Классификация вредоносных программ

Введение

 

Компьютерный вирус - это своеобразное явление, возникшее в процессе развития компьютерной техники и информационных технологий. Суть этого явления состоит и в том, что программы-вирусы обладают рядом свойств, присущих живым организмам, - они рождаются, размножаются и умирают. Термин «компьютерный вирус» впервые употребил сотрудник Университета Южной калифорнии Фрэд Коэн в 1984 году на 7-й конференции по безопасности информации, проходящей в США. Этим термином был назван вредоносный фрагмент кода. Конечно, это была всего лишь метафора. Фрагмент программного кода похож на настоящий вирус не больше, чем человек на робота. И тем не менее это один из тех редких случаев, когда значение метафоры становилось со временем все менее метафорическим и все более буквальным.

Компьютерные вирусы теперь способны делать практически все то же, что и настоящие вирусы: переходить с одного объекта на другой, изменять способы атаки и мутировать, чтобы проникнуть мимо выставленных против них защитных кордонов. Проникнув в информационную систему, компьютерный вирус может ограничиться безобидными визуальными или звуковыми эффектами, но может и вызвать потерю или искажение данных, утечку личной и конфиденциальной информации. В худшем случае информационная система, пораженная вирусом, окажется под полным контролем злоумышленника. Сегодня компьютерам доверяют решение многих критических задач. Поэтому выход из строя информационных систем может иметь весьма тяжелые последствия, вплоть до человеческих жертв.

Как в повторяющейся каждый год истории, когда эпидемиологическим центрам приходится гадать, от какой разновидности вируса гриппа надо готовить вакцины к середине зимы, появление новых компьютерных вирусов и их «лечение» поставщиками антивирусных средств разделяется интервалом времени. Поэтому организациям и пользователям необходимо знать, что происходит, когда новый, не идентифицированный вирус попадает в сеть организации и персональный компьютер, как быстро антивирусное решение способно оказать помощь и как не допустить распространения этого компьютерного вируса.

Существует много определений компьютерного вируса. Исторически первое определение было дано в 1984 году Фредом Коэном: «Компьютерный вирус - это программа, которая может заражать другие программы, модифицируя их посредством включения в них своей, возможно, измененной копии, причем последняя сохраняет способность к дальнейшему размножению». Ключевыми понятиями в этом определении компьютерного вируса являются способность вируса к саморазмножению и способность к модификации вычислительного процесса. Указанные свойства компьютерного вируса аналогичны паразитированию биологического вируса в живой природе. С тех пор острота проблемы вирусов многократно возросла - к конца XX века в мире насчитывалось более 14300 модификаций вирусов. Разнообразие вирусов столь велико, что просто невозможно указать достаточное условие (перечислить набор признаков, при выполнении которых программу можно однозначно отнести к вирусам) - всегда найдутся программы с данными признаками, не являющиеся вирусами.

Под компьютерным вирусом принято понимать программы или элементы программ, несанкционированно проникшие в компьютер с целью нанесения вреда, отличительной особенностью которых является способность самотиражирования. Наибольшая опасность таких вирусов заключается в том, что прежде чем нанести вред компьютеру и самообнаружиться, они копируются в другие программные файлы.

 

Виды антивирусных программ

 

Различают следующие виды антивирусных программ:

·   программы-фаги (сканеры);

·   программы-ревизоры (CRC - сканеры);

·   программы-блокировщики;

·   программы-иммунизаторы.

Программы-фаги используют для обнаружения вирусов метод сравнения с эталоном, метод эвристического анализа и некоторые другие методы. В начале своей работы программы-фаги сканируют оперативную память, обнаруживают вирусы и уничтожают их и только затем переходят к лечению файлов.

Программы-ревизоры используют для поиска вирусов метод обнаружения изменений. Принцип работы основан на подсчете CRC-сумм (кодов циклического контроля) для присутствующих на диске файлов / системных секторов. Затем в базе данных антивируса сохраняются эти CRC-сумма, а также некоторая другая информация: длины файлов, даты их последней модификации и другие параметры. При последующем запуске CRC-сканеры сверяют данные, содержащиеся в базе данных, с реально подсчитанными значениями. Если информация о файле, записанная в базе данных, не совпадает с реальными значениями, то CRC-сканеры сигнализируют о том, что файл был изменен или заражен вирусом.

Но даже при высокой эффективности, CRC-сканеры имеют недостаток. Они не могут определить вирус в новых файлах (в электронной почте, на дисках, в файлах, восстановленных из резервных копий или распаковываемых из архива), так как в их базах отсутствует информация об этих файлах.

Программы-блокировщики реализуют метод антивирусного мониторинга. Антивирусные блокировщики - это резидентные программы, перехватывающие вирусоопасные ситуации и сообщающие об этом пользователю. К вирусоопасным ситуациям относятся запросы на открытие для записи в выполняемые файлы, запись в загрузочные сектора дисков или MBR (Master Boot Record) жесткого диска, попытки программ остаться в памяти резидентно и т.п., то есть вызовы, характерные для вирусов в момент их размножения.

Программы-иммунизаторы - это программы, предотвращающие заражение файлов. Иммунизаторы делятся на два типа: сообщение о заражении и блокирующие заражение каким-либо типом вируса. Имунизаторы первого типа обычно записываются в конец файлов и при запуске файла каждый разз проверяют его на изменение (в настоящие время практичски не используется). Иммунизатор второго типа защищает систему от поражения вирусом определенного вида. Этот иммунизатор модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится.

 

Антивирус Dr. Web

Популярная российская антивирусная программа для платформ Windows XP / Vista / 7 предназначена для поиска и обезвреживания файловых, загрузочных и файлово-загрузочных вирусов. Программа включает в себя резидентный сторож SplDer Guard, автоматическую систему получения обновлений вирусных баз через Интернет и планировщик расписания автоматических проверок. Реализована проверка почтовых файлов. Кроме того, программа обнаруживает вирусы внутри архивов, вакцинированных файлов документов MS Word и Excel. Dr. Web использует оригинальный эвристический анализ наряду с традиционными методами обнаружения вирусов по их сигнатурам. Использование эвристического анализатора позволяет выявлять вирусы, сигнатуры которых еще неизвестны. Другая существенная особенность программы Dr. Web - использование эмулятора процессора, что позволяет обнаруживать сложные шифрованные и полиморфные вирусы, для которых в принципе не работает обычный сигнатурный поиск.

Заключение

 

Профилактические меры защиты.

Своевременное обнаружение вирусов, лечение и полное уничтожение на каждом компьютере позволяет избежать распространения вирусной эпидемии на другие компьютеры. Абсолютно надежных программ, гарантирующих обнаружение и уничтожение любого вируса, не существует. Важным методом борьбы с компьютерными вирусами является своевременная профилактика. Для того чтобы существенно уменьшить вероятность заражения вирусом и обеспечить надежное хранение информации на дисках, необходимо выполнять следующие меры профилактики:

·   применять только лицензионное ПО;

·   оснастить свой компьютер современными антивирусными программами, например Aidstest, AVP, Dr. Web, и постоянно обновлять их версии;

·   перед считыванием с флэш-накопителя информации с других компьютеров всегда проверить эти накопители на наличие вирусов, запуская антивирусные программы своего компьютера;

·   при переносе на свой компьютер файлов в архивированном виде проверять их сразу же после разархивации на жестком диске, ограничивая область проверки только вновь записанными файлами;

·   периодически проверять на наличие вирусов жесткие диски компьютера, запуская антивирусные программы для тестирования файлов, памяти и системных областей дисков с защищенной от записи системной «флэшки»;

·   всегда защищать свои «флэшки» от записи при работе на других компьютерах, если на них не будет производиться запись информации;

·   обязательно делать архивные копии ценной для пользователя информации;

·   не оставлять подключенных внешних устройств хранения данных при включении или перезагрузки операционной системы, чтобы исключиться заражение компьютера загрузочными вирусами;

·   использовать антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей;

·   для обеспечения большей безопасности сочетать применение Aidstest и Dr. Web с повседневным использованием ревизора диска Adinf.

У Каждого типа антивирусов есть свои достоинства и недостатки. Только комплексное использование нескольких типов антивирусных программ может привести к приемлемому результату. Программные средства защиты информации представляют собой комплекс алгоритмов и программ специального и общего обеспечения функционирования компьютеров и вычислительных сетей, нацеленных на контроль, разграничение доступа и исключение проникновения несанкционированной информации. Это наиболее распространенные методы защиты информации. Они обладают универсальностью, простотой реализации, гибкостью, адаптивностью.

 

 

Список литературы

 

1. «Защита информации в компьютерных системах и сетях» Автор: Шаньгин В.Ф. Издательство: ДМК Пресс, 2012 г. стр. 502

2. «Защита компьютерной информации. Эффективные методы и средства» Автор: Шаньгин В.Ф. Издательство: ДМК Пресс, 2010 г. стр. 453

.   «Политики информационной безопасности» Авторы: Петренко С.А., Курбатов В.А. Издательство: Компания АйТи, 2006 г.

.   «Конфиденциальное делопроизводство и защищенный электронный документооборот»: учебник Авторы: Куняев Н.Н., Фабричнов А.Г., Дёмушкин А.С. Издательство: Логос, 2011 г.

.   «Информационные технологии: учебное пособие» Автор: Исаев Г.Н. Издательство: Омега-Л, 2012 г.

Введение

 

Компьютерный вирус - это своеобразное явление, возникшее в процессе развития компьютерной техники и информационных технологий. Суть этого явления состоит и в том, что программы-вирусы обладают рядом свойств, присущих живым организмам, - они рождаются, размножаются и умирают. Термин «компьютерный вирус» впервые употребил сотрудник Университета Южной калифорнии Фрэд Коэн в 1984 году на 7-й конференции по безопасности информации, проходящей в США. Этим термином был назван вредоносный фрагмент кода. Конечно, это была всего лишь метафора. Фрагмент программного кода похож на настоящий вирус не больше, чем человек на робота. И тем не менее это один из тех редких случаев, когда значение метафоры становилось со временем все менее метафорическим и все более буквальным.

Компьютерные вирусы теперь способны делать практически все то же, что и настоящие вирусы: переходить с одного объекта на другой, изменять способы атаки и мутировать, чтобы проникнуть мимо выставленных против них защитных кордонов. Проникнув в информационную систему, компьютерный вирус может ограничиться безобидными визуальными или звуковыми эффектами, но может и вызвать потерю или искажение данных, утечку личной и конфиденциальной информации. В худшем случае информационная система, пораженная вирусом, окажется под полным контролем злоумышленника. Сегодня компьютерам доверяют решение многих критических задач. Поэтому выход из строя информационных систем может иметь весьма тяжелые последствия, вплоть до человеческих жертв.

Как в повторяющейся каждый год истории, когда эпидемиологическим центрам приходится гадать, от какой разновидности вируса гриппа надо готовить вакцины к середине зимы, появление новых компьютерных вирусов и их «лечение» поставщиками антивирусных средств разделяется интервалом времени. Поэтому организациям и пользователям необходимо знать, что происходит, когда новый, не идентифицированный вирус попадает в сеть организации и персональный компьютер, как быстро антивирусное решение способно оказать помощь и как не допустить распространения этого компьютерного вируса.

Существует много определений компьютерного вируса. Исторически первое определение было дано в 1984 году Фредом Коэном: «Компьютерный вирус - это программа, которая может заражать другие программы, модифицируя их посредством включения в них своей, возможно, измененной копии, причем последняя сохраняет способность к дальнейшему размножению». Ключевыми понятиями в этом определении компьютерного вируса являются способность вируса к саморазмножению и способность к модификации вычислительного процесса. Указанные свойства компьютерного вируса аналогичны паразитированию биологического вируса в живой природе. С тех пор острота проблемы вирусов многократно возросла - к конца XX века в мире насчитывалось более 14300 модификаций вирусов. Разнообразие вирусов столь велико, что просто невозможно указать достаточное условие (перечислить набор признаков, при выполнении которых программу можно однозначно отнести к вирусам) - всегда найдутся программы с данными признаками, не являющиеся вирусами.

Под компьютерным вирусом принято понимать программы или элементы программ, несанкционированно проникшие в компьютер с целью нанесения вреда, отличительной особенностью которых является способность самотиражирования. Наибольшая опасность таких вирусов заключается в том, что прежде чем нанести вред компьютеру и самообнаружиться, они копируются в другие программные файлы.

 

Классификация вредоносных программ

 

Вредоносные программы классифицируют по способу проникновения, размножения и типу вредоносной нагрузки.

На сегодняшний день известны десятки тысяч различных компьютерных вирусов. Несмотря на такое множество число типов вирусов, отличающихся друг от друга механизмом распространения и принципом действия, достаточно ограничено. Не редко встречаются комбинированные вирусы, которые можно отнести сразу к нескольким типам. Вирусы можно разделить на классы по следующим основным признакам:

·   по поражаемым объектам (файловые вирусы, загрузочные вирусы, скриптовые вирусы, макровирусы, вирусы, поражающие исходный код);

·   по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, Linux);

·   по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы, руткиты);

·   по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.);

·   по дополнительной вредоносной функциональности (бэкдоры, кейлоггеры, шпионы, ботнеты и др.).

Наиболее распространенной являются классификация по среде обитания:

В свою очередь по среде обитания вирусы делятся на:

·   файловые вирусы либо внедряются в выполняемые файлы различными способами, либо создают файлы-двойники, либо используют особенности организации файловой системы;

·   загрузочные вирусы записывают себя либо в загрузочный сектор диска, либо в сектор, содержащий загрузчик жесткого диска;

·   макровирусы заражают макропрограммы и файлы документов современных систем обработки информации (в основном страдают файлы-документы Microsoft Word, Microsoft Excel и др.);

·   сетевые вирусы используют для своего распространения протоколы глобальных и локальных сетей. Самым главным принципом работы такого вируса является уникальная возможность передать свой код без сторонней помощи на рабочую станцию или удаленный сервер. Большинство сетевых вирусов, кроме возможности самостоятельно проникать через сеть на удаленные компьютеры, могут там же запустить на выполнение свой программный код, или, в некоторых случаях, немного «подтолкнуть» пользователя, что бы тот запустил инфицированный файл;

При подготовке своих копий вирусы могут применять для маскировки разные технологии:

·   шифрование - в этом случае вирус состоит из двух частей: сам вирус и шифратор;

·   метаморфизм - при применении этого метода вирусные копии создаются путем замены некоторых команд на аналогичные, перестановки местами частей кода, вставки между ними дополнительных, обычно бессмысленных команд.

Соответственно, в зависимости от используемых методов маскировки вирусы можно делить на шифрованные, метаморфные и полиморфные, использующие комбинацию двух типов маскировки.

Данные классификации не являются стандартом, существует много различных схем типизации вирусов.

По мере развития компьютерных технологий совершенствуется и компьютерные вирусы, приспосабливаясь к новым для себя сферам обитания. В любой момент может появится компьютерный вирус, «троянская» программа или червь нового, неизвестного ранее типа, либо известного типа но направленного на новое оборудование или программное обеспечение. Новые вирусы могут использовать не известные или не существовавшие ранее каналы распространения, а также новые технологии внедрения в компьютерные системы. Чтобы исключить угрозу вирусного заражения, системный администратор корпоративной сети должен не только внедрять методики антивирусной защиты, но и постоянно отслеживать новости в мире компьютерных вирусов.