Вирусы и защита ЭВМ от них

 

 

Дипломная работа

 на тему

 Вирусы и защита ЭВМ от них

Белоусов Михаил

Группа № 37

 

 

 

 

 

 

Преподаватель: Шатова З.К.

Мастер: Непомню

Директор: Шорников Г.Ф.

 

 

Вирусы

Компьютерный вирус (зараза) — компьютерная программа или вредоносный код, отличительным признаком которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру.

Начало исходного кода примитивного вирус

 для MS-DOS на языке  ассемблера

Даже если автор вируса не программировал вредоносных эффектов, вирус может приводить к сбоям компьютера из-за ошибок, неучтённых тонкостей взаимодействия с операционной системой и другими программами. Кроме того, вирусы обычно занимают некоторое место на накопителях информации и отбирают некоторые другие ресурсы системы. Поэтому вирусы относят к вредоносным программам.

Некомпетентные пользователи ошибочно относят к компьютерным вирусам и другие виды вредоносных  программ — программы-шпионы и прочее. Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Создание и распространение  вредоносных программ (в том числе  вирусов) преследуется в России согласно Уголовному кодексу РФ (глава 28, статья 273). Согласно доктрине информационной безопасности РФ, в России должен

проводиться правовой ликбез в школах и вузах при обучении информатике и компьютерной грамотности  по вопросам защиты информации в ЭВМ, борьбы с компьютерными вирусами, детскими порно-сайтами и обеспечению информационной безопасности в сетях ЭВМ.

Компьютерный вирус был назван по аналогии с биологическими вирусами за сходный механизм распространения. По-видимому, впервые слово «вирус» по отношению к программе было употреблено Грегори Бенфордом (Gregory Benford) в фантастическом рассказе «Человек в шрамах», опубликованном в журнале Venture в мае 1970 года. 

Грегори Бенфордом (Gregory Benford)

Термин «компьютерный  вирус» впоследствии не раз «открывался» и переоткрывался. Так, переменная в подпрограмме PERVADE (1975), от значения которой зависело, будет ли программа ANIMAL распространяться по диску, называлась VIRUS. Также, вирусом назвал свои программы Джо Деллинджер и, вероятно, это и было то, что впервые было правильно обозначено как вирус.

Нет общепринятого определения  вируса. В академической среде термин был употреблён Фредом Коэном в его работе «Эксперименты с компьютерными вирусами», где он сам приписывает авторство термина Лену Эдлмэну.

Формально вирус определён  Фредом Коэном со ссылкой на машину Тьюринга следующим образом:

M : (SM, IM, OM : SM x IM > IM, NM : SM x IM > SM, DM : SM x IM > d)

с заданным множеством состояний SM, множеством входных символов IM и  отображений (OM, NM, DM), которая на основе своего текущего состояния s ∈ SM и входного символа i ∈ IM, считанного с полубесконечной ленты, определяет: выходной символ o ∈ IM для записи на ленту, следующее состояние машины s' ∈ SM и движения по ленте d ∈ {-1,0,1}.

Для данной машины M, последовательность символов v : vi ∈ IM может быть сочтена вирусом тогда и только тогда, когда обработка последовательности v в момент времени t, влечёт за собой то, что в один из следующих моментов времени t, последовательность v′ (не пересекающаяся с v) существует на ленте, и эта последовательность v′ была записана M в точке t′, лежащей между t и t″:

∀ CM ∀ t ∀ j:

SM(t) = SM0 ∧

PM(t) = j ∧

{ CM(t, j) … CM(t, j + |v| - 1)} = v ⇒

∃ v' ∃ j' ∃ t' ∃ t":

t < t" < t' ∧

{j' … j' +|v'|} ∩ {j … j + |v|} = ∅ ∧

{ CM(t', j') … CM(t', j' + |v'| - 1)} = v' ∧

PM(t") ∈ { j' … j' + |v'| - 1 }

где:

t ∈ N число базовых операций «перемещения», осуществлённых машиной

PM ∈ N номер позиции на ленте машины в момент времени t

SM0 начальное состояние  машины

CM(t, c) содержимое ячейки c в момент времени t

Данное определение было дано в контексте вирусного множества VS = (M, V) — пары, состоящей из машины Тьюринга M и множества последовательностей символов V: v, v' ∈ V. Из данного определения следует, что понятие вируса неразрывно связано с его интерпретацией в заданном контексте, или окружении.

Фредом Коэном было показано,  что «любая самовоспроизводящаяся  последовательность символов: одноэлементный VS, согласно которой существует бесконечное  количество VS, и не-VS, для которых  существуют машины, по отношению к которым все последовательности символов является вирусом, и машин, для которых ни одна из последовательностей символов не является вирусом, даёт возможность понять, когда любая конечная последовательность символов является вирусом для какой-либо машины». Он также приводит доказательство того, что в общем виде вопрос о том, является ли данная пара (M, X) : Xi ∈ IM вирусом, неразрешим (то есть не существует алгоритма, который мог бы достоверно определить все вирусы), теми же средствами, которыми доказывается неразрешимость проблемы остановки.

Другие исследователи  доказали, что существуют такие типы вирусов (вирусы, содержащие копию программы, улавливающей вирусы), которые не могут быть безошибочно определены ни одним алгоритмом.

Файловые вирусы

Это вирусы-паразиты, которые при распространении своих копий обязательно изменяют содержимое исполняемых файлов, при этом файлы, атакованные вирусом, в большинстве случаев полностью или частично теряют работоспособность)

Загрузочные вирусы

Это компьютерные вирусы, записывающиеся в первый сектор гибкого или жесткого диска и выполняющиеся при загрузке компьютера

Скриптовые вирусы

Требуют наличия одного из скриптовых языков (Javascript, VBScript) для  самостоятельного проникновения в  неинфицированные скрипты. Вирусы, поражающие исходный код Вирусы данного типа поражают или исходный код программы, либо её компоненты (OBJ-, LIB-, DCU- файлы) а  также VCL и ActiveX компоненты

Стелс-вирусы

Вирус, полностью или частично скрывающий свое присутствие в системе, путем перехвата обращений к операционной системе, осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т.д.)

Кейлоггеры

Модули для перехвата  нажатий клавиш на компьютере пользователя, включаемые в состав программ-вирусов

«Кролики» размножаются.

Мнения по поводу даты рождения первого компьютерного вируса расходятся. Доподлинно известно только то, что в самом первом механическом компьютере, так называемой машине Беббиджа, их не было.

Первые появления вирусов были отмечены в конце 60-х — начале 70-х годов. Эти программы-паразиты, которые занимали системные ресурсы и снижали производительность системы, называли «кроликами» (the rabbit). Однако, скорее всего, «кролики» были просто ошибками или шалостями программистов, обслуживавших компьютеры.

В середине 70-х был обнаружен один из первых настоящих вирусов — «The Creeper», который мог самостоятельно войти в сеть через модем и передать свою копию удаленной системе. Для борьбы с ним создали первую известную антивирусную программу— «The Reeper».

Те, кто начал работать на IBM-PC в середине 80-х, наверняка помнят повальную эпидемию вирусов «Brain», «Vienna», «Cascade». Буквы сыпались на экранах, а толпы пользователей осаждали специалистов по ремонту мониторов. Затем компьютер заиграл «Yankee Doodle», правда, чинить динамики теперь никто не бросился — уже было понятно, что это вирус.

Время шло, вирусы плодились. Все они были похожи друг на друга — лезли в память, цеплялись к файлам и секторам, периодически убивали дискеты и винчестеры. Летом 1991 года появился вирус-невидимка «Dir-II», противоядие для которого нашли далеко не сразу...

В августе 1995 года, когда все прогрессивное человечество праздновало выход новой операционной системы Windows 95 от Microsoft, практически незамеченным прошло сообщение о вирусе, заражающем документы Microsoft Word. Он получил имя «Concept» и в мгновение ока проник в тысячи (если не в миллионы) компьютеров — ведь передача текстов в формате MS Word стала одним из стандартов. Для того чтобы заразиться вирусом, требовалось всего лишь открыть зараженный документ, и все остальные редактируемые документы также «заболевали», В результате, получив по Интернету зараженный файл и прочитав его, пользователь, сам того не ведая, оказывался разносчиком компьютерной заразы. Опасность заражения MS Word, учитывая возможности Интернета, стала одной из са­мых серьезных проблем за всю историю существования вирусов.

Но MS Word дело не ограничилось. Летом 1996 года появился вирус «Laroux», поражающий таблицы MS Excel. (В 1997 году этот вирус вызвал эпидемию в Москве.) К лету 97-го число макровирусов достигло нескольких сотен...

18 сентября этого года  на Тайване был повторно арестован создатель знаменитого «Чернобыля» Чен Ин-Хау. (Первый раз Чен Ин-Хау задержали в апреле 1999 года, но он избежал наказания, поскольку на тот момент не имелось официальных жалоб от тайваньских компаний. Поводом для нового ареста послужили обвинения, предъявленные тайваньским студентом, который пострадал от вируса «Чернобыль» уже в апреле этого года.) Этот вирус был обнаружен на Тайване в июне 98-го. Тогда его автор заразил компьютеры университета, в котором учился. «Больные» файлы расползлись по местным Интернет-конференциям, и вирус выбрался за пределы Тайваня. Через неделю эпидемия поразила Австрию, Австралию, Израиль и Великобританию. Затем вирус проявил себя и в других странах, в том числе и в России. 

Примерно через месяц зараженные файлы появились на нескольких американских Web-серверах, распространяющих игровые программы, что, видимо, и послужило причиной последовавшей глобальной эпидемии «Чернобыля». 26 апреля 1999 года взорвалась «логическая бомба», заложенная в его код. По различным оценкам, в этот день по всему миру пострадало около 500 тыс. компьютеров — были уничтожены данные на жестких дисках, а в некоторых случаях даже испорчены микросхемы на материнских платах. Никогда еще вирусные эпидемии не приносили таких убытков. Через какое-то время «Чернобыль» сработал вновь. Ущерб, нанесенный им только в Южной Корее, оценивается в $250 млн.

22 октября этого года на Филиппинах арестовали 19-летнего хакера, подозреваемого в распространении вирусов. (Позднее он был отпущен на свободу до окончания расследования.) Власти Филиппин, видимо, решили таким образом реабилитироваться после нескольких неудачных попыток привлечь к ответственности распространителей вируса «LoveLetter», причинившего огромный ущерб в мае этого года.

Сегодня в базе одного из самых мощных отечественных, да и, пожалуй, мировых средств антивирусной защиты, «AVP Евгения Касперского», содержится информация о 40 393 вирусах (на б ноября 2000 года), а также соответствующие средства обнаружения, лечения и удаления.

Механизм

Вирусы распространяются, копируя свое тело и обеспечивая его последующее исполнение: внедряя себя в исполняемый код других программ, заменяя собой другие программы, прописываясь в автозапуск и другое. Вирусом или его носителем могут быть не только программы, содержащие машинный код, но и любая информация, содержащая автоматически исполняемые команды — например, пакетные файлы и документы Microsoft Word и Excel, содержащие макросы. Кроме того, для проникновения на компьютер вирус может использовать уязвимости в популярном программном обеспечении (например, Adobe Flash, Internet Explorer, Outlook), для чего распространители внедряют его в обычные данные (картинки, тексты и т. д.) вместе с эксплоитом, использующим уязвимость.

Каналы

Дискеты. Самый распространённый канал заражения в 1980—1990-е годы. Сейчас практически отсутствует из-за появления более распространённых и эффективных каналов и отсутствия флоппи-дисководов на многих современных компьютерах.

Флеш-накопители (флешки). В настоящее время USB-флешки заменяют дискеты и повторяют их судьбу — большое количество вирусов распространяется через съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, портативные цифровые плееры, а с 2000-х годов всё большую роль играют мобильные телефоны, особенно смартфоны (появились мобильные вирусы). Использование этого канала ранее было преимущественно обусловлено возможностью создания на накопителе специального файла autorun.inf, в котором можно указать программу, запускаемую Проводником Windows при открытии такого накопителя. В Windows 7 возможность автозапуска файлов с переносных носителей была отключена.

Электронная почта. Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб-сайт, содержащий вирусный код. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше.

Системы обмена мгновенными  сообщениями. Здесь также распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и через другие программы мгновенного обмена сообщениями.

Веб-страницы. Возможно также заражение через страницы Интернета ввиду наличия на страницах всемирной паутины различного «активного» содержимого: скриптов, ActiveX-компонент. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (что опаснее, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей), а ничего не подозревающие пользователи, зайдя на такой сайт, рискуют заразить свой компьютер.

Интернет и локальные  сети (черви). Черви — вид вирусов, которые проникают на компьютер-жертву без участия пользователя. Черви используют так называемые «дыры» (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер. Уязвимости — это ошибки и недоработки в программном обеспечении, которые позволяют удаленно загрузить и выполнить машинный код, в результате чего вирус-червь попадает в операционную систему и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для DDoS-атак.