Питання заняття. 3.1. Актуалізація опорних знань і мотивація навчальної діяльності (питання)

5. Видача завдання для самостійної роботи студентів

Викладач: Богомазова О.В.

1. Поняття комп'ютерного вірусу

Термін «комп'ютерний вірус» уперше був використаний в 1984 р. на 7-й конференції по безпеці інформації, що проходила в США. З тих пор пройшло чимало часу, але, всупереч очікуванням, проблема вірусів не тільки не втратила своєї актуальності, але й залучає до себе усе більше пильна увага фахівців і користувачів. Кілька років назад, коли комп'ютерні віруси ще не відрізнялися особливою розмаїтістю й поширювалися, в основному, через заражені дискети, захистити комп'ютер від вірусів не становило особливих проблем. Для цього було досить установити антивірусну програму й уважно перевіряти, кожну дискету, що вставляється в комп'ютер.

Однак у міру розвитку комп'ютерних технологій можливості поширення вірусів значно розширилися. Тепер небезпека може виходити від спільно використовуваних документів, що містять макроси, повідомлень електронної пошти й іншої інформації, одержуваної через Internet.

Комп'ютерний вірус — це невелика програма, що володіє здатністю саморозмноження (тобто додавання своєї точної або трохи видозміненої копії до інших програм, документам, системній області диска, завантажувальному сектору або оперативній пам'яті), а також виконуюча без ведена користувача різні дії, звичайно небажані. При цьому копії зберігають здатність подальшого поширення.

На сьогоднішній день у світі відомо більше 40 000 вірусів. Однак реальну погрозу представляють лише близько 500 з них, які вільно поширюються між комп'ютерами й, з подачі авторів журналу «Мир ПК», називаються «дикими». Інші віруси існують лише в замкнутих просторах лабораторій, що розробляють антивірусні програми, і, відповідно до тієї ж термінології, називаються «лабораторними». Виконувані ними дії й ступінь складності варіюються в дуже широких межах: від найпростіших, що не заподіюють відчутної шкоди, до складних привіконних Stealth-Вірусів, розмір коду яких іноді перевищує десятки кілобайт.

Хоча вірусні атаки трапляються не дуже часто, загальне число вірусів занадто велико, а збиток від «хуліганських» дій вірусу в системі може виявитися значним. Існують віруси, які можуть привести до втрати програм, знищити дані, стерти необхідну для роботи комп'ютера інформацію, записану в системних областях пам'яті, привести до серйозних збоїв у роботі комп'ютера. У результаті цих дій можна назавжди втратити дані, необхідні для роботи, і понести істотний моральний і матеріальний збиток. «Епідемія» комп'ютерного вірусу у фірмі може повністю дестабілізувати її роботу. При атом може відбутися збій у роботі як окремих комп'ютерів, так і комп'ютерної мережі в цілому, що спричинить втрату інформації, необхідної для нормальної роботи, і втрату часу, що буде витрачено на відновлення даних і приведення комп'ютерів і мережі в робочий стан.

Класифікація комп'ютерних вірусів

Строгої класифікації комп'ютерних вірусів не існує, оскільки щодня з'являються нові, усе більше витончені «мутанти», що не завжди попадають в одну з існуючих категорій або стосовні відразу до декількох категорій. Проте, віруси можна класифікувати по наступних ознаках:

• по середовищу перебування;

• по особливостях алгоритму вірусу;

• по деструктивних можливостях.

По середовищу перебування віруси можна розділити на файлові, завантажувальні, файлово-завантажувальні й мережні. Як треба з назви, файлові віруси поширюються через файли. У цей час найпоширеніш саме цей тип вірусів.

• Файлові віруси можна розділити на резидентні і нерезидентні. Нерезидентні віруси заражають комп'ютер при запуску на виконання «інфікованого» файлу із програмою або при відкритті ураженого вірусом документа. Резидентні віруси при запуску зараженої програми лише заносять в оперативну пам'ять свою копію, а потім передають керування програмі-носію. Після цього скільки-небудь, тобто перебуває в ОЗУ, копія вірусу готова заражати інші програми, що запускаються.

Останнім часом надзвичайно широке поширення одержали макровіруси. На відміну від традиційних файлових вірусів вони «живуть» не у виконуваних файлах, а в документах офісних додатків (таких як Microsoft Word і Microsoft Excel) і написані не звичайною мовою програмування, а на убудованій макромові.

«Підхопити» такий макровірус простіше простого: досить, наприклад, відкрити заражений документ Word, і вірус, що перебуває в ньому, перепише себе в головний шаблон NORMAL. DOT. У результаті кожний документ, що відкривається знову, буде інфікований.

• Завантажувальні віруси відрізняються від файлових скільки-небудь тем, що переносяться з одного комп'ютера в іншій через завантажувальний сектор диска й заражають тільки завантажувальні сектори гнучких і жорстких дисків. Зараження комп'ютера цим типом вірусів відбувається тільки при завантаженні із зараженої дискети. Однак дискети заражаються завантажувальним вірусом навіть при спробі читання вмісту дискети на інфікованому комп'ютері. Характерною рисою завантажувальних вірусів є їхні маленькі розміри. У деяких завантажувальних вірусах реалізована так звана Stealth-Технологія, при якій вірус «маскує» своє існування, роблячи себе «невидимим». При спробі перегляду завантажувального сектора на інфікованому комп'ютері такий вірус (наприклад, ANTI-EXE) підставляє замість зараженого оригінальний сектор. При зараженні жорсткого диска тіло вірусу може розташовуватися як у завантажувальному секторі, так і в таблиці розділів (Partition Table). Деякі завантажувальні віруси записують свої тіло у вільні кластери диска, позначаючи їх у таблиці розміщення файлів як «зіпсовані» (Bad cluster).

■ Файлово- Завантажувальні віруси (наприклад, широко відомий вірус ONE HALF) поширюються як через завантажувальні сектори, так і через файли. Як правило, у вірусах цього типу використовуються дуже складні алгоритми, а також Ghost і Stealth-Технології. Не менш небезпечними є поліморфні віруси. Вони не стільки маскують свою присутність, скільки намагаються утруднити виявлення заражених файлів. Це досягається шляхом шифровки тіла вірусу з використанням спеціального складного алгоритму, у результаті роботи якого тіло вірусу практично не містить повторюваних послідовностей байт.

• Мережні віруси, строго говорячи, не можна назвати вірусами, тому що, поширюючись по мережі, вони не заражають виконувані програми. Для позначення коду такого типу часто використовується термін «чирви» (WORM). Поняття «комп'ютерний хробак» стало вживатися після виявлення в деяких комп'ютерних мережах «сторонніх» фрагментів коду, які розмножувалися по всій мережі, іноді навіть переходячи в суміжну мережу. Наносимый ними збиток був ледь відчуємо й полягав у зменшенні пропускної здатності мережі, з роботи деяких і без того перевантажених серверів і т.д. Такі фрагменти коду, які розмножувалися, але не заражали файли, сталі називатися «комп'ютерними хробаками». Необразливі на перший погляд «чирви» іноді завдавали відчутної шкоди комп'ютерним мережам. Для їхньої локалізації й знешкодження іноді навіть доводилося «зупиняти» на якийсь час цілі ділянки мережі, що спричиняло значні збитки. Іноді мережні віруси (такі як Christmas Tree) пишуть мовою керування завданнями. По швидкості поширення такі віруси займають почесне перше місце, тому що за кілька годин можуть заразити більше 10 000 комп'ютерів. Однак у цей час цей вид не настільки розповсюджений, як скільки-небудь і файлові віруси.

Особливе місце серед програм, що виконують небажані дії, займають так звані «троянські коні» або «закладки». Термін «троянська програма» з'явився приблизно в 1985 році, коли Том Нельф приступився до поширення списку програм-вандалів («троянських програм») за назвою «Брудна дюжина». Замасковані, як правило, під комерційні продукти, «троянські програми» при запуску виконують яка-небудь шкідлива дія паралельно з виводом на екран тематичних повідомлень, характерних для звичайної програми. Наприклад, одна з наведених у списку програм псувала FAT, виводячи на екран гарні картинки, інша робила форматування жорсткого диска відразу ж після запуску. Програми-Закладки не мають механізму самовідтворення, їхнє розмноження робить нічого не користувач, що підозрює, копіюючи програму своїм друзям і колегам. Програми такого типу не одержали широкого поширення.

Стандартні антивірусні засоби, як правило, не дозволяють боротися з «закладками», оскільки останні не мають характерні властивості вірусів; для їхнього виявлення й знешкодження існують спеціальні програми.

По особливостях алгоритму можна виділити наступні категорії вірусів.

• Компаньйон-Віруси (companion) — це віруси, що не змінюють файли. Алгоритм роботи цих вірусів полягає в тому, що вони створюють для Ехе-Файлів файли-супутники, що мають те ж саме ім'я, але з расширением.сом, наприклад, для файлу XCOPY.EXE створюється файл XCOPV.COM. Вірус записується в Сом-Файл і ніяк не змінює Ехе-Файл. При запуску такого файлу DOS першим виявить і виконає Сом-Файл, т.е. вірус, що потім запустить і Ехе-Файл.

• Віруси-Хробаки (worm) — віруси, які поширюються в комп'ютерній мережі й, так само як і компаньйон - віруси, не змінюють файли або сектори па дисках. Вони проникають на згадку комп'ютера з комп'ютерної мережі, обчислюють мережні адреси інших комп'ютерів і розсилають по цих адресах свої копії. Такі віруси іноді створюють робочі файли на дисках системи, але можуть взагалі не звертатися до ресурсів комп'ютера (за винятком оперативної пам'яті). На щастя, в обчислювальних мережах IBM-Комп'ютерів такі віруси поки не завелися.

• «Паразитичні» — всі віруси, які при поширенні своїх копій обов'язково змінюють уміст дискових секторів або файлів. До цієї групи ставляться всі віруси, які не є «хробаками» або «компаньйон - вірусами».

• «Студентські» — украй примітивні віруси, часто нескільки-небудь і утримуючу велику кількість помилок.

• Стелс-Віруси (віруси-невидимки, Stealth) — одні із самих складних. У них використовується ряд засобів для маскування. Являють собою досить зроблені програми, які перехоплюють обігу DOS до уражених файлів або секторів дисків і «підставляють» замість себе незаражені ділянки інформації. Крім цього, такі віруси при звертанні до файлів використовують досить оригінальні алгоритми, що дозволяють «обманювати» скільки-небудь антивірусні монітори. Визначити наявність у системі вірусу, що використовує Stealth-Технологію, не маючи відповідного інструментарію, практично неможливо, оскільки вірус намагається маскувати як збільшення довжини ураженого файлу, так і своє тіло в ньому, «підставляючи» замість себе «здорову» частину файлу.

■ Полиморфик- Віруси (самошифрующиеся або віруси-примари, polymorphic) — досить, що виявляються важко віруси, що не мають сигнатур, тобто не утримуючі жодного постійної ділянки коду. У цих вірусах використовуються спеціальні механізми, що утрудняють їхнє виявлення. У більшості випадків два зразки того самого полиморфик - вірусу не будуть мати жодного збігу. Це досягається шифруванням основного тіла вірусу й модифікаціями програми - розшифровувача. Звичайно такі віруси містять код, що дозволяє генерувати програму для шифровки й розшифровки власного тіла. Створювані генератором шифрувальники (і відповідні розшифровувачі) звичайно змінюються в часі. Для зашифрованої частини коду вірусу обов'язково повинна існувати підпрограма розшифровки, або дескриптор (descriptor). У поліморфних вірусах розшифровувач не є постійним - для кожного інфікованого файлу він свій. Із цієї причини найчастіше не можна «розпізнати» інфікований файл по характерній для даного вірусу рядку (сигнатурі). Внаслідок цього деякі антивірусні засоби не «ловлять» поліморфні віруси (наочний приклад такого роду - досить популярна один час антивірусна програма Aidstest).

• Макро - віруси — віруси цього сімейства використовують можливості макромов, убудованих у системи обробки даних (текстові редактори, електронні таблиці й т.д.). У цей час найпоширеніші макро-віруси, що заражають текстові документи редактора Microsoft Word.

По деструктивних можливостях віруси можна розділити на наступні:

• нешкідливі, тобто ніяк що не впливають на роботу комп'ютера (крім зменшення вільної пам'яті на диску в результаті свого поширення);

• безпечні, вплив яких обмежується зменшенням вільної пам'яті на диску й графічними, звуковими та ін. ефектами;

• небезпечні віруси, які можуть привести до серйозних збоїв у роботі;

• дуже небезпечні, які можуть привести до втрати програм, знищити дані, стерти необхідну для роботи комп'ютера інформацію, записану в системних областях пам'яті.

Нешкідливі віруси, як правило, роблять різні візуальні або звукові ефекти. Діапазон проявів нешкідливих вірусів дуже широкий - від найпростішого стирання вмісту екрана до складних ефектів перекидання зображення, створення ілюзії «обертання» або «обпадання» (наприклад, вірус Cascade-1701).

Виконувані шкідливими вірусами деструктивні функції теж надзвичайно різноманітні. У процесі свого поширення деякі віруси ушкоджують або спотворюють виконувані програми, дописуючи в початок знищуваної програми якийсь код без збереження вихідної послідовності байт. Деякі віруси за певних умов виконують форматування диска, точніше його нульової доріжки, тим самим знищуючи важливу інформацію про файли, що зберігаються на диску. Інші через певні (як правило, випадкові) проміжки часу перезапускають комп'ютер, приводячи до втрати не збережених даних. Останнім часом з'явилася велика кількість вірусів, спрямованих на боротьбу з антивірусними програмами. Деякі з них при перегляді каталогів шукають програми, в іменах яких є фрагменти, характерні для антивірусних програм (ANTI, AIDS, SCAN), і при виявленні таких намагаються нанести їм яка-небудь шкода: стерти з диска, змінити код у тілі програми й т.д.

При всіх перерахованих вище симптомах, а також при інших «дивних» проявах у роботі системи (нестійка робота, часті «самостійні» перезавантаження та інше) необхідно негайно зробити перевірку системи на наявність вірусів за допомогою антивірусної програми. При цьому краще, якщо програма буде мати саму останню версію й самі свіжі відновлення антивірусних баз.

Історія розвитку вірусів

А почалася ця історія ні багато ні мало - тридцять років тому. Саме тоді, наприкінці 60-х, коли про «персоналках» можна було прочитати лише у фантастичних романах, у декількох «більших» комп'ютерах, що розташовувалися у великих дослідницьких центрах США, виявилися дуже незвичайні програми. На відміну від програм нормальних, що слухняно ходили «по струнці» і розпорядження, що виконувала всі, людини, ці гуляли самі по собі, подібно киплинговской кішці. Займалися в надрах комп'ютера якимсь зрозумілими тільки їм справами, по ходу справи сильно сповільнюючи роботу комп'ютера. Добре хоч, що нічого при цьому не псували й не розмножувалися.

Однак протривала це недовго. Уже в 70-х роках були зареєстровані перші справжні віруси, здатні до розмноження й навіть власні імена, що одержали: великий комп'ютер Univac 1108 «занедужав» вірусом Pervading Animal, а на комп'ютерах зі славного сімейства IBM-360/370 звив гніздо вірус Christmas tree.

ДО 80-м років число активних вірусів змінювалася вже сотнями. А поява й поширення персональних комп'ютерів породило справжню епідемію - рахунок вірусів пішла на тисячі. Правда, термін «комп'ютерний вірус» з'явився тільки в 1984 році: уперше його використовував у своїй доповіді на конференції по інформаційній безпеці співробітник Лехайского Університеті США Ф. Коэн.

Перші «персоналочные» віруси були істотами простими й невибагливими - особливо від користувачів не ховалися, «скрашували» свою руйнівну дію (видалення файлів, руйнування логічної структури диска) виведеними на екран картинками й каверзними «жартами» («Назвіть точну висоту гори Кіліманджаро в міліметрах! При введенні неправильної відповіді всі дані на вашім вінчестері будуть знищені!!!). Виявити такі віруси було неважко: вони «приклеювалися» до що виконуються (*.соm або *.ехе) файлам, змінюючи їхні оригінальні розміри, - чим і користувалися перші антивіруси, що успішно виявляли нахаб.

Пізніше віруси стали хитрее - вони навчилися маскуватися, заховуючи свій програмний код у таких потаєних куточках, до яких, як їм здавалося, жоден антивірус добратися не міг. Спочатку - дійсно, не добиралися. Тому й називалися такі віруси «невидимками» (stealth).

Здавалося, фантазія вирусописателей нарешті-те виснажилася. И коли проти stealth-вірусів було нарешті-те знайдене «протиотрута», комп'ютерний народ зітхнув з полегшенням. А усе ще тільки починалося...

В 90-е роки віруси стали «мутировать» - постійно змінювати свій програмний код, ховаючи його до того ж у різних ділянках жорсткого диска. Якщо раніше віруси «паразитували» на одному файлі, то тепер вони розділялися на кілька незалежних «шматочків» - і лише з'єднуючись, вони починали творити свої стандартні неподобства. Такі віруси - мутанти стали називати «поліморфними». Звичайно, боротися з ними навчилися - але тепер уже ліквідувати одним ударом цілий клас вірусів було неможливо, до кожного доводилося шукати свій, особливий підхід.

А комп'ютери тим часом псувалися, інформація губилася...

Зрозуміло, що досить вагому «лепту» у поширення вірусів вніс Internet, що дебютував як масовий засіб комунікації точно на початку 90-х. Мабуть, уперше увага громадськості до проблеми Internet-Вірусів було притягнуто після появи знаменитого «хробака Морриса» - необразливого вірусу, у результаті необережності його творця отправившегося «плазувати» по всій світовій Мережі.

В 1995 році, після появи операційної системи Windows 95 Microsoft з великою помпою оголосила: старим DOS-Вірусам кінець, Windows захищений від них на 100 відсотків, ну а нових вірусів найближчим часом не передбачається. Якби! Уже в тім же 1995 року було зареєстровано кілька потужних вірусних атак і створений перший вірус, що працює під Windows 95.

А менше ніж через півроку людство було приголомшено вірусами нового, зовсім невідомого типу й принципу дії. На відміну від всіх «пристойних» вірусів, новачки паразитували не на виконуються файлах, щоМ, а на документах, підготовлених у популярних програмах з комплекту Microsoft Office.

Ларчик відкривався просто: у текстовий редактор Microsoft Word і в табличний редактор Microsoft Excel був убудований своя власна мова програмування - Visual Basic for Applications (VBA), призначений для створення спеціальних доповнень до редакторів - макросів. Ці макроси зберігалися в тілі документів Microsoft Office і легко могли бути замінені вірусами. Після відкриття зараженого файлу вірус активувався й заражав всі документи Microsoft Office на вашім диску.

Спочатку макровіруси - а саме так назвали новий клас вірусів, поводилися досить пристойно. У крайньому випадку - псували текстові документи. Однак уже незабаром макровіруси перейшли до своїх звичайних обов'язків - знищенню інформації. До такого повороту справ борці з вірусами явно не були готові. І тому буквально через кілька днів після своєї появи вірус Concept, що вражає документи Word, поширився по всій планеті. Заражені файли Word з ласим змістом (наприклад, списками паролів до Internet-Серверів з колекціями порнографічних картинок) подорожували від користувача до користувача через той же Internet. Довірливі користувачі вистачали «наживку» не замислюючись - адже навіть самі розумні з них з молоком матері вбрали тезу: через тексти віруси не передаються! У підсумку за чотири роки, що пройшли з моменту появи першого «макровірусу», цей клас вірусів став самим численним і небезпечним.

У принципі, охоронитися від макровірусів не так вуж складно. При відкритті будь-якого документа, що містить убудовані макроси, розумний Word або Excel обов'язково запитає користувача: а ви впевнені, громадянин гарний, що замість усіляких полезностей вам не підсувають у документі всіляку бяку? І чи коштують ці макроси завантажувати? Натисніть кнопку «Ні» - і вірусу буде поставлений надійний заслін.

Просто дивно, що незважаючи на таку простоту захисту, більшість користувачів ігнорує попередження програми. І заражаються...

Зрозуміло, одними макровірусами справа не обмежилася. В 1995- 1999 роках на просторах Internet весело гралася добра сотня «Windows 98 - сумісних» вірусів. Ці милі зверушки, зрозуміло, гралися не просто так...

Підсумок. Тільки за період літа 1998 - літа 1999 року мир пережив трохи воістину руйнівних вірусних атак: у результаті діяльності «солодкої трійці» вірусів - Melissa, Win95.CIH і Chernobyl - з ладу були виведені біля мільйона комп'ютерів у всіх країнах миру. Віруси псували жорсткий диск, знищували BIOS материнської плати...

2. Характеристики антивірусних програм