Общие сведения. Вопрос 5 Компьютерные вирусы

Вопрос 5 Компьютерные вирусы

Пользователи ПК наиболее часто сталкиваются с одной из разновидностей компьютерной преступности — компьютерными вирусами. Последние являются особого типа вредоносными про­граммами.

Компьютерным вирусом называется способная к самовоспроизводству и размножению программа, внедряющаяся в другие про­граммы.

Вирусы всегда наносят ущерб — препятствуют нормальной работе ПК, разрушают файловую струк­туру и т.д., поэтому их относят к разряду так называемых вредо­носных программ.

Среди побудительных мотивов, движущих авторами вирусов, можно назвать следующие:

стремление «насолить» кому-либо;

неестественная потребность в совершении преступлений;

желание самоутвердиться, озорство и одновременно недо­понимание всех последствий распространения вируса;

невозможность использовать свои знания в конструктивном русле (это в большей степени экономическая проблема);

уверенность в полной безнаказанности (в ряде стран отсут­ствуют нормы правовой ответственности за создание и распро­странение вирусов).

Основными каналами проникновения вирусов в персональный ком­пьютер являются накопители на сменных носителях информации и средства сетевой коммуникации, в частности сеть Интернет.

Классификация вирусов

Жизненный цикл компьютерных вирусов, как правило, вклю­чает следующие фазы:

латентный период, в течение которого вирусом никаких дей­ствий не предпринимается;

инкубационный период, в пределах которого вирус только размножается;

активный период, в течение которого наряду с размноже­нием выполняются несанкционированные действия, заложенные в алгоритме вируса.

Первые две фазы служат для того, чтобы скрыть источник ви­руса, канал его проникновения и инфицировать как можно боль­ше файлов до выявления вируса. Длительность этих фаз может оп­ределяться предусмотренным в алгоритме временным интервалом, наступлением какого-либо события в системе, наличием опреде­ленной конфигурации аппаратных средств ПК (в частности, на­личием НЖМД) и т.д.

Компьютерные вирусы классифицируются в соответствии со следующими признаками:

среда обитания;

способ заражения среды обитания;

способ проявления (деструктивные действия или вызываемые эффекты);

способ маскировки.

Вирусы могут внедряться только в программы, которые, в свою очередь, могут содержаться или в файлах, или в некоторых ком­понентах системной области диска, участвующих в процессе за­грузки операционной системы. В соответствии со средой оби­тания различают:

файловые вирусы, инфицирующие исполняемые файлы;

загрузочные вирусы, заражающие компоненты системной облас­ти, используемые при загрузке ОС;

файлово-загрузочные вирусы, интегрирующие черты первых двух групп.

Файловые вирусы могут инфицировать:

позиционно независимые перемещаемые машинные програм­мы, находящиеся в СОМ-файлах;

позиционно зависимые перемещаемые машинные програм­мы, размещаемые в ЕХЕ-файлах;

драйверы устройств (SYS- и BIN-файлы);

файлы с компонентами DOS;

объектные модули (OBJ-файлы);

файлы с программами на языках программирования (в расче­те на компиляцию этих программ);

командные файлы (ВАТ-файлы);

объектные и символические библиотеки (LIB- и др. файлы);

оверлейные файлы (OVL-, PIF- и другие файлы).

Наиболее часто файловые вирусы способны внедряться в СОМ и/или ЕХЕ-файлы.

Загрузочные вирусы могут заражать:

загрузочный сектор на дискетах;

загрузочный сектор системного логического диска, созданно­го на винчестере;

внесистемный загрузчик на жестком диске.

Загрузочные вирусы распространяются на дискетах в расчете на то, что с них будет осуществлена попытка загрузиться, что проис­ходит не так часто. У файловых вирусов инфицирующая способ­ность выше.

Файлово-загрузочные вирусы обладают еще большей инфициру­ющей способностью, так как могут распространяться как в про­граммных файлах, так и на дискетах с данными.

Способы заражения среды обитания зависят от типа последней. Зараженная вирусом среда называется вирусоносителем. При имплантации тело файлового вируса может разме­щаться:

в конце файла;

в начале файла;

в середине файла;

в хвостовой (свободной) части последнего кластера, занима­емого файлом.

Наиболее легко реализуется внедрение вируса в конец СОМ-файла. При получении управления вирус выбирает файл-жертву и мо­дифицирует его следующим образом:

дописывает к файлу собственную копию (тело вируса);

сохраняет в этой копии оригинальное начало файла;

заменяет оригинальное начало файла на команду передачи управления на тело вируса.

При запуске инфицированной описанным способом програм­мы первоначально инициируется выполнение тела вируса, в ре­зультате чего:

восстанавливается оригинальное начало программы (но не в файле, а в памяти);

возможно отыскивается и заражается очередная жертва;

возможно осуществляются не санкционированные пользо­вателем действия;

производится передача управления на начало программы- вирусоносителя, в результате чего она выполняется обычным об­разом.

Имплантация вируса в начало СОМ-файла производится иначе: создается новый файл, являющийся объединением тела вируса и содержимого оригинального файла. Оба описанных способа вне­дрения вируса ведут к увеличению длины оригиналь­ного файла.

Имплантация вируса в середину файла наиболее сложна и специ­ализирована. Сложность состоит в том, что в этом случае вирус должен «знать» структуру файла-жертвы (например, COMMAND.COM), чтобы можно было внедриться, в частности, в область стека. Данный способ имплантации не ведет к уве­личению длины файла.

Способами проявления (деструктивными действиями) вирусов могут быть:

влияние на работу ПК;

искажение программных файлов;

искажение файлов с данными;

форматирование диска или его части;

замена информации на диске или его части;

искажения системного или несистемного загрузчика диска;

разрушение связности файлов путем искажения таблицы FAT;

искажение данных в CMOS-памяти.

Большую часть вирусов первой группы, вызывающих визуаль­ные или звуковые эффекты, иногда называют «иллюзионистами». Другие вирусы этой же группы могут замедлять работу ПК или препятствовать нормальной работе пользователя, модифицируя и блокируя функции выполняемых программ, а также операционной системы. Вирусы всех остальных групп часто называют «вандалами» из-за наносимого ими, как правило, непоправимого ущерба.

В соответствии со способами маскировки различают:

немаскирующиеся вирусы,

самошифрующиеся вирусы,

стелс-вирусы.

Авторы первых вирусов уделяли особое внимание механизмам размножения (репликации) с внедрением тел в другие програм­мы. Маскировка же от антивирусных средств не осуществлялась. Такие вирусы называются немаскирующимися.

В связи с появлением антивирусных средств разработчики ви­русов сосредоточили усилия на обеспечении маскировки своих изделий. Сначала была реализована идея самошифрования вируса. При этом лишь небольшая его часть является доступной для ос­мысленного чтения, а остальная расшифровывается непосредствен­но перед началом работы вируса. Такой подход затрудняет как об­наружение вируса, так и анализ его тела специалистами.

Появились также стелс-вирусы, названные по аналогии с ши­рокомасштабным проектом по созданию самолетов-невидимок.

Методы маскировки, используемые стелс-вирусами, носят комп­лексный характер и могут быть условно разделены на две ка­тегории:

маскировка наличия вируса в программе-вирусоносителе;

маскировка присутствия резидентного вируса в ОЗУ.

К первой категории методов маскировки относятся:

автомодификация тела вируса;

реализация эффекта удаления тела вируса из вирусоносителя при чтении последнего с диска, в частности, отладчиком (это осуществляется путем перехвата прерывания, конечно, в случае наличия резидентного вируса в ОЗУ);

имплантация тела вируса в файл без увеличения его размера;

эффект неизменности длины инфицированного файла;

сохранение неизменным оригинального начала программных файлов.

Ко второй категории методов маскировки относятся:

занесение тела вируса в специальную зону резидентных мо­дулей DOS, в хвостовые части кластеров, в CMOS-память, видео­память и т.п.;

модификация списка несистемного загрузчика (о чем уже говорилось);

манипулирование обработчиками прерываний, в частности специальные методы их подмены, с целью обойти резидентные антивирусные средства;

корректировка общего объема ОЗУ.

При повседневной работе пользователь в состоянии обнаружить вирус по его симптомам. Естественно, что симптомы вируса не­посредственно определяются реализованными в нем способами про­явления, а также другими характеристиками вируса. В качестве симптомов вирусов выделяют следующие:

увеличение числа файлов на диске;

уменьшение объема свободной оперативной памяти;

изменения времени и даты создания файла;

увеличение размера программного файла;

появление на диске зарегистрированных дефектных кластеров;

ненормальная работа программы;

замедление работы программы;

загорание лампочки дисковода в то время, когда к диску не должны происходить обращения;

заметное возрастание времени доступа к жесткому диску;

сбои в работе операционной системы, в частности ее зави­сание;

невозможность загрузки операционной системы;

разрушение файловой структуры (исчезновение файлов, ис­кажение каталогов).

Наряду с компьютерными вирусами существуют и другие опас­ные программы, например так называемые «черви», формально именуемые «репликаторами». Их основная особенность состоит в способности к размножению без внедрения в другие программы.

Репликаторы создаются с целью распространения по узлам вы­числительной сети и могут иметь начинку, состоящую, в частно­сти, из вирусов. В этом отношении можно провести аналогию меж­ду «червем» и шариковой бомбой.

Классификация антивирусных средств

В настоящие время имеется большое количество антивирусных средств. Однако все они не обладают свойствами универсальности: каждое рассчитано на конкретные вирусы либо перекрывает неко­торые каналы заражения ПК или распространения вирусов. В связи с этим перспективной областью исследований можно считать при­менение методов искусственного интеллекта к проблеме создания антивирусных средств.

Антивирусным средством называют программный продукт, вы­полняющий одну или несколько из следующих функций:

защиту файловой структуры от разрушения;

обнаружение вирусов;

нейтрализацию вирусов.

Вирус-фильтром (сторожем) называется резидентная програм­ма, обеспечивающая контроль выполнения характерных для вирусов действий и требующая от пользователя подтверждения на произ­водство действий. Контроль осуществляется путем подмены обра­ботчиков соответствующих прерываний.

В качестве контролируемых действий могут выступать:

обновление программных файлов;

прямая запись на диск (по физическому адресу);

форматирование диска;

резидентное размещение программы в ОЗУ.

Детектором называется программа, осуществляющая поиск вирусов как на внешних носителях информации, так и в ОЗУ. Результатом работы детектора является список инфицированных файлов и/или областей, возможно, с указанием конкретных вирусов, их зара­зивших.

Детекторы делятся на универсальные (ревизоры) и специали­зированные.

Универсальные детекторы проверяют целостность файлов путем подсчета контрольной суммы и ее сравнения с эталоном. Эталон либо указывается в документации на программный продукт, либо может быть определен в самом начале его эксплуатации.

Специализированные детекторы настроены на конкретные ви­русы, один или несколько. Если детектор способен обнаруживать несколько различных вирусов, то его называют полидетектором. Работа специализированного детектора основывается на поиске строки кода, принадлежащей тому или иному вирусу, возможно, заданной регулярным выражением. Такой детектор не способен обнаружить все возможные вирусы.

Дезинфектором (доктором, фагом) называется программа, осу­ществляющая удаление вируса, как с восстановлением, так и без восста­новления среды обитания. Ряд вирусов искажает среду обитания та­ким образом, что ее исходное состояние не может быть восстанов­лено.

Наиболее известными полидетекторами-фагами являются про­граммные пакеты Antiviral Toolkit Pro Евгения Касперского и DrWeb фирмы «Диалог».

Иммунизатором (вакциной) называют программу, предотвраща­ющую заражение среды обитания или памяти конкретными вируса­ми. Иммунизаторы решают проблему нейтрализации вируса не посредством его уничтожения, а путем блокирования его способ­ности к размножению. Такие программы в настоящее время прак­тически не используются.

Дата добавления: 2014-01-04; Просмотров: 635; Нарушение авторских прав?; Мы поможем в написании вашей работы!