Virusų tipai

Kas yra virusai, kūrimo istorija

Virusai

Johnas von Neumannas 1951 metais pasiūlė savaiminio atkartojimo mechanizmų kūrimo metodą

Pirmųjų kompiuterinių virusų atsiradimas klaidingai priskiriamas aštuntajam ir net šeštajam dešimtmečiui. Paprastai vadinamos „virusais“, tokios programos kaip „Animal“, „Creeper“, „Cookie Monster“ (pirma ir paskutinė šiuolaikinėje terminijoje yra kirminai, CREEPER nebuvo nei virusas, nei kirminas, o savaime judanti programa, tai yra, kai CREEPER kopija buvo paleista nuotoliniame kompiuteryje, ankstesnė kopija nustojo veikti.)

Virusai plinta kopijuodami savo kūną ir užtikrindami tolesnį jo vykdymą: įsiveisdami į kitų programų vykdomąjį kodą, pakeisdami kitas programas, registruodamiesi automatiniame paleidime ir kt. Virusas ar jo nešėjas yra ne tik programos, turinčios mašininį kodą, bet ir bet kokia informacija, kurioje yra automatiškai vykdomos komandos – pavyzdžiui, paketiniai failai ir Microsoft Word bei Excel dokumentai, kuriuose yra makrokomandų. Tuo pačiu metu, kad prasiskverbtų į kompiuterį, virusas gali panaudoti populiarios programinės įrangos (pavyzdžiui, Adobe Flash, Internet Explorer, Outlook) pažeidžiamumą, kuriam platintojai įveda jį į įprastus duomenis (nuotraukas, tekstus ir kt.) kartu su išnaudoti pasinaudojant pažeidžiamumu.

Kai kirminai dauginasi, jie tiesiog nukopijuoja savo kodą į kai kuriuos disko katalogus, tikėdamiesi, kad vartotojas kada nors paleis šias naujas kopijas.

Pirmieji žinomi virusai yra Virus 1,2,3 ir Elk Cloner, skirti Apple II kompiuteriui. Abu virusai yra labai panašūs savo funkcijomis ir pasirodė nepriklausomai vienas nuo kito trumpą laiką 1981 m.

Kompiuterinis virusas buvo pavadintas pagal analogiją su biologiniais virusais dėl panašaus plitimo mechanizmo.

Matyt, žodis „virusas“ pirmą kartą buvo pavartotas kalbant apie Gregory Benfordo programą mokslinės fantastikos istorijoje „The Scarred Man“, paskelbtoje žurnale „Venture“ 1970 m. gegužės mėn.

Pirmoji antivirusinė programa buvo sukurta 1984 m.

Virusai plinta kopijuodami savo kūną ir užtikrindami tolesnį jo vykdymą: įsiveisdami į kitų programų vykdomąjį kodą, pakeisdami kitas programas, registruodamiesi automatiniame paleidime ir kt. Virusas ar jo nešėjas yra ne tik programos, turinčios mašininį kodą, bet ir bet kokia informacija, kurioje yra automatiškai vykdomos komandos.

pagal viruso buveinę

‣‣‣ Failų virusai

‣‣‣ Paleiskite virusus

‣‣‣ Kombinuoti tinklo makrovirusai

‣‣‣ Dokumentuoti virusus

‣‣‣ Tinklo virusai

‣‣‣ Failo paleidimas

Pagal buveinės užkrėtimo būdą:

Rezidento virusas- kai kompiuteris yra užkrėstas, jis palieka savo nuolatinę dalį RAM, kuri vėliau perima operacinės sistemos prieigą prie infekcijos objektų ir įterpiama į juos.

Nerezidentų virusai neužkrėskite kompiuterio atminties ir yra aktyvūs ribotą laiką.

Pagal naikinamąsias galimybes:

1. nekenksmingas (neturi įtakos kompiuterio veikimui, išskyrus laisvos atminties sumažinimą dėl jos paskirstymo)
2. nekenksmingas (sumažina laisvą vietą diske)
3. pavojingas (sukelia nesėkmes)
4. Labai pavojinga (mechanizmų dalių pažeidimas, programų praradimas, duomenų sunaikinimas)

Pagal viruso algoritmo ypatybes .

Kompanioniniai virusai yra virusai, kurie nekeičia failų.

Kirminų virusai – tai virusai, kurie plinta kompiuterių tinkle ir, kaip ir kompanioniniai virusai, nekeičia failų ar sektorių diskuose. Jie įsiskverbia į kompiuterio atmintį iš kompiuterių tinklo, apskaičiuoja kitų kompiuterių tinklo adresus ir šiais adresais siunčia savo kopijas. Tokie virusai kartais sukuria darbinius failus sistemos diskuose, bet gali visai nepasiekti kompiuterio išteklių (išskyrus RAM).

Polimorfiniai virusai- virusai, kurie modifikuoja savo kodą užkrėstose programose taip, kad dvi to paties viruso kopijos gali nesutapti viename bite. Šio tipo kompiuteriniai virusai šiandien atrodo patys pavojingiausi. Tokie virusai ne tik šifruoja savo kodą naudodami skirtingus šifravimo kelius, bet ir turi šifruotojo ir iššifratoriaus generavimo kodą, kuris išskiria juos nuo įprastų šifravimo virusų, kurie taip pat gali užšifruoti savo kodo dalis, tačiau tuo pačiu turi pastovų šifravimo ir iššifravimo kodą. .

Slapti virusai - Jie apgauna antivirusines programas ir dėl to lieka nepastebėti. Tačiau yra paprastas būdas išjungti slaptų virusų maskavimo mechanizmą. Pakanka paleisti kompiuterį iš neužkrėstos sistemos diskelio ir iš karto, nepaleidžiant kitų programų iš kompiuterio disko (kurios taip pat gali būti užkrėstos), nuskenuoti kompiuterį antivirusine programa. Įkeliant iš sistemos diskelio, virusas negali įgyti kontrolės ir įdiegti nuolatinį modulį RAM, kuris įgyvendina slaptą mechanizmą. Antivirusinė programa galės nuskaityti faktiškai įrašytą informaciją diske ir lengvai aptiks virusą.

Trojos arkliai (ypač Danui =)) - Tai programa, turinti tam tikrą naikinamąją funkciją, kuri suaktyvinama įvykus tam tikrai paleidimo sąlygai. Paprastai tokios programos yra užmaskuotos kaip naudingos paslaugos. „Trojos arkliai“ – tai programos, kurios, be dokumentacijoje aprašytų funkcijų, įgyvendina kai kurias kitas funkcijas, susijusias su saugumo pažeidimais ir destrukciniais veiksmais. Buvo atvejų, kai tokios programos buvo sukurtos siekiant palengvinti virusų plitimą. Tokių programų sąrašai plačiai skelbiami užsienio spaudoje. Paprastai jie yra užmaskuoti kaip žaidimų ar pramogų programos ir daro žalą kartu su gražiomis nuotraukomis ar muzika.

Kirmėlės - virusai, kurie plinta pasauliniais tinklais, užkrėsdami visas sistemas, o ne atskiras programas. Tai yra pavojingiausias viruso tipas, nes atakos objektai šiuo atveju yra nacionalinio masto informacinės sistemos. Atsiradus pasauliniam internetui, tokio tipo saugumo pažeidimai kelia didžiausią grėsmę, nes bet kuris iš 40 milijonų kompiuterių, prijungtų prie šio tinklo, gali bet kada susidurti su juo.

Virusų tipai – samprata ir rūšys. Kategorijos „Virusų atmainos“ klasifikacija ir ypatumai 2017, 2018 m.

Ordžonikidzės rajono administracijos švietimo skyrius

Kompiuteriniai virusai

Informatikos santrauka

Vykdytojas:

Aleksandras Novikovas

9 „B“ klasė

Prižiūrėtojas:

Nazimova Jelena Anatolyevna

IT mokytojas

Jekaterinburgas 1999 m

Kas yra kompiuterinis virusas?

Kompiuterinis virusas – tai specialiai parašyta nedidelė programa, galinti save „priskirti“ kitoms programoms ir taip pat atlikti įvairius nepageidaujamus veiksmus kompiuteryje. Programa, kurioje yra virusas, vadinama „užkrėstomis“. Kai tokia programa pradeda veikti, virusas pirmiausia perima kontrolę. Virusas randa ir „užkrečia“ kitas programas, taip pat atlieka kai kuriuos žalingus veiksmus (pavyzdžiui, sugadina failus ar failų paskirstymo lentelę diske, „užkemša“ RAM ir pan.). Virusas yra programa, kuri turi galimybę daugintis pati. Šis gebėjimas yra vienintelė savybė, būdinga visų tipų virusams. Virusas negali egzistuoti „visiškai izoliuotas“. Tai reiškia, kad šiandien neįmanoma įsivaizduoti viruso, kuris kažkaip nesinaudotų kitų programų kodu, informacija apie failų struktūrą ar net tik kitų programų pavadinimais. To priežastis gana aiški: virusas turi kažkaip aprūpinti

perleisti kontrolę sau.

Pagrindiniai kompiuterinių virusų tipai

Yra visiškai formali kompiuterinių virusų klasifikavimo ir įvardijimo sistema taip, kad būtų išvengta situacijos, kai skirtingų antivirusinių programų kūrėjų klasifikacijoje tas pats virusas turi neatpažįstamai skirtingus pavadinimus. Nepaisant to, vis dar negalima teigti, kad virusų pavadinimai ir charakteristikos yra visiškai suvienodintos. Tai daugiausia lemia tai, kad tuo metu, kai buvo suformuluotos kai kurios „žaidimo taisyklės“, jau egzistavo antivirusinės priemonės, kurios veikė savo žymėjimo sistemoje. Bendras suvienodinimas pareikalautų didelių pastangų ir programų bei dokumentų modifikavimo. Daugeliu atvejų tai buvo padaryta. Remsimės tuo, kad paprastam vartotojui nereikia gilintis į visas viruso veikimo subtilybes: atakos objektus, infekcijos būdus, pasireiškimo ypatybes ir kt. Tačiau patartina žinoti, kokie virusai yra yra, kad suprastų bendrą jų darbo schemą.

Tarp virusų įvairovės galima išskirti šias pagrindines grupes:

– įkrovos virusai; Taip vadinami virusai, kurie užkrečia diskelių ir standžiųjų diskų įkrovos sektorius;

– failų virusai; paprasčiausiu atveju tokie virusai užkrečia vykdomuosius failus; Jei viskas daugiau ar mažiau aišku su įkrovos virusais, tai failų virusai yra daug mažiau apibrėžta sąvoka; Pakanka, pavyzdžiui, pasakyti, kad failo virusas gali visai nekeisti failo (palydoviniai ir Dir-II šeimos virusai);

– įkrovos failų virusai; Tokie virusai turi galimybę užkrėsti tiek įkrovos sektoriaus kodą, tiek failo kodą. Tokių virusų nėra labai daug, tačiau tarp jų yra itin piktų pavyzdžių (pavyzdžiui, garsusis OneHalf virusas).

Virusai, parašyti vadinamajame makro kalbos, formaliai yra pagrįsti failais, tačiau jie užkrečia ne vykdomuosius failus, o duomenų failai, tačiau suprojektuoti taip, kad jie gali būti užkrėsti – tai jau ant programinės įrangos leidėjų sąžinės.

Sugadinti ir užkrėsti failai

Kompiuterinis virusas gali sugadinti, t.y. tinkamai pakeiskite bet kurį failą kompiuteryje esančiuose diskuose. Tačiau kai kurie failų tipai gali būti užkrėsti virusu. Tai reiškia, kad virusas gali pats „įsileisti“ į šiuos failus, t.y. pakeiskite juos taip, kad juose būtų virusas, kuris tam tikromis aplinkybėmis gali pradėti veikti.

Pažymėtina, kad programų ir dokumentų tekstai, duomenų bazių informacijos failai, lentelių procesorių lentelės ir kiti panašūs failai negali būti užkrėsti virusu, jie gali tik sugadinti.

Virusu gali būti užkrėsti šių tipų failai:

1. Vykdomieji failai, tie. failai su vardų plėtiniais .COM ir .EXE, taip pat perdangos failai, kurie įkeliami vykdant kitas programas. Virusas užkrėstuose vykdomuosiuose failuose pradeda veikti, kai paleidžiama programa, kurioje jis yra. Pavojingiausi yra tie failų virusai, kurie po paleidimo lieka atmintyje – gali užkrėsti failus ir padaryti žalos iki kito kompiuterio perkrovimo. Ir jei jie užkrės kokią nors programą, paleistą iš AUTOEXEC.BAT arba CONFIG.SYS failo, virusas vėl pradės veikti, kai iš naujo paleisite iš standžiojo disko.

2. Operacinės sistemos įkroviklis ir pagrindinė įkrova

įrašymas į standųjį diską.Šios sritys yra paveiktos įkrovos viruso.

Toks virusas pradeda savo darbą, kai kompiuteris įsikrauna ir tampa rezidentu, t.y. yra visam laikui saugomas kompiuterio atmintyje. Paskirstymo mechanizmas yra į kompiuterį įdėtų diskelių įkrovos įrašų užkrėtimas. Dažnai tokie virusai susideda iš dviejų dalių, nes įkrovos įrašas ir pagrindinis įkrovos įrašas yra mažo dydžio ir sunku sutalpinti visą viruso programą. Viruso dalis, kuri juose netelpa, yra kitoje disko dalyje, pavyzdžiui, disko šakninio katalogo pabaigoje arba klasteryje, esančioje disko duomenų srityje (dažniausiai tokia klasteris paskelbiamas sugedusiu, kad viruso programa nebūtų perrašoma, kai duomenys įrašomi į diską).

3. Įrenginių tvarkyklės, tie. failai, nurodyti failo CONFIG.SYS programoje Įrenginys. Juose esantis virusas pradeda veikti kiekvieną kartą, kai pasiekiamas atitinkamas įrenginys. Virusai, užkrečiantys įrenginių tvarkykles, yra labai reti, nes tvarkyklės retai perrašomos iš vieno kompiuterio į kitą. Tas pats pasakytina ir apie DOS sistemos failus – jų užkrėtimas taip pat teoriškai galimas, tačiau platinimui tai neveiksminga.

Paprastai kiekvienas konkretus viruso tipas gali užkrėsti tik vieno ar dviejų tipų failus. Labiausiai paplitę virusai yra tie, kurie užkrečia vykdomuosius failus. Kai kurie virusai užkrečia tik .COM failus, kai kurie – tik .EXE failus, o dauguma – abu. Antras labiausiai paplitęs virusas yra įkrovos virusai. Kai kurie virusai užkrečia ir failus, ir diskų įkrovos sritis. Virusai, užkrečiantys įrenginių tvarkykles, yra labai reti; paprastai tokie virusai gali užkrėsti vykdomuosius failus.

Virusai, pakeičiantys failų sistemą

Pastaruoju metu plačiai paplito naujo tipo virusai – virusai, pakeičiantys failų sistemą diske. Šie virusai paprastai vadinami Dir. Tokie virusai savo kūną slepia kurioje nors disko dalyje (dažniausiai paskutinėje disko grupėje) ir pažymi ją failų paskirstymo lentelėje (FAT) kaip failo pabaigą. Visuose .COM ir .EXE failuose rodyklės į pirmąją failo dalį, esančią atitinkamuose katalogo elementuose, pakeičiamos nuoroda į disko skyrių, kuriame yra virusas, o teisinga rodyklė, užkoduota, yra paslėpta nepanaudota katalogo elemento dalis. Todėl, paleidus bet kurią programą, į atmintį įkeliamas virusas, po kurio jis lieka atmintyje, prisijungia prie DOS programų, kad apdorotų failus diske ir

pateikia teisingas nuorodas visiems skambučiams į katalogo elementus.

Taigi, kai virusas veikia, failų sistema diske atrodo visiškai normali. Paviršutiniškai pažvelgus į užkrėstą diską „švariame“ kompiuteryje nieko keisto nepastebi. Nebent, kai bandysite nuskaityti arba kopijuoti programos failus iš užkrėsto diskelio, bus nuskaityti arba nukopijuoti tik 512 arba 1024 baitai, net jei failas yra daug ilgesnis. Ir kai paleidžiate bet kurią vykdomąją programą iš disko, užkrėsto tokiu virusu, šis diskas tarsi burtų keliu pradeda veikti (nenuostabu, nes kompiuteris tada užsikrečia).

Analizuojant „švariame“ kompiuteryje naudojant ChkDsk arba NDD programas, Dir virusu užkrėsto disko failų sistema atrodo visiškai sugadinta. Taigi ChkDsk programa sukuria krūvą pranešimų apie failų susikirtimus („...cross linked on cluster...“) ir apie prarastų grupių grandines („... pamestų grupių rasti ... grandinėse“). Šių klaidų nereikėtų taisyti ChkDsk ar NDD programomis – dėl to diskas bus beviltiškai sugadintas. Norėdami taisyti šiais virusais užkrėstus diskus, turėtumėte naudoti tik specialias antivirusines programas (pavyzdžiui, naujausias „Aidstest“ versijas).

„Nematomas“ ir

save modifikuojantys virusai

Norėdami išvengti aptikimo, kai kurie virusai naudoja gana gudrius maskavimo būdus. Kalbėsime apie du iš jų: „nematomus“ ir savaime besikeičiančius virusus.

„Nematomi“ virusai. Daugelis nuolatinių virusų (tiek failų, tiek įkrovos virusų) neleidžia jų aptikti perimdami DOS (taigi ir taikomųjų programų) iškvietimus į užkrėstus failus ir disko sritis ir rodydami juos originalia (neužkrėsta) forma. Žinoma, šis poveikis pastebimas tik užkrėstame kompiuteryje - „švariame“ kompiuteryje galima lengvai aptikti failų ir disko įkrovos sričių pokyčius.

Atminkite, kad kai kurios antivirusinės programos gali aptikti „nematomus“ virusus net užkrėstame kompiuteryje. Taigi „Dialog-Nauka“ kompanijos programa ADinf nuskaito diską šiam tikslui nenaudodama DOS paslaugų, o „Dialog-MSU“ kompanijos AVSP programa kurį laiką „išjungia“

viruso patikrinimas (paskutinis metodas ne visada veikia).

Kai kurios antivirusinės programos naudoja „nematomų“ failų virusų galimybę „išgydyti“ užkrėstus failus ir kovoti su virusais. Jie nuskaito (kai veikia virusas) informaciją iš užkrėstų failų ir įrašo į diską faile ar failuose, kuriuose ši informacija saugoma neiškraipyta forma. Tada, paleidus iš „švaraus“ diskelio, vykdomieji failai atkuriami į pradinę formą.

Save modifikuojantys virusai. Kitas būdas, kurį virusai naudoja siekdami išvengti aptikimo, yra jų kūno modifikavimas. Daugelis virusų saugo didžiąją savo kūno dalį užkoduota forma, todėl išmontuotojai negali suprasti jų veikimo mechanizmo. Save modifikuojantys virusai naudoja šią techniką ir dažnai keičia šio kodavimo parametrus, be to, keičia savo pradinę dalį, kuri skirta iškoduoti likusias viruso komandas. Taigi tokio viruso kūne nėra nė vienos pastovios baitų grandinės, pagal kurią būtų galima atpažinti virusą. Žinoma, dėl to detektorių programoms sunku rasti tokius virusus.

Tačiau detektorių programos vis dar išmoko sugauti „paprastus“ savaime besikeičiančius virusus. Šiuose virusuose užkoduotos viruso dalies iššifravimo mechanizmo variacijos yra susijusios tik su tam tikrų kompiuterių registrų naudojimu, šifravimo konstantomis, „nereikšmingų“ komandų pridėjimu ir pan. Ir detektorių programos prisitaikė aptikti komandas pradinėje viruso dalyje, nepaisant to, kad maskuoja jų pokyčius. Tačiau pastaruoju metu atsirado virusų su itin sudėtingais savaiminio modifikavimo mechanizmais. Juose pradinė viruso dalis generuojama automatiškai, naudojant labai sudėtingus algoritmus: kiekvieną reikšmingą iššifratoriaus nurodymą perduoda viena iš šimtų tūkstančių galimų parinkčių, tuo tarpu naudojama daugiau nei pusė visų Intel-8088 komandų. Tokių virusų atpažinimo problema yra gana sudėtinga ir dar negavo visiškai patikimo sprendimo. Tačiau kai kurios antivirusinės programos turi įrankius tokiems virusams rasti, o Dr. Web - taip pat euristiniai metodai, skirti aptikti „įtartinas“ programos kodo dalis, būdingas savaime besikeičiantiems virusams.

Pagrindiniai apsaugos nuo kompiuterinių virusų metodai

Norėdami apsisaugoti nuo virusų, galite naudoti:

– bendrosios informacijos apsaugos priemonės, kurios praverčia ir kaip draudimas nuo fizinių diskų sugadinimo, netinkamai veikiančių programų ar klaidingų vartotojo veiksmų;

– prevencinės priemonės, mažinančios tikimybę užsikrėsti virusu;

specializuotos apsaugos nuo virusų programos.

Bendrosios informacijos saugos priemonės naudingos ne tik apsaugai nuo virusų. Yra du pagrindiniai šių fondų tipai:

informacijos kopijavimas – failų ir sistemos disko sričių kopijų kūrimas;

prieigos kontrolė apsaugo nuo neteisėto informacijos naudojimo, ypač apsaugo nuo virusų programų ir duomenų pakeitimų, netinkamai veikiančių programų ir klaidingų vartotojo veiksmų.

Nepaisant to, kad bendrosios informacijos saugumo priemonės yra labai svarbios apsaugai nuo virusų, jų vis tiek nepakanka. Taip pat būtina naudoti specializuotas apsaugos nuo virusų programas. Šias programas galima suskirstyti į keletą tipų: detektoriai, gydytojai (fagai), auditoriai (programos, skirtos diskų failų ir sistemos sričių pokyčiams stebėti), gydytojai-auditoriai, filtrai (rezidentinės programos, apsaugančios nuo virusų) ir vakcinos (imunizatoriai). Pateiksime trumpus šių sąvokų apibrėžimus, o tada apsvarstykime jas išsamiai.

Detektoriaus programos leidžia aptikti failus, užkrėstus vienu iš kelių žinomų virusų.

Gydytojo programos , arba fagai , „gydyti“ užkrėstas programas ar diskus „išgraužti“ viruso kūną iš užkrėstų programų, t.y. programos atkūrimas į būseną, kuri buvo prieš viruso užkrėtimą.

Auditoriaus programos Pirmiausia jie prisimena informaciją apie programų būseną ir diskų sistemos sritis, o tada lygina savo būseną su pradine. Jei aptinkami neatitikimai, apie tai pranešama vartotojui.

Gydytojai-inspektoriai – tai auditorių ir gydytojų hibridai, t.y. programas, kurios ne tik aptinka pokyčius failuose ir diskų sistemos srityse, bet ir gali automatiškai grąžinti juos į pradinę būseną pakeitimų atveju.

Filtravimo programos yra kompiuterio operatyviojoje atmintyje ir perima tuos operacinės sistemos skambučius, kuriuos naudoja virusai daugindamiesi ir kenkdami, ir praneša apie juos vartotojui.

Skiepų programos arba imunizatoriai , modifikuoti programas ir diskus taip, kad tai neturėtų įtakos programų veikimui, tačiau virusas, nuo kurio atliekama vakcinacija, šias programas ar diskus laiko jau užkrėstomis. Šios programos yra labai neveiksmingos ir nėra toliau svarstomos.

Detektorių programos ir gydytojai

Daugeliu atvejų galite rasti jau sukurtų detektorių programų, kurios aptiktų jūsų kompiuterį užkrėtusį virusą. Šios programos tikrina, ar failuose, esančiuose vartotojo nurodytame diske, yra tam tikram virusui būdingų baitų derinio. Kai jis aptinkamas bet kuriame faile, ekrane rodomas atitinkamas pranešimas. Daugelyje detektorių yra užkrėstų failų išgydymo arba sunaikinimo režimai.

Reikia pabrėžti, kad detektorių programos gali aptikti tik joms „žinomus“ virusus. McAfee Associates ir D. N. Lozinsky's Aidstest programa Scan leidžia aptikti apie 1000 virusų, tačiau iš viso jų yra daugiau nei penki tūkstančiai! Kai kurios aptikimo programos, pvz., Norton AntiVirus arba AVSP iš Dialog-MGU, gali būti sukonfigūruotos naujiems virusų tipams; joms tereikia nurodyti šiems virusams būdingus baitų derinius. Tačiau neįmanoma sukurti programos, kuri galėtų aptikti bet kurį anksčiau nežinomą virusą.

Taigi tai, kad programos detektoriai neatpažįsta kaip užkrėstos, nereiškia, kad ji yra sveika – joje gali būti koks nors naujas virusas arba šiek tiek pakeista seno viruso versija, nežinoma detektorių programoms.

Auditoriaus programos

Audito programos turi du darbo etapus. Pirma, jie prisimena informaciją apie programų būseną ir diskų sistemos sritis (įkrovos sektorių ir sektorių su standžiojo disko skaidinių lentele). Daroma prielaida, kad šiuo metu programos ir sistemos disko sritys nėra užkrėstos. Po to, naudodami auditoriaus programą, bet kuriuo metu galite palyginti programų būseną ir sistemos disko sritis su pradine būsena. Apie identifikuotą

apie neatitikimus pranešama vartotojui.

Daugelis vartotojų įtraukia komandą paleisti audito programą į AUTOEXEC.BAT paketinį failą, kad programų ir diskų būsena būtų tikrinama kiekvieną kartą paleidžiant operacinę sistemą. Tai leidžia aptikti kompiuterio viruso infekciją, kai ji dar nepadarė didelės žalos. Be to, ta pati audito programa galės rasti viruso pažeistus failus.

Filtravimo programos

Viena iš priežasčių, kodėl tapo įmanomas toks reiškinys kaip kompiuterinis virusas, yra veiksmingų priemonių, apsaugančių informaciją nuo neteisėtos prieigos, trūkumas operacinėje sistemoje MS DOS. Dėl apsaugos priemonių trūkumo kompiuteriniai virusai gali nepastebimai ir nebaudžiamai keisti programas, sugadinti failų paskirstymo lenteles ir kt.

Šiuo atžvilgiu įvairios įmonės ir programuotojai sukūrė filtravimo programas, arba rezidentines programas, skirtas apsisaugoti nuo virusų, kurios tam tikru mastu kompensuoja šį DOS trūkumą. Šios programos yra kompiuterio RAM ir „perima“ tuos operacinės sistemos skambučius, kuriuos naudoja virusai, norėdami daugintis ir padaryti žalą. Tokie „įtartini“ veiksmai visų pirma yra .COM ir .EXE failų keitimas, „tik skaitymo“ atributo pašalinimas iš failo, rašymas tiesiai į diską (rašymas absoliučiu adresu), disko formatavimas, „resident“ įdiegimas. (nuolat esančios RAM) programos.

Kiekvieną kartą, kai prašoma atlikti neįtartiną veiksmą, kompiuterio ekrane pasirodo pranešimas, nurodantis, kokio veiksmo prašoma ir kokia programa nori jį atlikti. Šį veiksmą galite leisti arba atmesti (1 pav.).

Kai kurios filtravimo programos „nepagauna“ įtartinų veiksmų, bet tikrina, ar programose, kurias jos reikalauja vykdyti, nėra virusų. Suprantama, dėl to kompiuteris sulėtėja.

Nereikėtų pervertinti filtravimo programų teikiamos apsaugos laipsnio, nes daugelis virusų, norėdami daugintis ir sukelti žalą, prie operacinės sistemos programų patenka tiesiogiai, nenaudodami standartinio metodo, kai šios programos iškviečia per pertraukimus, o nuolatinės programos pertraukia tik šiuos pertraukimus, kad apsaugotų. prieš virusus. Be to, filtravimo programos nepadeda nuo kietojo disko užkrėtimo virusais, plintančiais per įkrovos sektorių, nes toks užkrėtimas įvyksta įkeliant DOS, t.y. prieš paleisdami kokias nors programas ar diegdami tvarkykles.

Tačiau filtravimo programų naudojimo privalumai yra labai reikšmingi – jos leidžia aptikti daugybę virusų labai ankstyvoje stadijoje, kai virusas dar nespėjo nieko daugintis ir sugadinti. Tokiu būdu galite sumažinti viruso nuostolius iki minimumo.

Ką jie gali ir ko negali

kompiuteriniai virusai

Dėl kompiuterinių virusų veikimo mechanizmo nežinojimo, taip pat įvairių gandų ir nekompetentingų publikacijų spaudoje įtakoje dažnai susidaro savotiškas virusų baimės kompleksas, vadinamasis. "virusofobija". Šis kompleksas turi dvi apraiškas.

1. Polinkis bet kokį duomenų sugadinimą ar neįprastą reiškinį kompiuteryje priskirti virusams. Pavyzdžiui, diskelio negalima suformatuoti; „viruso fobui“ tai yra ne galimas diskelio ar įrenginio defektas, o viruso poveikis. Jei kietajame diske atsiranda blogas blokas, žinoma, dėl to kaltas ir virusas. Tiesą sakant, neįprastus reiškinius kompiuteryje dažniau sukelia vartotojo klaidos, programos klaidos ar techninės įrangos defektai.

2. Perdėtos idėjos apie virusų galimybes. Kai kurie žmonės mano, kad, pavyzdžiui, užtenka į diską įdėti užkrėstą diskelį, kad kompiuteris užsikrėstų virusu. Taip pat plačiai manoma, kad prijungtiems kompiuteriams

į tinklą ar net tiesiog stovint toje pačioje patalpoje, užkrėstas vienas kompiuteris neabejotinai iškart užkrės likusį kompiuterį.

Geriausias vaistas nuo virusinės fobijos yra žinojimas, kaip virusai veikia, ką jie gali ir ko negali. Virusai yra paprastos programos ir negali atlikti jokių antgamtinių veiksmų.

Kad kompiuteris užsikrėstų virusu, jame bent kartą turi būti paleista programa su virusu. Todėl pradinis kompiuterio užkrėtimas virusu gali įvykti vienu iš šių atvejų:

– kompiuteryje buvo vykdoma užkrėsta .COM arba .EXE tipo programa arba užkrėstas perdangos programos modulis;

– kompiuteris įkeltas iš diskelio, kuriame yra užkrėstas įkrovos sektorius;

kompiuteryje buvo įdiegta užkrėsta operacinė sistema arba užkrėstos įrenginio tvarkyklė;

Iš to išplaukia, kad nėra pagrindo baimintis, kad jūsų kompiuteris bus užkrėstas virusu, jei:

Į kompiuterį kopijuojami programų tekstai, dokumentai, duomenų bazių ar lentelių procesorių informacinės bylos ir kt. Šie failai nėra programos, todėl negali būti užkrėsti virusu;

Neužkrėstame kompiuteryje failai kopijuojami iš vieno diskelio į kitą. Jei kompiuteris yra „sveikas“, nei jis pats, nei kopijuojami diskeliai nebus užkrėsti virusu. Vienintelis viruso perdavimo būdas šioje situacijoje yra užkrėsto failo kopijavimas: tokiu atveju, žinoma, jo kopija taip pat bus „užkrėsta“, tačiau nei kompiuteris, nei kiti failai nebus užkrėsti;

Naudojant teksto redagavimo programas, skaičiuoklių apdorojimo programas, duomenų bazių valdymo sistemas ir kitas neužkrėsto kompiuterio standžiajame diske esančias programas, diskeliuose esantys informacijos failai apdorojami.

Veiksmai, kurių reikia imtis užsikrėtus virusu

Jei jūsų kompiuteris yra užkrėstas virusu (arba jei įtariate), svarbu laikytis keturių taisyklių.

Visų pirma, nereikia skubėti ir priimti neapgalvotų sprendimų – neapgalvoti veiksmai gali lemti ne tik kai kurių failų, kuriuos būtų galima atkurti, praradimą, bet ir pakartotinį kompiuterio užkrėtimą.

2. Nedelsiant turi būti atliktas vienas veiksmas – reikia išjungti kompiuterį, kad virusas netęstų savo destruktyvių veiksmų.

3. Visi veiksmai, skirti aptikti infekcijos tipą ir gydyti kompiuterį, turėtų būti atliekami tik tada, kai kompiuteris paleidžiamas iš apsaugoto įrašymo „referencinio“ diskelio su operacine sistema. Tokiu atveju turėtumėte naudoti tik programas (vykdomuosius failus), saugomas nuo įrašymo apsaugotuose diskeliuose. Šios taisyklės nesilaikymas gali sukelti labai rimtų pasekmių, nes įkeliant DOS ar paleidžiant programą iš užkrėsto disko, kompiuteryje gali būti suaktyvintas virusas, o jei virusas veikia, gydyti kompiuterį bus beprasmiška, nes jį lydės tolesnis diskų ir programų užkrėtimas.

4. Jei apsisaugoti nuo viruso naudojama rezidentinio filtravimo programa, tai viruso buvimas bet kurioje programoje gali būti aptiktas labai ankstyvoje stadijoje, kai virusas dar nespėjo užkrėsti kitų programų ir sugadinti kokių nors failų. Tokiu atveju turėtumėte iš naujo paleisti DOS iš diskelio ir ištrinti užkrėstą programą, o tada perrašyti šią programą iš nuorodos diskelio arba atkurti iš archyvo. Norėdami sužinoti, ar virusas nesugadino kitų failų, turėtumėte paleisti audito programą, kuri patikrintų, ar failuose nėra pakeitimų, pageidautina su dideliu nuskaitytų failų sąrašu. Norėdami, kad kompiuteris nebūtų užkrėstas nuskaitymo proceso metu, turėtumėte paleisti vykdomąjį audito programos failą, esantį diskelyje.

Kompiuterinis gydymas. Jei virusas jau sugebėjo užkrėsti arba sugadinti kai kuriuos failus jūsų kompiuterio diskuose, turite atlikti šiuos veiksmus.

Iš naujo paleiskite DOS operacinę sistemą naudodami anksčiau paruoštą informacinį diskelį. Šis diskelis, kaip ir kiti diskeliai, naudojami kompiuterinių virusų atkūrimui, turi turėti apsaugos nuo įrašymo etiketę, kad virusas neužkrėstų ar nesugadintų diskelyje esančių failų. Atminkite, kad perkrovimas neturėtų būti atliekamas naudojant sparčiuosius klavišus Ctrl + Alt + Del, nes kai kuriems virusams pavyksta „išgyventi“ tokį perkrovimą.

Jei jūsų kompiuteryje yra konfigūravimo programa (ji iškviečiama paspaudus tam tikrą klavišų kombinaciją, kai kompiuteris paleidžiamas), turėtumėte paleisti šią programą ir patikrinti, ar kompiuterio konfigūracijos nustatymai nustatyti teisingai, nes juos gali pažeisti virusas. Jei jie sumontuoti neteisingai, juos reikia įdiegti iš naujo.

Jei yra aptikimo programų, kurios aptiktų jūsų kompiuterį užkrečiantį virusą, turėtumėte paleisti šias programas, kad nuskaitytumėte kompiuterio diskus. Norint rasti reikiamą programą, galima paleisti esamas detektorių programas po vieną, kad nuskaitytų užkrėstą diską (geriau nenaudoti tų detektorių programų režimų, kuriuose jos dezinfekuoja ar ištrina užkrėstus failus be patvirtinimo). Pirma, prasminga paleisti programas, kurios vienu metu aptinka kelis virusus, pavyzdžiui, Scan arba Aidstest. Jei kuri nors aptikimo programa praneša, kad aptiko virusą, ji turėtų būti naudojama siekiant pašalinti kompiuterio užkrėtimo virusu pasekmes, kaip aprašyta toliau. Tačiau reikia pastebėti, kad labai dažnai kompiuteriai būna užkrėsti keliais virusais vienu metu, todėl atradus vieną virusą nenusiraminti, kompiuteryje gali būti antras ar trečias virusas.

Tada turėtumėte nuosekliai neutralizuoti visus diskus, kurie gali būti užkrėsti virusu, kaip aprašyta toliau. Atkreipkite dėmesį, kad jei kietasis diskas kompiuteryje yra padalintas į kelis loginius diskus, tai paleidžiant iš diskelio galima pasiekti tik vieną loginį diską - tą, iš kurio įkeliama DOS operacinė sistema. Tokiu atveju pirmiausia turėtumėte neutralizuoti loginį diską, iš kurio paleidžiama DOS, o tada paleisti iš standžiojo disko ir neutralizuoti kitus loginius diskus.

Disko apdorojimas. Jei diske yra archyvuotos visų jums reikalingų failų kopijos, paprasčiausias būdas yra iš naujo suformatuoti diską ir atkurti visus tame diske esančius failus naudojant archyvuotas kopijas. Tarkime, kad diske yra reikalingi failai, kurių kopijų nėra archyve. Tikslumui manysime, kad šis diskas yra diske (B :). Turite atlikti šiuos veiksmus:

Paleiskite disko aptikimo programą, kuri aptinka virusą, kuriuo kompiuteris užkrėstas (jei neaišku, kuris detektorius aptinka virusą, aptikimo programas reikia paleisti po vieną, kol viena iš jų aptiks virusą). Tokiu atveju geriau nenustatyti gydymo režimo.

Jei detektoriaus programa aptiko įkrovos virusą, galite saugiai naudoti jos gydymo režimą virusui pašalinti. Jei aptinkamas toks virusas kaip Dir, jis taip pat turi būti pašalintas naudojant vieną ar kitą antivirusinę programą ir jokiu būdu tam nenaudojant tokių programų kaip NDD ir ChkDsk.

Dabar, kai žinote, kad diske nėra Dir tipo virusų, galite patikrinti failų sistemos ir paviršiaus vientisumą.

diskas naudojant NDD programą: NDD B: C. Jei failų sistemos pažeidimas yra didelis, patartina nukopijuoti visus reikalingus failus iš disko, kurių kopijų nėra archyve, į diskelius ir iš naujo suformatuoti diskas. Jei diskas turi sudėtingą failų struktūrą, galite pabandyti ją ištaisyti naudodami DiskEdit programą iš Norton Utilites.

Jei informacija apie audito programos diske esančius failus yra išsaugota, tada naudinga paleisti audito programą, kad būtų galima diagnozuoti failų pokyčius. Tai leis jums nustatyti, kurie failai buvo užkrėsti ar sugadinti viruso. Jei audito programa atlieka ir gydytojo funkciją, galite patikėti ja atkurti sugadintus failus.

Ištrinkite visus nereikalingus failus iš disko, taip pat failus, kurių kopijos yra archyve. Tų failų, kurių virusas nepakeitė (tai galima įdiegti naudojant audito programą), ištrinti nereikia.

Jokiu būdu nepalikite .COM ir .EXE failų diske, kurio audito programa praneša, kad jie buvo pakeisti. Tie .COM ir .EXE failai, kurie nežinomi, ar juos modifikavo virusas, ar ne, turėtų būti palikti diske tik esant būtinybei.

Jei diskas, kurį apdorojate, yra sistemos diskas (ty iš jo galite paleisti DOS operacinę sistemą), turėtumėte iš naujo į jį įrašyti įkrovos sektorių ir operacinės sistemos failus. Tai galima padaryti naudojant SYS komandą.

Jei jūsų kompiuteris buvo užkrėstas failo virusu ir neatlikote jokio gydymo su gydytojo-inspektoriaus pagalba, turėtumėte paleisti gydytojo programą, skirtą šiam diskui apdoroti. Užkrėsti failai, kurių gydytojo programa negalėjo atkurti, turėtų būti sunaikinti. Zinoma jeigu

Susijusios tezės.

Kompiuterinis virusas yra specialiai parašyta, mažo dydžio programa (t.y. tam tikras vykdomojo kodo rinkinys), galinti save „priskirti“ kitoms programoms („užkrėsti“), kurti savo kopijas ir įterpti jas į failus, kompiuterio sistemos sritis. .d., o taip pat atlikti įvairius nepageidaujamus veiksmus kompiuteryje.

Yra tinklo virusai – kenkėjiškos programinės įrangos produktai, kurie savarankiškai dauginasi ir plinta tinkle. Jie gali turėti įtakos tinklo ir sistemos informacijai bei vartotojo informacijai.

Kompiuteriniai virusai turi savo pavadinimą dėl tam tikro panašumo su „biologiniais“:

Savęs dauginimosi gebėjimai;

Didelis sklidimo greitis;

Paveiktų sistemų selektyvumas (kiekvienas virusas veikia tik tam tikras sistemas arba vienarūšes sistemų grupes);

Galimybė „užkrėsti“ neužkrėstas sistemas;

Sunkumai kovojant su virusais ir kt.

Garsiausias masinio interneto kompiuterių užkrėtimo atvejis, turėjęs rimtų pasekmių, yra 1988 m. lapkričio 2 d. avarinis incidentas, kai tūkstančiai kompiuterių buvo praktiškai išjungti dėl Morris viruso (WORM), kuris buvo sudėtinga 60 kilobaitų programa, parašyta C kalba. Programa veikė keliose skirtingose, nors ir panašiose operacinėse sistemose: BSD-Unix, VAX, SunOS. „Apsigyvenęs“ viename kompiuteryje, virusas bandė užkrėsti visus kitus prie šio prijungtus kompiuterius. Pirmiausia ji bandė atrasti kitą auką bandydama užmegzti ryšį naudodama Telnet, SMTP arba Rexec paslaugas. Jei kitame ryšio gale buvo aptiktas kompiuteris, virusas bandė jį užkrėsti vienu iš trijų būdų. Esant pasitikėjimui jau užkrėsto kompiuterio ir naujos aukos santykiais, infekcija įvyko naudojant standartines Bourne rch komandų procesoriaus komandas. Nesant tokių ryšių, infekcija įvyko naudojant „fingerd“ arba „sendmail“ programas. Užsikrėtus naudojant pirštų įrankį, į šios programos įvesties buferį buvo įrašyti 536 baitai duomenų. Kai buferis persipildė, grąžinimo kodas iš naudingumo pasirodė lygus nurodymui vykdyti viruso kodą. Norint užkrėsti naudojant komandą sendmail, buvo naudojama šios komandos derinimo parinktis, skirta derinimui. Su jo pagalba į nukentėjusiojo kompiuterį buvo įvedamos komandos, dėl kurių virusas buvo nukopijuotas į kompiuterį. Įsiskverbęs į nukentėjusiojo kompiuterį, virusas rado Unix slaptažodžio failą ir bandė atspėti privilegijuotų kompiuterio vartotojų slaptažodžius. Virusas turėjo keletą slaptažodžių padalijimo algoritmų. Vienas iš jų bandė atspėti slaptažodį naudodamas įvairius vartotojų vardų išvestinius, kitame buvo įmontuota 432 dažniausiai pasitaikančių slaptažodžių lentelė, o trečiasis bandė atspėti slaptažodį brutalios jėgos metodu. Kad paspartintų slaptažodžių padalijimo procesą, virusas pradėjo kelis lygiagrečius procesus. Gavęs visų vartotojų slaptažodžius, virusas bandė jais užfiksuoti šiuos kompiuterius. Per trumpą savo egzistavimo laiką (ne ilgiau kaip dieną) virusas dauginosi neribotą laiką ir savo darbu paralyžiavo daugumą didelių JAV kompiuterių sistemų, prijungtų prie interneto.

1999 m. spalio 16 d. internete pasirodė pranešimas apie W.COM tinklo kirmino ataką prieš VAX/VMS sistemų SPAN tinklą. Šis virusas paveikė tik DEC VMS operacines sistemas ir išplito tinkluose naudojant DECnet šeimos protokolus. TCP/IP tinklams užkrėsti negresia, tačiau jie galėtų būti viruso plitimo pernešimo terpė, jei TCP/IP tinklais būtų perduodami įkapsuliuoti DECnet paketai.

W.COM kirminas modifikavo vykdomuosius failus, pridėdamas prie jų savo kodą, todėl ekrane buvo rodomos grėsmės branduolinių ginklų kūrėjams. Norėdami atkurti, kirminas tinkle ieškojo vartotojų be slaptažodžio arba su slaptažodžiu, atitinkančiu vartotojo vardą. Kai toks vartotojas buvo rastas, kirminas paleido jo vardu ir pakeitė naujus failus. Blogiausios pasekmės kilo, kai kirminas buvo įvykdytas kaip privilegijuotas vartotojas. Šiuo atveju jis sukūrė naujus vartotojus ir modifikavo esamų vartotojų slaptažodžius, t.y. sukūrė sąlygas jo inicijavimui ateityje. Įsiskverbimas į kitas sistemas buvo vykdomas atsitiktine tvarka ieškant tinklo adresų ir prisijungus prie nuotolinių sistemų aktyvių vartotojų vardu.

Virusai internete dažnai yra užmaskuoti kaip zip arba kitaip suspausti failai. Orientacinis atvejis įvyko 1995 m., kai buvo galima nurašyti failus pkz300B.exe arba pkz300B.zip. Kai jie buvo paleisti arba išpakuoti, buvo suaktyvinti savaime besiplečiantys archyvai, todėl kietasis diskas buvo suformatuotas iš naujo.

1999 metais pasirodė makrovirusas, kuris pavogė PGP šifravimo sistemos raktus. Jis priklauso klasei, kurią kai kurie ekspertai vadina šnipinėjimo programų virusais. Šie virusai sukurti siekiant pavogti kitų žmonių kompiuteriuose saugomą informaciją. Caligula ateina į kompiuterį kartu su užkrėstu dokumentu Microsoft Word formatu. Patekęs į naują kompiuterį, šis makrovirusas patikrina, ar jame nėra įdiegta PGP programinės įrangos kopija. Jei tokia sistema bus sėkmingai aptikta, joje naudojamų šifrų slaptieji raktai – svarbiausias komponentas PGP algoritmu užšifruotų duomenų saugumo požiūriu – bus nukopijuoti į vieną iš FTP serverių internete. .

Soubig virusas iš anglų kalbos gali būti išverstas kaip „toks didelis“, pirmą kartą apie save jis paskelbė 2003 m. rugpjūčio 18 d. Soubig yra naujos kartos supervirusai ir yra pavojingas, nes turi neįtikėtiną savybę plisti ir daugintis. Jo Soubig versija ypač pavojinga – Ef. Viruso tikslas – užkrėsti el. Jo ypatumas yra tas, kad jis gali pakeisti elektroninių pranešimų tekstų turinį ir atakuoti kiekvieną atskirą kompiuterį elektroniniu paštu su šimtais skirtingų pranešimų.

2005 m. vienas iš aktyvių virusų buvo W32.Codbot.AL kirminas. Šis virusas plinta išnaudodamas žinomas SQL Server LSASS ir RPC-DCOM procesų spragas. Norėdami įdiegti save kompiuteryje, jis užsiregistruoja kaip sistemos procesas, kuris paleidžiamas kiekvieną kartą, kai sistema paleidžiama. Veikdamas jis jungiasi prie įvairių IRC serverių ir klausosi komandų. Virusas gali gauti visokias komandas, tokias kaip kompiuterio informacijos rinkimas, klavišų paspaudimų įrašymas, FTP paslaugų aktyvinimas ir net kitų kenkėjiškų programų atsisiuntimas bei paleidimas.

Antrasis kirminas W32.Semapi.A platinamas el. paštu laiške su skirtingomis antraštėmis, siuntėju ir kitomis savybėmis, kaip priedas su skirtingu pavadinimu ir plėtiniu. Kai kompiuteryje įdiegiamas kirminas, jis nukopijuoja keletą failų į standųjį diską ir sukuria registro įrašų seriją, kad užtikrintų, jog jis veiks kiekvieną kartą, kai kompiuteris įjungiamas. Tada jis ieško el. pašto adresų visuose failuose su konkrečiais plėtiniais paveiktame kompiuteryje ir siunčia jiems savo kopijas.

Banker.XP Trojos arklys bando gauti konfidencialius duomenis, pvz., slaptažodžius, skirtus prieigai prie įvairių paslaugų užkrėstame kompiuteryje. Gavęs, jis juos sukompiliuoja ir siunčia įsilaužėliui.

2005 m. birželio mėn. Kaspersky Lab paskelbė apie pirmosios kenkėjiškos programos, veikiančios gerai žinomą automatizavimo sistemą 1C: Enterprise, registraciją. Šis virusas vadinamas Tanga.

Tanga plinta 1C: Enterprise 7.7 sistemoje užkrėsdama vartotojo failus, atsakingus už išorines ataskaitas ir turėdama plėtinį „ERT“. Tanga įdėjimo į užkrėstus failus metodas daugeliu atžvilgių panašus į makrovirusus, kurie užkrečia dokumentus ir lenteles Microsoft Office programinės įrangos pakete. Kenkėjiški moduliai yra specialiame duomenų bloke ir aktyvuojami atidarius ataskaitos failą. Kad veiktų, virusas naudoja specialią biblioteką „Compound.dll“. Jei šio failo sistemoje nėra, virusas nebus paleistas.

Pažymėtina, kad šios Tangos versijos autorius parodė supratimą apie antivirusinių ekspertų darbo sudėtingumą ir padarė viską, kad sumažintų kodo analizės laiką ir žalą dėl galimo jo platinimo. Norėdami tai padaryti, viruso kūrėjas atėmė iš jo bet kokias destruktyvias funkcijas, todėl programa buvo saugi net užsikrėtimo atveju.

Kompiuteriniai virusai gali būti klasifikuojami pagal šiuos kriterijus:

– pagal viruso buveinę:

· tinklas;

· failas;

· bagažinė;

- pagal infekcijos būdą:

· gyventojas;

· nerezidentas;

– pagal naikinamąsias galimybes:

· nekenksmingas;

· Nepavojingas;

· pavojinga;

· labai pavojingas;

− pagal viruso algoritmo ypatybes.

Pilno teksto paieška:

Pagrindinis puslapis > Testas > Informatika

Rusijos Federacijos švietimo ir mokslo ministerija

Rusijos prekybos ir ekonomikos universitetas

Kazanės institutas (filialas)

Matematikos ir aukštosios matematikos katedra

Testas Nr.1

disciplina: „Informatika“

KOMPIUTERINIAI VIRUSAI

Atlikta:

1 kurso neakivaizdinė studentė

specialieji skyriai fakultetas

„Finansai ir kreditas“ grupė

Patikrinta:

Kazanė, 2007 m

PLANUOTI

Įvadas

Kompiuterinių virusų esmė ir pasireiškimas

Pagrindiniai kompiuterinių virusų tipai ir tipai

Kaip plinta virusai?

Kompiuterinių virusų aptikimas

5. Prevencinės priemonės nuo virusų

Išvada

Bibliografija

Įvadas

Kompiuterinis virusas– specialiai sukurta programa, skirta atlikti tam tikrus veiksmus, kurie trukdo dirbti kompiuteriu. Daugelis virusų programų yra nekenksmingos, bet, deja, ne visos yra visiškai nekenksmingos. Pirma, jie užima vietos RAM ir diske. Antra, juose gali būti klaidų, dėl kurių sistema gali sugesti ir paleisti iš naujo. Todėl, jei virusas yra gana nekenksmingas, vis tiek turėtumėte jo atsikratyti.

Šiuo metu yra keletas virusų tipų ir tipų. Pagrindiniai kompiuterių virusų tipai yra: programinės įrangos virusai, įkrovos virusai ir makrovirusai. Šiuo metu yra žinoma daugiau nei 5000 programinių virusų tipų, juos galima klasifikuoti pagal šiuos kriterijus: buveinė; buveinės užkrėtimo būdas, poveikis, algoritmo ypatybės.

Pagrindiniai virusų patekimo į kompiuterį būdai yra keičiamieji diskai (floppy ir lazeriniai), taip pat kompiuterių tinklai. Jūsų standusis diskas gali būti užkrėstas virusais, kai paleidžiate kompiuterį iš diskelio, kuriame yra virusas. Toks užkrėtimas taip pat gali būti atsitiktinis, pavyzdžiui, jei diskelis nebuvo pašalintas iš disko A: ir kompiuteris buvo paleistas iš naujo, o diskelis gali būti ne sisteminis. Daug lengviau užkrėsti diskelį. Virusas gali patekti į jį, net jei diskelis tiesiog įdedamas į užkrėsto kompiuterio diskų įrenginį ir, pavyzdžiui, nuskaitomas jo turinys. Tačiau labiausiai paplitęs virusų plitimo būdas yra kompiuterių tinklas, o ypač internetas, kai perrašomos ir paleidžiamos kitos programos, pavyzdžiui, žaidimai. Gali būti ir kitų, gana retų atvejų, kai į kompiuterį įdedamas kitas kietasis diskas, kuris buvo užkrėstas. Norėdami to išvengti, paleiskite iš sistemos diskelio ir arba nuskaitykite standųjį diską specialiomis antivirusinėmis programomis, arba, dar geriau, padalinkite ir suformatuokite diską naudodami Fdisk ir Format programas.

Virusams atpažinti yra specialios antivirusinės programos, kurios gali aptikti ir sunaikinti virusus. Yra gana platus antivirusinių programų pasirinkimas. Tai Aidstest (Lozinsky), Dr Web, Norton antivirus for Windows, DSAV rinkinys ir kt.

Kompiuterinių virusų esmė ir pasireiškimas

Plačiai paplitęs asmeninių kompiuterių naudojimas, deja, pasirodė susijęs su savaime besidauginančių virusų programų atsiradimu, kurios trukdo normaliam kompiuterio darbui, naikina diskų failų struktūrą ir gadina kompiuteryje saugomą informaciją. Kai kompiuterinis virusas įsiskverbia į vieną kompiuterį, jis gali išplisti į kitus kompiuterius.

Kompiuterinių virusų atsiradimo ir plitimo priežastys, viena vertus, slypi žmogaus asmenybės psichologijoje ir jos šešėlinėse pusėse (pavydas, kerštas, nepripažintų kūrėjų tuštybė), kita vertus, dėl to, kad nėra aparatinės įrangos apsauga ir priešprieša iš asmeninio kompiuterio operacinės sistemos.

Nepaisant daugelyje šalių priimtų kovos su kompiuteriniais nusikaltimais įstatymų ir specialios antivirusinės programinės įrangos kūrimo, naujų programinės įrangos virusų skaičius nuolat auga. Tam asmeninio kompiuterio naudotojas turi turėti žinių apie virusų prigimtį, užsikrėtimo virusais būdus ir apsaugą nuo jų.

Pagrindiniai virusų patekimo į kompiuterį būdai yra keičiamieji diskai (floppy ir lazeriniai), taip pat kompiuterių tinklai. Jūsų standusis diskas gali būti užkrėstas virusais, kai paleidžiate kompiuterį iš diskelio, kuriame yra virusas. Toks užkrėtimas taip pat gali būti atsitiktinis, pavyzdžiui, jei diskelis nebuvo pašalintas iš disko A: ir kompiuteris buvo paleistas iš naujo, o diskelis gali būti ne sisteminis. Daug lengviau užkrėsti diskelį. Virusas gali patekti į jį, net jei diskelis tiesiog įdedamas į užkrėsto kompiuterio diskų įrenginį ir, pavyzdžiui, nuskaitomas jo turinys.

Kai jūsų kompiuteris yra užkrėstas virusu, labai svarbu jį greitai aptikti. Norėdami tai padaryti, turėtumėte žinoti apie pagrindinius virusų požymius. Jie apima:

anksčiau sėkmingai veikusių programų veiklos nutraukimas arba netinkamas veikimas;

lėtas kompiuterio veikimas;

nesugebėjimas įkelti operacinės sistemos;

failų ir katalogų dingimas arba jų turinio sugadinimas;

keisti failo modifikavimo datą ir laiką;

failų dydžio keitimas;

netikėtas reikšmingas failų skaičiaus padidėjimas diske;

reikšmingas laisvos RAM dydžio sumažinimas;

Netikėtų pranešimų ar vaizdų rodymas4

netikėtų garso signalų davimas;

Dažni užšąla ir gedimai kompiuteryje.

Tačiau, remiantis visais šiais požymiais, neįmanoma tiksliai pasakyti, kad virusas pateko į kompiuterį. Kadangi gali būti ir kitų gedimų, kurių priežastis yra gedimas arba sistemos derinimo trūkumas. Pavyzdžiui, įsigytame kompiuteryje jį paleidus vietoj rusiškų simbolių rodomi nesuprantami simboliai, kuriuos matote pirmą kartą. To priežastis gali būti ta, kad neįdiegta ekrano kirilicos tvarkyklė. Ta pati priežastis – spausdintuvo tvarkyklės nebuvimas – taip pat gali paaiškinti keistą spausdintuvo elgesį. Sistemos gedimus gali sukelti bloga mikroschema sistemos bloko viduje arba laido jungtyje.

Pagrindiniai kompiuterinių virusų tipai ir tipai

Pagrindiniai kompiuterinių virusų tipai yra šie:

programinės įrangos virusai;

įkrovos virusai;

makrovirusai.

Prie kompiuterinių virusų priskiriami ir vadinamieji Trojos arklys

arkliai (Trojos programos, Trojos arkliai).

Programinės įrangos virusai.

Programinės įrangos virusai yra programos kodo blokai, kurie tikslingai įterpiami į kitas taikomąsias programas. Kai paleidžiate programą, kuri neša virusą, paleidžiamas joje įdiegtas viruso kodas.

Šio kodo veikimas sukelia nuo vartotojo paslėptus pakeitimus kietųjų diskų failų sistemoje ir/arba kitų programų turinyje. Pavyzdžiui, viruso kodas gali daugintis kitų programų korpuse – šis procesas vadinamas dauginimasis. Po tam tikro laiko, sukūręs pakankamą kopijų skaičių, programinės įrangos virusas gali imtis destruktyvių veiksmų: sutrikdyti programų ir operacinės sistemos veikimą, ištrinti standžiajame diske saugomą informaciją. Šis procesas vadinamas viruso ataka.

Labiausiai žalingi virusai gali inicijuoti standžiųjų diskų formatavimą. Kadangi disko formatavimas yra gana ilgas procesas, kurio vartotojas neturėtų nepastebėti, daugeliu atvejų programinės įrangos virusai apsiriboja duomenų padauginimu tik kietojo disko sistemos sektoriuose, o tai prilygsta failų sistemos lentelių praradimui. Tokiu atveju standžiajame diske esantys duomenys lieka nepaliesti, tačiau jų negalima naudoti nenaudojant specialių įrankių, nes nežinoma, kurie disko sektoriai kokiems failams priklauso. Teoriškai tokiu atveju atkurti duomenis įmanoma, tačiau šio darbo darbo intensyvumas gali būti itin didelis.

Manoma, kad joks virusas negali pažeisti kompiuterio aparatinės įrangos. Tačiau kartais aparatinė ir programinė įranga yra taip tarpusavyje susijusios, kad programinės įrangos pažeidimas turi būti pašalintas pakeičiant aparatinę įrangą. Pavyzdžiui, daugumoje šiuolaikinių pagrindinių plokščių pagrindinė įvesties/išvesties sistema (BIOS) yra saugoma perrašomuosiuose tik skaitymo atminties įrenginiuose (vadinamuosiuose). „flash“ atmintis).

Galimybę perrašyti informaciją „flash“ atminties luste naudoja kai kurie programinės įrangos virusai, norėdami sunaikinti BIOS duomenis.

Tokiu atveju, norint atkurti kompiuterio funkcionalumą, reikia arba pakeisti BIOS talpinantį lustą arba perprogramuoti jį naudojant specialią programinę įrangą.

Programinės įrangos virusai į kompiuterį patenka, kai vykdomos nepatikrintos programos, gautos į išorines laikmenas (diskelis, kompaktinis diskas ir kt.) arba gautos iš interneto. Ypatingas dėmesys turėtų būti skiriamas žodžiams paleidimo metu. Jei tiesiog nukopijuosite užkrėstus failus, jūsų kompiuteris negalės būti užkrėstas. Šiuo atžvilgiu visi iš interneto gauti duomenys turi būti privalomai patikrinti

saugumo sumetimais, o jei neprašyti duomenys gaunami iš nežinomo šaltinio, jie turi būti sunaikinti be tyrimo. Įprastas Trojos arklių programų platinimo būdas yra priedas prie el. laiško su „rekomendacija“ ištraukti ir paleisti tariamai naudingą programą.

Įkrovos virusai.

Įkrovos virusai nuo programinės įrangos virusų skiriasi tuo, kaip jie plinta. Jie puola ne programų failus, o specifines magnetinių laikmenų sistemos sritis (diskelius ir kietuosius diskus). Be to, kai kompiuteris įjungtas, jie laikinai gali būti RAM.

Paprastai infekcija įvyksta, kai kompiuteris paleidžiamas iš magnetinės laikmenos, kurios sistemos srityje yra įkrovos virusas. Pavyzdžiui, kai bandote paleisti kompiuterį iš diskelio, virusas pirmiausia prasiskverbia į RAM, o tada į standžiojo disko įkrovos sektorių. Tada šis kompiuteris pats tampa įkrovos viruso platinimo šaltiniu.

Makrovirusai.

Šis specialus viruso tipas užkrečia dokumentus, vykdomus tam tikrose taikomosiose programose. Turint priemonių atlikti vadinamąjį makrokomandos Visų pirma, tokie dokumentai apima „Microsoft Word“ teksto rengyklės dokumentus (jie turi plėtinį

Doc). Užsikrečiama, kai programos lange atidaromas dokumento failas, nebent programoje išjungta galimybė vykdyti makrokomandas.

Kaip ir kitų tipų virusų atveju, atakos pasekmės gali būti nuo santykinai nekenksmingų iki destruktyvių.

Pagrindiniai kompiuterinių virusų tipai.

Šiuo metu yra žinoma daugiau nei 5000 programinės įrangos virusų, juos galima klasifikuoti pagal šiuos kriterijus (1 pav.):

buveinė;

buveinės užteršimo būdas;

įtaka;

algoritmo ypatybės.

1 pav Kompiuterinių virusų klasifikacija:

a – pagal buveinę; b – pagal užsikrėtimo būdą;

c – pagal smūgio laipsnį; d – pagal algoritmų ypatybes.

Priklausomai nuo buveinė Virusai gali būti skirstomi į tinklo, failų, įkrovos ir failų įkrovos virusus.

Tinklo virusai platinami įvairiais kompiuterių tinklais.

Failų virusai yra daugiausia įterpti į vykdomuosius modulius, t.y. į failus su COM ir EXE plėtiniais. Failų virusai gali būti įterpti į kitų tipų failus, tačiau, kaip taisyklė, įrašyti į tokius failus, jie niekada neįgyja kontrolės ir dėl to praranda galimybę daugintis.

Įkrovos virusai yra įterpti į disko įkrovos sektorių („Boot“) arba į sektorių, kuriame yra sistemos disko įkrovos programa („Master Boot Record“).

Failų įkrovos virusai užkrėsti ir failus, ir diskų įkrovos sektorius.

Pagal infekcijos būdą virusai skirstomi į nuolatinius ir nerezidentus.

Rezidento virusas užkrėsdamas kompiuterį, jis palieka savo nuolatinę dalį RAM, kuri vėliau perima operacinės sistemos prieigą prie užkrėtimo objektų (failų, įkrovos sektorių ir kt.) ir įsiterpia į juos. Vietiniai virusai yra atmintyje ir yra aktyvūs tol, kol kompiuteris išjungiamas arba perkraunamas.

Nerezidentų virusai neužkrėskite kompiuterio atminties ir yra aktyvūs ribotą laiką.

Pagal poveikio laipsnį Virusai gali būti suskirstyti į šiuos tipus:

nekenksmingas, netrukdydami kompiuterio darbui, o sumažindami laisvos RAM ir disko atminties kiekį, tokių virusų veiksmai pasireiškia kai kuriais grafiniais ar garso efektais;

pavojingas virusai, galintys sukelti įvairių problemų su kompiuteriu;

labai pavojingas, kurios poveikis gali sukelti programų praradimą, duomenų sunaikinimą ir informacijos ištrynimą disko sistemos srityse.

Kaip plinta virusai?

Yra keletas būdų, pirmiausia naudojant diskelius. Jei diskelį gavote iš draugo, kurio kompiuteryje yra virusas, greičiausiai diskelis bus užkrėstas. Čia yra du galimi variantai. Pirmasis yra tai, kad virusas yra disko sistemos srityje, o antrasis - yra vienas ar daugiau užkrėstų failų. Kaip jau minėta, virusas turi įgyti kontrolę, todėl jei tai sisteminis diskelis, tai paleisdamas iš jo galite užkrėsti kompiuterį. Jei tai yra sistemos diskelis ir bandėte iš jo paleisti kompiuterį ir ekrane pasirodė pranešimas: Nesisteminis diskas (nesisteminis diskas), tokiu atveju galite užkrėsti savo kompiuterį, nes bet kuris diskelis turi operacinės sistemos krautuvas ir jį įjungus gaus valdymą.

Antrasis variantas yra užkrėsti failai. Ne visi failai gali būti užkrėsti. Taigi, pavyzdžiui, jei yra laiško ar kito dokumento tekstas, įvestas naudojant Norton Commander redaktorių, tada viruso ten nebus. Net jei jis ten atsidūrė netyčia, tada, peržiūrėjus failą naudojant tą patį ar panašų redaktorių, tokio failo pradžioje ar pabaigoje galite pamatyti nesuprantamus simbolius, kuriuos geriau sunaikinti. Kiti redaktoriai sukuria failus, kuriuose yra valdymo informacijos, tokios kaip šrifto dydis ar tipas, įtraukos, įvairios konvertavimo lentelės ir kt. Paprastai tokiu failu užsikrėsti beveik neįmanoma. Tačiau Word redaktoriaus 6.0 ir 7.0 versijos gali turėti makrokomandas pačioje dokumento, į kurį bus perkeltas valdymas, pradžioje, todėl virusas gali plisti per dokumentus.

Kiti virusų plitimo būdai yra perkėlimas į kitas laikmenas, pavyzdžiui, į CD-ROM įrenginius, o tai gana reta. Pasitaikė, kad perkant licencijuotą programinę įrangą paaiškėjo, kad ji buvo užkrėsta virusu, tačiau tokie atvejai itin reti.

CD-ROM diskų ypatumas yra tas, kad informacija į juos neįrašoma. Jei CD-ROM diskas be virusų buvo užkrėstame kompiuteryje, jis nebus užkrėstas. Tačiau jei jame yra virusu užkrėstos informacijos, jokios antivirusinės programos negalės išvalyti disko nuo virusų.

Dažniausias virusų plitimo būdas yra kompiuterių tinklas, o ypač internetas, kai perrašomos ir paleidžiamos kitos programos, pavyzdžiui, žaidimai. Gali būti ir kitų, gana retų atvejų, kai į kompiuterį įdedamas kitas kietasis diskas, kuris buvo užkrėstas. Norėdami to išvengti, paleiskite iš sistemos diskelio ir arba nuskaitykite standųjį diską specialiomis antivirusinėmis programomis, arba, dar geriau, padalinkite ir suformatuokite diską naudodami Fdisk ir Format programas.

Kompiuterinių virusų aptikimas

Virusams atpažinti yra specialios antivirusinės programos, kurios gali aptikti ir sunaikinti virusus. Tačiau ne visus virusus pavyksta aptikti, nes atsiranda vis naujų formų.

Antivirusinė programa yra panaši į vaistą, tai yra, ji selektyviai veikia vienus virusus, o kitus praleidžia. Taigi, jei antivirusinė programa kompiuteryje paleidžiama kiekvieną dieną (savaitę, mėnesį), tai vis tiek nėra visiško tikrumo, kad ji aptiks virusus.

Yra gana platus antivirusinių programų pasirinkimas. Tai Aidstest (Lozinsky), Dr Web, Norton antivirus for Windows, DSAV rinkinys ir kt. Pagal veikimo būdą juos galima suskirstyti į tris tipus:

1) Detektoriai, gamina skenavimas. Tai pati paprasčiausia ir dažniausiai pasitaikanti forma, kuri apima failų ir įkrovos įrašų peržiūrą, siekiant patikrinti jų turinį ir aptikti parašą (parašas yra virusinės programos kodas). Be parašo nuskaitymo, galima naudoti euristinės analizės metodą: tikrindami kodus, kad nustatytų virusams būdingus kodus, detektoriai pašalina aptiktus virusus, vadinamus polifagais. Tokios programos gali atlikti euristinę analizę ir aptikti naujus virusus.

2) Auditoriai– programos, kurios prisimena failų ir sistemos sričių būseną, dažnai apskaičiuodamos kontrolinę sumą arba failo dydį.

3) Programos – filtrai, arba nuolatiniai budėtojai, nuolat esantis kompiuterio RAM ir analizuojantis paleistus failus bei įdėtus diskelius. Jie informuoja vartotoją apie bandymą pakeisti įkrovos sektorių, nuolatinės programos išvaizdą, galimybę rašyti į diską ir kt.

4) Aparatinės įrangos apsauga yra valdiklis, kuris įkišamas į išplėtimo jungtį ir stebi prieigą prie diskelių ir standžiųjų diskų. galite apsaugoti tam tikras dalis, pvz., įkrovos įrašus, vykdomuosius failus, konfigūracijos failus ir kt. Skirtingai nuo ankstesnių metodų, jis taip pat gali veikti, kai kompiuteris yra užkrėstas.

5) Taip pat yra įdiegtų programų BIOS kompiuteryje, kai bandant rašyti į įkrovos sektorių ekrane pasirodo pranešimas apie tai.

Prevencinės priemonės nuo virusų

Profilaktikai jums reikia:

1. Duomenų archyvas. Archyvavimas – tai failų įrašymas į keičiamąją laikmeną. Dažniausiai šį vaidmenį atlieka specialiuose įrenginiuose (streameriuose) naudojami diskeliai arba magnetinės juostos. Pavyzdžiui, nereikia atsiminti Windows failų, jei turite diegimo diskelį, iš kurio galite iš naujo paleisti sistemą ir atkurti failus. Todėl, jei kompiuteryje tarp išimamųjų įrenginių yra tik diskeliai, turite atsiminti informaciją, kurią sunku atkurti.

Archyvavimas. Paprastai informacija įrašoma daugiau nei viename diske. Tarkime, informacija dedama į vieną diskelį, o kopijavimas atliekamas kartą per savaitę. Pirmiausia informacija įrašoma rugpjūčio 4 d., kitą kartą, rugpjūčio 11 d., įrašoma į kitą diskelį iš tų pačių katalogų. Rugpjūčio 18 d. įrašymas vėl vyksta į pirmąjį diskelį, rugpjūčio 25 d. į antrąjį, tada vėl į pirmąjį ir taip toliau, tam reikia turėti bent du diskelius. Faktas yra tas, kad rašant į diskelį gali įvykti gedimas ir didžioji dalis informacijos bus prarasta. Namų kompiuteryje karts nuo karto reikia daryti kopijas, tačiau dažnumą nustato vartotojas.

2. Taip kad viskas informacija, gauta iš kitų kompiuterių, patikrinta antivirusines programas. Jau buvo rašyta anksčiau, kad kai kurie failai, pavyzdžiui, su grafine informacija, yra gana saugūs viruso užkrėtimo požiūriu. Todėl, jei diskelyje yra tik tokia informacija, ši informacija nėra pavojinga. Jei aptinkamas virusas, turite patikrinti visus kompiuterius, kurie buvo prijungti prie užkrėsto per diskelius arba tinklą. Virusą būtina pašalinti ne tik iš standžiojo disko, bet ir iš diskelių bei archyvinių failų. Jei įtariate, kad jūsų kompiuteryje yra virusas arba informacija į kompiuterį perkeliama naudojant diskelius ar internetą, galite įdiegti antivirusines programasAutoexec. INadresu, kad įjungus kompiuterį jie pradėtų veikti.

3. Neįkraukite iš nežinomų diskelių. Kai paleidžiate iš standžiojo disko, įsitikinkite, kad A: arba B: nėra diskelių, ypač iš kitų įrenginių.

Išvada

Plačiai paplitęs asmeninių kompiuterių naudojimas, deja, pasirodė susijęs su savaime besidauginančių virusų programų atsiradimu, kurios trukdo normaliam kompiuterio darbui, naikina diskų failų struktūrą ir gadina kompiuteryje saugomą informaciją.

Kompiuterinis virusas– specialiai sukurta programa, skirta atlikti tam tikrus veiksmus, kurie trukdo dirbti kompiuteriu.

Kai kompiuterinis virusas įsiskverbia į vieną kompiuterį, jis gali išplisti į kitus kompiuterius.

Viruso programa yra parašyta Assembly kalba, kad būtų nedidelis dydis ir greitas vykdymas, nors yra programų, parašytų C, Pascal ir kitomis kalbomis. Daugelis nuolatinių virusų programų naudoja tvarkyklėse sukurtus principus, tai yra, pertraukimo lentelėje nustato viruso programos adresą, o virusui baigus veikti, valdymą perkelia į įprastą programą, kurios adresas anksčiau buvo pertraukimų lentelė. Tai vadinama kontrolės perėmimu.

Yra automatizuotų naujų virusų kūrimo programos, kurios leidžia interaktyviai sukurti viruso šaltinio tekstą Assembly kalba. Įvesdami paketą galite nustatyti parinktis, kurios leidžia nurodyti, kokius destruktyvius veiksmus virusas atliks, ar šifruos savo mašininio kodo tekstą, kaip greitai užkrės failus diskuose ir pan.

Svarbiausia, kad virusas būtų suvaldytas, kad galėtų pradėti veikti. Jei virusas iš karto pradėtų atlikti jam būdingą veiksmą, būtų lengviau jį atpažinti ir išvalyti kompiuterį nuo jo. Sunkumas tas, kad virusai gali pasirodyti ne iš karto, kai pasirodo kompiuteryje, o po tam tikro laiko, pavyzdžiui, tam tikrą dieną.

Šiuolaikiniame pasaulyje yra daug antivirusinių programų, kurios gali aptikti ir sunaikinti virusus. Tačiau ne visus virusus pavyksta aptikti, nes atsiranda vis naujų formų.

Kad virusinė programa nesugadintų antivirusinės programos, ją reikia įkelti iš sistemos diskelio, paleisti kompiuterį iš sistemos disko ir paleisti antivirusinę programą.

Nuolat atnaujinkite antivirusinę programinę įrangą, nes naujesnės versijos gali aptikti daugiau virusų tipų. Norėdami atnaujinti naujausias antivirusinių programų versijas, jas galite gauti per modemą arba paskambinkite antivirusinių kompanijų specialistams.

Bibliografija

A. Kostsovas, V. Kostsovas. Puiki enciklopedija. Viskas apie asmeninį kompiuterį. – M.: “Martynas”, 2003. – 720 p.

Informatika: vadovėlis. – 3-ioji peržiūra red. / Red. N.V. Makarova. – M.: Finansai ir statistika, 2005. – 768 p.: iliustr.

Informatika teisininkams ir ekonomistams. / Redagavo S. V. Simonovičius ir kiti - Sankt Peterburgas: Sankt Peterburgas, 2001. - 688 p. 6 iliustr.

Įvadas…………………………………………………………………………………………3

1. Kompiuteriniai virusai. Klasifikacija…………………………………….4

2. Kenkėjiškų programų kūrėjai………………………………………………5

3. Kenkėjiškos programinės įrangos aprašymas…………………………………………………..6

3.1. Polimorfiniai virusai…………………………………………………… 7

3.2. Slapti virusai…………………………………………………………………………………7

3.3 Trojos virusai……………………………………………………….7

3.4 Kirmėlės………………………………………………………………………………………..8

4. Virusų požymiai………………………………………………8

5. Kova su antivirusais…………………………………………………………..9

Išvada……………………………………………………………………………………10

Literatūros sąrašas…………………………………………………………..11

Įvadas

Kompiuteriai tapo tikrais žmonių padėjėjais, be jų neapsieina nei komercinė įmonė, nei valstybinė organizacija. Tačiau šiuo atžvilgiu informacijos saugumo problema tapo ypač opi.

Kompiuterinėse technologijose paplitę virusai sujaudino visą pasaulį. Daugelis kompiuterių vartotojų yra susirūpinę dėl gandų, kad kibernetiniai nusikaltėliai naudoja kompiuterinius virusus, kad įsilaužtų į tinklus, apiplėštų bankus ir pavogtų intelektinę nuosavybę.

Šiandien plačiai paplitęs asmeninių kompiuterių naudojimas, deja, buvo susijęs su savaime besidauginančių virusų programų atsiradimu, kurios trukdo normaliam kompiuterio darbui, naikina diskų failų struktūrą ir gadina kompiuteryje saugomą informaciją. .

Žiniasklaidoje vis dažniau pasigirsta pranešimų apie įvairiausius piratiškus kompiuterių chuliganų triukus, apie vis pažangesnių savaime besidauginančių programų atsiradimą. Visai neseniai tekstinių failų užkrėtimas virusu buvo laikomas absurdu – dabar tai nieko nenustebins. Nepaisant daugelyje šalių priimtų kovos su kompiuteriniais nusikaltimais įstatymų ir specialios antivirusinės programinės įrangos kūrimo, naujų programinės įrangos virusų skaičius nuolat auga. Tam asmeninio kompiuterio naudotojas turi turėti žinių apie virusų prigimtį, užsikrėtimo virusais būdus ir apsaugą nuo jų.

1. Kompiuteriniai virusai

Kompiuterinis virusas yra programa (tam tikras vykdomojo kodo/instrukcijų rinkinys), galinti sukurti savo kopijas (nebūtinai visiškai identiškas originalui) ir jas įdiegti į įvairius kompiuterinių sistemų objektus/resursus, tinklus ir pan. be vartotojo žinios. Tuo pačiu metu kopijos išlaiko galimybę jas toliau platinti.

Viruso klasifikacija:

1) pagal viruso buveinę

Failų virusai dažniausiai jie yra įterpiami į vykdomuosius failus su plėtiniais .exe ir .com (dažniausiai pasitaikantys virusai), tačiau gali būti įterpti ir į failus su operacinės sistemos komponentais, išorinių įrenginių tvarkykles, objektų failus ir bibliotekas, komandų paketinius failus, programą failai procedūrinėmis programavimo kalbomis (jie užkrečia vykdomuosius failus vertimo metu).

Įkrovos virusai yra įterpti į diskelio įkrovos sektorių (įkrovos sektorius) arba sektoriuje, kuriame yra sistemos disko įkrovos programa (pagrindinis įkrovos įrašas). Įkeliant DOS iš užkrėsto disko, toks virusas pakeičia įkrovos programą arba modifikuoja diske esančią failų paskirstymo lentelę, sukeldamas kompiuterio veikimo sunkumus ar net neleisdamas paleisti operacinės sistemos.

Failo paleidimas virusai integruoja dviejų ankstesnių grupių galimybes ir turi didžiausią infekcijos „efektyvumą“.

Tinklo virusai Jų platinimui jie naudoja telekomunikacijų sistemų (el. pašto, kompiuterių tinklų) komandas ir protokolus.

Dokumentų virusai(dažnai vadinami makrovirusais) užkrečia ir sugadina kai kurių populiarių redaktorių tekstinius failus (.doc) ir skaičiuoklių failus.

Kombinuoti tinklo makrovirusai ne tik užkrečia savo kuriamus dokumentus, bet ir siunčia šių dokumentų kopijas el.

2) buveinės užteršimo būdu;

Gyventojas virusas Kai kompiuteris yra užkrėstas, jis palieka savo nuolatinę dalį RAM, kuri vėliau perima operacinės sistemos prieigą prie užkrėtimo objektų ir įsiterpia į juos. Nerezidentų virusai neužkrėskite kompiuterio atminties ir yra aktyvūs ribotą laiką.

3) pagal destruktyvius gebėjimus

nekenksmingas, tie. kurie jokiu būdu neturi įtakos kompiuterio veikimui (išskyrus laisvos atminties mažinimą diske dėl jų platinimo);

Nepavojingas , kurių įtaką riboja sumažėjęs laisvos atminties kiekis diske ir grafiniai, garso ir kt. efektai;

4) pagal viruso algoritmo ypatybes .

Kompanioniniai virusai– Tai virusai, kurie nekeičia failų.

Virusai - "kirminai" (kirminas)- virusai, kurie plinta kompiuterių tinkle ir, kaip ir kompanioniniai virusai, nekeičia failų ar sektorių diskuose. Jie įsiskverbia į kompiuterio atmintį iš kompiuterių tinklo, apskaičiuoja kitų kompiuterių tinklo adresus ir šiais adresais siunčia savo kopijas. Tokie virusai kartais sukuria darbinius failus sistemos diskuose, bet gali visai nepasiekti kompiuterio išteklių (išskyrus RAM).

2. Kenkėjiškų programų kūrėjai

Didžiąją dalį virusų ir Trojos arklių anksčiau kūrė studentai ir moksleiviai, kurie ką tik išmoko programavimo kalbą, norėjo joje išbandyti savo jėgas, bet nerado jiems vertesnio panaudojimo. Tokie virusai buvo ir iki šių dienų rašomi tik jų autorių savęs patvirtinimui.

Antroje virusų kūrėjų grupėje taip pat yra jauni žmonės (dažniausiai studentai), kurie dar nėra visiškai įvaldę programavimo meno. Iš tokių „amatininkų“ rašiklio dažnai išeina itin primityvūs ir daug klaidų turintys virusai („studentų“ virusai). Tobulėjant internetui ir atsiradus daugybei svetainių, skirtų mokyti rašyti kompiuterinius virusus, tokių virusų kūrėjų gyvenimas tapo pastebimai lengvesnis. Dažnai čia galima rasti paruoštų šaltinio tekstų, kuriuose tereikia atlikti minimalius „autorinius“ pakeitimus ir kompiliuoti rekomenduojamu būdu.

Trečia, pavojingiausia grupė, kurianti ir į pasaulį paleidžianti „profesionalius“ virusus. Šias kruopščiai apgalvotas ir derinamas programas kuria profesionalūs, dažnai labai talentingi programuotojai. Tokie virusai dažnai naudoja gana originalius algoritmus prasiskverbti į sistemos duomenų sritis, klaidos operacinės aplinkos apsaugos sistemose, socialinę inžineriją ir kitus triukus.

Yra atskira ketvirtoji virusų autorių grupė – „tyrėjai“, kurie užsiima iš esmės naujų infekcijos būdų išradimu, slepiasi, kovoja su antivirusais ir pan. Dažnai tokių virusų autoriai neplatina savo kūrinių, o aktyviai propaguoja savo idėjas. per daugybę interneto išteklių, skirtų virusams kurti. Tuo pačiu metu tokių „tyrimų“ virusų keliamas pavojus yra labai didelis - patekusios į ankstesnės grupės „profesionalų“ rankas, šios idėjos labai greitai atsiranda naujuose virusuose.

3. Kenkėjiškos programos aprašymas

Kenkėjiška programinė įranga apima tinklo kirminus, klasikinius failų virusus, Trojos arklius, įsilaužimo programas ir kitas programas, kurios sąmoningai kenkia kompiuteriui, kuriame jos vykdomos, arba kitiems tinklo kompiuteriams.

3.1 Polimorfiniai virusai

Polimorfiniai virusai- virusai, modifikuojantys savo kodą užkrėstose programose taip, kad dvi to paties viruso kopijos gali nesutapti viename bite. Šio tipo kompiuteriniai virusai šiandien atrodo patys pavojingiausi. Tokie virusai ne tik šifruoja savo kodą naudodami skirtingus šifravimo kelius, bet ir turi šifruotojo ir iššifratoriaus generavimo kodą, kuris išskiria juos nuo įprastų šifravimo virusų, kurie taip pat gali užšifruoti savo kodo dalis, tačiau tuo pačiu turi pastovų šifravimo ir iššifravimo kodą. .

3.2 Slapti virusai

Slapti virusai apgauti antivirusines programas ir dėl to likti nepastebėti. Tačiau yra paprastas būdas išjungti slaptų virusų maskavimo mechanizmą. Pakanka paleisti kompiuterį iš neužkrėstos sistemos diskelio ir iš karto, nepaleidžiant kitų programų iš kompiuterio disko (kurios taip pat gali būti užkrėstos), nuskenuoti kompiuterį antivirusine programa. Įkeliant iš sistemos diskelio, virusas negali įgyti kontrolės ir įdiegti nuolatinį modulį RAM, kuris įgyvendina slaptą mechanizmą. Antivirusinė programa galės nuskaityti faktiškai įrašytą informaciją diske ir lengvai aptiks virusą.

3.3 Trojos virusai

Trojos arklys- tai programa, turinti tam tikrą naikinamąją funkciją, kuri aktyvuojama, kai įvyksta tam tikra paleidimo sąlyga. Paprastai tokios programos yra užmaskuotos kaip naudingos paslaugos. „Trojos arkliai“ – tai programos, kurios, be dokumentacijoje aprašytų funkcijų, įgyvendina ir kai kurias kitas funkcijas, susijusias su saugumo pažeidimais ir destrukciniais veiksmais. Buvo atvejų, kai tokios programos buvo sukurtos siekiant palengvinti virusų plitimą. Tokių programų sąrašai plačiai skelbiami užsienio spaudoje. Paprastai jie yra užmaskuoti kaip žaidimų ar pramogų programos ir daro žalą kartu su gražiomis nuotraukomis ar muzika.

Programinės įrangos žymėse taip pat yra tam tikra orlaiviui kenksminga funkcija, tačiau ši funkcija, priešingai, stengiasi būti kuo nepastebima, nes Kuo ilgiau programa nekelia įtarimų, tuo ilgiau gali veikti žymė.

3.4 Kirmėlės

Kirmėlės vadinami virusais, kurie plinta pasauliniais tinklais ir užkrečia visas sistemas, o ne atskiras programas. Tai pavojingiausias viruso tipas, nes tokiu atveju atakos objektais tampa nacionalinio masto informacinės sistemos. Atsiradus pasauliniam internetui, tokio tipo saugumo pažeidimai kelia didžiausią grėsmę, nes bet kuris iš 40 milijonų kompiuterių, prijungtų prie šio tinklo, gali bet kada susidurti su juo.

4. Virusų požymiai

Kai jūsų kompiuteris yra užkrėstas virusu, svarbu jį aptikti. Norėdami tai padaryti, turėtumėte žinoti apie pagrindinius virusų požymius. Tai apima:

1. anksčiau sėkmingai veikusių programų veikimo nutraukimas arba netinkamas veikimas

2. kompiuteris lėtas

3. nesugebėjimas įkelti operacinės sistemos

4. failų ir katalogų dingimas arba jų turinio sugadinimas

5. keisti failo modifikavimo datą ir laiką

6. failų dydžio keitimas

7. netikėtas reikšmingas failų skaičiaus padidėjimas diske

8. reikšmingas laisvos RAM dydžio sumažinimas

9. Netikėtų pranešimų ar vaizdų rodymas

10. duodamas netikėtus garso signalus

11. Dažni užšalimai ir kompiuterio gedimai

Reikėtų pažymėti, kad pirmiau minėti reiškiniai nebūtinai atsiranda dėl viruso buvimo, bet gali būti kitų priežasčių pasekmė. Todėl visada sunku teisingai diagnozuoti kompiuterio būklę.

5. Kova su antivirusais

Visais laikais buvo kenkėjiškų programų, kurios gana aktyviai apsisaugo. Tokia apsauga gali apimti:

Tikslinga antivirusinės, ugniasienės ar kitos apsaugos priemonės paieška sistemoje ir jos veikimo sutrikdymas. Pavyzdys galėtų būti kenkėjiška programa, ieškanti konkrečios antivirusinės programos pavadinimo procesų sąraše ir bandanti iškelti tą antivirusinę programą;

Failų blokavimas ir jų atidarymas su išskirtine prieiga kaip atsakomoji priemonė prieš failų antivirusus;

Hosts failo modifikavimas siekiant blokuoti prieigą prie antivirusinių naujinimų svetainių;

Aptinka saugos raginimo langus ir imituoja mygtuko Leisti spustelėjimą.

Tiesą sakant, tikslinis puolimas prieš gynybą yra labiau „priverstinė priemonė“, apsauganti ką nors prispaustą prie sienos, o ne aktyvus puolimas. Šiuolaikinėmis sąlygomis, kai antivirusai analizuoja ne tik kenkėjiškų programų kodą, bet ir jų elgesį, pastarosios atsiduria daugmaž neapsaugotos: nei polimorfizmas, nei pakavimas, nei net slėpimo technologijos sistemoje joms nesuteikia visiškos apsaugos. Todėl kenkėjiškos programos gali būti nukreiptos tik į atskiras „priešo“ apraiškas ar funkcijas. Be neišvengiamos būtinybės, šis savigynos būdas nebūtų toks populiarus, nes yra pernelyg nepalankus kuo platesnės apsaugos požiūriu.

Išvada

Iš viso to, kas išdėstyta aukščiau, galime daryti išvadą, kad kompiuterinis virusas yra specialiai parašyta nedidelė programa, galinti save „priskirti“ kitoms programoms, taip pat atlikti įvairius nepageidaujamus veiksmus kompiuteryje. Programa, kurioje yra virusas, vadinama „užkrėstomis“. Kai tokia programa pradeda veikti, virusas pirmiausia perima kontrolę. Virusas randa ir „užkrečia“ kitas programas, taip pat atlieka kai kuriuos žalingus veiksmus (pavyzdžiui, sugadina failus ar failų paskirstymo lentelę diske, „užkemša“ RAM ir pan.). Virusas yra programa, kuri turi galimybę daugintis pati. Šis gebėjimas yra vienintelė savybė, būdinga visų tipų virusams. Virusas negali egzistuoti „visiškai izoliuotas“. Tai reiškia, kad šiandien neįmanoma įsivaizduoti viruso, kuris kažkaip nesinaudotų kitų programų kodu, informacija apie failų struktūrą ar net tik kitų programų pavadinimais. To priežastis gana aiški: virusas turi kažkaip užtikrinti, kad kontrolė būtų perduota jam pačiam.

Veiksmingiausias būdas apsisaugoti nuo kompiuterinių virusų – neįvesti informacijos į kompiuterį iš išorės. Bet, deja, apsisaugoti 100% nuo virusų beveik neįmanoma (tai reiškia, kad vartotojas keičiasi diskeliais su draugais ir žaidžia žaidimus, taip pat gauna informaciją iš kitų).

Bibliografija

1. Leontjevas V.P. Naujausia asmeninio kompiuterio enciklopedija 2003 m. – 5 leid., pataisyta. ir papildomas - M.: OLMA-PRESS, 2003 m

2. Levin A.Sh. Savarankiškas darbo kompiuteriu vadovas – 9 leidimas, Sankt Peterburgas: Petras, 2006 m.

3. www.yandex. ru

4. www.google. ru

4. CD-ROM. Geriausi iš geriausių: esė, kursiniai darbai, diplomai, 2007 m

Buitiniai įkrovos sektoriaus virusai. Programos, kurios įrašytos į įkrovos programos uodegą C diske: arba pakeičiamos, atlikdamos ir ją, ir savo funkcijas nuo užkrėtimo momento. Šie virusai patenka į mašiną paleidžiant iš užkrėsto diskelio. Kai įkrovos programa nuskaitoma ir vykdoma, virusas įkeliamas į atmintį ir užkrečia viską, ką ji „sukurta“.

Pagrindinio įkrovos įrašo įkrovos virusai. Jie užkrečia sistemos pagrindinį įkrovos įrašą standžiuosiuose diskuose ir įkrovos sektorių diskeliuose. Šio tipo virusai perima sistemos valdymą žemiausiu lygiu perimdami komandas tarp kompiuterio aparatinės įrangos ir operacinės sistemos.

• · Makrovirusai: kai kurios kompiuterių programos naudoja makrokomandas dažnai atliekamoms procedūroms automatizuoti. Kadangi kompiuteriai tapo galingesni, jų sprendžiamos problemos tapo sudėtingesnės. Kai kurios makrokomandų kalbos suteikia galimybę rašyti failus kitais formatais nei originalus dokumentas. Šią funkciją virusų autoriai gali naudoti kurdami makrokomandas, kurios užkrečia dokumentus. Makrovirusai dažniausiai platinami per Microsoft Word ir Excel failus.
• · Kombinuoti virusai: virusai, pasižymintys aukščiau išvardytų savybių deriniu. Jie gali užkrėsti failus, įkrovos sektorius ir pagrindinius įkrovos įrašus.
• · Failų virusai: dabar pažiūrėkime, kaip veikia paprastas failų virusas. Skirtingai nuo įkrovos virusų, kurie beveik visada yra nuolatiniai, failų virusai nebūtinai yra nuolatiniai. Panagrinėkime nerezidento failo viruso veikimo schemą. Tarkime, kad turime užkrėstą vykdomąjį failą. Kai toks failas paleidžiamas, virusas įgyja kontrolę, atlieka tam tikrus veiksmus ir perduoda valdymą „host“

Kokius veiksmus atlieka virusas? Ji ieško naujo objekto, kurį nori užkrėsti – tinkamo tipo failo, kuris dar nebuvo užkrėstas. Užkrėsdamas failą, virusas įveda save į jo kodą, kad galėtų kontroliuoti failo vykdymą. Be pagrindinės savo funkcijos – dauginimosi, virusas gali atlikti kažką sudėtingo (tarkim, klausti, žaisti) – tai jau priklauso nuo viruso autoriaus vaizduotės. Jei failo virusas yra nuolatinis, jis įsidiegs į atmintį ir galės užkrėsti failus bei parodyti kitus gebėjimus ne tik tada, kai veikia užkrėstas failas. Užkrėsdamas vykdomąjį failą, virusas visada pakeičia savo kodą – todėl visada galima aptikti vykdomojo failo užkrėtimą. Tačiau pakeitus failo kodą, virusas nebūtinai atlieka kitus pakeitimus:

• · jis neprivalo keisti failo ilgio
• nepanaudotos kodo dalys
• · nereikia keisti failo pradžios

Galiausiai, failų virusai dažnai apima virusus, kurie „turi tam tikrą ryšį su failais“, bet neturi būti įterpti į savo kodą.

Taigi, paleidus bet kurį failą, virusas įgyja kontrolę (operacinė sistema ją paleidžia pati), įsikuria atmintyje ir perduoda valdymą iškviestam failui.

• · Įkrovos failo virusai: įkrovos failo viruso modelio nenagrinėsime, nes nesužinosite jokios naujos informacijos. Tačiau čia yra gera proga trumpai aptarti pastaruoju metu itin „populiarų“ įkrovos failų virusą OneHalf, kuris užkrečia pagrindinį įkrovos sektorių (MBR) ir vykdomuosius failus. Pagrindinis destruktyvus poveikis yra kietojo disko sektorių šifravimas. Kiekvieną kartą paleidus, virusas užšifruoja kitą sektorių dalį ir, užšifravęs pusę kietojo disko, apie tai su džiaugsmu praneša. Pagrindinė problema gydant šį virusą yra ta, kad neužtenka tik pašalinti virusą iš MBR ir failų, reikia iššifruoti jo užšifruotą informaciją.
• · Polimorfiniai virusai: dauguma klausimų yra susiję su terminu „polimorfinis virusas“. Šio tipo kompiuteriniai virusai šiandien atrodo patys pavojingiausi. Paaiškinkime, kas tai yra.

Polimorfiniai virusai yra virusai, kurie modifikuoja savo kodą užkrėstose programose taip, kad dvi to paties viruso kopijos gali nesutapti viename bite.

Tokie virusai ne tik šifruoja savo kodą naudodami skirtingus šifravimo kelius, bet ir turi šifruotojo ir iššifratoriaus generavimo kodą, kuris išskiria juos nuo įprastų šifravimo virusų, kurie taip pat gali užšifruoti savo kodo dalis, tačiau tuo pačiu turi pastovų šifravimo ir iššifravimo kodą. .

Polimorfiniai virusai yra virusai su savaime besikeičiančiais iššifratoriais. Tokio šifravimo tikslas: jei turite užkrėstą ir originalų failą, vis tiek negalėsite analizuoti jo kodo naudodami įprastą išardymą. Šis kodas yra užšifruotas ir yra beprasmis komandų rinkinys. Vykdymo metu iššifravimą atlieka pats virusas. Šiuo atveju galimi variantai: jis gali iššifruoti save iš karto arba gali atlikti tokį iššifravimą „skraidydamas“, gali iš naujo užšifruoti jau panaudotas dalis. Visa tai daroma tam, kad būtų sunku analizuoti viruso kodą.

· Stealth virusai: nuskaitant kompiuterį, antivirusinės programos nuskaito duomenis – failus ir sistemos sritis iš standžiųjų diskų ir diskelių, naudodamos operacinę sistemą ir BIOS pagrindinę įvesties/išvesties sistemą. Kai kurie virusai po paleidimo palieka specialius modulius kompiuterio RAM, kurie perima programas, pasiekiančias kompiuterio disko posistemį. Jei toks modulis nustato, kad programa bando nuskaityti užkrėstą failą ar disko sistemos sritį, jis pakeičia skaitomus duomenis, tarsi diske nebūtų viruso.

Slapti virusai apgauna antivirusines programas ir dėl to lieka nepastebėti. Tačiau yra paprastas būdas išjungti slaptų virusų maskavimo mechanizmą. Pakanka paleisti kompiuterį iš neužkrėstos sistemos diskelio ir iš karto, nepaleidžiant kitų programų iš kompiuterio disko (kurios taip pat gali būti užkrėstos), nuskenuoti kompiuterį antivirusine programa.

Įkeliant iš sistemos diskelio, virusas negali įgyti kontrolės ir įdiegti nuolatinį modulį RAM, kuris įgyvendina slaptą mechanizmą. Antivirusinė programa galės nuskaityti faktiškai įrašytą informaciją diske ir lengvai aptiks virusą.

· Trojos arkliai, programinės įrangos žymės ir tinklo kirminai: Trojos arklys (žr. 2 priedą, 2 pav.) yra programa, kurioje yra tam tikra naikinamoji funkcija, kuri aktyvuojama įvykus tam tikrai paleidimo sąlygai. Paprastai tokios programos yra užmaskuotos kaip naudingos paslaugos. Virusai gali nešti Trojos arklius arba „Trojanizuoti“ kitas programas – įvesti į jas destruktyvių funkcijų.

„Trojos arkliai“ – tai programos, kurios, be dokumentacijoje aprašytų funkcijų, įgyvendina ir kai kurias kitas funkcijas, susijusias su saugumo pažeidimais ir destrukciniais veiksmais. Buvo atvejų, kai tokios programos buvo sukurtos siekiant palengvinti virusų plitimą. Tokių programų sąrašai plačiai skelbiami užsienio spaudoje. Paprastai jie yra užmaskuoti kaip žaidimų ar pramogų programos ir daro žalą kartu su gražiomis nuotraukomis ar muzika.

· Programinės įrangos žymėse taip pat yra tam tikra orlaiviui kenksminga funkcija, tačiau ši funkcija, priešingai, stengiasi būti kuo mažiau pastebima, nes Kuo ilgiau programa nekelia įtarimų, tuo ilgiau gali veikti žymė.

Jei virusai ir Trojos arkliai padaro žalą lavinomis primenančiu savęs paplitimu ar tiesioginiu sunaikinimu, tai pagrindinė kirminų tipo virusų, veikiančių kompiuterių tinkluose, funkcija yra įsilaužti į atakuojamą sistemą, t.y. įveikiant apsaugą, kad būtų pažeistas saugumas ir vientisumas.

Daugiau nei 80% kompiuterinių nusikaltimų, kuriuos ištiria FTB, „krekeriai“ į užpultą sistemą įsiskverbia per internetą. Kai toks bandymas pavyksta, įmonės, kuriai kurti prireikė metų, ateičiai gali kilti pavojus per kelias sekundes.

Šį procesą galima automatizuoti naudojant virusą, vadinamą tinklo kirminu.

· Kirminai yra virusai, kurie plinta pasauliniais tinklais ir užkrečia visas sistemas, o ne atskiras programas. Tai pavojingiausias viruso tipas, nes tokiu atveju atakos objektais tampa nacionalinio masto informacinės sistemos. Atsiradus pasauliniam internetui, tokio tipo saugumo pažeidimai kelia didžiausią grėsmę, nes bet kuris iš 40 milijonų kompiuterių, prijungtų prie šio tinklo, gali bet kada susidurti su juo.

kompiuteris su virusų programa

Kaip jau minėta, labiausiai paplitę yra Trojos arkliai, polimorfiniai ir nepolimorfiniai šifravimo virusai, slapti virusai, lėti virusai, retro virusai, sudėtiniai virusai, ginkluoti virusai, fagų virusai ir makrovirusai. Kiekvienas iš jų atlieka tam tikrus veiksmus:

1. Trojos arkliai yra virusai, kurie slepiasi duomenų failuose (pavyzdžiui, suspaustuose failuose ar dokumentuose). Siekiant išvengti aptikimo, kai kurių tipų Trojos arkliai taip pat yra paslėpti vykdomuosiuose failuose. Taigi ši programa gali būti tiek programų failuose, tiek bibliotekos failuose, kurie buvo suspausta forma. Tačiau Trojos arkliuose dažnai yra tik virusų programos. Turbūt geriausią Trojos arklių apibrėžimą pateikė Danas Edwardsas, buvęs įsilaužėlis, kuris dabar kuria antivirusinę programinę įrangą NSA (Nacionalinei saugumo administracijai). Pasak Dano, Trojos arklys yra „nesaugi programa, kuri prisidengia nekenksminga programa, tokia kaip archyvatorius, žaidimas arba (1990 m. žinoma) virusų aptikimo ir naikinimo programa“. Dauguma naujų antivirusinių programų aptinka beveik visus Trojos arklius.

Vienas garsiausių Trojos arklių buvo Crackerjack programa. Kaip ir visos kitos internete esančios slaptažodžių nulaužimo priemonės, ši programa patikrino pasirinktame faile esančių slaptažodžių santykinį stiprumą. Po paleidimo jis parodė nulaužtų slaptažodžių sąrašą ir paragino vartotoją ištrinti šį failą. Pirmoji programos versija ne tik nulaužė slaptažodžius, bet ir perdavė juos Trojos arklio autoriui. Kaip matote patys, „Crackerjack“ pasirodė gana naudingas įrankis. Norėdami tai padaryti, tiesiog atsisiųskite programą iš interneto.

2. Polimorfiniai virusai yra virusai, kurie užšifruoja savo kūną ir todėl gali išvengti aptikimo patikrinę viruso parašą. Prieš pradėdamas darbą, toks virusas išsišifruoja naudodamas specialią iššifravimo procedūrą. Kaip aptarta 4 skyriuje, iššifravimo procedūra užšifruotą informaciją paverčia paprasta informacija. Norėdami iššifruoti viruso kūną, iššifravimo procedūra perima mašinos valdymą. Po iššifravimo kompiuterio valdymas perduodamas iššifruotam virusui. Pirmieji šifravimo virusai buvo nepolimorfiniai. Kitaip tariant, viruso iššifravimo procedūra nesikeitė nuo kopijos iki kopijos. Todėl antivirusinės programos gali aptikti virusą pagal iššifravimo procedūrai būdingą parašą. Tačiau netrukus padėtis kardinaliai pasikeitė. Polimorfinius virusus labai sunku aptikti. Faktas yra tas, kad su kiekviena nauja infekcija jie sukuria visiškai naujas iššifravimo procedūras. Dėl šios priežasties viruso parašas keičiasi iš vieno failo į failą. Šifravimo procedūrai pakeisti naudojamas gana paprastas mašininio kodo generatorius, vadinamas mutacijų generatoriumi. Tam naudojamas atsitiktinių skaičių generatorius ir gana paprastas viruso parašo keitimo algoritmas. Su jo pagalba programuotojas bet kurį virusą gali paversti polimorfiniu. Norėdami tai padaryti, o turi pakeisti viruso tekstą taip, kad prieš kiekvieną jo kopijos kūrimą jis iškviestų mutacijų generatorių.

Nepaisant to, kad polimorfinių virusų neįmanoma aptikti naudojant įprastus nuskaitymo metodus (pvz., lyginant kodo eilutes), jie vis tiek aptinkami specialiomis antivirusinėmis programomis. Taigi galima aptikti polimorfinius virusus. Tačiau šis procesas užima daug laiko, o antivirusinės programos kūrimas reikalauja daug daugiau pastangų. Naujausi antivirusinės programinės įrangos atnaujinimai ieško šifravimo procedūrų, kurios aptinka polimorfinius virusus. Polimorfinis virusas pakeičia savo parašą kurdamas kitą kopiją. iš failo į failą.

• 3. Stealth virusai yra virusai, kurie slepia pakeitimus, sukurtus užkrėstame faile. Norėdami tai padaryti, jie stebi sistemos funkcijas, kad skaitytų failus ar sektorius laikmenose. Jei tokia funkcija iškviečiama, virusas bando pakeisti gaunamus rezultatus: vietoj tikros informacijos virusas funkcijai perduoda neužkrėsto failo duomenis. Taigi antivirusinė programa negali aptikti jokių failo pakeitimų. Tačiau norint perimti sistemos skambučius, virusas turi būti mašinos atmintyje. Visos pakankamai geros antivirusinės programos gali aptikti tokius virusus atsisiunčiant užkrėstą programą. Geras slapto viruso pavyzdys yra vienas iš pirmųjų dokumentuotų DOS virusų „Brain“. Šis įkrovos virusas stebėjo visas disko sistemos įvesties / išvesties operacijas ir peradresavo skambutį, kai sistema bandė nuskaityti užkrėstą įkrovos sektorių. Tokiu atveju sistema nuskaitė informaciją ne iš įkrovos sektoriaus, o iš tos vietos, kur virusas išsaugojo šio sektoriaus kopiją. Stealth virusai taip pat yra skaičiaus, žvėries ir Frodo virusai. Programuotojų kalba, jie pertraukia pertraukimą 21H, pagrindinį DOS pertraukimą. Todėl bet kurią vartotojo komandą, galinčią aptikti virusą, virusas nukreipia į konkrečią atminties vietą. Dėl šios priežasties vartotojas negali „pastebėti“ viruso. Paprastai slapti virusai yra arba nematomi, arba nematomi perskaityti. Nematomo dydžio virusai priklauso virusų, užkrečiančių failus, potipiui. Tokie virusai įterps savo kūną į failą, todėl jo dydis padidės. Tačiau virusas pakeičia failo dydžio informaciją, kad vartotojas negalėtų aptikti jo buvimo. Kitaip tariant, sistema nurodo, kad užkrėsto failo ilgis yra lygus įprasto (neužkrėsto) failo ilgiui. Virusai, kurie yra nematomi skaityti (pvz., Stoned.Monkey), perima užklausas nuskaityti užkrėstą įkrovos įrašą arba failą ir atsakydami pateikia originalią informaciją, kurios virusas nepakeis. Vėlgi, vartotojas negali aptikti viruso. Slaptus virusus aptikti gana lengva. Dauguma standartinių antivirusinių programų sugauna slaptus virusus. Norėdami tai padaryti, pakanka paleisti antivirusinę programą, kol virusas nebus įtrauktas į mašinos atmintį. Turite paleisti kompiuterį iš tuščio įkrovos diskelio ir paleisti antivirusinę programą. Kaip jau minėta, slapti virusai gali užsimaskuoti tik tada, kai jie jau yra atmintyje. Jei taip nėra, antivirusinė programa lengvai aptiks tokių virusų buvimą standžiajame diske.
• 4. Lėtus virusus labai sunku aptikti, nes jie užkrečia tik operacinės sistemos modifikuotus ar nukopijuotus failus. Kitaip tariant, lėtas virusas užkrečia bet kurį vykdomąjį failą ir tai daro tuo metu, kai vartotojas atlieka tam tikras operacijas su šiuo failu. Pavyzdžiui, lėtas virusas gali užkrėsti diskelio įkrovos įrašą vykdydamas sistemos komandas, kurios pakeičia šį įrašą (pavyzdžiui, FORMAT arba SYS). Lėtas virusas gali užkrėsti failo kopiją neužkrėsdamas šaltinio failo. Vienas žinomiausių lėtų virusų yra Darth_Vader, kuris užkrečia tik COM failus ir tik kol jie yra rašomi.

Lėtųjų virusų aptikimas yra gana sudėtingas procesas. Vientisumo sargas turi aptikti naują failą ir informuoti vartotoją, kad failas neturi kontrolinės sumos reikšmės. Integrity Guardian yra antivirusinė programa, kuri stebi standžiųjų diskų turinį, taip pat kiekvieno juose esančio failo dydį ir kontrolinę sumą. Jei saugotojas nustato turinio ar dydžio pasikeitimus, jis nedelsdamas apie tai praneš vartotojui. Tačiau pranešimas taip pat bus išsiųstas, jei vartotojas pats sukurs naują failą. Todėl labiau tikėtina, kad vartotojas nurodys vientisumo saugotojui apskaičiuoti naują naujo (užkrėsto) failo kontrolinę sumą.

Sėkmingiausia priemonė nuo lėtųjų virusų yra vientisumo apvalkalai. Sąžiningumo apvalkalai yra nuolatiniai vientisumo sergėtojai. Jie nuolat yra kompiuterio atmintyje ir stebi kiekvieno naujo failo kūrimą, o virusas praktiškai neturi jokių šansų. Kitas būdas patikrinti vientisumą – sukurti spąstus. Čia speciali antivirusinė programa sukuria keletą specifinio turinio COM ir EXE failų. Tada programa patikrina šių failų turinį. Jei lėtas virusas juos užkrečia, vartotojas apie tai iš karto sužinos. Pavyzdžiui, lėtas virusas gali stebėti failų kopijavimo programą. Jei DOS įvykdys kopijavimo užklausą, virusas įdės savo turinį į naują failo kopiją.

• 5. Retro virusas – tai virusas, kuris bando apeiti arba trukdyti antivirusinėms programoms. Kitaip tariant, šie virusai atakuoja antivirusinę programinę įrangą. Kompiuterių specialistai retro virusus vadina antivirusiniais. (Nepainiokite antivirusinių su antivirusiniais virusais – virusais, skirtais sunaikinti kitus virusus.) Retro viruso kūrimas yra gana paprasta užduotis. Juk virusų kūrėjai turi prieigą prie visų antivirusinių programų. Įsigydami tokią programą, jie tiria jos veikimą, randa gynybos spragas ir pagal atrastas klaidas sukuria virusą. Dauguma retro virusų ieško ir ištrina failus, kuriuose yra viruso parašo duomenų. Taigi antivirusinė programa, kuri naudojo šį failą, nebegali normaliai veikti. Sudėtingesni retrovirusai ieško ir ištrina duomenų bazes, kuriose yra informacijos apie failų vientisumą. Tokios duomenų bazės ištrynimas turi tokį patį poveikį vientisumo sergėtojui, kaip ir failų su virusų parašais ištrynimas antivirusinėje programoje. Daugelis retro virusų aptinka antivirusinių programų aktyvavimą ir tada pasislepia nuo programos arba sustabdo jos vykdymą. Be to, jie gali pradėti naikinimo procedūrą prieš tai, kai antivirusinė programa aptinka jų buvimą. Kai kurie retrovirusai modifikuoja antivirusinį skaičiavimo apvalkalą ir taip paveikia antivirusinių programų vykdymą. Be to, yra retro virusų, kurie naudojasi antivirusinės programinės įrangos trūkumais, kad sulėtintų arba panaikintų programos efektyvumą.
• 6. Sudėtiniai virusai užkrečia ir vykdomuosius failus, ir diskų įkrovos sektorius. Be to, jie gali užkrėsti diskelių įkrovos sektorius. Jie gavo šį pavadinimą, nes įvairiais būdais užkrečia kompiuterį. Kitaip tariant, jie neapsiriboja vienu failo tipu ar konkrečia disko vieta. Jei paleisite užkrėstą programą, virusas užkrės jūsų standžiojo disko įkrovos įrašą. Kitą kartą įjungus aparatą virusas bus aktyvuotas ir užkrės visas veikiančias programas. Vienas garsiausių sudėtinių virusų yra One-Half, turintis slapto ir polimorfinio viruso savybes.
• 7. Ginkluoti virusai apsisaugo naudodami specialų kodą, todėl virusą sekti ir išardyti labai sunku. Ginkluoti virusai gali naudoti „manekeną“, kad apsisaugotų. Tai kodas, leidžiantis nukreipti antivirusinių programų kūrėją nuo tikro viruso kodo. Be to, virusas gali turėti specialų fragmentą, kuris rodo, kad virusas yra vienoje vietoje, nors iš tikrųjų jo ten nebus. Vienas garsiausių ginkluotų virusų yra banginis.
• 8. Virusai yra palydovai. Šie virusai gavo savo pavadinimą, nes kartu su užkrečiamu failu jie sukuria failą tuo pačiu pavadinimu, bet kitokiu plėtiniu. Pavyzdžiui, kompanionas virusas gali saugoti savo kūną faile winword.com. Dėl šios priežasties prieš kiekvieną winword.exe failo paleidimą operacinė sistema paleis failą winword.com, kuris bus kompiuterio atmintyje. Paprastai kompanioninius virusus generuoja fagų virusai.
• 9. Paskutinis klasikinis virusų tipas yra fagų virusai. Fagų virusas yra programa, kuri modifikuoja kitas programas ar duomenų bazes. Kompiuterių specialistai šiuos virusus vadina fagais, nes jie veikia kaip gyvi mikroorganizmai. Gamtoje fagų virusai yra ypač kenksmingi mikroorganizmai, pakeičiantys ląstelės turinį savo. Paprastai fagai programos tekstą pakeičia savo kodu. Dažniausiai jie yra kompanioninių virusų generatoriai. Fagai yra pavojingiausias viruso tipas. Faktas yra tas, kad jie ne tik dauginasi ir užkrečia kitas programas, bet ir stengiasi sunaikinti visas užkrėstas programas.
• 10. Sliekas. Pirmajame šio kursinio darbo skyriuje jau kalbėjau apie garsųjį interneto kirminą, pasirodžiusį devintojo dešimtmečio pabaigoje. Kaip jau minėta, interneto kirminas (dar žinomas kaip Morriso kirminas) buvo pirmasis virusas, užkrėtęs internetą. Šis virusas padarė kompiuterį neįmanomą veikti, nes kompiuterio atmintyje sukūrė daugybę savo kopijų. Kadangi kirminas bando sustabdyti užkrėstą kompiuterį, viruso kūrėjas turi suteikti jam galimybę judėti tinkle iš vienos mašinos į kitą. Jau kalbėjau apie tai, kaip kirminai kopijuoja save į kitus kompiuterius naudodami protokolus ir sistemas, aprašytas antrame skyriuje. Nuotolinis atkūrimas yra būtinas, nes sustabdęs įrenginį vartotojas bandys išvalyti visus virusus iš standžiojo disko. Kirminams nereikia keisti priimančiosios programos, kad galėtų plisti. Kad kirminai veiktų tinkamai, reikalingos operacinės sistemos, suteikiančios nuotolinio vykdymo galimybes ir leidžiančios kompiuteryje vykdyti gaunamas programas. 1988 metais tokias galimybes turėjo tik viena operacinė sistema – Unix. Dar visai neseniai daugelis asmeninių kompiuterių negalėjo būti užkrėsti kirminu – to neleidžia nei DOS, nei Windows 95. Tačiau Windows NT jau turi nuotolinio vykdymo galimybes, todėl gali palaikyti kirminų virusų veikimą.

Vienas iš labiausiai paplitusių virusų internete yra WINSTART. Pavadinimą jis gavo iš failo pavadinimo – winstart.bat – kuriame dažniausiai yra viruso kūnas. Šis kirminas, kaip ir daugelis kitų, kopijuoja save į mašinos atmintį, kol išjungiama operacinė sistema. Po to kompiuteris automatiškai užšąla. Vykdymo metu virusas tuo pačiu metu ieško kitos aukos. Ironiška, bet kirminas yra ne tik specifinis viruso tipas, bet ir labai naudinga antivirusinė priemonė. Daugumos standartinių audito įrankių ir vientisumo sergėtojų trūkumas yra tas, kad jie taip pat gali tapti virusų aukomis. Tačiau saugos informaciją ir programas galima saugoti izoliuotose ir nekintamose laikmenose. Šiems tikslams labiausiai tinka WORM diskai. („Write-one, read-many“ – vienas įrašas, daugkartinis skaitymas; angliškas žodis worm verčiamas kaip kirminas. – Vertėjo pastaba). WORM diskų įrenginys paprastai yra optinis saugojimo įrenginys, galintis valdyti kelis WORM diskus.

Kompiuteriniams virusams priskiriami ir vadinamieji Trojos arkliai (Trojos programos, Trojos arkliai).

Programinės įrangos virusai.

Programinės įrangos virusai yra programos kodo blokai, kurie tikslingai įterpiami į kitas taikomąsias programas. Kai paleidžiate programą, kuri neša virusą, paleidžiamas joje įdiegtas viruso kodas.

Šio kodo veikimas sukelia nuo vartotojo paslėptus pakeitimus kietųjų diskų failų sistemoje ir/arba kitų programų turinyje. Pavyzdžiui, virusinis kodas gali daugintis kitų programų korpuse – šis procesas vadinamas replikacija. Po tam tikro laiko, sukūręs pakankamą kopijų skaičių, programinės įrangos virusas gali imtis destruktyvių veiksmų: sutrikdyti programų ir operacinės sistemos veikimą, ištrinti standžiajame diske saugomą informaciją. Šis procesas vadinamas viruso ataka.

Labiausiai žalingi virusai gali inicijuoti standžiųjų diskų formatavimą. Kadangi disko formatavimas yra gana ilgas procesas, kurio vartotojas neturėtų nepastebėti, daugeliu atvejų programinės įrangos virusai apsiriboja duomenų padauginimu tik kietojo disko sistemos sektoriuose, o tai prilygsta failų sistemos lentelių praradimui. Tokiu atveju standžiajame diske esantys duomenys lieka nepaliesti, tačiau jų negalima naudoti nenaudojant specialių įrankių, nes nežinoma, kurie disko sektoriai kokiems failams priklauso. Teoriškai tokiu atveju atkurti duomenis įmanoma, tačiau šio darbo darbo intensyvumas gali būti itin didelis.

Manoma, kad joks virusas negali pažeisti kompiuterio aparatinės įrangos. Tačiau kartais aparatinė ir programinė įranga yra taip tarpusavyje susijusios, kad programinės įrangos pažeidimas turi būti pašalintas pakeičiant aparatinę įrangą. Pavyzdžiui, dauguma šiuolaikinių pagrindinių plokščių pagrindinę įvesties/išvesties sistemą (BIOS) saugo perrašomoje tik skaitomoje atmintyje (vadinamąja „flash“ atmintimi).

Galimybę perrašyti informaciją „flash“ atminties luste naudoja kai kurie programinės įrangos virusai, norėdami sunaikinti BIOS duomenis.

Tokiu atveju, norint atkurti kompiuterio funkcionalumą, reikia arba pakeisti BIOS talpinantį lustą arba perprogramuoti jį naudojant specialią programinę įrangą.

Programinės įrangos virusai į kompiuterį patenka, kai vykdomos nepatikrintos programos, gautos į išorines laikmenas (diskelis, kompaktinis diskas ir kt.) arba gautos iš interneto. Pradedant reikia atkreipti ypatingą dėmesį į žodžius. Jei tiesiog nukopijuosite užkrėstus failus, jūsų kompiuteris negalės būti užkrėstas. Atsižvelgiant į tai, visi duomenys, gauti iš interneto, turi būti tikrinami privalomai, o jei neprašyti duomenys gaunami iš nepažįstamo šaltinio, jie turi būti sunaikinti be tyrimo. Įprastas Trojos arklių programų platinimo būdas yra priedas prie el. laiško su „rekomendacija“ ištraukti ir paleisti tariamai naudingą programą.

Įkrovos virusai.

Įkrovos virusai nuo programinės įrangos virusų skiriasi tuo, kaip jie plinta. Jie puola ne programų failus, o specifines magnetinių laikmenų sistemos sritis (diskelius ir kietuosius diskus). Be to, kai kompiuteris įjungtas, jie laikinai gali būti RAM.

Paprastai infekcija įvyksta, kai kompiuteris paleidžiamas iš magnetinės laikmenos, kurios sistemos srityje yra įkrovos virusas. Pavyzdžiui, kai bandote paleisti kompiuterį iš diskelio, virusas pirmiausia prasiskverbia į RAM, o tada į standžiojo disko įkrovos sektorių. Tada šis kompiuteris pats tampa įkrovos viruso platinimo šaltiniu.

Makrovirusai.

Šis specialus viruso tipas užkrečia dokumentus, vykdomus tam tikrose taikomosiose programose. Turėti priemonių vykdyti vadinamąsias makrokomandas. Visų pirma, tokie dokumentai apima Microsoft Word teksto rengyklės dokumentus (jie turi .Doc plėtinį). Užsikrečiama, kai programos lange atidaromas dokumento failas, nebent programoje išjungta galimybė vykdyti makrokomandas.

Kaip ir kitų tipų virusų atveju, atakos pasekmės gali būti nuo santykinai nekenksmingų iki destruktyvių.

Pagrindiniai kompiuterinių virusų tipai.

Šiuo metu yra žinoma daugiau nei 5000 programinės įrangos virusų, juos galima klasifikuoti pagal šiuos kriterijus (1 pav.):

• - buveinė;
• -buveinės užteršimo būdas;
• -poveikis;
• - algoritmo ypatybės:

Priklausomai nuo jų buveinės, virusai gali būti skirstomi į tinklo, failų, įkrovos ir failų įkrovos virusus.

Tinklo virusai plinta įvairiuose kompiuterių tinkluose.

Failų virusai daugiausia įterpiami į vykdomuosius modulius, t.y. į failus su COM ir EXE plėtiniais. Failų virusai gali būti įterpti į kitų tipų failus, tačiau, kaip taisyklė, įrašyti į tokius failus, jie niekada neįgyja kontrolės ir dėl to praranda galimybę daugintis.

Įkrovos virusai yra įterpti į disko įkrovos sektorių (Boot) arba sektorių, kuriame yra sistemos disko įkrovos programa (Master Boot Record).

Failų įkrovos virusai užkrečia ir failus, ir diskų įkrovos sektorius.

Pagal užsikrėtimo būdą virusai skirstomi į nuolatinius ir nerezidentus.

• - Kai nuolatinis virusas užkrečia kompiuterį, jis palieka savo nuolatinę dalį RAM, kuri vėliau perima operacinės sistemos prieigą prie užkrėstų objektų (failų, įkrovos sektorių ir kt.) ir įsiterpia į juos. Vietiniai virusai yra atmintyje ir yra aktyvūs tol, kol kompiuteris išjungiamas arba perkraunamas.
• – Nerezidentai virusai neužkrečia kompiuterio atminties ir yra aktyvūs ribotą laiką.

Pagal poveikio laipsnį virusai gali būti suskirstyti į šiuos tipus:

• - nepavojingas, netrukdo kompiuterio darbui, tačiau mažina laisvos RAM ir disko atminties kiekį, tokių virusų veiksmai pasireiškia kai kuriais grafiniais ar garso efektais;
• - pavojingus virusus, kurie gali sukelti įvairių problemų su kompiuteriu;
• - labai pavojingas, kurio poveikis gali sukelti programų praradimą, duomenų sunaikinimą ir informacijos ištrynimą disko sistemos srityse.