Реферат: Компьютерные вирусы

На горе лежит дискета
У неё запорчен бут
Через дырочку в конверте
Её вирусы грызут

(Народный фольклор)

I Введение

К основнымтехническим феноменам 20-го века относятся, на мой взгляд, появление человека вкосмосе, утилизация атомной энергии вещества, грандиозный прогресс систем связии передачи информации и, конечно же, ошеломляющее развитие микро- имакро-компьютеров. И как скоро появляется упоминание о феномене компьютеров,так тут же возникает еще один феномен конца нашего столетия — феномен компьютерныхвирусов.

Бытьможет, многим покажется смешным или легкомысленным то, что факт возникновениякомпьютерных вирусов поставлен в один ряд с исследованиями космоса, атомногоядра и развитием электроники.

Во-первых,компьютерные вирусы — это серьезная и довольно заметная проблема, возникновениякоторой никто не ожидал. Даже всевидящие фантасты — футурологи прошлого неговорят об этом ничего (насколько это мне известно). В их многочисленныхпроизведениях с той или иной точностью предсказаны практически все техническиедостижения настоящего (вспомним, например, Уэллса с его идеей полета из пушкина Луну и марсиан, вооруженных неким подобием лазера). Если же говорить овычислительных машинах, то тема эта вылизана донельзя — однако нет ни одногопророчества, посвященного компьютерным вирусам. Тема вируса в произведенияхписателей появилась уже после того, как первый реальный вирус поразил свойпервый компьютер.

Во-вторых, компьютерные вирусы — это первая вполнеудачная попытка создать жизнь. Попытка удачная, но нельзя сказать, что полезная- современные компьютерные «микроорганизмы» более всего напоминаютнасекомых-вредителей, приносящих только проблемы и неприятности.

Но все таки — жизнь,поскольку компьютерным вирусам присущи все атрибуты живого — способность к размножению,приспособляемости к среде, движению и т.д. (естественно, только в пределахкомпьютеров — так же как все вышесказанное верно для биологических вирусов впределах клеток организма). Более того, существуют «двуполые» вирусы (см. вирусRMNS), а примером» многоклеточности» могут служить например, макро-вирусы,состоящие из нескольких независимых макросов.

Ив-третьих, Практически все проблемы, решаемые при помощи вычислительнойтехники, являются продолжением целенаправленной борьбы человека с окружающейего природой. Природа ставит человеку длинное нелинейное дифференциальноеуравнение в трехмерном пространстве — человек набивает компьютер процессорами,памятью, обвешивает пыльными проводами, много курит и в итоге решает этоуравнение (или пребывает в состоянии уверенности, что решил). Природа даетчеловеку кусок провода с вполне определенными характеристиками — человекпридумывает алгоритмы передачи как можно большего объема информации по этомупроводу, терзает его модуляциями, сжимает байты в биты и терпеливо ждетсверхпроводимости при комнатной температуре. Природа (в лице фирмы IBM) даетчеловеку очередное ограничение в виде очередной версии IBM PC — и человек неспит ночами, опять много курит, оптимизируя коды очередной базы данных, дабыуместить ее в предоставленные ему ресурсы оперативной и дисковой памяти. И такдалее.

А вот борьба с компьютернымивирусами является борьбой человека с человеческим же разумом (в некоторомсмысле тоже проявлением природных сил, хотя на этот счет имеется более одногомнения). Эта борьба является борьбой умов, поскольку задачи, стоящие передвирусологами, ставят такие же люди. Они придумывают новый вирус – и в немприходится разбираться. Затем онипридумывают вирус, в котором разобраться очень тяжело — но в нем все равно разбираются. И сейчаснаверняка где-то сидит за компьютером парень, страдающий над очередныммонстром, в котором придется разбиратьсяцелую неделю, а потом еще одну неделю отлаживать алгоритм антивируса.

Итак, появление компьютерныхвирусов — один из наиболее интересных моментов в истории технического прогресса20-го века, и настал момент закончить с около-философскими рассуждениями иперейти к конкретным вопросам. И вопрос об определении понятия «компьютерныйвирус» будет стоять на первом месте.

Так что же такоекомпьютерный вирус?

II Попыткадать «нормальное» определение

Первые исследованиясаморазмножающихся искусственных конструкций проводились в середине нынешнегостолетия. В работах фон Неймана, Винера и других авторов дано определение и проведенматематический анализ конечных автоматов, в том числе и самовоспроизводящихся.Термин «компьютерный вирус» появился позднее — официально считается, что еговпервые употребил сотрудник Лехайского университета (США) Ф.Коэн в 1984 г. на7-й конференции по безопасности информации, проходившей в США. С тех пор прошлонемало времени, острота проблемы вирусов многократно возросла, однако строгогоопределения, что же такое компьютерный вирус, так и не дано, несмотря на то,что попытки дать такое определение предпринимались неоднократно.

Основная трудность,возникающая при попытках дать строгое определение вируса, заключается в том,что практически все отличительные черты вируса (внедрение в другие объекты,скрытность, потенциальная опасность и проч.) либо присущи другим программам,которые никоим образом вирусами не являются, либо существуют вирусы, которые несодержат указанных выше отличительных черт (за исключением возможностираспространения).

Например, если в качествеотличительной характеристики вируса принимается скрытность, то лекго привестипример вируса, не скрывающего своего распространения. Такой вирус передзаражением любого файла выводит сообщение, гласящее, что в компьютере находитсявирус и этот вирус готов поразить очередной файл, затем выводит имя этого файлаи запрашивает разрешение пользователя на внедрение вируса в файл.

Если в качествеотличительной черты вируса приводится возможность уничтожения им программ иданных на дисках, то в качестве контрпримера к данной отличительной черте можнопривести десятки совершенно безобидных вирусов, которые кроме своегораспространения ничем больше не отличаются.

Основная же особенностькомпьютерных вирусов — возможность их самопроизвольного внедрения в различныеобъекты операционной системы — присуща многим программам, которые не являютсявирусами. Например, самая распространенная операционная система MS-DOS имеет всебе все необходимое, чтобы самопроизвольно устанавливаться на не-DOS'овскиедиски. Для этого достаточно на загрузочный флоппи-диск, содержащий DOS,записать файл AUTOEXEC.BAT следующего содержания:

SYS A:

COPY *.* A:

SYS B:

COPY *.* B:

SYS C:

COPY *.* C:

...

Модифицированная таким образом DOS сама станет самымнастоящим вирусом с точки зрения практически любого существующего определения компьютерноговируса.

IIIКлассификация вирусов

Вирусы можно разделить наклассы по следующим основным признакам:

1.среда обитания;

1.1.файловые;

1.2.загрузочные;

1.3.макро;

1.4.сетевые.

2.операционная система (OC);

2.2.DOS.

2.3.WINDOWS.

2.4. Win95/NT.

2.5… OS/2

2.6.Другие.

3.особенности алгоритмаработы;

3.1.резидентность;

3.2.использованиестелс-алгоритмов;

3.3.самошифрование иполиморфичность;

3.4.использованиенестандартных приемов.

4.деструктивные возможности.

4.1.безвредные,т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памятина диске в результате своего распространения);

4.2.неопасные,влияние которых ограничивается уменьшением свободной памяти на диске играфическими, звуковыми и пр. эффектами;

4.3.опасные вирусы, которые могут привести ксерьезным сбоям в работе компьютера;

4.4.очень опасные, в алгоритм работы которыхзаведомо заложены процедуры, которые могут привести к потере программ,уничтожить данные, стереть необходимую для работы компьютера информацию,записанную в системных областях памяти, и даже, как гласит одна изнепроверенных компьютерных легенд, способствовать быстрому износу движущихсячастей механизмов — вводить в резонанс и разрушать головки некотоорых типоввинчестеров.

Но даже если в алгоритме вируса не найденоветвей, наносящих ущерб системе, этот вирус нельзя с полной уверенностьюназвать безвредным, так как проникновение его в компьютер может вызватьнепредсказуемые и порой катастрофические последствия. Ведь вирус, как и всякаяпрограмма, имеет ошибки, в результате которых могут быть испорчены как файлы,так и сектора дисков (например, вполне безобидный на первый взгляд вирус«DenZuk» довольно корректно работает с 360K дискетами, но может уничтожитьинформацию на дискетах большего объема). До сих пор попадаются вирусы,определяющие «COM или EXE» не по внутреннему формату файла, а по егорасширению. Естественно, что при несовпадении формата и расширения имени файлпосле заражения оказывается неработоспособным. Возможно также «заклинивание»резидентного вируса и системы при использовании новых версий DOS, при работе вWindows или с другими мощными программными системами. И так далее.

Файловыевирусы либо различными способами внедряются в выполняемые файлы(наиболее распространенный тип вирусов), либо создают файлы-двойники(компаньон-вирусы), либо используют особенности организации файловой системы(link-вирусы).

Загрузочные вирусызаписывают себя либо взагрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчиквинчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.

Макро-вирусызаражают файлы-документы и электронныетаблицы нескольких популярных редакторов.

Сетевые вирусыиспользуют для своего распространенияпротоколы или команды компьютерных сетей и электронной почты.

Существует большоеколичество сочетаний — например, файлово-загрузочные вирусы, заражающие какфайлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеютдовольно сложный алгоритм работы, часто применяют оригинальные методыпроникновения в систему, используют стелс и полиморфик-технологии. Другойпример такого сочетания — сетевой макро-вирус, который не только заражаетредактируемые длокументы, но и рассылает свои копии по электронной почте.

Заражаемая операционная система (вернее, ОС,объекты которой подвержены заражению) является вторым уровнем деления вирусовна классы. Каждый файловый или сетевой вирус заражает файлы какой-либо однойили нескольких OS — DOS, Windows, Win95/NT, OS/2 и т.д.

Макро-вирусы заражают файлыформатов Word, Excel, Office97. Загрузочные вирусы также ориентированы наконкретные форматы расположения системных данных в загрузочных секторах дисков.

Резидентный вируспри инфицированиикомпьютера оставляет в оперативной памяти свою резидентную часть, которая затемперехватывает обращения операционной системы к объектам заражения и внедряетсяв них. Резидентные вирусы находятся в памяти и являются активными вплоть довыключения компьютера или перезагрузки операционной системы. Нерезидентныевирусы не заражают память компьютера и сохраняют активность ограниченное время.Некоторые вирусы оставляют в оперативной памяти небольшие резидентныепрограммы, которые не распространяют вирус. Такие вирусы считаютсянерезидентными.

Резидентными можно считатьмакро-вирусы, посколько они постоянно присутствуют в памяти компьютера на всевремя работы зараженного редактора. При этом роль операционной системы берет насебя редактор, а понятие «перезагрузка операционной системы» трактуется как выходиз редактора.

В многозадачных операционныхсистемах время «жизни» резидентного DOS-вируса также может быть ограниченомоментом закрытия зараженного DOS-окна, а активность загрузочных вирусов внекоторых операционных системах ограничивается моментом инсталляции дисковыхдрайверов OC.

Использование стелс-алгоритмовпозволяет вирусам полностьюили частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмомявляется перехват запросов OC на чтение/запись зараженных объектов.Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себянезараженные участки информации. В случае макро-вирусов наиболее популярныйспособ — запрет вызовов меню просмотра макросов. Один из первых файловыхстелс-вирусов — вирус «Frodo», первый загрузочный стелс-вирус — «Brain».

Самошифрование и полиморфичностьиспользуются практическивсеми типами вирусов для того, чтобы максимально усложнить процедурудетектирования вируса. Полиморфик-вирусы (polymorphic) — это достаточнотруднообнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одногопостоянного участка кода. В большинстве случаев два образца одного и того жеполиморфик-вируса не будут иметь ни одного совпадения. Это достигаетсяшифрованием основного тела вируса и модификациями программы-расшифровщика.

Различные нестандартные приемычасто используются ввирусах для того, чтобы как можно глубже спрятать себя в ядре OC (как этоделает вирус «3APA3A»), защитить от обнаружения свою резидентную копию (вирусы«TPVO», «Trout2»), затруднить лечение от вируса (например, поместив свою копиюв Flash-BIOS) и т.д.

IV Пути проникновения вирусов в компьютер и механизмраспределения вирусных программ

Основными путямипроникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), атакже компьютерные сети. Заражение жесткого диска вирусами может произойти призагрузке программы с дискеты, содержащей вирус. Такое заражение может быть ислучайным, например, если дискету не вынули из дисковода А и перезагрузиликомпьютер, при этом дискета может быть и не системной. Заразить дискету гораздопроще. На нее вирус может попасть, даже если дискету просто вставили в дисководзараженного компьютера и, например, прочитали ее оглавление.

Вирус, как правило,внедряется в рабочую программу таким образом, чтобы при ее запуске управлениесначала передалось ему и только после выполнения всех его команд сновавернулось к рабочей программе. Получив доступ к управлению, вирус прежде всегопереписывает сам себя в другую рабочую программу и заражает ее. После запуска программы,содержащей вирус, становится возможным заражение других файлов. Наиболее частовирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющиерасширения EXE, COM, SYS, BAT.Крайне редко заражаютсятекстовые файлы.

После заражения программывирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы непривлечь внимания. И наконец, не забывает возвратить управление той программе,из которой был запущен. Каждое выполнение зараженной программы переносит вирусв следующую. Таким образом, заразится все программное обеспечение.

Для иллюстрации процессазаражения компьютерной программы вирусом имеет смысл уподобить дисковую памятьстаромодному архиву с папками на тесьме. В папках расположены программы, апоследовательность операций по внедрению вируса будет в этом случае выглядетьследующим образом.

V Признакипоявления вирусов

При заражении компьютеравирусом важно его обнаружить. Для этого следует знать об основных признакахпроявления вирусов. К ним можно отнести следующие:

1.прекращениеработы или неправильная работа ранее успешно функционировавших программ

2. медленная работакомпьютера

3. невозможность загрузкиоперационной системы

4. исчезновение файлов икаталогов или искажение их содержимого

5. изменение даты и временимодификации файлов

6. изменение размеров файлов

7. неожиданное значительноеувеличение количества файлов на диске

8. существенное уменьшениеразмера свободной оперативной памяти

9. вывод на экраннепредусмотренных сообщений или изображений

10. подача непредусмотренныхзвуковых сигналов

11. частые зависания и сбоив работе компьютера

Следует отметить, что вышеперечисленные явлениянеобязательно вызываются присутствием вируса, а могут быть следствием другихпричин. Поэтому всегда затруднена правильная диагностика состояния компьютера.

Библиографический список

1. <span Times New Roman"">

Информатика:Учебник / под ред. Проф. Н.В. Макаровой. — М.:Финансы и статистика, 1997.

2. <span Times New Roman"">

Энциклопедия тайн и сенсаций/ Подгот.текста Ю.Н. Петрова. — Мн.:Литература, 1996.

3. <span Times New Roman"">

Безруков Н.Н. Компьютерныевирусы. — М.: Наука, 1991.

4. <span Times New Roman"">

Мостовой Д.Ю. Современныетехнологии борьбы с вирусами // Мир ПК. — №8. — 1993.

Содержание:

I Введение……………………………………………………………………..

IIПопытка дать «нормальное» определение………………………………..