ЛЕКЦИЯ КОМПЬЮТЕРНЫЕ ВИРУСЫ

Целью лекции является знакомство с понятием «компьютерный вирус», жизненным циклом вируса, классификацией вирусов, вредоносными программами других типов, методами обнаружения вирусов.

1 Теоретические сведения

Компьютерный вирус - это своеобразное явление, возникшее в процессе развития компьютерной техники и информационных технологий.

Своим названием компьютерные вирусы обязаны определенному сходству с биологическими вирусами по:

• 
  способности к саморазмножению;
  
• 
  высокой скорости распространения;
  
• 
  избирательности поражаемых систем (каждый вирус поражает только определенные системы или однородные группы систем); - способности заражать еще незараженные системы; - трудности борьбы с ними и т.д.
  

В последнее время к этим особенностям, характерным для вирусов компьютерных и биологических, можно добавить еще и постоянно увеличивающуюся быстроту появления модификаций и новых поколений вирусов.

Проникнув в информационную систему, компьютерный вирус может ограничиться безобидными визуальными или звуковыми эффектами, но может вызвать потерю или искажение данных, утечку конфиденциальной информации. Сегодня компьютерам доверяют решение многих критических задач. Поэтому выход из строя информационной системы может иметь весьма тяжелые последствия.

Исследования саморазмножающихся искусственных конструкций проводились еще в середине прошлого столетия. Первая известная публикация относится к 1951 г. В ней Джон фон Нейман сформулировал и исследовал проблему создания саморазмножающихся компьютерных программ. Термин же компьютерный вирус появился позднее. Впервые его употребил сотрудник Университета Южной Калифорнии Фред Коэн в 1984 г. на седьмой конференции по безопасности информации, проходившей в США. Этим термином был назван вредоносный фрагмент программного кода.

По всей видимости, самым ранним примером компьютерных вирусов могут служить «программы-кролики» (The rabbit), периодически появлявшиеся на мейнфреймах в 60-х годах. Они не причиняли разрушений, но имели возможность многократно копировать себя, захватывая все больше и больше ресурсов системы и отнимая процессорное время у других задач. Скорее всего «кролики» не передавались от системы к системе и были сугубо местным явлением - ошибками или шалостями программистов, обслуживающих компьютер.

В начале 70-х годов появился вирус «The Creeper» (Вьюнок), саморазмножающийся по глобальным компьютерным сетям. Он был безвредным, однако показал, что проникновение на чужой компьютер возможно без ведома и против желания его владельца. Для борьбы с этим вирусом была создана программа «The Reaper» (Жнец) - первая известная антивирусная программа. Она репродуцировалась, наподобие Вьюнка и уничтожала все встретившиеся ей копии последнего.

---

Так что же такое компьютерный вирус? Исторически первое определение было дано в 1984 г. Ф. Коэном: «Компьютерный вирус - это программа, которая может заражать другие программы, модифицируя их посредством включения в них своей, возможно измененной копии, причем последняя сохраняет способность к дальнейшему размножению».

В настоящее время под компьютерным вирусом принято понимать программный код, обладающий следующими свойствами:

• 
  способностью к созданию собственных копий, не обязательно совпадающих с оригиналом, но обладающих свойствам оригинала (самовоспроизведение);
  
• 
  наличием механизма, обеспечивающего внедрение создаваемых копий в исполняемые объекты вычислительной системы.
  

Эти свойства являются необходимыми, но не достаточными. Указанные свойства следует дополнить свойствами деструктивности и скрытности действий данной вредоносной программы в вычислительной среде.

Евгений Касперский считает возможным сформулировать только обязательное условие для того, чтобы некоторая последовательность выполняемого кода являлась вирусом.

Обязательным (необходимым) свойством компьютерного вируса является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению. Следует отметить, то это условие не является окончательным.

2. Классификация компьютерных вирусов

В литературе приводят четыре основных признака, по которым можно классифицировать вирусы:

• 
  среда обитания;
  
• 
  способ заражения среды обитания;
  
• 
  особенности алгоритма работы; - деструктивные возможности.
  

По среде обитания компьютерные вирусы подразделяются на файловые, загрузочные, сетевые и макровирусы.

Файловые вирусы размещаются в исполняемых файлах - это наиболее распространенный тип вирусов. Внедрение файлового вируса возможно практически во все исполняемые файлы всех популярных операционных систем. На сегодняшний день известны вирусы, поражающие все типы выполняемых объектов: командные файлы (bat), загружаемые драйверы (sys) и выполняемые двоичные файлы (exe, com).

Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record). Иногда загрузочные вирусы называют

---

бутовыми. При заражении дисков загрузочные вирусы «подставляют» свой код вместо какой-либо программы, получающей управление при загрузке системы. Вирус «заставляет» систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, а коду вируса. При инфицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) на какой-либо другой сектор диска (например, в первый свободный). Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных).

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты. Сетевые вирусы иногда называют программами типа «червь». Сетевые черви подразделяются на nternet-черви (распространяются по Internet), LAN-черви (распространяются по локальной сети), IRC-черви Internet Relay Chat

(распространяются через чаты). Существуют также смешанные типы.

Макровирусы являются программами на макроязыках, встроенных в некоторые системы обработки данных (в частности в редакторы Microsoft Word, Microsoft Excel). Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Вирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение.

По способу заражения среды обитания компьютерные вирусы делятся на резидентные и нерезидентные. Поскольку вирус и объект, в который он внедрен, являются для операционной системы единым целым, то после загрузки они располагаются в едином адресном пространстве. После завершения работы объекта он выгружается из оперативной памяти, при этом одновременно выгружается и вирус, переходя в пассивную стадию хранения. Однако некоторые типы вирусов способны сохраняться в памяти и оставаться активными после окончания работы вирусоносителя. Эти вирусы получили название резидентных. Таким образом, резидентные вирусы - это вирусы, которые при инфицировании компьютера оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Такие вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы.

---

Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время.

По особенностям алгоритма работы компьютерные вирусы подразделяются на вирусы-спутники (companion), вирусы-черви (worm), стелс-вирусы (вирусы-невидимки) и полиморфные вирусы.

Механизм действия вирусов-спутников состоит в создании копий исполняемых файлов (ехе). Копии присваивается то же имя, что и исполняемому файлу, но расширение изменяется на com. При запуске файла с общим именем операционная система первым загружает на выполнение файл с расширением com, который является вирусом. Файл-вирус запускает затем файл с расширением ехе.

Вирусы-черви попадают в рабочую станцию из сети, вычисляют адреса рассылки вируса по другим абонентам сети и осуществляют передачу вируса. Вирус не изменяет файлов и не записывается в загрузочные секторы дисков.

Стелс-вирусы маскируют свое присутствие в среде обитания путем перехвата обращений операционной системы к пораженным файлам, секторам и переадресуют операционную систему к незараженным участкам информации, эмулируя таким образом «чистоту» зараженных файлов. Вирус является резидентным, маскируется под программы операционной системы и может перемещаться в памяти. Такие вирусы активизируются при возникновении прерываний, выполняют определенные действия, в том числе и по маскировке, и только затем управление передается на программы операционной системы, обрабатывающие эти прерывания. Таким образом, стелс-вирусы способны скрывать свое присутствие в системе и избегать обнаружения антивирусными программами.

К полиморфным вирусам относятся те из них, детектирование которых невозможно (или крайне затруднительно) осуществить при помощи так называемых вирусных масок (сигнатур) - участков постоянного кода, специфичных для конкретного вируса. Это достигается двумя основными способами. Первый способ - это шифрование основного кода вируса с непостоянным ключом. Однако в открытом виде должна храниться та часть вируса, которая обеспечивает его расшифровку на стадии загрузки. Поэтому -второй способ связан с модификацией данной части кода вируса таким образом, чтобы возникли текстуальные различия с оригиналом, но результаты работы остались неизменными. Поэтому в большинстве случаев два образца одного и того же полиморфного вируса не будут иметь ни одного совпадения. Полиморфизм встречается в вирусах всех типов - файловых, загрузочных и макровирусах.

---

По деструктивным возможностям компьютерные вирусы подразделяются на безвредные, неопасные, опасные и очень опасные.

Безвредные вирусы - это вирусы, которые никак не влияют на работу компьютера, а только уменьшают свободную память на диске. В них реализован только механизм самораспространения.

Неопасные вирусы - это вирусы, влияние которых ограничивается уменьшением свободной памяти на диске, а также графическими, звуковыми и прочими эффектами. Они не оказывают никакого влияния на работу приложений и на данные.

Опасные вирусы - это вирусы, которые могут привести к серьезным сбоям в работе компьютера и в результате к разрушению данных.

Очень опасные вирусы — это вирусы, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера системную информацию.

3. Жизненный цикл вирусов и признаки их проявления

У компьютерных вирусов выделяют две основные стадии жизненного цикла - хранение и исполнение.

Стадия хранения соответствует периоду, когда вирус просто хранится на диске совместно с объектом, в который он внедрен. На этой стадии вирус является наиболее уязвимым со стороны антивирусного программного обеспечения, так как он не активен и не может контролировать работу операционной системы с целью самозащиты. Некоторые вирусы (стелсвирусы, полиморфные) на этой стадии используют механизмы защиты своего кода от обнаружения.

Стадия исполнения компьютерных вирусов включает пять этапов: загрузка вируса в память; поиск жертвы; заражение найденной жертвы; выполнение деструктивных функций; передача управления программеносителю вируса.

Загрузка вируса в память осуществляется операционной системой одновременно с загрузкой исполняемого объекта, в который вирус внедрен. Например, если пользователь запустил на исполнение программный файл, содержащий вирус, то вирусный код будет загружен в память как часть этого файла. В простейшем случае процесс загрузки вируса представляет собой не что иное, как копирование с диска в оперативную память, после чего происходит передача управления коду тела вируса. Эти действия выполняются операционной системой, а сам вирус находится в пассивном состоянии.

Поиск жертвы

---

Смотрите также файлы

• Теоцентризм.docx

• Тема 6 Социальные общности.docx

• 44. 02. 01 Дошкольное образование Ильязовой Алины Рушановны Группа.docx

• Содержание Введение История развития аудита. Зарождение аудита. Этапы становления аудита Заключение Список использованных источников Введение.docx

• Цифровая безопасность. Шифрование данных.docx