О. В. Матюхина информатика программные средства краткий курс лекций

Вид материала

Курс лекций

Содержание Глава ix. компьютерные вирусы Методы защиты от компьютерных вирусов. Примеры компьютерных вирусов

Подобный материал:

• Лекции по дисциплине «Информатика и математика» Тема 12: Организационные меры, аппаратные, 247.81kb.
• Краткий курс лекций, 182.24kb.
• Н. В. Рудаков Краткий курс лекций, 1552.23kb.
• В. Б. Аксенов Краткий курс лекций, 1098.72kb.
• Краткий курс лекций по медицинской паразитологии Часть Клещи, 643.33kb.
• Краткий курс лекций по философии учебно-методическое пособие для студентов всех специальностей, 2261.57kb.
• Методические указания: краткий курс лекций для студентов заочной формы обучения Санкт-Петербург, 1540.61kb.
• Краткий курс лекций учебной дисциплины «Методика преподавания начального курса математики», 631.78kb.
• В. В. Климов национальный исследовательский ядерный университет «мифи» модели, методы, 10.26kb.
• И. М. Максимова теория государства и права краткий курс лекций, 2531.05kb.

ГЛАВА IX. КОМПЬЮТЕРНЫЕ ВИРУСЫ

Основные понятия. По официальной версии термин "компьютерный вирус" впервые употребил сотрудник Лехайского университета (США) Ф. Коэн в 1984 году на 7-й конференции по безопасности информации, проходившей в США.

Компьютерным вирусом [9] называется программа (т.е. некоторая совокупность выполняемого кода), которая может создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, вычислительные сети и т.д. При этом копии сохраняют способность дальнейшего распространения.

История умалчивает, кто первый придумал компьютерный вирус. По мнению специалистов, основную массу вирусов создают люди, которые только что изучили язык ассемблера, хотят попробовать свои силы, но не могут найти для них более достойного применения. В результате появляются "студенческие" вирусы.

Самую опасную группу составляют "профессиональные" вирусы. Они разрабатываются зачастую очень талантливыми программистами. Такие вирусы нередко используют достаточно оригинальные алгоритмы, недокументированные и мало кому известные способы проникновения в системные области данных.

Нельзя не признать, что авторы вирусов, побуждая пользователей заражать себя и других, проявляют крайнюю изобретательность, пытаются порой пробудить в человеке даже низменные чувства. Хрестоматийным стал рассказ о вирусе SEX.EXE, который развлекает пользователя, выводя на экран порнографические картинки, а заодно разрушает таблицу размещения файлов его компьютера.

Еще пример. В середине декабря 1994 года тысяча пользователей компьютеров получила неожиданный подарок к рождеству – посылку, содержащую гибкий диск с пометкой "Информация о СПИДе". Многие, не подозревая подвоха, загрузили диск в компьютеры, после чего программа, записанная на этом диске, испортила всю информацию на винчестере и запросила 378 долларов за ее восстановление. Деньги предлагалось перевести в ведомство Панамы. Но когда поползли слухи о том, что этого ведомства не существует вовсе, были высказаны предположения, что отправителем посылок является лицо, действительно заразившееся СПИДом и пожелавшее утешиться таким экстравагантным образом. Согласно другой версии, это могла быть месть служащих в ответ на какую-то несправедливость со стороны начальства.

В 1999 году тайваньский "Чернобыль" уничтожил только в Китае 360 тысяч компьютеров, нанеся ущерб в 120 миллионов долларов.

В 2001 году многие владельцы компьютеров получили по электронной почте более разрушительный вирус, названный впоследствии "Курникова". В качестве приманки его авторы использовали фотографию симпатичной российской теннисистки Анны Курниковой. В тот момент, когда она разворачивается на экране монитора, специальная программа начинает "зачищать" все данные, хранящиеся на диске. Но прежде электронный червь "вползает" в почтовую программу и рассылает вирус по всем адресам, которые хранятся в адресной книге. За сутки вирус поразил больше 100 тысяч персональных компьютеров США. Специалисты признали новый вирус сходным со смертоносным вирусом I LOVE YOU, который годом раньше вывел из строя 45 миллионов компьютеров. Вирус "Курникова" распространялся в два раза быстрее.

Программа, внутри которой имеется вирус, называется "зараженной". При работе такой программы сначала действует вирус. Вирус сам находит и "заражает" другие программы, а также выполняет вредные действия (например, портит файлы, засоряет оперативную память и т. д.). После того, как вирус выполнит нужные ему действия, он передает управление программе, в которой находится. Она работает как обычно. Внешне работа зараженной программы ничем не отличается от обычной. Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователю очень трудно заметить, что в компьютере происходит что-то необычное.

Очень важно своевременно обнаружить вирус в зараженном компьютере. Основные признаки проявления вирусов:

• прекращение работы или неправильная работа ранее успешно функционирующих программ;
  
• медленная работа компьютера;
  
• невозможность загрузки операционной системы;
  
• исчезновение файлов и каталогов или искажение их содержимого;
  
• изменение даты и времени модификации файлов;
  
• изменение размеров файлов;
  
• неожиданное значительное увеличение количества файлов на диске;
  
• существенное уменьшение размера свободной оперативной памяти;
  
• вывод на экран непредусмотренных сообщений или изображений;
  
• подача непредусмотренных сигналов;
  
• частые зависания и сбои в работе компьютера.
  

Классификация компьютерных вирусов. Вирусы можно разделить на классы по следующим признакам:

• по среде обитания вируса;
  
• по способу заражения среды обитания;
  
• по деструктивным возможностям;
  
• по особенностям алгоритма вируса.
  

По среде обитания вирусы подразделяются на сетевые, файловые и загрузочные. Сетевые вирусы распространяются по компьютерной сети, файловые внедряются в выполняемые файлы, загрузочные – в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Record).

Способы заражения делятся на резидентный и нерезидентный. Резидентный вирус при запуске "зараженной" программы копирует себя в оперативную память компьютера и в течение определенного времени не проявляет себя. Затем вирус снова активизируется и начинает отслеживать операции обращения к дискам, находит подходящий файл и копирует себя в него на фоне выполнения основной операции. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

Деструктивные возможности вирусов практически безграничны:

• безвредные (уменьшается свободная память на диске в результате распространения вирусов). Разумеется, назвать с полной уверенностью вирус безвредным не просто, так как проникновение его в компьютер нередко вызывает непредсказуемые и порой катастрофические последствия;
  
• неопасные (уменьшается свободная память на диске, появляются графические, звуковые и прочие эффекты);
  
• опасные (могут привести к серьезным сбоям в работе компьютера);
  
• очень опасные (приводят к потере программ, уничтожают данные, удаляют необходимую для работы компьютера информацию, способствуют быстрому износу движущихся частей механизмов – вводят в резонанс и разрушают головки винчестера).
  

По особенностям алгоритма выделяются следующие группы вирусов:

• вирусы-"спутники" (companion);
  
• вирусы-"черви" (worm);
  
• "паразитические" вирусы;
  
• "студенческие" вирусы;
  
• "стелс"-вирусы (вирусы-невидимки, stelth);
  
• вирусы-"призраки" (мутанты);
  
• троянские вирусы.
  

Вирусы-"спутники" не изменяют файлов. Алгоритм работы этих вирусов состоит в том, что они создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением .COM. Например, для файла XCOPY.EXE создается файл XCOPY.COM. При запуске такого файла первым обнаружится и выполнится COM-файл, т.е. вирус, который затем запустит и EXE-файл.

Вирусы-"черви" распространяются в компьютерной сети, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии.

"Паразитические" вирусы при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов, могут быть легко обнаружены и уничтожены.

"Студенческие" – крайне примитивные вирусы, часто нерезидентные и содержащие большое число ошибок;

"Стелс"-вирусы представляют собой весьма совершенные программы, которые перехватывают обращения операционной системы к пораженным файлам или секторам дисков и "подставляют" вместо себя незараженные участки информации. Кроме того, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие "обманывать" антивирусные программы. Один из первых "стелс"-вирусов – вирус V-4096.

Вирусы-"призраки" – достаточно трудно обнаруживаемые вирусы, не имеющие ни одного постоянного участка кода. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

Троянские вирусы не способны к самораспространению, но очень опасны, разрушают загрузочный сектор диска и файловую систему дисков.


Методы защиты от компьютерных вирусов. Пока на компьютере заражено относительно мало программ, наличие вируса практически незаметно. Однако по прошествии некоторого времени на компьютере начинает твориться что-то странное.

К этому моменту, как правило, уже большинство программ заражены вирусом, а некоторые файлы и диски оказываются испорченными. Кроме того, зараженные программы переносятся с помощью дискет или по локальной сети на другие компьютеры.

Если своевременно не предпринять мер, то последствия заражения компьютера окажутся весьма серьезными.

Основные методы защиты от вирусов:

• общие средства защиты информации;
  
• профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
  
• специализированные программы для защиты от вирусов.
  

Общие средства защиты информации полезны не только для защиты от вирусов, а также как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя. Имеются две основные разновидности этих средств:

• копирование информации – создание копий файлов;
  
• разграничение доступа. Это позволит предотвратить несанкционированное использование информации, в частности, защитить от изменений программы и данные вирусами, неправильно работающими программами и ошибочными действиями пользователей.
  

В целях профилактики дистрибутивные копии программного обеспечения рекомендуется приобретать у фирм-разработчиков, чем бесплатно копировать из других источников. Тем самым значительно снижается вероятность заражения, хотя известны случаи покупки инфицированных дистрибутивных дискет. После приобретения программного продукта целесообразно сделать, по возможности, его рабочую копию и далее работать с ней.

Полезно регулярно делать резервные копии данных, с которыми ведется работа, например, на дискеты. Затраты на копирование файлов, содержащих исходные тексты программ, базы данных, документацию, значительно меньше, чем на восстановление этих файлов при проявлении вирусом агрессивных свойств или сбое компьютера.

Не рекомендуется запускать непроверенные файлы, в том числе из компьютерной сети. Используйте только программы, полученные из надежных источников.

По возможности, необходимо ограничить круг лиц, допущенных к работе на конкретном компьютере. Как правило, наиболее часто подвержены заражению "многопользовательские" персональные компьютеры (например, установленные в компьютерных классах университетов).

Обнаружив вирус в какой-либо прикладной программе, следует предупредить об этом других пользователей и попытаться установить компьютер – источник заражения.

Перечисленные средства значительны для защиты от вирусов, но все же их недостаточно. Важно применять специализированные программы для защиты от вирусов. Эти программы имеют несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

Программы-детекторы проверяют наличие в файлах на диске специфической для конкретного вируса комбинации байтов. В случае ее обнаружения в каком-либо файле на экран выводится соответствующее сообщение. При этом многие детекторы способны лечить или уничтожать зараженные файлы. Однако обнаруживают они только те вирусы, которые им известны. Некоторые программы-детекторы, например, NORTON ANTIVIRUS или AVSP фирмы "Диалог-МГУ" могут настраиваться на новые типы вирусов, им необходимо лишь указать комбинации байтов, присущие этим вирусам.

Заметим, в программе, не опознанной детекторами как зараженной, могут сидеть новый вирус или слегка модифицированная версия старого вируса.

Большинство программ-докторов умеют "лечить" только от некоторого фиксированного набора вирусов, поэтому они быстро устаревают.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Сначала они запоминают сведения о состоянии программ и системных областей дисков, когда компьютер не заражен. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

В последнее время появились гибриды ревизоров и докторов, т.е. доктора-ревизоры, которые обнаруживают изменения в файлах и системных областях дисков и автоматически возвращают их в исходное состояние. Такие программы гораздо универсальнее программ-докторов, поскольку при лечении используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы.

Программы-фильтры располагаются резидентно в оперативной памяти компьютера и перехватывают обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда. После получения сообщения пользователь может разрешить или запретить выполнение соответствующей операции.

Результаты деятельности программ-фильтров весьма значительные – они способны обнаружить многие вирусы на самой ранней стадии, когда те еще не успели размножиться и что-либо испортить. По-существу убытки от появления вируса сводятся к минимуму.

Программы-вакцины или иммунизаторы крайне неэффективны.

Наибольшим признанием среди специалистов пользуются антивирусные программы NORTON ANTIVIRUS, Dr. SOLOMON'S ANTIVIRUS TOOLKIT, DOCTOR WEB ЗАО "Диалог Наука" и "Лаборатория Данилова", AVSP фирмы "Диалог-МГУ", антивирусный комплекс "Доктор Касперский".


Примеры компьютерных вирусов.

"Aids-8064". Нерезидентный безобидный вирус. При запуске создает файлы-двойники для всех .EXE-файлов текущего каталога. Файлы-двойники имеют имена обнаруженных .EXE-файлов и расширение имени .COM, они содержат вирус и имеют длину 8064 байт.

Семейство "Amz". Нерезидентные, очень опасные вирусы, инфицируют .COM- и EXE-файлы при старте зараженного файла. В зависимости от версии стирают сектора FAT всех логических дисков от А: до Z: либо текущего диска при условиях:

"Amz-600" – если номер дня недели совпадает с номером дня месяца;

"Amz-789" – 24 сентября с 0:00 до 7:00 утра;

"Amz-801" – 13-го февраля в 13 часов.

Семейство "Ionkin". Нерезидентные неопасные вирусы. При старте ищут файлы х*.COM (где х – случайный символ от A до Z, зависящий от текущего времени) и стандартно заражают их. Вирус "Ionkin-2372" создает и запускает файл IONKIN.COM. Этот файл остается в памяти резидентно и периодически выдает сообщение:

"Работает вирус имени Валерия Ионкина…

Засуньте, пожалуйста, 10 рублей в дисковод А: или форматирую диску".

"Jerusalem". Эти резидентные файловые вирусы очень распространены, упоминаются также, как "Черная дыра", "Тринадцатая пятница", "Вирус замедления", "Израильский" вирус. Некоторые из них очень опасны 13-го числа любого месяца, если этот день является пятницей, и опасны во все остальные дни.

"Taiwan-2900". Заражает файлы не только при выполнении, но и при их открытии. Очень опасен. При запуске файла ACAD.EXE стирает информацию на всех доступных дисках. Примерно, раз в месяц, приблизительно через 10 часов непрерывной работы проигрывает довольно тоскливую мелодию.

Семейство "Little". Нерезидентные очень опасные вирусы. Длина – всего 45 или 46 байт. Крайне примитивны. Записывают себя в начало всех .COM-файлов текущего каталога, не сохраняя старого содержимого этих файлов. Пораженные файлы, естественно, не восстанавливаются.

Семейство "Sov". Резидентные неопасные вирусы. В зависимости от памяти BIOS и текущей даты (23 февраля, 7 марта, 22 апреля, 30 апреля и 6 ноября) выдают:

"Sov-1193" – экран в полосочку (вертикальную);

"Sov-1205" – текст "I AM VIRUS".

Семейство "Tula". Резидентные неопасные вирусы. Стандартно поражают запускаемые .COM- и .EXE-файлы.

"Tula-417, -593" периодически сообщают "FUCK YOU!".

"Tula-419" – очень опасен, записывается в начало запускаемых на выполнение .СОМ-файлов. В субботу 14-го числа пытается форматировать диски.

"Tula-1480" при каждом 50-м запуске файла под веселую музыку сообщает популярный среди подростков неприличный стишок на английском языке.

"Win95.Cin" – вирус в режиме записи разрушает микросхему перепрограммируемой памяти (FLASH BIOS), расположенную на материнской плате.