Компьютерные вирусы: как от них защититься?
Вирус- едва ли не главный враг компьютера. Как и обычные вирусы, вирусы компьютерные- паразиты, для размножения им нужен «носитель»- хозяин, здоровая программа или документ, в тело которой они прячут участки своего программного кода. Вирусы, получившие широкое распространение в компьютерной технике, взбудоражили весь мир. Многие пользователи компьютеров обеспокоены слухами о том, что с помощью компьютерных вирусов злоумышленники взламывают сети, грабят банки, крадут интеллектуальную собственность.
Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.
Все чаще в средствах массовой информации появляются сообщения о различного рода пиратских проделках компьютерных хулиганов, о появлении все более совершенных саморазмножающихся программ. Сам вирус невелик- его размер редко измеряется килобайтами, однако натворить эта кроха может немало. Современные вирусы исхитряются портить не только программы, но и «железо». Например, вчистую уничтожают содержимое BIOS материнской платы или калечат жесткий диск.
Компьютерные вирусы, их свойства и классификация
Свойства компьютерных вирусов
Сейчас применяются персональные компьютеры, в которых пользователь имеет свободный доступ ко всем ресурсам машины. Именно это открыло возможность для опасности, которая получила название компьютерного вируса.
Что такое компьютерный вирус? Прежде всего, вирус — это программа. В тот момент, когда мы ничего не подозревая, запускаем на своем компьютере зараженную программу или открываем документ, вирус активизируется и заставляет следовать не нашим, а его , вируса инструкциям. Сегодня науке известно около семидесяти тысяч компьютерных вирусов.
Вирус — программа, обладающая способностью к самовоспроизведению. Такая способность является единственным средством, присущим всем типам вирусов. Но не только вирусы способны к самовоспроизведению. Любая операционная система и еще множество программ способны создавать собственные копии. Вирус не может существовать в «полной изоляции»: сегодня нельзя представить себе вирус, который не использует код других программ, информацию о файловой структуре или даже просто имена других программ. Причина понятна: вирус должен каким-нибудь способом обеспечить передачу себе управлени
Классификация вирусов
В настоящее время известно более 70000 компьютерных вирусов, их можно классифицировать по следующим признакам:
В зависимости от среды обитания вирусы можно разделить на сетевые,файловые, загрузочные и файлово—загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т. е. в файлы, имеющие расширения COM и EXE. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Re-cord). Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.
По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.
По степени воздействия вирусы можно разделить на следующие виды:
- неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах
- опасные вирусы, которые могут привести к различным нарушениям в работе компьютера
- очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.
По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия. Простейшие вирусы — паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Можно отметить вирусы-репликаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии, распространяются по глобальным сетям, поражая целые системы, а не отдельные программы. Это самый опасный вид вирусов, так как объектами нападения в этом случае становятся информационные системы государственного масштаба. С появлением глобальной сети Internet этот вид нарушения безопасности представляет наибольшую угрозу, т. к. ему в любой момент может подвергнуться любой из 40 миллионов компьютеров, подключенных к этой сети.
Известны вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Стелс-вирусы обманывают антивирусные программы и в результате остаются незамеченными. Тем не менее, существует простой способ отключить механизм маскировки стелс-вирусов. Достаточно загрузить компьютер с не зараженной системной дискеты и сразу, не запуская других программ с диска компьютера (которые также могут оказаться зараженными), проверить компьютер антивирусной программой.
При загрузке с системной дискеты вирус не может получить управление и установить в оперативной памяти резидентный модуль, реализующий стелс-механизм. Антивирусная программа сможет прочитать информацию, действительно записанную на диске, и легко обнаружит вирус.
Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Имеются и так называемые квазивирусные или «троянские» программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.
Троянский конь – это программа, содержащая в себе некоторую разрушающую функцию, которая активизируется при наступлении некоторого условия срабатывания. Обычно такие программы маскируются под какие-нибудь полезные утилиты. Вирусы могут нести в себе троянских коней или «троянизировать» другие программы – вносить в них разрушающие функции.
«Троянские кони» представляют собой программы, реализующие помимо функций, описанных в документации, и некоторые другие функции, связанные с нарушением безопасности и деструктивными действиями. Отмечены случаи создания таких программ с целью облегчения распространения вирусов. Списки таких программ широко публикуются в зарубежной печати. Обычно они маскируются под игровые или развлекательные программы и наносят вред под красивые картинки или музыку.
Программные закладки также содержат некоторую функцию, наносящую ущерб, но эта функция, наоборот, старается быть как можно незаметнее, т.к. чем дольше программа не будет вызывать подозрений, тем дольше закладка сможет работать.
Если вирусы и «троянские кони» наносят ущерб посредством лавинообразного саморазмножения или явного разрушения, то основная функция вирусов типа «червь», действующих в компьютерных сетях, – взлом атакуемой системы, т.е. преодоление защиты с целью нарушения безопасности и целостности.
В более 80% компьютерных преступлений, расследуемых ФБР, «взломщики» проникают в атакуемую систему через глобальную сеть Интернет. Когда такая попытка удается, будущее компании, на создание которой ушли годы, может быть поставлено под угрозу за какие-то секунды.
Полностью «отсечь» вредоносный софт вряд ли удастся, разве что удалить из системы дисковод, перестать работать в Интернете и пользоваться только легальным программным обеспечением. В наших условиях все эти советы выглядят издевательством.
Пути проникновения вирусов в компьютер
Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода А и перезагрузили компьютер, при этом дискета может быть и не системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.
Вирус, как правило, внедряется в рабочую программу таким образом, чтобы при ее запуске управление сначала передалось ему и только после выполнения всех его команд снова вернулось к рабочей программе. Получив доступ к управлению, вирус, прежде всего, переписывает сам себя в другую рабочую программу и заражает ее. После запуска программы, содержащей вирус, становится возможным заражение других файлов.
Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения EXE, COM, SYS, BAT. Крайне редко заражаются текстовые файлы.
После заражения программы вирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь внимания. И, наконец, не забывает возвратить управление той программе, из которой был запущен. Каждое выполнение зараженной программы переносит вирус в следующую. Таким образом, заразится все программное обеспечение.
Признаки появления вирусов
При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие :
- прекращение работы или неправильная работа ранее успешно функционировавших программ
- медленная работа компьютера
- невозможность загрузки операционной системы
- исчезновение файлов и каталогов или искажение их содержимого
- изменение даты и времени модификации файлов
- изменение размеров файлов
- неожиданное значительное увеличение количества файлов на диске
- существенное уменьшение размера свободной оперативной памяти
- вывод на экран непредусмотренных сообщений или изображений
- подача непредусмотренных звуковых сигналов
- частые зависания и сбои в работе компьютера
Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.
При копировании любых материалов с сайта evkova.org обязательна активная ссылка на сайт www.evkova.org
Сайт создан коллективом преподавателей на некоммерческой основе для дополнительного образования молодежи
Сайт пишется, поддерживается и управляется коллективом преподавателей
Telegram и логотип telegram являются товарными знаками корпорации Telegram FZ-LLC.
Cайт носит информационный характер и ни при каких условиях не является публичной офертой, которая определяется положениями статьи 437 Гражданского кодекса РФ. Анна Евкова не оказывает никаких услуг.
Parasitic-вирусы
К паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными. Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов (prepending), в конец файлов (appending) и в середину файлов (inserting). В свою очередь, внедрение вирусов в середину файлов происходит различными методами — путем переноса части файла в его конец или внедрения в заведомо неиспользуемые данные файла (cavity-вирусы).
Внедрение вируса в начало файла. Известны два способа внедрения паразитического файлового вируса в начало файла. Первый способ (см. рис. 2.1) заключается в том, что вирус переписывает начало заражаемого файла в его конец, а сам копируется на освободившееся место. При заражении файла вторым способом (см. рис. 2.2) вирус создает в оперативной памяти свою копию, дописывает к ней заражаемый файл и сохраняет полученную конкатенацию на диск. Некоторые вирусы при этом дописывают в конец файла блок дополнительной информации (например, вирус Jerusalem по этому блоку отличает зараженные файлы от незараженных).
Рис. 2.1 Внедрение вируса начало файла первым способом
Рис. 2.2 Внедрение вируса в начало файла вторым способом
Внедрение вируса в начало файла применяется в подавляющем большинстве случаев при заражении ВАТ- и СОМ-файлов в системе DOS. Известно несколько вирусов, записывающих себя в начало ЕХЕ-файлов операционных систем DOS, Windows и даже Linux. При этом вирусы, чтобы сохранить работоспособность программы, либо лечат зараженный файл, повторно запускают его, ждут окончания его работы и снова записываются в его начало (иногда используется временный файл, в который записывается обезвреженный файл), либо восстанавливают код программы в памяти компьютера и настраивают необходимые адреса в ее теле (т. е. дублируют работу ОС).
Внедрение вируса в конец файла. Наиболее распространенным способом внедрения вируса в файл является дописывание вируса в его конец (см. рис. 2.3). При этом вирус изменяет начало файла таким образом, что первыми выполняемыми командами программы, содержащейся в файле, являются команды вируса.
В DOS СОМ-файле в большинстве случаев это достигается изменением его первых трех (или более) байтов на коды инструкции JMP Loc_Virus (или в более общем случае — на коды программы, передающей управление на тело вируса). DOS ЕХЕ-файл переводится в формат СОМ-файла и затем заражается как СОМ-файл либо модифицируется заголовок файла. В заголовке DOS ЕХЕ-файла изменяются значения стартового адреса (CS:IP) и длины выполняемого модуля (файла), реже — регистры — указатели на стек (SS:SP), контрольная сумма файла и т. д. В выполняемых файлах Windows и OS/2 (NewEXE — NE, РЕ, LE, LX) изменяются поля в NewEXE-заголовке. Структура этого заголовка значительно сложнее заголовка DOS ЕХЕ-файлов, поэтому изменению подлежит большее число полей — значение стартового адреса, количество секций в файле, характеристики секций и т. д. Дополнительно к этому длины файлов перед заражением могут увеличиваться до значения, кратного параграфу (16 байт) в DOS или секции в Windows и OS/2 (размер секции зависит от параметров заголовка ЕХЕ-файла).
Рис. 2.3 Внедрение вируса в конец файла
Вирусы, внедряющиеся в DOS SYS-файлы, приписывают свои коды к телу файла и модифицируют адреса программ стратегии (Strategy) и прерывания (Interrupt) заражаемого драйвера (встречаются вирусы, изменяющие адрес только одной из программ). При инициализации зараженного драйвера (см. рис. 2.4) вирус перехватывает соответствующий запрос ОС, передает его драйверу, ждет ответа на этот запрос, корректирует его и остается в одном блоке в оперативной памяти вместе с драйвером. Такой вирус может быть чрезвычайно опасным и живучим, так как он внедряется в оперативную память при загрузке DOS раньше любой антивирусной программы, если она, конечно, тоже не является драйвером.
XII Международная студенческая научная конференция Студенческий научный форум — 2020
В современном мире мы не можем представить нашу жизнь без компьютерных технологий. Они существенно облегчают нашу жизнь: воспроизводят сложные математические вычисления, хранят и обрабатывают огромное количество информации. По этой причине становится все сложнее и сложнее хранить информацию.
При использовании персональных компьютеров могут возникнуть многие проблемы такие, как зависание системы, потеря данных, замедление работы ЭВМ. Одной из причин возникновения данных проблем является проникновение вирусов в систему. С совершенствованием технологий, появляются злоумышленники, которые хотят получить какую-либо информацию нечестным путем, например, посредством создания вирусов, из-за которых система выходит из строя, и всякая информация становится доступной. Вирусы являются самыми главными врагами компьютера. Компьютерные вирусы умеют создавать свои копии, которые могут не в полной мере совпадать с оригиналом, внедрять их в различные объекты или ресурсы компьютерных систем, сетей и производить определенные действия без ведома пользователя. Еще одной проблемой является то, что вирус может заразить только несколько программ компьютера, что осложняет процесс его обнаружения.
Существует множество способов передачи вирусов. К примеру, они могут попасть в компьютер через спамы, USB -флешки, диски, поэтому очень важно проверять свой электронный девайс на наличие вирусов, ведь это поможет быстрее решить проблему или же избежать ее.
Классификации вирусов
Классификации вирусов разнообразны: их выделяют по таким признакам, как способы заражения, среды обитания, особенности алгоритма, степени опасности. Таким образом, по способу заражения различают: резидентные и нерезидентные вирусы. Резидентными являются те вирусы, которые оставляют свою резидентную часть в системной памяти, а нерезидентные проявляют активность лишь однократно и не заражают память компьютера.
По среде обитания вирусы подразделяются на: сетевые, то есть распространяющиеся по сетям, файловые, которые заражают расширения exe и com . Также существуют загрузочные вирусы, которые могут проникать в сектор, и файлово-загрузочные, которые инфицируют не только секторы, но и файлы.
По особенностям алгоритма вирусы бывают: невидимки, репликаторы, мутанты, паразитические, макровирусы, вирусы-компаньоны, «Троянские кони».
Вирусы-невидимки представляют собой маскировку своего наличия в компьютере, поэтому их сложно распознать. Они быстро действуют на незараженные участки файлов.
Репликаторы –быстро размножающиеся вирусы, которые считаются самыми распространенными в сети Интернет.
Мутанты: вирусы данного типа практически не содержат одинаковых участков кода, это происходит из-за добавления пустых команд, которые сохраняют алгоритм вируса, тем самым, затрудняя их выявление.
Паразитические вирусы изменяют содержимое файла посредством добавления кода.
Макровирусы являются программами, разработанными на макроязыках.
Примеры вирусов
Как упоминалось выше, существует распределение вирусов по степени опасности. Неопасные вирусы уменьшают объем оперативной памяти, но не приносят серьезных проблем. Опасные вирусы грозят уничтожением всего файла, а очень опасные имеют возможность самостоятельно форматировать жесткий диск.
Для того, чтобы легко бороться с вирусами, надо знать их имена и характеристики. Познакомимся с ними поподробнее. Так, самыми известными вирусами являются: SirCam, Sasser, Conficker, SoBig, Melissa, ILOVEYOU, Nimda.
1) SirCam . Вирус ставит под угрозу личную информацию, удаляет отдельные элементы или заполняет свободное место до тех пор, пока не останется места для хранения чего-то еще. Хитрость вируса заключается в том, что он способен забирать с собой документы, которые обнаружит в памяти компьютера. Так, возникает риск, что секретные документы, содержащие коммерческие или личные тайны, могут быть направлены по посторонним адресам.
2) Sasser . Распространяется Sasser по всемирным сетям, используя для своего распространения незащищенность в службе LSASS Microsoft Windows. Программа опасна тем, что она для заражения компьютера не запрашивает какого-либо взаимодействия с пользователем нападающей машины. Признаком заражения компьютера является сообщение об ошибке LSA Shell (Export version) и следующее за ним сообщение о необходимости перезагрузить компьютер из-за ошибки процесса lsass.exe . Информация сообщения будет выходить не только при первом заражении, но и при каждой последующей атаке.
3) Conficker . Программа использовала уязвимости операционных систем Windows, связанные с переполнением буфера и при помощи обманного RPC -запроса выполняла вредоносный шифр . Первым делом вирус отключал ряд функций — автоматическое обновление Windows , Windows Security Center , Windows Defender и Windows Error Reporting , а также мешал доступу к сайтам ряда производителей антивирусов.
4) SoBig . Этот быстро распространяющийся вирус циркулировал посредством электронных писем в качестве спама, и в случае его открытия он обладал способностью копировать файлы, отсылать сам себя другим и приносить большой вред программному и аппаратному обеспечению.
5) Melissa . Вирус посылал зараженные документы Microsoft Word через Microsoft Outlook всем, кто находился в адресной книге пользователя. Выглядели письма как обычные сообщения от пользователя Microsoft Outlook, но на самом деле это действовал вирус Melissa. Индикатором того, что Melissa пробралась в ваш Outlook, является получение вашими контактами из почты сообщения с содержанием: «Вот тут документ, который вы просили … Не показывайте никому». К такому сообщению прилагается документ Word, где и содержится вирус.
6) ILOVEYOU . В теме письма содержалась строка «ILoveYou», а к письму был приложен скрипт «LOVE-LETTER-FOR-YOU.TXT.vbs». В большинстве случаев пользователь открывал вложение. При открытии вирус рассылал копию самого себя всем контактам в адресной книге Microsoft Outlook. Он также перезаписывал файлы определённых типов и распространялся через IRC-каналы, создавая файл LOVE-LETTER-FOR-YOU.HTM в системном каталоге Windows.
7) Nimda . Вирус прибывает как сообщение, состоящее из двух секций. В первой секции находится HTML -скрипты. Вторая секция состоит из файла «readme.exe», которое является выполнимым набором команд. Nimda имеет команду отправлять зараженные электронные письма. Червь хранит время рассылки последней партии, переданных электронных писем, и каждые 10 дней повторяет процесс сбора адресов и рассылки червя по электронной почте.
Это одни из самых известнейших вирусов за все время, каждый из которых был вычищен с помощью антивируса. Большинство людей считает, что если скачать антивирус, то попадание вируса на компьютер невозможно. Это ложное мнение, так как антивирус – это тоже программа, основанная на известных вирусах, то есть любой антивирус программируется на основе существующего вируса, посредством его изучения. Поэтому не все антивирусы могут помочь распознать тот или иной вирус и очистить компьютер от него. Но, если рассматривать вирусы, то большинство из них построены по одному и тому же алгоритму. Таким образом, на 100% защититься от вирусов практически невозможно. Я хочу познакомить вас с самыми распространенными и часто используемыми антивирусными системами: AIDSTEST, Doctor Web, Microsoft Antivirus, ADinf.
1) AIDSTEST. Aidstest для своего нормального функционирования требует, чтобы в памяти не было резидентных антивирусов, блокирующих запись в программные файлы, поэтому их следует выгрузить, либо, указав опцию выгрузки самой резидентной программе, либо воспользоваться соответствующей утилитой. При запуске Aidstest проверяет себя оперативную память на наличие известных ему вирусов и обезвреживает их. При этом парализуются только функции вируса, связанные с размножением, а другие побочные эффекты могут оставаться. Поэтому программа после окончания обезвреживания вируса в памяти выдает запрос о перезагрузке.
2) Doctor Web . В последнее время стремительно растет популярность другой антивирусной программы — Doctor Web. Dr.Web так же, как и Aidstest относится к классу детекторов — докторов, но в отличие от последнего, имеет так называемый «эвристический анализатор» — алгоритм, позволяющий обнаруживать неизвестные вирусы. Важной функцией является контроль заражения тестируемых файлов резидентным вирусом. При сканировании памяти нет стопроцентной гарантии, что «Лечебная паутина» обнаружит все вирусы, находящиеся там. Так вот, при задании функции /V Dr.Web пытается воспрепятствовать оставшимся резидентным вирусам заразить тестируемые файлы.
3) Microsoft Antivirus. MSAV имеет дружественный интерфейс в стиле MS-Windows, естественно, поддерживается мышь. Хорошо реализована контекстная помощь: подсказка есть практически к любому пункту меню, к любой ситуации. Универсально реализован доступ к пунктам меню: для этого можно использовать клавиши управления курсором, ключевые клавиши (F1-F9), клавиши, соответствующие одной из букв названия пункта, а также мышь. Флажки установок в пункте меню Options можно устанавливать как клавишей ПРОБЕЛ, так и клавишей ENTER. Серьёзным неудобством при использовании программы является то, что она сохраняет таблицы с данными о файлах не в одном файле, а разбрасывает их по всем директориям.
4) ADinf. ADinf имеет хорошо выполненный дружественный интерфейс, который реализован в графическом режиме. Программа работает непосредственно с видеопамятью, минуя BIOS, при этом поддерживаются все графические адаптеры. Наличие большого количества ключей позволяет пользователю создать максимально удобную для него конфигурацию системы. Можно установить, что именно нужно контролировать: файлы с заданными расширениями, загрузочные сектора, наличие сбойных кластеров, новые файлы на наличие Stealth-вирусов, файлы из списка неизменяемых и т.д. По своему желанию пользователь может запретить проверять некоторые каталоги. Имеется возможность изменять способ доступа к диску, редактировать список расширений проверяемых файлов, а также назначить каждому расширению собственный вьюер, с помощью которого будут просматриваться файлы с этим расширением.
Таким образом, ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Средствами диагностики вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученные файлы на наличие вирусов. Для избежания появления вирусов на вашем ПК используйте средства защиты.