Главная
»
Информационные системы
»
Информационная безопасность и защита информации
»
Основные классификационные признаки компьютерных вирусов.Некоторые компьютерные вирусы. Методы и технологии борьбы скомпьютерными вирусами.
Основные классификационные признаки компьютерных вирусов.Некоторые компьютерные вирусы. Методы и технологии борьбы скомпьютерными вирусами.
Компьютерные вирусы — это небольшие исполняемые или интерпретируемые программы, обладающие свойством распространения и самовоспроизведения (репликации) в КС. Вирусы могут выполнять изменение или уничтожение программного обеспечения или данных, хранящихся в КС. В процессе распространения вирусы могут себя модифицировать.
Все компьютерные вирусы классифицируются:
• по среде обитания;
• способу заражения среды обитания;
• степени опасности деструктивных (вредительских) воздействий;
• алгоритму функционирования.
По среде обитания компьютерные вирусы подразделяются на сетевые, файловые, загрузочные и комбинированные.
Средой обитания сетевых вирусов являются элементы компьютерных сетей. Файловые вирусы размещаются в исполняемых файлах. Загрузочные(бутовые) вирусы находятся в загрузочных секторах (областях) внешних запоминающих устройств (boot-секторах). Комбинированные вирусы размещаются в нескольких средах обитания. Примером таких вирусов служат загрузочно-файловые вирусы.
По способу заражения среды обитания: резидентные и нерезидентные.
Резидентные вирусы после их активизации полностью или частично перемещаются из среды обитания (сети, загрузочного сектора, файла) в оперативную память ЭВМ. Эти вирусы заражают среду обитания и при выполнении определенных условий реализуют деструктивную функцию.
Нерезидентные вирусы попадают в оперативную память ВС только на время их активности, в течение которого выполняют деструктивную функцию и функцию заражения. Затем вирусы полностью покидают оперативную память, оставаясь в среде обитания.
По степени опасности деструктивных (вредных) воздействий для информационных ресурсов пользователя: безвредные, опасные и очень опасные.
Безвредные компьютерные вирусы создаются авторами, которые не ставят перед собой цель нанести какой-либо ущерб ресурсам КС. Такие вирусы расходуют ресурсы КС, снижая эффективность ее функционирования; могут содержать ошибки, вызывающие опасные последствия для информационных ресурсов КС.
К опасным относятся вирусы, которые вызывают существенное снижение эффективности КС, но не приводят к нарушению целостности и конфиденциальности информации, хранящейся в запоминающих устройствах.
Очень опасными следует считать вирусы, вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе и шифрование) информации, а также вирусы, блокирующие доступ к информации, приводящие к отказу аппаратных средств, вызывающие их неисправность и наносящие ущерб здоровью пользователям.
По алгоритму функционирования: вирусы, не изменяющие среду обитания (файлы и секторы) при распространении, и вирусы, изменяющие среду обитания при распространении.
В свою очередь, вирусы, не изменяющие среду обитания, подразделяются на вирусы-«спутники» (companion) и вирусы-«черви» (worm).
Вирусы-«спутники» не изменяют файлы. Механизм их действия состоит в создании копий исполняемых файлов.Вирусы-«черви» попадают в рабочую станцию из сети, вычисляют адреса рассылки вируса по другим абонентам сети и осуществляют передачу вируса. Вирус не изменяет файлов и не записывается в загрузочные секторы дисков. Некоторые из них создают рабочие копии вируса на диске, другие — размещаются только в оперативной памяти ЭВМ.
По сложности, степени совершенства и особенностям маскировки алгоритмов вирусы, изменяющие среду обитания, подразделяются на студенческие, «стелс»-вирусы (вирусы-невидимки) и полиморфные.
Студенческие- являются нерезидентными, часто содержат ошибки, довольно просто обнаруживаются и удаляются.
«Стелс»-резидентные вирусы, маскируют свое присутствие в среде обитания путем перехвата обращений операционной системы к пораженным файлам, секторам и переадресуют ОС к незараженным участкам информации. Маскируются под программы ОС, могут перемещаться в памяти, обладают способностью противодействовать резидентным антивирусным средствам.
Полиморфные вирусы не имеют постоянных опознавательных групп — сигнатур. Для устранения демаскирующих признаков полиморфные вирусы используют шифрование тела вируса и модификацию программы шифрования. За счет такого преобразования полиморфные вирусы не имеют совпадений кодов.
Любой вирус имеет три функциональных модуля: модуль заражения (распространения), модуль маскирования и модуль выполнения вредительских действий.
Некоторые компьютерные вирусы.
Файловые вирусы могут внедряться в файлы следующих типов: командные файлы (ВАТ), загружаемые драйверы (SYS), программы в машинных (двоичных) кодах (ЕХЕ, СОМ), документы Word (DOC) с версии 6.0 и выше, таблицы EXCEL (XLS). Макровирусы могут внедряться и в другие файлы, содержащие макрокоманды.
Обобщенный алгоритм заражения файла может быть представлен в следующем виде.
1. Резидентный вирус проверяет, заражена ли оперативная память, и при необходимости заражает ее. Нерезидентный вирус ищет незараженные файлы и заражает их.
2. Выполняются действия по сохранению работоспособности программы, в файл которой внедряется вирус (восстановление первых байт программы, настройка адресов программ и т.д.).
3. Осуществляется вредительская функция вируса, и управление передается программе, в файле которой находится вирус.
Особое место среди файловых вирусов занимают макровирусы. Они представляют собой вредительские программы, написанные на макроязыках, встроенных в текстовые редакторы, электронные таблицы и др.
Загрузочные вирусы - резидентные. Заражение происходит при загрузке операционной системы с дисков.
Реализация работы вируса осуществляется в следующей последовательности.
1. Считанный из первого сектора диска загрузочный вирус (часть вируса) получает управление, уменьшает объем свободной оперативной памяти и считывает с диска тело вируса.
2. Вирус переписывает сам себя в другую область оперативной памяти
3. Устанавливаются необходимые вектора прерываний, если вирус резидентный, и при выполнении определенных условий производятся вредительские действия.
4. Копируется boot-сектор в оперативной памяти, и ему передается управление.
Методы и технологии борьбы с компьютерными вирусами.
Антивирусные средства применяются для решения следующих задач:
• обнаружение вирусов в КС;
• блокирование работы программ-вирусов;
• устранение последствий воздействия вирусов.
Устранение последствий воздействия вирусов ведется в двух направлениях:
• удаление вирусов;
• восстановление (при необходимости) файлов, областей памяти.
Методы обнаружений вирусов:
Сканирование - осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса - сигнатуры. Для эффективного использования метода необходимо регулярное обновление сведений о новых вирусах.
Обнаружение изменений базируется на использовании программ-ревизоров. Эти программы определяют и запоминают характеристики всех областей на дисках, в которых обычно размещаются вирусы. При периодическом выполнении программ-ревизоров сравниваются хранящиеся характеристики и характеристики, получаемые при контроле областей дисков. По результатам ревизии программа выдаст сведения о предположительном наличии вирусов.
Эвристический анализ позволяет определять неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации в файловой системе. Сущность эвристического анализа заключается в проверке возможных сред обитания вирусов и выявление в них команд, характерных для вирусов.
Использование резидентных сторожей основано на применении программ, которые постоянно находятся в ОП ЭВМ и отслеживают все действия остальных программ. В случае выполнения какой-либо программой подозрительных действий резидентный сторож выдает сообщение пользователю.
Под вакцинацией программ понимается создание специального модуля для контроля ее целостности. В качестве характеристики целостности файла обычно используется контрольная сумма.
Аппаратно-программная защита от вирусов блокирует работу программ-вирусов. При выполнении запретных действий любой программой контроллер выдает соответствующее сообщение пользователю и блокирует работу ПЭВМ.
Методы удаления вирусов используются для удаления вирусов, а также для восстановления файлов и областей памяти, в которых находился вирус.
Друзья! Приглашаем вас к обсуждению. Если у вас есть своё мнение, напишите нам в комментарии.