Типология вирусов

3 Июл 2014 | Автор: | Комментариев нет »

Содержание

1. Природа и происхождение компьютерных вирусов   3
2. Типология компьютерных вирусов      4
3. Механизмы распространения вирусных программ   11
4. Антивирусные программы и пакеты     15
Список литературы         21

1. Природа и происхождение компьютерных вирусов

В современном представлении компьютерные вирусы — это разновидность враждебных программ или процессов, отличающихся способностью к самовоспроизведению (размножению). Понятие враждебная программа объединяет два свойства:
• установка и работа, скрытые от пользователя;
• нанесение ущерба ему или компьютерной системе.
Механизмы работы компьютерных вирусов постоянно совершенствуются, что регулярно приводит к возникновению эпидемий. Сегодня в мире ежемесячно выявляется до сотни новых вирусов. Но принципиально новые вирусные технологии появляются гораздо реже — один раз в несколько лет. Компьютерные вирусы создаются такими же (а иногда и теми же) людьми, что пишут самые обычные программы. Кто-то со зла на все человечество или на значительную его часть рассматривает вирусы как разновидность бомбы, которую легко создать и трудно проследить до первоисточника. Но среди авторов вирусов встречаются и высококвалифицированные программисты, люди образованные, корректные, психически устойчивые.
К сожалению, именно их трудами технология вирусописательства движется вперед. Для них исследование и разработка вирусов — это поле для творчества и средство для самовыражения. Такие авторы не создают разрушительные вирусы, но придумывают новые механизмы их размножения и распространения. Но на каждого научного исследователя приходится несколько сот менее щепетильных людей. Как следствие, самый теоретический вирус вскоре проявляется в разрушительной практической ипостаси.
На сегодняшний день число различных компьютерных вирусов измеряется тысячами, так что возникла необходимость их классификации. Основным принципом такой классификации сегодня является место размещения вируса в компьютерной системе. В отличие от разрушительного эффекта (который может быть любым) разнообразие мест размещения вирусов и связанных с этим способов их распространения невелико. Новые методы появляются редко и обычно связаны с появлением новых средств связи или новых принципов работы программного обеспечения. При классификации вирусов по месту размещения трудности вызывают только вирусы комплексной природы, использующие для распространения несколько разных механизмов. Такие вирусы отличаются повышенной эффективностью распространения, но в этом случае и не слишком опытному пользователю легко заметить, что на его компьютере происходит что-то необычное.

2. Типология компьютерных вирусов

Троянские кони и логические бомбы. Компьютерные вирусы берут свое начало от этих двух типов враждебных программ. Типичный троянец скрытно работает на компьютере жертвы, позволяя брать его под удаленное управление через Интернет. У программ этого рода отсутствуют средства самовоспроизведения (автоматического распространения). Они маскируются под полезную программу или присоединяются к таковой злоумышленником. Таким образом, характерной особенностью троянской программы является несоответствие явных и скрытых функций.
Разделение на троянские программы и логические бомбы условно. Под собственно троянскими программами обычно понимают программы, ориентированные на долговременное скрытное исполнение паразитных функций. Логическая бомба обычно должна сработать один раз, но с максимальной разрушительной силой. В нормальных условиях она пассивна, и поэтому пользователь не подозревает о ее присутствии. При возникновении условий активации, которые не обязательно имеют природу команды, бомба взрывается. Последствия срабатывания бомбы могут быть любыми.
С формальной точки зрения, троянские кони и логические бомбы не являются вирусами, так как не имеют средств самовоспроизведения. Но они, без сомнения, принадлежат к общей группе враждебных программ. Антивирусные программы регистрируют наличие на компьютере любых враждебных программ как заражение.
Загрузочные вирусы. Программный код, в том числе и вирусный, может нести даже пустой гибкий диск, потому что любой дисковый носитель имеет служебную область, называемую загрузочным сектором. При попытке загрузки с диска процессор обращается к коду, имеющемуся в этом секторе. Если диск не является загрузочным, то такой код лишь выдает на экран предупреждающее сообщение и дает возможность повторить попытку загрузки.
Загрузочный вирус подменяет или расширяет этот код. При обращении к зараженному диску сначала происходит загрузка в оперативную память враждебного кода и только потом запускается код истинной загрузочной записи. Гибкий диск может не быть системным и не предназначаться для загрузки операционной системы. Но и в этом случае при попытке загрузки с зараженной дискеты код вируса проникает в память и заражает загрузочную область системного жесткого диска. Далее вирус активизируется при каждом запуске компьютера и поражает загрузочные области всех обнаруженных дисков, не защищенных от записи. Распространение загрузочных вирусов происходит благодаря переносу зараженных гибких дисков между компьютерами руками самих пользователей.
Для защиты от загрузочных вирусов в параметрах настройки BIOS отключают возможность загрузки компьютера с гибкого диска А:. Излечение зараженных служебных секторов жестких дисков обычно не представляет серьезных проблем, если не наступила стадия разрушительных действий. Гибкие диски эффективно излечиваются путем полного переформатирования. Перед этим данные можно переписать на любой другой носитель, в том числе и на жесткий диск. При копировании файлов загрузочные вирусы не переносятся — они требуют попытки загрузки операционной системы с данного носителя.
Файловые вирусы. Вирусы, дописывающие свой код к файлам, называются файловыми. Они поступают в оперативную память при запуске пораженного файла. Источники таких вирусов - исполнимые файлы, то есть файлы программ (.СОМ и .ЕХЕ), а также файлы программных библиотек, например .DLL Вирус активизируется при запуске зараженного файла. Дальнейшее его поведение может быть разным. Некоторые вирусы сами разыскивают файлы на жестком диске и заражают их, другие остаются в памяти как резидентные программы и заражают все файлы, запущенные после активизации вируса.
Стелс-вирусы. Стелс-технология (stealth) используется для скрытия факта присутствия файлового вируса от антивирусных программ. Принцип действия состоит в том, что вирус перехватывает обращения антивирусной программы, разыскивающей характерные фрагменты кода, и предоставляет ей текст незараженного файла. Современные антивирусные программы успешно борются с этой категорией вирусов-невидимок. Выявить истинную картину позволяет выполнение операции чтения в обход стандартных средств операционной системы.
Полиморфные вирусы. Полиморфные вирусы пытаются ввести в заблуждение антивирусные средства, уходя от повторяющихся сигнатур. Для этого они шифруют собственный код с помощью случайного ключа, который, как правило, берется из заражаемого файла. Расшифровка кода вируса производится динамически, во время его работы.
Видимый код вируса непредсказуем, и сличать его с образцами известных вирусов бессмысленно. Для обнаружения полиморфных вирусов требуется эвристический анализ кода. Сам факт шифрования кода уже является подозрительным признаком.
Макровирусы. Долгое время считалось, что вирусы способны поражать только объекты, содержащие исполнимый код (файлы и загрузочные области носителей), но никак не объекты, в которых хранятся данные: документы, сообщения, записи баз данных. Однако вирусы такого типа сегодня более популярны, чем файловые вирусы, поражающие исполняемые файлы.
В операционной системе Windows активно используются объекты серверного типа, способные исполнять команды, хранимые в документах (файлах данных). В этом случае документ, содержащий данные, способен запускать несанкционированные процессы. При этом сам документ не является исполнителем этих процессов. Все действия выполняет иная программа, ранее установленная на компьютере и заведомо не являющаяся враждебной. Вредоносный вирусный компонент связан не с программой, а именно с документом.
Документы, созданные средствами пакета Microsoft Office, могут содержать так называемые макросы, в основе которых лежит язык программирования Visual Basic for Applications (VBA). Сценарии VBA включаются в состав документа Word, Excel, Access и работают под управлением родительского приложения. Существуют средства автоматического запуска сценариев при активизации документа, что и позволяет макросам иметь вирусное содержание.
Появление первого макровируса в документе Word относится к концу 1995 г. В 1996 г. был зарегистрирован первый макровирус в документе Excel, а в 1998 г. — в документе Access. Программы компании Microsoft распространены очень широко и поэтому особенно привлекают внимание злоумышленников. Их действиям способствует политика фирмы, которая при внедрении новых технологий пренебрегает вопросами безопасности и лишь через несколько лет начинает строить оборонительные рубежи. Сомнительной популярности макровирусов способствует простота их создания и отсутствие привязки к конкретной платформе. Кроме того, передача документов происходит гораздо чаще, чем передача программных файлов. Многие документы, например в формате Word, с самого начала разрабатываются для последующей передачи. Это очень удобно для распространения заразы.
Защита от макровирусов бывает активной и пассивной. Активная защита предполагает регулярную проверку компьютера с помощью антивирусных программ и обязательную проверку документов, поступающих извне. Пассивная защита основана на настройке системы защиты средствами Microsoft Office и добровольных самоограничениях.
Впервые средства защиты от макровирусов появились в пакете Microsoft Office 97. Там была введена настройка, позволяющая блокировать запуск макросов в документах. В пакете Microsoft Office 2000 применена система проверки макросов с помощью электронной цифровой подписи (ЭЦП). Не вдаваясь в подробности, заметим, что предложенная система неудобна, трудоемка и малоэффективна. Применение специальных антивирусных средств дает лучший эффект.
Тем не менее, определенные антивирусные меры при работе с программами Microsoft Office 2000 нужны. В текстовом процессоре Word 2000 не предусмотрено безусловное отключение макросов, как в Word 97. Вместо этого можно задать уровень безопасности в диалоговом окне Безопасность (Сервис > Макрос > Безопасность).
Самый надежный вариант соответствует высокому уровню безопасности. При этой настройке запускаются только макросы, полученные из надежных источников (их список приведен на вкладке Надежные источники диалогового окна Безопасность) и подтвержденные электронной цифровой подписью разработчика. Этот механизм в лучшем случае блокирует запуск вредоносных макросов, но не мешает их путешествию вместе с документом (до первого незащищенного компьютера).

Страниц: 1 2
Здесь вы можете написать комментарий

* Обязательные для заполнения поля
Все отзывы проходят модерацию.
Навигация
Связаться с нами
Наши контакты

vadimmax1976@mail.ru

8-908-07-32-118

8-902-89-18-220

О сайте

Magref.ru - один из немногих образовательных сайтов рунета, поставивший перед собой цель не только продавать, но делиться информацией. Мы готовы к активному сотрудничеству!