Способы заражения программ

Дисциплина: Безопасность и управление доступом в информационных системах

Тема занятия: Компьютерные вирусы. Классификация.

Вид занятия: лекция

Тип занятия: изучение нового учебного материала

Цели урока:

образовательная: сообщение студентам новых знаний о компьютерных вирусах и их классификации;

развивающая: развитие таких качеств, как мышление(анализ, сравнение), воображение, речь;

воспитательная: способствовать развитию познавательного интереса, мировоззренческих взглядов, воспитание нравственных и эстетических представлений, умение работать с новым материалом и составлять конспект нового материала

психологическая: направленность урока на развитие познавательных психических про­цессов: развивать внимательность, самостоятельность;

гигиеническая: предупреждение умственного и физического переутомления.

Организационное строение урока:

– учет посещаемости занятия студентами;

– контроль подготовленности к занятию;

– организационный момент;

– изложение нового материала;

– закрепление материала.

Обеспечение занятия:

1. Технические средства обучения: ПК Pentium || -266, ОС Windows 98

2. Учебные места: компьютерный класс.

3. Литература:

v Партыка Т. Л., Попов И. И. П57 Информационная безопасность. Учебное пособие для студен­тов учреждений среднего профессионального образования. — М.: ФОРУМ: ИНФРА-М, 2002. — 368 с.: ил.

v Прохоров А. «Обзор антивирусных программ для персональных пользователей», журнал «Компьютер-пресс», №3 – 2003 г., с.90-93.

v Шим С. «Оперативная безопасность в Internet», журнал «Открытые системы», №7, 2004г., с.53-60.

 

Ход занятия:

1. Организационный момент. (1-5 мин.)

2. Сообщение темы занятия, постановка его цели и задачи урока (10 мин.)

3. Изложение нового материала. беседа (58 мин.)

План

1. Компьютерный вирус. Определение вируса

2. Классификация вирусов

3. Способы заражения программ

4. ОСНОВНЫЕ ВИДЫВИРУСОВ И СХЕМЫИХ ФУНКЦИОНИРОВАНИЯ.

5. Признаки проявления вируса.

6. ОСНОВНЫЕ МЕРЫПО ЗАЩИТЕ ОТ ВИРУСОВ

Компьютерный вирус

Компьютерный вирус — это специально написанная, небольшая по размерам программа (т. е. некоторая совокупность выполняемого кода), которая может «приписывать» себя к другим программам («заражать» их), создавать свои копии и внедрять их в файлы, сис­темные области компьютера и т. д., а также выполнять различные нежелательные действия на компьютере.

По-видимому, самым ранним примером могут служить первые прототипы будущих вирусов — программы-кролики. Не причиняя разрушений, они тем не менее были сконструированы так, что мно­гократно копируя себя, захватывали большую часть ресурсов систе­мы, отнимая процессорное время у других задач. История их созда­ния доподлинно не известна. Возможно, они явились следствием программной ошибки, которая приводила к зацикливанию и наде­ляла программу репродуктивными свойствами. Первоначально кро­лики (rabbits) встречались только на локальных машинах, но с появ­лением сетей быстро «научились» распространяться по последним.

Затем, в конце 60-х годов была обнаружена саморазмножающа­яся по сети APRAnet программа, известная сегодня как Creeper (Вьюнок), которая будто бы была написана Бобом Томасом (Bob Thomas).

Вьюнок проявлял себя текстовым сообщением

" i'm the creeper... catch me.if you can"

(" я вьюнок... поймай меня, если сможешь")

и экономно относился к ресурсам пораженной машины, не причи­няя ей никакого вреда и разве что слегка беспокоя владельца. Ка­ким бы безвредным Вьюнок ни казался, но он впервые показал, что проникновение на чужой компьютер возможно без ведома и против желания его владельцев.

С появлением Вьюнка родились и первые системы защиты. Те­перь компьютеры стали ценностью, которую следовало охранять не только от воров с отмычками и трейлерами (а на чем еще можно было увезти компьютеры того времени?), но и от разрушительных или злоумышленных команд, проникающих по сети или через маг­нитные носители.

Первым шагом в борьбе против Вьюнка стал Жнец (Reaper), ре­продуцирующийся наподобие Вьюнка, но уничтожающий все встре­тившиеся ему копии последнего. Неизвестно, чем закончилась борьба двух программ. Так или иначе от подобного подхода к защи­те впоследствии отказались. Однако копии обеих программ еще долго бродили по сети.

Так как вирус самостоятельно обеспечивает свое размножение и распространение, пользователь, в случае обнаружения вируса, должен проверить всю систему, уничтожая копии вируса. Если уда­лось уничтожить все копии вируса, то можно сказать, что вылечена вся система; в противном случае, уцелевшие копии снова размно­жатся и все неприятности повторятся.

Своим названием компью­терные вирусы обязаны определенному сходству с биологическими вирусами по:

• способности к саморазмножению;

• высокой скорости распространения;

• избирательности поражаемых систем (каждый вирус поражает только определенные системы или однородные группы систем);

• способности «заражать» еще незараженные системы;

• трудности борьбы с вирусами и т. д.

В последнее время к этим особенностям, характерным для виру­сов компьютерных и биологических, можно добавить еще и посто­янно увеличивающуюся быстроту появления модификаций и новых поколений вирусов.

Только если в случае вирусов биологических эту скорость мож­но объяснить могуществом и изобретательностью природы, то виру­сы компьютерные скоростью возникновения новых штаммов обяза­ны исключительно идеям людей определенного склада ума.

Программа, внутри которой находится вирус, называется «зара­женной». Когда такая программа начинает работу, то сначала управ­ление получает вирус. Вирус находит и «заражает» другие програм­мы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, «засоряет» оперативную память и т. д.). Для маскировки вируса действия по за­ражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий.

 

 

 

 

Например, вирус Anti-MIT ежегодно 1 декабря разрушает всю информацию на жестком диске, вирус Tea Time мешает вводить ин­формацию с клавиатуры с 15:10 до 15:13, а знаменитый One Half не­заметно шифрует данные на жестком диске. В 1989 году американ­ский студент сумел создать вирус, который вывел из строя около 6000 компьютеров Министерства обороны США. Эпидемия известного вируса Dir-11 разразилась в 1991 году. Вирус использовал дей­ствительно оригинальную, принципиально новую технологию и на первых порах сумел широко распространиться за счет несовершен­ства традиционных антивирусных средств. Кристоферу Пайну уда­лось создать вирусы Pathogen и Queeq, а также вирус Smeg. Именно последний был самым опасным, его можно было накладывать на первые два вируса и из-за этого после каждого прогона программы они меняли конфигурацию. Поэтому их было невозможно уничто­жить. Чтобы распространить вирусы, Пайн скопировал компьютер­ные игры и программы, заразил их, а затем отправил обратно в сеть. Пользователи загружали в свои компьютеры зараженные програм­мы и инфицировали диски. Ситуация усугубилась тем, что Пайн умудрился занести вирусы и в программу, которая с ними боролась. Запустив ее, пользователи вместо уничтожения вирусов получали еще один. В результате действий этого вируса были уничтожены файлы множества фирм, убытки составили миллионы фунтов стер­лингов.

Широкую известность получил американский программист Мор-рис. Он известен как создатель вируса, который в ноябре 1988 года заразил порядка 7 тысяч персональных компьютеров, подключенных к Internet.

Первые исследования саморазмножающихся искусственных конструкций проводились в середине прошлого столетия. Термин «компьютерный вирус» появился позднее — официально его автором считается сотрудник Лехайского университета (США) Ф.Коэн, ко­торый ввел его в 1984 году на 7-й конференции по безопасности ин­формации.

Эксперты считают, что на сегодняшний день число существую­щих вирусов перевалило за 50 тысяч, причем ежедневно появляется от 6 до 9 новых. «Диких», то есть реально циркулирующих, вирусов в настоящее время насчитывается около 260.

Классификация вирусов

Один из авторитетнейших «вирусологов» страны Евгений Касперский предлагает условно классифицировать вирусы по следую­щим признакам:

• по среде обитания вируса;

• по способу заражения среды обитания;

• по деструктивным возможностям;

• по особенностям алгоритма вируса.

Более подробная классификация внутри этих групп представле­на на рис. 5.1.

 

Основными путями проникновения вирусов в компьютер явля­ются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при за­грузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например если дискету не вынули из дис­ковода А: и перезагрузили компьютер, при этом дискета может быть и несистемной. Заразить дискету гораздо проще. На нее вирус мо­жет попасть, даже если дискету просто вставили в дисковод зара­женного компьютера и, например, прочитали ее оглавление.

Способы заражения программ

• метод приписывания. Код вируса приписывается к концу файла заражаемой программы, и тем или иным способом осуществ­ляется переход вычислительного процесса на команды этого фраг­мента;

• метод оттеснения. Код вируса располагается в начале заражен­ной программы, а тело самой программы приписывается к концу.

• метод вытеснения. Из начала (или середины) файла «изымает­ся» фрагмент, равный по объему коду вируса, и приписывается к концу файла. Сам вирус записывается в освободившееся место. Раз­новидность метода вытеснения — когда оригинальное начало файла не сохраняется вообще. Такие программы являются «убитыми на­смерть» и не могут быть восстановлены никаким антивирусом.

• прочие методы. Сохранение вытесненного фрагмента про­граммы в «кластерном хвосте» файла и пр.