Компьютерные вирусы. Классификация вирусов.

 

Основные понятия

Компьютерный вирус представляет собой программу, способную создавать свои копии, внедрять их в различные объекты систем и сетей и производить определенные действия без ведома пользователя.

Программа, внутри которой находится вирус, называется зараженной или инфицированной. В среднем в месяц появляется около 300 новых разновидностей вирусов.

 

Симптомы вирусного заражения компьютера

¢ Симптомы вирусного заражения компьютера:

¢ замедление работы некоторых программ;

¢ увеличение размеров файлов, особенно исполняемых;

¢ произвольное появление не существовавших ранее файлов;

¢ уменьшение объема доступной ОП, по сравнению с обычным режимом работы;

¢ внезапные видео и звуковые эффекты;

¢ зависание ОС;

¢ запись на диск в непредусмотренный момент времени;

¢ прекращение работы ранее нормально функционировавших программ.

 

Классификация вирусов

Компьютерные вирусы различаются по нескольким признакам.

1. По способу заражения.

По способу заражения вирусы делятся на резидентные и нерезидентные.

Резидентные вирусы оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращения неинфицированных программ к операционной системе и внедряется в них.

Нерезидентные вирусы не заражают оперативную память, проявляют свою активность однократно при запуске инфицированной программы

1. По особенностям алгоритма.

Файловые вирусы инфицируют исполняемые файлы компьютера, имеющие расширения COM и EXE.

Загрузочные вирусы (boot-вирусы) заражают сектор начальной загрузки диска.

Вирусы-компаньоны. Эти программы создают для файлов с расширением EXE новые зараженные файлы с тем же именем, но с расширением COM.

При запуске программ ОС запускает сначала файлы с расширением COM, а затем файлы с расширением EXE.

В результате зараженный файл запускается первым и заражает остальные программы.

 

Классификация вирусов

Паразитические вирусы. Данная группа вирусов изменяет содержимое файлов, добавляя свой код.

Черви. Это вирусы, которые распространяются в сети, проникают в память, находят сетевые адреса и рассылают по этим адресам свои копии.

Черви уменьшают пропускную способность сети, замедляют работу серверов.

Например, почтовый вирус Melissa стал причиной массовых сбоев в работе почтовых служб во многих странах.

Этот вирус маскируется под сообщение электронной почты и при открытии пользователем посылает аналогичные сообщения по первым 50 адресам его адресной книги.

Троянские программы. Вирусы этой группы маскируется под полезную программу и разрушают загрузочный сектор и файловую систему дисков.

Такие вирусы могут, например, стирать файловую таблицу.

К данной группе можно отнести следующие вирусы: Armageddon, NetBus и др.

Эти программы представляют собой смесь вирусов и средств взлома защиты компьютерных программ.

Вирусы-невидимки или стелс-вирусы перехватывают обращения операционной системы к пораженным файлам и изменяют информацию таким образом, что файл появляется перед пользователем в незараженном виде.

Макровирусы. Данные вирусы используют возможности макроязыков, встроенных в текстовые редакторы и электронные таблицы.

Вирусы, воздействующие на аппаратное обеспечение компьютера. К данной группе можно отнести вирус “Чернобыль”, срабатывающий 26 апреля (в годовщину чернобыльской катастрофы). Другая версия вируса проявляет свои разрушительные свойства по 26 числам каждого месяца.

Вирус портит данные на жестком диске и разрушает базовую систему ввода-вывода (BIOS), делая невозможным загрузку компьютера, что в итоге приводит к необходимости замены микросхемы ПЗУ.

 

 

Антивирусные программы.

 

Антивирусные программы подразделяются на следующие виды:

¢ сканеры;

¢ программы-доктора (фаги);

¢ ревизоры;

¢ фильтры (сторожа, мониторы);

¢ программы-вакцины.

 

Сканеры сканируют ОП, диски, выполняя поиск зараженных файлов.

Самая простая методика поиска вирусов заключается в том, что антивирусная программа последовательно просматривает проверяемые файлы в поиске сигнатур известных вирусов.

Под сигнатурой понимается уникальная последовательность байт, принадлежащая вирусу, и не встречающаяся в других программах.

Программы-доктора не только находят зараженные файлы, но и лечат, удаляя из файла тело программы-вируса.

Ревизоры – программы, которые анализируют текущее состояние файлов и системных областей диска, а также сравнивают его с информацией, сохраненной ранее в одном из файлов ревизора. При этом проверяется состояние FAT таблицы, длина файлов, время создания, атрибуты, контрольные суммы.

Фильтры (сторожа, мониторы) – это резидентные программы (т.е. постоянно находятся в ОП компьютера), которые оповещают пользователя обо всех попытках какой-либо программы выполнить подозрительные действия.

Фильтры контролируют следующие действия:

— обновление программных файлов и системной области диска;

— форматирование диска;

— резидентное размещение программ в ОП.

Программы-фильтры должны быть установлены при работе в сети Интернет, например, программа VSafe.

Программы-вакцины (иммунизаторы)

модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными.

Эти программы крайне неэффективны.

Кроме антивирусных программ для наиболее полной защиты компьютера от несанкционированного доступа используется брандмауэр (firewall).

Брандмауэр (сетевой экран) – представляет собой сочетание программного и аппаратного обеспечения, блокирующее всяческие попытки проникновения вредоносных файлов в компьютер из внешней глобальной сети.

Антивирус Касперского – антивирусное программное обеспечение, разрабатываемое российской компанией “Лаборатория Касперского” с 1991 года. Неполный перечень основных возможностей:

¢ защита от вирусов, троянов, Spyware (шпионское ПО) и других вредоносных программ;

¢ защита документов Microsoft Office;

¢ защита электронной почты;

¢ защита от Rootkit (набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе);

¢ защита Интернет-соединения.

¢ Продукты российской компании Доктор Веб

¢ Антивирус Dr.Web Pro 6.0 - минимально-необходимая защита от вирусов, шпионского ПО и хакеров. Включает комплекс программ: антивирусный сканер, антишпион, антируткит и персональный firewall.

¢ Семейство программ ADinf (автор Дмитрий Мостовой и др.) – это ревизоры дисков.

¢ Работа программ основана на регулярном отслеживании изменений, происходящих на жестких дисках.

¢ Программа ADinf не использует в своей работе сигнатур конкретных вирусов, особенно эффективна для обнаружения новых вирусов.

Программы фирмы Panda Security, являющейся одним из мировых лидеров в производстве решений IT-безопасности:

¢ Internet Security – защищает от вирусов, шпионов, хакеров, спама и т. д.;

¢ Panda Antivirus + Firewall – автоматически обнаруживает и уничтожает все типы вирусов.

Разработка фирмы Symantec Corporation

Norton Antivirus – находит и удаляет вирусы и программы-шпионы, защищает от “червей”, блокирует зараженные письма.

Norton Internet Security 2011

Функции антивируса, антишпиона, фаервола дополнены уникальными технологиями для эффективной защиты компьютера от всех видов Интернет-угроз.

 

 

Способы защиты информации.

Во избежание вирусного заражения необходимо:

¢ перед считыванием информации с внешнего носителя проверять носитель на вирусы;

¢ проверять файлы сразу после разархивации;

¢ не оставлять носители в разъемах при включении и перезагрузки компьютера, т. к. это может привести к заражению загрузочными вирусами;

¢ получив электронное письмо, к которому приложен исполняемый файл, не запускать этот файл без предварительной проверки;

¢ при установке большого программного продукта проверить все дистрибутивные файлы, а после инсталляции повторно произвести проверку на вирус;

¢ регулярно обновлять базы антивирусных программ.

 

Компоненты локальной сети.

 

В локальных сетях в качестве средств связи используют:

¢ витую пару проводов;

¢ коаксиальный кабель;

¢ волоконно-оптические кабель (средой для передачи информации служит оптоволокно – тонкая нить из стекла).

 

Коаксиальный кабель

Сигнал распространяется по центральной медной жиле.

	Стандартный кабель	Широкополосный
Максимальная длина канала	2 км	10 - 15 км
Скорость передачи данных	1 - 50 Мбит/с	100 - 140 Мбит/с
Режим передачи	полудуплекс	дуплекс
Число подключений	< 50 устройств	1500 каналов с одним или более устройств на канал

 

 

Оптоволоконный кабель

Основным элементом кабеля является оптическое волокно (световод), выполненное в виде тонкого стеклянного волокна цилиндрической формы, по которому передаются световые сигналы.

Оптоволоконные линии связи работают в частотном диапазоне 10¹³ – 10¹⁶ Гц, что на 6 порядков больше, чем в случае радиочастотных каналов.

Пропускная способность кабеля 50 000 Гбит/c.

Пропускная способность канала ~ 10 Гбит/c, что связано с ограниченным быстродействием оборудования, преобразующего оптический сигнал в электрический и обратно.