Защита информации от вирусов

Компьютерные вирусы, их классификация

Сейчас применяются персональные компьютеры, в которых пользователь имеет свободный доступ ко всем ресурсам машины. Именно это открыло возможность для опасности, которая получила название компьютерного вируса.

Вирус - программа, обладающая способностью к самовоспроиз-ведению. Такая способность является единственным средством,присущим всем типам вирусов. Но не только вирусы способны к самовоспроизведению. Любая операционная система и еще множе-ство программ способны создавать собственные копии. Копии же вируса не только не обязаны полностью совпадать с оригиналом, но, и могут вообще с ним не совпадать!

Вирус не может существовать в «полной изоляции»: сегодня нельзя представить себе вирус, который не использует код других программ, информацию о файловой структуре или даже просто имена других программ. Причина понятна: вирус должен каким-нибудь способом обеспечить передачу себе управления.

В настоящее время известно более 5000 программных вирусов, их можно классифицировать по следующим признакам: среде обитания способу заражения среды обитания воздействию особенностям алгоритма

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые мо-дули. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не полу-чают управление и, следовательно, теряют способность к размно-жению. Загрузочные вирусы внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска. Файлово-загрузочные вирусы заражают как файлы, так и загрузоч-ные сектора дисков.

По способу заражения вирусы делятся на резидентные и нерези-дентные. Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая потом пе-рехватывает обращение операционной системы к объектам зараже-ния и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки ком-пьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия вирусы можно разделить на следующие виды: неопасные, не мешающие работе компьютера, но уменьшаю-щие объем свободной оперативной памяти и памяти на дисках, дей-ствия таких вирусов проявляются в каких-либо графических или звуковых эффектах; опасные вирусы, которые могут привести к различным нарушениям в работе компьютера; очень опасные, воз-действие которых может привести к потере программ, уничтоже-нию данных, стиранию информации в системных областях диска.

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия. Простейшие вирусы - паразитиче-ские, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Можно отме-тить вирусы-репликаторы, называемые червями, которые распро-страняются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии. Известны вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают об-ращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии од-ного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Имеются и так называемые квазивирусные или «троянские» программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

Большинство вопросов связано с термином «полиморфный ви-рус». Этот вид компьютерных вирусов представляется на сего-дняшний день наиболее опасным. Объясним же, что это такое. Полиморфные вирусы - вирусы, модифицирующие свой код в зара-женных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите. Такие вирусы не только шифруют свой код, используя различные пути шифрова-ния, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика. Полиморфные вирусы - это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы вы все равно не сможете проанализировать его код с помощью обыч-ного дизассемблирования. Этот код зашифрован и представляет со-бой бессмысленный набор команд. Расшифровка производится са-мим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Все это делается ради за-труднения анализа кода вируса.

Признаки появления вирусов

При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов: прекращение работы или неправильная работа ранее успешно функционировавших программ медленная работа компьютера невозможность загрузки операционной системы исчезновение файлов и каталогов или искажение их содер-жимого изменение даты и времени модификации файлов изменение размеров файлов неожиданное значительное увеличение количества файлов на диске существенное уменьшение размера свободной оперативной памяти вывод на экран непредусмотренных сообщений или изображений подача непредусмотренных звуковых сигналов частые зависания и сбои в работе компьютера

Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.

Обнаружение вирусов, меры по защите и профилактике

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые по-зволяют обнаруживать и уничтожать вирусы. Такие программы на-зываются антивирусными. Различают следующие виды антивирус-ных программ: программы-детекторы программы-доктора или фаги программы-ревизоры программы-фильтры программы-вакцины или иммунизаторы

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостат-ком таких антивирусных программ является то, что они могут нахо-дить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в ис-ходное состояние. В начале своей работы фаги ищут вирусы в опе-ративной памяти, уничтожая их, и только затем переходят к «лече-нию» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого ко-личества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web. Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние про-грамм, каталогов и системных областей диска тогда, когда компью-тер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код цикли-ческого контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют доста-точно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.

Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться: попытки коррекции файлов с расширениями COM, EXE изменение атрибутов файла прямая запись на диск по абсолютному адресу запись в загрузочные сектора диска загрузка резидентной программы

При попытке какой-либо программы произвести указанные дей-ствия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы. К недостаткам программ-сторожей можно отнести их «назойливость», а также возможные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe, входящая в состав пакета ути-лит MS DOS.

Вакцины или иммунизаторы - это резидентные программы, пре-дотвращающие заражение файлов. Вакцины применяют, если от-сутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограни-ченное применение. Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных виру-сов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

Для того чтобы не подвергнуть компьютер заражению вирусами и обеспечить надежное хранение информации на дисках, необходи-мо соблюдать следующие правила: оснастите свой компьютер современными антивирусными программами, например Aidstest, Doctor Web, и постоянно возобновляйте их версии перед считыванием с дискет информации, записанной на других компьютерах, всегда проверяйте эти дискеты на наличие вирусов, запуская антивирусные программы своего компьютера при переносе на свой компьютер файлов в архивированном виде проверяйте их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами периодически проверяйте на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищенной от записи дискеты, предварительно загрузив операционную систему с защищенной от записи системной дискеты всегда защищайте свои дискеты от записи при работе на других компьютерах, если на них не будет производиться запись информации обязательно делайте архивные копии на дискетах ценной для вас информации не оставляйте в кармане дисковода А дискеты при включении или перезагрузке операционной системы, чтобы ис-ключить заражение компьютера загрузочными вирусами используйте антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей для обеспечения большей безопасности применения Aidstest и Doctor Web необходимо сочетать с повседневным использованием ревизора диска Adinf

Программные меры: архивирование: копирование таблицы FAT, ежедневное веде-ние архивов измененных файлов. Это самый важный, основ-ной метод защиты от вирусов. входной контроль: проверка поступающих программ детекто-рами, обновление первых трех байтов сектора начальной за-грузки на не загружаемых дискетах (для уничтожения boot-вирусов). профилактика: работа с дискетами, защищенными от записи, минимизация периодов доступности дискетки для записи, раздельное хранение вновь полученных и эксплуатировав-шихся ранее программ, хранение программ на "винчестере" в архивированном виде. ревизия: анализ вновь полученных программ специальными средствами, контроль целостности с помощью регулярного подсчета контрольных сумм и проверки сектора начальной загрузки перед считыванием информации или загрузкой с дискеты, контроль содержимого системных файлов (прежде всего COMMAND.COM) и др. Имеется целый ряд программ-ревизоров, обеспечивающих подсчет контрольных сумм. карантин: каждая новая программа, полученная без кон-трольных сумм, должна проходить карантин, т.е. тщательно проверяться и прогоняться компетентными специалистами, по меньшей мере, на известные виды компьютерных вирусов, и в течение определенного времени за ней должно быть орга-низованно наблюдение на отдельной ПЭВМ; присвоение спе-циального имени пользователю при работе со вновь поступившими программами, причем для этого пользователя все остальные разделы должны быть либо невидимы, либо иметь статус READ_ONLY. сегментация: использование программы Advanced Disk Manager для разбиения диска на зоны с установленным атри-бутом READ_ONLY. фильтрация: применение специальных программ для обнаружения попыток выполнить несанкционированные действия.

вакцинирование: специальная обработка файлов, дисков, ка-талогов, запуск резидентных программ-вакцин, имитирую-щих сочетание условий, которые используются данным ти-пом вируса для определения (выявления) заражения, т.е. об-манывающих вирус. автоконтроль целостности: использование в программе спе-циальных алгоритмов, позволяющих после запуска програм-мы определить, были ли внесены изменения в файл из кото-рого загружена программа или нет. терапия: дезактивация конкретного вируса в зараженных программах специальной программой фагом или восстановление первоначального состояния программ путем "выкусы-вания" всех экземпляров вируса из каждого зараженного фай-ла или диска с помощью этой программы.

В процессе работы программы-фаги "выкусывают" тело вируса и восстанавливают измененную вирусом последовательность команд.

Дата добавления: 2014-01-06; Просмотров: 553; Нарушение авторских прав?; Мы поможем в написании вашей работы!