Классификация компьютерных вирусов




В основе классификации компьютерных вирусов лежат четыре признака.

По разрушительным возможностямвыделяют три вида вирусов:

 

8 Червь Морриса (англ. Morris worm) или интернет-червь 2 ноября 1988 (англ. Internet worm of November 2, 1988) — один из первых сетевых червей, распространяемых через Интернет. Написан аспирантом Корнелл- ского университета Робертом Таппаном Моррисом, и запущен 2 ноября 1988 года в Массачусетском техно- логическом институте. Это был первый вирус (парализовал работу шести тысяч интернет-узлов в США), по- лучивший значительное внимание в средствах массовой информации. Он привёл к первой судимости в США по Computer Fraud and Abuse Act 1986 года.


- Неопасные вирусы. Они уменьшают объем памяти в результате своего распро- странения и иногда выдают какие-либо текстовые, графические или звуковые со- общения, но не осуществляют сознательной порчи информации;

- Опасные вирусы. Приводят к различным нарушениям в работе компьютера, например, выполняют перезагрузку компьютера, блокируют или изменяют функ- ции клавиш клавиатуры, замедляют работу компьютера и т.п.;

- Очень опасные вирусы. Приводят к потере программ и данных, стиранию инфор- мации в системных областях памяти и даже к выходу из строя комплектующих ча- стей компьютера, например, жесткого диска и материнской платы.

По способу заражения выделяют два вида вирусов:

- Резидентные вирусы при заражении компьютера оставляют в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы ко всем объектам (файлам, загрузочным секторам дисков и т.п.) и внедря- ется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.

- Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время. Такие вирусы активизируются в определенные моменты, например, при обработке документов текстовым процессором.

По среде обитания выделяют четыре вида вирусов:

- Файловые вирусы заражают исполняемые файлы (.exe,.com) и различные вспо- могательные файлы, загружаемые при выполнении других программ. Вирус в за- раженных файлах начинает свою работу при запуске той программы, в которой он находится. Некоторые вирусы умеют заражать драйверы устройств. Такой вирус начинает свою работу при загрузке данного драйвера;

- Загрузочные вирусы внедряются в начальный сектор дисков, содержащий загруз- чик операционной системы. Такие вирусы начинают свою работу при загрузке компьютера с зараженного диска. Загрузочные вирусы являются резидентными и заражают вставляемые в компьютер диски;

- Файлово-загрузочные вирусы заражают одновременно файлы и загрузочные сек- тора дисков (часто заражают системные файлы). Как правило, такие вирусы имеют довольно сложный алгоритм работы, часто применяют оригинальные методы про- никновения в систему, используют технологии «стелс» и «полиморфик»;

- Сетевые вирусы распространяются по различным компьютерным сетям, напри- мер, по сети интернет. Такие вирусы самостоятельно передают свой код на удален- ный сервер или рабочую станцию. Часто сетевые вирусы обладают еще и возмож- ностью запустить на выполнение свой код на удаленном компьютере или, по крайне мере, «подтолкнуть» пользователя к запуску зараженного файла.

По особенностям алгоритма выделяют семь видов вирусов:

- Компаньоны (спутники) не изменяют файлы, а создают для исполняемых про- грамм (.exe) одноименные командные программы (.com), которые при выполнении исходной программы запускаются первыми, а затем передают управление исход- ной программе (существовали ранее, обычно в ОС DOS);


- Репликаторы (черви) распространяются по компьютерным сетям, проникая в па- мять компьютеров, вычисляя адреса других сетевых компьютеров и рассылая по ним свои копии. Такие вирусы не изменяют файлы или сектора на дисках;

- Паразиты при распространении своих копий изменяют содержимое файлов и сек- торов диска. К этой группе относятся вирусы, не являющиеся спутниками и червя- ми;

- Троянские вирусы (квазивирусы) маскируются под какие-нибудь полезные про- граммы и активизируются при наступлении некоторого события (условия срабаты- вания). Такие вирусы содержат некоторые деструктивные действия, связанные с нарушением безопасности компьютерной системы, например, передают конфиден- циальную информацию (пароли) или модифицируют программы систем защиты;

- Невидимки (стелс) перехватывают обращения операционной системы к поражен- ным файлам и секторам дисков и подставляют вместо себя незараженные файлы участки диска, поэтому их очень трудно обнаружить и обезвредить;

- Мутанты (призраки) также маскируются, постоянно модифицируя себя таким об- разом, что не содержат одинаковых фрагментов. Такие вирусы содержат алгорит- мы шифровки-расшифровки и хранят свое тело в закодированном виде, постоянно меняя параметры кодировки. Поэтому такие вирусы самые сложные в обнаруже- нии;

- Макровирусы заражают документы, в которых предусмотрено выполнение мак- рокоманд (макросов). При открытии такого документа вначале исполняются со- держащиеся в нем макросы (в том числе и макровирусы). Таким образом, вирус получает управление и совершает все вредные действия (в частности, находит и за- ражает еще не зараженные документы).

 

Отдельно стоит выделить студенческие вирусы – элементарные вирусы, созданные ради забавы студентами, которые только научились программировать и решили попробо- вать свои силы. Но есть и исключения, например, написанный студентом вирус Chernobyl. Четкого разделения между типами вирусов не существует, и все они могут состав-

лять комбинацию вариантов взаимодействия, т.е. своеобразный «вирусный коктейль».

Вирус является программой, поэтому объекты, не содержащие программ и не под- лежащие преобразованию в программы, не могут быть заражены вирусом (исключение составляют документы, поддерживающие макросы). К числу таких объектов относятся текстовые файлы (кроме командных файлов и текстов программ), документы не поддер- живающие макросы редакторов, информационные файлы баз данных и т.д. Вирус может только испортить такие объекты, но не заразить их.

 

Антивирусные программы

Специальные программы для обнаружения, уничтожения и защиты от компьютерных ви- русов называются антивирусными программами. Современные антивирусные програм- мы представляют собой многофункциональные продукты, сочетающие в себе как профи- лактические возможности, так и средства лечения от вирусов и восстановления данных.

Количество и разнообразие вирусов очень велико, поэтому, чтобы быстро и эффек- тивно их обнаружить, антивирусная программа должна отвечать определенным требова- ниям:


- Стабильность и надежность работы является определяющими параметрами, так как даже самый лучший антивирус окажется совершенно бесполезным, если он не сможет нормально функционировать на компьютере, например, в результате како- го-либо сбоя в работе программ процесс проверки компьютера не пройдет до кон- ца. Тогда всегда есть вероятность того, что какие-то зараженные файлы остались незамеченными;

- Объем вирусной базы (количество обнаруживаемых программой вирусов). С уче- том постоянного появления новых вирусов база должна регулярно обновляться.

- Скорость работы программы является одним из основных требований к любой антивирусной программе, так как огромный поток информации требует быстрой проверки файлов и дисков компьютера;

- Наличие дополнительных возможностей, например, алгоритмов определения не- известных программе вирусов (эвристическое сканирование). Сюда же следует от- нести умение работать с файлами различных типов (архивы, документы) и возмож- ность восстанавливать зараженные файлы, не стирая их с жесткого диска, а только удалив из них вирусы. Немаловажным является наличие резидентного фильтра, осуществляющего проверку всех файлов «на лету», т.е. автоматически, по мере их записи на диск;

- Многоплатформенность (наличие версий программы под различные операцион- ные системы).

 

Антивирусные программы выпускает ряд компаний. К наиболее распространенным отно- сят следующие программы:

 

Антивирус Касперского, Kaspersky Anti-Virus (производи- тель «Лаборатория Касперского», с 1994 г.), лицензия - коммерческая
  Dr. Web (производитель «Диалог-Наука», с 1994 г.) Лицензия: Shareware
  McAfee VirusScan (производитель Symantec).
  Avira (производитель Avira GmbH & Co. KG, с 1986 г.)
AVG Anti-Virus (разработчик AVG Techologies), лицензия – проприетарная
  АНТИВИРУС ESET NOD32 (разработчик ESET, лицензия – проприетарная)

 

  Avast! (разработчик AVAST Software, лицензия – условно- бесплатная)

 

Разнообразие существующих антивирусных программ привело к необходимости их клас- сифицировать в зависимости от принципов работ. Выделяют пять групп подобных про- грамм:

Детекторы

Детекторы обеспечивают обнаружение вирусов в оперативной памяти и на внешних носи- телях, выдавая соответствующие сообщения. Они выполняют поиск известных вирусов по сигнатуре (повторяющемуся участку кода) и позволяют обнаруживать только известные вирусы (это недостаток).

Доктора (фаги)

Доктора (фаги) не только находят зараженные вирусами файлы, но и «лечат» их, т.е. уда- ляют из файлов тело вируса, возвращая файлы в исходное состояние. В начале своей ра- боты фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к

Постоянное появление новых вирусов приводит к быстрому устареванию детекторов и докторов поэтому требуется регулярное обновление их версий.

«лечению» файлов.

Фильтры (сторожа)

Фильтры (сторожа) представляют собой небольшие резидентные программы, предназна- ченные для обнаружения подозрительных действий в работе компьютера, характерных для вирусов:

- запись в загрузочные сектора диска;

- прямая запись на диск по абсолютному адресу;

- изменение атрибутов файлов;

- попытка коррекции исполняемых файлов (.exe,.com);

- загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия сторож посылает пользователю сообщение и предлагает запретить или разрешить соответствующее дей- ствие. Фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не лечат файлы и диски. Для уни- чтожения вирусов требуется применять другие программы, например, фаги. К недостат- кам сторожей можно отнести существенное замедление работы компьютера, так как они отслеживают любые действия компьютера, перехватывая все запросы к операционной си- стеме на выполнение «подозрительных» действий.

Ревизоры (инспекторы)

Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически сравнивают те- кущее состояние с исходным. Обнаруженные изменения выводятся на экран. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При срав-


нении проверяются состояние загрузочного сектора и таблицы размещения файлов, длина, дата и время модификации файлов, контрольная сумма файла9 и другие параметры.

Ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут отличить изменения версии проверяемой программы от изменений, внесенных ви- русом.

Вакцинаторы (имунизаторы)

Вакцинаторы предотвращают заражение файлов известными вирусами. Вакцина модифи- цирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедриться. В настоящее время вакци- ны редко применяются, так как имеют ограниченные возможности по предотвращению заражения от большого числа разнообразных вирусов.

Наиболее распространены программы доктора и фильтры. А современные антиви- русные пакеты включают все необходимые компоненты для противостояния любым виру- сам. Например, «Антивирус Касперского» (Kaspersky Anti-Virus) содержит программу- фильтр Kaspersky Anti-Virus Monitor, доктор Kaspersky Anti-virus Scanner и ревизор Kaspersky Anti-Virus Inspector.

Несмотря на широкую распространенность антивирусных программ, вирусы про- должают «плодиться». Чтобы справиться с ними, необходимо создавать более универ- сальные и качественно-новые антивирусные программы, которые будут включать в себя все положительные качества своих предшественников. Защищенность от вирусов зависит и от грамотности пользователей.

 



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2020-07-11 Нарушение авторских прав и Нарушение персональных данных
 

Поиск по сайту:

Читайте также:

Деталирование сборочного чертежа

Когда производственнику особенно важно наличие гибких производственных мощностей?

Собственные движения и пространственные скорости звезд

Тема 11. Банковские риски и способы их оценки

Опросник «Активность повседневной жизни»

Интересно:

Роль и значение мотивирующих факторов в управлении организацией

Роль страхования в рыночной экономике

Что такое нейролингвистика?

Как устроена беспроводная мышь

Обратная связь