Один из авторитетнейших «вирусологов» страны Евгений Касперский предлагает условно классифицировать вирусы по следующим признакам:
- * по среде обитания вируса;
- * по способу заражения среды обитания;
- * по деструктивным возможностям;
- * по особенностям алгоритма вируса.
Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с Дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода: и перезагрузили компьютер, при этом дискета может быть и несистемной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.
Вирусные программы могут отличаться:
1) По среде обитания:
Сетевые — распространяются по сетям (Melissa).
Особенности строения ВИРУСОВ
Файловые — инфицируют исполняемые файлы с расширениями.exe,.com. Также к этому классу относятся макровирусы, которые заражают неисполняемые файлы (например, в MS WORD или в MS EXCEL).
Загрузочные — внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record — MBR). Некоторые вирусы записывают свое тело в свободные сектора диска, помечая их в FAT как «плохие».
Файлово-загрузочные — способны заражать загрузочные секторы и файлы.
По способу заражения:
Резидентные — оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращения программ к ОС и внедряется в них. Свои деструктивные действия вирус может повторять многократно.
Нерезидентные — не заражают оперативную память и проявляют свою активность лишь однократно при запуске зараженной программы.
По степени опасности:
Неопасные — например, на экране появляется сообщение: «Хочу чучу». Если набрать на клавиатуре слово «чуча», то вирус временно «успокаивается».
Опасные — уничтожают часть файлов на диске.
Очень опасные — самостоятельно форматируют жесткий диск. (CIH — активизируется 26 числа каждого месяца и способен уничтожать данные на жестком диске и в BIOS).
2) По особенностям алгоритма:
Вирусы-компаньоны — создают для ехе-файлов новые файлы-спутники, имеющие то же имя, но с расширением com. Вирус записывается в com-файл и никак не изменяет одноименный ехе-файл. При запуске такого файла ОС первым обнаружит и выполнит com-файл, т.е. вирус, который затем запустит и ехе-файл.
Паразитические — изменяют содержимое дисковых секторов или файлов.
Репликаторы (черви) — распространяются в сети. Они проникают в память компьютера из сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Черви уменьшают пропускную способность сети, замедляют работу серверов. Могут размножаться без внедрения в другие программы и иметь «начинку» из компьютерных вирусов. («Червь Морриса» в конце 80-х парализовал несколько глобальных сетей в США).
странный Треугольник на небе
Невидимки (стелс) — маскируют свое присутствие в ЭВМ, их трудно обнаружить. Они перехватывают обращения ОС к пораженным файлам или секторам дисков и «подставляют» незараженные участки файлов.
Мутанты (призраки, полиморфные вирусы, полиморфики) — их трудно обнаружить, т.к. их копии практически не содержат полностью совпадающих участков кода. Это достигается тем, что в программы вирусов добавляются пустые команды (мусор), которые не изменяют алгоритм работы вируса, но затрудняют их выявление. (OneHalf — локальные «эпидемии» его возникают регулярно). вирус компьютерный классификация защита
Макровирусы — используют возможности макроязыков, встроенных в системы обработки данных (Word, Excel).
«Троянские кони» — маскируются под полезную или интересную программу, выполняя во время своего функционирования еще и разрушительную работу (например, стирает FAT) или собирает на компьютере информацию, не подлежащую разглашению. Не обладают свойством самовоспроизводства.
3) По целостности:
Монолитные — программа вируса — единый блок, который можно обнаружить после инфицирования.
Распределенные — программа разделена на части. Эти части содержат инструкции, которые указывают компьютеру, как собрать их воедино, чтобы воссоздать вирус.
Для борьбы с вирусами разрабатываются антивирусные программы. Говоря медицинским языком, эти программы могут выявлять (диагностировать), лечить (уничтожать) вирусы и делать прививку «здоровым» программам.
4) По выполняемым действиям:
Выводят на экран мешающие текстовые сообщения (поздравления, политические лозунги, фразы с претензией на юмор и т.д.);
Создают звуковые эффекты (гимн, гамма, популярная мелодия);
Создают видео эффекты (переворачивают или сдвигают экран, имитируют землетрясение, вызывают опадание букв в тексте, выводят картинки и т.д.);
Замедляют работу ЭВМ, постепенно уменьшают объем свободной оперативной памяти;
Увеличивают износ оборудования (например, головок дисководов);
Вызывают отказ отдельных устройств, зависание или перезагрузку компьютера и крах работы всей ЭВМ;
Уничтожают FAT, форматируют жесткий диск, стирают BIOS, уничтожают или изменяют данные, стирают антивирусные программы;
Осуществляют научный, технический, промышленный и финансовый шпионаж;
Выводят из строя системы защиты информации и т.д.
Главная опасность самовоспроизводящихся кодов заключается в том, что программы-вирусы начинают жить собственной жизнью, практически не зависящей от разработчика программы. Так же, как в цепной реакции в ядерном реакторе, запущенный процесс трудно остановить.
- 5) По способу заражения:
- * метод приписывания. Код вируса приписывается к концу файла заражаемой программы, и тем или иным способом осуществляется переход вычислительного процесса на команды этого фрагмента;
- * метод оттеснения. Код вируса располагается в начале зараженной программы, а тело самой программы приписывается к концу.
- * метод вытеснения. Из начала (или середины) файла «изымается» фрагмент, равный по объему коду вируса, и приписывается к концу файла. Сам вирус записывается в освободившееся место.
Разновидность метода вытеснения — когда оригинальное начало файла не сохраняется вообще. Такие программы являются «убитыми насмерть» и не могут быть восстановлены никаким антивирусом.
* прочие методы. Сохранение вытесненного фрагмента программы в «кластерном хвосте» файла и пр.
Основные виды компьютерных вирусов:
Червь — программа, которая делает копии самой себя. Ее вред заключается в захламлении компьютера, из-за чего он начинает работать медленнее. Отличительной особенностью червя является то, что он не может стать частью другой безвредной программы.
Троянская программа маскируется в других безвредных программах. До того момента как пользователь не запустит эту самую безвредную программу, троян не несет никакой опасности. Тронская программа может нанести различный ущерб для компьютера. В основном трояны используются для кражи, изменения или удаления данных. Отличительной особенностью трояна является то, что он не может самостоятельно размножаться.
Шпионы собирают информацию о действиях и поведении пользователя. В основном их интересует информация (адреса, пароли).
Зомби позволяют злоумышленнику управлять компьютером пользователя. Компьютеры — зомби могут быть объединены в сеть и использоваться для массовой атаки на сайты или рассылки спама. Пользователь может не догадываться, что его компьютер зомбирован и используется злоумышленником
Это программа, которая блокирует пользователю доступ к операционной системе. При загрузке компьютера появляется окно, в котором пользователя обвиняют в скачивание нелицензионного контента или нарушение авторских прав. И под угрозой полного удаления всех данных с компьютера требуют отослать смс на номер телефона или просто пополнить его счет. Естественно после того как пользователь выполнит эти требования банер никуда не исчезнет.
Вредоносная программа (Malware) — это любое программное обеспечение, созданное для получения несанкционированного доступа к компьютеру и его данным, с целью хищения информации или нанесению вреда. Термин «Вредоносная программа» можно считать общим для всех типов компьютерных вирусов, червей, троянских программ и т.д.
Все представленные виды компьютерных вирусов могут, в той или иной степени, нанести вред вашему компьютеру.
Источник: studwood.net
Компьютерные вирусы и антивирусные средства
Компьютерным вирусом – называется программа, предназначенная для выполнения разрушительных действий. Она может размножаться, внедряясь в другие программы во время запуска инфицированной программы на выполнение.
Вирусы передаются вместе с программными продуктами, записанными на дискетах или распространяемыми через компьютерные сети. Способы внедрения вируса в программу различны для разных операционных систем. Действия вируса могут быть разрушительными или проявляться в виде помехи. К разрушительным действиям вируса относятся: замена и/или удаление части или всего файла, форматирование диска, разрушение таблицы размещения файлов (FAT), искажение сообщений программы пользователя и т. п.
Вирусы – помехи могут выводить на экран дисплея информацию, затрудняющую чтение сообщений программ. Вирус начинает вредить или сразу же после загрузки в оперативную память инфицированной программы, или при наступлении определенного события, например: пятница, тринадцатое число.
Первые случаи заражения компьютерным вирусом были отмечены в 1987 году. С тех пор количество вирусов и зараженных компьютеров стало лавинообразно увеличиваться. В настоящее время насчитывается несколько тысяч различных вирусов и их количество продолжает возрастать. Например, только в глобальной сети Internet ежемесячно появляются не менее 200 вирусов.
Компьютерные вирусы можно классифицировать по различным признакам.
По виду среды обитания вирусы делятся на:
а) Файловые вирусы, заражающие:
— файлы с компонентами ОС;
— внешние драйверы устройств (SYS- и BIN-файлы);
— объектные файлы (OBJ-файлы);
— файлы с программами на языках программирования (в расчете на трансляцию этих программ — файлы типа BAS, PAS, ASM и т.п.);
— командные пакетные файлы (ВАТ-файлы);
— объектные библиотеки (LIВ-файлы);
— файлы Word и Excel);
б) Загрузочные вирусы, заражающие загрузочную область диска.
Загрузочный вирус получает управление в процессе загрузки операционной системы, выполняет запрограммированные в нем действия, а затем передает управление операционной системе;
в) Файлово-загрузочные вирусы, заражающие как программные файлы, так и загрузочные записи дисков.
По способу запуска на выполнение вирусы делятся на:
§ нерезидентные вирусы, запускающиеся на выполнение после загрузки инфицированной программы однократно;
§ резидентные вирусы, остающиеся после завершения выполнения инфицированной программы в оперативной памяти, выполняя при этом деструктивные действия и заражая программные файлы многократно.
По способу маскировки вирусы делятся на:
Маскирующиеся вирусы, подразделяются на следующие типы:
Большая часть самошифрующегося вируса зашифрована и расшифровывается для выполнения перед началом работы вируса.
Стелс-вирусы получили свое название по аналогии с самолетами-невидимками, построенными по технологии Stealth. В алгоритмах стелс-вирусов предприняты меры по маскировке их наличия в программе-вирусоносителе или в оперативной памяти, где вирус присутствует резидентно. Например, вирус может удалить свое тело из файла-вирусоносителя при чтении последнего с диска или вместо истинной длины файла, увеличенной вследствие внедрения вируса в этот файл, выдать уменьшенный (оригинальный) размер инфицированного файла.
Мутирующие вирусы со временем автоматически видоизменяются (мутируют), что делает необходимым разрабатывать для вирусов-мутантов новые программные средства их обезвреживания. Маскирование вирусов затрудняет их поиск, обнаружение и разработку антивирусных программ.
Рассмотренные типы вирусов наиболее часто проявляются одним из следующих способов:
§ сильно замедляется работа вычислительной системы;
§ уменьшается объем доступной оперативной памяти;
§ появляются сбои в работе операционной системы, в том числе ее зависание или прекращение работы;
§ на экране монитора появляются необычные сообщения;
§ зажигается лампочка дисковода в то время, когда на диск ничего не должно записываться или читаться с него;
§ необычно функционирует клавиатура;
§ форматируется диск без команды пользователя;
§ искажаются данные в CMOS-памяти (память CMOS используется в ПК для хранения важных параметров операционной системы и конфигурации ПК).
Кроме вирусных программ, мешающих работе пользователя, существуют квазивирусные программы. Они отличаются от обычных вирусов только способом их распространения. К таким программам относятся троянские программы и программы-репликаторы («черви»).
Троянская программа маскируется под полезную или интересную (игровую) программу, выполняя во время своего функционирования еще и разрушительную работу, например, очищает FAT. В отличие от вирусов, троянские программы не могут размножаться и внедряться в другие программные продукты.
Самые простые троянские программы выполняют разрушительную работу при каждом запуске на выполнение. Более совершенные из них аналогично вирусам начинают действовать при наступлении определенного события или момента времени.
Программы-репликаторы создаются для распространения по узлам вычислительной сети компьютерных вирусов. Сами репликаторы непосредственно разрушительных действий не производят, но они могут размножаться без внедрения в другие программы и иметь «начинку» из компьютерных вирусов.
Источник: studopedia.su
Компьютерные вирусы и антивирусные средства
Компьютерный вирус — это программа, ориентированная на существование и размножение в файле за счет его несанкционированного изменения, т.е. заражения, а также выполнения нежелательных действий на компьютере. Она может размножаться, внедряясь в другие программы во время запуска инфицированной программы на выполнение. Действие вируса может быть разрушительным или проявляться в виде помехи.
Вирус начинает вредить или сразу же после внедрения (загрузки в память инфицированной программы), или при наступлении определенного события.
Первые случаи заражения были обнаружены в 1987 г., и в настоящее время насчитываются сотни тысяч вирусов.
Действия вирусов могут проявляться следующим образом:
§ уменьшается объем доступной оперативной памяти;
§ изменяется дата и время модификации файлов;
§ замедляется работа компьютера;
§ на экран выводятся непредусмотренные сообщения и изображения или подаются непредусмотренные звуковые сигналы;
§ неправильно работают прикладные программы;
§ происходят частые «зависания» и сбои компьютера;
Компьютерные вирусы можно классифицировать по различным признакам.
По среде обитания вирусы делятся на следующие:
§ сетевые — распространяются по компьютерным сетям (в настоящее время это наиболее распространенный тип вирусов, которые передаются чаще всего в виде присоединенных файлов почтовых сообщений);
§ файловые — заражают программные файлы;
§ загрузочные — внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска;
§ файлово-загрузочные — заражают как файлы, так и загрузочные сектора дисков;
§ макровирусы — заражают файлы документов офисных пакетов (в частности, Microsoft Office), которые используют возможности макроязыков.
Макровирусы являются разновидностью скрипт-вирусов, которые привязаны к каким-либо «встроенным» языкам программирования.
По способу запуска (заражения) вирусы делятся на следующие:
§ резидентные, остающиеся после завершения выполнения инфицированной программы в оперативной памяти до выключения или перезагрузки компьютера, выполняя при этом разрушительные действия и многократно заражая программные файлы;
§ нерезидентные, запускающиеся на выполнение после загрузки инфицированной программы однократно (активные непродолжительное время) и не заражающие память компьютера.
По степени воздействия вирусы делятся на следующие:
§ неопасные — уменьшают память, дают звуковые или графические эффекты, но не мешают работе компьютера;
§ опасные — приводят к нарушениям в работе компьютера;
§ очень опасные — уничтожают данные, стирают информацию в системной области диска.
По способу маскировки вирусы делятся на следующие:
§ самошифрующиеся — имеют большую часть вируса в зашифрованном виде;
§ невидимые («стелс-вирусы») — присутствуют в оперативной памяти или в программах, но обнаружить и обезвредить их очень трудно, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Эти вирусы могут удалить свое тело из файла-вирусоносителя при его чтении с диска или вместо истинного размера файла, увеличенного вследствие внедрения вируса в этот файл, выдать уменьшенный (оригинальный) размер инфицированного файла;
§ мутирующие — со временем автоматически видоизменяются (мутируют), что затрудняет их поиск, обнаружение и разработку антивирусных средств;
Существуют также квазивирусные программы, которые так же, как и вирусы, наносят вред, но отличаются способом распространения. К ним можно отнести троянские программы и программы репликаторы («черви»).
Троянские программы («трояны», «троянцы», «троянские кони») маскируются под программы или игры, при запуске которых дополнительно производят запрограммированные в них действия. Основное отличие их от вирусов в том, что вирусы самодостаточны, а трояны должны «связываться» со своим автором. Сегодняшние троянцы воруют пароли для доступа в Интернет и другую конфиденциальную информацию (пароли, номера кредитных карт и т.п.) и пересылают ее «хозяину» либо устанавливают различные сервера для удаленного доступа. В Интернете легко подцепить «троянские звонилки», которые автоматически звонят на номера, за «разговор» по которым абонент платит дополнительные деньги.
Программы-репликаторы («черви») распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии. Сами они разрушительных действий не производят, но они могут размножаться без внедрения в другие программы и иметь «начинку» из компьютерных вирусов.
Основными источниками заражения вирусами и вирусоподобными программами являются электронная почта, Интернет, локальная сеть, накопители (flash, диски).
Существуют три меры защиты от компьютерных вирусов:
– профилактика — перекрытие путей проникновения, исключение возможности заражения;
– диагностика — обнаружение вирусов;
– лечение — удаление вирусов и восстановление поврежденных файлов.
Главные направления профилактики заражения вирусами:
1. Периодическая проверка дисков на наличие вирусов с использованием свежих версий антивирусных программ.
2. Проверка поступающих извне данных.
3. Копирование информации и жесткое разграничение доступа.
Для предотвращения заражения, диагностики и лечения (ликвидации последствий заражения вирусом) предназначены антивирусные программы.
Хорошая антивирусная программа должна обладать следующими возможностями:
§ обеспечивать эффективную защиту в режиме реального времени. Резидентная часть (монитор) программы должна постоянно находиться в оперативной памяти и производить проверку всех файловых операций (при создании, редактировании, копировании файлов, запуске их на исполнение), сообщений электронной почты, данных и программ, получаемых из Интернета;
§ позволять проверять все содержимое локальных дисков «по требованию», запуская проверку вручную или автоматически по расписанию;
§ защищать ваш компьютер даже от неизвестных вирусов: программа должна включать в себя технологии поиска неизвестных вирусов, основанные на принципах эвристического анализа;
§ уметь проверять и лечить архивированные файлы;
§ давать возможность регулярно (ежедневно!) обновлять антивирусные базы.
При обнаружении вируса антивирусная программа (в зависимости от настройки) производит следующие действия:
§ только выдает отчет;
§ лечит зараженные файлы (если вылечить невозможно, то удаляет зараженные файлы либо перемещает зараженные файлы или запрашивает пользователя о дальнейших действиях);
§ сразу удаляет зараженные файлы.
Рекомендуется устанавливать режим — «лечить зараженные файлы; если вылечить невозможно, запрашивать пользователя о дальнейших действиях».
Среди антивирусных средств можно отметить: MSAV фирмы Microsoft, VirusScan от фирмы McAfee, Norton Antivirus от Symantec, NOD32 от Eset, AIDSTEST Д. Лозинского, Doctor Web (Dr.Web) И. Данилова и В. Лутовинова, AntiViral Toolkit Pro (AVP) и AVP for Novell NetWare (AVPN) Е. Касперовского и другие. «Вирусные базы» этих программ постоянно обновляются.
Разрабатываются также специальные антитроянские утилиты, как, например: Trojan Remover от компании Simply Super Software и Tauscan от компании Agnitum.
В качестве примера возможностей антивирусных программ можно привести следующие.
Программа Norton AntiVirus автоматически защищает от вирусов, злонамеренных программ ActiveX, апплетов Java при пользовании Internet и работе с дискетами, CD или сетью, проверяет входящие приложения в самых распространенных программах электронной почты, обнаруживает вирусы и лечит сжатые файлы. Norton AntiVirus 2003 автоматически удаляет опасные программные коды, а также защищает от вирусов вложения в сообщениях и электронных письмах, гарантирует максимальный уровень безопасности благодаря возможности постоянного автоматического обновления антивирусных баз и созданию всесторонней защиты пользователей от проникновения опасных программных кодов.
Программа Norton AntiVirus обеспечивает:
§ поиск и уничтожение десятков тысяч известных вирусов;
§ поиск и уничтожение макровирусов и полиморфных вирусов (мутантов);
§ обнаружение неизвестных вирусов и некоторых «троянских» модулей;
§ бесплатное ежемесячное обновление вирусных баз;
§ постоянный контроль проникновения вирусов и вирусоподобной деятельности, выполняемый в фоновом режиме работы операционной системы;
§ проверку на вирус сетевых и сжатых дисков;
§ автоматическую проверку на вирус дискет, CD и DVD дисков, Flash-накопителей и т.п. при обращении к ним;
§ перехват сообщений и обработку электронной почты на полпути к почтовому ящику, а также проверку исходящей почты;
Программа Norton AntiVirus распространяется и как отдельная программа и в составе известных утилитных пакетов от Symantec: Norton System Works и Norton Internet Security Professional.
Компания ESET — международный разработчик программного обеспечения в области компьютерной безопасности, предлагает антивирусные решения семейства NOD32 для защиты компьютеров, серверов и сетей от широкого круга угроз, связанных с вредоносным кодом: включая вирусы, троянские программы (трояны), черви, шпионские программы, рекламные программы, phishing-атаки, руткиты.
Среди других ведущих антивирусных пакетов NOD32 отличается малым использованием системных ресурсов. Имеет очень мощный эвристический анализатор, позволяющий с большой точностью выявлять неизвестные вирусы, а также не менее мощный и надежный встроенный виртуальный эмулятор для обнаружения полиморфных вирусов.
Некоторые производители антивирусных программ выпускают утилиты, позволяющие производить проверку и лечение без установки антивирусной программы или отдельные модули-сканеры, блокирующие подозрительные файлы на подключаемых устройствах. Например, утилита Dr.Web CureIt! на основе сканера Dr.Web — быстро и эффективно проверяет и лечит без установки антивируса Dr.Web. Она содержит самый последний набор дополнений к вирусной базе Dr.Web и обновляется один или несколько раз в час. Dr.Web CureIt! определяет и удаляет:
§ почтовые и сетевые черви;
§ макро- и скрипт-вирусы;
§ потенциально опасное ПО;
Источник: studopedia.ru