Компьютерные вирусы: способы распространения, защита от вирусов. Термин «компьютерный вирус» впервые употребил сотрудник Лехайского университета (США) Ф. Коэн на конференции по безопасности информации в 1984 г., однако еще в работах Н. Винера и Д. фон Неймана исследовались различные виды конечных автоматов, в том числе и самовоспроизводящихся. Исторически возникновение компьютерных вирусов связано с идеей создания самовоспроизводящихся программ — концепцией, уходящей своими корнями в 50-е гг. Предшественниками вирусов были различного рода программы (некоторые из них в виде игр), принцип работы которых заключался в способности саморазмножаться. Уже в начале 60-х гг. появилась «Игра для полуночников», в которой несколько ассемблерных программ, названных «организмами», загружались в память компьютера. Организмы, созданные одним игроком (т. е. принадлежащие к одному виду), должны были уничтожать представителей другого вида и захватывать жизненное пространство. Победителем считался тот игрок, чьи организмы захватывали всю память или набирали наибольшее количество очков. И уже тогда в описании игры термин «вирус» применялся к одному из видов организмов. Второй этап в развитии вирусов (1986 — 1990) был спровоцирован быстрым ростом производства и резким снижением цен на ПК серии IBM PC. Началом его следует считать 1987 г., когда одновременно в нескольких странах произошли первые эпидемии вирусов. В отличие от первого этапа, когда разработки вирусоподобных программ носили исследовательский характер и авторы выполняли эксперименты, заручившись согласием пользователей, стараясь внести вклад в системное программирование, второй этап носит характер противостояния пользователей безответственным или уголовным элементам. Самовоспроизводящиеся программы—вирусы препятствуют нормальной работе компьютера, разрушают файловую структуру дисков, наносят ущерб хранимой на компьютере информации. Компьютерный вирус — специально написанная программа, способная самопроизвольно, без ведома пользователя присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в компьютерные сети с целью нарушения работы программ, порчи файловой системы, создания всевозможных помех в работе на компьютере. Способность к самовоспроизведению характерна для всех типов компьютерных вирусов. При этом копии сохраняют способность дальнейшего распространения В настоящее время известно более 5000 программных вирусов, их , можно разделить на классы по следующим признакам: По среде обитания вируса: сетевые, распространяющиеся по компьютерным сетям; файловые — внедряются главным образом в исполнимые файлы (с расширениями сом, ехе). Файловый вирус может внедряться и в другие типы файлов, но, как правило, в таких файлах он никогда не получает управление и поэтому теряет способность к размножению; загрузочные, которые внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Record). Имеются загрузочные вирусы, заражающие только загрузочные сектора дискет или только загрузочные сектора винчестеров (или главный загрузочный сектор винчестера), но чаще такие вирусы заражают и то и другое; файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы и часто применяют оригинальные методы проникновения в систему. Вирусов этого типа не очень много (пример: вирус OneHalf). По способу заражения среды обитания: резидентные вирусы, которые при инфицировании компьютера оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера; нерезидентные вирусы, не заражающие память компьютера и являющиеся активными ограниченное время. Некоторые вирусы оставляют в оперативной памяти неболыцие резидентные программы, которые не распространяют вирус. По деструктивным возможностям (по степени воздействия): неопасные вирусы (безвредные вирусы, т. е. никак не влияющие на работу компьютера). Их влияние ограничивается уменьшением свободной памяти на диске, а также графическими, звуковыми и другими эффектами; опасные вирусы, которые могут привести к серьезным сбоям в работе; очень опасные вирусы, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти. По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия: репликаторы (черви — worm), которые распространяются в компьютерной сети. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оператиЯ' ной памяти); паразитические вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов; невидимки, или стелс - вирусы (stealth), представляющие собой весьма совершенные программы, которые перехватывают обращения операционной системы к пораженным файлам или секторам дисков и предъявляют вместо себя незараженные участки информации. Для большинства антивирусных программ вирусы, использующие стелс-технологию, — серьезная проблема. Исключением является ревизор дисков Adinf' — уникальная российская программа, одно из замечательных свойств которой — способность обнаруживать маскирующиеся вирусы; мутанты, или полиморфные вирусы (самошифрующиеся, или вирусы-призраки, polymorphic), — достаточно трудно обнаруживаемые вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же вируса-мутанта не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика; троянские вирусы, или квазивирусы, - программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор диска и файловую систему дисков; компаньон-вирусы (companion), не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, что они создают для ехе-файлов файлы-спутники, имеющие то же самое имя, но с расширением com. Например, для файла xcopy.exe создается файл xcopy.com. Вирус записывается в corn-файл и никак не изменяет ехе-файл. При запуске такого файла DOS первым обнаружит и выполнит corn-файл, т. е. вирус, который затем запустит и ехе-файл; студенческие — крайне примитивные вирусы, часто нерезидентные и содержащие большое число ошибок; макровирусы, которые используют возможности макроязыков, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т. д.). В настоящее Время наиболее, распространены макровирусы, заражающие текстовые документы редактора Microsoft Word. Основными путями проникновения вирусов в компьютер являются дискеты, лазерные диски и компьютерные сети. При заражении компьютера вирусом очень важно своевременно его обнаружить. К основным признакам проявления вируса в компьютере можно отнести: невозможность загрузки операционной системы; медленную работу компьютера; изменение размеров файлов или даты и времени модификации файлов; существенное уменьшение размера свободной оперативной памяти; вывод на экран непредусмотренных сообщений или изображений; подачу непредусмотренных звуковых сигналов; прекращение работы или неправильную работу ранее успешно функционировавших программ. Для эффективной борьбы с многочисленными вирусами создаются антивирусные программы: 1. детекторы, обнаруживающие файлы, зараженные одним из нескольких известных разработчикам антивирусной программы вирусов. Программы-детекторы осуществляют поиск характерной для конкретного вируса последовательности байтов в оперативной памяти и файлах и при обнаружении выдают соответствующее сообщение; 2. доктора (фаги), лечащие программу, восстанавливая ее первоначальный вид и удаляя при этом вирусы. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, затем переходят к лечению файлов. Среди фагов выделяют полифаги, т. е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные полифаги: Aidstest, Scan, Norton AntiVirus, Doctor Web, Kaspersky Anti-Virus. 3. программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов, системных областей диска, а затем периодически или по команде пользователя сравнивают текущее состояние с исходным. Как правило, сравнение состояний производят сразу после загрузки операционной системы. Пример такой программы — Adinf, 4. фильтры — небольшие резидентные программы, перехватывающие обращения вирусов к операционной системе, попытки коррекции файлов с расширением com, exe, изменение атрибутов файлов, запись в загрузочные сектора диска и сообщающие пользователю о найденных вирусах. Примером программы-фильтра является программа Vsafe пакета утилит операционной системы MSDOS. 5. программы-вакцины, или иммунизаторы, — резидентные программы, которые не только обнаруживают вирусы, но и лечат диски. Вакцина возможна только от известных вирусов. Разработка антивирусных программ требует профессиональных знаний и навыков. Наиболее известные антивирусные программы, которые периодически, обновляются и дополняются, — это программы-по-Лифаги Aidstest, Doctor Web, антивирус — ревизор диска Adinf. Основные меры по защите от вирусов: оснастите свой компьютер современными антивирусными программами Aidstest или Doctor Web, постоянно обновляйте их версии; для обеспечения большей безопасности применение Aidstest и Doctor Web необходимо сочетать с повседневным использованием ревизора диска Adinf; используйте антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей; проверяйте дискеты, записанные на другим компьютерах, на наличие вирусов перед считыванием информации с дискет; периодически проверяйте на наличие вирусов жесткие диски компьютера; всегда защищайте свои дискеты от записи при работе на других компьютерах, если на них не должна производиться запись информации.