Комп`ютерні віруси та антивірусні програми 2

ФГТУ ВПО "Саратовський державний аграрний університет імені М. І. Вавілова"

РЕФЕРАТ

Тема: Комп'ютерні віруси та антивірусні програми

Студент I курсу

Заочне відділення

Спеціальність: земельний кадастр

Єрмачков Денис Олександрович

Викладач: Гаманюк Микола Григорович

Саратов 2010

1. Поняття "комп'ютерного вірусу" і його властивості

Комп'ютерний вірус - це шкідливий самораспространяющемуся в інформаційному середовищі програмний код. Він може впроваджуватися в виконувані і командні файли програм, поширюватися через завантажувальні сектори дискет та жорстких дисків, документи офісних додатків, через електронну пошту, Web-сайти, по інших електронних каналах. Проникнувши в комп'ютерну систему, вірус може обмежитися нешкідливими візуальними або звуковими ефектами, але може і викликати втрату або спотворення даних, витік особистої та конфіденційної інформації. У гіршому разі комп'ютерна система, уражена вірусом, опиниться під повним контролем зловмисника.

(Virus - з лат.) - Вид програм, що характеризуються здатністю прихованого від користувача саморозмноження для ураження інших програм, комп'ютерів або мереж.

Основну масу вірусів створюють студенти та школярі, які тільки що вивчили мову асемблера, хочуть спробувати свої сили. Значна частина таких вірусів їх авторами часто не поширюється.

Другу групу складають також молоді люди (частіше - студенти), які ще не повністю оволоділи мистецтвом програмування, але вже вирішили присвятити себе написанню та розповсюдженню вірусів. Як правило, вони створюють численні модифікації "класичних" вірусів, або віруси вкрай примітивні і з великою кількістю помилок. Вихід конструкторів вірусів, за допомогою яких можна створювати нові віруси навіть при мінімальних знаннях про операційну систему та асемблері значно полегшив їм роботу.

Ставши старше і досвідченіше, багато хто з подібних вірусописьменників потрапляють у третю, найбільш небезпечну групу, яка створює і запускає в світ "професійні" віруси. Це ретельно продумані і налагоджені програми. Такі віруси нерідко використовують досить оригінальні алгоритми, недокументовані і мало кому відомі способи проникнення в системні області даних.

Четверта група авторів вірусів - "дослідники". Ця група складається з талановитих програмістів, які займаються винаходом принципово нових методів зараження, приховування, протидії антивірусам і т.д. Вони ж придумують способи впровадження в нові операційні системи, конструктори вірусів і поліморфік-генератори. Ці програмісти пишуть віруси не заради власне вірусів, а швидше ради "дослідження" потенціалів "комп'ютерної вірусології".

При зараженні комп'ютера вірусом важливо його знайти, для цього слід знати основні ознаки його прояву:

- Припинення роботи або неправильна робота раніше успішно функціонуючих програм;

- Повільна робота комп'ютера;

- Неможливість завантаження операційної системи;

- Зникнення файлів і каталогів або перекручування їхнього вмісту;

- Зміна дати і часу модифікації файлів;

- Зміна розміру файлів;

- Несподіване значне збільшення кількості файлів на диску;

- Істотне зменшення розміру вільної оперативної пам'яті;

- Виведення на екран непередбачених повідомлень або зображень;

- Подача непередбачених звукових сигналів;

- Часті зависання і збої в роботі комп'ютера.

Слід зазначити, що перераховані вище явища необов'язково викликаються присутністю вірусу, а можуть бути наслідком інших причин. Тому завжди утруднена правильна діагностика стану комп'ютера. Заразитися комп'ютерним вірусом можна тільки в дуже обмеженій кількості випадків. Це:

- Запуск на комп'ютері виконуваної програми, зараженої вірусом;

- Завантаження комп'ютера з дискети, яка містить завантажувальний вірус;

- Підключення до системи зараженого драйвера;

- Відкриття документа, зараженого макровірусів;

- Установка на комп'ютері зараженої операційної системи.

Комп'ютер не може бути заражений, якщо:

- На нього переписувалися текстові та графічні файли (за винятком файлів, які передбачають виконання макрокоманд);

- На ньому вироблялося копіювання з однієї дискети на іншу за умови, що ні один файл з дискет не запускався;

- На комп'ютері проводиться обробка принесених ззовні текстових і графічних файлів, файлів даних та інформаційних файлів (за винятком файлів, які передбачають виконання макрокоманд);

- Переписування на комп'ютер зараженого вірусом файлу ще не означає зараження його вірусом. Щоб зараження відбулося потрібно або запустити заражену програму, або підключити заражений драйвер, або відкрити заражений документ (або, природно, завантажитися з зараженої дискети). Інакше кажучи, заразити свій комп'ютер можна тільки в тому випадку, якщо запустити на ньому неперевірені програми і (або) програмні продукти, встановити неперевірені драйвера і (або) операційні системи, завантажитися з неперевіреною системної дискети або відкрити неперевірені документи, піддані зараженню макровирусами.

2. Класифікація комп'ютерних вірусів

На сьогоднішній день відомі десятки тисяч різних вірусів. Незважаючи на такий достаток, число типів вірусів, що відрізняються один від одного механізмом розповсюдження і принципом дії, дуже обмежено. Існують і комбіновані віруси, які можна віднести одночасно до декількох типів. Таким чином, віруси можна класифікувати за такими ознаками:

- Середовищі проживання;

- Способом зараження середовища перебування;

- Ступеня впливу;

- Особливостями алгоритму.

1. У залежності від середовища перебування віруси ділять на:

1) мережеві - поширюються по різних комп'ютерних мереж;

2) файлові - вражають файли з розширенням. Com,. Ехе, рідше. Sys або оверлейні модулі. Ехе файлів. Ці віруси дописують своє тіло на початок, середину або кінець файлу і змінюють його таким чином, щоб першими отримати управління. Отримавши управління, вірус може заразити інші програми, впровадитися в оперативну пам'ять комп'ютера і т.д. Деякі з цих вірусів не дбають про збереження заражає файли, в результаті чого він виявляється непрацездатним і не підлягає відновленню;

3) завантажувальні - отримують управління на етапі ініціалізації комп'ютера, ще до початку завантаження ОС. При зараженні дискети або жорсткого диска завантажувальний вірус замінює завантажувальний запис BR або головний завантажувальний запис MBR. При початковому завантаженні комп'ютера BIOS зчитує завантажувальний запис з диска або дискети, в результаті чого вірус отримує управління ще до завантаження ОС. Потім він копіює себе в кінець оперативної пам'яті і перехоплює кілька функцій BIOS. В кінці процедури зараження вірус завантажує в пам'ять комп'ютера справжній завантажувальний сектор і передає йому управління. Далі все відбувається, як завжди, але вірус вже знаходиться в пам'яті і може контролювати роботу всіх програм і драйверів;

4) файлово-завантажувальні - комбіновані віруси, які об'єднують властивості файлових і завантажувальних. Як приклад можна привести широко поширений колись файлово-завантажувальний вірус OneHalf. Проникаючи в комп'ютер з ОС MS-DOS, цей вірус заражає головний завантажувальний запис. Під час завантаження вірус поступово шифрує сектори жорсткого диска, починаючи з самих останніх секторів. Вірус OneHalf використовує різні механізми маскування.

2. За способом зараження середовища перебування віруси діляться на:

1) резидентні - при зараженні (інфікуванні) комп'ютера залишає в оперативній пам'яті свою резидентну частину, яка потім перехоплює звернення ОС до об'єктів зараження (файлів, завантажувальних секторів дисків і т. п.) і впроваджується в них. Резидентні віруси знаходяться в пам'яті і є активними аж до вимикання або перезавантаження комп'ютера;

2) нерезидентні віруси не заражають пам'ять комп'ютера і є активними обмежений час.

3. За ступенем впливу віруси можна розділити на:

1) безпечні, не заважають роботі комп'ютера, але зменшують обсяг вільної оперативної пам'яті і пам'яті на дисках, дії таких вірусів виявляються в яких-небудь графічних або звукових ефектах;

2) небезпечні віруси, які можуть призвести до різних порушень в роботі комп'ютера;

3) особливо небезпечні, вплив яких може привести до втрати програм, знищення даних, стирання інформації в системних областях диска.

4. За особливостями алгоритму:

Велика розмаїтість вірусів викликає труднощі у їх класифікації за цією ознакою.

1) Найпростіші віруси - паразитичні, вони змінюють вміст файлів і секторів диска і можуть бути досить легко виявлені і знищені;

2) віруси-невидимки (стелс-віруси) - намагаються приховати свою присутність в комп'ютері. Вони мають резидентний модуль, який постійно перебуває в оперативній пам'яті комп'ютера. Цей модуль перехоплює звернення до дискової підсистеми комп'ютера. Якщо ОС або інша програма зчитують файл зараженої програми, то вірус підставляє справжній, незаражений, файл програми. Для цього резидентний модуль може тимчасово видаляти вірус з зараженого файлу. Після закінчення роботи з файлом він заражається знову. Завантажувальні стелс-віруси діють за такою ж схемою. Коли яка-небудь програма зчитує дані з завантажувального сектора, замість зараженого підставляється справжній завантажувальний сектор.

3) макрокомандние віруси. Файли документів Microsoft Office можуть містити в собі невеликі програми для обробки цих документів, складені на мові Visual Basic for Applications. Це відноситься і до баз даних Access, а також до файлів презентацій Power Point. Такі програми створюються з використанням макрокоманд, тому віруси, що живуть в офісних документах, називаються макрокоманднимі. Макрокомандние віруси розповсюджуються разом з файлами документів. Щоб заразити комп'ютер таким вірусом, досить просто відкрити файл документа у відповідній програмі. Распространненой даного виду вірусів в чималому ступені сприяє популярність Microsoft Office. Вони можуть змінювати заражені документи, залишаючись непоміченими довгий час.

Крім вірусів прийнято виділяти ще, принаймні, три види шкідливих програм. Це троянські програми, логічні бомби і програми-черв'яки. Чіткого розподілу між ними не існує: троянські програми можуть містити віруси, в ​​віруси можуть бути вбудовані логічні бомби і ін

4) Троянські програми - за основним призначенням троянські програми абсолютно нешкідливі або навіть корисні. Але коли користувач запише програму в свій комп'ютер і запустить її, вона може непомітно виконувати шкідливі функції. Найчастіше троянські програми використовуються для початкового поширення вірусів, для отримання віддаленого доступу до комп'ютера через Інтернет, крадіжки даних або їх знищення;

5) логічні бомби - програма або її окремі модулі, які за певних умов виконують шкідливі дії. Логічна бомба може, наприклад, спрацювати по досягненні певної дати або тоді, коли в базі даних з'явиться або зникне запис, і т. д. Така бомба може бути вбудована в віруси, троянські програми і навіть у звичайні програми;

6) програми-черв'яки націлені на виконання певної функції, наприклад, на проникнення в систему і модифікацію даних. Можна, скажімо, створити програму-хробак, підглядають пароль для доступу до банківської системи і змінює базу даних. Широко відома програма-черв'як була написана студентом Корнельського університету Робертом Морісом. Хробак Морріса був запущений в Інтернет 2 листопада 1988 і за 5 годин зміг проникнути більш ніж на 6000 комп'ютерів. Деякі віруси-черв'яки (наприклад, Code Red) існують не всередині файлів, а у вигляді процесів в пам'яті зараженого комп'ютера. Це виключає їх виявлення антивірусами, сканирующими файли і залишають без уваги оперативну пам'ять комп'ютера;

7) віруси в системах документообігу - документи, що зберігаються в базах даних таких систем документообігу, як Lotus Notes і Microsoft Exchange, теж можуть містити віруси, точніше, шкідливі дії. Вони можуть активізуватися при виконанні будь-яких дій над документом (наприклад, коли користувач клацає кнопку мишею). Оскільки такі віруси розташовані не у файлах, а в записах баз даних, для захисту від них потрібні спеціалізовані антивірусні програми;

8) нові й екзотичні віруси. У міру розвитку комп'ютерних технологій вдосконалюються і комп'ютерні віруси, пристосовуючись до нових для себе сфер існування. Так, новий вірус W32/Perrun, повідомлення про який є на сайті компанії Network Associates, здатний поширюватися ... через файли графічних зображень формату JPEG. Відразу після запуску W32/Perrun шукає файли з розширенням. JPG і дописує до них свій код. Треба сказати, що цей вірус не є небезпечним і вимагає для свого поширення окремої програми. Серед інших "досягнень" творців шкідливих програм заслуговує уваги вірус Palm.Phage. Він заражає програми "наладонних" комп'ютерів PalmPilot, переписуючи файли цих додатків своїм кодом. Поява таких вірусів, як W32/Perrun і Palm.Phage, свідчить про те, що в будь-який момент може народитися комп'ютерний вірус, троянська програма, черва нового, невідомого раніше типу, або відомого типу, але націленого на нове комп'ютерне обладнання. Нові віруси можуть використовувати невідомі або не існували раніше канали розповсюдження, а також нові технології впровадження в комп'ютерні системи.

3. Антивірусні програми

Антивірус - це програма, призначена для сканування і розпізнавання на комп'ютері користувача програм або скриптів (скрипт - текстовий файл, що містить секції, параметри секцій і значення параметрів секцій, описують дії, які необхідно виконати інтерпретатору скрипта), макросів (макрос - це набір команд, які можна застосувати, натиснувши лише одну клавішу). За допомогою макросу можна автоматизувати будь-яка дія, що виконується у використовуваному додатку, яке може завдати шкоди здоров'ю користувача або істотно сповільнити роботу комп'ютера.

Антивірусні програми можна розділити на кілька типів:

- Детектори. Їх призначення - лише виявити вірус. Детектори вірусів можуть порівнювати завантажувальні сектори дискет з відомими завантажувальними секторами, формованими операційними системами різних версій, і таким чином виявити завантажувальні віруси або виконувати сканування файлів на магнітних дисках з метою виявлення сигнатур відомих вірусів. Такі програми в чистому вигляді в даний час рідкі.

- Доктора (Фагі. Фаг) - це програма, яка здатна не тільки виявити, а й знищити вірус, тобто видалити його код із заражених програм і відновити їх працездатність (якщо можливо). Найвідомішим у Росії фагом є Aidstest, створений Д. М. Лозинським. Одна з останніх версій виявляє більше 8000 вірусів. Aidstest для свого нормального функціонування потребує, щоб у пам'яті не було резидентних антивірусів, блокуючих запис в програмні файли, тому їх слід вивантажити, або, вказавши опцію вивантаження самої резидентної програмі, або скористатися відповідною утилітою.

- Ревізори. Програма-ревізор контролює можливі шляхи розповсюдження програм-вірусів і зараження комп'ютерів. Програми-ревізори відносяться до найнадійніших засобів захисту від вірусів і повинні входити в арсенал кожного користувача. Ревізори є єдиним засобом, який дозволяє слідкувати за цілісністю і змінами файлів і системних областей магнітних дисків. Найбільш відома в Росії програма-ревізор ADinf, розроблена Д. Мостовим.

- Вакцини. Так називаються антивірусні програми, що ведуть себе подібно вірусам, але не завдають шкоди. Вакцини оберігають файли від змін і здатні не тільки виявити факт зараження, але і в деяких випадках "вилікувати" уражені вірусами файли. В даний час антивірусні програми-вакцини широко не застосовуються, так як у минулі роки деякими некоректно працюють вакцинами було завдано шкоди багатьом користувачам.

Для знаходження вірусів Dr Web використовує програму емуляцію процесора, тобто він моделює виконання інших файлів за допомогою програмної моделі мікропроцесора I-8086 і тим самим створює середовище для прояву вірусів та їх розмноження. Таким чином, програма Dr Web може боротися не тільки з поліморфними вірусами, але і вірусів, які тільки ще можуть з'явитися в перспективі.

Основними функціональними особливостями Dr Web є:

· Захист від черв'яків, вірусів, троянів, поліморфних вірусів, макровірусів, spyware, програм-дозвонщиков, adware, хакерських утиліт і шкідливих скриптів;

· Оновлення антивірусних баз до декількох разів на годину, розмір кожного оновлення до 15 KB;

· Перевірка системної пам'яті комп'ютера, що дозволяє виявити віруси, не існуючі у вигляді файлів (наприклад, CodeRed або Slammer);

· Евристичний аналізатор, що дозволяє знешкодити невідомі загрози до виходу відповідних оновлень вірусних баз.

Будь-який сучасний антивірусний продукт - це не тільки набір окремих технологій детектування, але й складна система захисту, побудована на власному розумінні антивірусної компанією того, як потрібно забезпечувати безпеку від шкідливих програм.

Антивірус Касперського Personal призначений для антивірусного захисту персональних комп'ютерів, що працюють під управлінням операційних систем Windows 98/ME, 2000/NT/XP, від всіх відомих видів вірусів, включаючи потенційно небезпечне програмне забезпечення. Програма здійснює постійний контроль всіх джерел проникнення вірусів - електронної пошти, інтернету, дискет, компакт-дисків і т.д. Унікальна система евристичного аналізу даних ефективно нейтралізує невідомі віруси. Можна виділити наступні варіанти роботи програми (вони можуть використовуватися як окремо, так і в сукупності):

· Постійний захист комп'ютера - перевірка всіх запускаються, відкриваються і зберігаються на комп'ютері об'єктів на присутність вірусів.

· Перевірка комп'ютера за вимогою - перевірка і лікування як усього комп'ютера в цілому, так і окремих дисків, файлів або каталогів. Таку перевірку ви можете запускати самостійно або настроїти її регулярний автоматичний запуск.

Програма створює надійний бар'єр на шляху проникнення вірусів через електронну пошту. Антивірус Касперського Personal автоматично здійснює перевірку і лікування всієї вхідної та вихідної кореспонденції поштові по протоколах POP3 і SMTP і ефективно виявляє віруси в поштових базах. Програма підтримує більше семисот форматів архівованих і стислих файлів і забезпечує автоматичну антивірусну перевірку їх вмісту, а також видалення шкідливого коду з архівних файлів формату ZIP, CAB, RAR, ARJ, LHA і ICE. До складу Антивірусу Касперського включений спеціальний компонент, який забезпечує захист файлової системи комп'ютера від зараження - Файловий Антивірус. Він запускається при старті операційної системи, постійно знаходиться в оперативній пам'яті комп'ютера і перевіряє всі відкриваються, зберігаються і запускаються вами або програмами файли.