Компьютерный вирус – это специально написанная небольшая по размерам программа, которая может «приписывать» себя к другим программам, а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется «зараженной». Когда такая программа начинает работу, то сначала управление получает вирус.
Вирус находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, «засоряет» оперативную память и т. д.). Вирус – это программа, обладающая способностью к самовоспроизведению. Такая способность является единственным свойством, присущим всем типам вирусов. Вирус не может существовать в «полной изоляции». Это означает, что сегодня нельзя представить себе вирус, который бы так или иначе не использовал код других программ, информацию о файловой структуре или даже просто имена других программ. Причина этого довольно понятна: вирус должен каким-нибудь способом обеспечить
14 Онлайн урок №14 Понятие компьютерного вируса 9 класс
передачу себе управления.
Основные типы компьютерных вирусов
Существует совершенно формальная система, позволяющая классифицировать компьютерные вирусы и называть их таким образом, чтобы избежать ситуации, когда один и тот же вирус имеет неузнаваемо разные имена в классификации разных разработчиков антивирусных программ. Несмотря на это, всё ещё нельзя сказать о полной унификации имён и характеристик вирусов.
В значительной степени это определяется тем, что к моменту, когда были сформулированы некоторые «правила игры», уже существовали антивирусные средства, работающие в собственной системе обозначений. Всеобщая унификация потребовала бы приложить значительные усилия и модифицировать программы и документацию. В ряде случаев это было сделано. Мы станем исходить из того, что обычному пользователю нет необходимости вникать во все тонкости функционирования вируса: объекты атаки, способы заражения, особенности проявления и пр. Но желательно знать, какими бывают вирусы, понимать общую схему их работы.
Средивсего разнообразия вирусов можно выделить следующие основные группы:
– загрузочные вирусы; так называют вирусы, заражающие загрузочные секторы дискет и винчестеров;
– файловые вирусы; в простейшем случае такие вирусы заражают исполняемые файлы; если с загрузочными вирусами всё более или менее ясно, то файловые вирусы – это гораздо менее определённое понятие; достаточно, к примеру, сказать, что файловый вирус может вообще не модифицировать файл (вирусы-спутники и вирусы семейства Dir-II);
– загрузочно-файловые вирусы; такие вирусы обладают способностью заражать как код загрузочных секторов, так и код файлов. Таких вирусов не очень много, но среди них встречаются чрезвычайно злобные экземпляры (например, известный вирус OneHalf).
Вирусы, написанные на т.н. макроязыках, формально являются файловыми, но заражают не исполняемые файлы, а файлы данных, правда, устроенные так, что их можно заражать, – это уже на совести издателей программного обеспечения.
Как без антивируса легко находить майнеров и вирусы вручную? Отключение запуска вирусов.
Испорченные и зараженные файлы
Компьютерный вирус может испортить, т.е. изменить надлежащим образом, любой файл на имеющихся на компьютере дисках. Но некоторые виды файлов вирус может заразить. Это означает, что вирус может «внедриться» в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу.
Следует заметить, что тексты программ и документов, информационные файлы баз данных, таблицы табличных процессоров и другие аналогичные файлы не могут быть заражены вирусом, он может их только испортить.
Вирусом могут быть заражены следующие виды файлов:
1. Исполнимые файлы, т.е. файлы с расширениями имени .COM и .EXE, а также оверлейные файлы, загружаемые при выполнении других программ. Вирус в зараженных исполнимых файлах начинает свою работу при запуске той программы, в которой он находится. Наиболее опасны те файловые вирусы, которые после своего запуска остаются в памяти резидентно – они могут заражать файлы и вредить до следующей перезагрузки компьютера. А если они заразят любую программу, запускаемую из файла AUTOEXEC.BAT или CONFIG.SYS, то и при перезагрузке с жесткого диска вирус снова начнёт свою работу.
2. Загрузчик операционной системы и главная загрузочная
запись жесткого диска. Эти области поражают загрузочный вирус.
Такой вирус начинает свою работу при начальной загрузке компьютера и становится резидентным, т.е. постоянно находится в памяти компьютера. Механизм распространения – заражение загрузочных записей вставляемых в компьютер дискет. Часто такие вирусы состоят из двух частей, поскольку загрузочная запись и главная загрузочная запись имеют небольшой размер ив них трудно разместить целиком всю программу вируса. Часть вируса, не помещающаяся в них, располагается в другом участке диска, например в конце корневого каталога диска или в кластере в области данных диска (обычно такой кластер объявляется дефектным, чтобы программа вируса не была затёрта при записи данных на диск).
3. Драйверы устройств, т.е. файлы, указываемые в приложении Device файла CONFIG.SYS. Вирус, находящийся в них, начинает свою работу при каждом обращении к соответствующему устройству. Вирусы заражающие драйверы устройств, очень мало распространены, поскольку драйверы редко переписывают с одного компьютера на другой. То же относится и к системным файлам DOS – их заражение также теоретически возможно, но для распространения малоэффективно.
Как правило, каждая конкретная разновидность вируса может заражать только один или два типа файлов. Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают только .COM-файлы, некоторые – только .EXE-файлы, а большинство – и те и другие. На втором месте по распространенности загрузочные вирусы.
Некоторые вирусы заражают и файлы, и загрузочные области дисков. Вирусы, заражающие драйверы устройств, встречаются крайне редко, обычно такие вирусы умеют заражать и исполнимые файлы.
Вирусы, меняющие файловую систему
В последнее время получили распространение вирусы нового типа – вирусы, меняющие файловую систему на диске. Эти вирусы обычно называются Dir. Такие вирусы прячут своё тело в некоторый участок диска (обычно – в последний кластер диска) и помечают его в таблице размещения файлов (FAT) как конец файла. Для всех .COM- и .EXE-файлов содержащиеся в соответствующих элементах каталога указатели на первый участок файла заменяются ссылкой на участок диска, содержащий вирус, а правильный указатель в закодированном виде прячется в неиспользуемой части элемента каталога. Поэтому при запуске любой программы в память загружается вирус, после чего он остаётся в памяти резидентно, подключается к программам DOSдля обработки файлов на диске и
при всех обращениях к элементам каталога выдаёт правильные ссылки.
Таким образом, при работающем вирусе файловая система на диске кажется совершенно нормальной. При поверхностной просмотре зараженного диска на «чистом» компьютере ничего странного не наблюдается. Разве лишь при попытке прочесть или скопировать с зараженной дискеты программные файлы в них будут прочтены или скопированы только 512 или 1024 байта, даже если файл гораздо длиннее. А при запуске любой исполнимой программы с зараженного таким вирусом диска этот диск, как по волшебству, начинает казаться исправным (неудивительно, ведь компьютер при этом становится зараженным).
При анализе на «чистом» компьютере с помощью программ ChkDskили NDDфайловая система зараженного Dir-вирусом диска кажется совершенно испорченной. Так, программа ChkDskвыдаёт кучу сообщений о пересечениях файлов («…crosslinkedoncluster. ») и о цепочках потерянных кластеров («… lostclustersfoundin … chains»). Не следует исправлять эти ошибки программами ChkDskили NDD– при этом диск окажется безнадёжно испорченным. Для исправления зараженных этими вирусами дисков надо использовать только специальные антивирусные программы (например, последние версии Aidstest).
«Невидимые» и
самомодифицирующиеся вирусы
Чтобы предотвратить своё обнаружение, некоторые вирусы применяют довольно хитрые приёмы маскировки. Речь пойдёт о двух из них: «невидимых» и самомодифицирующихся вирусах.
«Невидимые» вирусы. Многие резидентные вирусы (и файловые, и загрузочные) предотвращают своё обнаружение тем, что перехватывают обращения DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется этот эффект наблюдается только на зараженном компьютере – на «чистом» компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.
Заметим, некоторые антивирусные программы могут обнаруживать «невидимые» вирусы даже на зараженном компьютере. Так, программа ADinf фирмы «Диалог-Наука» для этого выполняет чтение диска, не пользуясь услугами DOS, а программа AVSPфирмы «Диалог-МГУ» – «отключает» на время
проверки вирус (последний метод работает не всегда).
Некоторые антивирусные программы используют для борьбы с вирусами свойство «невидимых» файловых вирусов «вылечивать» зараженные файлы. Они считывают (при работающем вирусе) информацию из зараженных файлов и записывают их на диск в файл или файлы, где эта информация хранится в неискаженном виде. Затем, уже после загрузки с «чистой» дискеты, исполнимые файлы восстанавливаются в исходном виде.
Источник: smekni.com
КОМПЬЮТЕРНАЯ ВИРУСОЛОГИЯ
Компьютерный вирус — это специально написанная небольшая по размерам программа, которая может приписывать себя к другим программам(размножаться), т.е. «заражать» их, а также выполнять различные нежелательные действия на компьютере. Компьютерный червь в отличие от обычного вируса не размножается, а “переползает” из программы в программу.
Первые вирусы появились в середине 60-х годов, а сейчас известно более 60 000 тысяч вирусов. В настоящее время вирусы используются не только как средство “насолить” неугодным конкурентам, но и в качестве военного оружия. Например, США заразили вирусами компьютерную сеть военного ведомства Ирака (операция “Буря в пустыне”) и выиграли войну. Таким образом один человек, создавший программу-вирус, может поставить на колени целое государство.
Программа, внутри которой находится вирус, называется «зараженной «. Когда такая программа начинает работу, то сначала управление получает вирус. Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении определенных условий (Пятница, 13-е). После того, как вирус выполнит нужные ему действия, он передает управление той программе, в которой находится, и она работает как обычно.
В зависимости от механизмов внедрения и воздействия на систему, вирусы подразделяются на 3 основные группы:
1) Вирусы, внедряющиеся в программу начальной загрузки ОС. При загрузке системы вирусы этой группы перехватывают управление и контролируют систему в течение всего сеанса работы. Выполняя функцию размножения, они обычно записываются в нулевой сектор на все дискеты, вставляемые в компьютер, и если в дальнейшем одна из них используется в качестве системной на другом компьютере, то происходит заражение.
2) Вирусы, внедряющиеся в модули ОС, драйверы устройств ввода-вывода. Последствием заражения вирусами этой группы могут быть частые сбои в работе системы,неправильное выполнение команд, частичная или полная потеря данных при вводе-выводе.
3) Вирусы, внедряющиеся в любую прикладную программу. Обычно вирусы записываются в конец прикладной программы или на свободное место в середину, и когда вызывается зараженная программа, вирус, получив управление, просматривает диски, отыскивает на них файлы. exe,.com,.bat и внедряется в них.
В последнее время появились программные продукты с преднамеренными вставками психоинформационного воздействия. Это тоже вирусы, но объектом их воздействия является не компьютер, а человек. Компьютер с такой программой в состоянии протестировать человека.
Когда электронный мозг выяснит, что требуется оператору, он подбором видео- и аудиосигналов этого программного продукта создает пользователю комфортную обстановку с такими градациями, как «приятно» и «очень приятно». В конце концов человек за компьютером без этой программы буквально жить не может. Возникает вопрос: «А что же тут плохого?». Ответ уже дан.
В лаборатории психологии МГУ, прежде чем запустить в работу «WINDOWS-95», отобрали группу весьма способных операторов. Творческая активность каждого оценивалась в 25-27 баллов. Через три месяца эта активность снизилась до 18-20 баллов. Проще можно сказать, что операторы кайфовали до такого состояния, что им было просто лень искать наиболее оптимальное решение предлагаемых задач.
И если бы только это. Уже после получаса работы с панелями русицифицированной программы «Нортон-5» устают глаза даже при самом современном мониторе, повышается уровень ошибок, через час оператора клонит ко сну.
Это происходит потому, что в загрузочном модуле этой программы заменены 108 байтов, в результате по строкам названий файлов очень быстро происходит однопозиционный сдвиг строк, что можно засечь только при сопоставлении последовательности отснятых кадров. Такие программы, как вышеприведенные или аналогичные им, не воздействуют на информационную структуру компьютера, не тестируются ни одним вирусным детектором, главным же элементом воздействия стал человек,его психика. С учетом того огромного парка вычислительной техники и уже большого числа людей, с нею работающих, реальны опасения проведения через них определенных кем-то идей и установок. Таким образом,легенды о вирусе 666, способном убить человека,не лишены основания.
Для защиты от «обычных» вирусов, действующих на компьютер, разработано много программ. Так, например, программа AIDSTEST (автор Лозинский) может обнаружить около 1000 вирусов (хотя их более 5000).Программа все время модифицируется авторами по мере появления новых вирусов. Эта программа проверяет, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении выдается соответствующее сообщение и производится «лечение» зараженной программы. Те файлы, которые не удалось восстановить, делаются неработоспособными или удаляются.
Программа DRWEB (фирма “Диалог-Наука”) создана в 1994 году И.А. Даниловым. Это более сложная программа, чем AIDSTEST, хотя назначение ее то же — обнаруживать вирусы и удалять их. Программа DRWEB снабжена эмулятором процессора, позволяющим имитировать выполнение проверяемой программы, и эвристическим анализатором, позволяющим выявлять при такой имитации подозрительное поведение анализируемой пограммы, обнаруживая тем самым новые, неизвестные DRWEB вирусы. Программа DRWEB работает в диалоговом режиме.
Программа AVP (автор Касперский) широко используется при работе с Windows. Эта программа работает в мультизадачном режиме и, запустив ее, можно параллельно решать на компьютере другие задачи. Программы Aidstest и Drweb работают в среде MS DOS и монопольно захватывают ресурсы компьютера (так, например, тестирование жесткого диска идет около двух часов и все это время компьютер недоступен для других работ).
Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:
Источник: studopedia.ru
Компьютерные вирусы. Компьютерный вирус — это специально написанная, небольшая по размерам программа
(т.е. некоторая совокупность выполняемого кода), которая может «приписывать» себя к другим программам («заражать» их), создавать свои копии и внедрять их в файлы, системные области компьютера и т.д., а также выполнять различные нежелательные действия на компьютере.
Термин «компьютерный вирус» появился в 1984 году, официально его автором считается сотрудник Лехайского университета Ф.Коэн (США).
Программа, внутри которой находится вирус, называется «зараженной». Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, «засоряет» оперативную память и т.д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий.
Например, вирус Anti-MIT ежегодно 1 декабря разрушает всю информацию на жестком диске, вирус Tea Time мешает вводить информацию с клавиатуры с 15:10 до 15:13, а знаменитый One Half, в течение всего прошлого года «гулявший», незаметно шифрует данные на жестком диске. В 1989 году американский студент сумел создать вирус, который вывел из строя около 6000 компьютеров Министерства обороны США.
Эпидемия известного вируса Dir-II разразилась в 1991 году. Вирус использовал действительно оригинальную, принципиально новую технологию и на первых порах сумел широко распространиться за счет несовершенства традиционных антивирусных средств. Кристоферу Пайну удалось создать вирусы Pathogen и Queeq, а также вирус Smeg.
Именно последний был самым опасным, его можно было накладывать на первые два вируса, и из-за этого после каждого прогона программы они меняли конфигурацию. Поэтому их было невозможно уничтожить. Чтобы распространить вирусы, Пайн скопировал компьютерные игры и программы, заразил их, а затем отправил обратно в сеть.
Пользователи загружали в свои компьютеры, зараженные программы и инфицировали диски. Ситуация усугубилась тем, что Пайн умудрился занести вирусы и в программу, которая с ними борется. Запустив ее, пользователи вместо уничтожения вирусов получали еще один. В результате этого были уничтожены файлы множества фирм, убытки составили миллионы фунтов стерлингов.
Широкую известность получил американский программист Моррис. Он известен как создатель вируса, который в ноябре 1988 года заразил порядка 7 тысяч персональных компьютеров, подключенных к Internet.
Эксперты считают, что на сегодняшний день число существующих вирусов перевалило за 20 тысяч, причем ежедневно появляется от 6 до 9 новых. «Диких», то есть реально циркулирующих вирусов в настоящее время насчитывается около 260.
Источник: studopedia.org