Компьютерные вирусы

- вирусы, не изменяющие  среду обитания при распространении;

- вирусы, изменяющие среду  обитания.

В свою очередь, вирусы, не изменяющие среду обитания, можно разделить  на две группы:

-  вирусы-"спутники";

-  вирусы-"черви".                                                             

Вирусы-"спутники" не изменяют файлы, а создают копии для файлов, имеющих расширение .ЕХЕ. Копии присваивается то же имя, что и исполняемому файлу, но расширение изменяется на .СОМ. При запуске файла с общим именем операционная система первым загружает на выполнение файл с расширением .СОМ, который является программой-вирусом. Файл-вирус запускает затем и файл с расширением .ЕХЕ.

Вирусы-"черви" попадают в рабочую станцию из сети, вычисляют адреса рассылки вируса по другим абонентам сети и передают вирусы.

По сложности, степени  совершенства и особенностям маскировки алгоритмов вирусы, изменяющие среду  обитания, делятся на:

- студенческие;                                                            

-  "стелс"-вирусы (вирусы-невидимки);

-  полиморфные.

К студенческим относятся вирусы, создатели которых имеют невысокую квалификацию. Такие вирусы, как правило, являются нерезидентными, довольно просто обнаруживаются и удаляются.

"Стелс"-вирусы и полиморфные вирусы создаются квалифицированными специалистами, хорошо знающими принцип работы аппаратных средств и операционной системы, а также владеющими навыками работы с машиноориентированными системами программирования.

"Стеле"-вирусы могут быть только резидентными. Они обычно маскируют свое присутствие в среде обитания под программы операционной системы. Такие вирусы активизируются при возникновении прерываний, выполняют определенные действия, в том числе и по маскировке, и только затем управление передается программам операционной системы, обрабатывающим эти прерывания. В некоторых случаях "стелс"-вирусы способны противодействовать антивирусным программам, периодически контролирующим целостность данных. Они могут изменить алгоритм самой программы контроля целостности таким образом, чтобы она всегда выдавала положительный результат проверки.

Полиморфные вирусы, в отличие  от большинства обычных вирусов, не имеют постоянных опознавательных  групп символов-сигнатур. Обычные  вирусы используют на стадии распространения такие сигнатуры, размещая их в зараженном файле или секторе для того, чтобы избежать многократного заражения одних и тех же объектов, поскольку при этом значительно возрастает вероятность обнаружения вируса. Полиморфные вирусы используют для защиты от изучения и обнаружения средства шифрования. При этом полиморфные вирусы при создании каждой новой копии (т.е. при распространении) обладают способностью изме­няться (мутировать) настолько, что их практически невозможно идентифицировать. Для этого, кроме шифрования, используются различные "механизмы мутации" кода вирусной программы.

 

3. Механизмы заражения компьютерными вирусами

Механизм заражения компьютерным вирусом зависит от среды его  обитания, т.е. от того, является данный вирус файловым или загрузочным.

Файловые вирусы используют в качестве своего носителя исполняемые  файлы. К ним относятся файлы, состоящие из команд операционной системы, файлы пользовательских и системных  программ в машинных кодах, а также  исполняемые с помощью макрокоманд  программы, автоматизирующие работу с  до­кументами и таблицами (например, MS Word, MS Office, MS Excel).

Файловые вирусы могут  размещаться в начале, середине или  конце заражаемого файла.

Если код вируса располагается  в начале заражаемой программы, то тело самой программы оттесняется  и приписывается к концу файла. Наряду с оттеснением программы  может применяться вытеснение программы  без сохранения ее содержимого.

Такая программа становится «убитой насмерть» и не может  быть восстановлена никакими антивирусными средствами.

Подобным образом реализуется  механизм заражения при размещении вирусного кода в середине программы. Из середины файла «изымается» фрагмент программы, равный по объему коду вируса, и приписывается к концу файла. Сам вирус записывается в освободившееся место. Возможно также внедрение вируса в середину файла без сохранения участка, на место которого помещается вирус.

Чаще всего вирус внедряется путем приписывания его в конец  файла. При этом, как и в случае с внедрением вируса в середину файла, первые команды файла должны быть заменены командами перехода на тело вируса.

Деструктивная функция вируса, как правило, проявляется не сразу. Как и при настоящей вирусной инфекции, при заражении компьютерным вирусом имеется «инкубационный»  период, на протяжении которого вирусы только размножаются, никак не проявляя себя. Заражая новые программы, вирусы стараются сохранить их работоспособность, с тем чтобы не выдать свое присутствие.

Инициирование деструктивной  функции вируса может осуществляться при выполнении определенных условий, например в случае реализации заданного  числа заражений программ, при  наступлении определенной даты, при  обращении операционной системы к некоторому ресурсу и т.д.

Особое место среди  файловых вирусов занимают так называемые макровирусы. В отличие от программных  вирусов, макровирусы заражают файлы  не программ, а данных. Это возможно, если формат хранения данных допускает  использование макрокоманд для  более удобного представления информации. На­пример, файлы текстового редактора MS Word, табличного процессора MS Excel могут содержать макрокоманды на языке Visual Basic. Макровирусы представляют собой вредительские программы, написанные на макроязыке, встроенном в текстовый редактор, табличный процессор или другой пакет программных средств. При использовании этих средств для выполнения определенных действий над файлами (открытие, сохранение, закрытие и т.д.) автоматически выполняются соответствующие макропрограммы файлов. При этом получают управление и макровирусы, написанные на том же макроязыке, причем такое управление они получают либо автоматически, либо при выполнении определенных условий (например, при выборе определенной клавиши). Работая в «зараженном» редакторе (процессоре) с другим файлом, последний также заражается.

Многие макровирусы можно  рассматривать как резидентные, так как обычно такие вирусы находятся  в оперативной памяти и осуществляют негативное воздействие на редактируемые  документы, начиная с момента  загрузки зараженных данных до момента  завершения работы редактора данных.

В отличие от макровирусов, большинство других файловых вирусов  относится к числу нерезидентных. Это связано с тем, что такие  вирусы используют в качестве носителя не файлы данных, а программные  файлы, а поэтому находятся в  оперативной памяти только на время  инициализации программ, после чего покидают ее вместе с программой-носителем.

Загрузочные вирусы с учетом механизма их распространения (заражения) относятся к числу резидентных. Загрузочные вирусы размещаются  в загрузочных (Boot) секторах гибких магнитных дисков, а также в области, предназначенной для хранения главной загрузочной записи (MBR) жестких дисков.

Если диск, с которого производится загрузка операционной системы, заражен загрузочным вирусом, то этот вирус первым получает управление, переписывает сам себя в оперативную  память, тем самым резидентно заражая  компьютер. Только после этого копируется загрузочный сектор диска и ему  передается управление. В дальнейшем активный вирус, постоянно находясь в ОП, будет заражать загрузочные  сектора всех еще не зараженных гибких дисков, замещая в них программу  начальной загрузки своей головкой (заголовком) и получая соответствующее  управление. Такое заражение может  произойти даже в том случае, если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление. Распространение  загрузочных вирусов происходит наиболее часто при перезагрузке операционной системы после так называемых "зависаний" или отказов ЭВМ.

С точки зрения механизма  распространения загрузочные вирусы обладают гораздо меньшими возможностями  по сравнению с программными файловыми  вирусами. Для последних всегда имеется  достаточно большое количество программ, доступных для заражения. Загрузочным  вирусам приходится дожидаться того момента, когда в дисковод будет  помещен не защищенный от записи и  еще не зараженный носитель информации.

 

4. Методы и средства защитыот компьютерных вирусов

Необходимость разработки и  использования специальных антивирусных средств вызвана массовым распространением и серьезными последствиями воздействия  на ресурсы КС компьютерных вирусов. Эффективность защиты от компьютерных вирусов существенно повышается при совместном применении как антивирусных программно-аппаратных средств, так  и организационно-профилактических мер.

Антивирусные программные  и программно-аппаратные средства применяются  для решения следующих основных задач:

- обнаружение вирусов  в КС;

- блокирование работы  программ-вирусов;

- удаление вирусов и  восстановление ресурсов КС.

Существующие в настоящее  время программные средства антивирусной защиты бывают следующих видов:

-  программы-детекторы;

- программы-фильтры;

- программы-ревизоры;

- программы-доктора, или  фаги;

- программы-вакцины или  иммунизаторы.

Программы-детекторы позволяют  обнаружить только те вирусы, которые известны разработчикам таких программ. С этой  целью осуществляется поиск путем сканирования характерного для конкретного вируса опознавательного кода (сигнатуры). При  обнаружении вируса программа-детектор выводит на экран соответствующее  сообщение.  Примером  такой  программы  может быть популярный американский антивирус Norton Antivirus 2000 (NAV), существующий в Windows- и DOS-версиях. Ежемесячно обновляемая база данных этой программы содержит более 40 тыс. записей, отражающих характерные признаки существующих вирусов.

Для обнаружения вирусов  используются программы-фильтры и  программы-ревизоры.

Программы-фильтры, или "сторожа", представляют собой небольшие резидентные  программы, которые обнаруживают подозрительные действия при работе компьютера, характерные  для вируса. Это могут быть, например, попытки изменения атрибутов  файла. При обнаружении таких  действий «сторож» посылает пользователю соответствующее сообщение. Достоинством программ-фильтров является их способность  к обнаружению вирусов на самой  ранней стадии существования, т.е. до размножения. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит MS DOS. К недостаткам программ-сторожей можно отнести их "назойливость" (например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), что мешает работе и вызывает раздражение пользователей.

Наиболее надежным средством  обнаружения вирусов являются программы-ревизоры. Эти программы запоминают исходное состояние программ, каталогов и  системных областей диска тогда, когда компьютер еще не заражен  вирусом, а затем периодически или  по желанию пользователя сравнивают текущее состояние с исходным. По результатам ревизии программа выдает сведения о предположительном наличии вирусов.

Основным достоинством данного  программного средства является возможность  обнаружения вирусов всех типов, а также неизвестных вирусов. Исключение составляют макровирусы, для обнаружения которых программы-ревизоры непригодны, так как текстовые и табличные данные достаточно часто изменяются. С помощью программ-ревизоров невозможно также определить вирус в файлах, которые поступают в систему уже зараженными. Такие вирусы обнаруживаются только после размножения в системе.

К числу программ-ревизоров  относится, например, широко распространенная в России программа Adinf.

Программы-доктора, или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и "лечат" их, т.е. удаляют  из файла тело программы-вируса, возвращая  файлы в исходное состояние. В  начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая  их, и только затем переходят к  «лечению» файлов. Среди фагов  выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и  уничтожения большого количества вирусов.

Антивирусы-полифаги исторически  появились первыми и до сих  пор удерживают несомненное лидерство  в этой области.

К числу подобных программ раннего поколения относится  программа-полифаг Aidstest, первая версия которой была выпущена еще в 1988 г. Первоначально антивирусы-полифаги работали по очень простому принципу: осуществляли последовательный просмотр (сканирование) файлов на предмет нахождения в них сигнатур известных вирусных программ. Если такая сигнатура была обнаружена, то производилась процедура удаления вирусного кода из тела программы или документа.

Последующее значительное усложнение вирусных программ, увеличение их общего количества вызвали необходимость  совершенствования антивирусных средств. Программы-доктора стали использовать для обнаружения вирусов эвристические  анализаторы.

Сущность эвристического анализа состоит в проверке возможных  сред обитания дисков и выявлении  в них команд, а значит и действий, характерных для вирусов. Такими командами могут быть команды создания резидентных модулей в оперативной памяти, команды прямого обращения к дискам, минуя операци­онную систему. Эвристические анализаторы при обнаружении «подозрительных» команд в файлах или загрузочных секторах выдают сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами.

Эвристический анализатор имеется, например, в антивирусной программе  Doctor Web. Одной из самых популярных в России антивирусных программ, имеющих эвристический анализатор, является программа Antiviral Toolkit Pro 3.0 (AVP). На данный антивирус выходит еженедельное обновление, в его базе более 30 тыс. записей. Программа AVP относится к классу детекторов-докторов и является одним из лидеров антивирусных программ на российском рынке.

В отсутствие программ-докторов, осуществляющих "лечение" от вирусов, применяются программы-вакцины, или  иммунизаторы, предотвращающие заражение файлов. Для этого соответствующая вакцина модифицирует программу таким образом, чтобы это не отражалось на ее работе, а вирус в нее не внедрялся, воспринимая ее как уже зараженную. В настоящее время программы-вакцины имеют ограниченное применение.