Компьютерный вирус: понятие и классификация

Автор работы: Пользователь скрыл имя, 06 Октября 2010 в 08:58, Не определен

Описание работы

Компьютерный вирус - это специально написанная, небольшая по размерам программа (т.е. некоторая совокупность выполняемого кода), которая может "приписывать" себя к другим программам ("заражать" их), создавать свои копии и внедрять их в файлы, системные области компьютера и т.д., а также выполнять различные нежелательные действия на компьютере

Скачать архив (23.25 Кб) Сколько стоит заказать работу?
Файлы: 1 файл

Компьютерный вирус - понятие и классификация.doc

— 93.00 Кб (Скачать файл)

      Компьютерный  вирус - понятие и классификация. 

           Компьютерный вирус - это специально написанная, небольшая по размерам программа (т.е. некоторая совокупность выполняемого кода), которая может "приписывать" себя  к другим  программам ("заражать" их), создавать свои копии и внедрять их в файлы, системные области компьютера и т.д.,  а  также  выполнять различные  нежелательные действия  на компьютере.

 

        Программа,  внутри  которой находится   вирус, называется "зараженной". Когда такая программа начинает  работу, то сначала управление  получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы  или  таблицу  размещения  файлов на диске, "засоряет"  оперативную память и т.д.). Для маскировки  вируса действия  по заражению  других программ и нанесению вреда могут выполняться не  всегда, а, скажем, при выполнении  определенных условий.

      Например, вирус Anti-MIT ежегодно 1 декабря разрушает всю информацию на жестком диске, вирус Tea Time мешает вводить информацию с клавиатуры с 15:10 до 15:13, а знаменитый One Half, в течение всего прошлого года «гулявший» и по нашему городу, незаметно шифрует данные на жестком диске. В 1989 году американский студент сумел создать вирус, который вывел из строя около 6000 компьютеров Министерства обороны США. Эпидемия известного вируса Dir-II разразилась в 1991 году. Вирус использовал действительно оригинальную, принципиально новую технологию и на первых порах сумел широко распространиться за счет несовершенства традиционных антивирусных средств. Кристоферу Пайну удалось создать вирусы Pathogen и Queeq, а также вирус Smeg. Именно последний был самым опасным, его можно было накладывать на первые два вируса, и из-за этого после каждого прогона программы они меняли конфигурацию. Поэтому их было невозможно уничтожить. Чтобы распространить вирусы, Пайн скопировал компьютерные игры и программы, заразил их, а затем отправил обратно в сеть. Пользователи загружали в свои компьютеры, зараженные программы и инфицировали диски. Ситуация усугубилась тем, что Пайн умудрился занести вирусы и в программу, которая с ними борется. Запустив ее, пользователи вместо уничтожения вирусов получали еще один. В результате этого были уничтожены файлы множества фирм, убытки составили миллионы фунтов стерлингов.

      Широкую известность получил американский программист Моррис. Он известен как  создатель вируса, который  в ноябре 1988 года заразил порядка 7 тысяч персональных компьютеров, подключенных к Internet.

      Первые  исследования саморазмножающихся искусственных конструкций проводились в середине нынешнего столетия. Термин «компьютерный вирус» появился позднее - официально его автором считается сотрудник Лехайского университета (США) Ф.Коэн в 1984 году на седьмой конференции по безопасности информации.

      Эксперты  считают, что на сегодняшний день число существующих вирусов перевалило за 20 тысяч, причем ежедневно появляется от 6 до 9 новых. «Диких», то есть реально  циркулирующих вирусов в настоящее  время насчитывается около 260.

      Один  из авторитетнейших «вирусологов» страны Евгений Касперский предлагает условно классифицировать вирусы  по следующим признакам :

    • по среде обитания вируса
    • по способу заражения среды обитания
    • по деструктивным возможностям
    • по особенностям алгоритма вируса.
 

      Более подробную классификацию внутри этих  групп можно представить примерно так :

 
  ù сетевые распространяются  по компьютерной сети
Среда обитания: ø файловые внедряются  в выполняемые файлы
  ÷ загрузочные внедряются  в загрузочный сектор диска (Boot-сектор)
       
Способы ø резидентные находятся в  памяти, активны до выключения компьютера
заражения: ø нерезидентные не заражают память, являются активными ограниченное время
       
  ù безвредные практически не влияют на работу; уменьшают свободную  память на диске в результате своего распространения
Деструктивные ø неопасные уменьшают свободную  память, создают звуковые, графические  и прочие эффекты
возможности: ø опасные могут привести к серьезным сбоям в работе
  ÷ очень опасные могут привести к потере программ или  системных данных
       
  ù вирусы-«спутники» вирусы, не изменяющие файлы, создают для ЕХЕ-файлов файлы-спутники с расширением ,СОМ
  ù вирусы-«черви» распространяются  по сети, рассылают свои копии, вычисляя сетевые адреса
Особенности ø «паразитические» изменяют  содержимое дисковых секторов или файлов
алгоритма ø «студенческие» примитив, содержат большое количество ошибок
вируса: ø «стелс»-вирусы

(невидимки)

 перехватывают обращения DOS к пораженным файлам или секторам и подставляют вместо себя незараженные участки
  ÷ вирусы-призраки не имеют  ни одного постоянного участка кода, труднообнаружи- ваемы, основное тело вируса зашифровано
  ÷ макровирусы пишутся не в  машинных кодах, а на WordBasic, живут в документах Word, переписывают себя в Normal.dot 
 

      Основными путями проникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода А и перезагрузили компьютер, при этом дискета может быть и не системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.

 

      

      Как работает вирус.

 

      Рассмотрим  схему функционирования очень простого загрузочного вируса, заражающего дискеты.

      Что  происходит, когда вы включаете компьютер? Первым делом управление передается программе начальной загрузки, которая хранится в постоянно запоминающем устройстве (ПЗУ) т.е. ПНЗ ПЗУ.

      Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету в дисководе  А:

      Всякая  дискета размечена на т.н. секторы  и дорожки. Секторы объединяются в кластеры, но это для нас несущественно.

      Среди секторов есть несколько служебных, используемых операционной системой для  собственных нужд (в этих секторах  не могут размещаться ваши данные). Среди служебных секторов нас  пока интересует один - т.н. сектор начальной загрузки (boot-sector).

      В секторе начальной загрузки хранится информация о дискете - количество поверхностей, количество дорожек, количество секторов и пр. Но нас сейчас интересует не эта информация, а небольшая программа  начальной загрузки (ПНЗ), которая должна загрузить саму операционную систему и передать ей управление.

      Таким образом, нормальная схема начальной  загрузки следующая:

      ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА

      Теперь  рассмотрим вирус. В загрузочных  вирусах выделяют две части - т.н. голову и т.н. хвост. Хвост, вообще говоря, может быть пустым.

      Пусть у вас имеются чистая дискета  и зараженный компьютер, под которым  мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе  появилась подходящая жертва - в  нашем случае не защищенная от записи и еще не зараженная дискета, он приступает к заражению. Заражая дискету, вирус производит следующие действия:

    • выделяет некоторую область диска и помечает ее как недоступную операционной системе, это можно сделать по-разному, в простейшем и традиционном случае занятые вирусом секторы помечаются как сбойные (bad)
    • копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор
    • замещает программу начальной загрузки в загрузочном секторе (настоящем) своей головой
    • организует цепочку передачи управления согласно схеме.

      Таким образом, голова вируса теперь первой получает управление, вирус устанавливается  в память и передает управление оригинальному  загрузочному сектору. В цепочке

      ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА

      появляется  новое звено:

      ПНЗ (ПЗУ) - ВИРУС - ПНЗ (диск) - СИСТЕМА

      Мы  рассмотрели схему функционирования простого бутового вируса, живущего в  загрузочных секторах дискет. Как  правило, вирусы способны заражать не только загрузочные секторы  дискет, но и загрузочные секторы винчестеров. При этом в отличие от дискет на винчестере имеются два типа загрузочных секторов, содержащих программы начальной загрузки, которые получают управление. При загрузке компьютера с винчестера первой берет на себя управление программа начальной загрузки в MBR (Master Boot Record - главная загрузочная запись). Если ваш жесткий диск разбит на несколько разделов, то лишь один из них помечен как загрузочный (boot). Программа начальной загрузки в MBR находит загрузочный раздел винчестера и передает управление на программу начальной загрузки этого раздела. Код последней совпадает с кодом программы начальной загрузки, содержащейся на обычных дискетах, а соответствующие  загрузочные секторы отличаются только таблицами параметров. Таким образом, на винчестере имеются два объекта атаки загрузочных вирусов - программа начальной загрузки в MBR и программа начальной загрузки boot-секторе загрузочного диска.

 

      Признаки  проявления вируса.

 

      При заражении компьютера вирусом важно  его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:

  • прекращение работы или неправильная работа ранее успешно функционировавших программ
  • медленная работа компьютера
  • невозможность загрузки операционной системы
  • исчезновение файлов и каталогов или искажение их содержимого
  • изменение даты и времени модификации файлов
  • изменение размеров файлов
  • неожиданное значительное увеличение количества файлов на диске
  • существенное уменьшение размера свободной оперативной памяти
  • вывод на экран непредусмотренных сообщений или изображений
  • подача непредусмотренных звуковых сигналов
  • частые зависания и сбои в работе компьютера

      Следует отметить, что вышеперечисленные  явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.

 

  Антивирусные программы.

 

     Для обнаружения, удаления и защиты от компьютерных вирусов разработаны специальные  программы, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как превентивные, профилактические средства, так и средства лечения вирусов и восстановления данных.

 

  Требования к антивирусным  программам.

 

     Количество  и разнообразие вирусов велико, и  чтобы их быстро и эффективно обнаружить, антивирусная программа должна  отвечать некоторым параметрам.

     Стабильность  и надежность работы. Этот параметр, без сомнения, является определяющим — даже самый лучший антивирус окажется совершенно бесполезным, если он не сможет нормально функционировать на вашем компьютере, если в результате какого-либо сбоя в работе программы процесс проверки компьютера не пройдет до конца. Тогда всегда есть вероятность того, что какие-то зараженные файлы остались незамеченными.

     Размеры вирусной базы программы (количество вирусов, которые правильно определяются программой). С учетом постоянного появления новых вирусов база данных должна регулярно обновляться — что толку от программы, не видящей половину новых вирусов и, как следствие, создающей ошибочное ощущение “чистоты” компьютера. Сюда же следует отнести и возможность программы определять разнообразные типы вирусов, и умение работать с файлами различных типов (архивы, документы). Немаловажным также является наличие резидентного монитора, осуществляющего проверку всех новых файлов “на лету” (то есть автоматически, по мере их записи на диск).

Информация о работе Компьютерный вирус: понятие и классификация