Зміст
1. Вступ
2. Класифікація комп'ютерних вірусів
2.1 Файлові віруси
2.2 Завантажувальні віруси
2.3 Макровіруси
2.4 Мережеві віруси
3. Антивірусні програми
4. Типи антивірусів
4.1 Сканери
4.2 CRC-сканери
4.3 Монітори
Список використаної літератури
1. Вступ
Перші дослідження саморозмножуються штучних конструкцій проводилися в середині минулого століття. У роботах фон Неймана, Вінера й інших авторів дані визначення і проведене математичний аналіз кінцевих автоматів, у тому числі і що самовідтворюються. Термін "комп'ютерний вірус" з'явився пізніше. Офіційно вважається, що його вперше ужив співробітник Лехайскогоуніверситету (США) Ф. Коен в 1984 р. на 7-й конференції з безпеки інформації, яка проводилася в США. З тих пір пройшло чимало часу, гострота проблеми вірусів багаторазово зросла, однак суворо визначення, що таке комп'ютерний вірус, так і не даний, незважаючи на те, що багато хто намагався це зробити неодноразово.
Основні труднощі, що виникають при спробах дати строге визначення вірусу, полягає в тому, що практично усі відмітні риси вірусу (впровадження в інші об'єкти, скритність, потенційна небезпека) або властиві іншим програм, які в жодному разі вірусами не є, або існують віруси, які не містять зазначених вище відмітних рис (за винятком можливості поширення).
Тому представляється можливим сформулювати тільки обов'язкова умова для того, щоб деяка послідовність виконуваного коду була вірусом.
Обов'язкове (необхідне) властивість комп'ютерного вірусу - можливість створювати свої дублікати (не завжди збігаються з оригіналом) і впроваджувати їх в обчислювальні мережі і / чи файли, системні області комп'ютера та інші виконувані об'єкти. При цьому дублікати зберігають здатність до подальшого поширення.
2. Класифікація комп'ютерних вірусів
Віруси можна розділити на класи за такими основними ознаками:
середовище існування;
операційна система;
особливості алгоритму роботи;
деструктивні можливості.
У залежності від середовища перебування віруси можна розділити:
файлові;
завантажувальні;
мережні.
Файлові віруси або різними способами впроваджуються у виконувані файли, або створюють файли-двійники, або використовують особливості організації файлової системи.
Завантажувальні віруси записують себе або в завантажувальний сектор диска, або в сектор, що містить системний завантажувач вінчестера, або змінюють покажчик на boot-сектор.
Макровіруси заражають файли-документи й електронні таблиці декількох популярних редакторів.
Мережеві віруси використовують для свого поширення протоколи або команди комп'ютерних мереж і електронної пошти.
Існує велика кількість сполучень, наприклад, файлово-завантажувальні віруси, що заражають як файли, так і завантажувальні сектори дисків. Такі віруси, як правило, мають досить складний алгоритм роботи, часто застосовують оригінальні методи проникнення в систему. Інший приклад такого сполучення - мережний макровірус, який не тільки заражає редаговані документи, але і розсилає свої копії по електронній пошті.
Заражається операційна система є другим рівнем розподілу вірусів на класи.
Кожен файловий і мережевий вірус заражає файли який-небудь однієї або декількох операційних систем - DOS, Windows, Win 95 / NT, OS / 2 і т.д.
Макровіруси заражають файли форматів Word, Excel, Office 97.
Завантажувальні віруси також орієнтовані на конкретні формати розташування системних даних у завантажувальних секторах дисків.
Серед особливостей алгоритму роботи вірусів виділяються наступні:
резидентність;
використання "стелс"-алгоритмів;
самошифрування і поліморфічность;
використання нестандартних прийомів.
Резидентний вірус при інфікуванні комп'ютера залишає в операційній пам'яті свою резидентну частину, яка потім перехоплює звертання операційної системи до об'єктів зараження і впроваджується в них. Резидентні віруси активні не тільки в момент роботи інфікованої програми, але і після того, як програма закінчила свою роботу. Резидентні копії таких вірусів залишаються життєздатними аж до чергового перезавантаження, навіть якщо на диску знищені всі інфіковані файли. Часто від таких вірусів неможливо позбутися відновленням усіх копій файлів з дистрибутивних дисків. Резидентні копія вірусу залишається активною і заражає новостворювані файли. І це вірно для завантажувальних вірусів, форматування диска при наявності в пам'яті резидентного вірусу не завжди виліковує диск, оскільки багато резидентні віруси заражають його повторно після того, як він був відформатований.
Резидентними можна вважати макровіруси, оскільки вони також присутні пам'яті комп'ютера протягом усього часу роботи зараженого редактора. При цьому роль операційної системи бере на себе редактор, а поняття "перезавантаження операційної системи" трактується як вихід з редактора.
Нерезидентні віруси, навпаки, активні досить нетривалий час - тільки в момент запуску інфікованої програми. Для свого поширення вони шукають на диску незаражені файли і записуються в них.
Після того, як код вірусу передає керування програмі-носію, вплив вірусу на операційну систему зводиться до нуля аж до чергового запуску будь-якої зараженої програми. Тому файли, заражені вірусами нерезидентними, значно простіше видалити з диску, при цьому вірус не заразить їх повторно.
Використання "стеллс"-алгоритмів дозволяє вірусам цілком або частково сховати себе в системі. Найбільш поширеним "стеллс"-алгоритмом є перехоплення запитів операційної системи на читання-запис заражених об'єктів і потім "стеллс"-віруси або тимчасово лікують їх, або підставляють замість себе незаражені ділянки інформації. У разі макровірусів найбільш популярний спосіб - заборона викликів меню перегляду макросів.
Самошифрування і поліморфічность використовуються практично всіма типами вірусів для того, щоб максимально ускладнити процедуру виявлення вірусу. Полиморфик-вірусами є ті, виявлення яких неможливо (або вкрай важко) здійснити за допомогою так званих вірусних масок - ділянок коду, специфічних для конкретного вірусу. Досягається це двома способами - шифруванням основного коду вірусу з непостійним ключем і випадковим набором команд розшифровувача або зміною самого виконуваного коду вірусу.
Різні нестандартні прийоми часто використовуються у вірусах для того, щоб якомога глибше заховати себе в ядрі операційної системи, захистити від виявлення свою резидентну копію, утруднити лікування від вірусу і т.д.
За деструктивним можливостям віруси можна розділити на:
нешкідливі, тобто ніяк не впливають на роботу комп'ютера (крім зменшення вільної пам'яті на диску в результаті свого поширення);
безпечні, вплив яких обмежується зменшенням вільної пам'яті на диску і графічними, звуковими й іншими ефектами;
небезпечні віруси, які можуть призвести до серйозних збоїв у роботі комп'ютера;
дуже небезпечні - до алгоритму їх роботи завідомо закладені процедури, які можуть викликати втрату програм, знищити дані, стерти необхідну для роботи комп'ютера інформацію, записану в системних областях пам'яті.
Але навіть якщо в алгоритмі вірусу не знайдено галузей, що завдають шкоди системі, цей вірус не можна з повною впевненістю назвати нешкідливим, тому що проникнення його в комп'ютер може викликати непередбачені і часом катастрофічні наслідки. Адже вірус, як і всяка програма, має помилки, у результаті яких можуть бути зіпсовані як файли, так і сектори дисків.
2.1 Файлові віруси
До даної групи відносяться віруси, які при своєму розмноженні тим або іншим способом використовують файлову систему якоїсь операційної системи.
Файлові віруси можуть впроваджуватися практично у всі виконувані файли всіх популярних операційних систем.
Є віруси, що заражають файли, які містять вихідні тексти програм, бібліотечні або об'єктні модулі. Можливий запис вірусу й у файли даних, але це трапляється або в результаті помилки у вірусі, або при прояві його агресивних властивостей.
За способом зараження файлів віруси діляться на overwriting, паразитичні (parasitic), компаньйони-віруси (companion), link-віруси і віруси, що заражають об'єктні модулі (OBJ), бібліотеки компіляторів (LIB) і вихідні тексти програм.
Алгоритм роботи файлового вірусу:
Отримавши управління, вірус вчиняє наступні дії:
резидентний вірус перевіряє оперативну пам'ять на наявність своєї копії і інфікує пам'ять комп'ютера, якщо копія вірусу не знайдена; нерезидентний вірус шукає незаражені файли в поточному і (або) кореневому каталогах, в каталогах, зазначених командою PATH, сканує дерево каталогів логічних дисків, а потім заражає виявлені файли;
виконує, якщо вони є, додаткові функції: деструктивні дії, графічні чи звукові ефекти і т.д. (Додаткові функції резидентного вірусу можуть викликатися через деякий час після активізації в залежності від поточного часу, конфігурації системи, внутрішніх лічильників вірусу або інших умов; в цьому випадку вірус при активізації обробляє стан системних годин, встановлює свої лічильники і т.д.)
повертає управління основній програмі (якщо вона є). Паразитичні віруси при цьому або відновлюють програму (але не файл) в початковому вигляді, або лікують файл, виконують його, а потім знову заражають.
2.2 Завантажувальні віруси
Завантажувальні віруси заражають завантажувальний (boot) сектор гнучкого диска і boot-сектор або Master Boot Record (MBR) вінчестера. Принцип дії завантажувальних вірусів заснований на алгоритмах запуску операційної системи при включенні або перезавантаженні комп'ютера: після необхідних тестів встановленого обладнання (пам'яті, дисків) програма системної завантаження зчитує перший фізичний сектор завантажувального диска і передає управління на A:, C: або CD - ROM, в залежно від параметрів, встановлених в BIOS Setupe.
У разі дискети або CD-диска управління отримує boot-сектор диска, який аналізує таблицю параметрів диска, вираховує адреси системних файлів операційної системи, зчитує їх пам'ять і запускає на виконання. Якщо на завантажувальному диску відсутні файли операційної системи, програма, розташована в boot-секторі диска, видає повідомлення про помилку і пропонує замінити завантажувальний диск.
У разі вінчестера управління отримує програма, розташована в MBR вінчестера. Вона аналізує таблицю розбиття диска (Disk Partition Table), обчислює адресу активного boot-сектора (зазвичай на це сектором є boot-сектор диска С:), завантажує його в пам'ять і передає на нього управління. Отримавши управління, активний boot-сектор вінчестера проробляє ті ж дії, що і boot-сектори дискети.
При зараженні дисків завантажувальні віруси підставляють свій код замість якої-небудь програми, яка отримує управління при завантаженні системи. Принцип зараження: вірус "змушує" систему при перезапуску вважати в пам'ять і віддати керування не оригінальному коду завантажувача, а кодом вірусу.
Зараження дискет виробляється єдиним відомим способом: вірус записує свій код замість оригінального коду boot-сектора дискети.
Вінчестер заражається трьома можливими способами: вірус записується або замість коду MBR, або замість коду boot - сектору завантажувального диска (зазвичай С:), або модифікує адресу активного boot-сектора в Disk Partition Table, розташований в MBR вінчестера.
Алгоритм роботи завантажувального вірусу.
Практично всі завантажувальні віруси резидентні. Вони впроваджуються в пам'ять комп'ютера при завантаженні з інфікованого диска. При цьому системний завантажувач зчитує вміст першого сектора диска, з якого відбувається завантаження, поміщає зчитану інформацію в пам'ять і передає на неї (тобто на вірус) управління. Після цього починають виконуватися інструкції вірусу, який:
як правило, зменшує обсяг вільної пам'яті, копіює в місце, що звільнилося свій код і зчитує з диска своє продовження (якщо воно є);
перехоплює необхідні вектори переривань, зчитує в пам'ять оригінальний boot-сектор і передає на нього управління.
Надалі завантажувальний вірус поводиться так само, як резидентний файловий: перехоплює звертання операційної системи до дисків і інфікує їх, залежно від деяких умов здійснює деструктивні дії або викликає звукові або відеоефекти.
Існують і нерезидентні завантажувальні віруси. При завантаженні вони заражають MBR вінчестера і дискети, якщо ті присутні в дисководі. Потім такі віруси передають управління оригінальному завантажувачу і на роботу комп'ютера більше не впливають.
2.3 Макровіруси
Макровіруси є програмами на мовах (макромови), вбудованих в деякі системи обробки даних (текстові редактори, електронні таблиці). Для свого розмноження такі віруси використовують можливості макромов і з їх допомогою переносять себе з одного файлу (документа або таблиці) в інші. Найбільшого поширення набули макровіруси для Microsoft Word, Excel і Office 97.
Для існування вірусів у конкретній системі необхідна наявність вбудованого в систему макромови з можливостями:
прив'язки програми на макромови до конкретного файла;
копіювання макропрограми з одного файлу в іншій;
здобуття управління макропрограми без втручання користувача (автоматичні або стандартні макроси).
Алгоритм роботи Word-макровіруси
Більшість відомих Word-макровірусів при запуску переносять свій код (макроси) в область глобальних макросів документа, для цього вони використовують команди копіювання макросів MacroCopy, Organizer. Copy або за допомогою редактора макросів. Вірус викликає його, створює новий макрос, вставляє в нього свій код, який і зберігає в документі.
При виході з Word глобальні макроси автоматично записуються в DOT-файл глобальних макросів (зазвичай це NORMAL. DOT). Таким чином, при наступному запуску Word-вірус активізується в той момент, коли WinWord вантажить глобальні макроси.
Потім вірус перевизначає один або кілька стандартних макросів і перехоплює команди роботи файлами. При виклику цих команд вірус заражає файл, до якого йде звернення. Для цього вірус конвертує файл у формат Template (що робить неможливим подальше зміна формату файлу) записує у файл свої макроси, включаючи автомакрос.
Таким чином, якщо вірус перехоплює макрос FileSaveAs, то заражається кожен DOS-файл, що зберігається, через перехоплений вірусом макрос. Якщо перехоплений макрос FileOpen, то вірус записується в файл при його зчитуванні з диска.
Алгоритм роботи Excel-макровіруси
Методи розмноження Excel-вірусів в цілому аналогічні методам Word-вірусів. Відмінності полягають у командах копіювання макросів і у відсутності NORMAL. DOT, його функцію (у вірусному сенсі) виконують файли в STARTUP-КАТАЛОЗІ Excel.
2.4 Мережеві віруси
До мережевих відносяться віруси, які для свого поширення активно використовують протоколи і можливості локальних і глобальних мереж. Основним принципом роботи мережного вірусу є можливість самостійно передати свій код на віддалений сервер або робочу станцію.
Мережні віруси минулого поширювалися в комп'ютерній мережі і, як правило, не змінювали файли або сектори на дисках. Вони проникали в пам'ять комп'ютера з комп'ютерної мережі, обчислювали мережеві адреси інших комп'ютерів і розсилали по цих адресах свої копії.
Сучасні мережеві віруси - це Macro. Word. ShareFun і Win. Homer. перший з них використовує можливості електронної пошти Microsoft Mail. Він створює новий лист, що містить заражений фай-документ, потім вибирає зі списку адрес MS - Mail три випадкових адреси і розсилає по них заражений лист.
Другий вірус (Homer) використовує для поширення протокол FTP (File Trausfer Protocol) і передає свою копію на віддалений ftp-сервер у каталог Incoming. Оскільки мережний протокол FTP не дозволяє запускати файли на віддаленому сервері, цей вірус можна охарактеризувати як полусетевой, проте це реальний приклад можливостей вірусів по використанню сучасних мережних протоколів і поразки глобальних мереж.
3. Антивірусні програми
Найбільш ефективні в боротьбі з комп'ютерними вірусами антивірусні програми. Однак слід зазначити, що не існує антивірусів, що гарантують стовідсоткову захист від вірусів. Таких систем не існує, оскільки на будь-який алгоритм антивіруса завжди можна запропонувати контр-алгоритм вірусу, невидимого для цього антивіруса (зворотне, на щастя, теж вірно: на будь-який алгоритм вірусу завжди можна створити антивірус). Більш того, неможливість існування абсолютного антивіруса була доведена математично на основі теорії кінцевих автоматів, автор докази - Фред Коен.
Якість антивірусної програми визначається за такими позиціями, наведених в порядку убування їх значущості.
Надійність і зручність роботи - відсутність зависань антивіруса і інших технічних проблем, що вимагають від користувача спеціальної підготовки.
Це найбільш важливий критерій, оскільки навіть абсолютний антивірус може виявитися марним, якщо він буде не в змозі довести процес сканування до кінця - повисне і не перевірить частина дисків і файлів і, таким чином, залишить вірус непоміченим в системі. Якщо ж антивірус вимагає від користувача спеціальних знань, то він також виявиться марним, більшість користувачів просто проігнорують повідомлення антивіруса.
Ну а якщо антивірус буде занадто часто ставити складні питання пересічному користувачеві, то, швидше за все, користувач перестане звертатися до такого антивірусу.
Якість виявлення вірусів всіх поширених типів, сканування всередині файлів документів / таблиць (MS Word, Excel, Office), упакованих та файлів, що архівуються. Відсутність "помилкових спрацьовувань". Можливість лікування заражених об'єктів.
Будь-який антивірус марний, якщо він не в змозі ловити віруси або робить це не цілком якісно. Тому якість детектування вірусів є другим за важливістю критерієм "якості" антивірусної програми. Однак якщо при цьому антивірус з високою якістю детектування вірусів викликає велику кількість помилкових спрацьовувань, то його рівень корисності різко падає, оскільки користувач змушений або знищувати незаражені файли, або самостійно проводити аналіз підозрілих файлів, або звикає до частих помилкових спрацьовувань - перестає звертати увагу на повідомлення антивіруса і в результаті пропускає повідомлення реальному вірус.
Многоплатформная антивірусу є наступним пунктом у списку, оскільки тільки програма, розрахована на конкретну операційну систему, може повністю використовувати функції цієї системи. "Нерідні" ж антивіруси часто виявляються непрацездатними, а іноді навіть руйнівними.
Можливість перевірки файлів на льоту також є досить важливою рисою антивіруса. Миттєва і примусова перевірка приходять на комп'ютер файлів і вставляються дискет є практично стовідсотковою гарантією від зараження вірусом.
Наступним за важливістю критерієм є швидкість роботи. Якщо на повну перевірку комп'ютера антивірусу потрібно кілька годин, то навряд чи більшість користувачів будуть запускати його досить часто. При цьому протяжність антивіруса зовсім не говорить про те, що він ловить вірусів більше і робить це краще, ніж більш швидкий антивірус. У різних антивірусах використовуються різні алгоритми пошуку вірусів, один алгоритм може виявитися більш швидким і якісним, інший - повільним і менш якісним. Все залежить від здібностей і професіоналізму розробників конкретного антивіруса.
Наявність додаткових функцій і можливостей стоїть у списку якостей антивірусу на останньому місці, оскільки дуже часто ці функції ніяк не позначаються на рівні корисності антивіруса. Проте ці додаткові функції значно спрощують життя користувача.
4. Типи антивірусів
Найбільш популярними і ефективними антивірусними програмами є антивірусні сканери. Слідом за ними йдуть CRC-сканери. Часто обидва наведених методу об'єднують в одну універсальну програму, що значно підвищує її потужність. Застосовуються також різного типу монітори (блокувальники) і іммунізатори.
4.1 Сканери
Принцип роботи антивірусних сканерів заснований на перевірці файлів, секторів і системної пам'яті та пошуку в них відомих і нових (невідомих сканеру) вірусів. Для пошуку відомих вірусів використовуються так звані маски. Маскою вірусу є деяка постійна послідовність коду, специфічна для цього конкретного вірусу. Якщо вірус не містить маски або довжина цієї маски недостатньо велика, то використовуються інші методи. Прикладом такого методу є алгоритмічна мова, що описує всі можливі варіанти коду, які можуть зустрітися при зараженні подібного типу вірусом.
У багатьох сканерах використовуються також алгоритми евристичного сканування, тобто аналіз послідовності команд в об'єкті, що перевірявся, набір деякої статистики і ухвалення рішення для кожного об'єкта, що перевіряється.
До достоїнств сканерів відноситься їх універсальність, до недоліків - розміри антивірусних баз, які сканерів доводиться "тягати з собою", і відносно невелика швидкість пошуку вірусів.
4.2 CRC-сканери
Принцип роботи CRC-сканерів заснований на підрахунку CRC-сум (контрольних сум) для присутніх на диску файлів / системних секторів. Ці CRC-суми потім зберігаються в базі даних антивіруса, як і деяка інша інформація: довжини файлів, дати їх останньої модифікації і т.д. При наступному запуску CRC-сканери звіряють дані, що містяться в базі даних, з реально підрахованими значеннями. Якщо інформація про фото, записана в базі даних, не збігається з реальними значеннями, то CRC-сканери сигналізують про те, що файл був змінений або заражений вірусом.
CRC-сканери, що використовують "антістелс"-алгоритми, є досить сильною зброєю проти вірусів: практично 100% вірусів виявляються виявленими майже відразу після їх появи на комп'ютері. Проте в цього антивірусів є недолік, який помітно знижує їх ефективність.
Цей недолік полягає в тому, що CRC-сканери не здатні зловити вірус у момент його появи в системі, а роблять це лише через деякий час, вже після того, як вірус розійшовся по комп'ютеру. CRC-сканери не можуть детектувати вірус в нових файлах, оскільки в їхній базі даних відсутня інформація про ці файли.
Більше того, періодично з'являються віруси, які використовують цю "слабкість" CRC-сканерів, заражають тільки новостворювані файли і залишаються, таким чином, невидимими для CRC-сканерів.
4.3 Монітори
Антивірусні монітори - це резидентні програми, що перехоплюють вірусоопасние ситуації і повідомляють про це користувачеві. До вірусоопасним відносяться виклики на відкриття для запису у виконувані файли, запис у завантажувальні сектори дисків або MBR вінчестера, спроби програм залишитися резидентної, тобто виклики, які характерні для вірусів в моменти їхнього розмноження.
До достоїнств моніторів належить їх здатність виявляти і блокувати вірус на ранній стадії його розмноження. До недоліків відносяться існування шляхів обходу захисту монітора і велика кількість помилкових спрацьовувань, що, мабуть, і послужило причиною для практично повної відмови користувачів від подібного роду антивірусних програм.
Необхідно також відзначити такий напрямок антивірусних засобів, як антивірусні монітори, виконані у вигляді апаратних компонентів комп'ютера. Однак, як і у випадку з програмними моніторами, такий захист легко обійти. Також до перерахованих вище недоліків додаються проблеми сумісності зі стандартними конфігураціями комп'ютерів і складнощі при їх встановлення та налаштування. Все це робить апаратні монітори вкрай непопулярними на тлі інших типів антивірусного захисту.
4.4 иммунизаторов
Іммунізатори діляться на два типи: іммунатори, повідомляють про зараження, і іммунізатори, блокуючі зараження.
Перші зазвичай записуються в кінець файлів і при запуску файлу кожного разу перевіряють його на зміну. Недолік у таких иммунизаторов всього один, але він летален: абсолютна нездатність повідомити про зараження "стелс"-вірусом. Тому такі іммунізатори, як і монітори, практично не використовуються в даний час.
Другий тип імунізації захищає систему від поразки вірусом якогось певного виду. Файли на дисках модифікуються таким чином, що вірус приймає їх за вже заражені.
Для захисту від резидентного вірусу в пам'ять комп'ютера заноситься програма, що імітує копію вірусу, при запуску вірус натикається на неї і вважає, що система вже заражена.
Такий тип імунізації не може бути універсальним, оскільки не можна проіммунізіровать файли від всіх відомих вірусів. Однак, незважаючи на це, подібні іммунізатори в якості напівзаходи можуть цілком надійно захистити комп'ютер від нового невідомого вірусу аж до того моменту, коли він буде детектуватиметься антивірусними сканерами.
Список використаної літератури
1. Касперський Є.В. Комп'ютерні віруси: що це таке і як з ними боротися. - М.: СК Прес, 1998р. - 288 с.
2. Інформатика. Базовий курс.2-ге видання / За ред. С.В. Симоновича. - СПб.: Пітер, 2006. - 640 с.