Антивирусы. Вирусы Что такое компьютерный вирус
Скачать 32.98 Kb.
|
ВирусыЧто такое компьютерный вирусКомпьютерный вирус — это специально написанная, как правило, небольшая по размерам программа, которая может записывать (внедрять) свои копии (возможно, изменённые) в компьютерные программы, расположенные в исполнимых файлах, системных областях дисков, драйверах, документах и т.д., причём эти копии сохраняют возможность к «размножению». Процесс внедрения вирусом своей копии в другую программу (системную область диска и т.д.) называется ЗАРАЖЕНИЕМ, а программа или иной объект, содержащий вирус - ЗАРАЖЁННЫМ. Функционирование вирусов.Когда заражённая программа начинает работу, то сначала управление получает вирус. Вирус находит и «заражает» другие программы или иные объекты, а также может выполнить какие-нибудь вредные действия. Затем вирус передаёт управление той программе, в которой он находиться, и она работает так же, как обычно. Тем самым внешне работа заражённой программы выглядит так же, как и незаряжённой. Резидентные вирусы.Многие разновидности вирусов устроены так, что при запуске заражённой программы вирус остаётся резидентно, т.е. до перезагрузки DOS, в памяти компьютера. В этом случае вирус может вплоть до перезагрузки заражать программы и выполнять вредные действия на компьютере. При этом такие вирусы часто обычно стараются обеспечить свою активизацию и после перезагрузки компьютера. Имеются даже вирусы, выживающие после выключения компьютера или нажатия кнопки «Reset» с последующей загрузкой с чистой системой дискеты. Опасные и неопасные вирусы.Неопасные вирусы.Большинство не выполняют каких-либо действий, кроме своего распространения(заражение других программ, дисков и т.д.) и, иногда, выдачи каких-либо сообщений или иных эффектов(«приколов»), придуманных автором вируса; игры музыки, перезагрузки компьютера, выдачи на экран разных рисунков, блокировки или изменения функций клавиш клавиатуры, замедления работы компьютера, создания видеоэффектов и т.д. Однако сознательный(или по недомыслию) порчи информации эти вирусы не осуществляют. Такие вирусы условно называются НОПАСНЫМИ. Впрочем, и эти вирусы способны причинить большие неприятности(например, перезагрузки каждые пять минут вообще не дадут Вам работать). Опасные и очень опасные вирусы.Однако около трети всех видов вирусов портят данные на дисках - или сознательно, или из-за содержащихся в вирусах ошибок, скажем, из-за не вполне корректного выполнения некоторых действий. Если порча данных происходит лишь эпизодически и не приводит к тяжёлым последствиям (например, портиться лишь COM- файлы при заражении, если длина этих файлов более 64000 байт), то вирусы называются опасными. Если же порча данных происходит часто или вирусы причиняют значительные разрушения (форматирование жёсткого диска, систематическое изменение данных на диске и т. д.), то вирусы называются ОЧЕНЬ ОПАСНЫМИ. ЗАРАЖАЕМЫЕ ОБЪЕКТЫ.Компьютерные вирусы отличаются друг от друга по тому, в какие объекты они внедряются, иначе говоря, что они заражают. Впрочем, некоторые вирусы заражают несколько видов объектов. Файловые вирусы.Большинство вирусов распространяется, заражая исполнимые файлы, т.е. файлы с расширением имени .COM и .EXE, а также оверлейные файлы (то есть вспомогательные программные файлы, загружаемые при выполнении других программ). Такие вирусы называются ФАЙЛОВЫМИ. Вирус в заражённых исполнимых файлах начинает свою работу при запуске той программы, в которой он находиться. Загрузочные вирусы.Вирусы, заражающие драйверы.Некоторые вирусы умеют заражать драйверы, то есть файлы, указываемые в предложении DEVICE или DEVICEHIGH файла CONFIG. SYS. Вирус, находящийся в драйвере, начинают свою работу при загрузке данного драйвера из файла CONFIG. SYS при начальной загрузке компьютера. Обычно заражающие драйверы вирусы заражают также исполнимые файлы или загрузочные сектора дискет, поскольку иначе им не удавалось бы распространяться – ведь драйверы очень редко переписывают с одного компьютера на другой. Иногда заражение драйверов используется в качестве этапа в стратегии распространении вируса. Например, вирус JEWS-2339 при загрузке из исполнимого файла заражает все драйверы, обнаруженные в CONFIG. SYS, а при загрузке заражённого драйвера становиться резидентным и заражает все файлы на дискетах(а на жёстком диске, наоборот, лечит). Для заражения компьютера загрузочным вирусом достаточно всего один раз оставить заражённую дискету в дисководе. А: в момент перезагрузки компьютера. При этом вирус заразит жёсткий диск компьютера. И после этого при загрузке с жёсткого диска компьютера будет запускаться вирус. ЗАМЕЧАНИЯ: Дискеты, через которые распространяются загрузочные вирусы, вовсе не обязаны быть системными. Ведь на любой дискете в начальном секторе имеется загрузчик ОС, но на системной дискете он находит файлы ОС, загружает их и передаёт им управление, а на несистемной дискете - не находит и выводит сообщение «Non-system disk» или что-то в этом роде. Ещё один широко распространённый вид вирусов внедряется в начальный сектор дискет или логических дисков, где находиться загрузчик оперативной системы, или в начальный сектор жёстких дисков, где находится таблица разбиения жёсткого диска и небольшая программа, осуществляющая загрузку с одного из разделов, указанных в этой таблице. Такие вирусы называются ЗАГРУЗОЧНЫМИ или БУТОВЫМИ (от слова boot - загрузчик). Эти вирусы начинают свою работу при загрузке компьютера с заражённого диска. Загрузочные вирусы всегда являются резидентными и заражают вставляемые в компьютер дискеты. Встречаются также загрузочные вирусы, заражающие и файлы - ФАЙЛОВО-ЗАГРУЗОЧНЫЕ ВИРУСЫ. Вирусы, заражающие командные файлы.Вирусы, заражающие документы Word для Windows.Очень редкой разновидностью вирусов являются вирусы, заражающие командные файлы. Обычно, эти вирусы формируют с помощью команд командного файла(команд ECHO и др.) исполнимый файл на диске (как правило, в формате .COM), запускают этот файл, он выполняет размножение вируса и вредящие действия, после чего данный файл стирается. Вирус в заражённых командных файлах начинает свою работу при выполнении командного файла, в котором он находится. Иногда вызов заражённого командного файла вставляется в файл AUTOEXEC. BAT. Вирусы, заражающие другие объекты.В принципе, возможно заражение и других объектов, содержащих программы в какой-либо форме – текстов программ, электронных таблиц и т.д. Например, вирус AsmVirus. 238 заражает файлы программ на языке ассемблера(.ASM-файлы), вставляя туда ассемблерные команды, которые при трансляции порождают код вируса. Однако число пользователей, программирующих на языке ассемблера, невелико, поэтому широкое распространение такого вируса невозможно. Электронные таблицы содержат макрокоманды, в том числе и макрокоманды, автоматически выполняющиеся при открытии таблицы. Поэтому для них могут быть созданы вирусы, аналогичные вирусам для документов Word для Windows. Пока что такие вирусы были созданы для таблиц табличного процессора Excel. ЗАМЕЧАНИЯ: как правило, каждая конкретная разновидность вируса может заражать только один или два типа объектов. Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают только .COM-файлы, некоторые – только . EXE-файлы, а большинство – и те, и другие. На втором месте по распространенности загрузочные вирусы. Некоторые вирусы заражают и файлы, и загрузочные области дисков. Остальные вирусы встречаются редко. Летом 1995 года появилась новая разновидность вирусов – вирусы, заражающие документы Word для Windows версии 6.0 и 7.0. Вследствие распространённости редактора Word для Windows такие документы имеются почти на каждом компьютере. Долгое время заражение файлов документов считалось невозможны, так как документы не содержали исполнимых программ. Однако программисты фирмы Microsoft встроили в документы Word для Windows мощный язык макрокоманд WordBasic. При этом макрокоманды не видны в редактируемом – для их просмотра и редактирования надо выбрать в группе меню Tools(сервис) пункт Macro(Макрос), а много ли пользователей вообще что-то слышали об этом пункте меню… И, как говорится, «вот злонравия достойные плоды!» - на этом WordBasic стало возможно(и даже очень легко) 6исать вирусы. Запуск вируса происходит при открытии на редактирование заражённых документов (ведь заботливые программисты из Microsoft предусмотрели макрокоманду AutoOpen, автоматически выполняющуюся при открытии документа). При этом макрокоманды вируса записываются в глобальный шаблон NORMAL...DOT, так что при новых сеансах работы с Word для Windows вирус будет автоматически активироран. При наличии вируса, при сохранении редактируемых документов на диск под новым именем (командой Save As) вирус копирует свои макрокоманды в записываемый на диск документ, так что тот оказывается заражённым. Классификация антивирусных программАнтивирусные программыДля защиты от вирусов созданы специальные антивирусные программы, позволяющие выявлять вирусы, позволяющие выявлять вирусы, лечить заражённые файлы и диски, обнаруживать и предотвращать подозрительные(характерные для вирусов ) действия. Разумеется, антивирусные программы надо применять наряду с регулярным резервированием данных и использованием профилактических мер, позволяющих уменьшить вероятность заражения вирусом. Причем отечественное антивирусное программное обеспечение успешно конкурирует с программным обеспечением, предлагаемым зарубежными фирмами. Хорошая поддержка пользователей отечественных антивирусных программ со стороны фирм-разработчиков антивирусов, позволяет своевременно получать новые версии антивирусов, а также консультации по их использованию. Для обнаружения, удаления и защиты от компьютерных вирусов существует несколько разновидностей программ. Такие программы называются антивирусными. Различают следующие виды антивирусных программ: вакцины; детекторы; ревизоры; сторожа; мониторы; полифаги; эвристические анализаторы. В последнее время, разработчики антивирусных программ, предлагают пользователям комплексные решения, которые включают в себя большую часть или даже все вышеуказанные программы. ВакциныВакцины – это программы, предназначенные для предотвращения заражения файлов от какого-либо одного, конкретного вируса. Вакцины применяются, если отсутствуют программы, могущие обезвредить данный вирус. Вакцинация возможна только от известных вирусов, которые можно обнаружить, но по какой-либо причине невозможно обезвредить. Программа-вакцина модифицирует защищаемую программу или диск таким образом, чтобы это не отражалось на их работе, но при этом настоящий вирус считал защищаемую программу зараженной и поэтому не внедрялся в ее исполняемый код. Действия программ-вакцин основано на одном из базовых свойств компьютерных вирусов, – не заражать повторно уже инфицированную программу. Для этих целей, при заражении программ, вирусы используют так называемую «черную метку», которая бы позволяла отличать уже инфицированные программы от неинфицированных. Это может быть, например установка времени создания файла в 24 часа 1 минуту и 62 секунды. Т.к. нормальные программы не могут иметь подобного времени создания, то, обнаружив, что файл создан в это время, вирус считает, что он заражен и не пытается инфицировать его повторно. Таким образом, программа вакцина просто создает «черную метку» конкретного вируса на защищаемой программе, не изменяя ее исполняемого кода, а вирус, обнаруживая такую метку, уже не пытается заразить данный файл. В настоящее время, программы-вакцины имеют очень ограниченное применение и практически не используются. В первую очередь это связано с огромным числом компьютерных вирусов, каждый из которых имеет собственную «черную метку». Поэтому защитить таким способом все исполняемые файлы от всех известных вирусов, в принципе невозможно. Единственным, неоспоримым, достоинством данного метода, является то, что он позволяет противодействовать вирусам даже обычному пользователю (достаточно только определить «черную метку»). «Детекторы» или «сканеры»«Детекторы» или «сканеры» — это программы, которые осуществляют поиск характерной для конкретного вируса сигнатуры, в оперативной памяти компьютера или в файлах на жестком диске, и при обнаружении, выдают соответствующее сообщение. Недостатком этого класса антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам. Бороться же с обнаруженным вирусом предстоит либо другой антивирусной программе, либо системному программисту. Несколько лет назад детекторы практически уступили позиции полифагам (см. ниже), но любопытно, что они вновь возвращаются на рынок информационных технологий, по мере его развития. «Ревизоры»«Ревизоры» — это программы, которые относятся к самым надёжным средствам защиты от вирусов. Заражая компьютер, вирус делает изменения на жестком диске: дописывает свой код в заражаемый файл, изменяет системные области диска и т.д. На обнаружении таких изменений основывается работа антивирусных программ, называемых «ревизорами». Они построены на принципе, обратном принципу построения сканеров. Ревизоры не знают в лицо конкретные вирусы, но они запоминают информацию о каждом конкретном логическом диске и по изменению этой информации, позволяют надежно обнаруживать как известные, так и новые, неизвестные вирусы. В случае обнаружения изменения сведений об имеющихся на диске данных, вся соответствующая информация об измененном объекте предоставляется пользователю. А тот уже сам должен принять решение: стоит ли, например, проверять данный файл на вирус (если это исполняемый файл) или проигнорировать сообщение если файл изменялся самим пользователем. Как правило, сравнение состояний производится сразу после загрузки операционной системы. При сравнении проверяются длина файла, его контрольная сумма, дата и время модификации, и некоторые другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, позволяющие обнаруживать даже вирусы таких классов как «стелс»-вирусы и «полиморфные» вирусы, а некоторые даже могут восстановить исходную версию проверяемой программы, удалив изменения, внесенные вирусом. Преимуществом ревизоров являются – высочайшая скорость проверки дисков (во много десятков раз превышающая скорость работы сканеров) и высокая надежность обнаружения даже неизвестных вирусов. «Сторожа»«Сторожа» — это небольшие резидентные программы, предназначенные для обнаружения подозрительных действий, возникающих при работе пользователя на компьютере, и характерных для вирусов. К числу таких действий могут относиться: попытки коррекции файлов с расширениями COM, EXE, DLL и т.д., обычно неизменяемых; изменение атрибутов файла; прямая запись на диск по абсолютному адресу; запись в загрузочные сектора диска; загрузка резидентной программы. При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Одним из самых крупных недостатков программ этого класса является то, что при неправильной (а иногда даже и при правильной) настройке, они буквально «засыпают» пользователя предупреждениями, в результате чего их обычно отключают. «Мониторы» (или программы-фильтры)«Мониторы» (или программы-фильтры) – это антивирусные программы, основанные по принципу полифага, и использующие для обнаружения вирусов базу данных их сигнатур. Антивирусный монитор располагается резидентно в памяти компьютера, и проверяет на наличие вирусов только те программы, над которыми производит какие-либо манипуляции пользователь, или операционная система. Обычно антивирусные мониторы проверяют все файлы, над которыми производятся следующие манипуляции: запуск программы на выполнение; открытие документ (Microsoft Office); копирование или перемещение файла; редактирование файла; и т.д. Программы-фильтры являются полезными с той точки зрения, что помогают пользователю обнаружить вирус на самой ранней стадии его существования, еще до того момента, когда распространение вируса примет характер эпидемии. «Полифаги»«Полифаги» — это программы, которые способны благополучно удалить вирус и восстановить работоспособность испорченных программ. Для каждого вируса, путем анализа его кода, способов заражения файлов и т.д. выделяется некоторая, характерная только для него, последовательность байт. Эта последовательность называется сигнатурой данного вируса. Поиск вирусов, в простейшем случае, сводится к поиску их сигнатур. После обнаружения вируса в телепрограммы (или загрузочного сектора, который тоже, впрочем, содержит программу начальной загрузки), полифаг обезвреживает его. Для этого разработчики антивирусных средств тщательно изучают работу каждого конкретного вируса: что он портит, как он портит, где он прячет то, что испортит и т.д. Сканирование является наиболее традиционным методом поиска вирусов. Оно заключается в поиске сигнатур, выделенных из ранее обнаруженных вирусов. Вирусные базы современных сканеров содержат более 40000 масок вирусов. Недостатком простых сканеров является их неспособность обнаруживать «полиморфные» вирусы, полностью меняющие свой код. Современные полифаги используют другие методы поиска вирусов. Для этого они используют более сложные алгоритмы поиска, включающие эвристический анализ проверяемых программ. Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-полифаги быстро устаревают, и требуется регулярное обновление версий баз данных, содержащих сигнатуры вновь появившихся вирусов. Как результат, сканеры устаревают уже в момент выхода новой версии. Эвристические анализаторыЭвристические анализаторы – программы, выполняющие под своим контролем, проверяемые программы и обнаруживающие действия, характерные для вирусов. Благодаря этому эвристические анализаторы способны находить «полиморфные» вирусы также легко, как и обычные вирусы, не использующие механизма маскировки, кроме того, они могут обнаруживать вирусы, ранее неизвестные авторам антивирусной программы. Для выявления указанных маскирующихся вирусов используются специальные методы. К ним можно отнести метод эмуляции процессора. Метод заключается в имитации выполнения процессором программы и подсовывания вирусу фиктивных управляющих ресурсов. Обманутый таким образом вирус, находящийся под контролем антивирусной программы, расшифровывает свой код. После этого, сканер сравнивает расшифрованный код с кодами из своей базы данных сканирования. |