Компьютерным вирусом называется программа, способная самостоятельно создавать свои копии и внедряться в другие программы, в системные области дисковой памяти компьютера, распространяться по каналам связи.
Целью создания и применения программ-вирусов является: нарушение работы программ, порчи файловых систем и компонентов компьютера, нарушение нормальной работы пользователей.
Компьютерным вирусам характерны определенные стадии существования: пассивная стадия, в которой вирус никаких действий не предпринимает; стадия размножения, когда вирус старается создать как можно больше своих копий; активная стадия, в которой вирус переходит к выполнению деструктивных действий в компьютерной системе или компьютерной сети.
Признаками проявления вирусов являются: неправильная работа нормально работавших программ; медленная работа компьютера; невозможность загрузки операционной системы; исчезновение файлов и каталогов; изменение размеров файлов; неожиданное увеличение количества файлов на диске; уменьшение размеров свободной оперативной памяти; вывод на экран неожиданных сообщений и изображений; подача непредусмотренных звуковых сигналов; частые зависания и сбои в работе компьютера.
Как выглядит мир глазами вируса?
В настоящее время существует огромное количество угроз, которым может подвергнуться компьютер. Компьютерные вирусы можно классифицировать по следующим признакам:
1. среде обитания.
2. способу заражения среды обитания.
4. особенностям алгоритма.
В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в файлы, имеющие расширения COM и EXE. Загрузочные вирусы внедряются в загрузочный сектор. Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.
По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.
По степени воздействия вирусы можно разделить на: безвредные, неопасные, опасные, очень опасные. Безвредные вирусы никак не влияют на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения). Неопасные вирусы не мешают работе компьютера, но уменьшают объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах. Опасные вирусы могут привести к различным нарушениям в работе компьютера. Очень опасные вирусы могутпривести к потере программ, уничтожению данных, стиранию информации в системных областях диска.
Что такое компьютерный вирус?
По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия.
1. Простейшие вирусы (паразитические) изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.
2. Вирусы-репликаторы (черви). Данная категория вредоносных программ для распространения использует в основном уязвимости операционных систем. Название этого класса было дано исходя из способности червей “переползать” с компьютера на компьютер, используя сети, электронную почту и другие информационные каналы.
Также благодаря этому многие черви обладают достаточно высокой скоростью распространения. Черви проникают на компьютер, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Помимо сетевых адресов часто используются данные адресной книги почтовых клиентов. Представители этого класса вредоносных программ иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).
3. Вирусы-невидимки (стелс-вирусы) очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска.
4. Вирусы-мутанты (полиморфные) содержат алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов.
5. Квазивирусы (троянские). Программы, которые выполняют на поражаемых компьютерах несанкционированные пользователем действия, т.е. в зависимости от каких-либо условий уничтожают информацию на дисках, приводят систему к “зависанию”, воруют конфиденциальную информацию и т.д. Данный класс вредоносных программ не является вирусом в традиционном понимании этого термина (т.е. не заражает другие программы или данные); троянские программы не способны самостоятельно проникать на компьютеры и распространяются злоумышленниками под видом “полезного” программного обеспечения.
6. Программные закладки также содержат некоторую функцию, наносящуюущерб, но эта функция, наоборот, старается быть как можно незаметнее, т.к. чем дольше программа не будет вызывать подозрений, тем дольше закладка сможет работать.
7. Программы-рекламы (Adware) — программный код, который без ведома пользователя включен в ПО с целью демонстрации рекламных объявлений. Зачастую данные программы также собирают и переправляют своему разработчику персональную информацию о пользователе, изменяют различные параметры браузера, а также создают неконтролируемый пользователем трафик.
8. Программы-шпионы (Spyware) — ПО, позволяющее собирать сведения об отдельно взятом пользователе или организации без их ведома.
9. Потенциально опасные приложения (Riskware) — ПО, которое не имеет какой-либо вредоносной функции, но может быть использовано злоумышленниками в качестве вспомогательных компонентов вредоносной программы, поскольку содержит бреши и ошибки. К таким программам относятся, например, утилиты удаленного администрирования, программы автоматического переключения раскладки клавиатуры, IRC-клиенты, FTP-сервера и т.д.
10. Программы-шутки (Jokes) — ПО, не причиняющее компьютеру какого-либо прямого вреда, но выводящее сообщения о том, что такой вред уже причинен, либо будет причинен при каких-либо условиях. Такие программы часто предупреждают пользователя о несуществующей опасности, например, выводят сообщения о форматировании диска (хотя никакого форматирования на самом деле не происходит), обнаруживают вирусы в незараженных файлах и т.д.
11. Программы-маскировщики (Rootkit) — ПО, используемое для сокрытия вредоносной активности. Они маскируют вредоносные программы, чтобы избежать их обнаружения антивирусными программами. Программы-маскировщики модифицируют операционную систему на компьютере и заменяют основные ее функции, чтобы скрыть свое собственное присутствие и действия, которые предпринимает злоумышленник на зараженном компьютере.
12. Прокси программы — программы для использования компьютера жертвы для приема/передачи файлов или почтовых сообщений (спама).
13. Porno-dialers — программы дающие доступ к платным порно ресурсам с использованием Dialup соединения, при этом цена соединения очень высока.
14. StartPage — ПО, занимающееся подменой адреса стартовой страницы Internet Explorer.
15. Макровирусы. ПО, созданное на языке VBA. Данный язык используется для программирования MS Office. Запуск вируса происходит при открытии на редактирование зараженных документов. При этом макрокоманды вируса записываются в глобальный шаблон NORMAL.DOT, так что при новых сеансах работы с Word вирус будет автоматически активирован.
16. Прочие опасные программы — ПО, созданное для организации DoS-атак на удаленные сервера, взлома других компьютеров, а также являющиеся частью среды разработки вредоносного программного обеспечения. К таким программам относятся хакерские утилиты, конструкторы вирусов, сканеры уязвимостей, программы для взлома паролей, прочие виды программ для взлома сетевых ресурсов или проникновения в атакуемую систему.
Источник: studopedia.org
2. Классификация вирусов.
Множество компьютерных вирусов, существующих на современном этапе можно разделить на несколько групп.
1. По среде обитания.
Сетевые вирусы распространяются по различным сетям, т.е. при передаче информации с одного компьютера на другой, соединенные между собой сетью, например Интернет.
Файловые вирусы заражают исполнительные файлы и загружаются после запуска той программы, в которой он находится. Файловые вирусы могут внедряться и в другие файлы, но записанные в таких файлах, они не получают управление и теряют способность к размножению.
Загрузочные вирусы внедряются в загрузочный сектор дискет или логических дисков, содержащий программу загрузки.
Файлово-загрузочные вирусы заражают одновременно файлы и загрузочные сектора диска.
2. По способу заражения среды обитания.
Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т.п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.
Нерезидентный вирус не заражает память компьютера и является активным ограниченное время. Активизируются в определенные моменты, например при обработке документов текстовым процессором.
3. По деструктивным (разрушительным) возможностям.
Безвредные вирусы проявляются только в том, что уменьшают объем памяти на диске в результате своего распространения.
Неопасные, так же уменьшают объем памяти, не мешают работе компьютера, такие вирусы порождают графические, звуковые и другие эффекты.
Опасные вирусы, которые могут привести к различным нарушениям в работе компьютера, например к зависанию или неправильной печати документа.
Очень опасные, действие которых может привести к потере программ, данных, стиранию информации в системных областях памяти и даже приводить к выходу из строя движущихся частей жесткого диска при вводе в резонанс.
4. По особенностям алгоритма.
Паразитические – это одни из самых простых вирусов. Они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.
Вирусы-репликаторы (черви) распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.
Вирусы невидимки (стелс-вирусы) – вирусы, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего незараженные участки диска.
Мутанты (призраки) содержат алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Такие вирусы самые сложные в обнаружении.
Троянские программы (квазивирусы) не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.
Спутники – вирус, который не изменяет файл, а для выполнимых программ (exe) создают одноименные программы типа com, которые при выполнении исходной программы запускаются первыми, а затем передают управление исходной выполняемой программе.
Студенческие вирусы представляют собой самые простые и легко обнаруживаемые вирусы.
Однако четкого разделения между ними не существует, и все они могут составлять комбинацию вариантов взаимодействия — своеобразный вирусный «коктейль».
Источник: studfile.net
Вирусы-репликаторы (черви)
Основными путями проникновения вирусов в компьютер являются съемные носители (гибкие и лазерные) и компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с носителя, содержащего вирус.
Вирус, как правило, проникает в рабочую программу таким образом, чтобы при ее запуске управление сначала передалось ему и только после выполнения всех его команд снова вернулось к рабочей программе. Получив доступ к управлению, вирус, прежде всего, переписывает сам себя в другую рабочую программу и заражает ее. После запуска программы, содержащей вирус, становится возможным заражение других файлов.
Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения EXE, COM, SYS, ВАТ. Текстовые файлы заражаются реже.
После заражения программы вирус может выполнить какие-либо действия, не слишком серьезные, чтобы не привлечь внимания. Но каждый запуск зараженной программы переносит вирус в следующую программу. Таким образом, может заразиться все программное обеспечение.
К основные признакам появления вирусов относятся следующие.
1. Прекращение работы или неправильная работа программ;
2. Замедление работы компьютера;
3. Невозможность загрузки операционной системы;
4. Исчезновение файлов и каталогов или искажение их содержимого;
5. Изменение даты и времени модификации файлов;
6. Изменение размеров файлов;
7. Неожиданное значительное увеличение количества файлов на диске;
8. Существенное уменьшение размера свободной оперативной памяти;
9. Вывод на экран непредусмотренных сообщений или изображений;
10. Подача непредусмотренных звуковых сигналов;
11. Частые зависания и сбои в работе компьютера.
Надо отметить, что эти явления не обязательно вызываются вирусом, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.
Классификация вирусов.
Классификация вирусов
Известные программные вирусы можно классифицировать по различным признакам.
В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные, файлово-загрузочные.
Сетевые вирусы.
Сетевые вирусы передаются по различным компьютерным сетям.
Файловые вирусы.
Файловые вирусы внедряются главным образом в исполняемые модули, т. е. в файлы, имеющие расширения COM и EXE. Они могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению.
В отличие от загрузочных вирусов, которые практически всегда резидентные, файловые вирусы не обязательно резидентны. Областью обитания файловых вирусов являются файлы.
Если файловый вирус не резидентный, то при запуске инфицированного исполняемого файла вирус записывает свой код в тело программного файла таким образом, что при запуске программы вирус первым получает управление. Произведя некоторые действия, вирус передает управление зараженной программе.
При запуске зараженной программы вирус сканирует локальные диски компьютера и сетевые каталоги в поисках нового объекта для заражения. После того как подходящий программный файл будет найден, вирус записывает в него свой код, чтобы получить управление при запуске этого файла.
Если файловый вирус резидентный, то он установится в память и получит возможность заражать файлы и выполнять свои действия всегда, пока включен компьютер. (А не только во время работы зараженного файла).
Относительно новой разновидностью файлового вируса является макрокомандный вирус, передающийся с документами офисных программ (Microsoft Word for Windows или Microsoft Excel for,Windows).
Документы офисных приложений содержат в себе не только текст и графические изображения, но и макрокоманды, которые представляют программы. Эти программы составляются на языке, Visual Бейсик.
Вирус может изменять существующие макрокоманды и добавлять новые, вставляя свое тело в файл документа.
Если вирусная макрокоманда имеет имя FileSaveAs, то распространение вируса будет происходить при сохранении документа.
Для предотвращения заражения макрокомандными вирусами необходимо перед просмотром или редактированием проверять новые файлы документов с помощью антивирусных программ, способных искать такие вирусы.
Загрузочные вирусы.
Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record).
Вторая большая группа вирусов — это так называемые загрузочные вирусы. Активизация этих вирусов происходит в момент загрузки операционной системы, еще до того, как пользователь успел запустить какую-либо антивирусную программу.
Сразу после включения электропитания компьютера начинает работать программа инициализации, записанная в ПЗУ базовой системы ввода/вывода BIOS. Эта программа проверяет оперативную память и другие устройства компьютера. Затем управление передается программе начальной загрузки, которая также находится в BIOS.
Программа начальной загрузки пытается прочитать в оперативную память либо содержимое самого первого сектора нулевой дорожки винчестера (в котором находится главная загрузочная запись Master Boot Record), либо содержимое самого первого сектора нулевой дорожки дискеты/СD-диска. (Этот сектор содержит загрузочную запись Boot Record (BR).)
Дальше происходит загрузка операционной системы. Операционная система может загружаться либо с винчестера, либо с электронного накопителя (дискеты, диска, флэшки).
При загрузке с винчестера в память по фиксированному адресу читается содержимое главной загрузочной записи. Загрузочная запись (загрузчик) – это программа, которая загружает операционную систему с логического диска.
Загрузчик, просматривает таблицу разделов диска. (Partition Table, которая находится в том же секторе диска, что и сама запись MBR.)
После того как в этой таблице будет найден раздел, отмеченный как активный, выполняется чтение самого первого сектора этого раздела в оперативную память. Самый первый сектор называется сектором загрузочной записи. В этом секторе находится еще один загрузчик.
Второй загрузчик считывает в оперативную память стартовые модули операционной системы и передает им управление. (Каждая операционная система имеет свой собственный загрузчик.)
Загрузка с диска происходит проще. Сразу читается самый первый сектор нулевой дорожки, который передает управление оперативной памяти компьютера.
Итак, при загрузке операционной системе работают три программы:
— главная загрузочная запись;
— загрузочная запись на логическом диске;
— загрузочная запись на дискете.
Именно эти программы являются объектом для загрузочных вирусов.
Вирусы заменяют один или все из перечисленных объектов, то есть встраивают в них свое тело. В результате при включении компьютера программа загрузки, расположенная в BIOS, загружает в память вирусный код и передает ему управление.
Дальнейшая загрузка операционной системы происходит под контролем вируса. Поэтому его тяжело обнаружить даже с помощью антивирусных программ.
Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков. То есть они комбинируют методы заражения для файловых и загрузочных вирусов.
По способу заражения вирусы делятся на резидентные и нерезидентные.
Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.
По степени воздействия вирусы можно разделить на следующие виды:
а) неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках. Действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;
б) опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;
в) очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.
По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия.
Вирусы – паразиты.
Вирусы-паразиты – это простейшие вирусы. Они только изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.
Черви распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии. То есть черви поражают не отдельные программы, а целую систему.
Основная функция червей — взлом атакуемой системы, т.е. преодоление защиты с целью нарушения безопасности и целостности.
Это очень опасный вид вирусов, так как объектами бывают информационные системы государственного масштаба.
С появлением глобальной сети Internet этот вид нарушения безопасности представляет наибольшую угрозу.
Часто черви передаются по сети с помощью троянских коней.
Источник: studopedia.su