Какие программы внедряют свои копии в другие файлы
Программа, способная создавать свои копии и внедрять их в различные объекты или ресурсы компьютерных систем, сетей и так далее без ведома пользователя.
Что не является критерием для классификации компьютерных вирусов?
Занимаемый вирусом объем памяти на носителе.
Сетевые вирусы используют для своего распространения
Протоколы или команды компьютерных сетей и электронной почты.
Нерезидентные вирусы
Не заражают память компьютера и сохраняют активность ограниченное время.
По какой категории вирусы делятся на неопасные, опасные и очень опасные?
По деструктивным возможностям.
6.Вирусы, использующие в своем алгоритме работы перехват запросов операционной системы на чтение или запись зараженных объектов:
7.Главная особенность полиморфиквирусов:
Не содержат ни одного постоянного участка кода.
8.Основная функция вирусов типа "червь", действующих в компьютерных сетях:
Взлом атакуемой системы, преодоление защиты с целью нарушения безопасности.
9.К источникам компьютерных вирусов нельзя отнести:
Диски с лицензионными программами.
10.Файловые вирусы внедряются главным образом в:
Исполняемые модули, т. е. файлы, имеющие расширения com и exe.
11.Внедряются в загрузочный сектор диска:
12.Антивирусными программами являются:
Dr. Web, Eset NOD32, Panda.
На чем основано действие антивирусной программы?
На сравнении программных кодов с кодами известных вирусов.
Заражение компьютерными вирусами может произойти в процессе.
Работы с файлами записанными на CD.?
Печати на сетевом принтере.
Может ли присутствовать компьютерный вирус на чистой дискете (на дискете отсутствуют файлы)?
Да, в загрузочном секторе дискеты
16.Главный недостаток антивирусов, которые относятся к программамфильтрам:
Программыфильтры не «лечат» файлы и диски.
В чем заключается смысл процедуры «лечения» зараженного вирусом файла?
Помещение файла в отдельную папку.?
Удаление вирусного кода из файла.
18.Антивирусные программыдетекторы:
Основаны на сравнении последовательности кодов содержащихся в теле вируса с кодами проверяемых программ.
19.Антивирусные программыдоктора или фаги:
Фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов.
20.Антивирусные программы, которые записывают в программу признаки конкретного вируса так, что вирус считает ее уже зараженной:.
Для чего требуется процедура обновления сигнатур антивируса?
Для возможности защиты от недавно появившихся вирусов.
22.Антивирусная программа, которая использует программу эмуляции процессора, т. е. моделирует выполнение остальных файлов с помощью программной модели микропроцессора:
Основным способом противостояния вредоносным программам в этом антивирусе являются так называемые расширенные эвристики (Advanced Heuristics).
24.В состав какого антивируса включен Файловый Антивирус (специальный компонент, обеспечивающий защиту файловой системы компьютера от заражения, запускающийся при старте операционной системы).
Можно ли устанавливать на компьютер несколько антивирусных программ?
Нельзя, потому что антивирусы будут мешать работе друг друга.
26.Программы, которые способны создавать свои копии и внедрять их в различные объекты/ресурсы компьютерных систем, сетей и т.д. без ведома пользователя называются:
Антивирусный сканер выполняет следующие функции
обнаруживает и удаляет вирусы из файлов
28.Вирусы, которые могут оставлять свои копии в оперативной памяти, называются:
28.По среде обитания вирусы можно разделить на:
Файловые, загрузочные, макровирусы и сетевые
Вирусы, перехватывающие команду чтения зараженного участка и подставляющие незараженный код, называются
30.Вирусы, которые активизируются при запуске на выполнение "зараженной программы" и проявляются сразу и не записываются в оперативную память называются:
Компьютерным вирусом называется
программы, которые способны создавать свои копии и внедрять их в различные объекты ресурсы компьютерных систем, сетей и т.д. без ведома пользователя
32.Компьютерный вирус – это:
Программа, мешающая корректной работе компьютера
33.Компьютерный вирус это:
Программа, повреждающая компьютерные программы и данные
34.Что такое компьютерный вирус:
Специально написанные программы небольшого размера, которая может искажать и уничтожать информацию на компьютере
35.Программа доктор (фаг):
находит зараженные файлы и лечит их
36.Программавакцина:
модифицируют программы и диски
Компьютерный вирус, изменяющий свою структуру, называется
38.Укажите две основные группы вирусов:
Самошифрующиеся вирусыпризраки, имеющие непостоянный ключ и меняющийся код, называются
40.Программа может оказаться "зараженной"
если данная программа была на жестком диске и в работу была запущена зараженная программа
41.Программафильтр:
обнаруживает подозрительные действия
42.Программаревизор:
сравнивает исходное состояние файла с текущим
43.По степени воздействия компьютерные вирусы делятся на:
Неопасные, опасные, очень опасные.
44.Класс вирусов по особенностям алгоритма вируса подразделяются на:
вирусычерви, паразитические, стелсвирусы, полиморфик –вирусы.
Какая программа находит зараженные файлы и лечит их
46.Заражение компьютерными вирусами может произойти в процессе:
47.Что делает программадетектор:
ищет вирусы с известной сигнатурой
48.Как называется программа, запоминающая данные о системной области программ и диска, затем определяющая несоответствия при сравнении:
49.Отличительными особенностями компьютерного вируса являются:
Маленький объем; способность к самостоятельному запуску и многократному копированию кода, к созданию помех корректной работе компьютера.
- Как обнаруживает вирус программа-ревизор?
- периодически проверяет все имеющиеся на дисках файлы
- контролирует важные функции компьютера и пути возможного заражения
- отслеживает изменения загрузочных секторов дисков
- при открытии файла подсчитывает контрольные суммы и сравнивает их с данными, хранящимися в базе данных
- Заражение компьютерными вирусами может произойти в процессе .
- работы с файлами
- выключения компьютера
- форматирования диска
- печати на принтере
- Заражению компьютерными вирусами могут подвергнуться .
- графические файлы
- звуковые файлы
- видеофайлы
- программы и документы
- К категории компьютерных вирусов НЕ относятся
- загрузочные вирусы
- type-вирусы
- сетевые вирусы
- файловые вирусы
- Как происходит заражение «почтовым» вирусом?
- при получении с письмом, присланном по e-mail, зараженного файла
- при открытии зараженного файла, присланного с письмом по e-mail
- при подключении к почтовому серверу
- при подключении к web-серверу, зараженному «почтовым» вирусом
- Какие программы не относятся к антивирусным?
- программы-фаги
- прогаммы-детекторы
- программы сканирования
- программы-ревизоры
- Какая программа не является антивирусной?
- Norton Antivirus
- Dr Web
- Defrag
- AVP
- Как вирус может появиться в компьютере?
- при работе с макросами
- самопроизвольно
- при работе компьютера в сети
- при решении математической задачи
- Руткит - это.
- вредоносная программа, выполняющая несанкционированные действия по передаче управления компьютером удаленному пользователю
- разновидность межсетевого экрана
- программа использующая для распространения Рунет (Российскую часть Интернета)
- программа для скрытого взятия под контроль взломанной системы
- вредоносная программа, маскирующаяся под макрокоманду
- Вредоносная программа, которая подменяет собой загрузку некоторых программ при загрузке системы называется.
- Макровирус
- Загрузочный вирус
- Сетевой червь
- Троян
- Файловый вирус
- Компьютерные вирусы - это.
- Программы, которые могут размножаться и скрыто внедрять свои копии в файлы, загрузочные сектора дисков, документы
- Вредоносные программы, наносящие вред данным.
- Программы, заражающие загрузочный сектор дисков и препятствующие загрузке компьютера
- Это скрипты, помещенные на зараженных интернет-страничках
- Программы, уничтожающие данные на жестком диске
- Вредоносные программы - это.
- программы, наносящие вред пользователю, работающему на зараженном компьютере
- шпионские программы
- антивирусные программы
- программы, наносящие вред данным и программам, находящимся на компьютере
- троянские утилиты и сетевые черви
- К вредоносным программам относятся:
- Межсетевой экран, брандмауэр
- Потенциально опасные программы
- Программы-шутки, антивирусное программное обеспечение
- Шпионские и рекламные программы
- Вирусы, черви, трояны
- Вирус внедряется в исполняемые файлы и при их запуске активируется. Это.
- Сетевой червь
- Файловый вирус
- Загрузочный вирус
- Макровирус
- Троян
- Отметьте составные части современного антивируса
- Межсетевой экран
- Сканер
- Монитор
- Модем
- Принтер
- Вирус поражающий документы называется
- Троян
- Макровирус
- Сетевой червь
- Загрузочный вирус
- Файловый вирус
- Программа, осуществляющая несанкционированные действия по сбору, и передаче информации злоумышленнику, а также ее разрушение или злонамеренную модификацию
- К биометрической системе защиты относятся:
- Антивирусная защита
- Защита паролем
- Физическая защита данных
- Идентификация по радужной оболочке глаз
- Идентификация по отпечаткам пальцев
- Сетевые черви - это.
- Вирусы, которые проникнув на компьютер, блокируют работу сети
- Хакерские утилиты управляющие удаленным доступом компьютера
- Вредоносные программы, устанавливающие скрытно от пользователя другие вредоносные программы и утилиты
- Вирусы, которые внедряются в документы под видом макросов
- Вредоносные программы, которые проникают на компьютер, используя сервисы компьютерных сетей
- Сопоставьте названия программ и изображений
- Antivir
- DrWeb
- Nod 32
- Antivirus Kaspersky
- Avast
- Antivirus Panda
Компьютерный вирус — это программа, способная создавать свои копии (не обязательно совпадающие с оригиналом) и внедрять их в файлы и системные области компьютера. При этом копии могут распространяться дальше.
Как следует из этого определения, основная черта компьютерного вируса — это способность распространяться при запуске.
Вирус — это один из типов вредоносных программ. Однако очень часто вирусами называют любые вредоносные программы (англ, malware).
Вредоносные программы — это программы, предназначенные для незаконного доступа к информации, для скрытого использования компьютера или для нарушения работы компьютера и компьютерных сетей.
Зачем пишут такие программы?
1 Здесь речь идёт, строго говоря, о распределённой DoS-атаке (англ. DDoS — Distributed DoS), которая проводится сразу со многих компьютеров.
Во-вторых, некоторые вредоносные программы предназначены для шпионажа — передачи по Интернету секретной информации с вашего компьютера: паролей доступа к сайтам, почтовым ящикам, учётным записям в социальных сетях, банковским счетам и электронным платёжным системам. В результате таких краж пользователи теряют не только данные, но и деньги.
В-третьих, иногда вирусы пишутся ради самоутверждения программистами, которые по каким-то причинам не смогли применить свои знания для создания полезного ПО. Такие программы нарушают нормальную работу компьютера: время от времени перезагружают его, вызывают сбои в работе операционной системы и прикладных программ, уничтожают данные.
Наконец, существуют вирусы, написанные ради шутки. Они не портят данные, но приводят к появлению звуковых или зрительных эффектов (проигрывание мелодии; искажение изображения на экране; кнопки, убегающие от курсора и т. п.). Создание и распространение компьютерных вирусов и вредоносных программ — это уголовные преступление, которое предусматривает (в особо тяжких случаях) наказание до 7 лет лишения свободы (Уголовный кодекс РФ, статья 273).
Признаки заражения вирусом:
Для того чтобы вирус смог выполнить какие-то действия, он должен оказаться в памяти в виде программного кода и получить управление компьютером.
Поэтому вирусы заражают не любые данные, а только программный код, который может выполняться. Например:
• исполняемые программы (с расширениями ехе, соm);
• загрузочные секторы дисков;
• пакетные командные файлы (bat);
• драйверы устройств;
• библиотеки динамической загрузки (dll), функции из которых вызываются из прикладных программ;
• документы, которые могут содержать макросы — небольшие программы, выполняющиеся при нажатии на клавиши или выборе пункта меню; например, макросы нередко используются в документах пакета Microsoft Office;
• веб-страницы (в них можно внедрить программу-скрипт, которая выполнится при просмотре страницы на компьютере пользователя).
В отличие от кода программ файлы с данными (например, тексты, рисунки, звуковые и видеофайлы) только обрабатываются, но не выполняются, поэтому заложенный в них код никогда не должен получить управление компьютером. Однако из-за ошибок в программном обеспечении может случиться так, что специально подобранные некорректные данные вызовут сбой программы обработки и выполнение вредоносного кода 2 .
2 В 2002 г. был обнаружен вирус, который внедрялся в рисунки формата JPEG. Однако он получал управление только из-за ошибки в системной библиотеке Windows, которая была быстро исправлена.
Таким образом, существует некоторый шанс, что вредоносная программа, внедрённая в рисунок или видеофайл, все-таки запустится.
Сейчас существуют два основных источника заражения вредоносными программами — флэш-диски и компьютерные сети.
Компьютер может быть заражён при:
Кроме того, есть вирусы-черви, которые распространяются по компьютерным сетям без участия человека. Они могут заразить компьютер даже тогда, когда пользователь не сделал никаких ошибочных действий.
Следующая страница Типы вредоносных программ
Cкачать материалы урока
Интернет — одно из величайших изобретений ХХ века. К началу 2003 года более 600 млн. человек имели доступ к Всемирной сети. К сожалению, каналы Интернета используются для распространения не только полезных программ и данных, но и бесполезной, отвлекающей рекламной информации и, что наиболее прискорбно, множества опасных вирусов. О том, как изменяются пути распространения вирусов по мере развития сетевых технологий, какие вирусы и вредоносные программы наиболее распространены сегодня и какие антивирусные программы доступны домашним пользователям, рассказывается в настоящей статье.
Основные определения и классификация вредоносных программ
режде чем приступить к рассказу о последних тенденциях распространения тех или иных типов вредоносных программ, следует напомнить читателю, какие существуют основные типы деструктивных программ. Большинство специалистов делит вредоносные программы на три большие группы: компьютерные вирусы, сетевые черви и троянские программы. Компьютерные вирусы обладают способностью размножаться и внедряют свои копии в другие файлы; сетевые черви размножаются по различным сетевым ресурсам (почта, Web-сайты и пр.), но не внедряют копии в другие файлы; троянские программы не размножаются и не рассылаются сами, но выполняют на компьютерах различные вредоносные действия. Наглядная классификация вредоносных программ и примеры наиболее ярких представителей каждого семейства представлены на рис. 1.
Вирусы
Компьютерные вирусы — это программы, способные распространяться самостоятельно, дописывая свой код к файлам или в служебные области диска. Вирусы могут быть менее опасными (вызывать нежелательные видеоэффекты) и более опасными (изменять или уничтожать информацию владельца), но в любом случае, даже если вирус не содержит деструктивных функций, он так или иначе влияет на работу системы — занимает место и может мешать работе других программ.
Как видно на рис. 1, вирусы подразделяются на несколько групп.
Файловые вирусы — при размножении используют файловую систему какой-либо ОС. В свою очередь, по способу заражения файловые вирусы делятся на целый ряд подгрупп:
- оverwriting-вирусы записывают свой код вместо кода заражаемого файла, уничтожая его содержимое;
- рarasitic-вирусы изменяют содержимое файлов, оставляя при этом сами файлы полностью или частично работоспособными;
- сompanion-вирусы не изменяют заражаемых файлов, а создают для заражаемого файла файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, то есть вирус;
- файловые черви (worms) являются разновидностью компаньон-вирусов, однако не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в расчете на то, что эти новые копии будут когда-либо запущены пользователем;
- link-вирусы, как и компаньон-вирусы, не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» ОС выполнить свой код за счет модификации необходимых полей файловой системы;
- OBJ, LIB и вирусы в исходных текстах представляют собой группу вирусов, которые заражают библиотеки компиляторов, объектные модули и исходные тексты программ. Вирусы, заражающие OBJ- и LIB-файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл не является выполняемым и не способен на дальнейшее распространение вируса в текущем состоянии. Носителем же «живого» вируса становится COM- или EXE-файл, получаемый в процессе линковки зараженного OBJ/LIB-файла с другими объектными модулями и библиотеками. Загрузочные вирусы называются так потому, что заражают загрузочный (boot) сектор — записывают себя в загрузочный сектор диска (boot-сектор) либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record). Загрузочные вирусы замещают код программы, получающей управление при загрузке системы. Таким образом, при перезагрузке управление передается вирусу.
Макровирусы являются программами на макроязыках, встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Они заражают документы и электронные таблицы ряда офисных редакторов. Для размножения эти вирусы используют возможности макроязыков и с их помощью переносят себя из одного зараженного файла в другие. Наибольшее распространение получили макровирусы для Microsoft Word, Excel и Office 97. Вирусы этого типа получают управление при открытии зараженного файла и инфицируют файлы, к которым впоследствии идет обращение из соответствующего офисного приложения — Word, Excel и пр.
Скрипт-вирусы — это вирусы, написанные на скрипт-языках, таких как Visual Basic Script, Java Script и др. Они, в свою очередь, делятся на вирусы для DOS, Windows и для других систем.
Сетевые черви
Червей (worms) часто называют вирусами, хотя, строго говоря, они таковыми не являются, это программы, которые не изменяют файлы на дисках, а распространяются в компьютерной сети, проникают в память компьютера, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Программы этого типа могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). Сетевые черви подразделяются на следующие типы: Интернет-черви (распространяются по Интернету), LAN-черви (распространяются по локальной сети), IRC-черви Internet Relay Chat (распространяются через чаты).
Троянские программы
Троянские программы, троянские кони, или просто троянцы, — это программы, которые совершают деструктивные действия, но при этом не размножаются и не рассылаются сами. Своим названием эти программы обязаны троянскому коню из «Илиады» Гомера. Подобно троянскому коню программа-троянец выдает себя за что-либо вполне безобидное, «подделываясь» под другие программы (игры, новые версии популярных утилит и пр.).
Троянские программы подразделяют на несколько видов (см. рис. 1):
- утилиты несанкционированного удаленного управления, внедряясь в ваш компьютер, предоставляют хозяину троянца доступ к этому компьютеру и возможность управления им;
- эмуляторы DDoS-атак (Distributed Denial of Service) вызывают «атаки» на Web-серверы, при которых на Web-сервер из разных мест поступает большое количество пакетов, что приводит к отказу системы;
- похитители секретной информации воруют информацию;
- дроппер (от англ. drop — бросать) — программа, задача которой «сбросить» в систему вирус или другие вредоносные программы.
Рассмотрим некоторые виды троянских программ подробнее.
Утилиты несанкционированного удаленного управления
Утилиты несанкционированного удаленного управления по существу представляют собой полнофункциональные утилиты для удаленного администрирования компьютера, которые открывают злоумышленнику доступ к вашему компьютеру, позволяя ему выполнять на нем различные операции.
Типичным примером такой программы является троянский конь BO (Back Orifice), полное название которого Backdoor.BO.
В зависимости от команды троянец может выполнять следующие действия:
- высылать имена компьютера и пользователя, а также информацию о системе: тип процессора, размер памяти;
- разрешать удаленный доступ к дискам;
- искать файлы на дисках;
- посылать/принимать файлы, а также уничтожать, копировать их и т.п.;
- создавать/уничтожать каталоги;
- упаковывать/распаковывать файлы;
- отключать текущего пользователя от сети;
- подключаться к сетевым ресурсам;
- получать и отправлять кэшированные пароли (которые задействовались пользователем в течение текущего сеанса);
- читать/модифицировать системный реестр;
- открывать/перенаправлять другие сокеты TCP/IP;
- перехватывать, запоминать и затем высылать строки, вводимые с клавиатуры в момент подсоединения компьютера к сети;
- многие другие действия.
Эмуляторы DDoS-атак
DoS-атака (Denial-of-Service) — тип атаки, организованной хакерами, при которой на сервер приходит множество запросов на предоставление услуги. Сервер расходует ресурсы на обслуживание «лишних» запросов и при превышении определенного трафика перестает справляться с обслуживанием запросов законных пользователей. В результате подобной атаки может возникнуть ситуация, когда пользователь не может зайти на тот или иной сайт.
Сущность DoS-атаки заключается в том, чтобы вызвать перегрузку системы за счет передачи искусственно созданного трафика и помешать обратиться за сервисом легальным пользователям.
DDoS-атаки (Distributed Denial of Service) происходят в разных местах, но преследуют одну цель: устанавливается большое количество серверов DoS на различных компьютерах, которые по команде центрального клиента высылают огромный трафик по одному и тому же адресу. Центральный клиент управляет распределенной армией серверов DoS отсюда и термин Distributed DoS, или DDoS. C помощью DDoS-атаки можно «забить» сервер любой мощности — нужно только подобрать необходимое количество участвующих в атаке компьютеров.
Хотя выше мы уже рассказали о том, как работают троянские программы, еще раз подчеркнем: вы можете даже не знать, что получили троянца и ваш компьютер участвует в DDoS-атаке.
Атака идет с множества адресов ничего не подозревающих пользователей троянцев, среди которых нет адреса злоумышленника. Защита от DDoS-атак строится на анализе источников избыточного, по сравнению с обычным, трафика и на запрете его передачи.
Троянские программы — похитители секретной информации
Данные программы воруют системные пароли, откуда и название: PSW — Password-Stealing-Ware. При запуске PSW-троянцы ищут конфиденциальную информацию, например пароли доступа к Интернету, и отсылают ее по указанному адресу.
Обычно PSW-троянцы являются Windows-программами, которые при работе используют стандартные функции Windows. Некоторые Windows-PSW-троянцы также копируют себя в каталог Windows, регистрируются в системном реестре и запускаются при каждой перезагрузке Windows, что позволяет им отсылать конфиденциальную информацию в течение длительного времени. Имеется значительное количество троянских программ, которые воруют пароли пользователей и прочую системную информацию и пересылают ее злоумышленникам. Если мы говорим о домашнем компьютере, подключенном к Сети, то наибольший интерес для хакера представляют пароли доступа в Интернет. Заполучив пароль, хакер может воспользоваться вашим кошельком.
Эволюция сетей — эволюция вирусов
С середины 90-х годов ситуация начала меняться. Программы приобрели такие размеры, что уже не умещались на дискетах и распространялись преимущественно на CD, что было безопаснее. Однако параллельно с этим начало расти количество компьютеров, объединенных в сети, и все чаще заражение одной станции приводило к выводу из строя всей сети. С появлением сетей бороться с вирусами стало сложнее. Сети продолжали расти и развиваться, и наконец появился Интернет. Прошло определенное время, и в Сети «завелись» черви — программы, которые «грамотно» использовали Интернет для своего распространения.
Первая программа такого типа появилась в начале 1999 года (в названии вируса как раз присутствовала цифра 99). С тех пор было создано около сотни вирусов такого типа. Одним из наиболее известных представителей данного семейства является вирус «I love you» (известный также под названием LoveLetter), который вызвал массовые поражения компьютеров и сетей в начале мая 2000 года. Вирус распространялся в электронных письмах, используя почтовую систему Microsoft Outlook, и при активизации рассылал себя с зараженных компьютеров по всем адресам, которые хранились в адресной книге Outlook.
Недавно британская компания MessageLabs опубликовала исследование, в котором анализируется динамика распространения почтовых червей. В частности, там отмечается, что если рост числа зараженных почтовых посланий будет происходить теми же темпами, что в последние три года, то в 2004 году зараженным будет каждый сотый e-mail, к 2008 году вирус будет содержаться в каждом десятом электронном послании, а в 2015-м вирусы будут «сидеть» в 75% электронной корреспонденции.
Электронная почта (один из самых востребованных сервисов Интернета) может стать совершенно бесполезной как средство коммуникации из-за вирусной эпидемии и спама.
Из рис. 3 видно, что в 2002 году почти 90% всех заражений было вызвано сетевыми червями.
Как видно из рис. 4, среди сетевых червей преобладают почтовые черви, использующие e-mail в качестве основного транспорта для доставки на целевые компьютеры. Другие типы червей составляют незначительную долю:
- LAN-черви, распространяющиеся по ресурсам локальных сетей, — 2,5%;
- P2P-черви, перемещающиеся по сетям Peer-to-Peer; — 1,7%;
- IRC-черви, посылаемые по каналам IRC (Internet Relay Chat), — 0,2%.
Из замеченных в 2002 году компьютерных вирусов больше всего себя проявили макровирусы (56,1%) и Windows-вирусы (40,9%) рис. 5.
Среди троянских программ лидируют утилиты несанкционированного администрирования (54%), позволяющие незаметно управлять зараженным компьютером на расстоянии. PSW-троянцы составляют 17,9%. Остальные 28,1% приходятся на другие типы троянцев, которые засылаются на компьютеры-жертвы для выполнения специфических задач (рис. 6).
Самые распространенные вредоносные программы 2002 года
табл. 1 приведена десятка наиболее распространенных в 2002 году вирусов. Несомненным лидером по количеству вызванных инцидентов является Интернет-червь Klez — более 60% случаев. На втором месте тоже червь — I-Worm.Lentin, который являлся причиной заражения в каждом пятом случае.
На рис. 7 показана динамика жизнедеятельности наиболее распространенных вирусов в 2002 году. Кривая вируса I-Worm.Klez сначала стремительно растет. В пик эпидемии кривая приближается к 100%! Далее видны результаты борьбы с вирусом — примерно за полгода количество заражений снижается до 15%.
Борьба с вирусами
тратегия антивирусной борьбы различна для корпоративных и частных систем. Очевидно, что обеспечение безопасности организации — гораздо более сложная задача, зависящая от множества факторов, вплоть до того, что создателем вируса может быть даже сотрудник компании. Обычно в рамках вирусной безопасности организации предпринимают также административные меры — определяют доступ к Интернет-ресурсам, регламентируют установку софта на компьютеры сотрудников и пр. Обычно в организации за установку программного обеспечения отвечают конкретные люди — сетевые администраторы, которые несут персональную ответственность за появление вирусов. Жесткие административные меры касаются также использования сотрудниками Интернета. Существуют режимные организации, в которых доступ в Интернет осуществляется с компьютеров, не связанных с сетью организации, а копирование информации из Интернета на электронные носители для сотрудников запрещено.
В рамках данной статьи невозможно рассмотреть все средства для обеспечения вирусной безопасности организации, поэтому ограничимся перечислением средств борьбы с вирусами для домашних пользователей.
В домашних условиях электронная почта является одной из основных причин появления вирусов на вашем компьютере, поэтому прежде всего поговорим о том, как обезопасить себя при работе с почтой. Следует напомнить, что вирусы пересылаются в виде выполняемых вложений и, чтобы занести вирус в систему, эти вложения должны быть запущены. Если вы получаете письмо от незнакомого вам адресата с сомнительными предложениями типа «заработать миллион, потратив пять минут», разумнее всего его просто удалить. В принципе, письмо, которое пришло даже от известного вам человека, может содержать вредоносную программу. Чтобы обезопасить себя, в обязательном порядке сканируйте все вложения перед тем, как их открыть.
Помните, «нельзя украсть то, чего нет» на вашем компьютере — это касается секретной информации. Держите ее на отдельном носителе, к которому нет доступа из Сети. Делайте резервные копии — зараженный компьютер может выйти из строя в самый неподходящий момент.
Тривиальный совет: используйте антивирусные программы, которые проверяют всю входящую почту в поисках зараженных файлов и позволяют предотвратить попадание вирусов, троянцев и червей в вашу систему. Пользуйтесь свежими версиями антивируса. Большинство современных антивирусов имеют функцию Live Update feature, которая обновляет антивирусные базы, как только вы выходите в Интернет.
Вторая возможность обезопасить не только свою электронную почту, но и весь компьютер в целом — использовать личный брандмауэр, который контролирует все потоки информации, поступающие на ваш компьютер.
В заключение хочется отметить, что вредоносные программы оказывают двойственное влияние на Интернет.
С одной стороны, они делают использование Интернета небезопасным и приносят конкретные убытки пользователям. С другой стороны, они делают Интернет безопаснее, поскольку выявляют несовершенство программного обеспечения.
Вредоносные программы используют для своего распространения лазейки в программном обеспечении Сети, однако, когда вирус обнаруживается, ПО модифицируется и Интернет становится безопаснее.
Заражение программы, как правило, выполняется таким образом, чтобы вирус получил управление раньше самой программы. Для этого он либо встраивается в начало программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на компьютерный вирус, текст которого заканчивается аналогичной командой безусловного перехода на команду вирусоносителя, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие-либо другие действия, после чего отдает управление вирусоносителю.
Первичное заражение происходит в процессе наступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как носители информации (оптические диски, флэш-память и т.п.), так и каналы вычислительных сетей. Вирусы, использующие для размножения сетевые средства, сетевые протоколы, управляющие команды компьютерных сетей и электронной почты, принято называть сетевыми.
Цикл жизни вируса обычно включает следующие периоды: внедрение, инкубационный, репликации (саморазмножения) и проявления. В течение инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например необратимую коррекцию информации в компьютере или на внешних носителях.
Физическая структура компьютерного вируса достаточно проста. Он состоит из головы и, возможно, хвоста. Под головой вируса понимается его компонента, получающая управление первой. Хвост – это часть вируса, расположенная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, называют несегментированными, тогда как вирусы, содержащие голову и хвост, - сегментированными.
Наиболее существенные признаки компьютерных вирусов позволяют провести следующую их классификацию.
Существует несколько подходов к классификации компьютерных вирусов по их характерным особенностям:
- по среде обитания вируса;
- по способу заражения;
- по деструктивным возможностям;
- по особенностям алгоритма работ.
По среде обитания вирусы подразделяются на:
Файловые вирусы - вирусы поражающие исполняемые файлы, написанные в различных форматах. Соответственно в зависимости от формата, в котором написана программа это будут EXE или COM вирусы.
Загрузочные вирусы - вирусы поражающие загрузочные сектора (Boot сектора) дисков или сектор содержащий системный загрузчик(Master Boot Record) винчестера.
Сетевые вирусы - вирусы, распространяющиеся в различных компьютерных сетях и системах.
Макро вирусы - вирусы поражающие файлы Microsoft Office
Flash вирусы - вирусы поражающие микросхемы FLASH памяти BIOS.
По способу заражения вирусы делятся на:
Резидентные вирусы - вирусы, которые при инфицировании компьютера оставляют свою резидентную часть в памяти. Они могут перехватывать прерывания операционной системы, а также обращения к инфицированным файлам со стороны программ и операционной системы. Эти вирусы могут оставаться активными вплоть до выключения или перезагрузки компьютера.
Нерезидентные вирусы - вирусы, не оставляющие своих резидентных частей в оперативной памяти компьютера. Некоторые вирусы оставляют в памяти некоторые свои фрагменты не способные к дальнейшему размножению такие вирусы считаются не резидентными.
По деструктивным возможностям вирусы подразделяются на:
Безвредные вирусы - это вирусы ни как не влияющие на работу компьютера за исключение, быть может, уменьшения свободного места на диске и объема оперативной памяти.
Неопасные вирусы - вирусы, которые проявляют себя в выводе различных графических, звуковых эффектов и прочих безвредных действий.
Опасные вирусы - это вирусы, которые могут привести к различным сбоям в работе компьютеров, а также их систем и сетей.
Очень опасные вирусы - это вирусы, приводящие к потере, уничтожению информации, потере работоспособности программ и системы в целом.
По особенностям алгоритма работы вирусы можно подразделить на:
Вирусы спутники(companion) - эти вирусы поражают EXE-файлы путем создания COM-файла двойника, и поэтому при запуске программы запустится, сначала COM-файл с вирусом, после выполнения своей работы вирус запустит EXE-файл. При таком способе заражения "инфицированная" программа не изменяется.
Вирусы "черви" (Worms) - вирусы, которые распространяются в компьютерных сетях. Они проникают в память компьютера из компьютерной сети, вычисляют адреса других компьютеров и пересылают на эти адреса свои копии. Иногда они оставляют временные файлы на компьютере но некоторые могут и не затрагивать ресурсы компьютера за исключением оперативной памяти и разумеется процессора.
"Паразитические" - все вирусы, которые модифицируют содержимое файлов или секторов на диске. К этой категории относятся все вирусы не являются вирусами-спутниками и вирусами червями.
"Стелс-вирусы" (вирусы-невидимки, stealth) - представляющие собой весьма совершенные программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков подставляют вместо себя незараженные участки информации. Кроме этого, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие "обманывать" резидентные антивирусные мониторы.
"Полиморфные" (самошифрующиеся или вирусы-призраки, polymorphic) - вирусы, достаточно трудно обнаруживаемые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфного вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
"Макро-вирусы" - вирусы этого семейства используют возможности макроязыков, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время наиболее распространены макро-вирусы, заражающие текстовые документы редактора Microsoft Word.
По режиму функционирования:
- резидентные вирусы (вирусы, которые после активизации постоянно находятся в оперативной памяти компьютера и контролируют доступ к его ресурсам);
- транзитные вирусы (вирусы, которые выполняются только в момент запуска зараженной программы).
По объекту внедрения:
- файловые вирусы (вирусы, заражающие файлы с программами);
- загрузочные вирусы (вирусы, заражающие программы, хранящиеся в системных областях дисков).
В свою очередь, файловые вирусы подразделяются на вирусы, заражающие:
- командные файлы и файлы конфигурации;
- составляемые на макроязыках программирования, или файлы, содержащие макросы (макровирусы - разновидность компьютерных вирусов разработанных на макроязыках, встроенных в такие прикладные пакеты ПО, как Microsoft Office );
- файлы с драйверами устройств;
- файлы с библиотеками исходных, объектных, загрузочных и оверлейных модулей, библиотеками динамической компоновки и т.п.
Загрузочные вирусы подразделяются на вирусы, заражающие:
- системный загрузчик, расположенный в загрузочном секторе и логических дисков;
- внесистемный загрузчик, расположенный в загрузочном секторе жестких дисков.
По степени и способу маскировки:
- вирусы, не использующие средств маскировки;
- stealth-вирусы (вирусы, пытающиеся быть невидимыми на основе контроля доступа к зараженным элементам данных);
- вирусы-мутанты (MtE-вирусы, содержащие в себе алгоритмы шифрования, обеспечивающие различие разных копий вируса).
В свою очередь, MtE-вирусы делятся:
- на обычные вирусы-мутанты, в разных копиях которых различаются только зашифрованные тела, а дешифрованные тела вирусов совпадают;
- полиморфные вирусы, в разных копиях которых различаются не только зашифрованные тела, но и их дешифрованные тела.
Наиболее распространенные типы вирусов характеризуются следующими основными особенностями.
Файловый транзитный вирус целиком размещается в исполняемом файле, в связи, с чем он активизируется только в случае активизации вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе. При этом выбор очередного файла для заражения осуществляется вирусом посредством поиска по каталогу.
Файловый резидентный вирус отличается от нерезидентного логической структурой и общим алгоритмом функционирования. Резидентный вирус состоит из так называемого инсталлятора и программ обработки прерываний. Инсталлятор получает управление при активизации вирусоносителя и инфицирует оперативную память путем размещения в ней управляющей части вируса и замены адресов в элементах вектора прерываний на адреса своих программ, обрабатывающих эти прерывания. На так называемой фазе слежения, следующей за описанной фазой инсталляции, при возникновении какого-либо прерывания управление получает соответствующая подпрограмма вируса. В связи с существенно более универсальной по сравнению с нерезидентными вирусами общей схемой функционирования резидентные вирусы могут реализовывать самые разные способы инфицирования.
Stealth-вирусы пользуются слабой защищенностью некоторых операционных систем и заменяют некоторые их компоненты (драйверы дисков, прерывания) таким образом, что вирус становится невидимым (прозрачным) для других программ.
Полиморфные вирусы содержат алгоритм порождения дешифрованных тел вирусов, непохожих друг на друга. При этом в алгоритмах дешифрования могут встречаться обращения практически ко всем командам процессора Intel и даже использоваться некоторые специфические особенности его реального режима функционирования.
Макровирусы распространяются под управлением прикладных программ, что делает их независимыми от операционной системы. Подавляющее число макровирусов функционирует под управлением текстового процессора Microsoft Word. В то же время известны макровирусы, работающие под управлением таких приложений, как Microsoft Excel, Lotus Ami Pro, Lotus 1-2-3, Lotus Notes, в операционных системах фирм Microsoft и Apple.
«Лазейки», подобные описанной выше обусловленные особенностями реализации тех или иных функций в программном обеспечении, являются объективной предпосылкой для создания и внедрения репликаторов злоумышленниками.
Эффекты, вызываемые вирусами в процессе реализации ими целевых функций, принято делить на следующие группы:
Приведенная выше классификация не может считаться полной, так как прогресс не стоит на месте, появляются всё новые и новые интеллектуальные устройства и соответственно вирусы, работающие на них, например уже появились вирусы поражающие мобильные телефоны.
Читайте также: