Комп'ютерний вірус - це шкідлива програма, Здатна до саморозмноження й виконання деструктивних дій. Віруси зазвичай потрапляють в ваш комп'ютер під маскою чогось привабливого або корисного. Діють вони тільки програмним шляхом: приєднуються до файлу і вже разом із зараженим файлом проникають в комп'ютер. Є віруси, які після зараження залишаються в оперативній пам'яті комп'ютера. У цьому випадку вони продовжують шкодити іншим завантажуваних файлів і програм до завершення роботи середовища, в якій дані віруси виконуються. Такі віруси називаються резидентними. Інші різновиди вірусів після запуску робить разовий пошук жертв, після чого завершує роботу і передає управління зараженому файлу. Дія вірусів може проявлятися по-різному: від візуальних ефектів, що заважають працювати, до повної втрати інформації.
Основні джерела вірусу
Вірус може потрапити в ваш комп'ютер кількома способами. По-перше, через флеш-накопичувач (або дискету), на якому знаходяться заражені файли. Ще один варіант - через комп'ютерну мережу, В тому числі систему електронної пошти та Інтернет. Джерелом може служити жорсткий диск, на який потрапив вірус в результаті роботи з зараженими програмами. Крім того, установка зараженої операційної системи також призведе до попадантю шкідливої \u200b\u200bпрограми на ваш комп'ютер.
Сам процес поширення вірусу може бути розділений на декілька стадій. На початку вірус проникає в комп'ютер. Після цього відбувається його активація і починається пошук об'єктів зараження. Потім слід стадія підготовки вірусних копій і подальше їх впровадження в програми комп'ютера.
Дізнатися про попадання на ваш комп'ютер вірусу можна по ряду ознак. на ранній стадії зараження відбувається зменшення обсягу вільної оперативної пам'яті, або ж уповільнення завантаження і роботи комп'ютера. Незрозумілі зміни в файлах, неможливість зберігати файли в потрібних каталогах, незрозумілі системні повідомлення, музикальні та візуальні ефекти - все це також служить сигналом про попадання на ваш комп'ютер вірусу. Під час активної фази відбувається зникнення файлів, неможливість їх завантаження, а також завантаження операційної системи. Крім того, при зараженні комп'ютера вірусом може відбуватися форматування жорсткого диска.
Класифікація вірусів
На сьогоднішній день відомо близько 50 тис. Комп'ютерних вірусів. Залежно від характерних властивостей вірусів для їх виявлення і нейтралізації можуть застосовуватися різні методи. У зв'язку з цим виникає питання про класифікацію шкідливих програм. Фахівці умовно виділяють наступні типи вірусів.
завантажувальні віруси
Даний тип вірусів заражає завантажувальні сектори постійних і змінних носіїв. Часто вірус не збожеволіє цілком в завантажувального запису: туди пишеться тільки його початок, а тіло вірусу зберігається в іншому місці диска. Після запуску залишається в пам'яті резидентно.
файлові віруси
Дані віруси заражають файли. Ця група додатково ділиться на три, в залежності від середовища, в якій виконується вірусний код:
Власне файлові віруси - ті, які безпосередньо працюють з ресурсами операційної системи. Вражають файли з расшіреніем.com, ехе.
Макровіруси - віруси, написані мовою макрокоманд і виконують у середовищі якого-небудь додатка. У переважній більшості випадків мова йде про макроси в документах Microsoft Office.
Скрипт-віруси - віруси, що виконують у середовищі певної командної оболонки: раніше - bat-файли в командній оболонці DOS, зараз частіше VBS і JS - скрипти в командній оболонці Windows Scripting Host (WSH).
Віруси-невидимки
Даний вид носить також назву stealth-вірусу. Головна особливість вірусу-невидимки полягає в тому, що вірус, перебуваючи постійно в пам'яті комп'ютера, перехоплює звернення до зараженого файлу і на ходу видаляє з нього вірусний код, передаючи у відповідь на запит незмінену версію файлу. Таким чином stealth-віруси маскують свою присутність в системі. Для їх виявлення антивірусним засобам потрібна можливість прямого звернення до диска в обхід засобів операційної системи.
Існує кілька способів того, як можна запобігти зараженню та його руйнівні наслідки. Наприклад, ви можете провести резервне копіювання інформації, або постаратися не використовувати випадкові і невідомі програми. Ви також можете встановити на своєму комп'ютері антивірус. Тут вибір великий: від платних професійних антивірусних пакетів до.
під комп'ютерним вірусом (Або просто вірусом) розуміється автономно функціонуюча програма, здатна до самостійного впровадження в тіла інших програм, подальшого самовідтворення і самораспространению в комп'ютерних мережах і окремих ЕОМ. Попередниками вірусів прийнято вважати так звані троянські програми, Тіла яких містять приховані послідовності команд (модулі), що виконують дії, що завдають шкоди користувачам. Найбільш розповсюдженим різновидом троянських програм є широко відомі програми масового застосування (редактори, ігри, транслятори і т.д.), в які вбудовані так звані "логічні бомби", що спрацьовують при настанні деякої події. Слід зазначити, що троянські програми не є саморозмножуються.
Принципова відмінність вірусу від троянської програми полягає в тому, що вірус після його активізації існує самостійно (автономно) і в процесі свого функціонування заражає (інфікує) програми шляхом включення (імплантації) в них свого тексту. Програми, заражені вірусом, називаються вірусоносіями.
Зараження програми, як правило, виконується таким чином, щоб вірус отримав управління раніше самої програми. Для цього він або вбудовується в початок програми, або імплантується в її тіло так, що першою командою інфікованої програми є безумовний перехід на комп'ютерний вірус. Текст вірусу закінчується командою безумовного переходу на команду вірусоносія, аналогічної колишньої першої до зараження. Отримавши управління, вірус вибирає наступний файл, заражає його, можливо, виконує будь-які інші дії, після чого віддає управління вірусоносії.
"Первинне" зараження відбувається в процесі надходження інфікованих програм з пам'яті однієї машини в пам'ять інший, причому як засоби переміщення цих програм можуть використовуватися як магнітні носії (дискети), лазерні диски так і канали обчислювальних мереж. Віруси, які використовують для розмноження мережеві засоби, прийнято називати мережевими. Цикл життя вірусу зазвичай включає наступні періоди: впровадження, інкубаційний, реплікації (саморозмноження) і прояви. Протягом інкубаційного періоду вірус пасивний, що ускладнює завдання його пошуку і нейтралізації. На етапі прояви вірус виконує властиві йому цільові функції, наприклад необоротну корекцію інформації в комп'ютері або на магнітних носіях.
Ознаками наявності вірусів є:
зменшення доступного простору оперативної пам'яті;
зміна кількості файлів;
зміна розмірів файлів;
різко сповільнюється швидкість роботи системи;
починає запалюватися лампочка звернення до дисковода, хоча звернення немає;
зависання системи.
Найбільш суттєві ознаки комп'ютерних вірусів дозволяють провести наступну їх класифікацію.
За режимом функціонування:
резидентні віруси - віруси, які після активізації постійно знаходяться в оперативній пам'яті комп'ютера і контролюють доступ до його ресурсів;
транзитні віруси - віруси, які виконуються тільки в момент запуску зараженої програми.
По об'єкту впровадження:
файлові віруси - віруси, що заражають файли з програмами;
завантажувальні (бутові) віруси - віруси, що заражують програми, що зберігаються в системних областях дисків.
По ступені й способу маскування:
віруси, які не використовують засобів маскування;
stealth-віруси (Стелс) - віруси, які намагаються бути невидимими;
віруси-мутанти (MtE-віруси) - віруси, що містять в собі алгоритми шифрування, що забезпечують відмінність різних копій вірусу.
Найбільш поширені типи вірусів характеризуються такими основними особливостями.
Файловий транзитний вірус цілком розміщується в виконуваному файлі, в зв'язку з чим він активізується тільки в разі активізації вірусоносія, а по виконанні необхідних дій повертає управління самій програмі. При цьому вибір чергового файлу для зараження здійснюється вірусом за допомогою пошуку за каталогом. Файловий резидентний вірус відрізняється від нерезидентного логічною структурою і загальним алгоритмом функціонування.
резидентний вірус при інфікуванні комп'ютера залишає в оперативній пам'яті свою резидентну частину, яка потім перехоплює звернення ОС до об'єктів зараження (файлів, завантажувальних секторів дисків і т.д.) і впроваджується в них. Резидентні віруси знаходяться в пам'яті і є активними аж до вимикання комп'ютера або перезавантаження ОС.
Найбільш поширеним способом зараження вірусами ПК є інфікування запускаються, а також файлів при їх відкритті або читанні. Одним з варіантів зараження є інфікування завантажувального сектора (бут-сектора) магнітного носія. завантажувальні віруси можуть реалізовувати дуже широкий набір способів інфікування і цільових функцій.
Стелс-віруси користуються слабкою захищеністю деяких операційних систем і замінюють деякі їх компоненти (драйвери дисків, переривання) таким чином, що вірус стає невидимим (прозорим) для інших програм.
поліморфні віруси - це досить важко виявляються віруси, що не містять жодного постійної ділянки свого коду. У більшості випадків два зразки того самого поліморфік-вірусу не матимуть жодного збігу.
макровіруси поширюються під управлінням прикладних програм, що робить їх незалежними від операційної системи. Переважна кількість макровірусів функціонують під управлінням системи Microsoft Word for Windows. Результатом «роботи» макровірусу може бути руйнування документа, створеного за допомогою програми.
Основним принципом роботи мережевого вірусу є можливість самостійно передати свій код на віддалений сервер або робочу станцію. "Повноцінні" мережні віруси при цьому володіють ще і можливістю запустити на виконання свій код на віддаленому комп'ютері або, принаймні, "підштовхнути" користувача до запуску зараженого файлу.
Найбільшу популярність здобули мережеві віруси кінця 80-х, їх також називають мережними хробаками (worms). До них відносяться вірус Морріса, віруси Christmas Tree і Wank Worm. Для свого поширення вони використовували помилки глобальних мереж того часу. Віруси передавали свої копії з сервера на сервер і запускали їх на виконання. Епідемія вірусу Морріса паралізувала свого часу кілька глобальних мереж у США.
Мережеві віруси минулого поширювалися в комп'ютерній мережі і, як правило, не змінювали файли або сектора на дисках. Вони проникали в пам'ять комп'ютера з комп'ютерної мережі, обчислювали мережеві адреси інших комп'ютерів і розсилали по цих адресах свої копії. Ці віруси іноді також створювали робочі файли на дисках системи, але могли взагалі не звертатися до ресурсів комп'ютера (за винятком оперативної пам'яті).
Після декількох епідемій мережних вірусів помилки в мережних протоколах і програмному забезпеченні були виправлені. В результаті протягом кількох років не було зафіксовано жодного випадку зараження мережним вірусом і не з'явилося жодного нового мережного вірусу.
Знову проблема мережних вірусів виникла лише на початку 1997 р з появою вірусів, що використовують можливості електронної пошти. Вірус створює новий лист, що містить заражений файл-документ, потім вибирає зі списку адрес три випадкових адреси і розсилає по ним інфікований лист. Оскільки багато користувачів встановлюють параметри пошти таким чином, що при одержанні листа воно автоматично відкривається, то вірус "автоматично" впроваджується в комп'ютер адресата зараженого листа.
за деструктивним можливостям віруси можна розділити на наступні групи:
корисні віруси, які використовуються в іграх для моделювання нестандартних ситуацій;
нешкідливі або безпечні віруси, тобто віруси ніяк що не впливають на роботу комп'ютера (можуть тільки зменшувати вільну пам'ять на диску в результаті свого поширення, а також створювати різні графічні, звукові та інші ефекти);
небезпечні віруси, які можуть привести до серйозних збоїв в роботі комп'ютера;
дуже небезпечні віруси, в алгоритм роботи яких свідомо закладені процедури, які можуть привести до втрати програм, знищити дані, стерти необхідну для роботи комп'ютера інформацію, записану в системних областях пам'яті.
Таблиця 2 Характеристики комп'ютерних вірусів
|
клас вірусу |
види вірусу |
характер впливу |
|
Чи не пошкоджують файлову структуру |
Розмножуються в ОЗУ дратівливі оператора |
Імітація несправності процесора, пам'яті, НМД, НГМД, принтера, портів, дисплея, клавіатури Формування на терміналі текстових і графічних повідомлень. Синтез мови, формування мелодії і звукових спецефектів Перемикання режимів настройки клавіатури, дисплея, принтера, портів. |
|
Ушкоджують файлову структуру |
Ушкоджують призначені для користувача програми і дані Руйнують системну інформацію (в тому числі кріптовіруси) |
Руйнування вихідних текстів програм, бібліотек комп'ютерів, перекручень без даних, текстових документів, графічних зображень і електронних таблиць. Руйнування логічної системи диска, спотворення структури заповнення носія, формування носіїв, пошкодження файлів операційної системи. |
|
Діючі на апаратуру оператора |
Виводять з ладу апаратуру Діючі на оператора |
Випалювання люмінофора, пошкодження мікросхем, магнітних дисків, принтера. Вплив на психіку оператора і т.п. |
Сучасні комп'ютерні віруси мають широкі можливості ворожого впливу, починаючи від невинних жартів і закінчуючи серйозними ушкодженнями апаратури. В цьому напрямку самим свіжим прикладом може служити вірус Win95. CIH, він руйнує пам'ять BIOS (Basic Input \\ Output System), що визначає саму рабочею логіку комп'ютера. При цьому наносяться пошкодження досить легко виправляються, профілактика деструктивної функції задоволена, проста - досить в програмі Setup встановити заборону на оновлення BIOS.
4.1 Файлові віруси
файлові віруси- це віруси, які при розмноженні використовують систему, будь - якої операційної системи. Впровадження файлового вірусу можливо в усі виконувані файли всіх популярних операційних систем - DOS, Windows, OS \\ 2, Macintosh, UNIX і т.д.
4.1.1 Файловий нерезидентний вірус
Файловий нерезидентний вірус цілком розміщується в виконуваному файлі, в зв'язку, з чим він активізується тільки в разі активізації вірусоносія, а по виконанні необхідних дій повертає управління самій програмі. При цьому вибір чергового файлу для зараження здійснюється вірусом за допомогою пошуку за каталогом.
4.1.2 Файловий резидентний вірус
Файловий резидентний вірус відрізняється від нерезидентного тим, що заражає не тільки виконувані файли, що знаходяться у зовнішній пам'яті, але і оперативну пам'ять ПЕОМ.
Резидентний вірус складається з так званого інсталятора та програм обробки переривань. Інсталятор отримує управління при активізації вірусоносія і інфікує оперативну пам'ять шляхом розміщення в ній керуючої частини вірусу і заміни адрес в елементах вектора переривань на адреси своїх програм, що обробляють ці переривання. На так званій фазі стеження, наступної за описаною фазою інсталяції, у разі виникнення будь-яких переривання управління отримує відповідна програма вірусу.
У зв'язку з істотно більш універсальною порівняно з нерезидентними вірусами загально схемою функціонування, резидентні віруси можуть реалізувати найрізноманітніші способи інфікування. Найбільш поширеними способами є інфікування запускаються, а так само файлів при їх відкритті або читанні.
4.1.3Overwriting-віруси
Overwriting-вірус записує свій код замість коду заражає файли, знищуючи його вміст, після чого файл перестає працювати і не відновлюється. Такі віруси швидко виявляють себе, так як операційна система і додатки швидко перестають працювати.
4.1.4 Parasitic-віруси
Parasitic-віруси змінюють вміст файлів, залишаючи при цьому самі файли повністю або частково працездатними. Такі віруси підрозділяються на віруси, що записуються в початок, в кінець і в середину файлів.
4.1.5 Companion-віруси
Companion-віруси не змінюють заражають файлів, а створюють для заражає файли файл - двійник, причому при запуску зараженого файлу управління отримує саме цей двійник, тобто вірус.
4.1.6 Файлові черви
файлові черви (Worms) є різновидом компаньйон - вірусів, однак не пов'язують свою присутність з яким - небудь виконуваним файлом. При розмноженні вони копіюють свій код в будь - які каталоги дисків в надії, що ці нові копії будуть коли - небудь запущені користувачем.
4.1.7 Link-віруси
Link-віруси використовують особливо організації файлової системи. Вони, як і компаньйон - віруси, не змінюють фізичного вмісту файлів, проте при запуску зараженого файлу «змушують» операційну систему виконати свій код за рахунок модифікації необхідних полів файлової системи.
4.1.8 OBJ, LIB і віруси у вихідних текстах
Віруси, що заражають бібліотеки компіляторів, об'єктні модулі і вихідні тексти програм. Віруси, що заражають OBJ- і LIB- файли, записують у них свій код у форматі об'єктного модуля або бібліотеки. Заражений файл не є виконуваним і не здатний на подальше поширення вірусу в поточному стані. Носієм же «живого» вірусу стає СОМ - або ЕХЕ-файл, що отримується в процесі лінковки зараженого OBJ / LIB - файлу з іншими об'єктними модулями і бібліотеками. Таким чином, вірус поширюється в два етапи: на першому заражаються OBJ / LIB
файли, на другому етапі (лінковка) виходить працездатний вірус.
4.2 Макровіруси
макровіруси є програмами на макромови, вбудовані в деякі системні обробки даних (текстові редактори, електронні таблиці і т.д.). Вони заражають документи й електронні таблиці ряду офісних редакторів.
Для розмноження вони використовують можливості макромов і при їхній допомозі переносять себе з одного зараженого файлу в інші. Найбільшого поширення набули Макровіруси для Microsoft Word, Excel і Office 97. Віруси цього типу одержують керування при відкритті зараженого файлу і ідентифікують файли, до яких згодом йде звернення з відповідного офісного додатка - Word, Excel та ін.
Комп'ютерний вірус - різновид комп'ютерних програм або шкідливий код, відмітною ознакою яких є здатність до розмноження (самореплікаціі). На додаток до цього віруси можуть без відома користувача виконувати інші довільні дії, в тому числі що завдають шкоди користувачеві і / або комп'ютера.
Поширення. Віруси розповсюджуються, копіюючи своє тіло і забезпечуючи його подальше виконання: впроваджуючи себе у виконуваний код інших програм, замінюючи собою інші програми, прописуючись в автозапуск і інше. Канали: Носії даних (флешки); Електронна пошта; Системи обміну миттєвими повідомленнями; Веб-сторінки; Інтернет і локальні мережі (черви).
Тому слід дотримуватися деяких запобіжних заходів, зокрема:
· Не працювати під привілейованими обліковими записами без крайньої необхідності.
· Чи не запускати незнайомі програми з сумнівних джерел.
· Намагатися блокувати можливість несанкціонованого зміни системних файлів.
· Відключати потенційно небезпечний функціонал системи (наприклад, autorun-носіїв в MS Windows, приховування файлів, їх розширень і ін.).
· Чи не заходити на підозрілі сайти, звертати увагу на адресу сторінки в адресному рядку браузера.
· Користуватися тільки довіреними збірками.
· Постійно робити резервні копії важливих даних і мати образ системи з усіма параметрами для швидкого розгортання.
· Виконувати регулярні оновлення часто використовуваних програм, особливо тих, які забезпечують безпеку системи.
Комп'ютерні віруси бувають наступних типів:
· Файлові віруси, що вражають exe і com файли, іноді тільки com. Першим заражається командний процесор, а через нього всі інші програми. Найбільш небезпечні резидентні віруси, які залишаються в оперативній пам'яті постійно. Зараження відбувається при запуску зараженої програми (хоча б одноразовому), тобто коли вірус отримує управління і активізується. Такі віруси псують програми і дані, але іноді можуть знищити вміст всього жорсткого диска.
· Завантажувальні або бутові віруси - вражають завантажувальні сектори жорстких дисків і дискет. Вони найбільш небезпечні для комп'ютера, так як в результаті їх руйнівної роботи комп'ютер перестає завантажуватися, іноді відразу після зараження, яке відбувається навіть при виведенні змісту зараженої дискети.
· Віруси, що вражають драйвери, вказані у файлі config.sys, і дискові файли DOS. Це веде до припинення завантаження комп'ютера.
· Віруси DIR, що змінюють файлову структуру.
· Невидимі або стелс-віруси. Їх дуже важко виявити. найпростіший спосіб маскування - при зараженні файлу вірус вдає, що довжина файлу не змінилася.
· Самомодіфіцірующіеся віруси. Вони змінюють свою структуру і код за випадковим законом і їх дуже важко виявити. Їх називають також поліморфними. Дві копії одного і того ж вірусу цього типу можуть не містити однакових послідовностей байт.
· Мережеві віруси - вражають машини, що працюють в мережі, в тому числі в мережі Інтернет.
· Віруси Word, Excel, Access, PowerPoint, - вражають документи і макроси програм з MS Office.
· Віруси Windows - функціонують і псують дані в середовищі Windows.
18.Компьютерние віруси.Характерістіка.
1.Логіческая бомба. Таємне вбудовування в програму для ЕОМ. Повинна спрацювати лише один раз при надходженні певних логічних умов. При цьому «бомба» автоматично ліквідується при закінченні виконання заданого злочину.
2.Троянскій кінь. Полягає в таємному введенні в чужу програмне забезпечення шкідливої \u200b\u200bпрограми для ЕОМ, яка дозволяє негласно здійснювати інші не планує розробником програми ф-ції. Ці засоби вчинення злочину використовують для негласного здобування конфіденційність сведеній.Напрімер логіна або пароля доступу в мережу інтернет.
3.Троянская матрьошка. Автоматичний конструктор для створення шкідливих програм для ЕОМ по заданому злочинцем алгорітму.Она камуфлируется під звичайні програми для ЕВМ.Прі попаданні в програмне середовище комп'ютера потерпілого, автоматично спрацьовує алгоритм, за яким починають створюватися модулі, з яких надалі буде створена шкідлива програма. Після їх створення початкові програмні продукти самознищується. Потім модулі самознищується. Такі цикли можуть повторюватися нескінченно, як матрьошки, вбудовані один в одного.
4.Червь. Саморозмножуються і самораспространяющемуся вірус, який створений спеціально для функціонування в мережі ЕОМ. На відміну від звичайного вірусу, розповсюджуваного у вигляді окремого файлу даних, це шкідлива програма зберігає свої модулі на декількох комп'ютерах в робочих станціях мережі. При знищенні одного або декількох модулів на відповідному числі робочих сторінок черв'як автоматично відтворює їх після кожного підключення вилікуваного комп'ютера в мережі, як розрізаний на частини дощовий черв'як.