Реферат: Компьютерные вирусы

Компьютерный вирус — это специально написанная небольшая поразмерам программа, которая может «приписывать» себя к другимпрограммам (т.е. «заражать» их), а также выполнять различныенежелательные действия на компьютере. Программа, внутри которой находитсявирус, называется «зараженной». Когда такая программа начинаетработу, то сначала управление получает вирус. Вирус находит и«заражает» другие программы, а также выполняет какие-нибудь вредныедействия (например, портит файлы или таблицу размещения файлов на диске,«засоряет» оперативную память и т.д.). Для маскировки вируса действияпо заражению других программ и нанесению вреда могут выполняться не всегда, а,скажем, при выполнении определенных условий. После того как вирус выполнитнужные ему действия, он передает управление той программе, в которой оннаходится, и она работает также, как обычно. Тем самым внешне работа зараженнойпрограммы выглядит так же, как и незараженной.

Многие разновидностивирусов устроены так, что при запуске зараженной программы вирус остаетсярезидентно, т.е. до перезагрузки DOS, в памяти компьютера и время от временизаражает программы и выполняет вредные действия на компьютере.

Компьютерный вирус можетиспортить, т.е. изменить ненадлежащим образом, любой файл на имеющих в компьютередисках. Но некоторые виды файлов вирус может «заразить». Этоозначает, что вирус может «внедриться» в эти файлы, т.е. изменить ихтак, что они будут содержать вирус, который при некоторых обстоятельствах можетначать свою работу.

Следует заметить, чтотексты программ и документов, информационные файлы без данных, таблицытабличных процессоров и другие аналогичные файлы не могут быть зараженывирусом, он может их только испортить.

ПРОЯВЛЕНИЕ НАЛИЧИЯ ВИРУСАВ РАБОТЕ НА ПЭВМ

Все действия вируса могутвыполняться достаточно быстро и без выдачи каких-либо сообщений, поэтомупользователю очень трудно заметить, что в компьютере происходит что-тонеобычное.

Пока на компьютерезаражено относительно мало программ, наличие вируса может быть практическинезаметно. Однако по прошествии некоторого времени на компьютере начинаеттвориться что-то странное, например:

* некоторые программыперестают работать или начинают работать неправильно;

* на экран выводятсяпосторонние сообщения, символы и т.д.;

* работа на компьютересущественно замедляется;

* некоторые файлыоказываются испорченными и т.д.

К этому моменту, какправило, уже достаточно много (или даже большинство) программ являютсязараженными вирусом, а некоторые файлы и диски — испорченными. Более того,зараженные программы с одного компьютера могли быть перенесены с помощью дискетили по локальной сети на другие компьютеры.

Некоторые виды вирусовведут себя еще более коварно. Они вначале незаметно заражают большое числопрограмм или дисков, а потом причняют очень серьезные повреждения, напримерформируют весь жесткий диск на компьютере. А бывают вирусы, которые стараютсявести себя как можно более незаметно, но понемногу и постепенно портят данныена жестком диске компьютера.

Таким образом, если непредпринимать мер по защите от вируса, то последствия заражения компьютерамогут быть очень серьезными.

РАЗНОВИДНОСТИКОМПЬЮТЕРНЫХ ВИРУСОВ

Каждая конкретнаяразновидность вируса может заражать только один или два типа файлов. Чаще всеговстречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают ифайлы, и загрузочные области дисков. Вирусы, заражающие драйверы устройств,встречаются крайне редко, обычно такие вирусы умеют заражать и исполнимыефайлы.

В последнее времяполучили распространение вирусы нового типа — вирусы, имеющие файловую системуна диске. Эти вирусы обычно называются DIR. Такие вирусы прячут свое тело внекоторый участок диска (обычно — в последний кластер диска) и помечают его втаблице размещения файлов (FAT) как конец файла.

Чтобы предотвратить своеобнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Ярасскажу о двух из них: «невидимых» и самомодифицирующихся вирусах.

«НЕВИДИМЫЕ»вирусы. Многие резидентные вирусы (и файловые, и загрузочные) предотвращаютсвое обнаружение тем, что перехватывают обращения DOS (и тем самым прикладныхпрограмм) к зараженным файлам и областям диска и выдают их в исходном(незараженном) виде. Разумеется, этот эффект наблюдается только на зараженномкомпьютере — на «чистом» компьютере изменения в файлах и загрузочныхобластях диска можно легко обнаружить.

САМОМОДИФИЦИРУЮЩИЕСЯвирусы. Другой способ, применяемый вирусами для того, чтобы укрыться отобнаружения, — модификация своего тела. Многие вирусы хранят большую частьсвоего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя былоразобраться в механизме их работы. Самомодифицирующиеся вирусы используют этотприем и часто меняют параметры этой кодировки, а кроме того, изменяют и своюстартовую часть, которая служит для раскодировки остальных команд вируса. Такимобразом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов,по которой можно было бы идентифицировать вирус. Это, естественно, затрудняетнахождение таких вирусов программами-детекторами.

«ТРОЯНСКИЙКОНЬ»

Способ «троянскийконь» состоит в тайном введении в чужую программу таких команд, которыепозволяют осуществить новые, не планировавшиеся владельцем программы функции,но одновременно сохранять и прежнюю работоспособность. С помощью«троянского коня» преступники, например, отчисляют на свой счетопределенную сумму с каждой операции.

Компьютерные программныетексты обычно чрезвычайно сложны. Они состоят из сотен тысяч, а иногда имиллионов команд. Поэтому «троянский конь» из нескольких десятков командвряд ли может быть обнаружен, если, конечно, нет подозрений относительно этого.Но и в послед — нем случае экспертам-программистам потребуется много дней инедель, чтобы найти его.

Интересен случайиспользования «троянского коня» одним американским программистом. Онвставил в программу компьютера фирмы, где работал, команды, не отчисляющиеденьги, а не выводящие на печать для отчета определенные поступления. Этисуммы, особым образом маркированные, «существовали» только в системе.Вульгарным образом украв бланки, он заполнял их с указанием своей секретноймаркировки и получал эти деньги, а соответствующие операции по-прежнему невыводились на печать и не могли подвергнуться ревизии.

Есть еще однаразновидность «троянского коня». Ее особенность состоит в том, что вбезобидно выглядящий кусок программы вставляются не команды, собственновыполняющие «грязную» работу. а команды, формирующие эти команды ипосле выполнения уничтожающие их. В это случае программисту, пытающемуся найти«троянского коня», необходимо искать не его самого, а команды, егоформирующие. Развивая эту идею, можно представить себе команды, которые создаюткоманды и т. д.(сколь угодно большое число раз), которые создают«троянского коня».

В США получилараспространение форма компьютерного вандализма, при которой «троянскийконь» разрушает через какой-то промежуток времени все программы,хранящиеся в памяти машины. Во многих поступивших в продажу компьютерахоказалась «временная бомба», которая «взрывается» в самыйнеожиданный момент, разрушая всю библиотеку данных.

К сожалению, очень многиезаказчики прекрасно знают, что после конфликтов с предприятием-изготовителем ихпрограммное обеспечение, которое до сих пор прекрасно работало, вдруг начиналовести себя самым непредсказуемым образом и наконец полностью отказывало.Нетрудно догадаться, что и копии на магнитных лентах или дисках,предусмотрительно сделанные, положения нисколько не спасали.

Оставался один путь — идти с повинной к разработчику.

РАЗРАБОТКА ИРАСПРОСТРАНЕНИЕ КОМПЬЮТЕРНЫХ ВИРУСОВ.

«Троянскиекони» типа сотри все данные этой программы, перейди в следующую и сделайто же самое" обладают свойствами переходить через коммуникационные сети изодной системы в другую, распространяясь как вирусное заболевание.

Выявляется вирус не сразу:первое время компьютер «вынашивает инфекцию», поскольку длямаскировки вирус нередко используется в комбинации с «логическойбомбой» или «временной бомбой». Вирус наблюдает за всейобрабатываемой информацией и может перемещаться, используя пересылку этойинформации. Все происходит, как если бы он заразил белое кровяное тельце ипутешествовал с ним по организму человека. Начиная действовать (перехватыватьуправление), вирус дает команду компьютеру, чтобы тот записал зараженную версиюпрограммы. После этого он возвращает программе управление. Пользователь ничегоне заметит, так как его компьютер находится в состоянии «здоровогоносителя вируса». Обнаружить этот вирус можно, только обладая чрезвычайноразвитой программистской интуицией, поскольку никакие нарушения в работе ЭВМ вданный момент не проявляют себя. А в один прекрасный день компьютер «заболевает».

Экспертами собрано досьеписем от шантажистов, требующих перечисления крупных сумм денег в одно изотделений американской фирмы «ПК Сиборг»; в случае отказа преступникигрозятся вывести компьютеры из строя. По данным журнала «Бизнесуорлд», дискеты-вирусоносители получены десятью тысячами организаций,использующих в своей работе компьютеры.

Для поиска и выявлениязлоумышленников созданы специальные отряды английских детективов.

Все вирусы можноразделить на две разновидности, обнаружение которых различно по сложности:«вульгарный вирус» и «раздробленный вирус». Программа«вульгарного вируса» написана единым блоком, и при возникновенииподозрений в заражении ЭВМ эксперты могут обнаружить ее в самом начале эпидемии(размножения). Эта операция требует, однако, крайне тщательного анализа всейсовокупности операционной системы ЭВМ.

Программа«раздробленного вируса» разделена на части, на первый взгляд, неимеющие между собой связи. Эти части содержат инструкции которые указываюткомпьютеру как собрать их воедино, чтобы воссоздать и, следовательно,размножить вирус. Таким образом, он почти все время находится в«распределенном» состоянии, лишь на короткое время своей работысобираясь в единое целое. Как правило, создатели вируса указывают ему числорепродукций, после достижения которого он становится агрессивным.

Вирусы могут бытьвнедрены в операционную систему, в прикладную программу или в сетевой драйвер.

Варианты вирусов зависятот целей, преследуемых их создателем. Признаки их могут быть относительнодоброкачественными, например, замедление в выполнении программ или появлениесветящейся точки на экране дисплея (т. н. «итальянский попрыгунчик»).Признаки могут быть эволютивными, и «болезнь» будет обостряться помере своего течения. Так по непонятным причинам программы начинают переполнятьмагнитные диски, в результате чего существенно увеличивается объем программныхфайлов. Наконец, эти проявления могут быть катастрофическими и привести к стираниюфайлов и уничтожению программного обеспечения,

Каковы способыраспространения компьютерного вируса? Они основываются на способности вирусаиспользовать любой носитель передаваемых данных в качестве «средствапередвижения». То есть с начала заражения имеется опасность, что ЭВМ можетсоздать большое число средств передвижения и в последующие часы всясовокупность файлов и программных средств окажется зараженной. Таким образом,дискета или магнитная лента, перенесенные на другие ЭВМ, способны заразить их.И наоборот, когда «здоровая» дискета вводится в зараженный компьютер,она может стать носителем вируса. Удобными для распространения обширных эпидемийоказываются телекоммуникационные сети. Достаточно одного контакта, чтобыперсональный компьютер был заражен или заразил тот, с которым контактировал.Однако самый частый способ заражения — это копирование программ, что являетсяобычной практикой у пользователей персональных ЭВМ. Так скопированнымиоказываются и зараженные программы.

Специалистыпредостерегают от копирования ворованных программ. Иногда, однако, и официальнопоставляемые программы могут быть источником заражения. Например, фирма«Альдус» выпустила несколько тысяч зараженных дискет с графическимипрограммами.

Часто с началомкомпьютерной эпидемии связывают имя уже упоминаемого Роберта Морриса студентаКорнеллского университета (США), в результате действий которого зараженнымиоказались важнейшие компьютерные сети восточного и западного побережий США.Эпидемия охватила более б тысяч компьютеров и 70 компьютерных систем.Пострадавшими оказались, в частности, компьютерные центры НАСА, Диверморскойлаборатории ядерных исследований, Гарвардского, Питсбургского, Мэрилендского,Висконсинского, Калифорнийского, Стзнфордского университетов. Пикантностьситуации в том, что отец Р. Морриса — высокопоставленный сотрудник отделабезопасности компьютеров Агентства национальной безопасности .

А изобретателем вирусаявляется, однако, совсем другой человек В августе 1984 года студентКалифорнийского университета Фред Коуэн, выступая на одной из конференций,рассказал про свои опыты с тем, что один его друг назвал «компьютернымвирусом». Когда началось практическое применение вирусов, неизвестно, ибобанки, страховые компании, предприятия, обнаружив, что их компьютеры зараженывирусом, не допускали, чтобы сведения об этом просочились наружу.

В печати часто проводитсяпараллель между компьютерным вирусом и вирусом «AIDS». Толькоупорядоченная жизнь с одним или несколькими партнерами способна уберечь отэтого вируса. Беспорядочные связи со многими компьютерами почти навернякаприводят к заражению. Замучу, что пожелание ограничить использованиенепроверенного программного обеспечения скорее всего так и останетсяпрактически невыполнимым. Это связано с тем, что фирменные программы на«стерильных» носителях стоят немалых денег в конвертируемой валюте.Поэтому избежать их неконтролируемого копирования почти невозможно.

Справедливости радиследует отметить, что распространение компьютерных вирусов имеет и некоторыеположительные стороны. В частности, они являются, по-видимому, лучшей защитойот похитителей программного обеспечения. Зачастую разработчики сознательнозаражают свои дискеты каким-либо безобидным вирусом, который хорошо обнаруживаетсялюбым антивирусным тестом. Это служит достаточно надежной гарантией, что никтоне рискнет копировать такую дискету,

МЕТОДЫ ЗАЩИТЫ ОТКОМПЬЮТЕРНЫХ ВИРУСОВ

Каким бы не был вирус,пользователю необходимо знать основные методы защиты от компьютерных вирусов.

 Для защиты от вирусовможно использовать:

* общие средства защитыинформации, которые полезны также и как страховка от физической порчи дисков,неправильно работающих программ или ошибочных действий пользователя;

* профилактические меры,позволяющие уменьшить вероятность заражения вирусом;

* специализированныепрограммы для защиты от вирусов.

Общие средства защитыинформации полезны не только для защиты от вирусов. Имеются две основныеразновидности этих средств:

* копирование информации- создание копий файлов и системных областей дисков;

* разграничение доступапредотвращает несанкционированное использование информации, в частности, защитуот изменений программ и данных вирусами, неправильно работающими программами иошибочными действиями пользователей.

Несмотря на то, что общиесредства защиты информации очень важны для защиты от вирусов, все же ихнедостаточно. Необходимо и применение специализированных программ для защиты отвирусов. Эти программы можно разделить на несколько видов: детекторы, доктора(фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

ПРОГРАММЫ-ДЕТЕКТОРЫпозволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов.Эти программы проверяют, имеется ли в файлах на указанном пользователем дискеспецифическая для данного вируса комбинация байтов. При ее обнаружении вкаком-либо файле на экран выводится соответствующее сообщение.

Многие детекторы имеютрежимы лечения или уничтожения зараженных файлов.

Следует подчеркнуть, чтопрограммы-детекторы могут обнаруживать только те вирусы, которые ей«известны». Программа Scan фирмы McAfee Associates и Aidstest Д.Н.Лозинского позволяют обнаруживать около 1000 вирусов, но всего их более пятитысяч! Некоторые программы-детекторы, например Norton AntiVirus или AVSP фирмы«Диалог-МГУ», могут настраивать на новые типы вирусов, им необходимолишь указать комбинации байтов, присущие этим вирусам. Тем не менее невозможноразработать такую программу, которая могла бы обнаруживать любой заранеенеизвестный вирус.

Таким образом, из того,что программа не опознается детекторами как зараженная, не следует, что оназдорова — в ней могут сидеть какой-нибудь новый вирус или слегкамодифицированная версия старого вируса, неизвестные программам-детекторам.

Многие программы-детекторы(в том числе и Aidstest) не умеют обнаруживать заражение «невидимыми»вирусами, если такой вирус активен в памяти компьютера. Дело в том, что длячтения диска они используют функции DOS, а они перехватываются вирусом, которыйговорит, что все хорошо. Правда, Aidstest и другие детекторы пытаются выявитьвирус путем просмотра оперативной памяти, но против некоторых«хитрых» вирусов это не помогает. Так что надежный диагнозпрограммы-детекторы дают только при загрузке DOS с «чистой»,защищенной от записи дискеты, при этом копия программы-детектора также должнабыть запущена с этой дискеты.

Некоторые детекторы,скажем, ADinf фирмы «Диалог-Наука», умеют ловить«невидимые» вирусы, даже когда они активны. Для этого они читаютдиск, не используя вызовы DOS. Правда, этот метод работает не на всехдисководах.

Большинствопрограмм-детекторов имеют функцию «доктора», т.е. они пытаютсявернуть зараженные файлы или области диска в их исходное состояние. Те файлы,которые не удалось восстановить, как правило, делаются неработоспособными илиудаляются.

Большинствопрограмм-докторов умеют «лечить» только от некоторого фиксированногонабора вирусов, поэтому они быстро устаревают. Но некоторые программы могутобучаться не только способам обнаружения, но и способам лечения новых вирусов.

К таким программамотносится AVSP фирмы «Диалог-МГУ».

ПРОГРАММЫ-РЕВИЗОРЫ имеютдве стадии работы. Сначала они запоминают сведения о состоянии программ исистемных областей дисков (загрузочного сектора и сектора с таблицей разбиенияжесткого диска). Предполагается, что в этот момент программы и системныеобласти дисков не заражены. После этого с помощью программы-ревизора можно влюбой момент сравнить состояние программ и системных областей дисков с исходным.О выявленных несоответствиях сообщается пользователю.

Чтобы проверка состоянияпрограмм и дисков проходила при каждой загрузке операционной системы,необходимо включить команду запуска программы-ревизора в командный файлAUTOEXEC.BAT. Это позволяет обнаружить заражение компьютерным вирусом, когда онеще не успел нанести большого вреда. Более того, та же программа-ревизор сможетнайти поврежденные вирусом файлы.

Многие программы-ревизорыявляются довольно «интеллектуальными» — они могут отличать измененияв файлах, вызванные, например, переходом к новой версии программы, отизменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, чтовирусы обычно изменяют файлы весьма специфическим образом и производятодинаковые изменения в разных программных файлах. Понятно, что в нормальнойситуации такие изменения практически никогда не встречаются, поэтомупрограмма-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить,что они вызваны именно вирусом.

Следует заметить, чтомногие программы-ревизоры не умеют обнаруживать заражение«невидимыми» вирусами, если такой вирус активен в памяти компьютера.Но некоторые программы-ревизоры, например ADinf фирмы «Диалог-Наука»,все же умеют делать это, не используя вызовы DOS для чтения диска (правда, ониработают не на всех дисководах). Другие программы часто используют различныеполумеры – пытаются обнаружить вирус в оперативной памяти, требуют вызовы изпервой строки файла AUTOEXEC.BAT, надеясь работать на «чистом»компьютере, и т.д. Увы против некоторых «хитрых» вирусов все это бесполезно.

Для проверки того, неизменился ли файл, некоторые программы-ревизоры проверяют длину файла. Но этапроверка недостаточна — некоторые вирусы не изменяют длину зараженных файлов.Более надежная проверка — прочесть весь файл и вычислить его контрольную сумму.Изменить файл так, чтобы его контрольная сумма осталась прежней, практически невозможно.

В последнее времяпоявились очень полезные гибриды ревизоров и докторов, т.е. ДОКТОРА-РЕВИЗОРЫ, — программы, которые не только обнаруживают изменения в файлах и системныхобластях дисков, но и могут в случае изменений автоматически вернуть их висходное состояние. Такие программы могут быть гораздо более универсальными,чем программы-доктора, поскольку при лечении они используют заранее сохраненнуюинформацию о состоянии файлов и областей дисков. Это позволяет им вылечиватьфайлы даже от тех вирусов, которые не были созданы на момент написанияпрограммы.

Но они могут лечить не отвсех вирусов, а только от тех, которые используют «стандартные»,известные на момент написания программы, механизмы заражения файлов.

Существуют такжеПРОГРАММЫ-ФИЛЬТРЫ, которые располагаются резидентно в оперативной памятикомпьютера и перехватывают те обращения к операционной системе, которыеиспользуются вирусами для размножения и нанесения вреда, и сообщают о нихпользователя. Пользователь может разрешить или запретить выполнениесоответствующей операции.

Некоторыепрограммы-фильтры не «ловят» подозрительные действия, а проверяютвызываемые на выполнение программы на наличие вирусов. Это вызывает замедлениеработы компьютера.

Однако преимуществаиспользования программ-фильтров весьма значительны – они позволяют обнаружитьмногие вирусы на самой ранней стадии, когда вирус еще не успел размножиться ичто-либо испортить. Тем самым можно свести убытки от вируса к минимуму.

ПРОГРАММЫ-ВАКЦИНЫ, илиИММУНИЗАТОРЫ, модифицируют программы и диски таким образом, что это неотражается на работе программ, но тот вирус, от которого производитсявакцинация, считает эти программы или диски уже зараженными. Эти программыкрайне неэффективны.

Ни один тип антивирусныхпрограмм по отдельности не дает полной защиты от вирусов. Лучшей стратегиейзащиты от вирусов является многоуровневая, «эшелонированная» оборона.Опишу структуру этой обороны.

Средствам разведки в«обороне» от вирусов соответствуют программы-детекторы, позволяющиепроверять вновь полученное программное обеспечение на наличие вирусов.

На переднем крае оборонынаходятся программы-фильтры. Эти программы могут первыми сообщить о работевируса и предотвратить заражение программ и дисков.

Второй эшелон оборонысоставляют программы-ревизоры, программы-доктора и доктора-ревизоры.

Самый глубокий эшелонобороны — это средства разграничения доступа. Они не позволяют вирусам иневерно работающим программам, даже если они проникли в компьютер, испортитьважные данные.

В «стратегическомрезерве» находятся архивные копии информации. Это позволяет восстановитьинформацию при её повреждении.

Это неформальное описаниепозволяет лучше понять методику применения антивирусных средств.

ДЕЙСТВИЯ ПРИ ЗАРАЖЕНИИВИРУСОМ

При заражении компьютеравирусом (или при подозрении на это) важно соблюдать 4-е правила:

1) Прежде всего не надоторопиться и принимать опрометчивых решений.

Непродуманные действиямогут привести не только к потери части файлов, но к повторному заражениюкомпьютера.

2) Надо немедленновыключить компьютер, чтобы вирус не продолжал своих разрушительных действий.

3) Все действия по обнаружению вида заражения и лечениюкомпьютера следует выполнять при загрузке компьютера с защищенной от записидискеты с ОС (обязательное правило).

4) Если Вы не обладаетедостаточными знаниями и опытом для лечения компьютера, попросите помочь болееопытных коллег.