Основные классификационные признаки компьютерных вирусов.Некоторые компьютерные вирусы. Методы и технологии борьбы скомпьютерными вирусами.

Компьютерные вирусы — это небольшие исполняемые или интерпретируемые программы, обладающие свойством распространения и самовоспроизведения (репликации) в КС. Вирусы могут выполнять изменение или уничтожение программного обеспечения или данных, хранящихся в КС. В процессе распространения вирусы могут себя модифицировать.

Все компьютерные вирусы классифицируются:

• по среде обитания;

• способу заражения среды обитания;

•  степени опасности деструктивных (вредительских) воздействий;

• алгоритму функционирования.

По среде обитания компьютерные вирусы подразделяются на сетевые, файловые, загрузочные и комбинированные.

Средой обитания сетевых вирусов являются элементы компьютерных сетей. Файловые вирусы размещаются в исполняемых файлах. Загрузочные(бутовые) вирусы находятся в загрузочных секторах (областях) внешних запоминающих устройств (boot-секторах). Комбинированные вирусы размещаются в нескольких средах обитания. Примером таких вирусов служат загрузочно-файловые вирусы.

По способу заражения среды обитания:  резидентные и нерезидентные.

Резидентные вирусы после их активизации полностью или частично перемещаются из среды обитания (сети, загрузочного сектора, файла) в оперативную память ЭВМ. Эти вирусы заражают среду обитания и при выполнении определенных условий реализуют деструктивную функцию.

Нерезидентные вирусы попадают в оперативную память ВС только на время их активности, в течение которого выполняют деструктивную функцию и функцию заражения. Затем вирусы полностью покидают оперативную память, оставаясь в среде обитания.

По степени опасности деструктивных (вредных) воздействий для информационных ресурсов пользователя:  безвредные, опасные и очень опасные.

Безвредные компьютерные вирусы создаются авторами, которые не ставят перед собой цель нанести какой-либо ущерб ресурсам КС. Такие вирусы расходуют ресурсы КС, снижая эффективность ее функционирования; могут содержать ошибки, вызывающие опасные последствия для информационных ресурсов КС.

К опасным относятся вирусы, которые вызывают существенное снижение эффективности КС, но не приводят к нарушению целостности и конфиденциальности информации, хранящейся в запоминающих устройствах.

Очень опасными следует считать вирусы, вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе и шифрование) информации, а также вирусы, блокирующие доступ к информации, приводящие к отказу аппаратных средств, вызывающие их неисправность и наносящие ущерб здоровью пользователям.

По алгоритму функционирования:  вирусы, не изменяющие среду обитания (файлы и секторы) при распространении, и вирусы, изменяющие среду обитания при распространении.

В свою очередь, вирусы, не изменяющие среду обитания, подразделяются на вирусы-«спутники» (companion) и вирусы-«черви» (worm).

Вирусы-«спутники» не изменяют файлы. Механизм их действия состоит в создании копий исполняемых файлов.Вирусы-«черви» попадают в рабочую станцию из сети, вычисляют адреса рассылки вируса по другим абонентам сети и осуществляют передачу вируса. Вирус не изменяет файлов и не записывается в загрузочные секторы дисков. Некоторые из них создают рабочие копии вируса на диске, другие — размещаются только в оперативной памяти ЭВМ.

По сложности, степени совершенства и особенностям маскировки алгоритмов вирусы, изменяющие среду обитания, подразделяются на студенческие, «стелс»-вирусы (вирусы-невидимки) и полиморфные.

Студенческие- являются нерезидентными, часто содержат ошибки, довольно просто обнаруживаются и удаляются.

«Стелс»-резидентные вирусы, маскируют свое присутствие в среде обитания путем перехвата обращений операционной системы к пораженным файлам, секторам и переадресуют ОС к незараженным участкам информации. Маскируются под программы ОС, могут перемещаться в памяти, обладают способностью противодействовать резидентным антивирусным средствам.

Полиморфные вирусы не имеют постоянных опознавательных групп — сигнатур. Для устранения демаскирующих признаков полиморфные вирусы используют шифрование тела вируса и модификацию программы шифрования. За счет такого преобразования полиморфные вирусы не имеют совпадений кодов.

Любой вирус имеет три функциональных модуля: модуль заражения (распространения), модуль маскирования и модуль выполнения вредительских действий.

Некоторые компьютерные вирусы.

Файловые вирусы могут внедряться в файлы следующих типов: командные файлы (ВАТ), загружаемые драйверы (SYS), программы в машинных (двоичных) кодах (ЕХЕ, СОМ), документы Word (DOC) с версии 6.0 и выше, таблицы EXCEL (XLS). Макровирусы могут внедряться и в другие файлы, содержащие макрокоманды.

Обобщенный алгоритм заражения файла может быть представлен в следующем виде.

1.  Резидентный вирус проверяет, заражена ли оперативная память, и при необходимости заражает ее. Нерезидентный вирус ищет незараженные файлы и заражает их.

2.  Выполняются действия по сохранению работоспособности программы, в файл которой внедряется вирус (восстановление первых байт программы, настройка адресов программ и т.д.).

3.  Осуществляется вредительская функция вируса, и управление передается программе, в файле которой находится вирус.

Особое место среди файловых вирусов занимают макровирусы. Они представляют собой вредительские программы, написанные на макроязыках, встроенных в текстовые редакторы, электронные таблицы и др.

Загрузочные вирусы - резидентные. Заражение происходит при загрузке операционной системы с дисков.

Реализация работы вируса осуществляется в следующей последовательности.

1. Считанный из первого сектора диска загрузочный вирус (часть вируса) получает управление, уменьшает объем свободной оперативной памяти и считывает с диска тело вируса.

2.  Вирус переписывает сам себя в другую область оперативной памяти

3.  Устанавливаются необходимые вектора прерываний, если вирус резидентный, и при выполнении определенных условий производятся вредительские действия.

4.  Копируется boot-сектор в оперативной памяти, и ему передается управление.

Методы и технологии борьбы с компьютерными вирусами.

Антивирусные средства применяются для решения следующих задач:

• обнаружение вирусов в КС;

• блокирование работы программ-вирусов;

• устранение последствий воздействия вирусов.

Устранение последствий воздействия вирусов ведется в двух направлениях:

• удаление вирусов;

•  восстановление (при необходимости) файлов, областей памяти.

Методы обнаружений вирусов:

Сканирование - осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса - сигнатуры. Для эффективного использования метода необходимо регулярное обновление сведений о новых вирусах.

Обнаружение изменений базируется на использовании программ-ревизоров. Эти программы определяют и запоминают характеристики всех областей на дисках, в которых обычно размещаются вирусы. При периодическом выполнении программ-ревизоров сравниваются хранящиеся характеристики и характеристики, получаемые при контроле областей дисков. По результатам ревизии программа выдаст сведения о предположительном наличии вирусов.

Эвристический анализ позволяет определять неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации в файловой системе. Сущность эвристического анализа заключается в проверке возможных сред обитания вирусов и выявление в них команд, характерных для вирусов.

Использование резидентных сторожей основано на применении программ, которые постоянно находятся в ОП ЭВМ и отслеживают все действия остальных программ. В случае выполнения какой-либо программой подозрительных действий резидентный сторож выдает сообщение пользователю.

Под вакцинацией программ понимается создание специального модуля для контроля ее целостности. В качестве характеристики целостности файла обычно используется контрольная сумма.

Аппаратно-программная защита от вирусов блокирует работу программ-вирусов. При выполнении запретных действий любой программой контроллер выдает соответствующее сообщение пользователю и блокирует работу ПЭВМ.

Методы удаления вирусов используются для удаления вирусов, а также для восстановления файлов и областей памяти, в которых находился вирус.

Друзья! Приглашаем вас к обсуждению. Если у вас есть своё мнение, напишите нам в комментарии.