Каковы особенности компьютерных вирусов как типа вредоносных программ

Вы здесь: Главная страница Информатика 11 класс Угринович 11 класс 19 1.6.2. Компьютерные вирусы и защита от них

Новости

• Новости Информатизации
• Новости Физики
• Новости Астрономии
• Общие новости
• Школьные новости
• Новости ЕГЭ и ОГЭ(ГИА)

Учебники

Как пользоваться:

• Сайтом
• Электронными учебниками

Счетчики

Сайт участвует

1.6.2. Компьютерные вирусы и защита от них

Обязательным свойством компьютерного вируса являет­ся способность к «размножению» (самокопированию). Виру­сы могут также незаметно для пользователя внедряться в файлы, загрузочные секторы дисков и документы. Название «вирус» по отношению к компьютерным программам при­шло из биологии именно по признаку способности к само­размножению.

10 самых опасных компьютерных ВИРУСОВ в истории, которые могут быть в ТВОЕМ компьютере

После заражения компьютера вирус может активизиро­ваться и заставить компьютер выполнять какие-либо дей­ствия. Активизация вируса может быть связана с различ­ными событиями (наступлением определенной даты или дня недели, запуском программы, открытием документа и т. д.).

Компьютерные вирусы являются вредоносными программами, которые могут «размножаться» и скрытно внедрять свои копии в файлы, загрузочные секторы дисков и документы. Активизация компью­терного вируса может вызывать уничтожение программ и данных.

В настоящее время известно несколько десятков тысяч вирусов, заражающих компьютеры различных операцион­ных систем. По «среде обитания» вирусы можно разделить на загрузочные, файловые и макро-вирусы.

Загрузочные вирусы. Загрузочные вирусы заражают за­грузочный сектор гибкого или жесткого диска. Принцип действия загрузочных вирусов основан на алгоритмах запус­ка операционной системы при включении или перезагрузке компьютера. После необходимых тестов установленного об­орудования программа системной загрузки считывает пер­вый физический сектор загрузочного диска (гибкого, жест­кого, оптического или флэш-диска в зависимости от параметров, установленных в BIOS Setup) и передает на него управление.

При заражении дисков загрузочные вирусы «подставля­ют» свой код вместо программы, получающей управление при загрузке системы, и отдают управление не оригинально­му коду загрузчика, а коду вируса. При инфицировании диска вирус в большинстве случаев переносит оригиналь­ный загрузочный сектор в какой-либо другой сектор диска (например, в первый свободный).

Профилактическая защита от таких вирусов состоит в отказе от загрузки операционной системы с гибких дисков и установке в BIOS вашего компьютера защиты загрузочного сектора от изменений. С помощью программы BIOS Setup можно провести настройку BIOS таким образом, что будет запрещена (заблокирована) любая запись в загрузочный сек­тор диска и компьютер будет защищен от заражения загру­зочными вирусами.

Защита от компьютерных вирусов [GeekBrains]

Файловые вирусы. Файловые вирусы различными спо­собами внедряются в исполнимые файлы и обычно активи­зируются при их запуске. После запуска зараженного файла вирус находится в оперативной памяти компьютера и яв­ляется активным (т. е. может заражать другие файлы) вплоть до момента выключения компьютера или перезагруз­ки операционной системы.

Практически все загрузочные и файловые вирусы рези­дентны, т. е. они находятся в оперативной памяти компью­тера и в процессе работы пользователя могут осуществлять опасные действия (стирать данные на дисках, изменять на­звания и другие атрибуты файлов и т. д.). Лечение от рези­дентных вирусов затруднено, так как даже после удаления зараженных файлов с дисков, вирус остается в оперативной памяти и возможно повторное заражение файлов.

Профилактическая защита от файловых вирусов состоит в том, что не рекомендуется запускать на исполнение фай­лы, полученные из сомнительных источников и предвари­тельно не проверенные антивирусными программами.

Макровирусы. Существуют макровирусы для интегри­рованного офисного приложения Microsoft Office (Word, Excel, PowerPoint и Access). Макро-вирусы фактически яв­ляются макрокомандами (макросами), на встроенном язы­ке программирования Visual Basic for Applications (VBA), которые помещаются в документ.

При работе с документом пользователь выполняет раз­личные действия: открывает документ, сохраняет, печата­ет, закрывает и т. д. При этом приложение ищет и выпол­няет соответствующие стандартные макросы. Макровирусы содержат стандартные макросы, вызываются вместо них и заражают каждый открываемый или сохраняемый доку­мент.

Макровирусы являются ограниченно резидентными,

т. е. они находятся в оперативной памяти и заражают до­кументы, пока открыто приложение. Кроме того, макрови­русы заражают шаблоны документов, и поэтому активизи­руются уже при запуске зараженного приложения.

Профилактическая защита от макровирусов состоит в предотвращении запуска вируса. При открытии документа в приложениях Microsoft Office сообщается о присутствии в них макросов (потенциальных вирусов) и предлагается за­претить их загрузку. Выбор запрета на загрузку макросов надежно защитит ваш компьютер от заражения макровиру­сами, однако отключит и полезные макросы, содержащиеся в документе.

1. 1. Каковы характерные особенности компьютерных вирусов как типа вредоносных программ?
2. 2. Какие существуют типы компьютерных вирусов?

Источник: txtbooks.ru

Классификация компьютерных вирусов

Компьютерный вирус представляет собой разновидность компьютерных утилит или вредоносный код, чья отличительная особенность – саморепликация, то есть способность к размножению. Вирусы без ведома владельца компьютера могут выполнять любые действия, наносящие вред компьютеру и/или документам, а также ворующие пароли от доступа к почте, ICQ и так далее.

Содержание

1. 1 Классификация компьютерных вирусов по среде обитания

1. 1.1 Файловые
2. 1.2 Загрузочные
3. 1.3 Макро
4. 1.4 Сетевые
5. 1.5 Файло-загрузочные
6. 1.6 Сетевые макро-вирусы

1. 2.1 Резидентный
2. 2.2 Вирусы, использующие стелс-алгоритмы
3. 2.3 Вирусы с самошифрованием и полиморфичностью
4. 2.4 Вирусы, использующие нестандартные приемы

Вирусы разделяются по ряду основных признаков, включающих среду обитания, операционную систему, особенности алгоритма работы и деструктивные возможности.

Классификация компьютерных вирусов по среде обитания

Файловые

Вирусы данного вида любыми способами проникают в выполняемые файлы (характер для распространенного типа вирусов), или же сами создают файлы-двойники (носят название компаньон-вирусов), или же в своей работе используют особенности устройства файловой системы (носят название линк-вирусов).

Загрузочные

Вирусы данного вида помещают себя в загрузочный сектор жесткого диска, или в сектор с системным загрузчиком hard-диска, или же меняют указатель на активный загрузочный сектор винчестера. Вы наверняка встречались с баннером, который заблокировал Windows и требовал отправить смс. Так вот, это работа загрузочного вируса.

Макро

Вирусы данного вида заражают электронные таблицы и файловые документы ряда популярных редакторов.

Сетевые

Вирусы этого вида для своего распространения используют протоколы, либо команды компьютерных сетей, а также электронной почты.

Однако имеются и сочетания данных перечисленных видов вирусов. К примеру:

Файло-загрузочные

Эти вирусы не только заражают файлы, но и загрузочные сектора жестких дисков. Они имеют очень сложный алгоритм своей работы за счет использования стелс и полиморфик-технологий и оригинальных методов проникновения в систему.

Сетевые макро-вирусы

Они заражают редактируемые документы на компьютере, плюс, копии вируса рассылают по электронной почте.

Второй уровень разделения вирусов – вид заражаемой операционной системы. Каждый сетевой или файловый вирус заражает файлы одно или ряда ОС:

• DOS,
• Windows,
• Win95/NT,
• OS/2 и прочие.

Макро-вирусы заражают документы таких редакторов, как:

Загрузочные вирусы разделяются согласно конкретным форматам размещения системных данных в boot-секторах жесткого диска.

Классификация вирусов по особенностям алгоритма работы

Резидентный

При заражении компьютера в оперативной памяти оставляет свою резидентную часть, перехватывающую обращения ОС к объектам заражения для внедрения в них. Данный вид вирусов располагаются в памяти и проявляют активность до перезагрузки операционной системы или выключения компьютера. Нерезидентный вирус не заражает память компьютера, а активность его ограничена временем.

Ряд вирусов даже при размещении в памяти небольших резидентных программ не распространяются. Подобные вредоносные утилиты называются нерезидентными. К резидентным вредоносным программам можно отнести макро-вирусы, так как они присутствуют в памяти компьютера постоянно во время работы зараженного редактора. В этом случае роль операционной системы переходит редактору, а активность вируса ограничена временем работы редактора. В многозадачных ОС время активности резидентного ДОС-вируса ограничивается временем работы зараженного ДОС-окна, а в ряде ОС активность ограничена временем инсталляции драйверов.

Вирусы, использующие стелс-алгоритмы

Они полностью или частично скрывают в системе. Самым распространенным стелс-алгоритмом считается перехват запросов операционки на чтение, либо запись зараженных объектов. Стелс-вирусы временно лечат их или же вместо себя «подставляют» незараженные участки данных. Ярким примеров использования этих алгоритмов в случае с макро-вирусами является отсутствие возможности вызова меню просмотра макросов. Одними из первых загрузочных стелс-вирусов является вирус Brain, а файловых стелс-вирусов – Frodo.

Вирусы с самошифрованием и полиморфичностью

Практически все типы вредоносных утилит используют данные алгоритмы работы для максимального усложнения процедуры детектирования вируса. Полиморфик-вирусы очень сложно обнаружить из-за отсутствия сигнатур, то есть отсутствия хотя бы одного постоянного участка кода. Чаще всего 2 образца такого вредоносного ПО не будут иметь ни одного схожего фрагмента кода. Данная ситуация достигается за счет шифрования основного тела вируса, а также модификации программы-расшифровщика.

Вирусы, использующие нестандартные приемы

Применение нестандартных приемов обусловлено необходимостью спрятать тело вируса как можно глубже в ядре операционной системе, защиты от обнаружения резидентсткой копии, затруднения лечения от вируса.

Классификация компьютерных вирусов по деструктивным возможностям

Безвредные, не влияющие на работу компьютера, за исключение уменьшения свободного места на диске.Неопасные, влияющие лишь на уменьшение свободного места на жестком диске и на графические, звуковые и иные эффекты.

Опасные, приводящие к серьезным сбоям в функционировании компьютера.

Очень опасные вирусы. В их алгоритм работы заложены функции, вызывающие потерю программ, уничтожение данных, уничтожение необходимой для работы ПК информации из системных областей памяти.

Источник: spravkapc.ru

Вирусы. Принцип действия компьютерного вируса.

Решить задачу теоретического обнаружения вирусов невозможно, поэтому на практике приходится решать частные задачи относительно частных случаев вредоносных программ. В зависимости от свойств вирусов для их обнаружения и нейтрализации могут применяться различные методы. Необходимо отметить, что на практике классификации, принятые различными производителями антивирусных продуктов, отличаются, хотя и построены на близких принципах. Поэтому в ходе изложения будут формулироваться в первую очередь принципы, и уже потом примеры из классификации.
Практическое определение вируса

Определение компьютерного вируса — исторически проблемный вопрос, поскольку достаточно сложно дать четкое определение вируса, очертив при этом свойства, присущие только вирусам и не касающиеся других программных систем. Наоборот, давая жесткое определение вируса как программы, обладающей определенными свойствами, практически сразу же можно найти пример вируса, таковыми свойствами не обладающего.Приведу несколько формулировок определения:Хронологически наиболее раннее определение от Евгения Касперского (книга «Компьютерные вирусы»):

Определение 1: ОБЯЗАТЕЛЬНЫМ (НЕОБХОДИМЫМ) СВОЙСТВОМ КОМПЬЮТЕРНОГО ВИРУСА является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.

Определение по ГОСТ Р 51188-98:
Определение 2: Вирус — программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам. Легко заметить, что определение в ГОСТ практически полностью повторяет определение Е. Касперского.

Определения 1 и 2 в большой степени повторяют определение Ф. Коэна или уточнение, предложенное Д. Чессом и С. Вайтом, что позволяет распространить на них (определения) вывод о невозможности создать алгоритм, обнаруживающий все такие программы или даже все «инкарнации» одного из вирусов. Тем не менее, на практике оказывается, что все известные вирусы могут быть обнаружены антивирусными программами. Результат достигается в частности еще и за счет того, что поврежденные или неудачные экземпляры вирусов, неспособные к созданию и внедрению своих копий, обнаруживаются и классифицируются наравне со всеми остальными «полноценными» вирусами. Следовательно, с практической точки зрения, т. е. с точки зрения алгоритмов поиска, способность к размножению вовсе не является обязательной для причисления программы к вирусам.Другая проблема, связанная с определением компьютерного вируса кроется в том, что сегодня под вирусом чаще всего понимается не «традиционный» вирус, а практически любая вредоносная программа. Это приводит к путанице в терминологии, осложненной еще и тем, что практически все современные антивирусы способны выявлять указанные типы вредоносных программ, таким образом ассоциация «вредоносная программа-вирус» становится все более устойчивой.Исходя из этого, а также из назначения антивирусных средств, в дальнейшем, если это не будет оговорено отдельно, под вирусами будут подразумеваться именно вредоносные программы.

Определение 3: Вредоносная программа — компьютерная программа или переносной код, предназначенный для реализации угроз информации, хранящейся в КС, либо для скрытого нецелевого использования ресурсов КС, либо иного воздействия, препятствующего нормальному функционированию КС. К вредоносным программам относятся компьютерные вирусы, трояны, сетевые черви и др.

Компьютерные вирусы, трояны и черви являются основными типами вредоносных программ.
Вирусы

Классические определения компьютерного вируса приведены выше.

Жизненный цикл

Поскольку отличительной особенностью вирусов в традиционном смысле является способность к размножению в рамках одного компьютера, деление вирусов на типы происходит в соответствии со способами размножения.Сам процесс размножения может быть условно разделен на несколько стадий:

1. Проникновение на компьютер 2. Активация вируса3. Поиск объектов для заражения4. Подготовка вирусных копий5. Внедрение вирусных копий

Особенности реализации каждой стадии порождают атрибуты, набор которых фактически и определяет класс вируса.

Проникновение

Вирусы проникают на компьютер вместе с зараженными файлами или другими объектами (загрузочными секторами дискет), никак, в отличие от червей, не влияя на процесс проникновения. Следовательно, возможности проникновения полностью определяются возможностями заражения и классифицировать вирусы по этим стадиям жизненного цикла отдельно смысла нет.

Для активации вируса необходимо, чтобы зараженный объект получил управление. На данной стадии деление вирусов происходит по типам объектов, которые могут быть заражены:

1.Загрузочные вирусы — вирусы, заражающие загрузочные сектора постоянных и сменных носителей.

2.Файловые вирусы —вирусы, заражающие файлы. Эта группа дополнительно делится на три, в зависимости от среды в которой выполняется код:

· Собственно файловые вирусы — те, которые непосредственно работают с ресурсами операционной системы.Из последних вредоносных программ, обладающих вирусной функциональностью, можно отметить Email-Worm.Win32.Bagle.p (а также его модификации .q и .r).

· Макровирусы — вирусы, написанные на языке макрокоманд и исполняемые в среде какого-либо приложения. В подавляющем большинстве случаев речь идет о макросах в документах Microsoft Office.

Макро-вирусы способны заражать не только документы Microsoft Word и Excel. Существуют вредоносные программы ориентированные и на другие типы документов: Macro.Visio.Radiant заражает файлы известной программы для построения диаграмм -Visio, Virus.Acad.Pobresito — документы AutoCAD, Macro.AmiPro.Green — документы популярного раньше текстового процессора Ami Pro.

· Скрипт-вирусы — вирусы, исполняемые в среде определенной командной оболочки: раньше — bat-файлы в командной оболочке DOS, сейчас чаще VBS и JS — скрипты в командной оболочке Windows Scripting Host (WSH).Отдельно стоит отметить тот факт, что вирусы, рассчитанные для работы в среде определенной ОС или приложения, оказываются неработоспособными в среде других ОС и приложений. Поэтому как отдельный атрибут вируса выделяется среда, в которой он способен выполняться. Для файловых вирусов это DOS, Windows, Linux, MacOS, OS/2. Для макровирусов — Word, Excel, PowerPoint, Office. Иногда вирусу требуется для корректной работы какая-то определенная версия ОС или приложения, тогда атрибут указывается более узко: Win9x, Excel97.

Поиск жертв На стадии поиска объектов для заражения встречается два способа поведения вирусов.1.Получив управление, вирус производит разовый поиск жертв, после чего передает управление ассоциированному с ним объекту (зараженному объекту).2.Получив управление, вирус так или иначе остается в памяти и производит поиск жертв непрерывно, до завершения работы среды, в которой он выполняетсяВирусы второго типа во времена однозадачной DOS было принято называть резидентными. С переходом на Windows проблема остаться в памяти перестала быть актуальной: практически все вирусы, исполняемые в среде Windows, равно как и в среде приложений MS Office, являются вирусами второго типа.

И напротив, скрипт-вирусы являются вирусами первого типа. Соответственно, атрибут резидентный применим только к файловым DOS вирусам.

Существование нерезидентных Windows вирусов возможно, но на практике они являются редким исключением.Отдельно имеет смысл рассмотреть так называемые stealth-вирусы — вирусы, которые находясь постоянно в памяти, перехватывают обращения к зараженному файлу и на ходу удаляют из него вирусный код, передавая в ответ на запрос неизмененную версию файла. Таким образом эти вирусы маскируют свое присутствие в системе. Для их обнаружения антивирусным средствам требуется возможность прямого обращения к диску в обход средств операционной системы. Наибольшее распространение Stealth-вирусы получили во времена DOS.

Подготовка вирусных копий

Определение 4: Сигнатура вируса — в широком смысле, информация, позволяющая однозначно определить наличие данного вируса в файле или ином коде. Примерами сигнатур являются: уникальная последовательность байт, присутствующая в данном вирусе и не встречающаяся в других программах; контрольная сумма такой последовательности. Процесс подготовки копий для распространения может существенно отличаться от простого копирования. Авторы наиболее сложных в технологическом плане вирусов стараются сделать разные копии максимально непохожими для усложнения их обнаружения антивирусными средствами. Как следствие, составление сигнатуры для такого вируса крайне затруднено либо вовсе невозможно.

Внедрение вирусных копий может осуществляться двумя принципиально разными методами:

· Внедрение вирусного кода непосредственно в заражаемый объект · Замена объекта на вирусную копию. Замещаемый объект, как правило, переименовывается

Для вирусов характерным является преимущественно первый метод. Второй метод намного чаще используется червями и троянами, а точнее троянскими компонентами червей, поскольку трояны сами по себе не распространяются.

Ущерб от вредоносных программ

Черви и вирусы могут осуществлять все те же действия, что и трояны. На уровне реализации это могут быть как отдельные троянские компоненты, так и встроенные функции. Кроме этого, за счет массовости, для вирусов и червей характерны также другие формы вредоносных действий:

· Перегрузка каналов связи — свойственный червям вид ущерба, связанный с тем, что во время масштабных эпидемий по Интернет-каналам передаются огромные количества запросов, зараженных писем или непосредственно копий червя. В ряде случаев, пользование услугами Интернет во время эпидемии становится затруднительным.

Примеры: Net-Worm.Win32.Slammer · DDoS атаки — благодаря массовости, черви могут эффективно использоваться для реализации распределенных атак на отказ в обслуживании (DDoS атак). В разгар эпидемии, когда зараженными являются миллионы и даже десятки миллионов компьютеров, обращение всех инфицированных систем к определенному Интернет ресурсу приводит к полному блокированию этого ресурса.

Так, во время атаки червя MyDoom сайт компании SCO был недоступен в течение месяца. · Потеря данных — более характерное для вирусов, чем для троянов и червей, поведение, связанное с намеренным уничтожением определенных данных на компьютере пользователя. Примеры: Virus.Win9x.CIH — удаление стартовых секторов дисков и содержимого Flash BIOS, Macro.Word97.Thus — удаление всех файлов на диске C:, Email-Worm.Win32.Mydoom.e — удаление файлов с определенными расширениями в зависимости от показателя счетчика случайных чисел· Нарушение работы ПО — также более свойственная вирусам черта. Из-за ошибок в коде вируса, зараженные приложения могут работать с ошибками или не работать вовсе. Примеры: Net-Worm.Win32.Sasser.a — перезагрузка зараженного компьютера· Загрузка ресурсов компьютера — интенсивное использование ресурсов компьютера вредоносными программами ведет к снижению производительности как системы в целом, так и отдельных приложений. Примеры: в разной степени — любые вредоносные программы

Наличие деструктивных действий вовсе не является обязательным критерием для классификации программного кода как вирусного. Следует также отметить, что одним только процессом саморазмножения вирус способен причинить колоссальный ущерб. Наиболее яркий пример — Net-Worm.Win32.Slammer.

Угрозы безопасности информации

Рассмотрим угрозы безопасности информации с точки зрения вирусов. Учитывая тот факт, что общее число вирусов по состоянию на сегодня превосходит 100000, проанализировать угрозы со стороны каждого из них является слишком трудоемкой и бесполезной задачей, поскольку ежедневно возрастает количество вирусов, а значит, необходимо ежедневно модифицировать полученный список. Будем считать, что вирус способен реализовать любую из угроз безопасности информации.Существует множество способов классификации угроз безопасности информации, которая обрабатывается в автоматизированной системе. Наиболее часто используется классификация угроз по результату их влияния на информацию, а именно — нарушение конфиденциальности, целостности и доступности.Для каждой угрозы существует несколько способов ее реализации со стороны вирусов.

Угроза нарушения конфиденциальности

· Кража информации и ее распространение с помощью штатных средств связи либо скрытых каналов передачи: Email-Worm.Win32.Sircam — рассылал вместе с вирусными копиями произвольные документы, найденные на зараженном компьютере

· Кража паролей доступа, ключей шифрования и пр.: любые трояны, крадущие пароли, Trojan-PSW.Win32.LdPinch.gen· Удаленное управление: Backdoor.Win32.NetBus, Email-Worm.Win32.Bagle (backdoor-функциональность)

Угроза нарушения целостности

· Модификация без уничтожения (изменение информации): любой паразитирующий вирус· Модификация посредством уничтожения либо шифрации (удаление некоторых типов документов): Virus.DOS.OneHalf — шифрование содержимого диска, Virus.Win32.Gpcode.f — шифрует файлы с определенными расширениями, после чего самоуничтожается, оставляя рядом с зашифрованными файлами координаты для связи по вопросам расшифровки файлов· модификация путем низкоуровневого уничтожения носителя (форматирование носителя, уничтожение таблиц распределения файлов): Virus.MSWord.Melissa.w — 25 декабря форматирует диск C:

Угроза нарушения доступности

· Загрузка каналов передачи данных большим числом пакетов: Net-Worm.Win32.Slammer — непрерывная рассылка инфицированных пакетов в бесконечном цикле

· Любая деятельность, результатом которой является невозможность доступа к информации; различные звуковые и визуальные эффекты: Email-Worm.Win32.Bagle.p — блокирование доступа к сайтам антивирусных компаний

· Вывод компьютера из строя путем уничтожения либо порчи критических составляющих (уничтожение Flash BIOS): Virus.Win9x.CIH — порча Flash BIOSКак несложно было убедиться, для каждого из приведенных выше способов реализации угроз можно привести конкретный пример вируса, реализующего один или одновременно несколько способов.

Вредоносные программы отличаются условиями существования, применяемыми технологиями на различных этапах жизненного цикла, собственно вредоносным воздействием — все эти факторы и являются основой для классификации. В результате по основному (с исторической точки зрения) признаку — размножению, вредоносные программы делятся на три типа: собственно вирусы, черви и трояны.Независимо от типа, вредоносные программы способны наносить значительный ущерб, реализуя любые угрозы информации — угрозы нарушения целостности, конфиденциальности, доступности. В связи с этим при проектировании комплексных систем антивирусной защиты, и даже в более общем случае — комплексных системы защиты информации, необходимо проводить градацию и классифицировать объекты сети по важности обрабатываемой на них информации и по вероятности заражения этих узлов вирусами.

• Войдите на сайт для отправки комментариев

Источник: www.in-nov.ru