Вирусы не заражающие память компьютера и являющиеся активными ограниченное время
Следующая классификация, как мы надеемся, поможет сориентироваться в многообразии и особенностях вирусов. В ее основе лежит оригинальная классификация вирусов «Лаборатории Касперского».
По среде обитания вирусы можно разделить на:
– файловые вирусы, которые внедряются в исполняемые файлы (СОМ, ЕХЕ, SYS, BAT, DLL);
– загрузочные, которые внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Record);
– макровирусы, которые внедряются в системы, использующие при работе так называемые макросы (например, Microsoft Word или Microsoft Excel).
Существуют и сочетания. Например, вирусы, заражающие как файлы, так и загрузочные секторы. Они, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, и их труднее обнаружить.
Классификация вирусов по способам заражения.
– Резидентные вирусы – при инфицировании компьютера оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.
– Нерезидентные вирусы – не заражают память компьютера и являются активными лишь ограниченное время.
По деструктивным возможностям вирусы можно разделить на:
– безвредные, то есть никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
– неопасные, влияние которых ограничено уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами;
– опасные – вирусы, которые могут привести к серьезным сбоям в работе;
– очень опасные – способные привести к потере программ, уничтожению данных, необходимой для работы компьютера информации, записанной в системных областях памяти, и т. д.
Классификация вирусов по особенностям алгоритма следующая.
– «Компаньон»-вирусы – алгоритм их работы состоит в том, что они создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением СОМ. При запуске такого файла MS-DOS первым обнаружит и выполнит СОМ-файл, то есть вирус, который затем запустит и ЕХЕ-файл.
– Вирусы-«черви» (worm) – вариант «компаньон»-вирусов. «Черви» не связывают свои копии с какими-то файлами. Они создают свои копии на дисках и в папках дисков, никаким образом не изменяя других файлов и не используя сом-ехе-прием, описанный выше.
– «Паразитические» – все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. В эту группу относятся все вирусы, которые не являются «червями» или «компаньон»-вирусами.
– «Студенческие» – крайне примитивные вирусы, часто нерезидентные и содержащие большое количество ошибок.
– «Стелс»-вирусы (вирусы-невидимки, stealth), представляют собой весьма совершенные программы, которые перехватывают обращения MS-DOS к пораженным файлам или секторам дисков и «подставляют» вместо себя незараженные участки информации. Кроме того, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие обходить резидентные антивирусные мониторы.
– «Полиморфик»-вирусы (самошифрующиеся, или вирусы-«призраки», polymorphic) – достаточно трудно обнаруживаемые вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же «полиморфик»-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
– Макровирусы – вирусы этого семейства используют возможности макроязыков (таких как Word Basic), встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т. д.). В настоящее время широко распространены макровирусы, заражающие документы текстового редактора Microsoft Word и электронные таблицы Microsoft Excel.
– Сетевые вирусы (сетевые «черви») – вирусы, которые распространяются в компьютерной сети и, как «компаньон»-вирусы, не изменяют файлы или секторы на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).
Данный текст является ознакомительным фрагментом.
Продолжение на ЛитРес
2.2. Понятия о видах вирусов
2.2. Понятия о видах вирусов Вирус, как программа, состоит из двух частей: механизма размножения и начинки. Механизм размножения определяет способ, которым копии вируса создаются, распространяются и запускаются.Начинка представляет собой дополнительное поведение вируса
Краткая история мобильных вирусов
Краткая история мобильных вирусов Началом истории вирусов для мобильных телефонов можно считать июнь 2004 года. Именно тогда командой вирусописателей 29А был создан первый вирус для смартфонов. Вирус распространялся посредством технологии беспроводной передачи данных
Спасение от вирусов — дело рук самих вирусов
Спасение от вирусов — дело рук самих вирусов Автор: Дмитрий ГуцДмитрий в настоящее время занимается разработкой антивируса, учитывающего, по его мнению, многие из высказанных ниже положений. Как только антивирус будет готов, мы протестируем его и расскажем о
Способы защиты от вирусов
Одним из основных последствий деятельности вирусов является потеря или порча информации. Поэтому для обеспечения устойчивой и надежной работы необходимо (или, по крайней мере желательно) всегда иметь чистые, не зараженные (эталонные) копии используемой информации и программного обеспечения.
К общим средствам относятся:
- резервное копирование информации (создание копий файлов и системных областей дисков);
- разграничение доступа к информации (предотвращение несанкционированного использования информации).
К программным средствам относятся различные антивирусные программы, которые являются наиболее эффективными в борьбе с компьютерными вирусами. Однако не существует антивирусов, гарантирующих стопроцентную защиту от вирусов, поскольку на любой алгоритм антивируса всегда можно предложить контр-алгоритм вируса, невидимого для этого антивируса. Невозможность существования абсолютного антивируса была доказана математически на основе теории конечных автоматов, автор доказательства — Фред Коэн.
Использование специальных антивирусных средств в большинстве случаев позволяет не только выявить вирусное вторжение, но и оперативно обезвредить обнаруженные вирусы и восстановить испорченную информацию.
Антивирусные программы — это утилиты, позволяющие выявить вирусы, вылечить, или ликвидировать зараженные файлы и диски, обнаруживать и предотвращать подозрительные (характерные для вирусов действия).
Существует очень много классификаций антивирусных программ. Рассмотрим одну из них.
Классификация антивирусных программ
Тип антивирусной программы | Принцип действия |
Детекторы | Обнаруживают файлы, зараженные одним из известных вирусов |
Врачи (фаги) | «Лечат» зараженные программы или диски, Извлекают из зараженных программ код вируса, то есть восстанавливают программу в том состоянии в котором она была до заражения вирусом |
Ревизоры | Сначала запоминают сведения о состоянии программ и системных областей дисков, а затем а затем сравнивают их состояние с исходным. При обнаружении несоответствия сообщают о нем. |
Фильтры | Загружаются резидентно в оперативной памяти, перехватывают те обращения к системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них. Можно разрешить или запретить выполнение данной операции. |
Среди популярных и эффективных антивирусных программных систем можно выделить:
Более надежную защиту дают те антивирусные программы, версии которых постоянно обновляются.
Основные типы вирусов
Основные типы вирусов Итак, существует четыре основных типа вредоносных программ:? классические компьютерные вирусы;? троянские программы;? сетевые черви;? прочие вредоносные
1.3. Разновидности компьютерных вирусов
1.3. Разновидности компьютерных вирусов Пришло время ознакомиться c особенностями работы некоторых вирусов – хотя бы для того, чтобы, узнав о начале очередной эпидемии, не спешить отключать кабель, ведущий к модему.Точную классификацию вирусов и других вредоносных
Строение вирусов
Строение вирусов Вирусы обычно состоят из двух компонентов: механизма распространения и «полезной нагрузки» (payload). Есть также множество дополнительных функций, с помощью которых авторы вирусов стремятся сделать нашу жизнь веселой.РаспространениеПод механизмом
Классификация вирусов
Классификация вирусов Следующая классификация, как мы надеемся, поможет сориентироваться в многообразии и особенностях вирусов. В ее основе лежит оригинальная классификация вирусов «Лаборатории Касперского».По среде обитания вирусы можно разделить на:– файловые
Защита от вирусов
Защита от вирусов Описывая работу на компьютере, нельзя не упомянуть такую актуальную проблему, как компьютерные вирусы и защита от них.Многие пользователи неверно представляют себе, что такое компьютерный вирус, и поэтому боятся его больше, чем надо. Искаженное
Обезвреживание шпионских программ
Есть еще одна категория вредоносного программного обеспечения (ПО), которая известна гораздо меньше, чем вирусы (но отнюдь не менее опасна) в силу специфики своей работы — программы шпионажа за действиями пользователя. Такие программы (spyware), как правило, поставляются вместе с распространяемыми через Internet бесплатными программами или же автоматически устанавливаются на ПК во время веб — серфинга.
Spyware определяют как программное обеспечение, которое позволяет собирать сведения о пользователе или организации без их ведома. Adware (от advertising — реклама) — программный код, без ведома пользователя внесен в программного обеспечения с целью демонстрации рекламных объявлений.
По данным New Scientist, в мире 5,1% подсоединенных к Интернету компьютеров имеют на своем винчестере программный код, предназначенный для несанкционированного сбора конфиденциальной информации и (или) демонстрации непрошеной рекламы с помощью всплывающих ( «pop-up») окон браузера.
По данным, полученным специалистами Вашингтонского университета в ходе наблюдений за распространением лишь четырех программ — шпионов (Gator, Cydoor, SaveNow, eZula) на компьютерах студенческого городка, на 5,1% машин было установлено программное обеспечение для слежения за действиями пользователя, а 69% всех отделов и офисов университета имели по крайней мере один компьютер, на котором было установлено spyware.
Как минимум две из указанных программ — Gator и eZula — дают возможность злоумышленнику не просто собирать информацию, но и контролировать чужой компьютер.
Программы, предназначенная для поиска и устранения шпионских модулей, сканируют оперативную память, файлы на жёстком диске и определяют в них программы — шпионы и запущенные вредоносные процессы. Сканируется также реестр операционной системы. Если в реестре обнаруживается запись, установленный вредоносной программой, то она удаляется. Предусмотрена возможность обновления анти шпионской базы через Internet. Если обнаруживаются шпионские модули, то программа предлагает удалить их все или выборочно. Для предотвращения случайного удаления нужного файла или записи в реестре предусмотрена функция восстановления (для этого автоматически создаются backup — копии данных). Такую программу должен иметь каждый пользователь, который работает на компьютере.
Следя за событиями последних лет, можно с уверенностью утверждать, что spyware, наряду с компьютерными вирусами стало глобальным бедствием в сети. Так по данным компании EarthLink, 90% всех подключенных к Internet ПК заражены подобным ПО. Всего было в обнаружено 29500000 шпионских программ, в среднем по 28 на ПК. Вполне возможно, что в будущем граница между тремя составляющими (spyware, вирусами и спамом) темной стороны Internet сотрется полностью, и бороться с ними будет уже не ряд разнообразных утилит, а один унифицированный программный комплекс.
Способы внедрения COM-вирусов
Способы внедрения COM-вирусов Рассмотренный вирус дописывался в конец файла, а в начало файла вписывал переход на себя. Существуют и другие способы внедрения вирусов.Рассмотрим два варианта внедрения COM-вируса в начало файла. Вариант первый. Вирус переписывает начало
Глава 5 Маскировка вирусов
Глава 5 Маскировка вирусов В этой главе рассказано, как может быть спрятан вирус. Описаны методы конструирования прямого обращения к DOS для «обмана» резидентных антивирусных мониторов. Рассмотрены вирусы, заражающие Flash BIOS. Представлены исходные тексты программ с
Промышленная ассоциация по компьютерным вирусам только за 1988 г. зафиксировала почти 90 тысяч вирусных атак на персональные компьютеры США. Количество инцидентов, связанных с вирусами, вероятно, превосходит опубликованные цифры, поскольку большинство фирм умалчивает о вирусных атаках. Причины молчания: такая информация может повредить репутации фирмы и привлечь внимание хакеров.
С 1987 г. были зафиксированы факты появления компьютерных вирусов и в нашей стране. Масштабы реальных проявлений "вирусных эпидемий" в настоящее время оцениваются сотнями тысяч случаев "заражения" ПК. Хотя некоторые из вирусных программ оказываются вполне безвредными, многие из них имеют разрушительный характер. Особенно опасны вирусы для персональных компьютеров, входящих в состав локальных вычислительных сетей.
Способ функционирования большинства вирусов - это такое изменение системных файлов ПК, чтобы вирус начинал свою деятельность при каждой загрузке персонального компьютера. Некоторые вирусы инфицируют файлы загрузки системы, другие специализируются на различных программных файлах. Всякий раз, когда пользователь копирует файлы на машинный носитель информации или посылает инфицированные файлы по сети, переданная копия вируса пытается установить себя на новый диск .
Некоторые вирусы разрабатываются так, чтобы они появлялись, когда происходит некоторое событие вызова: например, пятница 13-е, 26 апреля, другая дата, определенное число перезагрузок зараженного или какого-то конкретного приложения, процент заполнения винчестера и т. д.
После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и ее работа некоторое время не отличается от работы незараженной.
Для анализа действия компьютерных вирусов введено понятие жизненного цикла вируса, который включает четыре основных этапа, представленных на рис. 8.8.
Для реализации каждого из этапов цикла жизни вируса в его структуру включают несколько взаимосвязанных элементов:
- часть вируса, ответственная за внедрение и инкубационный период;
- часть вируса, осуществляющая его копирования и добавление к другим файлам (программам);
- часть вируса, в которой реализуется проверка условия активизации его деятельности;
- часть вируса, содержащая алгоритм деструктивных действий;
- часть вируса, реализующая алгоритм саморазрушения.
Следует отметить, что часто названные части вируса хранятся отдельно друг от друга, что затрудняет борьбу с ними.
Объекты воздействия компьютерных вирусов можно условно разделить на две группы:
- С целью продления своего существования вирусы поражают другие программы, причем не все, а те, которые наиболее часто используются и / или имеют высокий приоритет в информационной технологии (следует отметить, что сами программы, в которых находятся вирусы, с точки зрения реализуемых ими функций, как правило, не портятся).
- Деструктивными целями вирусы воздействуют чаще всего на данные, реже - на программы.
К способам проявления компьютерных вирусов можно отнести:
Следует отметить, что способы проявления необязательно вызываются компьютерными вирусами. Они могут быть следствием некоторых других причин, поэтому вычислительные средства ИТ следует периодически комплексно диагностировать.
В настоящее время существует огромное количество вирусов, которые можно классифицировать по признакам, представленным на рис. 8.9.
По виду среды обитания вирусы классифицируются на следующие виды:
- загрузочные внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска;
- файловые внедряются в основном в исполняемые файлы с расширениями .СОМ и .ЕХЕ;
- системные проникают в системные модули и драйверы периферийных устройств, таблицы размещения файлов и таблицы разделов;
- сетевые вирусы обитают в компьютерных сетях;
файлово-загрузочные (многофункциональные) поражают загрузочные секторы дисков и файлы прикладных программ.
По степени воздействия на ресурсы компьютерных систем и сетей, или по деструктивным возможностям, выделяются:
- безвредные вирусы, не оказывающие разрушительного влияния на работу персонального компьютера, но могут переполнять оперативную память в результате своего размножения;
- неопасные вирусы не разрушают файлы, но уменьшают свободную дисковую память, выводят на экран графические эффекты, создают звуковые эффекты и т. д. ;
- опасные вирусы нередко приводят к различным серьезным нарушениям в работе персонального компьютера и всей информационной технологии;
разрушительные приводят к стиранию информации, полному или частичному нарушению работы прикладных программ и пр.
По способу заражения среды обитания вирусы подразделяются на следующие группы:
-
резидентные вирусы при заражении компьютера оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к другим объектам заражения, внедряется в них и выполняет свои разрушительные действия вплоть до выключения или перезагрузки компьютера.
нерезидентные вирусы не заражают оперативную память персонального компьютера и являются активными ограниченное время.
Алгоритмическая особенность построения вирусов оказывает влияние на их проявление и функционирование. Выделяют следующие виды таких вирусов:
1 .Сущность и проявление компьютерных вирусов
2 .Виды компьютерных вирусов
3 .Программы обнаружения и защиты от вирусов
4 .Профилактика заражения компьютера вирусами
1. Сущность и проявление компьютерных вирусов
Массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации. Проникнув в один компьютер, компьютерный вирус способен распространиться на другие компьютеры.
Компьютерный вирус - специально написанная программа деструктивного характера, способная самопроизвольно присоединять к другим программам свои копии и внедрять их в файлы, системные области жестких дисков, компьютерные сети с целью нарушения работы компьютера.
Причины появления и распространения компьютерных вирусов , с одной скрываются в психологии человеческой личности и ее теневых сторонах (тщеславии непризнанных творцов, невозможности конструктивно применить способности), с другой стороны, обусловлены отсутствием аппаратных средств защиты персонального компьютера.
Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. На сегодняшний день известно более 700 тыс. вирусов. , для которых разработаны антивирусные средства. Это требует от пользователя компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них.
Основными путями проникновения вирусов в компьютер являются съемные носители (гибкие и лазерные диски), а также компьютерные сети.
Программа или иной объект содержащая вирус называется зараженной.
При заражении компьютера вирусом очень важно своевременно его обнаружить. Для этого следует знать об основных признаках проявления вирусов:
- прекращение работы или неправильная работа ранее успешно функционирования программ;
- медленная работа компьютера;
- невозможность загрузки операционной системы;
- исчезновение файлов и каталогов или искажение их содержимого;
- изменение даты и времени модификации файлов;
- изменение размеров файлов;
- неожиданное значительное увеличение количества файлов на диске;
- существенное уменьшение размера свободной оперативной памяти;
- подача непредусмотренных звуковых сигналов;
- частые зависания и сбои в работе компьютера.
Следует заметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.
2. Основные виды вирусов
В настоящее время известно более 70 тыс. программных вирусов, их можно классифицировать по следующим признакам:
– по способу заражения ОЗУ ;
– по особенностям алгоритма;
В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные.
Сетевые вирусы распространяются по локальным и глобальнымкомпьютерным сетям.
Файловые вирусы внедряются главным образом в исполняемые модули, т.е. в файлы, имеющие расширения .СОМ и .ЕХЕ. Заражая файл, вирус внедряется в его код, чтобы получить управление при запуске этого файла. После запуска вирус помешается в оперативную память и поражает другие исполняемые файлы, к которым обратился пользователь. Кроме своей основной функции - размножения вирус может сделать что-нибудь: спросить, сыграть, показать изображение.
Таким образом, при запуске любого исполнимого файла вирус получает управление (операционная система запускает его сама), устанавливается в память и передает управление вызванному файлу.
Файловые вирусы могут внедряться и в другие типы файлов , но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению.
Загрузочные вирусы внедряются в загрузочный сектор диска ( Boot -сектор) или в сектор, содержащий программу загрузки системного диска ( Master Boot Record ).
Загрузочный сектор - это сектор на дискете или жестком диске с которого происходит загрузка операционной системы программами BIOS .
Пусть у нас имеется зараженная дискета и "чистый" компьютер. Нормальная схема начальной загрузки такая: ПЗУ - ПНЗ (программа начальной загрузки в загрузочном секторе) - ОС
Заражая дискету вирус делает следующее:
- выделяет некоторую область диска и помечает ее как недоступную ОС (сбойные секторы bad );
- копирует в выделенную область диска свой «хвост» и здоровый загрузочный сектор;
- Замещает программу загрузки своей «головой».
В итоге последовательность загрузки изменяется и замедляется, так как появилось новое звено – вирус.
При воздействии вируса схема изменяется ПЗУ-ВИРУС-ПНЗ-ОС
Таким же образом поражаются загрузочные секторы винчестеров.
По способу функционирования вирусы делятся на резидентные и нерезидентные.
Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам диска и внедряется в них). Резидентные вирусы находятся в памяти и являются активными до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.
По степени воздействия вирусы можно разделить на следующие виды:
- неопасные, не мешающие работе компьютера, но уменьшающие объем оперативной и внешней памяти, действия таких вирусов проявляется в каких-либо графических или звуковых эффектах;
- опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;
- очень опасные, воздействие которых может привести к потере программ, поражению данных, стиранию информации в системных областях диска (Чернобыль 26 апреля « Chih »).
По особенностям алгоритма можно выделить следующие группы вирусов:
- компаньон-вирусы ( companion ) - это вирусы, не изменяющие файлы, но создающие файлы-компаньоны. Алгоритм работы этих вирусов состоит в том, что они создают для ЕХЕ-файлов файлы-спутники, имеющие то же самое имя, но с расширением .СОМ, (например, для файла ABC . EXE создается файл ABC . COM . Вирус записывается в СОМ-файл и никак не изменяет ЕХЕ-файл. При запуске такого файла ОС первым обнаружит и выполнит СОМ-файл, т.е. вирус, который затем запустит и ЕХЕ-файл. (Пример: I.Worm.Stator.a ).
- сетевые вирусы - (черви, worm ) распространяются по информационным сетям с одного сервера на другой, как правило, не выполняя деструктивных действий (по причине большого разнообразия и хорошей защищенности различных серверных ОС). Вред сетевых вирусов состоит в дополнительном расходе памяти и каналов связи, кроме того, черви могут служить транспортом для распространения других видов вирусов. Частный случай сетевых вирусов - почтовые черви ( mail worm ), распространяемые во вложениях к электронным письмам. Весной 2000 года несколько модификаций такого рода вирусов поразили миллионы компьютеров во всём мире. Почтовые черви могут причинить очень опасные повреждения информации, вплоть до полного уничтожения. Кроме того. Почтовые вирусы быстро распространяются, используя для этого адреса пользователей, содержащиеся в адресной книге почтовой программы.
(Пример: вирус «Анна Курникова» ).
полиморфик-вирусы ( polymorphic ) - достаточно труднообнаруживаемые вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса не совпадают (имеют разные коды). Это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования - имея зараженный и оригинальный файлы невозможно определить наличие вируса.
Вирусы-невидимки (стелс-вирусы) - такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные мониторы предотвращают свое обнаружение тем, что перехватывают обращения операционной системы (и тем самым прикладных программ) к зараженным файлам и областям диска и подставляют вместо своего тела незараженные участки диска. Разумеется, этот эффект наблюдается только на зараженном компьютере - на «чистом» компьютере изменения в файлах и загрузочных областях.
«Троянские» программы (шпионы) маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков. Не способны к самораспространению. Троянцы, после своего запуска, скрытно выполняют определенные действия, направленные на снижение защищенности информационной системы: передают по электронной почте или сети пароли, файлы и другую информацию с компьютера
Макровирусы распространяются внутри документов Microsoft Office (файлы с расширениями . DOC , . DOT , . XLS , и др.), позволяющих использовать макросы – последовательности команд, автоматически выполняемые при открытии документа. Для защиты от заражения макровирусом достаточно включить предупреждение о наличии макросов в документе и не в коем случае не запускать подозрительные макросы, если только полезность их Вам не очевидна.
3. Программы обнаружения и защиты от вирусов
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.
Различают следующие виды антивирусных программ:
- программы-доктора или фаги;
- программы-вакцины или иммунизаторы.
Программы-доктора или фаги («от греч. жрать») не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление их версий. NOD 32, Norton Antivirus , Doctor Web , Awast , Panda , KaV .
Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры.
Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже отличить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа ADinf фирмы "Диалог-Наука". Awast
Программы-фильтры или "сторожа" представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:
•попытки коррекции файлов с расширениями СОМ и ЕХЕ;
• изменение атрибутов файлов;
•запись в загрузочные сектора диска;
•загрузка резидентной программы.
Вакцины или иммунизаторы — это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе вирус будет воспринимать их зараженными и поэтому не внедрится. Panda Reaserch USB Vaccine 1.0
Современные антивирусные пакеты включают несколько программ с различными функциями.
Сегодня одним из наиболее популярных антивирусных пакетов является Dr . Web , антивирус Касперского ( Kaspersky Anti - Virus – KAV ).
4. Профилактика заражения компьютера вирусами
Для того чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходимо соблюдать следующие правила:
- оснастите свой компьютер современным антивирусным ПО и постоянно обновляйте их базы;
- используйте антивирусные программы для входного контроля всех исполняемых файлов, получаемых из интернета;
- перед считыванием с дискет, флэшек информации, записанной на других компьютерах, всегда проверяйте съемные носители на наличие вирусов, запуская антивирусные программы своего компьютера;
- при переносе на свой компьютер файлов в архивированном виде проверяйте их перед распаковкой;
- периодически проверяйте на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков, предварительно загрузив операционную систему с загрузочного диска;
- обязательно делайте архивные копии ценной для вас информации;
- не оставляйте съемные носители (флэшки, дискеты, мобил-рэк) при включении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами;
Это интересно:
В России осужден известный вирусописатель (информация лаборатории Касперского)
22 октября 2004 года в г. Ижевске был вынесен приговор по делу Е. А. Сучкова, известного в вирусописательской среде под псевдонимом "Whale", сообщает "Лаборатория Касперского". Обвинение было выдвинуто по 273-й статье Уголовного Кодекса РФ.
Евгений Сучков был обвинен в создании двух вредоносных программ - компьютерных вирусов Stepar и Gastropod , а также в публикации исходных кодов этих вирусов и их исполняемых файлов на различных интернет-сайтах, в том числе на сайте известной международной вирусописательской группы 29A.
В ходе судебного разбирательства Евгений полностью признал свою вину и оказал значительную помощь следствию. В результате он был признан виновным в совершении преступления, предусмотренного ч. 1 ст. 273 УК РФ и приговорен к штрафу в размере 3000 рублей.
"Столь мягкое наказание объясняется тем, что у следствия не имелось заявлений от пострадавших в результате действий созданных Сучковым вирусов, - отмечает антивирусный эксперт "Лаборатории Касперского" Александр Гостев. - С другой стороны, не может не радовать тот факт, что это фактически первый уголовный процесс в России, в результате которого к ответственности был привлечен широко известный автор вирусов, состоявший в печально знаменитой международной вирусописательской группе 29A".
Вирус «Магистр» – распространяется по сети, каждая следующая загрузка компьютера увеличивает на 20% вероятность уничтожения Биоса. (сетевой, очень опасный, троянец, не резидентный).
Промышленная ассоциация по компьютерным вирусам только за 1988 г. зафиксировала почти 90 тысяч вирусных атак на персональные компьютеры США. Количество инцидентов, связанных с вирусами, вероятно, превосходит опубликованные цифры, поскольку большинство фирм умалчивает о вирусных атаках. Причины молчания: такая информация может повредить репутации фирмы и привлечь внимание хакеров.
С 1987 г. были зафиксированы факты появления компьютерных вирусов и в нашей стране. Масштабы реальных проявлений "вирусных эпидемий" в настоящее время оцениваются сотнями тысяч случаев "заражения" ПК. Хотя некоторые из вирусных программ оказываются вполне безвредными, многие из них имеют разрушительный характер. Особенно опасны вирусы для персональных компьютеров, входящих в состав локальных вычислительных сетей.
Способ функционирования большинства вирусов - это такое изменение системных файлов ПК, чтобы вирус начинал свою деятельность при каждой загрузке персонального компьютера. Некоторые вирусы инфицируют файлы загрузки системы, другие специализируются на различных программных файлах. Всякий раз, когда пользователь копирует файлы на машинный носитель информации или посылает инфицированные файлы по сети, переданная копия вируса пытается установить себя на новый диск .
Некоторые вирусы разрабатываются так, чтобы они появлялись, когда происходит некоторое событие вызова: например, пятница 13-е, 26 апреля, другая дата, определенное число перезагрузок зараженного или какого-то конкретного приложения, процент заполнения винчестера и т. д.
После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и ее работа некоторое время не отличается от работы незараженной.
Для анализа действия компьютерных вирусов введено понятие жизненного цикла вируса, который включает четыре основных этапа, представленных на рис. 8.8.
Для реализации каждого из этапов цикла жизни вируса в его структуру включают несколько взаимосвязанных элементов:
- часть вируса, ответственная за внедрение и инкубационный период;
- часть вируса, осуществляющая его копирования и добавление к другим файлам (программам);
- часть вируса, в которой реализуется проверка условия активизации его деятельности;
- часть вируса, содержащая алгоритм деструктивных действий;
- часть вируса, реализующая алгоритм саморазрушения.
Следует отметить, что часто названные части вируса хранятся отдельно друг от друга, что затрудняет борьбу с ними.
Объекты воздействия компьютерных вирусов можно условно разделить на две группы:
- С целью продления своего существования вирусы поражают другие программы, причем не все, а те, которые наиболее часто используются и / или имеют высокий приоритет в информационной технологии (следует отметить, что сами программы, в которых находятся вирусы, с точки зрения реализуемых ими функций, как правило, не портятся).
- Деструктивными целями вирусы воздействуют чаще всего на данные, реже - на программы.
К способам проявления компьютерных вирусов можно отнести:
Следует отметить, что способы проявления необязательно вызываются компьютерными вирусами. Они могут быть следствием некоторых других причин, поэтому вычислительные средства ИТ следует периодически комплексно диагностировать.
В настоящее время существует огромное количество вирусов, которые можно классифицировать по признакам, представленным на рис. 8.9.
По виду среды обитания вирусы классифицируются на следующие виды:
- загрузочные внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска;
- файловые внедряются в основном в исполняемые файлы с расширениями .СОМ и .ЕХЕ;
- системные проникают в системные модули и драйверы периферийных устройств, таблицы размещения файлов и таблицы разделов;
- сетевые вирусы обитают в компьютерных сетях;
файлово-загрузочные (многофункциональные) поражают загрузочные секторы дисков и файлы прикладных программ.
По степени воздействия на ресурсы компьютерных систем и сетей, или по деструктивным возможностям, выделяются:
- безвредные вирусы, не оказывающие разрушительного влияния на работу персонального компьютера, но могут переполнять оперативную память в результате своего размножения;
- неопасные вирусы не разрушают файлы, но уменьшают свободную дисковую память, выводят на экран графические эффекты, создают звуковые эффекты и т. д. ;
- опасные вирусы нередко приводят к различным серьезным нарушениям в работе персонального компьютера и всей информационной технологии;
разрушительные приводят к стиранию информации, полному или частичному нарушению работы прикладных программ и пр.
По способу заражения среды обитания вирусы подразделяются на следующие группы:
-
резидентные вирусы при заражении компьютера оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к другим объектам заражения, внедряется в них и выполняет свои разрушительные действия вплоть до выключения или перезагрузки компьютера.
нерезидентные вирусы не заражают оперативную память персонального компьютера и являются активными ограниченное время.
Алгоритмическая особенность построения вирусов оказывает влияние на их проявление и функционирование. Выделяют следующие виды таких вирусов:
Термин «компьютерный вирус» впервые употребил сотрудник Лихайского университета (США) Фред Коэн в 1984 году.
Компьютерный вирус — одно из самых интересных явлений, которые можно наблюдать в результате развития компьютерной и информационной техники. Суть его сводится к тому, что программы приобретают свойства, присущие живым организмам: они рождаются, размножаются, умирают.
Главное условие существования вирусов — универсальная интерпретация информации в вычислительных системах. Вирус в процессе заражения программы может интерпретировать ее как данные, а в процессе выполнения — как исполняемый код. Этот принцип был положен в основу всех современных компьютерных систем, использующих архитектуру фон Неймана.
Компьютерный вирус — это небольшая, сложная, тщательно составленная и опасная программа, которая может самостоятельно размножаться, переноситься на диски и флэшки, прикрепляться к программам, передаваться сетью, нарушая работу компьютера. С понятием «компьютерный вирус» тесно связано такое понятие, как сигнатура. Сигнатура — это фрагмент кода, который можно найти во всех копиях вируса и только в них. Иными словами, сигнатура — это подпись вируса, которая однозначно определяет наличие или отсутствие его в программе.
Программа, в которой находится компьютерный вирус, называется зараженной.
Вирус (вирусная программа) обладает следующими свойствами:
- Возможность создавать свои копии и внедрять их в другие программные объекты.
- Обеспечение скрытности (латентность) до определенного момента ее существования и распространения.
- Несанкционированность (со стороны пользователя) производимых им действий.
- Наличие негативных последствий от ее функционирования.
Действия компьютерных вирусов могут проявляться по-разному:
Некоторые вирусы при запуске никак себя внешне не проявляют и могут время от времени заражать другие программы и выполнять нежелательные действия на компьютере, к примеру отсылать конфиденциальную информацию злоумышленнику. Другие разновидности вирусов после заражения программ и дисков вызывают серьезные повреждения, например, форматируют жесткий диск и др., или угрожают это сделать, требуя перечислить деньги за разблокировку.
Зараженные программы с одного ПК могут быть перенесены с помощью флэш накопителей, дисков, локальной или глобальной сети на другие компьютеры.
Если не принимать меры для защиты от компьютерных вирусов, то последствия заражения компьютеров могут быть серьезными. В ряде стран уголовное законодательство предусматривает ответственность за компьютерные преступления, в том числе и за внедрение вирусов.
Первичное заражение ПК вирусом возможно тогда, когда:
- на компьютере выполнялась зараженная программа;
- ОС загружалась с флэшки или диска, содержащего зараженный загрузочный сектор;
- На компьютере установлена зараженная ОС или драйвер устройства;
- через локальную и глобальную сеть и др.
Классификация вирусов
На сегодняшний день существует сотни тысяч вирусов.
Классификация вирусов осуществляется по следующим признакам:
- средой обитания;
- способом заражения;
- действием;
- особенностями алгоритма.
В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово — загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы проникают главным образом в исполняемые модули, есть в файлы, имеющие расширения EXE и т.д. Файловые вирусы могут проникать и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы проникают в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record). Файлово — загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.
По способу заражения вирусы делятся на резидентные и нерезидентных. Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и проникает в них. Резидентные вирусы находятся в памяти и являются активными вплоть до отключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.
По степени воздействия вирусы можно разделить на следующие виды:
- безопасные, такие, которые не мешают работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках; действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;
- опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;
- очень опасные, действие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.
По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия. Простые вирусы — паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Можно отметить вирусы — репликаторы, называемые червями , которые распространяются по компьютерным сетям, находят адреса сетевых компьютеров и записывают по этим адресам свои копии.
Известны вирусы-невидимки , называемые стелс — вирусами , которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к зараженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Самое трудное, это выявить вирусы-мутанты , содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной цепочки байтов, которые повторяется. Есть и так называемые квазивирусные или «троянские»программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.
2.2. Понятия о видах вирусов
2.2. Понятия о видах вирусов Вирус, как программа, состоит из двух частей: механизма размножения и начинки. Механизм размножения определяет способ, которым копии вируса создаются, распространяются и запускаются.Начинка представляет собой дополнительное поведение вируса
Урок 4.2. Защита от компьютерных вирусов
Урок 4.2. Защита от компьютерных вирусов Что такое компьютерный вирус и как с ним бороться Компьютерный вирус – это специально написанная небольшая программа, которая может присоединять себя к другим файлам (инфицировать их), умеет размножаться и способна нанести
Глава 20 Защита от вирусов
Глава 20 Защита от вирусов • «Антивирус Касперского»• NOD32Врачи говорят: профилактика – лучшее лечение. Слова эти применимы не только к медицине. Несколько десятков лет назад компьютеры также стали заражаться. Компьютерные вирусы создал человек. Зачем? Достоверно это не
Читайте также: