Компьютерные вирусы

     Термин  «компьютерный вирус» впервые употребил  сотрудник Лехайского университета (США) Ф.Коэн в 1984 г. на 7-й конференции  по безопасности информации, проходившей  в США.

     Компьютерные  вирусы - это класс программ способных  к саморазмножению и самомодификации в работающей вычислительной среде и вызывающих нежелательные для пользователей действия.

     По  способу работы вирусы разделяют  на несколько типов.

     Файловые  вирусы поражают программы, то есть файлы типа СОМ или ЕХЕ, а также любые файлы , хранящие фрагменты исполняемых программ, например, файлы типа DLL   или OVL.Наличие таких вирусов можно заметить по изменённой длине или неправильной контрольной сумме файлов. Такие проверки выполняют специальные программы.

     Загрузочные вирусы могут копировать себя в загрузочный сектор жёсткого диска. Кроме этого они внедряются в системную область дискет, с которых производится загрузка операционной системы. Такие вирусы распространяются на заражённых загрузочных дискетах. Борьба с ними заключается в проверке данных соответствующих секторов дисков и установке программ, которые препятствуют изменению данных загрузочных секторов. Существуют вирусы, которые совмещают в себе качества загрузочных и файловых. Троянские вирусы являются имитацией настоящих программ или внедрёнными в реальные программы блоками. Такие вирусы распространяются пользователями, когда те устанавливают на своих компьютерах заражённые программы. Обнаружить вирус может антивирусная программа, в которой есть информация о конкретном «троянце».

     Макровирусы – программы, представляющие собой макрокоманды, использующиеся в сложных приложениях. В настоящее время макровирусы часто распространяются через программы пакета MS OFFICE, так как файлы документов и шаблонов включают макросы. Пользователи сами способствуют размножению вируса, создавая новые документы. Самым явным признаком макровируса служит отсутствие доступа к текстам макросов через меню приложения.

     Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

     Существует большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему. Другой пример такого сочетания - сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

     Заражаемая  ОПЕРАЦИОННАЯ СИСТЕМА (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS - DOS, Windows, Win95/NT, OS/2 и т.д. Макро-вирусы заражают файлы форматов Word, Excel, Office97. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.

     Среди ОСОБЕННОСТЕЙ АЛГОРИТМА РАБОТЫ вирусов выделяются следующие пункты:

     ·          резидентность;

     ·          использование стелс-алгоритмов;

     ·          самошифрование и полиморфичность;

     ·          использование нестандартных приемов

     РЕЗИДЕНТНЫЙ вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время.

     В многозадачных операционных системах время «жизни» резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов OC.

     Использование СТЕЛС - алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс -алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации. В случае макро-вирусов наиболее популярный способ — запрет вызовов меню просмотра макросов.

     САМОШИФРОВАНИЕ и ПОЛИМОРФИЧНОСТЬ используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик - вирусы (polymorphic) - это достаточно трудно обнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик - вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

     По  ДЕСТРУКТИВНЫМ ВОЗМОЖНОСТЯМ вирусы можно разделить на:

     безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

     неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;

     опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;

     очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов - вводить в резонанс и разрушать головки некоторых типов винчестеров.

     Первый  вирус появился где-то в самом  начале 70-х или даже в конце 60-х годов

     Вирус «Brain» и скачущий по экрану шарик  вируса «Ping-pong» ознаменовали победу вируса и над Boot-сектором. Все это очень не нравилось пользователям IBM-PC, и - появились противоядия. Первым попавшимся мне антивирусом был отечественный ANTI-KOT: это легендарный Олег Котик выпустил в свет первые версии своей программы, которая уничтожала целых 4 (четыре) вируса (американский SCAN появился у нас в стране несколько позднее).

     Время шло, вирусы плодились. Все они были чем-то похожи друг на друга, лезли в  память, цеплялись к файлам и секторам, периодически убивали файлы, дискеты  и винчестеры. Одним из первых файловых вирусов-невидимок (стелс) стал вирус «Frodo.4096». Этот вирус при обращении к зараженным файлам через DOS, изменял информацию таким образом, что файл появлялся перед пользователем в незараженном виде. Побольше хлопот доставляли самошифрующиеся вирусы, которые носят название полиморфик-вирусы. Эти вирусы используют другой подход к невидимости: они шифруются (в большинстве случаев), а в расшифровщике используют команды, которые могут не повторяться при заражении различных файлов.

     Защита  от компьютерных вирусов.

     Основными мерами защиты от вирусов считаются:

     ·     резервирование (копирование FAT, ежедневное ведение архивов измененных файлов);

     ·     профилактика (раздельное хранение вновь полученных программ и эксплуатирующихся, хранение неиспользуемых программ в архивах, использование специального диска для записи новых программ);

     ·     ревизия (анализ вновь полученных программ специальными средствами и их запуск в контролируемой среде, систематическая проверка ВООТ-сектора используемых дискет и содержимого системных файлов (прежде всего сommand.com) и др.);

     ·     фильтрация (использование специальных сервисных программ для разбиения диска на зоны с установленным атрибутом read only,);

     ·     вакцинация (специальная обработка файлов, дисков, каталогов, запуск специальных резидентных программ-вакцин, имитирующих сочетание условий, которые используются данным типом вируса для определения, заражена уже программа, диск, ЭВМ или нет, т.е. обманывающих вирус);

     ·     лечение (дезактивацию конкретного вируса с помощью специальной программы или восстановление первоначального состояния программ путем удаления всех экземпляров вируса в каждом из зараженных файлов или дисков).

     Как говорят в медицине болезнь легче предупредить, чем лечить.

     Наиболее  важный принцип, которого следует придерживаться после обнаружения вируса и во время анализа зараженных им программ и действий по их очистке или восстановлению, состоит в следующем: все действия следует выполнять только с защищенной от записи системной  дискеты  и использовать антивирусные и другие программы предварительно записанные на ней.

     Выполнение  действий по анализу и восстановлению на зараженной операционной системе  является грубой ошибкой и может  иметь катастрофические последствия.

     Антивирусные  программы предназначены для предотвращения заражения компьютера вирусом и ликвидации последствий заражения. В зависимости от назначения и принципа действия различают следующие антивирусные программы:

     - сторожа или детекторы – предназначены для обнаружения файлов зараженных известными вирусами, или признаков указывающих на возможность заражения.

     - доктора – предназначены для обнаружения и устранения известных им вирусов, удаляя их из тела программы и возвращая ее в исходное состояние. Наиболее известными представителями являются Dr.Web, AidsTest, Norton Anti Virus.

     - ревизоры – они контролируют уязвимые и поэтому наиболее атакуемые компоненты компьютера, запоминают состояние служебных областей и файлов, а в случае обнаружения изменений сообщают пользователю.

     - резидентные мониторы или фильтры – постоянно находятся в памяти компьютера для обнаружения попыток выполнить несанкционированные действия.  В случае обнаружения подозрительного действия выводят запрос пользователю на подтверждение операций.

     - вакцины – имитируют заражение файлов вирусами. Вирус будет воспринимать их зараженными и не будет внедряться.

     Чаще  всего используются Aidstest Лозинского, Drweb, Dr.Solomon.

     Полезные  советы:

     1.     Применение комплекса антивирусных программ

     2.     Необходимо периодическое обновление антивирусных программ

     3.     Проверка информации поступающей из вне.

     4.     Периодическая проверка всего компьютера.

     5.     Осторожность с незнакомыми файлами. Их действия могут не соответствовать названию.

     В современных антивирусных продуктах  используются различные методики обнаружения  вирусов: сканирование сигнатур (для  борьбы с вирусами, использующими  неизменный код), проверка целостности (путём создания и использования  базы контрольных сумм файлов), эвристические методы (анализ программы по выявлению таких действий, как форматирование жёсткого диска), полиморфный анализ (в специальной защищённой области), анализ на наличие макровирусов (они распространяются, например, с файлами MS Word, MS Excel, MS Access). Наряду с этоми средствами ряд пакетов содержат дополнительные функции защиты от почтовых вирусов и вирус-модулей ActiveX и Java-аплетов. Некоторые антивирусные пакеты (например, Panda Antivirus Platinum и PC-cillm) блокируют доступ компьютера к подозрительным Web-страницам.