Введение.
Мы
живем во время, когда человечество
вступило в эпоху новой научно-технической
революции. К концу двадцатого века люди
овладели многими тайнами превращения
вещества и энергии и сумели использовать
эти знания для улучшения своей жизни.
Но кроме вещества и энергии в жизни человека
огромную роль играет еще одна составляющая
- информация. Это самые разнообразные
сведения, сообщения, известия, знания,
умения. В середине нашего столетия появились
специальные устройства - компьютеры,
ориентированные на хранение и преобразование
информации и произошла компьютерная
революция. В связи со стремительным развитием
информационных технологий и их проникновением
во все сферы человеческой деятельности
возросло количество преступлений, направленных
против информационной безопасности.
Сегодня массовое применение персональных
компьютеров, к сожалению, оказалось связанным
с появлением самовоспроизводящихся программ-вирусов,
препятствующих нормальной работе компьютера,
разрушающих файловую структуру дисков
и наносящих ущерб хранимой в компьютере
информации. Несмотря на принятые во многих
странах законы о борьбе с компьютерными
преступлениями и разработку специальных
программных средств защиты от вирусов,
количество новых программных вирусов
постоянно растет. Это требует от пользователя
персонального компьютера знаний о природе
вирусов, способах заражения вирусами
и защиты от них.
С
каждым днем вирусы становятся все
более изощренными, что приводит
к существенному изменению профиля
угроз. Но и рынок антивирусного
программного обеспечения не стоит
на месте, предлагая множество, казалось
бы, идентичных продуктов. Их пользователи,
представляя проблему лишь в общих
чертах, нередко упускают важные нюансы
и в итоге получают иллюзию
защиты вместо самой защиты.
ГЛАВА
1 Общие сведения
о компьютерных вирусах.
- История
вредоносных программ.
Мнений
по поводу рождения первого компьютерного
вируса очень много. Сама идея компьютерных
вирусов появилась значительно
раньше. Отправной точкой можно считать
труды Джона фон Неймана по
изучению самовоспроизводящихся математических
автоматов. Эти труды стали известны
в 1940-х годах. Ведь именно эти труды
легли в основу многих более поздних
работ по робототехнике и искусственному
интеллекту. И в том, что последующие
поколения злоупотребили плодами
технического прогресса, нет вины этих
замечательных ученых.
На
этом теоретические исследования ученых
и безобидные упражнения инженеров
ушли в тень, и совсем скоро мир
узнал, что теория саморазмножающихся
структур с не меньшим успехом может
быть применена и в несколько иных целях.
Первая
массовая эпидемия компьютерного вируса
произошла в 1986 году, когда вирус
Brain ”заражал” дискеты для первых массовых
персональных компьютеров. В настоящее
время известно несколько десятков тысяч
вирусов, заражающих компьютеры с различными
операционными системами и распространяющихся
по компьютерным сетям. [10]
Название ”вирус” по отношению
к компьютерным программам пришло
из биологии именно по признаку
способности к саморазмножению.
После заражения компьютера вирус может
активизироваться и заставить компьютер
выполнять какие-либо действия. Активизация
вируса может быть связана с различными
событиями (наступлением определенной
даты или дня недели, запуском программы,
открытием документа и так далее).
Вредоносные
программы получили свое широкое
распространение в 1996 году, когда
появился первый вирус для Windows 95,и компьютеры
стали доступны для многих. Эта была первая
эпидемия, вызванная вирусом для Windows.
По
приближенным оценкам в сегодняшние
дни существует более десяти тысяч
различных вирусов. Подсчет их осложняется
тем, что многие вирусы мало отличаются
друг от друга, являются вариантами одного
и того же вируса и, наоборот, один и
тот же вирус может менять свой
облик, кодировать сам себя. [6.12с] На
самом деле основных принципиальных идей,
лежащих в основе вирусов, не очень много.
1.2.Компьютерные
вирусы и кто
их пишет.
Компьютерный
вирус – специальная программа,
способная самопроизвольно присоединяться
к другим программам («заражать» их)
и при запуске последних выполнять
различные нежелательные действия:
порчу файлов и каталогов, искажение
результатов вычислений, засорение
или стирание памяти, создание помех
в работе компьютера.
Наличие
вирусов проявляется в следующих
ситуациях:
- некоторые
программы перестают работать или начинают
работать некорректно;
- на экран
выводятся посторонние сообщения, сигналы
и другие эффекты;
- работа компьютера
существенно замедляется;
Структура
некоторых файлов оказывается испорченной
и т.д.
Сегодня
компьютерам доверяют решение многих
критических задач. Поэтому выход
из строя компьютерных систем может
иметь весьма тяжелые последствия.
На
сегодняшний день известны десятки
тысяч различных вирусов. Несмотря
на такое изобилие, число типов
вирусов, отличающихся друг от друга
механизмом распространения и принципом
действия, весьма ограниченно. [4. 89с] Есть
и комбинированные вирусы, которые можно
отнести одновременно к нескольким типам.
Кто
же пишет вирусы? Основную их массу
создают студенты и школьники, которые
только что изучили язык ассемблера,
хотят попробовать свои силы, но
не могут найти для них более
достойного применения. Вторую группу
составляют также молодые люди (чаще
- студенты), которые еще не полностью
овладели искусством программирования,
но уже решили посвятить себя написанию
и распространению вирусов Став
старше и опытнее, но так и не повзрослев,
многие из подобных вирусописателей попадают
в третью, наиболее опасную группу, которая
создает и запускает в мир «профессиональные»
вирусы. [1.336с] Эти очень тщательно продуманные
и отлаженные программы создаются профессиональными,
часто очень талантливыми программистами.
Такие вирусы нередко используют достаточно
оригинальные алгоритмы, недокументированные
и мало кому известные способы проникновения
в системные области данных.
1.3
Разновидности компьютерных
вирусов.
Каждая
конкретная разновидность вируса может
заражать только один или два типа
файлов. Чаще всего встречаются вирусы,
заражающие исполнимые файлы. Некоторые
вирусы заражают и файлы, и загрузочные
области дисков. Вирусы, заражающие
драйверы устройств, встречаются крайне
редко, обычно такие вирусы умеют
заражать и исполнимые файлы. [5.45с]
Среди всего разнообразия компьютерных
вирусов следует выделить следующие группы:
По
среде обитания различают следующие
вирусы: файловые, «загрузочные», макро-,
и сетевые вирусы.
- Файловые
вирусы- наиболее распространенный тип
вирусов. Эти вирусы внедряются в выполняемые
файлы, создают файлы-спутники (companion-вирусы)
или используют особенности организации
файловой системы (link-вирусы). файловые
вирусы в простейшем случае заражают пополняемые
файлы, но могут распространяться и через
файлы документов и даже вообще не модифицировать
файлы, а лишь иметь к ним какое-то отношение.
- Загрузочные
вирусы записывают себя в загрузочный
сектор диска (boot-сектор) или в сектор системного
загрузчика жесткого диска (Master Boot Record).
Начинают работу при загрузке компьютера
и обычно становятся резидентными (постоянно
хранящимися во время работы в оперативной
памяти). Как правило, эти вирусы состоят
из двух частей, поскольку загрузочная
запись имеет небольшой размер и в ней
трудно разместить целиком программу
вируса.
- Макровирусы
заражают файлы широко используемых пакетов
обработки данных. Эти вирусы представляют
собой программы, написанные на встроенных
в эти пакеты языках программирования.
Наибольшее распространение получили
макровирусы для приложений Microsoft Office.
Существует жесткая зависимость между
событиями, возникаемыми в этом редакторе,
и именами автоматически запускаемых макрокоманд.
По аналогии с MS-DOS можно сказать, что большинство
макровирусов являются резидентными:
они активны не только в момент открытия/закрытия
файла, но до тех пор, пока активен сам
редактор.
- Сетевые вирусы
распространяются по различным компьютерным
сетям. К данной категории относятся программы,
распространяющие свои копии по локальным
и/или глобальным сетям с целью: 1. проникновения
на удаленные компьютеры; 2. запуска
своей копии на удаленном компьютере;
3.дальнейшего распространения на другие
компьютеры в сети. Такие вирусы “похищают”
идентификатор и пароль пользователя
для доступа в Интернет за деньги ничего
не подозревающих пользователей. Лавинообразная
цепная реакция распространения вируса
базируется на том, что вирус после заражения
компьютера начинает рассылать себя по
всем адресам электронной почты, которые
имеются в адресной книге пользователя.
По
особенностям алгоритма
следует выделить: резидентность, стелс-вирусы,
самошифрование и полиморфичность.
- Под термином
"резидентность" понимается способность
вирусов оставлять свои копии в операционной
системе, перехватывать некоторые события
(например, обращения к файлам или дискам)
и вызывать при этом процедуры заражения
обнаруженных объектов (файлов и секторов).
Таким образом, резидентные вирусы активны
не только в момент работы зараженной
программы, но и после того, как программа
закончила свою работу. [8] Резидентные
копии таких вирусов остаются жизнеспособными
вплоть до очередной перезагрузки, даже
если на диске уничтожены все зараженные
файлы. Часто от таких вирусов невозможно
избавиться восстановлением всех копий
файлов с дистрибутивных дисков или backup-копий.
Резидентная копия вируса остается активной
и заражает вновь создаваемые файлы.
- Стелс-вирусы,
или вирусы-невидимки, после запуска оставляют
в оперативной памяти компьютера специальные
модули, перехватывающие обращение программ
к дисковой подсистеме компьютера. Если
такой модуль обнаруживает, что программа
пользователя пытается прочитать зараженный
файл или системную область диска, он на
ходу подменяет читаемые данные и таким
образом остается незамеченным, обманывая
антивирусные программы.
- Самошифрование
и полиморфичность используются практически
всеми типами вирусов для того, чтобы максимально
усложнить процедуру детектирования вируса.
Полиморфик-вирусы (polymorphic) - это достаточно
труднообнаружимые вирусы, не имеющие
сигнатур, т.е. не содержащие ни одного
постоянного участка кода. В большинстве
случаев два образца одного и того же полиморфик-вируса
не будут иметь ни одного совпадения. Это
достигается шифрованием основного тела
вируса и модификациями программы-расшифровщика.
[4. 89с]
По
способу заражения различают методы:
Over-writing, Parasitic, Компаньон-вирусы, Файловые
черви, Link-вирусы, OBJ-, LIB-вирусы и вирусы
в исходных текстах.
- Over-writing-данный
метод заражения является наиболее простым:
вирус записывает свой код вместо кода
заражаемого файла, уничтожая его содержимое.
Естественно, что при этом файл перестает
работать и не восстанавливается. Такие
вирусы очень быстро обнаруживают себя,
так как операционная система и приложения
довольно быстро перестают работать.
- К паразитическим
относятся все файловые вирусы, которые
при распространении своих копий обязательно
изменяют содержимое файлов, оставляя
сими файлы при этом полностью или частично
работоспособными. Основными типами таких
вирусов являются вирусы, записывающиеся
в начало файлов, в конец файлов и в середину
файлов.
- К категории
"компаньон" относятся вирусы, не
изменяющие заражаемых файлов. Алгоритм
работы этих вирусов состоит в том, что
для заражаемого файла создается файл-двойник,
причем при запуске зараженного файла
управление получает именно этот двойник,
т.е. вирус
- Файловые
черви (worms) являются, в некотором смысле,
разновидностью компаньон-вирусов, но
при этом никоим образом не связывают
свое присутствие с каким-либо выполняемым
файлом. При размножении они всего лишь
копируют свой код в какие-либо каталоги
дисков в надежде, что эти новые копии
будут когда-либо запущены пользователем.
Иногда эти вирусы дают своим копиям "специальные"
имена, чтобы подтолкнуть пользователя
на запуск своей копии. Не следует путать
файловые вирусы-черви с сетевыми червями.
Первые используют только файловые функции
какой-либо операционной системы, вторые
же при своем размножении пользуются сетевыми
протоколами.
- Link-вирусы,
как и компаньон-вирусы не изменяют физического
содержимого файлов, однако при запуске
зараженного файла "заставляют" ОС
выполнить свой код. Этой цели они достигают
модификацией необходимых полей файловой
системы.
- Вирусы, заражающие
библиотеки компиляторов, объектные модули
и исходные тексты программ, достаточно
экзотичны и практически не распространены.
Всего их около десятка. Вирусы, заражающие
OBJ- и LIB-файлы, записывают в них свой код
в формате объектного модуля или библиотеки.
Зараженный файл, таким образом, не является
выполняемым и неспособен на дальнейшее
распространение вируса в своем текущем
состоянии.
По
деструктивным возможностям различают: неопасные
и безвредные вирусы, опасные и очень опасные
вирусы, другие вредоносные программы.
- Безвредные
вирусы никак не влияют на работу компьютера
(кроме уменьшения свободной памяти на
диске в результате своего распространения).Неопасные
вирусы влияют на компьютер уменьшением
свободной памяти на диске и графическими,
звуковыми и пр. эффектами.
- Около трети
всех видов вирусов портят данные на дисках
- или сознательно, или из-за содержащихся
в вирусах ошибок, например, из-за не вполне
корректного выполнения некоторых действий.
Если порча данных происходит лишь эпизодически
и не приводит к тяжёлым последствиям,
то вирусы называются опасными. Если же
порча данных происходит часто или вирусы
причиняют значительные разрушения то
вирусы называются очень опасными
- Другие вредоностные
программы. Троянские
кони. К троянским коням относятся программы,
наносящие какие-либо разрушительные
действия, т.е. в зависимости от каких-либо
условий или при каждом запуске уничтожающая
информацию на дисках, "завешивающая"
систему и т.п. «Злые
шутки». Следует отметить также "злые
шутки" (hoax). К ним относятся программы,
которые не причиняют компьютеру какого-либо
прямого вреда, однако выводят сообщения
о том, что такой вред уже причинен, либо
будет причинен при каких-либо условиях,
либо предупреждают пользователя о несуществующей
опасности. К "злым шуткам" относятся,
например, программы, которые "пугают"
пользователя сообщениями о форматировании
диска, хотя никакого форматирования на
самом деле не происходит.«intended»
вирусы. К категории "intended" также
относятся вирусы, которые размножаются
только один раз - из "авторской" копии.
Заразив какой-либо файл, они теряют способность
к дальнейшему размножению. Появляются
intended-вирусы чаще всего при неумелой перекомпиляции
какого-либо уже существующего вируса,
либо по причине недостаточного знания
языка программирования, либо по причине
незнания технических тонкостей операционной
системы. [2. 478с.]
1.4
Пути проникновения
вирусов.
Основными
путями проникновения вирусов в
компьютер являются съемные диски,
а также компьютерные сети. Заражение
жесткого диска вирусами может произойти
при загрузке программы с дискеты,
содержащей вирус. Такое заражение
может быть и случайным, например,
если дискету не вынули из дисковода
А и перезагрузили компьютер, при этом
дискета может быть и не системной. Заразить
дискету гораздо проще. На нее вирус может
попасть, даже если дискету просто вставили
в дисковод зараженного компьютера и,
например, прочитали ее оглавление. Вирус,
как правило, внедряется в рабочую программу
таким образом, чтобы при ее запуске управление
сначала передалось ему и только после
выполнения всех его команд снова вернулось
к рабочей программе. Получив доступ к
управлению, вирус, прежде всего, переписывает
сам себя в другую рабочую программу и
заражает ее. После запуска программы,
содержащей вирус, становится возможным
заражение других файлов.Наиболее часто
вирусом заражаются загрузочный сектор
диска и исполняемые файлы, имеющие расширения
EXE, COM, SYS, BAT. Крайне редко заражаются текстовые
файлы. После заражения программы вирус
может выполнить какую-нибудь диверсию,
не слишком серьезную, чтобы не привлечь
внимания. [ 3. 527 с.]