммы. Программы-фильтры (мониторы) оповещают пользователя обо всех попытках какой-либо программы выполнить подозрительные действия. Фильтры контролируют обновление программных файлов и системной области диска, форматирование диска, резидентное размещение программ в ОЗУ.

Рассмотрим основные меры по защите ЭВМ от заражения вирусами.

Необходимо оснастить ЭВМ современными антивирусными программами и постоянно обновлять их версии.

При работе в сети обязательно должна быть установлена программа-фильтр.

Перед считыванием информации с носителей, записанных на других ЭВМ, следует всегда проверять их на наличие вирусов.

При переносе файлов в архивированном виде необходимо их проверять сразу же после разархивации.

При работе на других компьютерах необходимо защищать свои носители информации от записи.

Делать архивные копии ценной информации на других носителях.

Не оставлять подключенными носители при включении или перезагрузке ЭВМ, это может привести к заражению загрузочными вирусами.

Получив электронное письмо, к которому приложен исполняемый файл, не следует запускать этот файл без предварительной проверки.

 

Вопросы и задания для самоконтроля

1. Дайте определение понятия «компьютерный вирус».

2. Каковы основные признаки заражения компьютера вирусами?

3. Классифицируйте компьютерные вирусы по среде обитания.

4. Классифицируйте компьютерные вирусы по способу заражения.

5. Классифицируйте компьютерные вирусы по деструктивным возможностям.

6. Перечислите и охарактеризуйте основные модули антивирусных программ.