Комп'ютерний вірус - поняття і класифікація. P>
Комп'ютерний вірус - це спеціально написана, невелика зарозмірами програма (тобто деяка сукупність виконуваного коду), якаможе "приписувати" себе до інших програм ( "заражати" їх), створюватисвої копії та впроваджувати їх у файли, системні області комп'ютера і т.д., атакож виконувати різні небажані дії на комп'ютері. p>
Програма, всередині якої знаходиться вірус, називається
"зараженої". Коли така програма починає роботу, то спочатку управлінняотримує вірус. Вірус знаходить і "заражає" інші програми, а такожвиконує які-небудь шкідливі дії (наприклад, псує файли аботаблицю розміщення файлів на диску, "засмічує" оперативну пам'ять іт.д.). Для маскування вірусу дії по зараженню інших програм інанесення шкоди можуть виконуватися не завжди, а, скажімо, при виконанніпевних умов. p>
Наприклад, вірус Anti-MIT щорічно 1 грудня руйнує всю інформаціюна жорсткому диску, вірус Tea Time заважає вводити інформацію з клавіатури з
15:10 до 15:13, а знаменитий One Half, протягом усього минулого року
«Гуляли» і по нашому місту, непомітно шифрує дані на жорсткому диску. У
1989 американський студент зумів створити вірус, який вивів з ладублизько 6000 комп'ютерів Міністерства оборони США. Епідемія відомого вірусу
Dir-II вибухнула в 1991 році. Вірус використав дійснооригінальну, принципово нову технологію і на перших порах зумів широкопоширитися за рахунок недосконалості традиційних антивірусних засобів.
Крістоферу Пайн вдалося створити віруси Pathogen і Queeq, а також вірус
Smeg. Саме останній був найбільш небезпечним, його можна було накладати наперші два вірусу, і через це після кожного прогону програми вони змінюваликонфігурацію. Тому їх було неможливо знищити. Щоб поширитивіруси, Пайн скопіював комп'ютерні ігри та програми, заразив їх, а потімвідправив назад у мережу. Користувачі завантажували у свої комп'ютери,заражені програми та інфікували диски. Ситуація ускладнилася тим, що
Пайн примудрився занести віруси і в програму, яка з ними бореться.
Запустивши її, користувачі замість знищення вірусів отримували ще один. УВнаслідок цього були знищені файли безлічі фірм, збитки склалимільйони фунтів стерлінгів. p>
Широку популярність отримав американський програміст Морріс. Вінвідомий як творець вірусу, який в листопаді 1988 року уразив порядку
7 тисяч персональних комп'ютерів, підключених до Internet. P>
Перші дослідження саморозмножуються штучних конструкційпроводилися в середині нинішнього сторіччя. Термін «комп'ютерний вірус»з'явився пізніше - офіційно його автором вважається співробітник Лехайскогоуніверситету (США) Ф. Коен у 1984 році на сьомий конференції збезпеки інформації. p>
Експерти вважають, що на сьогоднішній день число існуючих вірусівперевалила за 20 тисяч, причому щодня з'являється від 6 до 9 нових.
«Диких», тобто реально циркулюючих вірусів в даний часналічується близько 260. p>
Один з найавторитетніших «вірусологів» країни Євген Касперськийпропонує умовно класифікувати віруси за такими ознаками: p>
1. по місці існування вірусу p>
2. за способом зараження середовища проживання p>
3. по деструктивним можливостям p>
4. за особливостями алгоритму вірусу. p>
Більш детальну класифікацію всередині цих груп можна представитиприблизно так: p>
| | (| мережні | поширюються по |
| | | | Комп'ютерної мережі |
| Навколишнє середовище: | (| файлові | впроваджуються в |
| | | | Виконувані файли |
| | (| Завантажувальні | впроваджуються в |
| | | | Завантажувальний сектор |
| | | | Диска (Boot-сектор) |
| | | | |
| Способи | (| резидентні | знаходяться в пам'яті, |
| | | | Активні до вимикання |
| | | | Комп'ютера |
| зараження: | (| нерезидентні | не заражають пам'ять, |
| | | | Є активними |
| | | | Обмежений час |
| | | | |
| | (| Нешкідливі | практично не впливають |
| | | | На роботу; зменшують |
| | | | Вільну пам'ять на |
| | | | Диску в результаті |
| | | | Свого поширення |
| Деструктивні | (| безпечні | зменшують вільну |
| | | | Пам'ять, створюють |
| | | | Звукові, графічні |
| | | | Та інші ефекти |
| можливості: | (| небезпечні | можуть призвести до |
| | | | Серйозних збоїв в |
| | | | Роботі |
| | (| Дуже небезпечні | можуть призвести до |
| | | | Втрати програм або |
| | | | Системних даних |
| | | | |
| | (| Віруси-"супутники" | віруси, що не змінюють |
| | | | Файли, створюють для |
| | | | ЕХЕ-файлів |
| | | | Файли-супутники з |
| | | | Розширенням, СОМ |
| | (| Віруси-«черв'яки» | поширюються по |
| | | | Мережі, розсилають свої |
| | | | Копії, обчислюючи |
| | | | Мережні адреси |
| Особливості | (| «паразитичні» | змінюють вміст |
| | | | Дискових секторів або |
| | | | Файлів |
| алгоритму | (| «студентські» | примітив, містять |
| | | | Велика кількість |
| | | | Помилок |
| вірусу: | (| «стелс»-віруси | перехоплюють |
| | | (Невидимки) | звернення DOS к |
| | | | Ураженим файлів або |
| | | | Секторах і підставляють |
| | | | Замість себе |
| | | | Незаражені ділянки |
| | (| Віруси-примари | не мають жодного |
| | | | Постійної ділянки |
| | | | Коду, труднообнаружі-|
| | | | Ваеми, основне тіло |
| | | | Вірусу зашифровано |
| | (| Макровіруси | пишуться не в машинних |
| | | | Кодах, а на WordBasic, |
| | | | Живуть в документах |
| | | | Word, переписують |
| | | | Себе в Normal.dot | p>
Основними шляхами проникнення вірусів у комп'ютер є знімнідиски (гнучкі та лазерні), а також комп'ютерні мережі. Зараження жорсткогодиска вірусами може статися під час завантаження програми з дискети, яка міститьвірус. Таке зараження може бути і випадковим, наприклад, якщо дискети невийняли з дисковода А і перезавантажили комп'ютер, при цьому дискета можебути і не системною. Заразити дискету набагато простіше. На неї вірус можепотрапити, навіть якщо дискету просто вставили в дисковод зараженогокомп'ютера і, наприклад, прочитали її зміст. p>
Як працює вірус. p>
Розглянемо схему функціонування дуже простого завантажувального вірусу,заражающего дискети. p>
Що відбувається, коли ви вмикаєте комп'ютер? Насамперед управлінняпередається програмі початкового завантаження, яка зберігається в постійнопристрої, що запам'ятовує (ПЗУ) тобто ПНЗ ПЗУ. P>
Ця програма тестує обладнання і при успішному завершенніперевірок намагається знайти дискету в дисководі А: p>
Всяка дискета розмічена на т.зв. сектори і доріжки. Секториоб'єднуються в кластери, але це для нас несуттєво. p>
Серед секторів є кілька службових, що використовуються операційноюсистемою для власних потреб (у цих секторах не можуть розміщуватися вашідані). Серед службових секторів нас поки що цікавить один - т.зв. секторпочаткового завантаження (boot-sector). p>
У секторі початкового завантаження зберігається інформація про дискеті --кількість поверхонь, кількість доріжок, кількість секторів і пр. Аленас зараз цікавить не ця інформація, а невелика програма початковоїзавантаження (ПНЗ), яка повинна завантажити саму операційну систему іпередати їй керування. p>
Таким чином, нормальна схема початкового завантаження наступна: p>
ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА p>
Тепер розглянемо вірус. У завантажувальних віруси виділяють дві частини --т.зв. голову і т.зв. хвіст. Хвіст, взагалі кажучи, може бути порожнім. P>
Хай у вас є чиста дискета і заражений комп'ютер, під якимми розуміємо комп'ютер з активним резидентним вірусом. Як тільки цей вірусвиявить, що в дисководі з'явилася відповідна жертва - у нашому випадку незахищена від запису і ще не заражена дискета, він приступає дозараження. Заражаючи дискету, вірус виробляє наступні дії: p>
5. виділяє певну область диска і позначає її як недоступну операційній системі, це можна зробити по-різному, в простому і традиційному випадку зайняті вірусом сектори позначаються як збійні p>
(bad) p>
6. копіює у виділену область диска свій хвіст і оригінальний p>
(здоровий) завантажувальний сектор p>
7. заміняє програму початкового завантаження в завантажувального сектору p>
(тепер) своєю головою p>
8. організовує ланцюжок передачі управління згідно зі схемою. p>
Таким чином, голова вірусу тепер перший отримує управління, вірусвстановлюється в пам'ять і передає управління оригінального завантажувальномусектору. У ланцюжку p>
ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА з'являється нова ланка: p>
ПНЗ (ПЗУ) - ВІРУС - ПНЗ (диск) - СИСТЕМА p>
Ми розглянули схему функціонування простого бутового вірусу,що живе в завантажувальних секторах дискет. Як правило, віруси здатнізаражати не тільки завантажувальні сектори дискет, але і завантажувальні секторивінчестерів. При цьому на відміну від дискет на вінчестері є два типизавантажувальних секторів, що містять програми початкового завантаження, якіотримують управління. При завантаженні комп'ютера з вінчестера перший бере насебе управління програма початкового завантаження в MBR (Master Boot Record --головна запис завантаження). Якщо ваш жорсткий диск розбитий на кількарозділів, то лише один з них позначений як завантажувальний (boot). Програмапочаткового завантаження в MBR знаходить завантажувальний розділ вінчестера і передаєуправління на програму початкового завантаження цього розділу. Код останньоїзбігається з кодом програми початкового завантаження, що міститься на звичайнихдискетах, а відповідні завантажувальні сектори відрізняються лишетаблицями параметрів. Таким чином, на вінчестері є два об'єктиатаки завантажувальних вірусів - програма початкового завантаження в MBR і програмапочаткового завантаження boot-секторі завантажувального диска. p>
Ознаки прояви вірусу. p>
При зараженні комп'ютера вірусом важливо його виявити. Для цьогослід знати про основні ознаки прояву вірусів. До них можна віднестинаступні:
9. припинення роботи або неправильна робота раніше успішно функціонуючих програм
10. повільна робота комп'ютера
11. неможливість завантаження операційної системи
12. зникнення файлів і каталогів чи спотворення їх вмісту
13. зміна дати і часу модифікації файлів
14. зміна розмірів файлів
15. несподіване значне збільшення кількості файлів на диску
16. істотне зменшення розміру вільної оперативної пам'яті
17. виведення на екран непередбачених повідомлень та зображень
18. подача непередбачуваних звукових сигналів
19. часті зависання і збої в роботі комп'ютера p>
Слід зазначити, що перераховані вище явища необов'язково викликаються присутністю вірусу, а можуть бути наслідком інших причин.
Тому завжди утруднена правильна діагностика стану комп'ютера. p>
Антивірусні програми. p>
Для виявлення, видалення і захисту від комп'ютерних вірусів розробленіспеціальні програми, які дозволяють виявляти і знищувати віруси.
Такі програми називаються антивірусними. Сучасні антивірусніпрограми являють собою багатофункціональні продукти, що поєднують усобі як превентивні, профілактичні засоби, так і засоби лікуваннявірусів і відновлення даних. p>
Вимоги до антивірусних програм. p>
Кількість і різноманітність вірусів велике, і щоб їх швидко іефективно виявити, антивірусна програма повинна відповідати деякимпараметрами. p>
Стабільність і надійність роботи. Цей параметр, без сумніву,є визначальним - навіть найкращий антивірус виявиться зовсіммарним, якщо він не зможе нормально функціонувати на вашомукомп'ютері, якщо в результаті будь-якого збою в роботі програми процесперевірки комп'ютера не пройде до кінця. Тоді завжди є вірогідністьтого, що якісь заражені файли залишилися непоміченими. p>
Розміри вірусної бази програми (кількість вірусів, які правильновизначаються програмою). З урахуванням постійної появи нових вірусів базаданих повинна регулярно оновлюватись - що користі від програми, не що бачитьполовину нових вірусів і, як наслідок, створює помилкове відчуття
"Чистоти" комп'ютера. Сюди ж слід віднести і можливість програмивизначати різноманітні типи вірусів, і вміння працювати з файламирізних типів (архіви, документи). Важливим також є наявністьрезидентного монітора, що здійснює перевірку всіх нових файлів "на льоту"
(тобто автоматично, у міру їх запису на диск). p>
Швидкість роботи програми, наявність додаткових можливостей типуалгоритмів визначення навіть невідомих програмі вірусів (евристичнесканування). Сюди ж слід віднести можливість відновлюватизаражені файли, не стираючи їх з жорсткого диска, а лише видаливши з нихвіруси. Важливим є також відсоток помилкових спрацьовувань програми
(помилкове визначення вірусу в "чистому" файлі). p>
Багатоплатформність (наявність версій програми під різніопераційні системи). Звичайно, якщо антивірус використовується тільки вдома, наодному комп'ютері, то цей параметр не має великого значення. Але осьантивірус для великої організації просто зобов'язаний підтримувати всіпоширені операційні системи. Крім того, при роботі в мережіважливим є наявність серверних функцій, призначених дляадміністративної роботи, а також можливість роботи з різними видамисерверів. p>
Характеристика антивірусних програм. p>
Антивірусні програми поділяються на: програми-детектори, програми -доктора, програми-ревізори, програми-фільтри, програми-вакцини. p>
Програми-детектори забезпечують пошук і виявлення вірусів воперативної пам'яті і на зовнішніх носіях, і при виявленні видаютьвідповідне повідомлення. Розрізняють детектори універсальні іспеціалізовані. p>
Універсальні детектори в своїй роботі використовують перевіркунезмінності файлів шляхом підрахунку та порівняння з еталоном контрольноїсуми. Недолік універсальних детекторів пов'язаний з неможливістювизначення причин викривлення файлів. p>
Спеціалізовані детектори здійснюють пошук відомих вірусів за їхсигнатурі (повторюваному ділянці коду). Недолік таких детекторівполягає в тому, що вони не здатні виявляти всі відомі віруси. p>
Детектор, що дозволяє виявляти кілька вірусів, називаютьполідетектором. p>
Недоліком таких антивірусних про грам є те, що вони можутьзнаходити тільки ті віруси, які відомі розробникам таких програм. p>
Програми-доктора (фаги), не тільки знаходять заражені вірусами файли,але й "лікують" їх, тобто видаляють з файлу тіло програми вірусу, повертаючифайли в початковий стан. На початку своєї роботи фаги шукають віруси воперативної пам'яті, знищуючи їх, і лише потім переходять до "лікування"файлів. Серед фагів виділяють поліфаг, тобто програми-доктори,призначені для пошуку і знищення великої кількості вірусів. p>
огляду на те, що постійно з'являються нові віруси, програми-детектори тапрограми-доктори швидко старіють, і потрібно регулярне оновлення їхверсій. p>
Програми-ревізори відносяться до найнадійніших засобів захисту відвірусів. Ревізори запам'ятовують початковий стан програм, каталогів тасистемних областей диска тоді, коли комп'ютер не заражений вірусом, а потімперіодично або за бажанням користувача порівнюють поточний стан звихідним. Виявлені зміни виводяться на екран відеомонітора. Якправило, порівняння станів проводять відразу після завантаження операційноїсистеми. При порівнянні перевіряються довжина файлу, код циклічного контролю
(контрольна сума файла), дата і час модифікації, інші параметри. p>
Програми-ревізори мають достатньо розвинуті алгоритми, виявляютьстелс-віруси і можуть навіть відрізнити зміни версії перевіряється програмивід змін, внесених вірусом. p>
Програми-фільтри (сторожа) являють собою невеликі резидентніпрограми, призначені для виявлення підозрілих дій прироботі комп'ютера, характерних для вірусів. Такими діями можутьбути: p>
. спроби корекції файлів з розширеннями СОМ і ЕХЕ; p>
. зміна атрибутів файлів; p>
. прямий запис на диск по абсолютному адресою; p>
. запис у завантажувальні сектори диска. p>
. завантаження резидентного програми. p>
При спробі будь-якої програми здійснити зазначені дії
"сторож" посилає користувачеві повідомлення н пропонує заборонити абодозволити відповідна дія. Програми-фільтри досить корисні, такяк здатні виявити вірус на ранній стадії його існування дорозмноження. Проте вони не "лікують" файли і диски. Для знищення вірусівпотрібно застосувати інші програми, наприклад фаги. До недоліків програм -сторожів можна віднести їх "настирливість" (наприклад, вони постійно видаютьПопередження про будь-якій спробі копіювання виконуваногофайлу), а такожможливі конфлікти з іншим програмним забезпеченням. p>
Вакцини (іммунізатори) - це резидентні програми, що запобігаютьзараження файлів. Вакцини застосовують, якщо відсутні програми-доктори,
"лікують" цей вірус. Вакцинація можлива тільки від відомих вірусів.
Вакцина модифікує програму або диск таким чином, щоб це невідбивалося на їх роботі, а вірус буде сприймати їх зараженими ітому не впровадити. В даний час програми-вакцини маютьобмежене застосування. p>
Істотним недоліком таких програм є їх обмеженіможливості щодо запобігання зараження від великої кількості різноманітнихвірусів. p>
Короткий огляд антивірусних програм. p>
При виборі антивірусної програми необхідно враховувати не тількивідсоток виявлення вірусів, але і здатність виявляти нові віруси,кількість вірусів у антивірусної базі, частоту її оновлення, наявністьдодаткових функцій. p>
В даний час серйозний антивірус повинен вміти розпізнавати неменше 25000 вірусів. Це не означає, що всі вони знаходяться "на волі". НаНасправді більшість з них або вже припинили своє існування абознаходяться в лабораторіях і не поширюються. Реально можна зустріти 200 -
300 вірусів, а небезпеку представляють лише кілька десятків з них. P>
Існує безліч антивірусних програм. Розглянемо найбільшвідомі з них. p>
Norton AntiVirus 4.0 і 5.0 (виробник: «Symantec »). p>
Один з найбільш відомих і популярних антивірусів. Відсотокрозпізнавання вірусів дуже високий (близький до 100%). У програмівикористовується механізм, який дозволяє розпізнавати нові невідомівіруси. p>
В інтерфейсі програми Norton AntiVirus є функція LiveUpdate,дозволяє клацанням на одній-єдиній кнопці оновлювати через Web якпрограму, так і набір сигнатур вірусів. Майстер з боротьби з вірусами видаєдокладну інформацію про виявлений вірус, а також надає вамможливість вибору: видаляти вірус або в автоматичному режимі, або більшеобачно, за допомогою покрокової процедури, що дозволяє побачитикожне з виконуються в процесі видалення дій. p>
Антивірусні бази оновлюються дуже часто (іноді оновленняз'являються кілька разів на тиждень). Є резидентний монітор. P>
Недоліком даної програми є складність налаштування (хочабазові налаштування змінювати, практично не потрібно). p>
Dr Solomon's AntiVirus (виробник: «Dr Solomon's Software »). p>
Вважається одним з найкращих антивірусів (Євген Касперський як -якось сказав, що це єдиний конкурент його AVP). Виявляєпрактично 100% відомих і нових вірусів. Велика кількість функцій,сканер, монітор, евристика і все що необхідно щоб успішно протистоятивірусів. p>
McAfee VirusScan (виробник: «McAfee Associates »). p>
Це один з найбільш відомих антивірусних пакетів. Дуже добревидаляє віруси, але у VirusScan гірше, ніж в інших пакетів, йдуть справи звиявленням нових різновидів файлових вірусів. Він легко і швидковстановлюється з використанням настройок за замовчуванням, але його можнаналаштувати і на власний розсуд. Ви можете сканувати всі файли аботільки програмні, розповсюджувати або не поширювати процедурусканування на стислі файли. Має багато функцій для роботи з мережею
Інтернет. P>
Dr.Web (виробник: «Діалог Наука») p>
Популярний вітчизняний антивірус. Добре розпізнає віруси, але вйого базі їх набагато менше ніж у інших антивірусних програм. p>
Antiviral Toolkit Pro (виробник: «Лабораторія Касперського »). p>
Це антивірус визнаний у всьому світі як один з найнадійніших. < br>Незважаючи на простоту у використанні він володіє всім необхідним арсеналомдля боротьби з вірусами. Евристичний механізм, надмірне сканування,сканування архівів і упакованих файлів - це далеко не повний перелікйого можливостей. p>
Лабораторія Касперського уважно стежить за появою нових вірусіві своєчасно випускає оновлення антивірусних баз. Є резидентниймонітор для контролю за виконуваними файлами. p>
Висновок. p>
Не дивлячись на широку поширеність антивірусних програм, вірусипродовжують «плодитись». Щоб впоратися з ними, необхідно створюватиуніверсальні і якісно-нові антивірусні програми, які будутьвключати в себе всі позитивні якості своїх попередників. Дожаль, на даний момент немає такої антивірусної програми, якагарантувала б захист від усіх різновидів вірусів на 100%, аледеякі фірми, наприклад «Лабораторія Касперського», на сьогоднішній деньдосягли непоганих результатів. p>
Захищеність від вірусів залежить і від грамотності користувача.
Застосування укупі всіх видів захистів дозволить досягти високої безпекикомп'ютера, і відповідно, інформації. p>
Список використаних джерел p>
Ахметов К. Курс молодого бійця. Москва, Комп'ютер-прес, 1997. P>
Касперский Е. Комп'ютерний віруси в MS-DOS. Москва, Едель-Ренессанс, 1992. P>
Світ ПК. № 4,1998. P>
p>