Самое главное слово, которое нужно сказать при описании компьютерного вируса, такое: компьютерный вирус — это программа. Программа, которая выполняет в компьютере действия, приносящие вред владельцу компьютера. Поэтому компьютерные вирусы часто называют зловредными программами.
Поняв, что компьютерный вирус — это программа, можно понять две следующие важные вещи:
Где может скрываться компьютерный вирус? Во всех местах, где могут быть расположены программы.
Когда компьютерный вирус может нанести вред компьютеру? Тогда, когда запускается на выполнение программа, в которой находится компьютерный вирус. Если программа, содержащая компьютерный вирус, не запускается на выполнение в компьютере, вирус не может нанести вред компьютеру, пролежи он на винчестере хоть сто лет. Отсюда вытекает главное средство предосторожности от компьютерных вирусов: не запускать на компьютере неизвестных и непроверенных программ, и не открывать непроверенных файлов, внутри которых могут содержаться программы в виде скриптов, макросов и тому подобного.
BonziKill.exe | Что говорит Bonzi?
Краткая история вредоносных программ
«>
Первые вредоносные программы появились через несколько лет после появления персональных компьютеров серии IBM PC. Это случилось в начале 80-х годов двадцатого века. К 2005 году вредоносных программ зарегистрировано уже более 100000.
Основная масса компьютерных вирусов — это так называемые студенческие вирусы. Их пишут студенты-подростки, изучающие программирование на компьютере. Они делают это в форме игры для самоутверждения. Часто такие вирусы только издают разные звуки, видеоэффекты, тормозят работу компьютера. Опасность студенческих вирусов в том, что в них много ошибок.
Поэтому их воздействие на компьютер может быть непредвиденным.
Способствует появлению такого огромного количества вредоносных программ то, что компьютеры серии IBM PC и их программное обеспечение являются открытыми. У миллионов людей есть доступ к тонкостям их архитектуры.
Персональный компьютер появился в прошлом веке как игрушка. Поэтому в его архитектуру не было заложено средств защиты от вредоносных программ. Комплектующие к персональным компьютерам производятся многими странами. Постоянная гонка за новыми мощностями и прибылями не позволяет производителям программного обеспечения достаточно отладить свои программы.
Поэтому новые программы выходят на рынок с ошибками в защите (это называется дырами в защите). Этими ошибками и пользуются создатели вредоносных программ. Они создают программы, которые проникают в компьютер благодаря наличию ошибок в защитных функциях программного обеспечения.
Но вернёмся к истории создания вредоносных программ и выясним, почему они до сих пор называются компьютерными вирусами, хотя уже давно такими не являются в своей основной массе.
Поскольку вредоносная программа может начать работу только после запуска на выполнение, то была очень маленькая вероятность, что, попав в компьютер, такая программа сможет нанести ему существенный вред. Проявившись один раз, такая программа была бы сразу уничтожена владельцем компьютера. Он просто удалил бы файл, содержащий вредоносную программу.
СТРАННЫЙ ВИРУС — BONZI KILL.EXE
Поэтому был придуман механизм размножения вредоносных программ в компьютере. Он состоял в том, что первые месяцы после появления в компьютере вредоносная программа никак внешне не проявляла себя, а занималась своим тиражированием или размножением. Когда Вы запускали на выполнение программу, содержащую вирус (зараженную программу), вирус совершал только одно короткое действие: он находил на компьютере другой «незараженный» файл с программой и «заражал» его, дописывая себя к файлу с программой. Так продолжалось несколько месяцев, к исходу которых на компьютере оказывалось уже несколько сотен или несколько тысяч программ, «зараженных» вирусом.
Не правда ли, очень похоже на инкубационный период течения вирусной болезни? И способ размножения похож на вирусный. Для размножения используются здоровые клетки организма (файлы с программами на компьютере).
И только достаточно размножившись, вирус начинал атаковать зараженный компьютер. Проявлялось это в зависаниях, порче данных на винчестере и тому подобном. Часто приходилось переформатировать винчестер и переустанавливать операционную систему.
Такие вредоносные программы теперь называют файловыми вирусами. Основным разносчиком файловых вирусов были дискеты с компьютерными играми. Во времена ДОС игры помещались на дискетах.
Затем создатели вирусов освоили ещё один способ проникать в компьютер. При загрузке операционной системы компьютер может самостоятельно прочитать только нулевой Boot-сектор дискеты или винчестера. Считанная оттуда программа затем полностью управляет загрузкой операционной системы. В Boot-сектор достаточно грамотно вписать несколько команд, вызывающих на выполнение вирус, расположенный на винчестере компьютера. И тогда при каждой загрузке операционной системы в памяти компьютера уже будет находиться Boot-вирус.
Для борьбы с Boot-вирусами в установочные параметры компьютера (Setup компьютера) ввели запрет загрузки с дискеты и запрет редактирования Boot-сектора винчестера.
Раньше вирусы могли распространяться только через программы и не могли распространяться через текстовые файлы (нельзя запустить на выполнение текстовый файл, даже если записать в него насильно тело вируса). Но вот появились программы «Word» и «Excel». Документы, создаваемые этими программами, могут содержать макросы или скрипты.
Это небольшие программы на языках типа Basic, которые производят вычисления и видеоэффекты внутри документа. Нетрудно догадаться, что вскоре появились макровирусы. А в программе «Word» в ответ на это ввели параметр настройки, запрещающий использование макросов.
Макросы и скрипты сейчас используют очень многие программы. И наш любимый JAWS тоже использует в своей работе язык скриптов.
Полиморфные и невидимые вирусы
Очень быстро рынок отреагировал появлением фирм, разрабатывающих и продающих антивирусные программы. Создатели вирусов сразу ответили разработкой более сложных и трудно узнаваемых вирусов.
Полиморфные вирусы при размножении производят не точные свои копии, а делают каждую свою копию отличной от всех предыдущих. Таким образом они защищаются от антивирусных программ.
Вирусы-невидимки (стеллз-вирусы) перехватывают обращения операционной системы к дискам и дают искажённый ответ. Они делают таким образом свои файлы невидимыми на дисках. Конечно, для этого стеллз-вирус должен быть загружен в оперативную память компьютера (например, через Boot-сектор).
Естественно, очень быстро появляются более мощные версии антивирусных программ, распознающих полиморфные и невидимые вирусы и понижающие своей сложной работой вычислительную мощность нашего компьютера и толщину нашего кошелька.
Вирусописатели выстреливают созданием специальных программ-генераторов вирусов. И теперь даже школьники, сидящие второй месяц за компьютером, начинают производить тысячами новые вирусы и отравлять нам жизнь.
Уже даже было математически доказано, что невозможно создать универсальную антивирусную программу. Поэтому эта война будет вечной.
Есть и нестандартные способы нанесения вреда чужим компьютерам. Не обязательно уметь программировать вирусы. Периодически по электронной почте приходят ложные предупреждения о вирусных атаках. В них запугивают появлением нового страшного вируса.
Иногда авторы страшилок останавливаются на запугиваниях. Но иногда советуют для борьбы с вирусом удалить один или несколько файлов на Вашем компьютере, где «прячется» вирус. Но если Вы последуете их совету, то своими руками выведете свой компьютер из строя. Чаще всего он просто перестанет загружаться. Рассчитаны эти страшилки на людей, которые недавно подключились к сети Интернет и ещё не уверены в своих действиях.
Другой распространённый способ обмана — это ложные письма от администрации провайдера. В этих письмах обычно сообщается о реорганизации работы или о сбоях на серверах провайдера, и Вас просят сообщить свой логин и пароль, под которыми Вы выходите в Интернет. Таким способом воруют пароли.
В настоящее время 90% вредоносных и вирусных программ проникают на компьютеры из сети Интернет с электронными письмами и во время посещения сайтов.
Почтовый червь — это вредоносная программа, находящаяся в файле, присоединённом к электронному письму. Авторы червя всячески побуждают Вас запустить на выполнение присоединённый файл с вирусом. Его маскируют под новую игру, обновление популярных программ (в том числе, например, под обновление антивирусной программы), фотографии и так далее. В ход идёт всё.
Вплоть до расчёта ширины поля, в котором почтовая программа показывает имена присоединённых файлов. Длину имени файла подбирают так, чтобы она не помещалась полностью в этом поле и не было видно истинного расширения файла «EXE» или «COM». А в видимой части поля присоединённый файл может иметь ложное расширение, соответствующее графическому, звуковому или текстовому файлу.
Будучи запущен на Вашем компьютере, вредоносный червь первым делом рассылает свою копию по электронной почте, воспользовавшись Вашей адресной книгой. А затем делает с Вашим компьютером, что хочет. Может установить программу-шпиона, может испортить Вам винчестер или сделать что-нибудь ещё.
Если раньше компьютерные вирусы могли рассчитывать только на вялотекущие хронические болезни компьютеров, то теперь им иногда удаётся вызвать пандемии. Например, в недалёком прошлом такое удалось сделать почтовому червю «I love you». Он смог за несколько дней поразить миллионы компьютеров по всему миру.
Программы-шпионы (троянские кони)
В связи с бурным развитием сети Интернет и электронной коммерции появился новый класс вредоносных программ. Это программы-шпионы. Попадают они на компьютер с электронными червями или при посещении сайтов. Для создания видеоэффектов с web-страницы иногда загружаются на наш компьютер небольшие программы, которые и могут содержать программы-шпионы.
Ещё такие программы могут проникать в компьютер, подключённый к большой сети предприятия, кабельной сети и так далее. Для проникновения они используют ошибки в программах защиты сети.
Обычно шпионские программы — это коммерческие программы очень высокого качества и большой сложности. Часто они направлены на получение секретной информации о кодах электронных банковских карточек. Программа-шпион не должна себя обнаруживать в компьютере. Она должна отслеживать момент выхода компьютера в Интернет и по возможности незаметно передавать данные своему хозяину.
Программа-шпион может иметь функции управления компьютером. Тогда по командам хозяина, получаемым во время сеансов связи с Интернет, шпион может передавать в Интернет какие-то файлы с Вашего компьютера или интересующую его хозяина информацию о Вашем компьютере.
Промышленный шпионаж в государственных масштабах рассматривать не будем. Нам важнее то, что разработкой безобидных программ-шпионов грешат многие поставщики программного обеспечения. Они собирают статистическую информацию об использовании своего программного обеспечения и о среднестатистических параметрах компьютеров.
Но Вы, конечно, понимаете, что такой программе ничего не стоит заблокировать своё программное обеспечение, если будет обнаружено его нелицензионное использование на Вашем компьютере. И такое реально происходит с некоторыми программами.
Как же обеспечивают себе программы-шпионы регулярный запуск в компьютере? В папке «Windows» есть так называемый «файл реестра». В этом файле многие программы хранят свои настроечные параметры. В файле реестра есть несколько мест, где записано, какие программы должны быть запущены при загрузке компьютера. Часто программы-шпионы вставляют информацию о своём запуске в файл реестра Windows.
Но они могут, конечно, маскировать себя и под какие-либо системные программы, которые всегда загружаются при старте Windows. эти зловредные программы называют ещё троянскими конями за их склонность маскироваться под видом безобидных системных программ.
Есть специальные программы, которые защищают компьютер от несанкционированного обмена информацией через Интернет. Они называются «Файерволы» или «Брандмауэры».
Структура и функционирование антивирусных программ
Современная антивирусная программа обычно состоит из двух частей: монитора и сканера.
Монитор работает в компьютере постоянно. Он отслеживает ситуации, при которых может произойти заражение компьютера вирусом. Это запуск программ на выполнение, обращения к дискам с целью модифицировать файлы, открытие приложений к электронным письмам, загрузка программ и файлов из сети Интернет и тому подобные действия. Обычно антивирусный монитор можно настраивать, включая и отключая различные его возможности.
Антивирусный монитор требует для своей работы большой части вычислительной мощности компьютера и обычно заметно снижает его быстродействие.
Антивирусный сканер предназначен для проверки оперативной памяти и дисков компьютера на наличие вирусов. В настройках антивирусного сканера можно указывать, какие типы файлов, архивов, баз хранения электронных писем нужно проверять во время антивирусного сканирования.
Сканирование винчестера может занять несколько часов. Поэтому сканирование лучше делать в обеденный перерыв или ночью.
Антивирусные базы данных
И сканер, и монитор используют общие антивирусные базы данных. В этих базах данных записана информация о вирусах. Без них антивирусная программа не может обнаруживать и обезвреживать вирусы.
Антивирусные компании ежедневно обновляют собственные антивирусные базы данных и выкладывают их на своих сайтах для нужд клиентов. Иногда обновление антивирусных баз данных происходит и по несколько раз в день, если наблюдается активизация какого-нибудь нового вируса.
Поскольку антивирусная база данных не содержит самых новых вирусов, то антивирусный монитор не может один защищать компьютер. Антивирусный сканер с обновлёнными базами данных найдёт новые вирусы, которые монитор мог пропустить одну-две недели назад, поскольку тогда ещё информации об этих вирусах не было в антивирусных базах данных.
Какую антивирусную программу выбрать
Надёжными антивирусными программами считаются «Антивирус Касперского» и «Нортон Антивирус». Но эти программы очень мощные и требуют слишком больших ресурсов от компьютера. К тому же, они не очень дружат с программой JAWS.
Есть более экономные программы с хорошо озвучивающимся интерфейсом. Это российская программа «DrWeb» и киевская программа «UNA» (Украинский национальный антивирус). Здесь нет злоупотреблений графикой и проблем с языком интерфейса.
Каждый сам принимает решение, будет ли он пользоваться антивирусом и каким.
Пассивные средства антивирусной защиты
Зная природу и источники вредоносных и вирусных программ, можно применять профилактические меры пассивной защиты от вирусов.
1. Запретите на своём компьютере загрузку Windows с дискеты.
2. Старайтесь не запускать на компьютере сомнительных программ и игр, а также не открывать сомнительных документов, содержащих макросы и скрипты.
3. Никогда не открывайте электронные письма от неизвестных людей и письма от Ваших знакомых, которые вызвали у Вас подозрение своей нестандартностью. Особенно осторожно относитесь к присоединённым файлам.
4. Не посещайте сомнительных сайтов и старайтесь не загружать с сайтов никаких программ для создания визуальных эффектов.
5. Пользуйтесь по возможности новыми версиями программ для работы в сети Интернет, в которых устранены «дыры» в защите.
6. Проверяйте периодически свой компьютер хотя бы демоверсиями известных антивирусных программ. Они обычно обнаруживают вирусы, но не могут их устранить.
7. Можно пользоваться менее популярными среди разработчиков вирусов программами (например, почтовой программой»The_Bat»).
На сегодняшний день зарегистрировано более 100000 вредоносных программ или компьютерных вирусов. Если раньше преобладали файловые вирусы и Boot-вирусы, то теперь основная масса вредоносных программ приходится на «почтовые черви» и шпионские программы («троянские кони») с функциями удалённого управления поражённым компьютером.
Антивирусная программа обычно состоит из антивирусного монитора и антивирусного сканера, которые используют общую антивирусную базу данных. Её необходимо регулярно обновлять через Интернет для надёжной защиты своего компьютера.
Задания к уроку
1. Установите на своём компьютере антивирусную программу.
2. Отыщите раздел настройки антивирусного сканера. Установите проверку только «EXE» и «COM» файлов. Проверьте все жёсткие диски. Запомните время проверки. Установите затем режим проверки файлов всех типов и всех архивов и повторите проверку жёстких дисков.
Оцените время, понадобившееся для новой проверки.
3. Отыщите раздел настройки антивирусного монитора. Оцените, как изменяется быстродействие Вашего компьютера при увеличении нагрузки на антивирусный монитор.
4. Установите в антивирусном мониторе режим проверки дискеты. Проверьте все свои дискеты. Проверьте таким же способом несколько компакт-дисков.
Оригинал записи и комментарии на LiveInternet.ru
Источник: mtv59.livejournal.com
Типы антивирусных средств
1. Программы – детекторы обнаруживают файлы, зараженные одним из известных вирусов; такие программы в чистом виде в настоящее время редки.
2. Фаги или программы-доктора, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы вируса, восстанавливая программу в том состоянии, в котором она находилась до заражения вирусом. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Полифаги – уничтожают большое количество вирусов (примеры, Aidstest, Scan, Norton AntiVirus, Doctor Web).
3. Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, тогда, когда компьютер еще не заражен вирусом, а затем периодически сравнивают текущее состояние файла с исходным. Если обнаружены изменения, то на экран дисплея выводятся сообщения (пример, ADinf).
4. Программы-фильтры или «сторожа» – небольшие резидентные программы, постоянно находящиеся в памяти компьютера. Они контролируют операции компьютера и обнаруживают подозрительные действия при работе компьютера, характерные для вирусов. При попытке какой – либо программы произвести указанные действия «сторож» посылает сообщение, а пользователь может запретить или разрешить выполнение соответствующей операции. Программы фильтры позволяют обнаружить вирус на ранней стадии его существования, но они не «лечат» файлы и диски.
Вирус-паразит для исполняемого файла.Вирус создает в памяти исполнительного файла дополнительную область для своего размещения. После этого он прочитывает заголовок ЕХЕ-файла и переделывает его так, чтобы он содержал информацию и о месте в памяти, занимаемом вирусом. С этого момента и начинается процесс заражения программы:
вирус считывает текущий заголовок файла и сохраняет его для дальнейшего использования. В этом заголовке хранится информация о длине файла, значении контрольной суммы и т.д.;
после этого вирус определяет, какое количество памяти он должен прибавить к текущему размеру файла, чтобы разместить там свое тело;
вирус копирует свое тело в файл. Размер вируса и внесенных им изменений в заголовок файла составляют сигнатуру вируса;
вирус снова записывает информацию заголовка в программу. Теперь заголовок содержит информацию о месте, занимаемом вирусом;
вирус сохраняет измененную программу на диске.
Вирус-паразит добавляет свое тело к программе и после этого продолжает свою жизнь наравне с программой. Если удалить инфицированный файл, то вместе с ним исчезнет и вирус.
Троянский конь представляет собой компьютерную программу, которая маскируется или скрывается в части программы. В отличие от прочих вирусов, троянцы не реплицируют самих себя в системе. Некоторые формы троянских коней могут быть запрограммированы на саморазрушение и не оставляют никаких следов, кроме причиненных ими разрушений.
Черви. Вирус делает невозможной работу компьютера, создавая огромное количество своих копий в его памяти. Они могут проникать в программы обработки данных и подменять или разрушать данные. Так как червь старается остановить зараженный компьютер, создатель вируса должен наделить его способностями перемещаться с помощью сети от одного компьютера к другому.
Черви копируют себя на другие компьютеры с помощью протоколов и систем. Удаленное воспроизведение необходимо, так как после остановки компьютера пользователь постарается вычистить все имеющиеся на жестком диске вирусы. Для своего распространения вирусам-червям не требуется изменять программы хоста. Для нормальной работы червям необходимы операционные системы, обеспечивающие возможность удаленного выполнения и позволяющие приходящим программам выполняться на компьютере. Черви подобны троянским коням в том отношении, что не могут реплицировать самих себя.
Логические бомбы подобны программам, используемым для троянских коней. Однако логические бомбы имеют таймер, который взрывает их в заданную дату и время. Например, вирус Michelangelo имеет триггер, установленный на день рождения знаменитого художника Микеланджело — 6 марта. Благодаря встроенному механизму задержки, логические бомбы активно используются для шантажа.
Полиморфные вирусы – это вирусы, которые зашифровывают свое тело и благодаря этому могут избежать обнаружения путем проверки сигнатуры вируса. Прежде чем приступить к работе, такой вирус расшифровывает себя с помощью специальной процедуры расшифровки. Процедура расшифровки превращает зашифрованную информацию в обычную.
Чтобы расшифровать тело вируса, процедура расшифровки захватывает управление компбютером. После расшифровки управление компьютером передается расшифрованному вирусу. Первые шифрующиеся вирусы были неполиморфными или процедура расшифровки вируса не изменялась от копии к копии.
Поэтому антивирусные программы могли обнаружить вирус по сигнатуре, присущей процедуре расшифровки. Но в настоящее время ситуация изменилась коренным образом. Полиморфные вирусы обнаружить очень трудно так как они генерируют абсолютно новые процедуры расшифровки при каждом новом заражении. Благодаря этому сигнатура вируса изменяется от файла к файлу.
Для изменения процедуры шифрования используется достаточно простой генератор машинного кода, называющийся генератором мутаций. Он использует генератор случайных чисел и достаточно простой алгоритм изменения сигнатуры вируса. Полиморфный вирус изменяет свою сигнатуру при создании очередной копии от файла к файлу.
Стелс-вирусы – это вирусы, которые прячут изменения, созданные в зараженном файле. Для этого они отслеживают системные функции чтения файлов или секторов на носителях информации. Если происходит вызов такой функции, то вирус старается изменить полученные ею результаты: вместо настоящей информации вирус передает функции данные незараженного файла. Таким образом, антивирусная программа не может обнаружить никаких изменений в файле. Но, для того чтобы перехватывать системные вызовы, вирус должен находиться в памяти компьютера.
Примером стелс-вируса является один из первых задокументированных вирусов DOS – Brain. Этот загрузочный вирус просматривал все дисковые системные операции ввода/вывода и перенаправлял вызов всякий раз, когда система пыталась считать зараженный загрузочный сектор.
При этом компьютер считывал информацию не с загрузочного сектора, а с того места, где вирус сохранил копию этого сектора. Как правило, стелс-вирусы либо обладают невидимым размером, либо они невидимы для чтения. Вирусы с невидимым размером принадлежат к подвиду вирусов, заражающих файлы. Такие вирусы помешают свое тело внутрь файла, вызывая тем самым увеличение его размера.
Однако вирус изменяет информацию о размере файла так, чтобы пользователь не мог обнаружить его присутствия. Другими словами, система указывает на то, что длина зараженного файла равняется длине обычного (незараженного) файла. Вирусы, невидимые для чтения (вроде Stoned.Monkey), перехватывают запросы на чтение зараженной загрузочной записи или файла и предоставляют в ответ первоначальную, не измененную вирусом информацию. И снова пользователь не может обнаружить присутствие вируса.
Медленные вирусы заражают любой исполняемый файл, причем делают это в тот момент, когда пользователь выполняет некоторые операции с этим файлом. Например, медленный вирус может производить заражение загрузочной записи дискеты при выполнении команд системы, изменяющих эту запись (например, FORMAT или SYS). Медленный вирус может заразить копию файла, не заразив при этом файл-источник. Одним из наиболее известных медленных вирусов является Darth_Vader, который заражает только СОМ-файлы и только во время их записи.
Ретро-вирусы – это вирус, который пытается обойти или помешать действиям антивирусных программ. Другими словами, эти вирусы атакуют антивирусное программное обеспечение. Компьютерные профессионалы называют ретро-вирусы анти-антивирусами. Создание ретро-вируса является относительно несложной задачей.
В конце концов, создатели вирусов обладают доступом ко всем антивирусным программам. Приобретая такую программу, они изучают ее работу, находят бреши в обороне и после этого создают вирус на основе обнаруженных просчетов. Большинство ретро-вирусов занимается поисками и удалением файлов с данными о сигнатурах вирусов.
Таким образом, антивирусная программа, использовавшая этот файл, не может больше нормально функционировать. Более сложные ретровирусы занимаются поиском и удалением баз данных, содержащих информацию о целостности файлов. Удаление подобной базы производит на хранителя целостности такой же эффект, как уничтожение файлов с сигнатурами вирусов на антивирусную программу.
Многие ретро-вирусы обнаруживают активизацию антивирусных программ, а затем прячутся от программы либо останавливают ее выполнение. Кроме того, они могут запустить процедуру разрушения до того, как антивирусная программа обнаружит их присутствие. Некоторые ретро-вирусы изменяют оболочку вычислений антивируса и таким образом влияют на выполнение антивирусных программ. Кроме того, существуют ретро-вирусы, использующие недостатки антивирусного программного обеспечения, чтобы замедлить его работу или свести на нет эффективность программы.
Составные вирусы заражают как исполняемые файлы, так и загрузочные сектора дисков. Кроме того, они могут заражать загрузочные сектора дискет. Такое название они получили потому, что заражают компьютер различными путями. Другими словами, они не ограничиваются одним типом файлов или определенным местом на диске.
Если запустить инфицированную программу, вирус заразит загрузочную запись жесткого диска. При следующем включении компьютера вирус активизируется и будет заражать все запущенные программы. Одним из наиболее известных составных вирусов является One-Half, который обладает признаками стелс-вируса и полиморфного вируса.
Вооруженные вирусы защищают себя с помощью специального кода, благодаря которому сильно усложняется отслеживание и дизассемблирование вируса. Вооруженные вирусы могут воспользоваться для защиты «пустышкой». Это код, позволяющий увести разработчика антивирусных программ от настоящего кода вируса. Кроме того, вирус может включать в себя специальный фрагмент, указывающий на то, что вирус расположен в одном месте, хотя на самом деле его там не будет. Одним из наиболее известных вооруженных вирусов является Whale.
Вирусы-компаньоны. Свое название эти вирусы получили потому, что параллельно с заражаемым файлом они создают файл с таким же именем, но с другим расширением. Например, вирус-компаньон может сохранить свое тело в файле winword.com. Благодаря этому операционная система перед каждым запуском файла winword.exe будет запускать файл winword.com, который будет располагаться в памяти компьютера. Обычно вирусы-компаньоны генерируются вирусами-фагами.
Вирусы-фаги – это программа, которая изменяет другие программы или базы данных. Компьютерные профессионалы называют эти вирусы фагами потому, что по своему действию они напоминают живые микроорганизмы. В природе вирусы-фаги представляют собой особенно вредные микроорганизмы, которые замещают содержимое клетки своим собственным.
Обычно фаги замещают текст программы своим собственным кодом. Чаще всего они являются генераторами вирусов компаньонов. Фаги – это наиболее опасный вид вирусов. Дело в том, что они не только размножаются и заражают другие программы, но и стремятся уничтожить все зараженные программы.
Макровирусы – это один из наиболее опасных типов вирусов. В настоящее время они представляют собой наиболее быстро развивающуюся разновидность «компьютерных инфекций», способных перемещаться посредством Интернет. Макровирусы представляют опасность не только для сетей, но и для автономных компьютеров, т. к. они не зависят от компьютерной платформы и от конкретной операционной системы. Более того, эти вирусы заражают не исполняемые файлы, а файлы с данными, которых больше.
Макровирус – это небольшая программа, написанная на внутреннем языке программирования (иногда эти языки называют языками разработки сценариев или макроязыками) какого-то приложения. В качестве таких приложений обычно выступают текстовые или табличные процессоры, а также графические пакеты.
Обычно макровирусы распространяются путем создания копий в каждом новом документе. Таким образом макровирус может попадать на другие компьютеры вместе с зараженными документами. Наиболее часто макровирусы удаляют файлы так, чтобы впоследствии их нельзя было восстановить. Макровирусы могут выполняться на любом типе компьютеров.
Главное, чтобы на компбютере была нужная им программа обработки документов вместе со своим внутренним языком программирования. Именно благодаря этому языку макровирусы могут выполняться на различных платформах и под управлением различных операционных систем.
В настоящее время большинство известных макровирусов написано на Microsoft Word Basic или недавно появившемся Visual Basic for Application (VBA); WordBasic – это внутренний язык программирования текстового процессора Word for Windows (начиная с версии 6.0) и Word 6.0 for Macintosh. Макровирус, созданный с помощью VBA, может заражать и таблицы Excel, и базы данных Access, и презентации PowerPoint. С ростом возможностей внутренних языков программирования возрастет и количество новых макровирусов.
Приоритетность создания вирусов с применением Microsoft Word:
Microsoft Word обладает огромными программными возможностями, благодаря которым макровирус может производить различные действия. Кроме того, созданы версии этой программы для различных компьютерных платформ: существуют версии для DOS, Windows 3.1, Windows 95 и Mac OS. Это увеличивает поле деятельности макровирусов;
общий шаблон (в Windows он хранится в файле normal.dot) содержит глобальные макрокоманды, всегда доступные в Microsoft Word. Для макровируса этот файл представляет собой «плодородную почву», так как именно в этом шаблоне обычно и размещается тело макровируса. Именно из него вирус заражает все созданные в процессоре документы;
Microsoft Word автоматически выполняет указанные макрокоманды без участия пользователя. Благодаря этому макровирус может выполняться вместе с обычными макрокомандами (с помощью обычных макрокоманд программа производит открытие и закрытие документа, а также завершение своей работы).
Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:
Источник: studopedia.ru
5. Компьютерные вирусы и антивирусные программы
По мере развития и модернизации компьютерных систем и программного обеспечения возрастает объем и повышается уязвимость хранящихся в них данных. Одним из новых факторов, резко повысивших эту уязвимость, является массовое производство программно-совместимых мощных персональных ЭВМ, которое явилось одной из причин появления нового класса программ-вандалов — компьютерных вирусов. Наибольшая опасность, возникающая в связи с опасностью заражения программного обеспечения компьютерными вирусами, состоит в возможности искажения или уничтожения жизненно-важной информации, которое может привести не только к финансовым и временным потерям, но и вызвать человеческие жертвы.
5.1. Компьютерный вирус
Компьютерный вирус—это специально написанная, небольшая по размерам программа (т. е. некоторая совокупность выполняемого кода), которая может «приписывать» себя к другим программам («заражать» их), создавать свои копии и внедрять их в файлы, системные области компьютера и т.д., а также выполнять различные нежелательные действия на компьютере [8].
Вирусы относят к вредоносным программам. Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет. Создание и распространение вредоносных программ (в том числе вирусов) преследуется в России согласно Уголовному Кодексу РФ (глава 28, статья 273).
Так как вирус самостоятельно обеспечивает свое размножение и распространение, пользователь, в случае обнаружения вируса, должен проверить всю систему, уничтожая копии вируса. Если удалось уничтожить все копии вируса, то можно сказать, что вылечена вся система; в противном случае, уцелевшие копии снова размножатся и все неприятности повторятся.
Своим названием компьютерные вирусы обязаны определенному сходству с биологическими вирусами по [9]:
• способности к саморазмножению;
• высокой скорости распространения;
• избирательности поражаемых систем (каждый вирус поражает только определенные системы или однородные группы систем);
• способности «заражать» еще незараженные системы;
• трудности борьбы с вирусами и т. д.
В последнее время к этим особенностям, характерным для вирусов компьютерных и биологических, можно добавить еще и постоянно увеличивающуюся быстроту появления модификаций и новых поколений вирусов.
Основы теории самовоспроизводящихся механизмов заложил американец венгерского происхождения Джон фон Нейман, который в 1951 году предложил метод создания таких механизмов. С 1961 года известны рабочие примеры таких программ.
Общепринятого формального определения вируса нет. В академической среде термин был употреблен Фредом Коэномв его работе «Эксперименты с компьютерными вирусами», со ссылкой наМашину Тьюринга, следующим образом [7]:
с заданным множеством состояний SM, множеством входных символовIMи отображений(OM, NM, DM), которая на основе своего текущего состоянияs ∈ SMи входного символаi ∈ IM, считанного с полубесконечной ленты, определяет: выходной символo ∈ IMдля записи на ленту, следующее состояние машиныs’ ∈ SMи движения по лентеd ∈ .
Для данной машины M, последовательность символовv : vi ∈ IMможет быть сочтена вирусом тогда и только тогда, когда обработка последовательностиvв момент времениt, влечет за собой то, что в один из следующих моментов времениt, последовательностьv′(не пересекающаяся сv) существует на ленте, и эта последовательностьv′была записанаMв точкеt′, лежащей междуtиt″. Из данного определения следует, что понятие вируса неразрывно связано с его интерпретацией в заданном контексте — окружении.
Другие исследователи доказали, что существуют такие типы вирусов (вирусы, содержащие копию программы, детектирующей вирусы), которые не могут быть безошибочно определены ни одним алгоритмом.
Программа, внутри которой находится вирус, называется «зараженной». Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, «засоряет» оперативную память и т. д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий [9].
Например, вирус Anti-MIT ежегодно 1 декабря разрушает всю информацию на жестком диске, вирус Tea Time мешает вводить информацию с клавиатуры с 15:10 до 15:13, а знаменитый One Half незаметно шифрует данные на жестком диске. В 1989 году американский студент сумел создать вирус, который вывел из строя около 6000 компьютеров Министерства обороны США. Эпидемия известного вируса Dir-II разразилась в 1991. году. Вирус использовал действительно оригинальную, принципиально новую технологию и на первых порах сумел широко распространиться за счет несовершенства традиционных антивирусных средств.
Кристоферу Пайну удалось создать вирусы Pathogen и Queeq, а также вирус Smeg. Именно последний был самым опасным, его можно было накладывать на первые два вируса и из-за этого после каждого прогона программы они меняли конфигурацию. Поэтому их было невозможно уничтожить.
Чтобы распространить вирусы, Пайн скопировал компьютерные игры и программы, заразил их, а затем отправил обратно в сеть. Пользователи загружали в свои компьютеры зараженные программы и инфицировали диски. Ситуация усугубилась тем, что Пайн умудрился занести вирусы и в программу, которая с ними боролась. Запустив ее, пользователи вместо уничтожения вирусов получали еще один. В результате действий этого вируса были уничтожены файлы множества фирм, убытки составили миллионы фунтов стерлингов [7].
Первые исследования саморазмножающихся искусственных конструкций проводились в середине прошлого столетия. Термин «компьютерный вирус» появился позднее — официально его автором считается сотрудник Лехайского университета (США) Ф.Коэн, который ввел его в 1984 году на 7-й конференции по безопасности информации.
Сегодня компьютерный вирус, это совсем не та безобидная программка, которой являлся первый написанный вирус. Если раньше вирусы использовались ради развлечения, то на сегодняшний день такие программы пишутся профессионалами с целью нанесения крупного ущерба или кражи средств с электронных счетов.
Источник: studfile.net