Київський університет імені Тараса Шевченка 


Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

Київський університет імені Тараса Шевченка



Київський університет імені Тараса Шевченка

 

Комп'ютерні віруси

Та засоби боротьби з ними

 

Методичні рекомендації

для студентів всіх факультетів

 

 

Диалектика

Київ


Попов Ю.Д. Комп'ютерні віруси та засоби боротьби з ними: Методичні рекомендації для студентів всіх факультетів К.: Диалектика, 1997, 16 с.

 

 

Рецензенти: А.В. Анісімов, д-р фіз.-мат. наук;

В.С. Проценко, канд. фіз.-мат. наук

 

 

Затверджено Радою

факультету кібернетики

30 грудня 1996 року

 

Друкується за авторською редакцією.

 

 

Київ, видавництво «Диалектика», 1997


Вступ

Як відомо, в англомовній літературі для позначення продукції, пов'язаної з інформатикою, широко використовуються терміни "Hard Ware" (жорсткий продукт, технічні засоби, комп'ютери) та "Soft Ware" (м'який продукт, програми, програмне забезпечення). З масовим поширенням персональних комп'ютерів (ПК) з'явився новий термін "Bad Ware" (поганий продукт). До останнього відносять в першу чергу комп'ютерні віруси, троянських коней та черв'яків.

Далі основну увагу присвятимо комп'ютерним вірусам. Ми розглянемо, що таке комп'ютерні віруси, як вони себе проявляють і якої шкоди можуть заподіяти, наведемо декілька їх класичних і сучасних прикладів і, нарешті, обговоримо засоби боротьби з ними. Для поглибленого вивчення цих питань можна використати монографію відомого київського вірусолога М.Безрукова "Компьютерные вирусы" [1].

Відносно двох останніх видів "поганого продукту" зауважимо таке.

Комп'ютерні троянські коні, як і їх міфічні попередники, маскують свої дії під виглядом благопристойної, безневинної продукції, завдаючи болісні, руйнівні удари по вашій інформації. В той же час функцій розмноження, зараження інших програм, на відміну від вірусів, троянські коні не мають. Їм часто присвоюються точні (або дуже схожі) імена широко відомих комп'ютерних програм. Свого часу троянські коні набули такого поширення, що солідні комп'ютерні журнали щомісяця друкували їх довгі списки.

Комп'ютерні черв'яки являють собою програми, які призначені для проникнення через інформаційні мережі до даних, що зберігаються в інших фірмах, установах тощо. Зрозуміло, що робиться це з корисливих міркувань.

Відзначимо також, що створення та розповсюдження вірусів, троянських коней та черв'яків, незважаючи на мотиви цього, є, безумовно, шкідливими для суспільства діями, що завдають значних матеріальних збитків. Ось чому у деяких країнах ці дії розглядаються як карний злочин і переслідуються законом. На жаль авторів "поганої продукції" знайти дуже нелегко!

Що таке комп'ютерні віруси?

Із загальної точки зору комп'ютерні віруси являють собою програми, які мають здатність до прихованого розмноження у середовищі операційної системи за допомогою включення у код, що виконується, (програми, компоненти операційної системи, пакетні файли, текст, що компілюється, тощо) своєї, можливо модифікованої копії, яка зберігає здатність до подальшого розмноження. Крім функції розмноження (зараження інших файлів) комп'ютерні віруси виконують, як правило, ті чи інші деструктивні дії, про які мова бути йти далі.

Цей варіант належить М.Безрукову і базується на означенні, даному у 1989 р. Ф.Коуеном (F.Cohen) піонером першого серйозного дослідження комп'ютерних вірусів.

За способом зараження більшість комп'ютерних вірусів можна підрозділити на два класи: файлові та бутові віруси. Розглянемо коротко механізми їх дії.

Найпоширенішим засобом зараження файлу вірусом є дописування його тіла у кінець файлу (див. рис. 1). При цьому, щоб при запуску зараженого файлу одразу одержати управління, вірус замість початку файлу, який приховує у своєму тілі, ставить команду переходу на себе. Після того, як вірус відпрацював, він передає управління файлу-жертві. В деяких випадках, якщо в силу тих чи інших причин початок файлу, що інфікується, не зберігається, або є ще якісь "помилки" у вірусі, файл буде зіпсований і його подальше лікування буде неможливим.

Останнім часом поширились віруси, що перезаписують початок файлу-жертви (File Overwriters), не змінюючи його довжину. Зрозуміло, що інфікована таким чином програма замість свого дійсного початку містить вірус і буде безповоротно зіпсована, залишаючись в змозі лише заражати інші програми. Як правило, вказані віруси під час своєї дії інфікують якомога більше файлів і, в залежності від різних умов, виконують ті чи інші додаткові руйнівні дії. Прикладами цих вірусів є: Abraxas-3, Banana, Burger, Bloodlust, Bk Monday, Cossiga, Clint, Druid та багато інших.

Зауважимо, що віруси можуть записувати своє тіло також у кінець або середину файлу-жертви. Останнім часом з'явились віруси, які впроваджують себе до файлу, що заражається окремими "плямами". При запису у середину файлу вірус інколи знаходить "порожні" місця і приміщує туди своє тіло, не змінюючи довжину жертви. У більшості випадків довжина інфікованого файлу збільшується на деяку величину, що, як правило, є постійною для вірусу, який заразив його. Ця величина зветься довжиною вірусу і вимірюється звичайно у байтах. У більшості випадків віруси пишуться на мові Асемблера, інколи на мовах високого рівня (Pascal, C тощо). У першому випадку довжина вірусів порівняно невелика (SillyCR.76 мабуть, світовий рекордсмен малих резидентних вірусів, що зберігає працездатність інфікованої програми, має довжину у 76 байт), у другому може бути у декілька десятків Кбайт (MiniMax 31125 байт). Цікаво, що існують віруси (DICHOTOMY), які при зараженні записують частини свого тіла у два різних файли (296 + 567 байт).

Рис. 1. Схема дії файлового вірусу

Важливою характеристикою вірусів є здатність багатьох з них залишатись у пам'яті комп'ютера після запуску інфікованого файлу. Такі віруси називають резидентними. Зрозуміло, що резидентні віруси уражають файли набагато частіше ніж нерезидентні.

Бутові віруси заражають Boot-сектор вінчестера або дискет. Механізм зараження цими вірусами представлений на рис. 2. Вірус записує початок свого тіла до Boot-сектора, а решту у вільні (інколи зайняті) кластери, помічаючи їх як погані. Туди ж вірус приміщує також і справжній запис Boot - сектора, щоб потім передати йому управління. За своєю природою бутові віруси завжди резидентні.

Рис. 2. Схема дії бутового вірусу

Останнім часом з'явились окремі віруси, які заражають і Boot - сектори (або Master Boot записи) і файли. Такі віруси звуться файлово-бутовими (Multi-Partite Viruses). Прикладом таких, поки що дуже рідких вірусів, є вірус One_Half, що розглядається далі.

Крім того є віруси, механізм зараження яких суттєво відрізняється від розглянутих вище механізмів. Першим таким вірусом був вірус DIR. Цей вірус не заражував виконувані файли, а лише змінював у каталогах посилання на початок файлу-жертви, так щоб воно тепер вказувало на тіло вірусу, який містився в єдиному екземплярі на всьому диску. Таким чином при запусканні будь-якої зараженої програми вірус одержував управління першим, а після відпрацювання передавав управління запущеній програмі. Схема дії вірусу DIR приводиться на рис. 3.

Рис. 3. Схема дії вірусу DIR

Сучасні віруси застосовують найрізноманітніші засоби, з метою утруднити роботу по їх виявленню, розшифруванню та знешкодженню.

В поліморфні віруси (Self-Encrypting Polymorphic Viruses) встроюються так звані поліморфні генератори вірусних шифрувальників та розшифрувальників (MtE MuTation Engine механізми утворення поліморфних копій), які змінюють їх коди з часом.

Значна частина сучасних вірусів використовує так звану Stelh-технологію (за аналогією із назвою відомого літака). Ці віруси-невидимки самоліквідуються при спробі дослідження їх за допомогою відповідних засобів (відлагоджувачі та трасувальники), видають інформацію, начебто уражений комп'ютер не має інфекції і т.п. Так, вже один із перших вірусів BRAIN при спробі проглядання зараженого Boot-сектора виводив не своє тіло, що знаходилось там, а справжній не інфікований запис. Вірус DARK AVENGER "підправляв" дію команди DIR операційної системи так, щоб довжина зараженого ним файлу виводилась без урахування довжини вірусу, тобто справлялось враження, що файл не інфікований.

Віруси-супутники (Companion Viruses) замість зараження існуючого EXE-файлу, утворюють новий файл, який має теж саме ім'я, але інше розширення (COM). Сам вірус буде знаходитись у знов утвореному файлі. Напpиклад, для файлу EDIT.EXE буде утворений файл EDIT.COM і сам вірус буде знаходитись в останньому файлі. Пpи спробі запуску EXE-пpогpами з командного рядка, замість потрібної програми буде запущена знов утворена, з вірусом. Після її відпрацювання буде запущена потрібна програма (EXE).

На ранніх етапах розвитку віруси заражали лише виконувані файли типу COM та EXE. Зараз спектр файлів, що можуть зазнавати атаки з боку вірусів значно розширився. Відмітимо, що існують віруси, які можуть заражати файли в архівах (типу ARJ, ZIP тощо), файли-документи (типу DOC), що утворені відомим текстовим процесором WinWord (6 версія та вище) фірми MicroSoft.

Деякі віруси залишаються у пам'яті ПК після теплого перезавантаження (Ctrl+Alt+Del). Більше того, при спробі завантажити чисту операційну систему з пристрою A: після холодного запуску, тобто після натискання кнопки Reset або вимкнення/увімкнення комп'ютера, ви можете несподівано виявити, що у його пам'яті вже знаходиться вірус. Саме такі можливості мають віруси EXEBUG та MAMMOTH, які відключають у CMOS'і наявність дисководу A:, що призводить до завантаження зараженої системи з диску C:. При цьому вірус імітує, начебто завантаження відбувається саме з гнучкого диска. Якщо ж на зараженій машині ви звернетесь до дисководу A:, то він буде тимчасово включений. У порівнянні з такими монстрами змінювання системного часу в CMOS'і деякими вірусами виглядає як безневинна забава!

І останній приклад "швидкого реагування" вірусів на нові досягнення комп'ютерної техніки. Тільки-но з'явився так званий Flash-BIOS, як вірус VLAD став записувати свій код до нього.

Файлові віруси

Вірус VIENNA (Відень)

Інші назви вірусу: 648, Restart (перезавантаження), Time Bomb (часова бомба) та ін.

Один із перших найбільш примітивних вірусів. Знайдений спочатку у Відні, потім заполонив увесь світ. При завантаженні у пам'ять комп'ютера проглядає всі COM-програми у поточному каталозі та у доступних через PATH (шляхи пошуку, що звичайно встановлені в AUTOEXEC.BAT). Первісний варіант цього вірусу збільшував довжину жертви на 648 байт. Першу знайдену ще не заражену програму або заражає, або, з ймовірністю 1 / 8 (в залежності від системного часу), псує таким чином, що вона при запуску призводить до перезавантаження системи. В останньому випадку в початок жертви записується код EAF0FF00F0, який на машинній мові означає теплий рестарт (еквівалентне до дії клавіш Ctrl+Alt+Del). Якщо зіпсована таким чином програма викликається з AUTOEXEC.BAT, процедура початкового завантаження операційної системи зациклюється. Як ознаку зараження, вірус ставить у часі створення жертви неіснуюче число секунд (62). Надалі з'явилось багато різновидів вірусу VIENNA (більше 20), що відрізняються від нього довжинами та шкідливими діями.

Вірус CASCADE (Каскад, водоспад)

Інші назви вірусу: LetterFall (буквопад), Letter та ін.

Існує два варіанти вірусу за довжиною (1701 або 1704 байт). Заражає тільки COM-програми, резидентний. Спричиняє обсипання символів на екрані, що супроводжується характерним шелестінням. При цьому блокується можливість роботи з клавіатурою. Зберігає працездатність тільки на машинах типу PC XT/AT.

Бутові віруси

Вірус STONED (Закам'янілий)

Інша назва вірусу: Marijuana (Маріхуана).

Зовнішнє проявлення з ймовірністю 1/8 під час завантаження системи на екран видається текст "Your PC is now Stoned", після чого робота нормально продовжується. Цей вірус записується в абсолютний початковий сектор диска, який на вінчестерах містить PARTITIONTABLE. Інколи (наприклад, коли жорсткий диск розбитий на розділи за допомогою відомої системи ADM) це приводить до сумних наслідків, а саме, до втрати доступу до інформації, розташованої на диску. Для візуального розпізнання вірусу на диску може служити палкий заклик: "LEGALISE MARIJUANA!".

Зауважимо, що зараз існує близько 90 штамів (різновидів) вірусу Stoned, і він досі залишається дуже поширеним.

Вірус BRAIN (Мозок)

Один із найбільш знаменитих вірусів. Він вважається першим, що одержав широке розповсюдження (розроблений у січні 1986 року). Заражає тільки стандартно відформатовані дискети ємністю 360К. На заражених дискетах з'являється мітка " (c)Brain ". Займає на диску три підряд розташованих кластери, помічаючи їх як погані.

Нарешті, для любителів футболу наведемо останній приклад продукту, судячи по всьому, вітчизняного виробництва.

AntiEXE

Інші назви вірусу: CMOS4, D3, NewBug, New Bug.

Це бутовий вірус, який заражає Boot-сектор гнучкого та Master Boot запис жорсткого дисків. Використовує Stealth- технологію. Як і всі бутові віруси, AntiEXE є резидентним. Шукає деякі EXE-файли та пошкоджує їх.

AntiCMOS

Інші назви вірусу: Lenart.

Це бутовий вірус, який заражає Boot-сектор гнучкого та Master Boot запис жорсткого дисків. Псує інформацію про конфігурацію комп'ютера, що записана в енергонезалежній пам'яті CMOS.

Штамами (різновидами) вказаного вірусу є віруси AntiCMOS.A та AntiCMOS.B.

One_Half

Інші назви вірусу: Free Love, One_half, One Half.3544

One_Half це файлово-бутовий, резидентний, поліморфний вірус, який використовує Stealth- технологію. Заражає COM- та EXE-файли, збільшуючи їх довжину на 3544 байт та Master Boot запис жорсткого диска.

Під час холодного (пере)завантаження системи з інфікованого жорсткого диска One_Half зашифровує два циліндра у кінці жорсткого диска. При кожному наступному (пере)завантаженні системи кількість зашифрованих циліндрів зростає. Поки вірус знаходиться у пам'яті, інформація, що міститься у цих циліндрах, доступна. Коли вірус зашифрує приблизно половину жорсткого диска, він виводить на екран повідомлення " Dis is one half. Press any key to continue...". Шифрування інформації, що проводить One_Half, значно ускладнює роботу антивірусних програм, яким треба не тільки вилікувати комп'ютер, але і відновити зашифровану інформацію.

One_Half не заражає деякі антивірусні програми (SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV).

Tchechen 1912, 1914

Ці віруси не входять до десятки найбільш поширених у світі, але на території СНД, мабуть, стоять чи не найпершому місці.

Дуже небезпечні резидентні поліморфні віруси. При старті віруси зчитують 2-й сектор жорсткого диска і записують у нього слово " МИР " та число 4, яке надалі буде лічильником стартів інфікованих програм. Потім намагаються знайти в ROM BIOS текстові рядки Megatrends, AWARD. Якщо цей пошук успішний, то віруси вимикають у CMOS-пам'яті опцію Virus Warning on Boot (контроль запису до Boot-сектору). При досягненні лічильника у 2-у секторі значення 0 віруси замінюють слово " МИР " на непотрібне слово із 3 літер та записують в MBR жорсткого диска "троянський" код. Цей код при завантаженні системи самостійно віддає управління активному Boot-сектору жорсткого диска, але приблизно через місяць після запису даного коду в MBR знищує вміст всього першого жорсткого диска. Після чого планувалося виведення на екран такого тексту (Tchechen.1914 містить помилку в даному виведенні): " POLITICAL PRO$TITUTE$ OF THE WORLD, (UN)ITE! IN REWARD FOR THE SCORCHED EARTH OF TCHECHNYA. ENJOYIN' WAR BY TV YOU'RE GLAD -YOUR ASS IS SO FAR FROM. WAIT, YOU'LL SEE THE REAL BLOOD SOON..RIGHT AT YOUR WINDOW AND YOU WORTH IT!!! The Tchechen, (C) RUSSIAN BEAR,1995. "

Tchechen.1914 непрацездатний на процесорі Pentium.

Загальні рекомендації

Не можна дати 100% гарантії від зараження вірусами комп'ютера, на якому ви працюєте. В той же час виконання наступних правил принаймні суттєво зменшить ймовірність тяжких наслідків.

Регулярно робіть резервні копії важливих файлів та системних областей диска (утиліта П.Нортона Rescue, архіватори, утиліти MS-DOS Backup, Replace і т.п.). Якщо ви розробляєте власний програмний продукт, ведете базу даних тощо, візьміть за правило зберігати на окремих магнітних носіях результати своєї праці наприкінці робочого дня! Врешті-решт може просто серйозно відмовити обладнання і ви не зможете дістатися своєї інформації.

Якщо хтось із ваших колег демонструє на вашому комп'ютері свій продукт або ви встановлюєте нове програмне забезпечення, обов'язково перевірте його антивірусними засобами. Намагайтеся використовувати тільки законні шляхи одержання програм. Зауважимо, однак, що відомі випадки, коли і більш-менш серйозні фірми (звичайно, не злонавмисно) розповсюджували заражений продукт. Якщо ж ви працюєте на ПК "колективного користування", то перевірка комп'ютера на зараженість на початку вашого сеансу обов'язкова!

Для діагностування чи лікування вашого комп'ютера використовуйте тільки відомі програми, які добре зарекомендували себе. До їх числа відносяться в першу чергу ті, про які мова буде йти далі. Ще раз підкреслимо, що кожного дня з'являється у середньому 57 нових вірусів. Отже, ви повинні подбати про те, щоб у вас завжди були нові версії антивірусних програм!

При лікуванні комп'ютера від вірусів використовуйте чисту операційну систему, завантажуючи її з дискети. Але ж і тут, як ми казали вище, вірус може вас обманути. Захищайте дискети від записування, якщо є хоча б мала ймовірність зараження!.

Сучасні антивірусні програми добре документовані. У відповідних файлах, що постачаються разом із цими програмами, міститься опис усіх вірусів, з якими вони борються. Прочитайте ці файли! Ви будете мати більш повне уявлення про небезпеку, що загрожує вам і вашому комп'ютеру.

Дамо тепер загальну класифікацію антивірусних програм. За своїм призначенням вони поділяються на детектори, фаги, ревізори, фільтри та вакцини. Розглянемо їх характеристики більш докладно.

Детектори служать тільки для виявлення вірусів у комп'ютері. Фаги лікують його від вірусної інфекції. Дуже часто функції детектора та фага суміщені в одній програмі, а вибір режиму роботи здійснюється завданням відповідних параметрів (опцій, ключів). На початку вірусної ери кожний новий вірус визначався та лікувався окремою програмою. При цьому для деяких з вірусів (наприклад, VIENNA) цих програм було не менше десятка. Згодом окремі програми почали виявляти та лікувати декілька типів вірусів, тому їх стали звати полідетекторами та поліфагами відповідно. Сучасні антивірусні програми знаходять і знешкоджують багато тисяч різновидів вірусів і заради простоти їх звуть коротко детекторами та фагами. Серед детекторів та фагів найбільш відомими та популярними є програми Aidstest, DrWeb (фірма ДиалогНаука, Росія), Scan, Clean (фірма McAfee Associates, США), Norton AntiVirus (фірма Symantec Corporation, США). Ці програми періодично (в середньому двічі на місяць) поновлюються, даючи користувачеві змогу боротися з новими вірусами. Показником важливості антивірусних засобів стало включення до складу операційної системи MS-DOS утиліти MSAV (MicroSoft AntiVirus). Щоправда, цей продукт був розроблений фірмою Central Point Soft Ware (автором славнозвісних PCTools та PCShell) і звався CPAV, а згодом був куплений фірмою MicroSoft. Утиліта MSAV є одночасно детектором, фагом, ревізором та вакциною.

Під час запуску фагів у пам'яті комп'ютера не повинно бути резидентних антивірусних програм, які блокують запис на диск (фільтрів).

Ще одним типом антивірусних програм є ревізори. Ці програми можуть виявляти факт зараженості комп'ютера новими вірусами, слідкуючи за всіма змінами системних областей та файлової структури на вашому ПК. При першому запуску ревізор утворює таблиці, куди заносить інформацію про вільну пам'ять, Partition Table, Boot, директорії, файли, що містяться у них, погані кластери тощо. При повторному запуску ревізор сканує пам'ять та диски і видає повідомлення про всі зміни, що відбулися у них з часу останнього сеансу ревізії. Нескладний аналіз цих змін дозволяє надійно визначити факт зараження комп'ютера вірусами. Серед ревізорів, мабуть, найбільш популярною є програма ADinf (фірма ДиалогНаука, Росія). Вже згадувана програма MSAV також може виконувати функції ревізора.

Свого часу, коли не було надійних засобів боротьби з вірусами, широкого поширення набули так звані фільтри. Ці антивірусні програми блокують операцію записування на диск і виконують її тільки при вашому дозволі. При цьому легко визначити, чи то ви санкціювали команду на запис, чи то вірус намагається щось заразити. До числа широко відомих свого часу фільтрів можна віднести програми VirBlk, FluShot, Anti4us. До речі, остання програма німецького виробництва і при читанні її назви ми одержимо щось на зразок "антивірус". Зараз фільтри майже не використовують, оскільки вони, по-перше, дуже незручні, бо відволікають час на зайвий діалог, по-друге, деякі віруси можуть обманювати їх. Відмітимо утиліту П.Нортона DISCMON, яка у режимі Protect здійснює саме функцію фільтра.

Нарешті до антивірусних програм відносяться вакцини. Зауважимо відразу, що їх поширення було дуже обмеженим раніше, а зараз вони практично зовсім не використовуються. Справа у тому, що вакцини призначені для боротьби з дуже обмеженими класами вірусів і для кожного їх типу потребують досить складної розробки відповідних програм. Пояснимо на прикладах суть дії вакцин. Як ми вже казали раніше, вірус VIENNA проставляє у зараженому файлі неіснуючий час утворення (62 секунди). Це ж саме робить і вакцина проти вказаного вірусу. Аналогічно, вакцина проти вірусу BLACK FRIDAY використовує той факт, що цей вірус прикметою зараженості використовує сполучення MsDos, що записується у кінець файлу-жертви.

Розглянемо тепер деякі із згаданих вище антивірусних програм.

Література

1. Безруков Н.Н. Компьютерная вирусология: Справ. руководство. К.: УРЕ, 1991. 416 с.

2. Касперский Е.В. Компьютерные вирусы в MS DOS. М.: 1992.

3. Хижняк П.Л. Пишем вирус... и антивирус. М.: ИНТО, 1991. 90 с.

Зміст

Вступ_______________________________________________________________ 3

Що таке комп'ютерні віруси?__________________________________________ 3

Як проявляють себе комп'ютерні віруси?________________________________ 6

Збитки, що завдають комп'ютерні віруси________________________________ 7

Декілька "класичних" прикладів комп'ютерних вірусів_____________________ 8

Файлові віруси______________________________________________________ 8

Вірус VIENNA (Відень)________________________________________________________ 8

Вірус CASCADE (Каскад, водоспад)_____________________________________________ 8

Вірус BLACK FRIDAY (Чорна п'ятниця)__________________________________________ 8

Вірус DARK AVENGER (Чорний месник)__________________________________________ 9

Бутові віруси________________________________________________________ 9

Вірус PING PONG (назва не потребує перекладу)___________________________________ 9

Вірус STONED (Закам'янілий)___________________________________________________ 9

Вірус BRAIN (Мозок)_________________________________________________________ 9

Вірус DINAMO (назва не потребує перекладу)_____________________________________ 9

Найбільш поширені сучасні комп'ютерні віруси__________________________ 10

Макро-віруси Word (Word Macro Viruses)________________________________________ 10

AntiEXE___________________________________________________________________ 10

AntiCMOS_________________________________________________________________ 10

One_Half__________________________________________________________________ 11

Tchechen 1912, 1914_________________________________________________________ 11

Засоби боротьби з комп'ютерними вірусами_____________________________ 11

Загальні рекомендації________________________________________________________ 11

Антивірусна програма Aidstest Д.Лозинського____________________________________ 13

Антивірусна програма DrWeb І.Данилова________________________________________ 14

Антивірусні програми Scan та Clean J.McAfee____________________________________ 14

Антивірусна програма Norton AntiVirus__________________________________________ 15

Антивірусна програма ADinf Д.Мостового_______________________________________ 15

Антивірусна програма AVP Є.Касперського______________________________________ 15

Захист від вірусів у комп'ютерних мережах_____________________________ 15

Де знайти додаткову інформацію?_____________________________________ 16

Література_________________________________________________________ 16

 

Київський університет імені Тараса Шевченка

 

Комп'ютерні віруси

Та засоби боротьби з ними

 

Методичні рекомендації

для студентів всіх факультетів

 

 

Диалектика

Київ


Попов Ю.Д. Комп'ютерні віруси та засоби боротьби з ними: Методичні рекомендації для студентів всіх факультетів К.: Диалектика, 1997, 16 с.

 

 

Рецензенти: А.В. Анісімов, д-р фіз.-мат. наук;

В.С. Проценко, канд. фіз.-мат. наук

 

 

Затверджено Радою

факультету кібернетики

30 грудня 1996 року

 

Друкується за авторською редакцією.

 

 

Київ, видавництво «Диалектика», 1997


Вступ

Як відомо, в англомовній літературі для позначення продукції, пов'язаної з інформатикою, широко використовуються терміни "Hard Ware" (жорсткий продукт, технічні засоби, комп'ютери) та "Soft Ware" (м'який продукт, програми, програмне забезпечення). З масовим поширенням персональних комп'ютерів (ПК) з'явився новий термін "Bad Ware" (поганий продукт). До останнього відносять в першу чергу комп'ютерні віруси, троянських коней та черв'яків.

Далі основну увагу присвятимо комп'ютерним вірусам. Ми розглянемо, що таке комп'ютерні віруси, як вони себе проявляють і якої шкоди можуть заподіяти, наведемо декілька їх класичних і сучасних прикладів і, нарешті, обговоримо засоби боротьби з ними. Для поглибленого вивчення цих питань можна використати монографію відомого київського вірусолога М.Безрукова "Компьютерные вирусы" [1].

Відносно двох останніх видів "поганого продукту" зауважимо таке.

Комп'ютерні троянські коні, як і їх міфічні попередники, маскують свої дії під виглядом благопристойної, безневинної продукції, завдаючи болісні, руйнівні удари по вашій інформації. В той же час функцій розмноження, зараження інших програм, на відміну від вірусів, троянські коні не мають. Їм часто присвоюються точні (або дуже схожі) імена широко відомих комп'ютерних програм. Свого часу троянські коні набули такого поширення, що солідні комп'ютерні журнали щомісяця друкували їх довгі списки.

Комп'ютерні черв'яки являють собою програми, які призначені для проникнення через інформаційні мережі до даних, що зберігаються в інших фірмах, установах тощо. Зрозуміло, що робиться це з корисливих міркувань.

Відзначимо також, що створення та розповсюдження вірусів, троянських коней та черв'яків, незважаючи на мотиви цього, є, безумовно, шкідливими для суспільства діями, що завдають значних матеріальних збитків. Ось чому у деяких країнах ці дії розглядаються як карний злочин і переслідуються законом. На жаль авторів "поганої продукції" знайти дуже нелегко!

Що таке комп'ютерні віруси?

Із загальної точки зору комп'ютерні віруси являють собою програми, які мають здатність до прихованого розмноження у середовищі операційної системи за допомогою включення у код, що виконується, (програми, компоненти операційної системи, пакетні файли, текст, що компілюється, тощо) своєї, можливо модифікованої копії, яка зберігає здатність до подальшого розмноження. Крім функції розмноження (зараження інших файлів) комп'ютерні віруси виконують, як правило, ті чи інші деструктивні дії, про які мова бути йти далі.

Цей варіант належить М.Безрукову і базується на означенні, даному у 1989 р. Ф.Коуеном (F.Cohen) піонером першого серйозного дослідження комп'ютерних вірусів.

За способом зараження більшість комп'ютерних вірусів можна підрозділити на два класи: файлові та бутові віруси. Розглянемо коротко механізми їх дії.

Найпоширенішим засобом зараження файлу вірусом є дописування його тіла у кінець файлу (див. рис. 1). При цьому, щоб при запуску зараженого файлу одразу одержати управління, вірус замість початку файлу, який приховує у своєму тілі, ставить команду переходу на себе. Після того, як вірус відпрацював, він передає управління файлу-жертві. В деяких випадках, якщо в силу тих чи інших причин початок файлу, що інфікується, не зберігається, або є ще якісь "помилки" у вірусі, файл буде зіпсований і його подальше лікування буде неможливим.

Останнім часом поширились віруси, що перезаписують початок файлу-жертви (File Overwriters), не змінюючи його довжину. Зрозуміло, що інфікована таким чином програма замість свого дійсного початку містить вірус і буде безповоротно зіпсована, залишаючись в змозі лише заражати інші програми. Як правило, вказані віруси під час своєї дії інфікують якомога більше файлів і, в залежності від різних умов, виконують ті чи інші додаткові руйнівні дії. Прикладами цих вірусів є: Abraxas-3, Banana, Burger, Bloodlust, Bk Monday, Cossiga, Clint, Druid та багато інших.

Зауважимо, що віруси можуть записувати своє тіло також у кінець або середину файлу-жертви. Останнім часом з'явились віруси, які впроваджують себе до файлу, що заражається окремими "плямами". При запису у середину файлу вірус інколи знаходить "порожні" місця і приміщує туди своє тіло, не змінюючи довжину жертви. У більшості випадків довжина інфікованого файлу збільшується на деяку величину, що, як правило, є постійною для вірусу, який заразив його. Ця величина зветься довжиною вірусу і вимірюється звичайно у байтах. У більшості випадків віруси пишуться на мові Асемблера, інколи на мовах високого рівня (Pascal, C тощо). У першому випадку довжина вірусів порівняно невелика (SillyCR.76 мабуть, світовий рекордсмен малих резидентних вірусів, що зберігає працездатність інфікованої програми, має довжину у 76 байт), у другому може бути у декілька десятків Кбайт (MiniMax 31125 байт). Цікаво, що існують віруси (DICHOTOMY), які при зараженні записують частини свого тіла у два різних файли (296 + 567 байт).

Рис. 1. Схема дії файлового вірусу

Важливою характеристикою вірусів є здатність багатьох з них залишатись у пам'яті комп'ютера після запуску інфікованого файлу. Такі віруси називають резидентними. Зрозуміло, що резидентні віруси уражають файли набагато частіше ніж нерезидентні.

Бутові віруси заражають Boot-сектор вінчестера або дискет. Механізм зараження цими вірусами представлений на рис. 2. Вірус записує початок свого тіла до Boot-сектора, а решту у вільні (інколи зайняті) кластери, помічаючи їх як погані. Туди ж вірус приміщує також і справжній запис Boot - сектора, щоб потім передати йому управління. За своєю природою бутові віруси завжди резидентні.

Рис. 2. Схема дії бутового вірусу

Останнім часом з'явились окремі віруси, які заражають і Boot - сектори (або Master Boot записи) і файли. Такі віруси звуться файлово-бутовими (Multi-Partite Viruses). Прикладом таких, поки що дуже рідких вірусів, є вірус One_Half, що розглядається далі.

Крім того є віруси, механізм зараження яких суттєво відрізняється від розглянутих вище механізмів. Першим таким вірусом був вірус DIR. Цей вірус не заражував виконувані файли, а лише змінював у каталогах посилання на початок файлу-жертви, так щоб воно тепер вказувало на тіло вірусу, який містився в єдиному екземплярі на всьому диску. Таким чином при запусканні будь-якої зараженої програми вірус одержував управління першим, а після відпрацювання передавав управління запущеній програмі. Схема дії вірусу DIR приводиться на рис. 3.

Рис. 3. Схема дії вірусу DIR

Сучасні віруси застосовують найрізноманітніші засоби, з метою утруднити роботу по їх виявленню, розшифруванню та знешкодженню.

В поліморфні віруси (Self-Encrypting Polymorphic Viruses) встроюються так звані поліморфні генератори вірусних шифрувальників та розшифрувальників (MtE MuTation Engine механізми утворення поліморфних копій), які змінюють їх коди з часом.

Значна частина сучасних вірусів використовує так звану Stelh-технологію (за аналогією із назвою відомого літака). Ці віруси-невидимки самоліквідуються при спробі дослідження їх за допомогою відповідних засобів (відлагоджувачі та трасувальники), видають інформацію, начебто уражений комп'ютер не має інфекції і т.п. Так, вже один із перших вірусів BRAIN при спробі проглядання зараженого Boot-сектора виводив не своє тіло, що знаходилось там, а справжній не інфікований запис. Вірус DARK AVENGER "підправляв" дію команди DIR операційної системи так, щоб довжина зараженого ним файлу виводилась без урахування довжини вірусу, тобто справлялось враження, що файл не інфікований.

Віруси-супутники (Companion Viruses) замість зараження існуючого EXE-файлу, утворюють новий файл, який має теж саме ім'я, але інше розширення (COM). Сам вірус буде знаходитись у знов утвореному файлі. Напpиклад, для файлу EDIT.EXE буде утворений файл EDIT.COM і сам вірус буде знаходитись в останньому файлі. Пpи спробі запуску EXE-пpогpами з командного рядка, замість потрібної програми буде запущена знов утворена, з вірусом. Після її відпрацювання буде запущена потрібна програма (EXE).

На ранніх етапах розвитку віруси заражали лише виконувані файли типу COM та EXE. Зараз спектр файлів, що можуть зазнавати атаки з боку вірусів значно розширився. Відмітимо, що існують віруси, які можуть заражати файли в архівах (типу ARJ, ZIP тощо), файли-документи (типу DOC), що утворені відомим текстовим процесором WinWord (6 версія та вище) фірми MicroSoft.

Деякі віруси залишаються у пам'яті ПК після теплого перезавантаження (Ctrl+Alt+Del). Більше того, при спробі завантажити чисту операційну систему з пристрою A: після холодного запуску, тобто після натискання кнопки Reset або вимкнення/увімкнення комп'ютера, ви можете несподівано виявити, що у його пам'яті вже знаходиться вірус. Саме такі можливості мають віруси EXEBUG та MAMMOTH, які відключають у CMOS'і наявність дисководу A:, що призводить до завантаження зараженої системи з диску C:. При цьому вірус імітує, начебто завантаження відбувається саме з гнучкого диска. Якщо ж на зараженій машині ви звернетесь до дисководу A:, то він буде тимчасово включений. У порівнянні з такими монстрами змінювання системного часу в CMOS'і деякими вірусами виглядає як безневинна забава!

І останній приклад "швидкого реагування" вірусів на нові досягнення комп'ютерної техніки. Тільки-но з'явився так званий Flash-BIOS, як вірус VLAD став записувати свій код до нього.



Поделиться:


Последнее изменение этой страницы: 2016-07-16; просмотров: 149; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 44.200.179.138 (0.115 с.)