ТЕМА 3. ЗАЩИТА ОТ КОМПЬЮТЕРНЫХ ВИРУСОВ
Понятие и классификация «компьютерных вирусов»
Впервые определение компьютерного вируса было сформулировано американским исследователем Ф. Коэном в 1984 г. Однако и по сей день не прекращаются споры вокруг этого понятия. В настоящее время под компьютерным вирусом принято понимать программный код, обладающий следующими необходимыми свойствами:
· способностью к созданию собственных копий, не обязательно совпадающих с оригиналом, но обладающих свойствами оригинала (самовоспроизведение);
· наличием механизма, обеспечивающего внедрение создаваемых копий в исполняемые объекты вычислительной системы.
<… > Классификация «компьютерных вирусов»
Вирусы можно разделить на классы по следующим основным признакам:
· среда обитания;
· операционная система (ОС);
· особенности алгоритма работы;
· деструктивные возможности.
В зависимости от среды обитания вирусы можно разделить на:
· файловые;
· загрузочные;
· макровирусы;
· сетевые.
Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (вирусы-компаньоны), либо используют особенности организации файловой системы (link -вирусы).
Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot -сектор), либо в сектор, содержащий системный загрузчик винчестера (MasterBootRecord), либо меняют указатель на активный boot -сектор.
Макровирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.
Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.
Существует большое количество сочетаний, например файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют «стеле-» и полиморфик-технологии. Другой пример такого сочетания — сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
Заражаемая операционная система (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких ОС — DOS, Windows, Win 95/ NT, OS/2 и т. д. Макровирусы заражают файлы форматов Word, Excel, Office 97. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.
Среди особенностей алгоритма работы вирусов выделяются следующие:
· резидентность;
· использование «стелс»-алгоритмов;
· самошифрование и полиморфичность;
· использование нестандартных приемов.
Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения ОС к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки ОС.
Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус.
Резидентными можно считать макровирусы, поскольку они также присутствуют в памяти компьютера в течение всего времени работы зараженного редактора. При этом роль ОС берет на себя редактор, а понятие «перезагрузка операционной системы» трактуется как выход из редактора. В многозадачных ОС время «жизни» резидентного DOS -вируса также может быть ограничено моментом закрытия зараженного DOS -окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов ОС.
Использование «стеле»-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным «стелс»-алгоритмом является перехват запросов ОС на чтение-запись зараженных объектов и затем «стелс»-вирусы либо временно лечат их, либо подставляют вместо себя незараженные участки информации. В случае макровирусов наиболее популярный способ — запрет вызовов меню просмотра макросов.
Самошифрование и полиморфичностъ используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру обнаружения вируса. Полиморфик-вирусы (polymorphic) достаточно трудно поддаются обнаружению; они не имеют сигнатур, т.е. не содержат ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
Различные нестандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре ОС, защитить от обнаружения свою резидентную копию, затруднить лечение от вируса.
По деструктивным возможностям вирусы можно разделить на:
· безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
· неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами;
· опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
· очень опасные — в алгоритм их работы заведомо заложены процедуры, которые могут вызвать потерю программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов — вводить в резонанс и разрушать головки некоторых типов винчестеров.
Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе, этот вирус нельзя с полной уверенностью назвать безвредным, так как проникновение его в компьютер может вызвать непредсказуемые и порой катастрофические последствия. Ведь вирус, как и всякая программа, имеет ошибки, в результате которых могут быть испорчены как файлы, так и сектора дисков. До сих пор попадаются вирусы, определяющие СОМ или ЕХЕ не по внутреннему формату файла, а по его расширению. Естественно, что при несовпадении формата и расширения имени файл после заражения оказывается неработоспособным. Возможно также «заклинивание» резидентного вируса и системы при использовании новых версий DOS, при работе в Windows или с другими мощными программными системами. И так далее.
Защита от «компьютерных вирусов»