Защита от компьютерных вирусов.

Компьютерный вирус – это программа, внедряемая в различные объекты или ресурсы компьютерных систем и сетей и способная производить определенные действия без ведома пользователя.

Свое название компьютерный вирус получил за некоторое сходство с биологическим вирусом. Например, в зараженной программе самовоспроизводится другая программа-вирус, а инфицированная программа может длительное время работать без ошибок, как в стадии инкубации.

Программа, внутри которой находится вирус, называется зараженной (инфицированной)программой.

Когда инфицированная программа начинает работу, то сначала управление получает вирус. Он заражает другие программы, а также выполняет запланированные деструктивные действия. Для маскировки своих действий вирус активизируется не всегда, а лишь при выполнении определенных условий (истечение некоторого времени, выполнение определенного числа операций, наступление некоторой даты или дня недели и т.д.). После того, как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится. Внешне зараженная программа может работать так же, как и обычная программа.

Различные вирусы выполняют различные действия:

1.Выводят на экран мешающие текстовые сообщения (поздравления, политические лозунги, фразы с претензией на юмор и т.д.);

2.Создают звуковые эффекты (гимн, гамма, популярная мелодия);

3.Создают видео эффекты (переворачивают или сдвигают экран, имитируют землетрясение, вызывают опадание букв в тексте, выводят картинки и т.д.);

4.Замедляют работу ЭВМ, постепенно уменьшают объем свободной оперативной памяти;

5.Увеличивают износ оборудования (например, головок дисководов);

6.Вызывают отказ отдельных устройств, зависание или перезагрузку компьютера и крах работы всей ЭВМ;

7.Уничтожают FAT, форматируют жесткий диск, стирают BIOS, уничтожают или изменяют данные, стирают антивирусные программы;

8.Осуществляют научный, технический, промышленный и финансовый шпионаж;

9.Выводят из строя системы защиты информации и т.д.

Главная опасность самовоспроизводящихся кодов заключается в том, что программы-вирусы начинают жить собственной жизнью, практически не зависящей от разработчика программы.

Существует большое число различных классификаций вирусов:

По среде обитания:

1.Сетевые – распространяются по сетям.

2.Файловые – инфицируют исполняемые файлы с расширениями .exe, .com. Также к этому классу относятся макровирусы, которые заражают неисполняемые файлы (например, в MS WORD или в MS EXCEL).

Загрузочные – внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска.

Файлово-загрузочные – способны заражать и загрузочные секторы и файлы.

По способу заражения:

1.Резидентные – оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращения программ к ОС и внедряется в них.

2.Нерезидентные – не заражают оперативную память и проявляют свою активность лишь однократно при запуске зараженной программы.

По степени опасности:

1.Неопасные – не нарушают работу компьютера, но уменьшают объем оперативной памяти или жесткого диска.

2.Опасные – приводят к нарушениям в работе компьютера и уничтожают часть файлов на диске.

3.Очень опасные – самостоятельно форматируют жесткий диск.

По особенностям алгоритма:

1.Вирусы-компаньоны – создают для ехе-файлов новые файлы-спутники, имеющие то же имя, но с расширением com. Вирус записывается в com-файл и никак не изменяет одноименный ехе-файл. При запуске такого файла ОС первым обнаружит и выполнит com-файл, т.е. вирус, который затем запустит и ехе-файл.

2.Паразитические – изменяют содержимое дисковых секторов или файлов.

3.Репликаторы (черви) – распространяются в сети. Они проникают в память компьютера из сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Черви уменьшают пропускную способность сети, замедляют работу серверов.

4.Невидимки (стелс) – маскируют свое присутствие в ЭВМ, их трудно обнаружить. Они перехватывают обращения ОС к пораженным файлам или секторам дисков и «подставляют» незараженные участки файлов.

5.Мутанты (призраки, полиморфные вирусы, полиморфики) – их трудно обнаружить, т.к. их копии практически не содержат полностью совпадающих участков кода. Это достигается тем, что в программы вирусов добавляются пустые команды (мусор), которые не изменяют алгоритм работы вируса, но затрудняют их выявление.

6.Макро-вирусы – используют возможности макроязыков, встроенных в системы обработки данных (Word, Excel).

7.«Троянские кони» – маскируются под полезную или интересную программу, выполняя во время своего функционирования еще и разрушительную работу (например, стирает FAT) или собирает на компьютере информацию, не подлежащую разглашению. Не обладают свойством самовоспроизводства.

По целостности:

1.Монолитные – программа вируса - единый блок, который можно обнаружить после инфицирования.

2.Распределенные – программа разделена на части. Эти части содержат инструкции, которые указывают компьютеру, как собрать их воедино, чтобы воссоздать вирус.

Для борьбы с вирусами разрабатываются антивирусные программы – специализированное программное обеспечение, предназначенное для обнаружения и удаления вредоносных программ, а также для защиты от них.

Виды антивирусных программ:

Программы-детекторы (сканеры) – рассчитаны на обнаружение конкретных вирусов. Основаны на сравнении характерной (специфической) последовательности байтов (сигнатур или масок вирусов), содержащихся в теле вируса, с байтами проверяемых программ. Эти программы нужно регулярно обновлять, т.к. они быстро устаревают и не могут выявлять новые виды вирусов.

Программы-доктора (фаги, дезинфекторы) – не только находят файлы, зараженные вирусом, но и лечат их, удаляя из файла тело программы-вируса. Полифаги – позволяют лечить большое число вирусов. Широко распространены программы-детекторы, одновременно выполняющие и функции программ-докторов.

Программы-ревизоры – анализируют текущее состояние файлов и системных областей дисков и сравнивают его с информацией, сохраненной ранее в одном из файлов ревизора. При этом проверяется состояние Boot-сектора, FAT, а также длина файлов, их время создания, атрибуты, контрольные суммы.

Программы-фильтры (сторожа, мониторы) – резидентные программы, которые оповещают пользователя обо всех попытках какой-либо программы выполнить подозрительные действия, а пользователь принимает решение о разрешении или запрещении выполнения этих действий. Фильтры контролируют следующие операции: обновление программных файлов и системной области дисков; форматирование диска; резидентное размещение программ в ОЗУ.

Программы-иммунизаторы – записывают в вакцинируемую программу признаки конкретного вируса так, что вирус считает ее уже зараженной, и поэтому не производит повторное инфицирование. Эти программы наименее эффективны и морально устарели.

Меры по защите ЭВМ от заражения вирусами:

1.Оснащение ЭВМ современными антивирусными программами и регулярное обновление их версий.

2.Установка программы-фильтра при работе в глобальной сети.

3.Проверка накопителей на наличие вирусов перед считыванием с них информации, записанной на других ЭВМ.

4.При переносе на свой ПК файлов в архивированном виде проверка их сразу после разархивации.

5.Защита своих дисков от записи при работе на других ПК.

6.Создание архивных копий ценной информации на других носителях информации.

7.При установке большого программного продукта проверка всех дистрибутивных файлов, а после инсталляции продукта повторный контроль наличия вирусов.

 
Наверх