Компьютерные вирусы

В настоящее время очень многие области деятельности человека связаны с применением компьютерной технологи. Почему же эти электронные машины так плотно внедряются в нашу жизнь. Все довольно тривиально. Они выполняют рутинную расчетную и оформительскую работу, освобождая наш мозг для более необходимых и ответственных задач. В результате утомляемость резко снижается, и мы начинаем работать гораздо производительнее, нежели без применения компьютера.

Возможности современных компьютеров поражают самое богатое воображение. Они способны параллельно выполнять несколько задач, сложность которых довольно велика. По этому некоторые производители задумываются над созданием искусственного интеллекта. Да и сейчас работа компьютера напоминает работу интеллектуального электронного помощника человека.

Но кто бы мог подумать, что этому электронному чуду техники свойственны болезни похожие на человеческие. Он так же как и человек может подвергнуться атаке «вируса» но компьютерного. И если не принять мер, компьютерная система в скором времени может подвергнуться «Вирусной атаке» т. е. начнет выполнять действия которые не предусмотрены штатным средствам самой операционной системы и без ведома пользователя, в последствии чего операционная система может полностью отказать в работе т. е. повреждения нанесенные «вирусом» окажутся очень серьезными.

О том что такое компьютерные вирусы и как с ними бороться пойдет речь далее.

1. Компьютерные вирусы

Что такое компьютерный вирус?

Компьютерный вирус — это специально созданная, небольшая по размерам программа, которая может «приписывать» себя к другим программам, т. е. «заражать» их, а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется «зараженной». Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и заражает другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы, засоряет оперативную память и дисковое пространство). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает так же, как обычно. Таким образом, внешне работа зараженной программы выглядит так же, как незараженной.

Многие разновидности вирусов устроены так, что при запуске зараженной программы вирус остается постоянно в памяти компьютера и время от времени заражает программы и выполняет вредные действия. Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений.

Есть три вида вирусов Троян, Win32 (Червь) и вирусы. Каждый вид обладает своими свойствами и выполняет свои определенные действия.

2. Троянская программа

Вредоносная программа, распространяемая людьми, в отличие от вирусов и червей, которые распространяются самопроизвольно.

Название «троянские» восходит к эпизоду в Илиаде, рассказывающем о «Троянском коне» — дарёном деревянном коне, использованном для проникновения в Трою. Большая часть троянских программ открывает доступ к операционной системе— маскируется под безвредные или полезные программы, чтобы пользователь запустил их на своем компьютере.

«Трояны» — самый простой вид вредоносных программ, сложность которых зависит исключительно от сложности истинной задачи и средств маскировки. Самые примитивные «трояны» (например, стирающие содержимое диска при запуске) могут иметь исходный код в несколько строк.

Троянские программы распространяются людьми — как непосредственно загружаются в компьютерные системы злоумышленниками-инсайдерами, так и побуждают пользователей загружать и/или запускать их на своих системах.

Для достижения последнего троянские программы помещаются злоумышленниками на открытые или индексируемые ресурсы (файл-серверы и системы файлообмена), носители информации, присылаются с помощью служб обмена сообщениями (например, электронной почтой), попадают на компьютер через бреши безопасности или загружаются самим пользователем с адресов, полученных одним из перечисленных способов.

Иногда использование троянов является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы.

Троянские программы чаще всего разрабатываются для вредоносных целей. Существует классификация, где они разбиваются на категории, основанные на том, как трояны внедряются в систему и наносят ей вред. Существует 5 основных типов:

удалённый доступ, уничтожение данных, загрузчик, сервер, дезактиватор программ безопасности.

Целью троянской программы может быть:

закачивание и скачивание файлов, копирование ложных ссылок, ведущих на поддельные веб-сайты, чаты или другие сайты с регистрацией, создание помех работе пользователя, похищение данных, представляющих ценность или тайну, в том числе информации для аутентификации, для несанкционированного доступа к ресурсам, выуживание деталей касательно банковских счетов, которые могут быть использованы в преступных целях, распространение других вредоносных программ, таких как вирусы, уничтожение данных (стирание или переписывание данных на диске, трудно замечаемые повреждения файлов) и оборудования, выведения из строя или отказа обслуживания компьютерных систем, сетей, сбор адресов электронной почты и использование их для рассылки спама, шпионство за пользователем и тайное сообщение третьим лицам сведений, таких как, например, привычка посещения сайтов, регистрация нажатий клавиш с целью кражи информации такого рода как пароли и номера кредитных карточек, дезактивация или создание помех работе антивирусных программ и файервола.

Многие трояны могут находиться на компьютере пользователя без его ведома. Иногда трояны прописываются в Реестре, что приводит к их автоматическому запуску при старте Windows. Также трояны могут комбинироваться с легитимными файлами. Когда пользователь открывает такой файл или запускает приложение, троян запускается также.

Трояны обычно состоят из двух частей: Клиент и Сервер. Сервер запускается на машине-жертве и следит за соединениями от Клиента, используемого атакующей стороной. Когда Сервер запущен, он отслеживает порт или несколько портов в поиске соединения от Клиента. Для того, чтобы атакующая сторона подсоединилась к Серверу, она должна знать IP-адрес машины, на которой запущен Сервер. Некоторые трояны отправляют IP-адрес машины-жертвы атакующей стороне по электронной почте или иным способом. Как только с Сервером произошло соединение, Клиент может отправлять на него команды, которые Сервер будет исполнять на машине-жертве. В настоящее время благодаря NAT-технологии получить доступ к большинству компьютеров через их внешний IP-адрес невозможно. И теперь многие трояны соединяются с компьютером атакующей стороны, который установлен на приём соединений, вместо того, чтобы атакующая сторона сама пыталась соединиться с жертвой. Многие современные трояны также могут беспрепятственно обходить файрволы на компьютере жертвы.

В целом, троянские программы обнаруживаются и удаляются антивирусным и антишпионским ПО точно так же, как и остальные вредоносные программы.

вирус троянский программа червь

3. Win32 (Сетевой червь)

Разновидность вредоносной программы, самостоятельно распространяющейся через локальные и глобальные компьютерные сети. Обычно рассылают себя на другие узлы сети.

В то время как компьютерные вирусы предназначены для бесконтрольного распространения, черви нацелены на выполнение каких-либо конкретных действий. Это может быть, например, преодоление защиты системы от несанкционированного доступа.

Черви могут устанавливать на компьютер вирусы или вредоносные программы других типов, открывать злоумышленнику полный доступ к пораженной системе и выполнять другие вредоносные функции.

Черви часто распространяются по каналам электронной почты, выводя из строя компьютеры и создавая значительный паразитный трафик в Интернете. Однако существуют и другие возможности для распространения червей, например, использование уязвимостей в системе безопасности ОС и приложений, установленных на серверах и персональных компьютерах.

Червь может сначала проникнуть, или «заползти» на один компьютер, а потом перейти с него, или «переползти» на все другие или некоторые компьютеры сети. Благодаря таким свойствам компьютерный червь и получил свое название.

Часто выделяют так называемые резидентные черви, которые могут инфицировать работающую программу и находиться в ОЗУ, при этом не затрагивая жёсткие диски. От таких червей можно избавиться перезапуском компьютера (и, соответственно, сбросом ОЗУ). Такие черви состоят в основном из «инфекционной» части: эксплойта (шелл-кода) и небольшой полезной нагрузки (самого тела червя), которая размещается целиком в ОЗУ. Специфика таких червей заключается в том, что они не загружаются через загрузчик как все обычные исполняемые файлы, а значит, могут рассчитывать только на те динамические библиотеки, которые уже были загружены в память другими программами.

Также существуют черви, которые после успешного инфицирования памяти сохраняют код на жёстком диске и принимают меры для последующего запуска этого кода (например, путём прописывания соответствующих ключей в реестре Windows). От таких червей можно избавиться только при помощи антивирусного программного обеспечения или подобных инструментов. Зачастую инфекционная часть таких червей (эксплойт, шелл-код) содержит небольшую полезную нагрузку, которая загружается в ОЗУ и может «догрузить» по сети непосредственно само тело червя в виде отдельного файла. Для этого некоторые черви могут содержать в инфекционной части простой TFTP-клиент. Загружаемое таким способом тело червя (обычно отдельный исполняемый файл) теперь отвечает за дальнейшее сканирование и распространение уже с инфицированной системы, а также может содержать более серьёзную, полноценную полезную нагрузку, целью которой может быть, например, нанесение какого-либо вреда (например, DoS-атаки).

4. Вирусы

Программа, способная создавать свои и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам.

Из-за особенности вирусов в способности к размножению в рамках одного компьютера, деление вирусов на типы происходит в соответствии со способами размножения.

Сам процесс размножения может быть условно разделен на несколько стадий:

Проникновение на компьютер.

Активация вируса.

Поиск объектов для заражения.

Подготовка вирусных копий.

Внедрение вирусных копий.

Как правило вирусы проникают вместе с зараженными файлами или другими объектами, и в отличие от червей, никак не влияют на процесс проникновения. Следовательно, возможности проникновения полностью определяются возможностями заражения.

Вирусы делятся по типам:

Загрузочные вирусы — вирусы, заражающие загрузочные сектора постоянных и сменных носителей.

Файловые вирусы — вирусы, заражающие файлы. В зависимости от среды в которой выполняется код.

Вирусы, рассчитанные для работы в среде определенной ОС или приложения — неработоспособные в среде других ОС и приложений. Поэтому как отдельный атрибут вируса выделяется среда, в которой он способен выполняться. Для файловых вирусов это DOS, Windows, Linux, MacOS, OS/2. Для макровирусов — Word, Excel, PowerPoint, Office. Иногда вирусу требуется для корректной работы какая-то определенная версия ОС или приложения, тогда атрибут указывается более узко: Win9x, Excel97.

Независимо от типа, вредоносные программы способны наносить значительный ущерб, реализуя любые угрозы информации — угрозы нарушения целостности, конфиденциальности, доступности. В связи с этим при проектировании комплексных систем антивирусной защиты, и даже в более общем случае — комплексных системы защиты информации, необходимо проводить градацию и классифицировать объекты сети по важности, обрабатываемой на них информации и по вероятности заражения этих узлов вирусами.

5. Способы защит от вирусов

Для защиты от вирусов можно использовать:

Общие средства защиты информации, которые полезны также как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;

Основными мерами защиты от вирусов считаются:

резервирование (ежедневное ведение архивов измененных файлов);

профилактика (раздельное хранение вновь полученных программ и эксплуатирующийся);

ревизия (анализ вновь полученных программ специальными средствами);

вакцинация (специальная обработка файлов, дисков, каталогов);

фильтрация (использование специальных сервисных программ для разбиения диска на зоны с установленным атрибутом «только для чтения»);

лечение (восстановление первоначального состояния программ путем удаления всех экземпляров вируса в каждом из зараженных файлов или дисков).

Для предотвращения заражения компьютера вирусом и ликвидации последствий заражения предназначены разнообразные антивирусные программы.

Ни один тип антивирусных программ по отдельности не дает, к сожалению, полной защиты от вирусов. По этому наилучшей стратегией защиты от вирусов является многоуровневая, «эшелонная» оборона. Опишем структуру этой обороны.

Средствам разведки в «обороне» от вирусов соответствуют программы — детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.

На переднем крае обороны находятся программы-фильтры (резидентные программы для защиты от вируса). Эти программы могут первыми сообщить о вирусной атаке и предотвратить заражение программ и диска.

Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры. Ревизоры обнаруживают нападение даже тогда, когда вирус сумел «просочиться» через передний край обороны. Программы-доктора применяются для восстановления зараженных программ, если ее копий нет в архиве. Но они не всегда лечат правильно. Доктора-ревизоры обнаруживают нападение вируса и лечат зараженные файлы, причем контролируют правильность лечения.

Самый глубокий эшелон обороны — это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.

И наконец, в «стратегическом резерве» находятся архивные копии информации и «эталонные» дискеты с программными продуктами. Они позволяют восстановить информацию при ее повреждении на жестком диске.

В большинстве случаев для обнаружения вируса, заразившего Ваш компьютер, можно найти уже разработанные программы-детекторы. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режим лечения или уничтожения зараженных файлов.

Следует отметить, программа — детектор может обнаруживать только те вирусы, которые ей известны (т.е. занесены в антивирусную базу данных этой программы).

Например есть тысячи высококлассных антивирусных специалистов, профессионализм которых многократно превосходит совокупный потенциал всех компьютерных хулиганов — хакеров. В России антивирусными исследованиями занимаются две компьютерные компании — «Лаборатория Касперского» (www.avp.ru) и «СалД» (www.drweb.ru).

С тех пор как существует антивирусная индустрия, было изобретено множество способов противодействия компьютерным вирусам. Пестрота и разнообразие предлагаемых сегодня систем защиты поистине поражает На сегодняшний день можно выделить четыре основных подхода к обеспечению антивирусной безопасности.

1. Антивирусные сканеры.

Пионер антивирусного движения — программа-сканер, появившаяся на свет практически одновременно с самими компьютерными вирусами. Принцип работы сканера заключается в просмотре всех файлов, загрузочных секторов и памяти с цепью обнаружения в них вирусных сигнатур, то есть уникального программного кода вируса.

Главный недостаток сканера — неспособность отслеживать различные модификации вируса. К примеру, существует несколько десятков вариантов вируса «Melissa», и почти для каждого из них антивирусным компаниям приходилось выпускать отдельное обновление антивирусной базы.

Отсюда вытекает и вторая проблема: на время между появлением новой модификации вируса и выходом соответствующего антивируса пользователь остается практически незащищенным. Правда, позднее эксперты придумали и внедрили в сканеры оригинальный алгоритм обнаружения неизвестных вирусов — эвристический анализатор, который проверял код программы на возможность присутствия в нем компьютерного вируса. Однако этот метод имеет высокий уровень ложных срабатываний.

И, наконец, третий недостаток антивирусного сканера — он проверяет файлы только тогда, когда вы его об этом «попросите», то есть запустите программу.

2. Антивирусные мониторы.

По своей сути антивирусные мониторы — это разновидность сканеров. Но в отличие от последних они постоянно находятся в памяти компьютера и осуществляют фоновую проверку файлов, загрузочных секторов и памяти в масштабе реального времени. Для включения антивирусной защиты пользователю достаточно загрузить монитор при загрузке операционной системы. Все запускаемые файлы будут автоматически проверяться на вирусы.

3. Ревизоры изменений.

Работа этого вида антивирусных программ основана на снятии оригинальных «отпечатков» (CRC-сумм) с файлов и системных секторов. Эти «отпечатки» сохраняются в базе данных. При следующем запуске ревизор сверяет «отпечатки» с их оригиналами и сообщает пользователю о произошедших изменениях.

У ревизоров изменений тоже есть недостатки. Во-первых, они не способны поймать вирус в момент его появления в системе. Во-вторых, они не могут обнаружить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из резервной копии, или при распаковке файлов из архива), поскольку в базах данных ревизоров информация об этих файлах отсутствует. В-третьих, ревизоры требуют регулярного запускачем чаще это делать, тем надежнее будет контроль за вирусной активностью.

4. Иммунизаторы.

Антивирусные программы-иммунизаторы делятся на два вида: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса.

Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один, но он принципиален: они абсолютно не способны обнаруживать вирусы-невидимки, хитро скрывающие свое присутствие в зараженном файле.

Второй тип иммунизаторов защищает систему от поражения каким-либо определенным вирусом.

Конечно, нельзя иммунизировать файлы от всех известных вирусов: у каждого из них свои приемы определения зараженности. Именно поэтому иммунизаторы не получили большого распространения и в настоящее время практически не используются.

Заключение

В заключении хотелось бы отметить, что в наше время очень активно развивается мир цифрового оборудования, а именно компьютерной техники, телефонов, дополнительных гаджетов для упрощения и облегчения громоздких вычислений, упрощение банковских операция и хранения личной информации. Всё это влечет за собой и разработку новых видов вирусных программ для добычи необходимой личной информации не законным способом.

С появлением новых вирусных программ появляются и новые антивирусы, но лидирующие места занимают более обширные антивирусы которые обновляют свою вирусную базу увеличивая безопасность своих пользователей. В реферате было оговорено о двух лидирующих антивирусах: Касперский и DrWeb которые являются лидерами как в качестве своего программного продукта так и в надежности работы.

В ходе проведения исследования и изучения материалов касательных видам вирусов, был сделан вывод: для лучшей безопасности необходимо взаимодействие между антивирусной программой и системой фильтрации выхода в интернет (фаервол). Быть более внимательным при скачивание контента и пользоваться только доверенными источниками, которые не вызывают подозрения, использовать лицензионное программное обеспечения и делать резервное копирование важных для вас данных.

1. Троянская программа https://ru.wikipedia.org/wiki/Троянская_программа

2. Троянские программы http://www.anvir.net/troyanskie-programmyi.htm

3. Сетевой червь https://ru.wikipedia.org/wiki/Сетевой_червь

4. Вирусы http://it-sektor.ru/klassifikatsciya-virusov.html

5. Компьютерные вирусы http://uvd45.ru/2-kurs/referat-na-temu-kompiuternye-virusy/

6. Windows-компьютер без антивирусов http://habrahabr.ru/post/97 594/