Головна / проблеми / Антивірусні програми класифікація. Класифікація комп'ютерних вірусів та антивірусних програм

Антивірусні програми класифікація. Класифікація комп'ютерних вірусів та антивірусних програм

ВСТУП

Ми живемо на стику двох тисячоліть, коли людство вступило в епоху нової науково-технічної революції.

До кінця двадцятого століття люди оволоділи багатьма таємницями перетворення речовини і енергії і зуміли використовувати ці знання для поліпшення свого життя. Але крім речовини і енергії в житті людини величезну роль грає ще одна складова - інформація. Це найрізноманітніші відомості, повідомлення, звістки, знання, вміння.

В середині нашого століття з'явилися спеціальні пристрої - комп'ютери, орієнтовані на зберігання і перетворення інформації і сталася комп'ютерна революція.

Сьогодні масове застосування персональних комп'ютерів, на жаль, виявилося пов'язаним з появою самовідтворюються програм-вірусів, що перешкоджають нормальній роботі комп'ютера, руйнують файлову структуру дисків і завдають шкоди береженої в комп'ютері інформації.

Незважаючи на прийняті в багатьох країнах закони про боротьбу з комп'ютерними злочинами і розробку спеціальних програмних засобів захисту від вірусів, кількість нових програмних вірусів постійно росте. Це вимагає від користувача персонального комп'ютера знань про природу вірусів, способи зараження вірусами і захисту від них. Це і послужило стимулом для вибору теми моєї роботи.

Саме про це я розповідаю в своєму рефераті. Я показую основні види вірусів, розглядаю схеми їх функціонування, причини їх появи та шляхи проникнення в комп'ютер, а також пропоную заходи щодо захисту і профілактиці.

Мета роботи - ознайомити користувача з основами комп'ютерної вірусології, навчити виявляти віруси і боротися з ними. Метод роботи - аналіз друкованих видань по даній темі. Переді мною постала непроста задача - розповісти про те, що ще дуже мало досліджувалося, і як це вийшло - судити вам.

1. КОМП'ЮТЕРНІ ВІРУСИ, ЇХ ВЛАСТИВОСТІ І КЛАСИФІКАЦІЯ

1.1. Властивості комп'ютерних вірусів

Зараз застосовуються персональні комп'ютери, в яких користувач має вільний доступ до всіх ресурсів машини. Саме це відкрило можливість для небезпеки, яка отримала назву комп'ютерного вірусу.

Що таке комп'ютерний вірус? Формальне визначення цього поняття досі не придумано, і є серйозні сумніви, що воно взагалі може бути дано. Численні спроби дати «сучасне» визначення вірусу не привели до успіху. Щоб відчути всю складність проблеми, спробуйте наприклад, дати визначення поняття «редактор». Ви або придумаєте щось дуже загальне, або почнете перераховувати всі відомі типи редакторів. І те й інше навряд чи можна вважати прийнятним. Тому ми обмежимося розглядом деяких властивостей комп'ютерних вірусів, які дозволяють говорити про них як про деяке певному класі програм.

Перш за все вірус - це програма. Таке просте твердження саме по собі здатне розвіяти безліч легенд про незвичайні можливості комп'ютерних вірусів. Вірус може перевернути зображення на вашому моніторі, але не може перевернути сам монітор. До легенд про віруси-убивць, «знищують операторів за допомогою виводу на екран смертельної колірної гами 25-м кадром» також не варто ставитися серйозно. На жаль, деякі авторитетні видання час від часу публікують «найсвіжіші новини з комп'ютерних фронтів», які при найближчому розгляді виявляються наслідком не цілком ясного розуміння предмета.

Вірус - програма, здатна до самовідтворення. Така здатність є єдиним засобом, властивим всім типам вірусів. Але не тільки віруси здатні до самовідтворення. Будь-яка операційна система і ще безліч програм здатні створювати власні копії. Копії ж вірусу не тільки не зобов'язані повністю збігатися з оригіналом, але й можуть взагалі з ним не збігатися!

Вірус не може існувати в «повній ізоляції»: сьогодні не можна уявити собі вірус, який не використовує код інших програм, інформацію про файлову структуру або навіть просто імена інших програм. Причина зрозуміла: вірус повинен яким-небудь способом забезпечити передачу собі управління.

1.2. Класифікація вірусів

В даний час відомо більше 5000 програмних вірусів, їх можна класифікувати за такими ознаками:

¨ середовищі існування

¨ способу зараження довкілля

¨ впливу

¨ особливостям алгоритму

Залежно від середовища існування віруси можна розділити на мережеві, файлові, завантажувальні і файлово-завантажувальні. Мережеві віруси поширюються по різних комп'ютерних мережах. Файлові віруси впроваджуються головним чином у виконувані модулі, т. Е. У файли, мають розширення COM і EXE. файлові віруси можуть впроваджуватися і в інші типи файлів, але, як правило, записані в таких файлах, вони ніколи не отримують управління і, отже, втрачають здатність до розмноження. завантажувальні віруси впроваджуються в завантажувальний сектор диска (Boot-сектор) або в сектор, що містить програму завантаження системного диска (Master Boot Re-

cord). Файлово-завантажувальні віруси заражають як файли, так і завантажувальні сектори дисків.

За способом зараження віруси діляться на резидентні і нерезидентні. резидентний вірус при зараженні (інфікуванні) комп'ютера залишає в оперативній пам'яті свою резидентну частину, яка потім перехоплює звернення операційної системи до об'єктів зараження (файлів, завантажувальних секторів дисків і т. п.) і впроваджується в них. Резидентні віруси знаходяться в пам'яті і є активними аж до вимикання або перезавантаження комп'ютера. нерезидентні віруси не заражають пам'ять комп'ютера і є активними обмежений час.

За ступенем впливу віруси можна розділити на наступні види:

¨ безпечні, Що не заважають роботі комп'ютера, але зменшують обсяг вільної оперативної пам'яті і пам'яті на дисках, дії таких вірусів виявляються в яких-небудь графічних або звукових ефектах

¨ небезпечні віруси, які можуть привести до різних порушень в роботі комп'ютера

¨ дуже небезпечні, Вплив яких може привести до втрати програм, знищення даних, стирання інформації в системних областях диска.

2. ОСНОВНІ ВИДИ ВІРУСІВ І СХЕМИ ЇХ ФУНКЦІОНУВАННЯ

Серед усього розмаїття вірусів можна виділити наступні основні групи:

¨ завантажувальні

¨ файлові

¨ файлово-завантажувальні

Тепер детальніше про кожну з цих груп.

2.1. завантажувальні віруси

Розглянемо схему функціонування дуже простого завантажувального вірусу, що заражає дискети. Ми свідомо обійдемо всі численні тонкощі, які неминуче зустрілися б при строгому розборі алгоритму його функціонування.

Що відбувається, коли ви вмикаєте комп'ютер? Насамперед управління передається програмі початкового завантаження, Яка зберігається в постійно запам'ятовуючому пристрої (ПЗУ) тобто ПНЗ ПЗУ.

Ця програма тестує обладнання і при успішному завершенні перевірок намагається знайти дискету в дисководі А:

Будь-яка дискета розмічена на т.зв. сектори і доріжки. Сектори об'єднуються в кластери, але це для нас несуттєво.

Серед секторів є кілька службових, що використовуються операційною системою для власних потреб (в цих секторах не можуть розміщуватися ваші дані). Серед службових секторів нас поки цікавить один - т.зв. сектор початкового завантаження (Boot-sector).

У секторі початкового завантаження зберігається інформація про дискеті - кількість поверхонь, кількість доріжок, кількість секторів і пр. Але нас зараз цікавить не ця інформація, а невелика програма початкового завантаження (ПНЗ), яка повинна завантажити саму операційну систему і передати їй управління.

Таким чином, нормальна схема початкового завантаження наступна:

ППЗ (ПЗУ) - ППЗ (диск) - СИСТЕМА

Тепер розглянемо вірус. У завантажувальних віруси виділяють дві частини - т.зв. голову і т.зв. хвіст. Хвіст, взагалі кажучи, може бути порожнім.

Нехай у вас є чиста дискета і заражений комп'ютер, під яким ми розуміємо комп'ютер з активним резидентним вірусом. Як тільки цей вірус виявить, що в дисководі з'явилася відповідна жертва - в нашому випадку не захищена від запису і ще не заражена дискета, він приступає до зараження. Заражаючи дискету, вірус виробляє такі дії:

Виділяє деяку область диска і позначає її як недоступну операційній системі, це можна зробити по-різному, в найпростішому і традиційному разі зайняті вірусом сектори позначаються як збійні (bad)

Копіює в виділену область диска свій хвіст і оригінальний (здоровий) завантажувальний сектор

шкідливий програма антивірусний зараження

Для своєї успішної роботи вірусів необхідно перевіряти, чи не є файл вже зараженим (цим же вірусом). Так вони уникають самознищення. Для цього віруси використовують сигнатуру. Більшість звичайних вірусів (включаючи і макровіруси) використовує символьні сигнатури. Більш складні віруси (поліморфні) використовують сигнатури алгоритмів. Незалежно від типу сигнатури вірусу антивірусні програми використовують їх для виявлення «комп'ютерних інфекцій». Після цього антивірусна програма намагається знищити виявлений вірус. Однак цей процес залежить від складності вірусу і якості антивірусне програмне забезпечення. Як вже говорилося, найбільш складно виявити троянських коней і поліморфні віруси. Перші з них не додають своє тіло до програми, а впроваджують всередину неї. З іншого боку, антивірусні програми повинні витратити досить багато часу, щоб визначити сигнатуру поліморфних вірусів. Справа в тому, що їх сигнатури змінюються з кожною новою копією.

Для виявлення, видалення і захисту від комп'ютерних вірусів існують спеціальні програми, які називаються антивірусними. Сучасні антивірусні програми є багатофункціональні продукти, що поєднують в собі як профілактичні засоби, так і засоби лікування вірусів і відновлення даних.

Кількість і різноманітність вірусів велике, і щоб їх швидко і ефективно виявити, антивірусна програма повинна відповідати деяким параметрам:

1. Стабільність і надійність роботи.

2. Розміри вірусної бази програми (кількість вірусів, які правильно визначаються програмою): з урахуванням постійної появи нових вірусів база даних повинна регулярно оновлюватися.

3. Можливість програми визначати різноманітні типи вірусів, і вміння працювати з файлами різних типів (архіви, документи).

4. Наявність резидентного монітора, який здійснює перевірку всіх нових файлів «на льоту» (тобто автоматично, у міру їх записи на диск).

5. Швидкість роботи програми, наявність додаткових можливостей типу алгоритмів визначення навіть невідомих програмі вірусів (евристичне сканування).

6. Можливість відновлювати заражені файли, які не стираючи їх з жорсткого диска, а тільки видаливши з них віруси.

7. Відсоток помилкових спрацьовувань програми (помилкове визначення вірусу в «чистому» файлі).

8. Кросплатформеність (наявність версій програми під різні операційні системи).

Класифікація антивірусних програм:

1. Програми-детектори забезпечують пошук і виявлення вірусів в оперативній пам'яті і на зовнішніх носіях, і при виявленні видають відповідне повідомлення. Розрізняють детектори:

Універсальні - використовують у своїй роботі перевірку незмінності файлів шляхом підрахунку і порівняння з еталоном контрольної суми;

Спеціалізовані - виконують пошук відомих вірусів по їх сигнатурі (повторюваному ділянці коду).

2. Програми-доктора (фаги) не тільки знаходять заражені вірусами файли, але і «лікують» їх, тобто видаляють з файлу тіло програми вірусу, повертаючи файли в початковий стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх, і тільки потім переходять до «лікування» файлів. Серед фагів виділяють полифаги, тобто програми-доктори, призначені для пошуку і знищення великої кількості вірусів.

3. Програми-ревізори відносяться до найнадійніших засобів захисту від вірусів. Ревізори запам'ятовують початковий стан програм, каталогів і системних областей диска тоді, коли комп'ютер не заражений вірусом, а потім періодично або за бажанням користувача порівнюють поточний стан з вихідним. Виявлені зміни виводяться на екран монітора.

4. Програми-фільтри (сторожа) являють собою невеликі резидентні програми, призначені для виявлення підозрілих дій при роботі комп'ютера, характерних для вірусів. Такими діями можуть бути:

Спроби корекції файлів з розширеннями СОМ і ЕХЕ;

Зміна атрибутів файлів;

Прямий запис на диск по абсолютному адресою;

Запис в завантажувальні сектора диска;

5. Програми-вакцини (іммунізатори) - це резидентні програми, що запобігають зараженню файлів. Вакцини застосовують, якщо відсутні програми-доктори, «лікують» цей вірус. Вакцинація можлива тільки від відомих вірусів Безруков Н. Комп'ютерна вірусологія: Підручник [Електронний ресурс]: http://vx.netlux.org/lib/anb00.html ..

Насправді архітектура антивірусних програм набагато складніше і залежить від конкретного розробника. Але один факт незаперечний: всі технології, про які я розповідав, настільки тісно переплелися одна в одній, що часом неможливо зрозуміти, коли в хід пускаються одні й починають працювати інші. Подібна взаємодія антивірусних технологій дозволяє найбільш ефективно їх використовувати в боротьбі з вірусами. Але не варто забувати, що не існує ідеальної захисту, і єдиний спосіб застерегти себе від подібних проблем - постійні оновлення ОС, добре налаштований фаєрвол, часто оновлюваний антивірус, і - головне - не запускати / завантажувати підозрілі файли з інтернету.

Антивірусний захист - найбільш поширена міра для забезпечення інформаційної безпеки ІТ-інфраструктури в корпоративному секторі. Однак тільки 74% російських компаній застосовують антивірусні рішення для захисту, показало дослідження, проведене «Лабораторією Касперського» спільно з аналітичною компанією B2B International (осінь 2013 року).

У звіті також говориться, що на тлі вибухового зростання кіберзагроз, від яких компанії захищаються простими антивірусами, російський бізнес починає все частіше використовувати комплексні інструменти захисту. Багато в чому з цієї причини на 7% збільшилася застосування засобів шифрування даних на знімних носіях (24%). Крім того, компанії стали більш охоче розмежовувати політики безпеки для знімних пристроїв. Зросла і розмежування рівня доступу до різних ділянок ІТ-інфраструктури (49%). При це компанії малого та середнього бізнесу приділяють більшу увагу контролю знімних пристроїв (35%) і контролю додатків (31%).

Дослідники також виявили, що незважаючи на постійне виявлення нових вразливостей в програмному забезпеченні, російські компанії все ще не приділяють належної уваги регулярному оновленню програмного забезпечення. Більш того, кількість організацій, що займаються установкою виправлень, знизилося в порівнянні з минулим роком, і склало всього лише 59%.

Сучасні антивірусні програми здатні ефективно виявляти шкідливі об'єкти всередині файлів програм і документів. У деяких випадках антивірус може видалити тіло шкідливого об'єкта з зараженого файлу, відновивши сам файл. У більшості випадків антивірус здатний видалити шкідливий програмний об'єкт не тільки з програмного файлу, але і з файлу офісного документа, не порушивши його цілісність. Використання антивірусних програм не вимагає високої кваліфікації і є практично будь-якому користувачеві комп'ютера.

Більшість антивірусних програм поєднує в собі функції постійного захисту (антивірусний монітор) і функції захисту на вимогу користувача (антивірусний сканер).

Рейтинг антивірусів

2019: Дві третини антивірусів для Android виявилися марними

У березні 2019 року австрійська лабораторія AV-Comparatives, що спеціалізується на тестуванні антивірусного софту, опублікувала результати дослідження, які показали марність більшість подібних програм для Android.

Лише 23 антивіруса, розміщеного в офіційному каталозі Google Play Store, точно розпізнають шкідливі програми в 100% випадків. Решта софт або не реагує на мобільні загрози, або приймає за них абсолютно безпечні додатки.

Фахівці вивчили 250 антивірусів і повідомили, що тільки 80% з них можуть виявляти більш 30% зловредів. Таким чином, 170 додатків провалили тест. У число продуктів, які впоралися з випробуваннями, увійшли в основному рішення великих виробників, включаючи Avast, Bitdefender, ESET, F-Secure, G-Data, «Лабораторію Касперського», McAfee, Sophos, Symantec, Tencent, Trend Micro і Trustwave.

В рамках експерименту дослідники встановили кожне антивірусну програму на окремий пристрій (без емулятора) і автоматизували апарати на запуск браузера, завантаження і подальшу установку шкідливого ПЗ. Кожен пристрій було протестовано на прикладі 2 тис. Найбільш поширених в 2018 році Android-вірусів.

Згідно з розрахунками AV-Comparatives, більшість антивірусних рішень для Android є підробками. Десятки додатків мають практично ідентичний інтерфейс, а їх творців явно більше цікавить показ реклами, ніж в написання працюючого антивірусного сканера.

Деякі антивіруси «бачать» загрозу в будь-якому додатку, яка не внесено в їх «білий список». Через це вони, в ряді зовсім вже анекдотичних випадків, піднімали тривогу через своїх власних файлів, так як розробники забули згадати їх у «білому списку».

2017: Microsoft Security Essentials визнаний одним з найгірших антивірусів

У жовтні 2017 року німецька антивірусна лабораторія AV-Test опублікувала результати комплексного тестування антивірусів. За даними дослідження, фірмове програмне забезпечення Microsoft, призначене для захисту від шкідливої \u200b\u200bактивності, майже гірше всіх справляється зі своїми обов'язками.

За результатами випробувань, проведених в липні-серпні 2017 року, експерти AV-Test назвали найкращим антивірусом для Windows 7 рішення Kaspersky Internet Security, яке отримало 18 балів при оцінці рівня захисту, продуктивності і зручності використання.

У трійку лідерів увійшли програми Trend Micro Internet Security і Bitdefender Internet Security, які заробили по 17,5 бала. Про становище продуктів інших антивірусних компаній, які потрапили в дослідження, можна дізнатися з ілюстрацій нижче:

У багатьох сканерах використовуються також алгоритми евристичного сканування, тобто аналіз послідовності команд в об'єкті, що перевіряється, набір деякої статистики та прийняття рішення для кожного об'єкта, що перевіряється.

Сканери також можна розділити на дві категорії - універсальні і спеціалізовані. Універсальні сканери розраховані на поісх і знешкодження всіх типів вірусів незалежно від операційної системи, на роботу в якій розрахований сканер. Спеціалізовані сканери призначені для знешкодження обмеженого числа вірусів або тільки одного їх класу, наприклад макро-вірусів.

Сканери також діляться на резидентні (монітори), що виробляють сканування на-льоту, і нерезидентні, що забезпечують перевірку системи тільки за запитом. Як правило, резидентні сканери забезпечують більш надійний захист системи, оскільки вони негайно реагують на появу вірусу, в той час як нерезидентний сканер здатний впізнати вірус тільки під час свого чергового запуску.

CRC-сканери

Принцип роботи CRC-сканерів заснований на підрахунку CRC-сум (контрольних сум) для присутніх на диску файлів / системних секторів. Ці CRC-суми потім зберігаються в базі даних антивіруса, як, втім, і деяка інша інформація: довжини файлів, дати їх останньої модифікації і т.д. При наступному запуску CRC-сканери звіряють дані, що містяться в базі даних, з реально підрахованими значеннями. Якщо інформація про фото, записана в базі даних, не збігається з реальними значеннями, то CRC-сканери сигналізують про те, що файл був змінений або заражений вірусом.

CRC-сканери не здатні зловити вірус в момент його появи в системі, а роблять це лише через деякий час, вже після того, як вірус розійшовся по комп'ютеру. CRC-сканери не можуть визначити вірус в нових файлах (в електронній пошті, на дискетах, в файлах, відновлюваних з backup або при розпакуванні файлів з архіву), оскільки в їх базах даних відсутня інформація про ці файли. Більш того, періодично з'являються віруси, які використовують цю слабкість CRC-сканерів, заражають тільки новостворювані файли і залишаються, таким чином, невидимими для них.

блокувальники

Антивірусні блокувальники - це резидентні програми, що перехоплюють вірус-небезпечні ситуації і повідомляють про це користувачеві. До вірус-небезпечних відносяться виклики на відкриття для запису у виконувані файли, запис в boot-сектори дисків або MBR вінчестера, спроби програм залишитися резидентно і т.д., тобто виклики, які характерні для вірусів в моменти з розмноження.

До переваг блокувальників є їхня здатність виявляти і зупиняти вірус на ранній стадії його розмноження. До недоліків відносяться існування шляхів обходу захисту блокувальників і велику кількість помилкових спрацьовувань.

іммунізатори

Іммунізатори діляться на два типи: іммунізатори, повідомляють про зараження, і іммунізатори, блокуючі зараження. Перші зазвичай записуються в кінець файлів (за принципом файлового вірусу) і при запуску файлу кожного разу перевіряють його на зміну. Недолік у таких іммунізаторов всього один, але він летален: абсолютна нездатність повідомити про зараження стелс-вірусом. Тому такі іммунізатори, як і блокувальники, практично не використовуються в даний час.

Другий тип імунізації захищає систему від поразки вірусом якогось певного виду. Файли на дисках модифікуються таким чином, що вірус приймає їх за вже заражені. Для захисту від резидентного вірусу в пам'ять комп'ютера заноситься програма, що імітує копію вірусу. При запуску вірус натикається на неї і вважає, що система вже заражена.

Такий тип імунізації не може бути універсальним, оскільки не можна імунізувати файли від всіх відомих вірусів.

Класифікація антивірусів за ознакою змінності в часі

На думку Валерія Конявского, антивірусні засоби можна розділити на дві великі групи - аналізують дані і аналізують процеси.

аналіз даних

До аналізу даних відносяться ревізори і полифаги. Ревізори аналізують наслідки від діяльності комп'ютерних вірусів і інших шкідливих програм. Наслідки проявляються в зміні даних, які змінюватися не повинні. Саме факт зміни даних є ознакою діяльності шкідливих програм з точки зору ревізора. Іншими словами, ревізори контролюють цілісність даних і за фактом порушення цілісності приймають рішення про наявність в комп'ютерному середовищі шкідливих програм.

Полифаги діють по-іншому. Вони на основі аналізу даних виділяють фрагменти шкідливого коду (наприклад, по його сигнатурі) і на цій основі роблять висновок про наявність шкідливих програм. Видалення або лікування уражених вірусом даних дозволяє попередити негативні наслідки виконання шкідливих програм. Таким чином, на основі аналізу в статиці попереджаються наслідки, що виникають в динаміці.

Схема роботи та ревізорів, і полифагов практично однакова - порівняти дані (або їх контрольну суму) з одним або декількома еталонними зразками. Дані порівнюються з даними. Таким чином, для того щоб знайти вірус у своєму комп'ютері, потрібно, щоб він уже спрацював, щоб з'явилися наслідки його діяльності. Цим способом можна знайти тільки відомі віруси, для яких заздалегідь описані фрагменти коду або сигнатури. Навряд чи такий захист можна назвати надійною.

аналіз процесів

Дещо по-іншому працюють антивірусні засоби, засновані на аналізі процесів. Евристичні аналізатори, так само як і вищеописані, аналізують дані (на диску, в каналі, в пам'яті і т.п.). Принципова відмінність полягає в тому, що аналіз проводиться в припущенні, що аналізований код - це не дані, а команди (в комп'ютерах з фон-неймановской архітектурою дані і команди невиразні, в зв'язку з цим при аналізі і доводиться висувати ту чи іншу припущення.)

Евристичний аналізатор виділяє послідовність операцій, кожної з них привласнює деяку оцінку небезпеки і за сукупністю небезпеки приймає рішення про те, чи є дана послідовність операцій частиною шкідливого коду. Сам код при цьому не виконується.

Іншим видом антивірусних засобів, заснованих на аналізі процесів, є поведінковіблокатори. В цьому випадку підозрілий код виконується поетапно до тих пір, поки сукупність ініційованих кодом дій не буде оцінена як небезпечне (або безпечне) поведінка. Код при цьому виконується частково, так як завершення шкідливого коду можна буде виявити більш простими методами аналізу даних.

Технології виявлення вірусів

Технології, що застосовуються в антивирусах, можна розбити на дві групи:

Технології сигнатурного аналізу
Технології імовірнісного аналізу

Технології сигнатурного аналізу

Сигнатурний аналіз - метод виявлення вірусів, що полягає в перевірці наявності у файлах сигнатур вірусів. Сигнатурний аналіз є найбільш відомим методом виявлення вірусів і використовується практично у всіх сучасних антивирусах. Для проведення перевірки антивірусу необхідний набір вірусних сигнатур, який зберігається в антивірусній базі.

З огляду на те, що сигнатурний аналіз припускає перевірку файлів на наявність сигнатур вірусів, антивірусна база потребує періодичного оновлення для підтримки актуальності антивірусу. Сам принцип роботи сигнатурного аналізу також визначає межі його функціональності - можливість виявляти лише вже відомі віруси - проти нових вірусів сигнатурний сканер неспроможний.

З іншого боку, наявність сигнатур вірусів припускає можливість лікування інфікованих файлів, виявлених за допомогою сигнатурного аналізу. Однак, лікування допустимо не для всіх вірусів - трояни і більшість черв'яків не піддаються лікуванню за своїми конструктивними особливостями, оскільки є цілісними модулями, створеними для нанесення шкоди.

Грамотна реалізація вірусної сигнатури дозволяє виявляти відомі віруси зі стовідсотковою ймовірністю.

Технології імовірнісного аналізу

Технології імовірнісного аналізу в свою чергу поділяються на три категорії:

евристичний аналіз
поведінковий аналіз
Аналіз контрольних сум

евристичний аналіз

Евристичний аналіз - технологія, заснована на імовірнісних алгоритмах, результатом роботи яких є виявлення підозрілих об'єктів. В процесі евристичного аналізу перевіряється структура файлу, його відповідність вірусним шаблонам. Найбільш популярною евристичної технологією є перевірка вмісту файлу на предмет наявності модифікацій уже відомих сигнатур вірусів і їх комбінацій. Це допомагає визначати гібриди і нові версії раніше відомих вірусів без додаткового оновлення антивірусної бази.

Евристичний аналіз застосовується для виявлення невідомих вірусів, і, як наслідок, не передбачає лікування. Дана технологія не здатна на 100% визначити вірус перед нею чи ні, і як будь-який імовірнісний алгоритм грішить помилкові спрацьовування.

поведінковий аналіз

Поведінковий аналіз - технологія, в якій рішення про характер об'єкта, що перевіряється приймається на основі аналізу виконуваних ним операцій. Поведінковий аналіз досить вузько застосуємо на практиці, так як більшість дій, характерних для вірусів, можуть виконуватися і звичайними додатками. Найбільшу популярність здобули поведінкові аналізатори скриптів і макросів, оскільки відповідні віруси практично завжди виконують ряд однотипних дій.

Засоби захисту, вшивають в BIOS, також можна віднести до поведінкових аналізаторів. При спробі внести зміни в MBR комп'ютера, аналізатор блокує дію і виводить відповідне повідомлення користувачу.

Крім цього поведінкові аналізатори можуть відслідковувати спроби прямого доступу до файлів, внесення змін в завантажувальний запис дискет, форматування жорстких дисків і т. Д.

Поведінкові аналізатори не використають для роботи додаткових об'єктів, подібних вірусних баз і, як наслідок, не здатні розрізняти відомі і невідомі віруси - все підозрілі програми апріорі вважаються невідомими вірусами. Аналогічно, особливості роботи засобів, що реалізують технології поведінкового аналізу, не передбачають лікування.

Аналіз контрольних сум

Аналіз контрольних сум - це спосіб відстеження змін в об'єктах комп'ютерної системи. На підставі аналізу характеру змін - одночасність, масовість, ідентичні зміни довжин файлів - можна робити висновок про зараження системи. Аналізатори контрольних сум (також використовується назва ревізори змін) як і поведінкові аналізатори не використають у роботі додаткові об'єкти і видають вердикт про наявність вірусу в системі винятково методом експертної оцінки. Подібні технології застосовуються в сканерах при доступі - при першій перевірці з файлу знімається контрольна сума і поміщається в кеші, перед наступною перевіркою того ж файлу сума знімається ще раз, порівнюється, і в разі відсутності змін файл вважається незараженим.

антивірусні комплекси

Антивірусний комплекс - набір антивірусів, що використовують однакове антивірусне ядро \u200b\u200bабо ядра, призначений для вирішення практичних проблем щодо забезпечення антивірусної безпеки комп'ютерних систем. В антивірусний комплекс також в обов'язковому порядку входять засобу відновлення антивірусних баз.

Крім цього антивірусний комплекс додатково може включати в себе поведінкові аналізатори та ревізори змін, які не використовують антивірусне ядро.

Виділяють такі типи антивірусних комплексів:

Антивірусний комплекс для захисту робочих станцій
Антивірусний комплекс для захисту файлових серверів
Антивірусний комплекс для захисту поштових систем
Антивірусний комплекс для захисту шлюзів.

Хмарний і традиційний настільний антивірус: що вибрати?

(За матеріалами ресурсу Webroot.com)

Сучасний ринок антивірусних засобів - це в першу чергу традиційні рішення для настільних систем, механізми захисту в яких побудовані на базі сигнатурних методів. Альтернативний спосіб антивірусного захисту - застосування евристичного аналізу.

Проблеми традиційного антивірусного ПО

Останнім часом традиційні антивірусні технології стають все менш ефективними, швидко застарівають, що обумовлено рядом факторів. Кількість вірусних загроз, які розпізнаються по сигнатурам, вже настільки велике, що забезпечити своєчасне 100% -ве оновлення сигнатурних баз на комп'ютерах користувачів - це часто нереальне завдання. Хакери і кіберзлочинці все частіше використовують ботнети та інші технології, що прискорюють поширення вірусних загроз нульового дня. Крім того, при проведенні націлених атак сигнатури відповідних вірусів не створюються. Нарешті, застосовуються нові технології протидії антивірусного виявлення: шифрування шкідливого ПО, створення поліморфних вірусів на стороні сервера, попереднє тестування якості вірусної атаки.

Традиційна антивірусний захист найчастіше будується в архітектурі «товстого клієнта». Це означає, що на комп'ютер клієнта встановлюється об'ємний програмний код. З його допомогою виконується перевірка даних, що надходять і виявляється присутність вірусних загроз.

Такий підхід має ряд недоліків. По-перше, сканування в пошуках шкідливого ПО і порівняння сигнатур вимагає значної обчислювальної навантаження, яка «віднімається» у користувача. В результаті продуктивність комп'ютера знижується, а робота антивіруса іноді заважає виконувати паралельно прикладні завдання. Іноді навантаження на призначену для користувача систему буває настільки помітна, що користувачі відключають антивірусні програми, прибираючи тим самим заслін перед потенційною вірусною атакою.

По-друге, кожне оновлення на машині користувача вимагає пересилання тисяч нових сигнатур. Обсяг переданих даних зазвичай складає близько 5 Мбайт в день на одну машину. Передача даних гальмує роботу мережі, відволікає додаткові системні ресурси, вимагає залучення системних адміністраторів для контролю трафіку.

По-третє, користувачі, що знаходяться в роумінгу або на видаленні від стаціонарного місця роботи, виявляються беззахисні перед атаками нульового дня. Для отримання оновленої порції сигнатур вони повинні підключитися до VPN-мережі, яка віддалено їм недоступна.

Антивірусний захист з хмари

При переході на антивірусний захист з хмари архітектура рішення істотно змінюється. На комп'ютері користувача встановлюється «легкий» клієнт, основна функція якого - пошук нових файлів, розрахунок хеш-значень і пересилання даних хмарного сервера. В хмарі проводиться повномасштабне порівняння, яке виконує на великій базі зібраних сигнатур. Ця база постійно і своєчасно оновлюється за рахунок даних, переданих антивірусними компаніями. Клієнт отримує звіт з результатами проведеної перевірки.

Таким чином, хмарна архітектура антивірусного захисту має цілий ряд переваг:

обсяг обчислень на комп'ютері користувача виявляється мізерно малий у порівнянні з товстим клієнтом, отже, продуктивності роботи користувача не знижується;
немає катастрофічного впливу антивірусного трафіку на пропускну здатність мережі: пересилання підлягає компактна порція даних, що містить усього кілька десятків хеш-значень, середній обсяг денного трафіку не перевищує 120 Кбайт;
хмарне сховище містить величезні масиви сигнатур, значно більше тих, які зберігаються на комп'ютерах користувачів;
алгоритми порівняння сигнатур, що застосовуються в хмарі, відрізняються значно вищою інтелектуальністю в порівнянні зі спрощеними моделями, які використовуються на рівні локальних станцій, а завдяки більш високій продуктивності для порівняння даних потрібно менше часу;
хмарні антивірусні служби працюють з реальними даними, отриманими від антивірусних лабораторій, розробників засобів безпеки, корпоративних і приватних користувачів; загрози нульового дня блокуються одночасно з їх розпізнаванням, без затримки, викликаної необхідністю отримання доступу до призначених для користувача комп'ютерами;
користувачі в роумінгу або не мають доступу до своїх основних робочих місць, отримують захист від атак нульового дня одночасно з виходом в Інтернет;
знижується завантаження системних адміністраторів: їм не потрібно витрачати час на установку антивірусного ПО на комп'ютери користувачів, а також оновлення баз сигнатур.

Чому традиційні антивіруси не справляються

Сучасний шкідливий код може:

Обійти пастки антивірусів створивши спеціальний цільовий вірус під компанію
До того як антивірус створить сигнатуру він буде ухилятися, використовуючи поліморфізм, перекодування, використовуючи динамічні DNS і URL

Цільове створення під компанію
поліморфізм
Невідомий ще нікому код - немає сигнатури

складно захиститися

Швидкісні антивіруси 2011 року

Російський незалежний інформаційно-аналітичний центр Anti-Malware.ru опублікував в травні 2011 року результати чергового порівняльного тесту 20 найбільш популярних антивірусів на швидкодію і споживання системних ресурсів.

Мета даного тесту - показати, які персональні антивіруси чинить найменший вплив на здійснення користувачем типових операцій на комп'ютері, менше "гальмують" його роботу і споживають мінімальну кількість системних ресурсів.

Серед антивірусних моніторів (сканерів в режимі реального часу) ціла група продуктів продемонструвала дуже високу швидкість роботи, серед них: Avira, AVG, ZoneAlarm, Avast, Антивірус Касперського, Eset, Trend Micro і Dr.Web. З цими антивірусами на борту уповільнення копіювання тестової колекції склало менше 20% в порівнянні з еталоном. Антивірусні монітори BitDefender, PC Tools, Outpost, F-Secure, Norton і Emsisoft також показали високі результати по швидкодії, що укладаються в діапазон 30-50%. Антивірусні монітори BitDefender, PC Tools, Outpost, F-Secure, Norton і Emsisoft також показали високі результати по швидкодії, що укладаються в діапазон 30-50%.

При цьому Avira, AVG, BitDefender, F-Secure, G Data, Антивірус Касперського, Norton, Outpost і PC Tools в реальних умовах можуть бути значно швидше за рахунок наявної у них оптимізації наступний перевірок.

Найкращу швидкість сканування на вимогу показав антивірус Avira. Трохи поступилися йому Антивірус Касперського, F-Secure, Norton, G Data, BitDefender, Антивірус Касперського і Outpost. За швидкістю першого сканування ці антивіруси лише трохи поступаються лідеру, в той же час всі вони мають в своєму арсеналі потужні технології оптимізації повторних перевірок.

Ще однією важливою характеристикою швидкості роботи антивіруса є його вплив на роботу прикладних програм, з якими часто працює користувач. В якості таких для тесту були обрані п'ять: Internet Explorer, Microsoft Office Word, Microsoft Outlook, Adobe Acrobat Reader і Adobe Photoshop. Найменша уповільнення запуску цих офісних програм показали антивіруси Eset, Microsoft, Avast, VBA32, Comodo, Norton, Trend Micro, Outpost і G Data.

ВСТУП

Ми живемо на стику двох тисячоліть, коли людство вступило в епоху нової науково-технічної революції.

1. КОМП'ЮТЕРНІ ВІРУСИ, ЇХ ВЛАСТИВОСТІ І КЛАСИФІКАЦІЯ

1.1. Властивості комп'ютерних вірусів

1.2. Класифікація вірусів

В даний час відомо більше 5000 програмних вірусів, їх можна класифікувати за такими ознаками:

¨ середовищі існування

¨ способу зараження довкілля

¨ впливу

¨ особливостям алгоритму

cord). Файлово-завантажувальні віруси заражають як файли, так і завантажувальні сектори дисків.

За ступенем впливу віруси можна розділити на наступні види:

¨ безпечні , Що не заважають роботі комп'ютера, але зменшують обсяг вільної оперативної пам'яті і пам'яті на дисках, дії таких вірусів виявляються в яких-небудь графічних або звукових ефектах

¨ небезпечні віруси, які можуть привести до різних порушень в роботі комп'ютера

¨ дуже небезпечні , Вплив яких може привести до втрати програм, знищення даних, стирання інформації в системних областях диска.

2. ОСНОВНІ ВИДИ ВІРУСІВ І СХЕМИ ЇХ ФУНКЦІОНУВАННЯ

Серед усього розмаїття вірусів можна виділити наступні основні групи:

¨ завантажувальні

¨ файлові

¨ файлово-завантажувальні

Тепер детальніше про кожну з цих груп.

2.1. завантажувальні віруси

Що відбувається, коли ви вмикаєте комп'ютер? Насамперед управління передається програмі початкового завантаження , Яка зберігається в постійно запам'ятовуючому пристрої (ПЗУ) тобто ПНЗ ПЗУ.

Таким чином, нормальна схема початкового завантаження наступна:

Тепер розглянемо вірус. У завантажувальних віруси виділяють дві частини - т.зв. голову і т.зв. хвіст . Хвіст, взагалі кажучи, може бути порожнім.

Копіює в виділену область диска свій хвіст і оригінальний (здоровий) завантажувальний сектор

Заміщає програму початкового завантаження в завантажувальному секторі (тепер) своєю головою

Організовує ланцюжок передачі управління згідно зі схемою.

Таким чином, голова вірусу тепер першої отримує управління, вірус встановлюється в пам'ять і передає управління оригінальному завантажувальному сектору. У ланцюжку

ППЗ (ПЗУ) - ППЗ (диск) - СИСТЕМА

з'являється нова ланка:

ППЗ (ПЗУ) - ВІРУС - ППЗ (диск) - СИСТЕМА

Мораль зрозуміла: ніколи не залишайте (випадково) дискет в дисководі А.

Ми розглянули схему функціонування простого бутового вірусу, що живе в завантажувальних секторах дискет. Як правило, віруси здатні заражати не тільки завантажувальні сектори дискет, але і завантажувальні сектори вінчестерів. При цьому на відміну від дискет на вінчестері є два типи завантажувальних секторів, що містять програми початкового завантаження, які отримують управління. При завантаженні комп'ютера з вінчестера першої бере на себе управління програма початкового завантаження в MBR (Master Boot Record - головний завантажувальний запис). Якщо ваш жорсткий диск розбитий на кілька розділів, то лише один з них позначений як завантажувальний (boot). Програма початкового завантаження в MBR знаходить завантажувальний розділ вінчестера і передає управління на програму початкового завантаження цього розділу. Код останньої збігаються з кодом програми початкового завантаження, що міститься на звичайних дискетах, а відповідні завантажувальні сектори відрізняються тільки таблицями параметрів. Таким чином, на вінчестері є два об'єкти атаки завантажувальних вірусів - програма початкового завантаження в MBR і програмапочаткового завантаження в бут-секторі завантажувального диска.

2.2. файлові віруси

Розглянемо тепер схему роботи простого файлового вірусу. На відміну від завантажувальних вірусів, які практично завжди резидентні, файлові віруси не обов'язково резидентні. Розглянемо схему функціонування нерезидентного файлового вірусу. Нехай у нас є інфікований виконуваний файл. При запуску такого файлу вірус отримує управління, виробляє деякі дії і передає управління «хазяїна» (хоча ще невідомо, хто в такій ситуації господар).

Які ж дії виконує вірус? Він шукає новий об'єкт для зараження - підходящий на кшталт файл, який ще не заражений (в тому випадку, якщо вірус «пристойний», а то трапляються такі, що заражають відразу, нічого не перевіряючи). Заражаючи файл, вірус впроваджується в його код, щоб отримати управління при запуску цього файлу. Крім своєї основної функції - розмноження, вірус цілком може зробити що-небудь хитромудре (сказати, запитати, зіграти) - це вже залежить від фантазії автора вірусу. Якщо файловий вірус резидентний, то він встановиться в пам'ять і отримає можливість заражати файли і проявляти інші здібності не тільки під час роботи зараженого файла. Заражаючи виконуваний файл, вірус завжди змінює його код - отже, зараження виконуваного файлу завжди можна виявити. Але, змінюючи код файла, вірус не обов'язково вносить інші зміни:

à він не зобов'язаний змінювати довжину файлу

à невикористовувані ділянки коду

à не зобов'язаний змінювати початок файлу

Нарешті, до файловим вірусам часто відносять віруси, які «мають певний стосунок до файлам», але не зобов'язані впроваджуватися в їх код. Розглянемо як приклад схему функціонування вірусів відомого сімейства Dir-II. Не можна не визнати, що з'явившись в 1991 році, ці віруси стали причиною справжньої епідемії чуми в Росії. Розглянемо модель, на якій ясно видно основна ідея вірусу. Інформація про файли зберігається в каталогах. Кожен запис каталогу включає в себе ім'я файлу, дату і час створення, деяку додаткову інформацію, номер першого кластера файлу і т.зв. резервні байти . Останні залишені «про запас» і самої MS-DOS не використовуються.

При запуску виконуваних файлів система зчитує з записи в каталозі перший кластер файлу і далі всі інші кластери. Віруси сімейства Dir-II проводять наступну «реорганізацію» файлової системи: сам вірус записується в деякі вільні сектори диска, які він позначає як збійні. Крім того, він зберігає інформацію про перші кластерах виконуваних файлів в резервних бітах, а на місце цієї інформації записує посилання на себе.

Таким чином, при запуску будь-якого файлу вірус отримує управління (операційна система запускає його сама), резидентно встановлюється в пам'ять і передає управління викликаного файлу.

2.3. Завантажувально-файлові віруси

Ми не станемо розглядати модель завантажувально-файлового вірусу, бо ніякої нової інформації ви при цьому не дізнаєтеся. Але тут представляється нагода коротко обговорити вкрай «популярний» останнім часом завантажувально-файловий вірус OneHalf, що заражає головний завантажувальний сектор (MBR) і виконувані файли. Основна руйнівна дія - шифрування секторів вінчестера. При кожному запуску вірус шифрує чергову порцію секторів, а зашифрувавши половину жорсткого диска, радісно повідомляє про це. Основна проблема при лікуванні даного вірусу полягає в тому, що недостатньо просто видалити вірус з MBR і файлів, треба розшифрувати зашифровану ним інформацію. Найбільш «смертельна» дія - просто переписати новий здоровий MBR. Головне - не панікуйте. Зважте все спокійно, порадьтеся з фахівцями.

2.4. поліморфні віруси

Більшість питань пов'язано з терміном «поліморфний вірус». Цей вид комп'ютерних вірусів представляється на сьогоднішній день найбільш небезпечним. Пояснимо ж, що це таке.

Поліморфні віруси - віруси, що модифікують свій код в заражених програмах таким чином, що два примірники одного і того ж вірусу можуть не збігатися ні в одному бите.

Такі віруси не тільки шифрують свій код, використовуючи різні шляхи шифрування, але і містять код генерації шифрувальника і розшифровує, що відрізняє їх від звичайних шифрувальних вірусів, що можуть шифрувати ділянки свого коду, але мають при цьому постійний код шифрувальника і розшифровує.

Поліморфні віруси - це віруси з самомодіфіцірующіміся розшифровщик. Мета такого шифрування: маючи заражений і оригінальний файли ви все одно не зможете проаналізувати його код за допомогою звичайного дизассемблирования. Цей код зашифрований і є безглуздим набором команд. Розшифровка виробляється самим вірусом вже безпосередньо під час виконання. При цьому можливі варіанти: він може розшифрувати себе всього відразу, а може виконати таку розшифровку «по ходу справи», може знову шифрувати вже відпрацьовані ділянки. Все це робиться заради труднощі аналізу коду вірусу.

3. ІСТОРІЯ КОМП'ЮТЕРНОЇ ВІРУСОЛОГІЇ І ПРИЧИНИ ПОЯВИ ВІРУСІВ

Історія комп'ютерної вірусології представляється сьогодні постійною «гонкою за лідером», причому, не дивлячись на всю потужність сучасних антивірусних програм, лідерами є саме віруси. Серед тисяч вірусів лише кілька десятків є оригінальними розробками, що використовують дійсно принципово нові ідеї. Всі інші - «варіації на тему». Але кожна оригінальна розробка змушує творців антивірусів пристосовуватися до нових умов, наздоганяти вірусну технологію. Останнє можна оскаржити. Наприклад, в 1989 році американський студент зумів створити вірус, який вивів з ладу близько 6000 комп'ютерів Міністерства оборони США. Або епідемія відомого вірусу Dir-II, що вибухнула в 1991 році. Вірус використовував справді оригінальну, принципово нову технологію і на перших порах зумів широко поширитися за рахунок недосконалості традиційних антивірусних засобів.

Або сплеск комп'ютерних вірусів у Великобританії: Крістоферу Пайну вдалося створити віруси Pathogen і Queeq, а також вірус Smeg. Саме останній був найнебезпечнішим, його можна було накладати на перші два віруси, і через це після кожного прогону програми вони змінювали конфігурацію. Тому їх було неможливо знищити. Щоб поширити віруси, Пайн скопіював комп'ютерні ігри і програми, заразив їх, а потім відправив назад в мережу. Користувачі завантажували у свої комп'ютери заражені програми та інфікували диски. Ситуація ускладнилася тим, що Пайн примудрився занести віруси і в програму, яка з ними бореться. Запустивши її, користувачі замість знищення вірусів отримували ще один. В результаті цього були знищені файли безлічі фірм, збитки склали мільйони фунтів стерлінгів.

Широку популярність здобув американський програміст Морріс. Він відомий як творець вірусу, який в листопаді 1988 року заразив порядку 7 тисяч персональних комп'ютерів, підключених до Internet.

Причини появи і розповсюдження комп'ютерних вірусів, з одного боку, ховаються в психології людської особистості та її тіньових сторонах (заздрості, помсти, марнославстві невизнаних творців, неможливості конструктивно застосувати свої здібності), з іншого боку, обумовлені відсутністю апаратних засобів захисту і протидії з боку операційної системи персонального комп'ютера.

4. ШЛЯХИ ПРОНИКНЕННЯ ВІРУСІВ В КОМП'ЮТЕР І МЕХАНІЗМ РОЗПОДІЛУ ВІРУСНИХ ПРОГРАМ

Основними шляхами проникнення вірусів в комп'ютер є знімні диски (гнучкі і лазерні), а також комп'ютерні мережі. Зараження жорсткого диска вірусами може статися під час завантаження програми з дискети, що містить вірус. Таке зараження може бути і випадковим, наприклад, якщо дискету не витягнув з дисковода А і перезавантажили комп'ютер, при цьому дискета може бути і не системною. Заразити дискету набагато простіше. На неї вірус може потрапити, навіть якщо дискету просто вставили в дисковод зараженого комп'ютера і, наприклад, прочитали її зміст.

Вірус, як правило, впроваджується в робочу програму таким чином, щоб при її запуску управління спочатку передалося йому і тільки після виконання всіх його команд знову повернулося до робочої програми. Отримавши доступ до управління, вірус насамперед переписує сам себе в іншу робочу програму і заражає її. Після запуску програми, що містить вірус, стає можливим зараження інших файлів. Найчастіше вірусом заражаються завантажувальний сектор диска і виконувані файли, що мають розширення EXE, COM, SYS, BAT. Вкрай рідко заражаються текстові файли.

Після зараження програми вірус може виконати якусь диверсію, не дуже серйозну, щоб не привернути уваги. І нарешті, не забуває повернути управління тій програмі, з якої був запущений. Кожне виконання зараженої програми переносить вірус в наступну. Таким чином, заразиться все програмне забезпечення.

Для ілюстрації процесу зараження комп'ютерної програми вірусом має сенс уподібнити дискову пам'ять старомодному архіву з папками на тасьмі. У папках розташовані програми, а послідовність операцій по впровадженню вірусу буде в цьому випадку виглядатиме таким чином. (Див. Додаток 1)

5. ОЗНАКИ ПОЯВИ ВІРУСІВ

При зараженні комп'ютера вірусом важливо його виявити. Для цього слід знати про основні ознаки прояву вірусів. До них можна віднести наступні:

¨ припинення роботи або неправильна робота раніше успішно функціонуючих програм

¨ повільна робота комп'ютера

¨ неможливість завантаження операційної системи

¨ зникнення файлів і каталогів або перекручування їхнього вмісту

¨ зміна дати і часу модифікації файлів

¨ зміна розмірів файлів

¨ несподіване значне збільшення кількості файлів на диску

¨ істотне зменшення розміру вільної оперативної пам'яті

¨ висновок на екран непередбачених повідомлень або зображень

¨ подача непередбачених звукових сигналів

¨ часті зависання і збої в роботі комп'ютера

Слід зазначити, що перераховані вище явища необов'язково викликаються присутністю вірусу, а можуть бути наслідком інших причин. Тому завжди утруднена правильна діагностика стану комп'ютера.

6. ВИЯВЛЕННЯ ВІРУСІВ І ЗАХОДИ ЩОДО ЗАХИСТУ І ПРОФІЛАКТИКИ

6.1. Як виявити вірус ? традиційний підхід

Отже, якийсь вірусописьменників створює вірус і запускає його в «життя». Деякий час він, можливо, погуляє досхочу, але рано чи пізно «лафа» закінчиться. Хтось запідозрить що-небудь недобре. Як правило, віруси виявляють звичайні користувачі, які помічають ті чи інші аномалії в поведінці комп'ютера. Вони, в більшості випадків, не здатні самостійно впоратися із заразою, але цього від них і не потрібно.

Необхідно лише, щоб якомога швидше вірус потрапив в руки фахівців. Професіонали його вивчатимуть, з'ясовуватимуть, «що він робить», «як він робить», «коли він робить» та ін. В процесі такої роботи збирається вся необхідна інформація про даний вірус, зокрема, виділяється сигнатура вірусу - послідовність байтів, яка цілком виразно його характеризує. Для побудови сигнатури зазвичай беруться найбільш важливі і характерні ділянки коду вірусу. Одночасно стають зрозумілими механізми роботи вірусу, наприклад, в разі завантажувального вірусу важливо знати, де він ховає свій хвіст, де знаходиться оригінальний завантажувальний сектор, а в разі файлового - спосіб зараження файла. Отримана інформація дозволяє з'ясувати:

· Як виявити вірус, для цього уточнюються методи пошуку сигнатур в потенційних об'єктах вірусної атаки - файлах і \\ або завантажувальних секторах

· Як знешкодити вірус, якщо це можливо, розробляються алгоритми видалення вірусного коду з уражених об'єктів

6.2. Програми виявлення і захисту від вірусів

Для виявлення, видалення і захисту від комп'ютерних вірусів розроблено декілька видів спеціальних програм, які дозволяють виявляти і знищувати віруси. Такі програми називаються антивірусними . Розрізняють такі види антивірусних програм:

· Програми-детектори

· Програми-доктори або фаги

· Програми-ревізори

· Програми-фільтри

· Програми-вакцини або іммунізатори

Програми-детектори здійснюють пошук характерної для конкретного вірусу сигнатури в оперативній пам'яті й у файлах і при виявленні видають відповідне повідомлення. Недоліком таких антивірусних програм є те, що вони можуть знаходити тільки ті віруси, які відомі розробникам таких програм.

Програми-доктора або фаги , а також програми-вакцини не тільки знаходять заражені вірусами файли, але і «лікують» їх, тобто видаляють з файлу тіло програми-вірусу, повертаючи файли в початковий стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх, і тільки потім переходять до «лікування» файлів. Серед фагів виділяють полифаги, тобто програми-доктори, призначені для пошуку і знищення великої кількості вірусів. Найбільш відомі з них: Aidstest, Scan, Norton AntiVirus, Doctor Web.

З огляду на, що постійно з'являються нові віруси, програми-детектори і програми-доктори швидко застарівають, і потрібно регулярне оновлення версій.

Програми-ревізори відносяться до найнадійніших засобів захисту від вірусів. Ревізори запам'ятовують початковий стан програм, каталогів і системних областей диска тоді, коли комп'ютер не заражений вірусом, а потім періодично або за бажанням користувача порівнюють поточний стан з вихідним. Виявлені зміни виводяться на екран монітора. Як правило, порівняння станів проводять відразу після завантаження операційної системи. При порівнянні перевіряються довжина файла, код циклічного контролю (контрольна сума файла), дата і час модифікації, інші параметри. Програми-ревізори мають достатньо розвинені алгоритми, виявляють стелс-віруси і можуть навіть очистити зміни версії програми від змін, внесених вірусом. До числа програм-ревізорів належить широко поширена в Росії програма Adinf.

Програми-фільтри або «Сторожа» являють собою невеликі резидентні програми, призначені для виявлення підозрілих дій при роботі комп'ютера, характерних для вірусів. Такими діями можуть бути:

· Спроби корекції файлів з розширеннями COM, EXE

· Зміна атрибутів файлу

· Пряма запис на диск по абсолютному адресою

· Запис в завантажувальні сектори диска

При спробі будь-якої програми здійснити зазначені дії «сторож» посилає користувачеві повідомлення і пропонує заборонити або дозволити відповідну дію. Програми-фільтри вельми корисні, оскільки здатні виявити вірус на ранній стадії його існування до розмноження. Однак, вони не «лікують» файли і диски. Для знищення вірусів потрібно застосувати інші програми, наприклад фаги. До недоліків програм-сторожів можна віднести їх «настирливість» (наприклад, вони постійно видають попередження про будь-яку спробу копіювання виконуваного файлу), а також можливі конфлікти з іншим програмним забезпеченням. Прикладом програми-фільтра є програма Vsafe, що входить до складу пакету утиліт MS DOS.

вакцини або іммунізатори - це резидентні програми, що запобігають зараженню файлів. Вакцини застосовують, якщо відсутні програми-доктори, «лікують» цей вірус. Вакцинація можлива тільки від відомих вірусів. Вакцина модифікує програму або диск таким чином, щоб це не відбивалося на їх роботі, а вірус буде сприймати їх зараженими і тому не впровадити. В даний час програми-вакцини мають обмежене застосування.

Своєчасне виявлення заражених вірусами файлів і дисків, повне знищення виявлених вірусів на кожному комп'ютері дозволяють уникнути поширення вірусної епідемії на інші комп'ютери.

6.3. Основні заходи щодо захисту від вірусів

Для того, щоб не наразити комп'ютер зараженню вірусами і забезпечити надійне зберігання інформації на дисках, необхідно дотримуватися таких правил:

¨ оснастите свій комп'ютер сучасними антивірусними програмами, наприклад Aidstest, Doctor Web, і постійно відновлюйте їх версії

¨ перед зчитуванням з дискет інформації, записаної на інших комп'ютерах, завжди перевіряйте ці дискети на наявність вірусів, запускаючи антивірусні програми свого комп'ютера

¨ при перенесенні на свій комп'ютер файлів в архивированном вигляді перевіряйте їх відразу ж після розархівації на жорсткому диску, обмежуючи область перевірки тільки знову записаними файлами

¨ періодично перевіряйте на наявність вірусів жорсткі диски комп'ютера, запускаючи антивірусні програми для тестування файлів, пам'яті і системних областей дисків із захищеної від запису дискети, попередньо завантаживши операційну систему із захищеної від запису системної дискети

¨ завжди захищайте свої дискети від запису при роботі на інших комп'ютерах, якщо на них не буде проводиться запис інформації

¨ обов'язково робіть архівні копії на дискетах цінної для вас інформації

¨ не залишайте в кишені дисковода А дискети при включенні або перезавантаженні операційної системи, щоб виключити зараження комп'ютера завантажувальними вірусами

¨ використовуйте антивірусні програми для вхідного контролю всіх виконуваних файлів, одержуваних з комп'ютерних мереж

¨ для забезпечення більшої безпеки застосування Aidstest і Doctor Web необхідно поєднувати з повсякденним використанням ревізора диска Adinf

ВИСНОВОК

Отже, можна привести масу фактів, які свідчать про те, що загроза інформаційного ресурсу зростає з кожним днем, піддаючи в паніку відповідальних осіб в банках, на підприємствах і в компаніях в усьому світі. І загроза ця виходить від комп'ютерних вірусів, які спотворюють або знищують життєво важливу, цінну інформацію, що може привести не тільки до фінансових втрат, а й до людських жертв.

Комп'ютерний вірус - спеціально написана програма, здатна спонтанно приєднуватися до інших програм, створювати свої копії та впроваджувати їх у файли, системні області комп'ютера і в обчислювальні мережі з метою порушення роботи програм, псування файлів і каталогів, створення всіляких перешкод в роботі комп'ютера.

В даний час відомо більше 5000 програмних вірусів, число яких невпинно зростає. Відомі випадки, коли створювалися навчальні посібники, що допомагають в написанні вірусів.

Основні види вірусів: завантажувальні, файлові, файлово-завантажувальні. Найбільш небезпечний вид вірусів - поліморфні.

З історії комп'ютерної вірусології ясно, що будь-яка оригінальна комп'ютерна розробка змушує творців антивірусів пристосовуватися до нових технологій, постійно вдосконалювати антивірусні програми.

Причини появи і поширення вірусів приховані з одного боку в психології людини, з іншого боку - з відсутністю засобів захисту у операційної системи.

Основні шляхи проникнення вірусів - знімні диски і комп'ютерні мережі. Щоб цього не сталося, дотримуйтесь заходів щодо захисту. Також для виявлення, видалення і захисту від комп'ютерних вірусів розроблено декілька видів спеціальних програм, які називаються антивірусними. Якщо ви все ж виявили в комп'ютері вірус, то по традиційному підходу краще покликати професіонала, щоб той далі розібрався.

Але деякі властивості вірусів спантеличують навіть фахівців. Ще зовсім недавно важко було собі уявити, що вірус може пережити холодну перезавантаження або поширюватися через файли документів. В таких умовах не можна не надавати значення хоча б початкового антивірусного утворення користувачів. При всій серйозності проблеми жоден вірус не здатний принести стільки шкоди, скільки блідий користувач з тремтячими руками!

Отже, здоров'я ваших комп'ютерів, збереження ваших даних - в ваших руках!

бібліографічний список

1. Інформатика: Підручник / за ред. Проф. Н.В. Макарової. - М .: Фінанси і статистика, 1997..

2. Енциклопедія таємниць і сенсацій / Подгот. тексту Ю.Н. Петрова. - Мн .: Література, 1996..

3. Безруков М.М. Комп'ютерні віруси. - М .: Наука, 1991.

4. Мостовий Д.Ю. Сучасні технології боротьби з вірусами // Світ ПК. - №8. - тисячу дев'ятсот дев'яносто три.

Користувач сучасного персонального комп'ютера має вільний доступ до всіх ресурсів машини. Саме це відкрило можливість для існування небезпеки, яка отримала назву комп'ютерного вірусу.

Комп'ютерним вірусом називається спеціально написана програма, здатна спонтанно приєднуватися до інших програм, створювати свої копії та впроваджувати їх у файли, системні області комп'ютера і в обчислювальні мережі з метою порушення роботи програм, псування файлів і каталогів, створення всіляких перешкод в роботі на комп'ютері. Залежно від середовища існування віруси можна розділити на мережеві, файлові, завантажувальні, файлово-завантажувальні, макровіруси і троянські програми.

Мережеві віруси поширюються по різних комп'ютерних мережах.
файлові віруси впроваджуються головним чином у виконувані модулі. Файлові віруси можуть впроваджуватися і в інші типи файлів, але, як правило, записані в таких файлах, вони ніколи не отримують управління і, отже, втрачають здатність до розмноження.
завантажувальні віруси впроваджуються в завантажувальний сектор диска (Boot-сектор) або в сектор, що містить програму завантаження системного диска (Master Boot Record).
Файлово-завантажувальні віруси заражають як файли, так і завантажувальні сектори дисків.
макровіруси написані на мовах високого рівня і вражають файли документів додатків, які мають вбудовані мови автоматизації (макромови), такі, наприклад, як додатки сімейства Microsoft Office.
троянські програми, Маскуючись під корисні програми, є джерелом зараження комп'ютера вірусами.

Для виявлення, видалення і захисту від комп'ютерних вірусів розроблено декілька видів спеціальних програм, які дозволяють виявляти і знищувати віруси. Такі програми називаються антивірусними. Розрізняють такі види антивірусних програм:

- програми-детектори;
- програми-доктора, або фаги;
- програми-ревізори;
- програми-фільтри;
- програми-вакцини, або іммунізатори.

Програми-детектори здійснюють пошук характерної для конкретного вірусу сигнатури в оперативній пам'яті й у файлах і при виявленні видають відповідне повідомлення. Недоліком таких антивірусних програм є те, що вони можуть знаходити тільки ті віруси, які відомі розробникам таких програм.

Програми-доктора, Або фаги, а також програми-вакцини не тільки знаходять заражені вірусами файли, але і «лікують» їх, тобто. е. видаляють з файлу тіло програми-вірусу, повертаючи файли в початковий стан. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх, і тільки потім переходять до «лікування» файлів. Серед фагів виділяють полифаги, Т. Е. Програми-доктори, призначені для пошуку н знищення великої кількості вірусів. Найбільш відомі з них: Kaspersky Antivirus, Norton AntiVirus, Doctor Web.

У зв'язку з тим, що постійно з'являються нові віруси, програми-детектори і програми-доктори швидко застарівають, і потрібно регулярне оновлення версій.

Програми-ревізори відносяться до найнадійніших засобів захисту від вірусів. Ревізори запам'ятовують початковий стан програм, каталогів і системних областей диска тоді, коли комп'ютер не заражений вірусом, а потім періодично або за бажанням користувача порівнюють поточний стан з вихідним. Виявлені зміни виводяться на екран монітора. Як правило, порівняння станів проводять відразу після завантаження операційної системи. При порівнянні перевіряються довжина файла, код циклічного контролю (контрольна сума файла), дата і час модифікації, інші параметри. Програми-ревізори мають достатньо розвинені алгоритми, виявляють стелс-віруси і можуть навіть відрізнити зміни версії програми від змін, внесених вірусом. До числа програм-ревізорів належить широко поширена програма Kaspersky Monitor.

Програми-фільтри або «сторожа» є невеликі резидентні програми, призначені для виявлення підозрілих дій при роботі комп'ютера, характерних для вірусів. Такими діями можуть бути:

- спроби корекції файлів з розширеннями СОМ. ЕХЕ;
- зміна атрибутів файлу;
- пряма запис на диск по абсолютному адресою;
- запис в завантажувальні сектори диска;

Для знищення вірусів потрібно застосувати інші програми, наприклад фаги. До недоліків програм-сторожів можна віднести їх «настирливість» (наприклад, вони постійно видають попередження про будь-яку спробу копіювання виконуваного файлу), а також можливі конфлікти з іншим програмним забезпеченням.

Вакцини або іммунізатори - це резидентні програми. запобігають зараженню файлів. Вакцини застосовують, якщо відсутні програми-доктори, «лікують» цей вірус. Вакцинація можлива тільки від відомих вірусів. Вакцина модифікує програму або диск таким чином, щоб це не відбивалося на їх роботі, а вірус буде сприймати їх зараженими і тому не впровадити. В даний час програми-вакцини мають обмежене застосування.