Компьютерные вирусы: способы распространения, защита от

Компьютерные вирусы: способы распространения, защита от вирусов.
Термин «компьютерный вирус» впервые употребил сотрудник Лехайского университета (США) Ф. Коэн
на конференции по безопасности информации в 1984 г., однако еще в работах Н. Винера и Д. фон Неймана
исследовались различные виды конечных автоматов, в том числе и самовоспроизводящихся.
Исторически возникновение компьютерных вирусов связано с идеей создания самовоспроизводящихся
программ — концепцией, уходящей своими корнями в 50-е гг.
Предшественниками вирусов были различного рода программы (некоторые из них в виде игр), принцип
работы которых заключался в способности саморазмножаться. Уже в начале 60-х гг. появилась «Игра для
полуночников», в которой несколько ассемблерных программ, названных «организмами», загружались в
память компьютера. Организмы, созданные одним игроком (т. е. принадлежащие к одному виду), должны
были уничтожать представителей другого вида и захватывать жизненное пространство. Победителем
считался тот игрок, чьи организмы захватывали всю память или набирали наибольшее количество очков.
И уже тогда в описании игры термин «вирус» применялся к одному из видов организмов.
Второй этап в развитии вирусов (1986 — 1990) был спровоцирован быстрым ростом производства и
резким снижением цен на ПК серии IBM PC. Началом его следует считать 1987 г., когда одновременно в
нескольких странах произошли первые эпидемии вирусов. В отличие от первого этапа, когда разработки
вирусоподобных программ носили исследовательский характер и авторы выполняли эксперименты,
заручившись согласием пользователей, стараясь внести вклад в системное программирование, второй этап
носит характер противостояния пользователей безответственным или уголовным элементам.
Самовоспроизводящиеся программы—вирусы препятствуют нормальной работе компьютера, разрушают
файловую структуру дисков, наносят ущерб хранимой на компьютере информации.
Компьютерный вирус — специально написанная программа, способная самопроизвольно, без
ведома пользователя присоединяться к другим программам, создавать свои копии и внедрять их в файлы,
системные области компьютера и в компьютерные сети с целью нарушения работы программ, порчи
файловой системы, создания всевозможных помех в работе на компьютере.
Способность к самовоспроизведению характерна для всех типов компьютерных вирусов. При этом копии
сохраняют способность дальнейшего распространения
В настоящее время известно более 5000 программных вирусов, их , можно разделить на классы по
следующим признакам:
По среде обитания вируса:
 сетевые, распространяющиеся по компьютерным сетям;
 файловые — внедряются главным образом в исполнимые файлы (с расширениями сом, ехе).
Файловый вирус может внедряться и в другие типы файлов, но, как правило, в таких файлах он
никогда не получает управление и поэтому теряет способность к размножению;
 загрузочные, которые внедряются в загрузочный сектор диска (Boot-сектор) или в сектор,
содержащий системный загрузчик винчестера (Master Boot Record). Имеются загрузочные
вирусы, заражающие только загрузочные сектора дискет или только загрузочные сектора
винчестеров (или главный загрузочный сектор винчестера), но чаще такие вирусы заражают и то
и другое;
 файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие
вирусы, как правило, имеют довольно сложный алгоритм работы и часто применяют
оригинальные методы проникновения в систему. Вирусов этого типа не очень много (пример:
вирус OneHalf).
По способу заражения среды обитания:
 резидентные
вирусы, которые при инфицировании компьютера оставляют в оперативной
памяти свою резидентную часть, которая затем перехватывает обращение операционной системы
к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются
активными вплоть до выключения или перезагрузки компьютера;
 нерезидентные вирусы, не заражающие память компьютера и являющиеся активными
ограниченное время. Некоторые вирусы оставляют в оперативной памяти неболыцие
резидентные программы, которые не распространяют вирус.
По деструктивным возможностям (по степени воздействия):
 неопасные вирусы (безвредные вирусы, т. е. никак не влияющие на работу компьютера). Их
влияние ограничивается уменьшением свободной памяти на диске, а также графическими, звуковыми и другими эффектами;
 опасные вирусы, которые могут привести к серьезным сбоям в работе;
 очень опасные вирусы, которые могут привести к потере программ, уничтожить данные,
стереть необходимую для работы компьютера информацию, записанную в системных областях
памяти.
По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия:
 репликаторы (черви — worm), которые распространяются в компьютерной сети. Они проникают
в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и
рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках
системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оператиЯ' ной
памяти);
 паразитические вирусы, которые при распространении своих копий обязательно изменяют
содержимое дисковых секторов или файлов;
 невидимки, или стелс - вирусы
(stealth), представляющие собой весьма совершенные
программы, которые перехватывают обращения операционной системы к пораженным файлам
или секторам дисков и предъявляют вместо себя незараженные участки информации. Для
большинства антивирусных программ вирусы, использующие стелс-технологию, — серьезная
проблема. Исключением является ревизор дисков Adinf' — уникальная российская программа,
одно из замечательных свойств которой — способность обнаруживать маскирующиеся вирусы;
 мутанты, или полиморфные вирусы (самошифрующиеся, или вирусы-призраки, polymorphic),
— достаточно трудно обнаруживаемые вирусы, не содержащие ни одного постоянного участка
кода. В большинстве случаев два образца одного и того же вируса-мутанта не будут иметь ни
одного совпадения. Это достигается шифрованием основного тела вируса и модификациями
программы-расшифровщика;
 троянские вирусы, или квазивирусы,
- программы, которые хотя и не способны к
самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор диска и файловую систему дисков;
 компаньон-вирусы (companion), не изменяющие файлы. Алгоритм работы этих вирусов состоит
в том, что они создают для ехе-файлов файлы-спутники, имеющие то же самое имя, но с расширением com. Например, для файла xcopy.exe создается файл xcopy.com. Вирус записывается в
corn-файл и никак не изменяет ехе-файл. При запуске такого файла DOS первым обнаружит и
выполнит corn-файл, т. е. вирус, который затем запустит и ехе-файл;
 студенческие — крайне примитивные вирусы, часто нерезидентные и содержащие большое
число ошибок;
 макровирусы, которые используют возможности макроязыков, встроенных в системы обработки
данных (текстовые редакторы, электронные таблицы и т. д.). В настоящее Время наиболее,
распространены макровирусы, заражающие текстовые документы редактора Microsoft Word.
Основными путями проникновения вирусов в компьютер являются дискеты, лазерные диски и
компьютерные сети.
При заражении компьютера вирусом очень важно своевременно его обнаружить. К основным
признакам проявления вируса в компьютере можно отнести:
 невозможность загрузки операционной системы;
 медленную работу компьютера;
 изменение размеров файлов или даты и времени модификации файлов;
 существенное уменьшение размера свободной оперативной памяти;
 вывод на экран непредусмотренных сообщений или изображений;
 подачу непредусмотренных звуковых сигналов;
 прекращение работы или неправильную работу ранее успешно функционировавших программ.
Для эффективной борьбы с многочисленными вирусами создаются антивирусные программы:
1. детекторы, обнаруживающие файлы, зараженные одним из нескольких известных разработчикам
антивирусной программы вирусов. Программы-детекторы осуществляют поиск характерной для
конкретного вируса последовательности байтов в оперативной памяти и файлах и при обнаружении
выдают соответствующее сообщение;
2. доктора (фаги), лечащие программу, восстанавливая ее первоначальный вид и удаляя при этом
вирусы. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, затем
переходят к лечению файлов. Среди фагов выделяют полифаги, т. е. программы-доктора,
предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные
полифаги: Aidstest, Scan, Norton AntiVirus, Doctor Web, Kaspersky Anti-Virus.
3. программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры
запоминают исходное состояние программ, каталогов, системных областей диска, а затем
периодически или по команде пользователя сравнивают текущее состояние с исходным. Как
правило, сравнение состояний производят сразу после загрузки операционной системы. Пример
такой программы — Adinf,
4. фильтры
— небольшие резидентные программы, перехватывающие обращения вирусов к
операционной системе, попытки коррекции файлов с расширением com, exe, изменение атрибутов
файлов, запись в загрузочные сектора диска и сообщающие пользователю о найденных вирусах.
Примером программы-фильтра является программа Vsafe пакета утилит операционной системы MSDOS.
5. программы-вакцины, или иммунизаторы, — резидентные программы, которые не только
обнаруживают вирусы, но и лечат диски. Вакцина возможна только от известных вирусов.
Разработка антивирусных программ требует профессиональных знаний и навыков. Наиболее
известные антивирусные программы, которые периодически, обновляются и дополняются, — это
программы-по-Лифаги Aidstest, Doctor Web, антивирус — ревизор диска Adinf.
Основные меры по защите от вирусов:
 оснастите свой компьютер современными антивирусными программами Aidstest или Doctor Web,
постоянно обновляйте их версии;
 для обеспечения большей безопасности применение Aidstest и Doctor Web необходимо сочетать
с повседневным использованием ревизора диска Adinf;
 используйте антивирусные программы для входного контроля всех исполняемых файлов,
получаемых из компьютерных сетей;
 проверяйте дискеты, записанные на другим компьютерах, на наличие вирусов перед
считыванием информации с дискет;
 периодически проверяйте на наличие вирусов жесткие диски компьютера;
 всегда защищайте свои дискеты от записи при работе на других компьютерах, если на них не
должна производиться запись информации.