Пример поведения зараженной ЭВМ

 

 

 

 

Назад

 

 

 

 

Назад

 

 

 

 

Пример поведения зараженной  ЭВМ:

 

 

 

 

Федеральное агентство по образованию 
ГОУ ВПО «Сибирский Индустриальный Университет» 
Кафедра Систем автоматизации

 

Тема работы:Вирусы

 

  Выполнили: ст. гр. АИС-02

                         Шинкарюк Д.С.

                      ВолобуевА.Г.

                      Поляков М.А.

  Вдохновитель: Соловьева Ю.А.

 

Новокузнецк 2005 г.

 

 

 

 

Введение

 

• Компьютерные вирусы сегодня – явление столь обыденное и привычное, что редко кто задумывается, почему эти формы жизни названы именно вирусами, а не, скажем, паразитами. Ответ прост: название позаимствовано из биологии, потому что жизненные циклы вирусов компьютерных и биологических совпадают - внедрение в программу/клетку и дальнейшее размножение.
• В настоящее время наблюдается увеличение финансовых потерь в мировой экономике связанных со все большим количеством компьютерных вирусов и других вредоносных программ, распространяющихся в Интернете и в локальных сетях. Динамика потерь отражена на рисунке:

 

 

 

 

 

 

 

Определение

 

• Компьютерный вирус (Программный вирус ПВ) - это программа (некоторая совокупность выполняемого кода/инструкций), способная создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в различные объекты/ресурсы компьютерных систем, сетей и т.д. без ведома пользователя.

 

 

 

 

История развития вирусов

 

• 1981 Появляется вирус Elk Cloner
• 1983 Первый экспериментальный вирус
• 1986 Первый вирус для MS-DOS – вирус Brain
• 1987 Появляется вирус Lehigh
• 1988 Роберт Моррис пишет своего знаменитого червя:

                       300 000 компьютеров в штате Дакота (США), 96 миллионов долларов

• 1989 Начало эпидемии компьютерных вирусов в России(СССР)
• 1990 Chameleon – начинается эпоха полиморфных вирусов
• 1992 В органах внутренних дел по всему миру начинает развиваться           

                специальные департаменты, занимающиеся исключительно            

                компьютерными вирусами

                      

 

                      

                  

 

 

Роберт Моррис

 

Касперский

 

 

 

 

• 1995 Первый вирус для Microsoft Word (макровирус "Concept")
• 1996 Наступления компьютерного андерграунда на операционные

                системы Windows95 и Windows NT

• 1997 первый вирус для операционной системы Linux - Linux.Bliss нового

                типа компьютерных червей, использующих каналы IRC (Internet  

                 Relay Chat).

• 1998 Эпидемия вируса Win95.CIH (Чернобыль)
• 2000 Эпидемия скрипт-вируса LoveLetter
• 2001 Бестелесные черви - CodeRed, BlueCode
• 2002 Лидером по количеству вызванных инцидентов интернет- червь Klez

                 Суммарный ущерб от вируса составил 9 млрд. долларов.

• 2004 MyDoom

 

 

 

 

 

Вывод

 

• Обратимся к статистике: по данным "Лаборатории Касперского" в 2001 г. количество вирусных атак через электронную почту увеличилось по сравнению с 2000 г. на 5% и достигло почти 90% от общего числа инцидентов. MessageLabs составила прогноз:

 

 

 

 

 

 

 

Наряду с этим наблюдался рост числа заражений компьютеров через интернет. 2001 год стал переломным в этом отношении.

 

 

 

 

• Что нас ждет? Да ничего хорошего. Если в конце 80-х годов, с тем уровнем развития коммуникаций и малой распространенностью персональных компьютеров, вспыхивали самые настоящие эпидемии, то что же говорить о дне нынешнем, когда каждый школьник имеет доступ к компьютеру, зачастую подключенному к Сети. Через несколько месяцев после выхода новой технологии или платформы под нее появляется вирус. Через пару дней после обнаружения уязвимости в каком-либо сетевом софте выходит простенький VBS-червь, использующий эту уязвимость.

 

 

 

 

Классификация

 

Вирусы

 

Классические 

компьютерные

 

Троянские

программы

 

Сетевые вирусы

(черви)

 

К данной категории 

относятся

 программы, распро-

страняющие свои

 копии по ресурсам

 локального компью-

тера.

 

К данной категории

 относятся программы,

 распространяющие

 свои копии по

 локальным и/или

 глобальным сетям

 

В данную категорию

 входят программы,

 осуществляющий раз-

личные несанкцион-

ированные пользо-

вателем действия

 

 Backdoor

 

Trojan-PSW

 

Trojan-Downloader

 

Trojan-Spy

 

 

 

 

Среда обитания

 

Алгоритм работы

 

Способ заражения

 

Фаиловые

 

Загрузочные

 

Макровирусы

 

Паразитичес.

 

Перезаписыв.

 

Вирусы-компаньоны

 

Стелс-алгоритм

 

Нестандартные

приемы

 

Саморасшифров. и

полиморфизмом

 

Резедентные

 

 

 

 

Среда обитания

 

Файловые

 

это те, которые при своем размножении

 используют файловую систему

определенной операционной системы

 

Загрузочные

 

записывают себя либо в загрузочный сектор

 диска (boot-сектор), либо в сектор,

содержащий системный загрузчик винчестера

 (Master Boot Record), либо меняют указатель

на активный boot-сектор

 

Макровирусы

 

Это вирусы на макроязыках различных

 приложений, вроде MS Excel (VB),

 MS Word (WB) и т.п.

 

 

 

 

По способу заражения

 

Перезаписыв.

 

вирус записывает свой код вместо кода

 заражаемого файла, уничтожая его

содержимое

 

Паразитичес.

 

при распространении своих копий

 обязательно изменяют содержимое файлов,

 оставляя сами файлы при этом полностью

 или частично работоспособными.

 

Вирусы-компаньоны

 

для заражаемого файла создается

 файл-двойник, причем при запуске

 зараженного файла управление получает

 именно этот двойник, т. е. вирус.

 

 

 

 

Алгоритм работы

 

Резидентные

 

не только исполняемые файлы,

 находящиеся во внешней памяти, но

 и оперативную память ЭВМ

 

Полиморфные

 

особый тип вирусов, которые остаются

 незамеченными по стандартной

 сигнатуре (или, попросту, маске)

 

Стелс-

технологии

 

(невидимые вирусы) частичное или

 полное сокрытие вируса в системе.

 

 

 

 

Признаки заражения компьютерным  вирусом

 

• - вывод на экран непредусмотренных сообщений или изображений; 
• - подача непредусмотренных звуковых сигналов;
• - неожиданное открытие и закрытие лотка CD-ROM-устройства;
• - произвольный, без вашего участия, запуск на компьютере каких-либо программ;
• - при наличии на вашем компьютере межсетевого экрана, появление предупреждений о попытке какой-либо из программ вашего компьютера выйти в интернет, хотя вы это никак не инициировали, и другие действия.
• - друзья или знакомые говорят вам о сообщениях от вас, которые вы не отправляли;
• - в вашем почтовом ящике находится большое количество сообщений без обратного адреса и заголовка.

 

пример

 

 

 

 

Есть также косвенные  признаки заражения вашего компьютера:

 

• - частые зависания и сбои в работе компьютера; 
• - медленная работа компьютера при запуске программ;
• - невозможность загрузки операционной системы;
• - исчезновение файлов и каталогов или искажение их содержимого;
• - частое обращение к жесткому диску
• - интернет-браузер «зависает» или ведет себя неожиданным образом (например, окно программы невозможно закрыть).

 

 

 

 

Как работают Антивирусы

 

Антивирусы

принято делить на

 

вакцины 

 

Сканеры

 (детекторы)

 

фаги 

 

ревизоры 

 

прививки 

 

мониторы 

 

 

 

 

• Сканер в своей работе использует два метода: сигнатурный поиск и эвристический анализатор. Сигнатурный поиск заключается в изучении определенных частей исследуемого файла и отыскании в их коде вирусных сигнатур. Эвристический анализатор - воплощение искусственного интеллекта, цель которого состоит в том, чтобы находить вирусы.
• Монитор представляет собой резидентную программу, обеспечивающую перехват потенциально опасных прерываний, характерных для вирусов, и запрашивающую у пользователей подтверждение на выполнение операций, следующих за прерыванием.
• Фаги выполняют функции, свойственные детекторам, но, кроме того, "излечивают" инфицированные программы посредством "выкусывания " ("пожирания ") вирусов из их тел.

 

 

 

 

 

• Вакцина имплантируется в защищаемую программу и запоминает ее характеристики. Активизация вирусоносителя приведет к тому, что вирус выполнив свои целевые функции, передаст управление вакцинированной программе. Где сначала управление получит вакцина, которая выполнит проверку соответствия запомненных ею характеристик аналогичным характеристикам, полученным в текущий момент. Если указанные наборы характеристик не совпадают, то делается вывод об изменении текста вакцинированной программы вирусом. Характеристиками, используемыми вакцинами, могут быть длина программы, ее контрольная сумма и т.п.

 

 

 

 

• Принцип действия прививок основан на учете того обстоятельства, что любой вирус, как правило, помечает инфицируемые программы каким-либо признаком с тем чтобы не выполнять их повторное заражение. Прививка, не внося никаких других изменений в текст защищаемой программы, помечает ее тем же признаком, что и вирус, который, таким образом, после активизации и проверки наличия указанного признака, считает ее инфицированной и "оставляет в покое".

 

 

 

 

• Ревизоры функционируют следующим образом:на чистом от вирусов, незараженном, компьютере запускается ревизор. Он согласно настройкам собирает информацию о некоторых важных (или всех подряд) файлах и записывает ее в свою собственную базу данных. После этого ревизор выключается. При следующем запуске (в зависимости от настроек - через час, два, день, неделю или просто во время ближайшей перезагрузки) ревизор проверяет наличие своей базы. Так как она уже создана, инспектор начинает сравнивать данные о файлах в "реальной жизни" (на жестком диске) и в своей БД. Если изменений нет, то компьютер чист на 100%. Если же есть, то их надо анализировать.
• Одна из новых технологий защиты от вирусов называется поведенческим блокиратором. Суть этой технологии проста: каждое действие программы анализируется на предмет "хорошее оно или плохое". Если хорошее, то действие разрешается, в противном случае блокируется (отсюда и название). При этом поведенческий блокиратор лишь защищает от вирусов, но не лечит те файлы, в которых вирус уже есть.