Лекция Компьютерлік вирустар Компьютерге вирус жандыыны негізгі белгілері
Скачать 234.5 Kb.
|
Компьютерлік вирустар және олардың түрлері. Вирустардан қорғану № 10 лекция Компьютерлік вирустар; Компьютерге вирус жұққандығының негізгі белгілері; Компьютерлік вирустардың жіктелуі; Антивирустық программалардың түрлері және олардың негізгі мүмкіндіктері; Компьютерді вирус жұқтырудан сақтау тәсілдері. Сұрақтар: 1. Компьютерлік вирустар Компьютерлік вирустар – өз көшірмелерін жасырын түрде жасап, соларды компью-терлік жүйелер мен желілердегі әртүрлі объектілерге немесе ресурстарға жасырын енгізіп, тұтынушыға білдірмей әртүрлі жымысқы әрекеттер жасайтын программалар тобы. Сол көшірмелер ары қарай да жылдам көбейе отырып, таралу қасиетін сақтайды. Компьютерлік вирустар ЭЕМ ішінде пайда болып, нақты тіршілік жасайтын микроорганизмдер емес. Оларды басқаларға қасақана зиянкестік жасау үшін программалардың дұрыс орындалуына кесірін тизізу мақсатында әдейілеп жазатын адамдар бар. Ондай программаларды қырсық қиқарлар (кракер – вандалдар) жасайды. Ішіне вирус еніп кеткен программаларды “залалданған”, “зақымданған”, “науқас” немесе инфекциясы бар программа деп атайды.Инфекциясы бар “науқас” программа орындала бастағанда, алдымен вирус жұмысқа кіріседі. Содан вирус басқа программаларға да жұға бастайды да, өзінің жоспарланған зиянды әрек-еттерін атқаруға кіріседі. Вирус өз әрекеттерін сездірмес үшін бірден белсенділік танытпай, мынадай шарттардың орындалуын күтеді: - белгілі бір уақыт (инкубациялық кезең) өтуі тиіс; - операциялардың нақты бір саны орындалуы қажет; - белгілі бір күн-ай мерзімі немесе аптаның нақты бір күні келуі керек, т.с.с. Вирусқа қарсы жазылған программалардың көптігіне қарамастан, вирустар саны күннен-күнге көбейіп жатыр. 1 кесте. Белгілі болған вирустар санының өзгеру динамикасы (SARC-Symantec AntiVirus Reserch Center мәліметтері бойынша)
II.Компьютерге вирус жұққандығының негізгі белгілеріКейбір программалардың жұмыс істеуінің баяулауы; Файлдар көлемінің үлкеюі (әсіресе программалар); Бұрын болмаған кездейсоқ файлдардың пайда болуы; Пайдаланылатын жедел жад көлемінің кішіреюі (әдеттегі режиммен салыстырғанда); Кенеттен пайда болатын әртүрлі бейнелік және дыбыстық эффектілер; Операциялық жүйе жұмысынан қателіктер шығуы (оның кенеттен тұрып қалуы); Дискілерге мәлімет жазылмайтын кезде оған информацияның жазыла бастауы; Бұрын жұмыс істеп тұрған программаның тоқтап қалуы немесе үздіксіз жұмыс істеп тоқтамай кетуі; Белгісіз адамдардан (компьютерлерден) электрондық хатпен бірге орындалатын программа-ның келіп түсуі т.с.с. Алғашқы рет вирустар проблемасына көңіл бөлген Фред Коэннің (F. Cohen) «Компьютерлік вирустар, теориясы мен эксперименті» деген 1983 жылы шыққан кітабы болды. Вирустардың таралуы жөнінде тұңғыш экспериментті де Ф. Коэн 1983 ж. 10 қыркүйекте Оңтүстік Калифорния Университетіндегі қауіпсіздік семинары кезінде өткізді. Сол кездерде алғаш рет вирустардың желі бойынша бақылауға көнбейтін таралу құбылысы үлкен қоғамдық толғаныс туғызды. Ол 1988 ж. 2 қарашада Корнель университетінің соңғы курсы студенті Роберт Таппан Моррис желі бойынша таратқан вирустық программа кесірінен болды. Соның салдарынан 6200 компьютер тоқтап қалып, яғни желіге қосылған машиналардың 7,3 % -ы істен шықты. III. Компьютерлік вирустардың жіктелуі (топтарға бөлінуі) Вирустарды мынадай белгілеріне қарап топтарға (кластарға) бөлуге болады:Таралу ортасы бойынша; Жұғу тәсілі бойынша; Зиянкестік әрекетінің деңгейіне қарай немесе залалдық қасиетіне байланысты; Алгоритм ерекшелігіне қарай; Көлемінің тұрақтылығына байланысты. Вирустардың жіктелуі желілік файлдық жүктелемелі файлдық-жүктемелі Таралу ортасына қарай резидентті резидентті емес Жұғу тәсіліне қарай қауіпсіз Қауіптілігіне қарай компаньон-вирустар паразиттік вирустар репликаторлар көрінбейтіндер мутанттар макровирустар троян аттары Алгоритміне қарай монолитті Тұтастығына қарай Вирус түрлері қауіпті аса қауіпті таралғандар Таралу ортасына қарайЖелі вирустары –компьютерлік желі бойынша таралады. Оның мысалы ретінде Melissa атты вирусты келтіруге болады. Файлдық вирустар – com және exe типті бірден атқарылатын командалық файлдарға жұғып тарайды. Осы топқа макрокомандалар арқылы жазылатын макро-вирустар да жатады. Олар Word, Excel тәрізді программаларда дайындалған орындалмайтын мәтіндік немесе кестелік файлдарға жұғады. Жүктелетін вирустар (Загрузочные) - дискінің жүктелу секторына (Boot-сектор) немесе винчестердің жүйелік секторына (Master Boot Record – MBR) жабысатын вирустар. Кейбіреулері өз мәліметін дискінің бос секторларына оларды FAT- кестеге мәлімет жазылмайтын ақаулы аймақ (Bad Claster) тәрізді етіп белгілеп жазып кетеді. Файлдық-жүктелу вирустары - файлдарды да, дискінің жүктелу секторларын да бүлдіреді. Бұлар көбінесе күрделі алгоритммен жұмыс істеп, жылдам зиян тигізеді. Жұғу тәсілі бойынша
Зиянкестік әрекетіне қарай
Алгоритм ерекшелігіне қарайКомпаньон-вирустар (companion) – бұлар файлды өзгертпейді, бірақ EXE-файлдар үшін СОМ типтес қосалқы серіктес файл құрады. Мысалы, XCOPY.EXE файлы үшін XCOPY.COM файлын жасайды. Осы файл іске қосыларда алдымен вирус серігі жұмысқа кірісіп, бүлдіру істерін жүргізеді, тек соңында барып негізгі файл жұмысқа кіріседі. Паразиттік вирустар – өз көшірмелерін тарату барысында диск секторларын немесе файлдарды міндетті түрде өзгертеді. Бұл топқа «компаньон-вирустар» мен «құрттар» тобына қосылмайтын барлық вирустар жатады. Репликаторлар немесе құрт-вирустар (worm) компаньон-вирустар сияқты компьютерлік желі бойынша таралып, файлдар мен дискілерге тимейді. Олар компьютер жадындағы басқа компьютерлердің адрестерін тауып, соларға өз көшірметерін жібереді. Құрт-вирустар желілердің мәлімет тасымалдау қабілетін азайтып, сервердің (желідегі негізгі компьютер) жұмыс өнімділігін төмендетеді. Репликаторлар басқа файлдарға тиіспей, өз вирустары арқылы өздігінен көбейеді. Өткен ғасырдың 80-ж. аяғында «Моррис құрты» деп аталатын желілік вирус АҚШ- тың ғаламдық бірнеше желілерінің жұмысын тоқтатты. Көрінбейтін вирустар (стелс – Stealth) немесе тығылатын вирустар – бұлардың компьютерде өздерінің бар екендігін білдірмейтін мүмкіндіктері бар.. Стелс-вирустарды тауып алу қиын, өйткені олар операциялық жүйе жұмысына бүлінген файлдарды немесе диск секторларын білдірмей араластырып, сол сәттерде әлі бүлінбеген мәліметтерді «өңдеуге» кірісіп жатады. Полиморфтық вирустар (polymorphic) деп неше түрлі айла жасап, өздерін жасырып көрсетпеуге тырысатын вирустар тобын айтады. Полиморфтық вирустар ( полиморфиктер, елес-вирустар (призраки), мутант-вирустар) – оңайлықпен табылмайтын вирустар, өйткені олардың құрамында толық қайталанатын кодтар болмайды. Мұндай тәсіл алгоритмді өзгертпей, бірақ оларды табуды қиындататын бос командаларды (қоқысты) көптеп қосу арқылы іске асырылады. Полиморфтық вирустар ішіндегі ең көп тарағаны OneHalf деген вирус. Макровирустар мәліметтерді өңдеу жүйелеріндегі (мәтіндік редакторлар және электрондық кестелер) макрокомандалар мүмкіндіктерін кең пайдаланады. Қазіргі кезде MS Word пен Ms Excel құжаттарын бүлдіретін макровирустар кең таралған. Троян программасы керекті программа қасына жасырынып, біртіндеп өзінің бүлдіру-құрту істерін (мысалы, FAT-кестесін) өте сақ ептілікпен жүргізеді және компьютердегі құпия мәліметтерді таратумен айналысады. Троян программаларының басқа вирустар сияқты өздігінен көбейетін қасиеті жоқ. Троян программасы көбінесе сатылатын немесе өте қажет программаларға жабысып таралады. Оны «троян аты» деп те айтады. Көлеміне байланысты Біртұтас (монолит) вирустық программаны ол ауру жұққызғаннан кейін компьютер жадынан толық, әрі тұтас күйінде тауып алуға болады. Таралып орналасатын шашыраңқы вирус программасы бірнеше бөліктерге бөлініп тұрады. Оның құрамында вирус жасау мақсатында қалай біріктірілетінін компьютерге нұсқайтын бөлігі де болады. Сонымен, бұл вирус шашыраңқы күйде бөлініп сақталып тұрады да, тек аз уақытқа ғана бірігіп зияндық әрекетін істеп үлгіреді. IV. Антивирустық программалар және олардың мүмкіндіктеріАнтивирустық программалар вирустарды: тауып алады (диагностикалау); вирустарды «емдейді» (жояды); сау программаларды ауырмайтын етіп «егеді». Антивирустық программалар түрлері:детектор-программалар –(сканерлер); доктор-программалар (немесе фагтар, дезинфекторлар); ревизор программалар; фильтр-программалар (күзетшілер, мониторлар); иммунизатор-программалар. Детектор-программаларнақты вирустарды іздеп тауып алады. Олардың жұмыс принципі – тексерілетін программалар-дағы вирустарда болатын қайталанып отырыла-тын байттар тізбегін (сигнатураларды, портрет-терді немесе вирустық қалқаларды-маскаларды) салыстыру жолымен тауып алуға негізделген. Детекторларды жиі-жиі жаңалап отыру керек, өйткені олар тек осыған дейін белгілі болған вирустарды (антивирустық базадағы) ғана анықтайды. Сондықтан детектор тексерген программада оған мәлім емес жаңа вирус болуы мүмкін. Оның базасында вирустар белгісі жайлы неғұрлым көп мәлімет болса, ол соғұрлым жақсы анықтайды. Бұл кемшілікті жою үшін детектор- программалар эвристикалық анализ жасайтын программалық блокпен толықтырылатын болды. Ол арқылы әлі белгісіз вирустардың бұрынғы кодтық тізбектер енгізілген бөліктерін анықтап, оларды «күмәнді» топқа қосатын болды. Осындай эвристикалық талдау жолымен вирустарды 80% мүмкіндікпен анықтауға болатын болды. Доктор - программалар «ауру» жұққан файлдарды тауып қана қоймай, олардың құрамындағы вирустарды өшіріп емдей алады. Көптеген вирустардан емдеу қасиеті бар доктор-программалар полифаг деп аталады. Қазіргі кездерде доктор-программа жұмысын атқара алатын детектор –программалар кең таралған. Олардың ең белгілі болғандары: 1. AVP (Antiviral Toolkit Pro, авторы – Е. Касперский); 2. Aidstest (авторы - Д.Лозинский); 3. Doctor Web (авторлары - И.Дани-лов, В.Лутовинов, Д. Белоусов). Ревизор-программаларфайлдың және дискінің жүйелік аймақтарының қазіргі қалпын ревизордың бір файлына алдын ала жазылған бақылау мәліметімен салыстыру арқылы вирус жайлы талдау жасайтын программалар. Мұнда Boot-сектор қалпы, FAT-кесте құрамы, файлдар көлемі, олардың жазылған кезі, атрибуттары, бақылау қосындылары тексеріліп отырылады. Бақылау қосындысы файлдың дұрыстығының айқын көрсеткіші болып саналады. Ол файл байттарының барлығын модульдік қосу тәсілімен анықталып, файл соңына жазылады. Программаның өзгеруі оның бақылау қосындысының өзгеруіне әкеледі. Сондықтан осы қосынды вирустың жұққаны жайлы толық мәлімет береді. Ревизорлар программалар мен дискінің жүйелік аймақтары жайлы мәліметті жазып алып есте сақтайды. Жазылған сәтте вирус жұқпаған болып есептеледі. Мұнан кейін кез келген сәтте жаңадан алынған мәліметтерді бұрынғы жазылған мәліметтермен салыстырылып, вирус жайлы нақты информация алып отыруға болады. Ревизор пайда болған өзгерістер жайлы мәлімет алады, файлдар мен бумалардың өшірілуі, жылжытылуы, атының қайта қойылуы туралы ақпар жинап, бәрін салыстырып отырады. Доктор-ревизорлар тек салыстырмалы мәлімет алып қана қоймай, вирустар әсерін жойып, болған өзгерісті қайта қалпына келтіре де алады. ADinf (Advanced Diskinfoscope, авторы - Д.Мостовой) атты антивирустық программа осындай ревизорлар қатарына жатады. Осындай антивирустар жылдам жұмыс істеп, жедел жадтағы вирустарды өшіреді. Ол дискіні де, файлдарды да уақтылы бақылап, вирус жайлы нақты мәлімет береді. Фильтр-антивирустар - бұлар кез келген программаның күмәнді әрекеті жайлы тұтынушыға дер кезінде мәлімет беріп отыратын резиденттік программалар (күзетшілер). Фильтрлар мынадай операцияларды: 1. Программалық файлдардың және дискінің жүйелік аймағының өзгеруі туралы; 2. Дискінің форматталуы жайлы; 3. Жедел жадқа программаның резидентті түрде орналасуы туралы мәліметтерді тұрақты бақылайды. Осындай әрекеттің орындалғанын білсе, күзетші дереу мәлімет береді. Одан кейін шара қолдану тұтынушының өзіне байланысты болады. Мұндай антивирусқа Vsafe программасы жатады. Бірақ ол белгілі вирустарды да жоя алмайды. Мұнан кейін басқа доктор-программаларды пайдалану керек. Иммунизатор-программалар (вакцинаторлар) – бұлар антивирустардың ең тиімсіздеу тобына жатады. Олар сау программаға белгілі бір вирустардың жұққан белгісін енгізіп қояды. Вирустар мұны «ауру» жұққан программа екен деп тиіспейді. Бұлар қазіргі кезде көп қолданылмайды. Алыс шет елдердегі антивирустық программалар ішінен Dr Solomon's Anti-Virus 7.0, McAfee VirusScan3.0, Norton AntiVirus 4.0. программалары жиі қолданылады. V. Компьютерлерді вирустан сақтау бағытындағы негізгі шаралар1. ЭЕМ-ді жаңа антивирустық программалармен тұрақты түрде жабдықтап отыру керек. • 2. Ғаламдық желімен жұмыс істегенде міндетті түрде фильтр-программа (күзетші, монитор) болуы тиіс 3. Басқа компьютерде қолданылған дискеттен информация оқу алдында оны вируске тексеру керек. . 4. Архивтелген файл көшіріп алсаңыз, оны қалпына келтірісімен антивирус арқылы тексеріп шығу қажет. 5. Басқа компьютерде жұмыс ісмтегенде, дискеттің жылжымалы ілгегін салып мәлімет жазылмайтын ету керек. 6. Өте керек деген мәліметтерді архивке салып, олардың көшірмелерін басқа жерде сақтаған дұрыс. 7. Компьютерді іске қосарда немесе өшірерде дискетті дискіқозғағышта қалдырмаңыздар, мұндайда жүктелетін вирустар жұғуы мүмкін. 8. Антивирустік тексеру программасын таза операциялық жүйемен орындау керек, яғни операциялық жүйе дискетте болғаны дұрыс. 9. Интернетке қосылу арқылы вирус жұқпайды, одан кездейсоқ енген вирус жұғуы үшін желіден алынған программа жұмыс істеуі тиіс. 10. Электрондық хатқа программа қосылып келсе, оны антивирус арқылы тексермей, пайдалануға болмайды. Электрондық пошта арқылы троян програм-малары жиі келеді. 11.Операциялық жүйе іске қосылмай қалса, жылдам пайдаланатын жүйелік дискет болуы тиіс. 12. Көлемді программаны орнату кезінде дистрибутивтік файлдарды тексеріп шығыңыздар, соңынан тағы да вируске толық тексерген абзал. Тыңдағандарыңызға рахмет! |