Бакалавр
Понедельник, 10.12.2018, 17:55
Меню сайта

Форма входа

Категории раздела
Мои файлы [58]
Архивы [138]
А.Н.Юрьев. Типы и стили речи [12]
А.Н.Юрьев. Русский язык для физиков: Хрестоматия [43]
Л.Л. Нелюбин. История науки о языке [80]
В.М.Алпатов. История лингвистических учений [42]
Конституция РК [9]
А.Г.Диденко. Гражданское право [0]
Социология [15]
Толковый словарь русского языка [251]
Юрьев А.Н. Идеографический словарь разговорной и просторечной лексики русского языка [38]
А.Н.Юрьев. Толковый словарь разговорной и просторечной лексики русского языка [49]
Финасовый словарь [29]
Новейший философский словарь [244]
Новейший философский словарь: 3-е изд., исправл.
Алиева М.Б., Юрьев А.Н. Введение в педагогическую профессию [22]
Учебное пособие по специальности бакалавриата 5В011900 – Иностранный язык: два иностранных языка
Юрьев А.Н., Кунапьяева М.С. Русский язык [16]
Юрьев А.Н. Русский язык в таблицах [1]
Русский язык в таблицах
А.Н.Юрьев. Русский язык для программистов [41]
Белая Е. Н. Теория и практика межкультурной коммуникации [50]
Виды письменных студенческих работ [8]
Религоведение [2]
Библия, Библия для детей
Шпаргалки [4]
шпаргалки по всем дисциплинам
Экономика [6]
Учебники по экономике
Медицина [11]
Психология [10]
Иностранный язык [1]
Программирование [3]
учебные материалы

Поиск

Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Главная » Файлы » Архивы

Компьютерные вирусы
12.02.2018, 07:39

Компьютерные вирусы

Проблема «вирусов» и «вирусной безопасности» возникла достаточно давно. Первое исследование саморазмножающихся искусственных технических и программных конструкций проводились в середине прошлого столетия в работах фон Неймана, Винера и других ученых. Было дано определение и проведен математический анализ конечных автоматов, в том числе и самовоспроизводящихся.

Термин «компьютерный вирус» появился позднее – официально считается, что его впервые употребил сотрудник Лехайского университета (США) Фред Коэн в 1984 г. на Седьмой конференции по безопасности информации, проходившей в США. Идеи вирусов были изложены широкой публике еще в 1983 году известным разработчиком ОС Unix Кэном  Томпсоном  в одной из своих лекций. 

Одной из самых известных практических реализаций чисто теоретических работ фон Неймана и других известных ученых, явилась программа Worm («червь»), созданная осенью 1988 года студентом выпускного курса Корнелльского университета Робертом Морисом, который занимался в Bell Laboratories  программным обеспечением безопасности Unix.

Запущенный на сетевой машине «червь» искал в сети Интернет машины с серверами и использовал их для воссоздания себя в большом количестве копий. Такое  действие «червя» стало возможным в результате использования ошибки в программе («демоне») Unix fingered. Вирус распространялся с поразительной скоростью и появлялся в самых различных районах США. Через пять часов было поражено пять систем, через двое суток – шесть тысяч. По самым скромным оценкам вирус  Мориса стоил свыше 8 миллионов часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем. Общая стоимость этих затрат оценивается в 98 миллионов долларов. Ущерб был бы еще большим, если бы вирус изначально создавался с разрушительными целями.

Этот крупнейший инцидент в области компьютерной безопасности доказал (не теоретически, а практически) возможность создания саморепродуцирующихся программ, дал толчок к появлению целой отрасли компьютерной безопасности –  компьютерной вирусологии, а также выявил необходимость разработчиков Unix более серьезно заняться безопасностью этой ОС. К тому времени уже существовали единичные вирусы и на персональных компьютерах – саморепродуцирующиеся в пределах одного компьютера (видимо,  поэтому сетевые вирусы стали называться «червями»).

Так что же такое компьютерный вирус? По определению, данному одним из известных отечественных специалистов Евгением Касперским,  компьютерным вирусом называется программа, которая может создавать свои копии и внедряться в файлы и системные области компьютера, вычислительной сети и т.п. При этом копии сохраняют способность дальнейшего распространения.

Другими словами,  компьютерный вирус –  небольшая программа (средний размер - 700 байт), написанная на языке Assembler и выполняющая разрушительные для ОС действия.  Следует отметить, что такие программы как «бомбы» и «троянские кони» также приводят к неприятностям в системах, но отличаются от вирусов,  так как не обладают свойством саморазмножения. 

Название «вирус» распространилось ввиду явного сходства с биологическим прототипом. Суть воздействия биологического вируса сводится к нарушению информации, содержащейся в генетическом коде клетки. Посредством небольшого изменения фрагмента ДНК и РНК он захватывает управление жизненным процессом клетки. Таким образом, вирус обеспечивает себе возможность свободно и неограниченно размножаться. Это часто приводит к трагическим последствиям.

Если компьютерную систему сопоставить с живым организмом, а отдельные программы с клетками, то получим полную аналогию. Компьютерный вирус разрушает информацию, содержащуюся в коде программы. Он перехватывает контроль над компьютерной системой путем замены небольшого фрагмента программы, что позволяет ему неограниченно размножать свой код. Так же, как и биологический аналог,  компьютерные вирусы:

  • представляют опасность для той системы, на которой они паразитируют;
  • быстро размножаются, легко распространяются на большие расстояния;
  • проявляют себя не сразу;
  • заболевание предшествует «латентный период»,  во время которого вирус продолжает распространяться в компьютерной системе;
  • важную роль в борьбе с «заболеваниями» играют профилактика и просвещение.  

Биологическая аналогия оказывается настолько глубокой, что в литературе, посвященной компьютерным вирусам, широко используются и другие медицинские термины: «заболевание», «вакцина», «лечение», «карантин» и др., что иногда приводит к недоразумениям, когда забывается, что компьютерный вирус является обычной программой для компьютерной системы, которая имеет своего создателя.

Вирусы можно разделить на классы по следующим признакам:

  • по среде обитания вируса;
  • по способу заражения среды обитания;
  • по деструктивным возможностям. 

По среде обитания различают, прежде всего, сетевые вирусы, или вирусы-черви (worm), которые распространяются в компьютерной сети. Проникая в память компьютера, они вычисляют сетевые адреса других машин и по этим адресам рассылают свои копии.

Файловые вирусы являются наиболее распространенным типом и обладают наибольшей инфицирующей способностью. Объектом поражения файловых вирусов являются исполняемые файлы, драйверы устройств и файлы операционной системы. По способу заражения файловые вирусы делятся на резидентные и нерезидентные.

Нерезидентный файловый вирус при запуске пораженной программы ищет первую «жертву» - не зараженный файл  в текущей директории и дописывает к ней свое тело, а затем передает управление запущенной программе. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время.

Резидентные вирусы находятся в памяти компьютера, оставляя в оперативной памяти свою резидентную часть, которая перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и остаются активными вплоть до выключения компьютера или его перезагрузки.

Загрузочные вирусы внедряются в загрузочный сектор системного диска, проникая в компьютер при загрузке зараженной дискеты. При идентифицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор в какой-либо другой сектор диска, а сам записывается на его место. В результате при загрузке с зараженного диска вместо настоящего boot-сектора будет выполнен программный код вируса, который при первой возможности делает свое «черное дело». В настоящее время этот вид вирусов практически обречен, так как практически все машины имеют защиту boot-сектора.

Вирусы всех типов могут распространяться по сети. По своим деструктивным возможностям «троянский» компонент вируса обычно разделяют на:

  • безвредные, никак не влияющие на работу компьютера, кроме изменения свободной памяти на диске в результате своего размножения;
  • неопасные, влияние которых ограничивается уменьшением  объема  свободной памяти на диске и графическими, звуковыми и прочими эффектами, к которым относится, например, выдача букв или проигрывание какой-нибудь мелодии в определенное время;
  • опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
  • очень опасные вирусы, которые могут привести к потере программ; уничтожить данные; стереть необходимую для работы компьютера информацию, записанную в системных областях памяти,  и даже способствовать ускоренному износу движущихся частей диска.

Вирусы-«черви» (worm) – это вирусы, которые распространяются в компьютерной сети и, так же, как и вирусы-«спутники», не изменяют файлы или секторы на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).

Большинство вопросов связано с термином «полиморфный вирус». Этот вид компьютерных вирусов представляется на сегодняшний день наиболее опасным. Полиморфные вирусы – это вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите. Такие вирусы не только шифруют свой код, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.

Полиморфные вирусы – это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы, вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнять такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Все это делается с целью затруднения анализа кода.

Отметим еще макровирусы. Это особая разновидность вирусов, которые поражают документы в прикладных программах, имеющие расширение .doc, например документы, созданные текстовым процессором   MS Word, и выполняющие макрокоманды. Если открыть файл документа в окне, происходит заражение.

Абсолютных гарантий антивирусной безопасности не имеется, даже при наличии самых наилучших антивирусных программ. Однако путем соблюдения определенных правил профилактики (так называемой компьютерной гигиены), можно снизить до минимума риск заражения компьютеров.

Необходимо регулярно делать резервные копии файлов, с которыми ведется работа, на внешний носитель. Следует покупать дистрибутивные копии программного обеспечения только у официальных продавцов. Не следует запускать непроверенные антивирусные программы, полученные из сомнительных источников. При лечении дисков следует использовать заведомо «чистую» операционную систему.

Необходимо иметь в виду, что очень часто вирусы переносятся с игровыми программами,  с которыми следует быть предельно осторожным. В заключение следует отметить, что, кроме вирусов, существует другой вид программ, представляющих опасность для вычислительных систем, о которых ранее упоминалось. Это так называемые «троянские» программы. Такие программы не способны самостоятельно размножаться, и их распространение основано целиком на добровольном копировании. При запуске такой программы она, выполняя внешне безобидные действия,  одновременно портит данные  в компьютере.

«Троянские программы» распространяются значительно медленнее, чем вирусы, поскольку, уничтожив систему, они погибают сами. Как правило, их маскируют под игровые программы или широко известные пакеты.

Общая классификация

Анти-антивирусный вирус (Anti-antivirus Virus, Retrovirus) – компьютерная вирусная программа, объектом нападения которой являются антивирусные программы.

Вариант вируса, штамм, модификация (Variant, modification) – модифицированный вариант одного и того же вируса. Изменения в вирусный код могут вноситься как автором вируса, так и третьим лицом.

Вирусная программа-червь (Worm-virus) – паразитическая программа, обладающая механизмом саморазмножения. Программа способна размножать свои копии, но не поражать другие компьютерные программы. Проникает на компьютер из сети (чаще всего как вложение в сообщениях электронной почты или через сеть Интернет) и рассылает свои функциональные копии на другие компьютерные сети.

Вирусный мистификатор (Hoax) – не являющееся вирусом почтовое сообщение. На компьютер пользователя мистификация приходит в виде письма, написанного в подчеркнуто нейтральном тоне, в котором указывается на якобы распространяющийся новый вирус. Большинство вирусных мистификаций обладают одной или несколькими нижеследующими характеристиками. Имя вируса, на которое ссылается автор сообщения, составляется не по правилам, используемым большинством антивирусных компаний. Особо отмечается, что "вирус" пока не обнаруживается антивирусными программами. Пользователю предлагается найти некий файл с помощью поискового средства Windows и удалить его с диска. В письме содержится призыв в случае обнаружения указанного файла сообщить об этом всем своим знакомым и все тем, чьи адреса есть в адресной книге пользователя. Несмотря на всю безобидность подобного розыгрыша опасность его очевидна - массовая рассылка копий этого бесполезного сообщения загружает почтовый трафик и отнимает время пользователей.

Вирусы-спутники, вирусы-компаньоны (Virus-companion) – формально являются файловыми вирусами. Не внедряются в исполняемые программы. Такие вирусы используют особенность системы DOS, позволяющую программному файлу с тем же названием, но другим расширением действовать с разными приоритетами. Под приоритетом понимают присваиваемый задаче, программе или операции признак, определяющий очередность их выполнения вычислительной системой. Большинство таких вирусов создают COM-файл, который обладает более высоким приоритетом, нежели EXE-файлы с тем же самым названием. При запуске файла по имени (без указания расширения) будет запущен файл с расширением СОМ. Такие вирусы могут быть резидентными и маскировать файлы-двойники.

«Дроппер» (Dropper) – файл-носитель, устанавливающий вирус в систему. Техника, иногда используемая вирусописателями для "прикрытия" вирусов от антивирусных программ.

Зоологический вирус (Zoo virus) – вирус, существующий только в антивирусных лабораториях, в коллекциях исследователей вирусов и не встречающийся в «дикой природе».

Полиморфные вирусы (Polymorphic viruses) – или вирусы с самомодифицирующимися расшифровщиками (по Н.Н.Безрукову) – вирусы, использующие помимо шифрования кода специальную процедуру расшифровки, изменяющую саму себя в каждом новом экземпляре вируса, что ведет к отсутствию у него байтовых сигнатур. Расшифровщик не является постоянным – он уникален для каждого экземпляра вируса.

MtE вирусы (MtE viruses) – полиморфные вирусы, созданные с помощью генератора полиморфизма MtE (Mutant Engine). Такой генератор представляет собой специальный алгоритм, который отвечает за функции шифровки/расшифровки и генерацию расшифровщиков и присоединяется к любому объектному коду вируса. Такой расшифровщик не имеет ни одного постоянного бита, длина его всегда разная.

Pезидентный (в памяти) вирус (Memory resident virus) – постоянно присутствующий в памяти вирус, написанный, как правило, на языке Ассемблер или Си. Такие вирусы обладают возможностью более эффективно заражать программы и противодействовать антивирусным средствам. Занимает небольшой объем памяти. Пребывает в состоянии готовности к продолжению выполнения своей задачи до выгрузки, перезагрузки или выключения компьютера. Активизируется и выполняет заданные вирусописателем действия например при достижении компьютером определенного состояния (срабатывания таймера, др.). Все бутовые вирусы резидентны.

Скрипт-вирусы (Script virus) – вирусы, написанные на языках Visual Basic, Basic Script, Java Script. На компьютер пользователя такие вирусы, чаще всего, проникают в виде почтовых сообщений, содержащих во вложениях файлы-сценарии. Программы на языках Visual Basic и Java Script могут располагаться как в отдельных файлах, так и встраиваться в HTML-документ и в таком случае интерпретироваться браузером, причем не только с удаленного сервера, но и с локального диска.

Стелс-вирусы (Stealth virus) – вирусные программы, предпринимающие специальные действия для маскировки своей деятельности с целью сокрытия своего присутствия в зараженных объектах. Так называемая Стелс-технология может включать в себя:

  • затруднение обнаруженья вируса в оперативной памяти;
  • затруднение трассировки и дезассемблирования вируса;
  • маскировку процесса заражения;
  • затруднение обнаружения вируса в зараженной программе и загрузочном секторе.

Сегодня можно выделить два основных типа стелс-вирусов: руткит (rootkit) и буткит (bootkit).

Шифрованные вирусы (Encrypted viruses) – вирусы, которые сами шифруют свой код для затруднения их дезассемблирования и обнаружения в файле, памяти или секторе. Каждый экземпляр такого вируса будет содержать только короткий общий фрагмент – процедуру расшифровки - который можно выбрать в качестве сигнатуры. В случае каждого инфицирования он автоматически зашифровывает себя, и каждый раз по-разному. Таким способом вирус пытается избежать обнаружения антивирусными программами.

По видам заражаемых объектов

Файловые вирусы (File viruses) – вирусы, заражающие двоичные файлы (в основном, исполняемые файлы и динамические библиотеки). Чаще всего, такие файлы имеют расширение .EXE, .COM, .DLL, .SYS. Также могут инфицировать файлы с расширениями .DRV, .BIN, .OVL и .OVY. Такие вирусы внедряются в файлы операционной системы, активируются при запуске пораженной программы и затем распространяются.

Загрузочные (бутовые) вирусы (Boot viruses) – вирусы, которые заражают загрузочные записи (Boot record) дискет, разделов жестких дисков, а также MBR (Master Boot Record) жестких дисков.

Макрокомандные вирусы (макровирусы) (Macroviruses) – вирусы, заражающие файлы документов, используемыe приложениями Microsoft Office и другими программами, допускающие наличие макрокоманд (чаще всего на языке Visual Basic). Благоприятным фактором распространения вируса служит то, что все основные компоненты Microsoft Office могут содержать встроенные программы (макросы) на полнофункциональном языке программирования, а в Microsoft Word эти макросы автоматически запускаются при открытии любого документа, его закрытии, сохранении и т.д. Кроме того, имеется так называемый общий шаблон NORMAL.DOT и макросы, помещенные в общий шаблон автоматически запускаются при открытии любого документа. Учитывая то, что копирование макросов из документа в документ (в частности в общий шаблон) выполняется всего одной командой, среда Microsoft Word идеальна для существования макрокомандных вирусов.

Категория: Архивы | Добавил: admin | Теги: вирусы-«черви», полиморфные вирусы, компьютерные вирусы, файловый вирус, зараженный файл, резидентные вирусы
Просмотров: 56 | Загрузок: 0 | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Copyright MyCorp © 2018