Transcript Компьютерные вирусы: классификация, характеристики, способы защиты К учебной программе «Повышение квалификации руководящих работников, специалистов и преподавателей ВУЗа в области ИКТ» Прохорова Н.Г. ЮГИНФО ЮФУ.

Компьютерные вирусы:
классификация, характеристики, способы защиты
К учебной программе «Повышение
квалификации руководящих работников,
специалистов и преподавателей ВУЗа в
области ИКТ»
Прохорова Н.Г.
ЮГИНФО ЮФУ
Вирусы
Компьютерные вирусы – программы, которые способны
создавать свои копии
(не всегда совпадающие с оригиналом)
и внедрять их а различные объекты
компьютерных систем без ведома пользователя.
При этом копии сохраняют способность
дальнейшего распространения.
(От лат.Virus - яд ) называется
неклеточная форма жизни,
представляющая собой крайне упрощенную
паразитическую структуру,
способную проникать в живую клетку
и размножаться внутри нее.
Вирусы состоят из нуклеиновой кислоты (ДНК и РНК)
и белковой оболочки.
задачи компьютерных вирусов
задачи биологических вирусов
заразить
выполнить
размножиться
свойства компьютерных вирусов
состоят из отдельных блоков,
объединённых в последовательности
распространению способствует
широкое передвижение носителей
могут изменяться (мутировать)
распространяются
с востока на запад
наносят огромный
экономический ущерб
свойства биологических вирусов
Таким образом, мы видим, что
компьютерные вирусы и вирусы
биологические имеют очень много
общего. Можно задать себе такой
вопрос:
а
не
являются
ли
компьютерные
вирусы
искусственной формой жизни и не
разовьются ли они со временем во
что-то
несравненно
более
сложное?
Основные признаки появления в
системе вируса:





замедление работы некоторых
программ;
увеличение размеров файлов
(особенно выполняемых), хотя
это достаточно сложно
заметить (попробуйте Adinf);
появление не существовавших
ранее «странных» файлов,
особенно в каталоге Windows
или корневом;
уменьшение объёма доступной
оперативной памяти;
внезапно возникающие
разнообразные видео и
звуковые эффекты;
Основные признаки появления в
системе вируса:


заметное снижение скорости работы в Интернете
(вирус или троянец могут передавать информацию по
сети);
жалобы от друзей (или
провайдера) о том, что к
ним приходят всякие
непонятные письма –
вирусы любят рассылать
себя по почте.
Классификация вирусов
Компьютерные вирусы
подразделяются по
следующим признакам:
Среде обитания
Способу заражения
среды обитания
Воздействию
Особенностям алгоритма
По среде обитания вирусы
делятся:
Файловые,
внедряющиеся в исполнительные
модули
Загрузочные,
внедряющиеся в загрузочные
сектор диска
Сетевые – распространяющиеся
по различным
компьютерным сетям
По способу заражения
резидентные - при заражении компьютера
оставляют в оперативной памяти свою резидентную часть,
которая потом перехватывает обращение
операционной системы к объектам заражения
Нерезидентные - не заражают память компьютера
и являются активными ограниченное время.
По степени воздействия
неопасные, не мешающие работе компьютера, но
уменьшающие объем свободной оперативной памяти и памяти
на дисках, действия таких вирусов проявляются в каких-либо
графических или звуковых эффектах
опасные, которые могут привести
к различным нарушениям в работе компьютера
очень опасные, воздействие которых может
привести к потере программ,
уничтожению данных, стиранию информации
в системных областях диска.
Вложенные файлы
ЩЕЛЧОК ПО ИМЕНИ ФАЙЛА - ЭТО ОШИБКА!
Если в файле содержится макрокомандный вирус
он немедленно заразит вашу систему.
HTML-вирусы



На самом языке HTML, который используется для разметки
гипертекстовых документов, никакие вирусы, конечно,
написать нельзя.
Известные HTML-вирусы используют скрипты, написанные
на языке Visual Basic. С их помощью они находят НТМ- и
HTML-файлы на локальной машине и записываются в них.
Иногда такие вирусы как-нибудь проявляют себя
(например, выводят MessageBox).
Некоторые вирусы дописывают к HTML-файлам код,
инициирующий загрузку файла с удаленного компьютера.
Этот файл обычно выдается за какое-нибудь полезное,
иногда достаточно известное, программное обеспечение.
По особенностям алгоритма
простейшие - паразитические,
они изменяют содержимое файлов и секторов диска
и могут быть достаточно легко обнаружены и уничтожены
вирусы-репликаторы - называемые червями, которые
распространяются по компьютерным сетям, вычисляют
адреса сетевых компьютеров и записывают
по этим адресам свои копии
вирусы-невидимки или стелс-вирусы перехватывают
обращения операционной системы к пораженным файлам и
секторам дисков и подставляют вместо своего тела
незараженные участки диска
вирусы-мутанты содержащие алгоритмы
шифровки-расшифровки,
благодаря которым копии одного и того же вируса
не имеют ни одной повторяющейся цепочки байтов;
троянские программы, маскируются под полезную программу,
разрушают загрузочный сектор и файловую систему дисков

Сейчас широкое
распространение
получили шпионские и
рекламные модули.
Да, среди них есть и
безвредные, которые
являются своеобразной
платой за бесплатные
программные продукты,
но в своём большинстве
это, своего рода,
вирусы, которые живут
в системе, откручивают
рекламу и не всегда
дружат с Windows,
порой выводя "синий
экран смерти".
«Основная питательная среда для массового
распространения вируса в ЭВМ, на мой
взгляд, состоит из следующих необходимых
компонентов:



незащищенность операционной
системы (ОС);
наличие разнообразной и
довольно полной документации
по операционной системе и
"железу";
широкое распространение этой
ОС и этого "железа". «»
Евгений Касперский
Методы борьбы с вирусами
оснащение компьютера антивирусными программами, например, Aidstest, Doctor Web,
и постоянное возобновление их версий
перед считыванием с дискет информации, записанной на
других компьютерах, всегда проверять эти дискеты на наличие вирусов,
запуская антивирусные программы своего компьютера
при переносе на свой компьютер файлов в архивированном виде
 проверять их сразу же после разархивации на жестком диске,
ограничивая область проверки только вновь записанными файлами
периодически проверяйте на наличие вирусов жесткие диски компьютера,
запуская антивирусные программы для тестирования файлов, памяти и
системных областей дисков с защищенной от записи дискеты, предварительно
загрузив операционную систему с защищенной от записи системной дискеты
всегда защищайте свои дискеты от записи при работе на других
компьютерах, если на них не будет производится запись информации
обязательно делайте архивные копии на дискетах ценной для вас информации
не оставлять в кармане дисковода А дискеты при выключении или перезагрузке компьютера, чтобы исключить заражение компьютера загрузочными вирусами
используйте антивирусные программы для входного контроля всех исполняемых
Файлов, получаемых из компьютерных сетей
для обеспечения большей безопасности применения Aidstest и Doctor Web
необходимо сочетать с повседневным использованием ревизора диска Adinf
Вложенные файлы
Так что же делать с вложенным документом?
Потратить несколько лишних секунд:

сохранить его на диске,

проверить антивирусной программой последней версии

и только потом, если вирусов в файле не обнаружено,
открывать.
Есть и еще более простое решение

- использовать антивирусную программу,
осуществляющую автоматическую проверку
приходящей электронной почты.
Антивирусы
Антивирусных средств довольно много. В каждом конкретном случае надо
выбирать
антивирусный
комплект,
исходя
из
общей
концепции
информационной
безопасности
организации
и
нужд
конкретного
пользователя. Ниже кратко описаны основные типы антивирусных средств,
таких как: детекторы, фаги, ревизоры, сторожа, вакцины, а так же кратко
рассмотрены аппаратные средства защиты.
Основные типы антивирусных
средств
•
•
•
•
•
детекторы,
фаги,
ревизоры,
сторожа,
вакцины,
• аппаратные средства защиты.
Детекторы (scanner).
Назначение детектора — обнаружить вирус. Бороться с ним предстоит либо
другой антивирусной программе, либо системному программисту. Несколько
лет назад детекторы практически уступили позиции полифагам, но
любопытно, что они вновь возвращаются на компьютерный рынок по мере его
развития. Если вы используете лицензионное программное обеспечение, то
для вас может быть даже проще восстановить зараженную программу с
дистрибутива (вот он, на полке, руку протянул и все), чем тратить время на
лечение файлов. У нас другие традиции, и чистые детекторы (сканеры) еще
не скоро будут в состоянии конкурировать с фагами.
Фаги (полифаги) (scanner/cleaner, scaner/remover).
Фаг — программа, способная уничтожить вирус (полифаг способен
уничтожить много вирусов). Aidstest, к примеру, сегодня обнаруживает и
обезвреживает около 2000 вирусов. Для каждого вируса путем анализа его
кода, способов заражения файлов и т.д. выделяется некоторая характерная
только для него последовательность байт. Эта последовательность называется
сигнатурой данного вируса. Поиск вирусов в простейшем случае сводится к
поиску их сигнатур. Современные фаги используют другие методы поиска
вирусов.
После обнаружения вируса в теле программы (или загрузочного сектора,
который тоже, впрочем, содержит программу начальной загрузки) фаг
обезвреживает его. Для этого разработчики антивирусных средств тщательно
изучают работу каждого конкретного вируса: что он портит, как он портит, где
он прячет то, что испортит (если прячет, конечно). В большинстве случаев фаг
способен благополучно удалить вирус и восстановить работоспособность
испорченных программ. Но необходимо хорошо понимать, что это возможно
далеко не всегда (о причинах еще будет сказано ниже).
Ревизоры.
Вирусы не всесильны. Изобретательность авторов этой мерзости ограничена
некоторыми рамками того, что в принципе возможно. Рамки возможного
известны, и если взять под контроль все мыслимые направления вирусной
атаки на ваш компьютер, то вы будете практически в полной безопасности.
Имеются программы, в функции которых входит контроль возможных путей
распространения инфекции. Из программ-ревизоров, которые можно
приобрести в России, следует обратить внимание на уже упомянутую выше
программу ADinf.
Сторожа.
Сторож — небольшая резидентная программа, постоянно находящаяся в
памяти компьютера и контролирующая операции, которые она считает
подозрительными. В качестве примера сторожа можно привести VSAFE,
входивший в поставку некоторых версий MS-DOS. На наш взгляд, для обычного
пользователя программные сторожа довольно бесполезны. Одни и те же
операции выполняют и вирусы, и обычные программы. Невозможно даже
выделить класс исключительно "вирусных" операций. Вследствие этого сторож
либо вынужден ничего не контролировать и пассивно наблюдать за
происходящим, либо "звенеть" при каждой подозрительной операции. При этом
он так вам надоест, что вы просто отключите его, чтобы не мешал работать.
Если уж использовать сторож, то на самом минимальном уровне контроля
(например, отслеживая изменение загрузочных секторов). Кстати, такие
сторожевые функции имеют некоторые современные BIOS, хотя и с этим все не
так просто. Эта функция BIOS может конфликтовать с некоторыми
операционными системами, а в некоторых случаях может вообще не работать.
Вакцины
Используются для обработки файлов и загрузочных секторов.
Вакцины бывают пассивными (пример такой вакцины описан ниже) и
активными.
Активная вакцина, "заражая" файл, подобно вирусу, предохраняет его от
любого изменения и в ряде случаев способна не только обнаружить сам факт
заражения, но и вылечить файл.
Пассивные вакцины использовались (теперь это уже большая редкость) для
предотвращения заражения файлов некоторыми вирусами, использующими
простые признаки их зараженности — "странные" время или дата создания,
определенные символьные строки и пр. В настоящее время вакцинирование
широко не применяется. Бездумное вакцинирование всего и вся способно
вызвать целые эпидемии несуществующих вирусных болезней.
Аппаратные средства защиты.
Имеются специальные дополнительные устройства, обеспечивающие
достаточно надежную (в некотором смысле — абсолютную) защиту. В отличие
от всех рассмотренных выше антивирусных средств, Sheriff способен
предотвратить нападение вируса. К сожалению, известны случаи, когда
пользователи, установившие на компьютере плату Sheriff, были настолько
уверены в своей полной неуязвимости, что совершенно теряли всякую
осторожность. Так, они не обращали внимания на области жесткого диска, не
защищенные Sheriff (а такие области есть практически всегда — если вы
защитите винчестер целиком, то как вы будете работать?). Необходимо
помнить, что антивирусные средства должны применяться комплексно и только
такая комплексная защита с использованием надежного ревизора (ADinf),
фагов Doctor Web и Aidstest, а при необходимости и платы Sheriff способна
обеспечить максимальную безопасность.

Итак, даже минимум внимания к
современным антивирусным
средствам обеспечит вам вполне
достаточный уровень
безопасности!