Главная | Обратная связь | Поможем написать вашу работу!

Класифікація вірусів

Шкідницькі програми і, перш за все, віруси представляють дуже серйозну небезпеку для інформації в КС. Недооцінка цієї небезпеки може мати серйозні наслідки для інформації користувачів. Шкодить використанню всіх можливостей КС і надмірне перебільшення небезпеки вірусів. Знання механізмів дії вірусів, методів і засобів боротьби з ними дозволяє ефективно організувати протидію вірусам, звести до мінімуму ймовірність зараження і втрат від їх впливу. Термін "комп'ютерний вірус" була введена відносно недавно в середині 80-х років. Малий розмір, можливість розповсюдження, поширення та проникаючим об'єктів (забруднюючих їх), негативний вплив на система всі ці ознаки біологічних вірусів притаманні і шкідливим програм, які отримали, з цієї причини, в ім'я «комп'ютерних вірусів.», однак термін "вірусом" під час роботи з комп'ютерних вірусів та інші медичні терміни використовуються: "зараження", "середовище перебування", "профілактика" та інші. «Комп'ютерні віруси» - це невеликі виконувані або інтерпретовані програми, що володіють властивістю розповсюдження і самовідтворення (реплікації) в КС. Віруси можуть виконувати зміну або знищення програмного забезпечення або даних, що зберігаються в КС. У процесі поширення віруси можуть себе модифіковані.

Класифікація комп'ютерних вірусів. В даний час в світі налічується більше 40 тисяч тільки зареєстрованих комп'ютерних вірусів. Оскільки переважна більшість сучасних шкідницьких програм мають здатність до саморозмноження, то часто їх відносять до комп'ютерних вірусів. Всі комп'ютерні віруси можуть бути класифіковані за такими ознаками [4,20]:

• по середовищу проживання;

• за способом зараження;

• за ступенем небезпеки деструктивних (шкідницьких) впливів;

• за алгоритмом функціонування.

За середовищі існування комп'ютерні віруси діляться на:

• мережеві;

• файлові;

• завантажувальні;

• комбіновані.

Середовищем існування мережевих вірусів є елементи комп'ютерних мереж. Файлові віруси розміщуються у виконуваних файлах. Завантажувальні віруси знаходяться в завантажувальних секторах (областях) зовнішніх запам'ятовуючих пристроїв (boot-сектори). Іноді завантажувальні віруси називають бутовими. Комбіновані віруси розміщуються в кількох середовищах перебування. Прикладом таких вірусів служать завантажувально-файлові віруси. Ці віруси можуть розміщуватися як в завантажувальних секторах накопичувачів на магнітних дисках, так і в тілі завантажувальних файлів.

За способом зараження середовища перебування комп'ютерні віруси діляться на:

• резидентні;

• нерезидентні.

Резидентні віруси після їх активізації повністю або частково переміщуються з довкілля (мережа, завантажувальний сектор, файл) в оперативну пам'ять ЕОМ. Ці віруси, використовуючи, як правило, привілейовані режими роботи, дозволені тільки операційній системі, заражають середовище проживання і при виконанні певних умов реалізують деструктивну функцію.

На відміну від резидентних нерезидентні віруси потрапляють в оперативну пам'ять ЕОМ тільки на час їх активності, протягом якого виконують деструктивну функцію та функцію зараження. Потім віруси повністю залишають оперативну пам'ять, залишаючись в середовищі існування. Якщо вірус поміщає в оперативну пам'ять програму, яка не заражає середовище проживання, то такий вірус вважається нерезидентом. Арсенал деструктивних або шкідницьких можливостей комп'ютерних вірусів досить великий. Деструктивні можливості вірусів залежать від цілей і кваліфікації їх творця, а також від особливостей комп'ютерних систем. За ступенем небезпеки для інформаційних ресурсів користувача комп'ютерні віруси можна розділити на:

• нешкідливі віруси;

• небезпечні віруси;

• дуже небезпечні віруси.

Нешкідливі комп'ютерні віруси створюються авторами, кото-які не ставлять собі цілі завдати якоїсь шкоди ресурсів КС.Ними, як правило, рухає бажання показати свої можливості програміста. Іншими словами, створення комп'ютерних виру-сов для таких людей - своєрідна спроба самоствердження. Деструктивний вплив таких вірусів зводиться до виведення на екран монітора невинних текстів і картинок, виконання музи-Кальний фрагментів і т. п. Однак при всій удаваній безневинність таких вірусів вони завдають певної шкоди КС. По-перше, такі віруси рас-ходуют ресурси КС, в тій чи іншій мірі знижуючи її ефективність функціонування. По-друге, комп'ютерні віруси можуть містити помилки, що викликають небезпечні наслідки для інформаційних ресурсів КС. Крім того, при модернізації операційної системи або апаратних засобів КС віруси, створені раніше, можуть призводити до порушень штатного алгоритму роботи системи. До небезпечних відносяться віруси, які викликають істотне зниження ефективності КС, але не призводять до порушення цілісності та конфіденційності інформації, хранящейя в запам'ятовуючих пристроях. Наслідки таких вірусів можуть бути ліквідовані без особливих витрат матеріальних і часових ресурсів. Прикладами таких вірусів є віруси, що займають пам'ять ЕОМ і канали зв'язку, але не блокують роботу мережі; віруси, що викликають необхідність повторного виконання програм, перезавантаження операційної системи або повторної передачі даних по каналах зв'язку і т. п. Дуже небезпечними слід вважати віруси, що викликають порушення конфіденційності, знищення, необоротну модифікацію (у тому числі і шифрування) інформації, а також віруси, що блокують доступ до інформації, що призводять до відмови апаратних засобів і завдають шкоди здоров'ю користувачам. Такі віруси перуть окремі файли, системні області пам'яті, форматують диски, отримують несанкціонований доступ до інформації, шифрують дані і т. п. Відомі публікації, в яких згадуються віруси, що викликають несправності апаратних засобів. Передбачається, що на резонансній частоті рухомі частини електромеханічних пристроїв, наприклад в системі позиціонування накопичувача на магнітних дисках, можуть бути зруйновані. Саме такий режим і може бути створений за допомогою програми-вірусу. Інші автори стверджують, що можливе завдання режимів інтенсивного використування окремих електронних схем (наприклад, великих інтегральних схем), при яких настає їх перегрів і вихід з ладу. Використання в сучасних ПЕОМ постійної пам'яті з можливістю перезапису призвело до появи вірусів, що змінюють програми BIOS, що призводить до необхідності заміни постійних запам'ятовуючих пристроїв. Можливі також впливу на психіку людини - оператора ЕОМ з допомогою підбору відеозображення, що видається на екран монітора з певною частотою (кожен двадцять п'ятий кадр). Вбудовані кадри цієї відеоінформації сприймаються людиною на підсвідомому рівні.

В результаті такого воз-дії можливе нанесення серйозного збитку психіці людини-ка. У 1997 році 700 японців потрапили до лікарні з ознаками епілепсії після перегляду комп'ютерного мультфільму по телебаченню. Припускають, що саме таким чином була випробувана можливість впливу на людину за допомогою вбудовування 25-го кадру [57]. Відповідно до особливостей алгоритму функціонування віруси можна розділити на два класи:

• віруси, не змінюють середовище проживання (файли і сектори) при поширенні;

• віруси, які змінюють місце існування при розповсюдженні.

У свою чергу, віруси, не змінюють середовище проживання,

можуть бути розділені на дві групи:

• віруси-"супутники" (companion);

• віруси-«черв'яки» (worm).

Віруси-«супутники» не змінюють файли. Механізм їх дії полягає в створенні копій виконуваних файлів. Наприклад, в MS DOS такі віруси створюють копії для файлів, що мають розширення. ЕХЕ. Копії присвоюється те ж ім'я, що і виконуваного файлу, але розширення змінюється на. СОМ. При запуску файла з загальним ім'ям операційна система першої завантажує на виконання файл з розширенням. СОМ, який є

програмою-вірусом. Файл-вірус запускає потім і файл з розширенням. ЕХЕ. Віруси-«черв'яки» потрапляють в робочу станцію з мережі, обчислюють адреси розсилки вірусу по іншим абонентам мережі та здійснюють передачу вірусу. Вірус не змінює файлів і не записується в завантажувальні сектори дисків. Деякі віруси-«черв'яки» створюють робочі копії вірусу на диску, інші - розміщуються тільки в оперативній пам'яті ЕОМ. За складністю, ступеня досконалості і особливостям маскування алгоритмів віруси, які змінюють місце існування, діляться на:

• студентські;

• «стелс» - віруси (віруси-невидимки);

• поліморфні.

До студентських відносять віруси, творці яких мають низьку кваліфікацію. Такі віруси, як правило, є нерезидентними, часто містять помилки, досить просто виявляються і видаляються. «Стелc» - віруси і поліморфні віруси створюються кваліфікованими фахівцями, які добре знають принцип роботи апаратних засобів і операційної системи, а також володіють навичками роботи з машиноорієнтованими системами програмування. «Стелс»-віруси маскують свою присутність в середовищі проживання шляхом перехоплення звернень операційної системи до уражених файлів, секторах і переадресовують ОС до незараженим ділянкам інформації. Вірус є резидентним, маскується під програми ОС, може переміщатися в пам'яті. Такі віруси активізуються при виникненні переривань, виконують певні дії, у тому числі і щодо маскування, і тільки потім управління передається на програми ОС, оброблювальні ці переривання. «Стеле» - віруси мають здатність протидіяти резидентним антивірусним засобам. Поліморфні віруси не мають постійних розпізнавальних груп - сигнатур. Звичайні віруси для розпізнавання факту зараження довкілля розміщують в зараженому об'єкті спеціальну розпізнавальне двійкову послідовність або послідовність символів (сигнатуру), яка однозначно ідентифікує зараженість файлу або сектора. Сигнатури використовуються на етапі поширення вірусів для того, щоб уникнути багаторазового зараження одних і тих же об'єктів, так як при багаторазовому зараження об'єкта значно зростає ймовірність виявлення вірусу. Для усунення демаскуючих ознак поліморфні віруси використовують шифрування тіла вірусу і модифікацію програми шифрування. За рахунок такого перетворення поліморфні віруси не мають збігів кодів. Будь-який вірус, незалежно від приналежності до певних класам, повинен мати три функціональних блоки: блок зараження (розповсюдження), блок маскування і блок виконання деструктивних дій. Поділ на функціональні блоки означає, що до певного блоку відносяться команди програми вірусу, що виконують одну з трьох функцій, незалежно від місця знаходження команд в тілі вірусу.

Після передачі управління вірусу, як правило, виконуються певні функції блоку маскування. Наприклад, здійснюється розшифрування тіла вірусу. Потім вірус здійснює функцію впровадження в незаражене середовище проживання. Якщо вірусом повинні виконуватися деструктивні дії, то вони виконуються або безумовно, або при виконанні певних умов. Завершує роботу вірусу завжди блок маскування. При цьому

виконуються, наприклад, такі дії: шифрування вірусу (якщо функція шифрування реалізована), відновлення старої дати зміни файлу, відновлення атрибутів файлу, коректування таблиць ОС та ін Останньою командою вірусу виконується команда переходу на виконання заражених файлів або на виконання програм ОС. Для зручності роботи з відомими вірусами використовуються каталоги вірусів. У каталог поміщаються такі відомості про стандартних властивості вірусу: ім'я, довжина, що заражають файли, місце впровадження в файл, метод зараження, спосіб впровадження у ВП для резидентних вірусів, що викликаються ефекти, наявність (відсутність) деструктивної функції і помилки. Наявність каталогів дозволяє при описі вірусів вказувати тільки особливі властивості, опускаючи стандартні властивості і дії.

Файлові віруси

Структура файлового вірусу. Файлові віруси можуть впроваджуватися тільки у виконувані файли: командні файли (файли, що складаються з команд операційної системи), файли, що саморозархівовуються, призначені для користувача і системні програми в машинних кодах, а також у документи (таблиці), що мають дії. Дії або макроси є виконувані програми для автоматизації роботи з документами (таблицями). Тому такі документи (таблиці) можна розглядати як виконуваний файл. Для IBM - сумісних ПЕОМ вірус може впроваджуватися в файли наступних типів: командні файли (ВАТ), завантажень драйвери (SYS), програми в машинних (двійкових) кодах (ЕХЕ, СОМ), документи Word (DOC) з версії 6.0 і вище, таблиці EXCEL (XLS). Макровіруси можуть впроваджуватися і в інші файли, містять дії. Файлові віруси можуть розміщуватися на початку, середині і наприкінці заражає файли (рис. 21). Незалежно від місця розташування вірусу в тілі зараженого! файла після передачі управління файлу першими виконуються команди вірусу. На початок файлу вірус впроваджується одним з трьох способів. Перший з них полягає в переписуванні початку файлу в його кінець, а на звільнене місце записується вірус. Другий спосіб передбачає зчитування вірусу і зараженого файлу в оперативну пам'ять, об'єднання їх в один файл і запис його на місце файла. При третьому способі зараження вірус записується в початок файлу без збереження вмісту. У цьому випадку заражений файл стає непрацездатним.

Заголовок вірусу

Рис. 21. Варіанти розміщення вірусів у файлах

У середину файлу вірус може бути записаний також різними способами. Файл може «розсуватися», а в місце, що звільнилося, може бути записаний вірус. Вірус може впроваджуватися в середину файлу без збереження ділянки файлу, на місце якого міститься вірус. Є й більш екзотичні способи впровадження вірусу в середину файлу. Наприклад, вірус «Mutant» застосовує метод стиснення окремих ділянок файлу, при цьому довжина файлу після впровадження вірусу може не змінитися. Найчастіше вірус впроваджується в кінець файла. При цьому, як і в випадку з впровадженням вірусу в середину файлу, перші команди файлу замінюються командами переходу на тіло вірусу.

Алгоритм роботи файлового вірусу. Незважаючи на різноманіття файлових вірусів, можна виділити дії і порядок їх виконання, які присутні при реалізації більшості вірусів цього класу. Такий узагальнений алгоритм може бути представлений у вигляді такої послідовності кроків:

Крок 1. Резидентний вірус перевіряє, заражена чи оперативна пам'ять, і при необхідності заражає її. Нерезидентний вірус шукає незаражені файли і заражає їх.

Крок 2. Виконуються дії по збереженню працездатності програми, у файл якої впроваджується вірус (відновлення перших байт програми, настроювання адрес програм і т. д.)

Крок 3. Здійснюється деструктивна функція вірусу, якщо виконуються відповідні умови.

Крок 4. Передається керування програмі, у файлі якої знаходиться вірус.

При реалізації конкретних вірусів склад дій і їх поотже можуть відрізнятися від наведених у алгоритмі.

Особливості макровірусів. Особливе місце серед файлових вірусів займають макровіруси. Макровіруси представляють собою шкідницькі програми, написані на макромови, вбудованих у текстові редактори, електронні таблиці та ін. Для існування вірусів у конкретній системі (редакторі) необхідно, щоб вбудований в неї макромова, мав наступні можливості:

• прив'язку програми на макромові до конкретного файлу;

• копіювання макропрограми з одного файлу в інший;

• отримання управління макропрограми без втручання користувача.

Таким умовам відповідають редактори MS Word, MS Office, Ami Pro, табличний процесор MS Excel. У цих системах викорисзуются макромови Word Basic і Visual Basic. При виконанні певних дій над файлами, які містять макропрограми (відкриття, збереження, закриття і т. д.), автоматично виконуються макропрограми файлів. Управління є віруси в макросах, які залишаються активними, доки відповідний редактор не активний

(процесора). Таким чином, при роботі з іншого файлу в на забруднених

Редактор (процесора), він також інфіковані. Ось аналогію з резидента віруси на механізм інфекції.

Отримати Office макровірусів, MS файлів для вашого комп'ютера

Офіс, як правило, використовувати один з методів:

1) є вірусу (автоматичний макрос запускається автоматично,

Коли ви відкриваєте документ, стіл);

2) у вірус заміщений один стандартний макросів, kooryj виконує, коли вибрано конкретний пункт меню;

3) макровіруси автоматично викликається для виконання під час натискання певних клавіші або комбінації клавіш.

Перший макровірус WinWord. Cjncept, який вражає документи Word, з’явився влітку 1995 року. Шкідлива функція цього вірусу полягає в зміні формату документів текстового редактора Word у форматі файлів стилей. Інший макровірус WinWord Nuclear вже є не таким нешкідливим. Він дописує фразу з вимогою заборони ядерних випробувань, які проводяться Францією в Тихомк океані. Крім того, цей вірус щоденно 5 червня намагається знищити важливі системні файли.

Завантажувальні віруси. Завантажувальні віруси заражають завантажувальні (Boot) сектори дискети та Boot-сектора або Master Boot Record (MBR) жорстких дисків (рис. 22). Завантажувальні віруси є резидентними. Зараження відбувається при завантаженні операційної системи з дисків. Після включення ЕОМ здійснюється контроль її працездатності за допомогою програми, записаної в постійному запам'ятовуючому пристрої. Якщо перевірка завершилася успішно, то здійснюється зчитування першого сектора з гнучкого або жорсткого диска. Порядок використання дисководів для завантаження задається користувачем за допомогою програми Setup. Якщо диск, з якого відбувається завантаження ОС заражений завантажувальним вірусом, то зазвичай виконуються наступні кроки:

Крок 1. Лічені з 1-го сектора диска завантажувальний вірус (частина вірусу) отримує управління, зменшує обсяг вільної пам'яті ОП і зчитує з диска тіло вірусу.

Крок 2. Вірус переписує сам себе в іншу область Oil, найчастіше - в старші адреси пам'яті.

Крок 3. Встановлюються необхідні вектора переривань (вірус резидентний).

Крок 4. При виконанні певних умов виробляються деструктивні дії.

Крок 5. Копіюється Boot-сектор в ОП і передається йому управління.

Рис. 22. Розміщення завантажувального вірусу на диску

Якщо вірус був активізований з гнучкого диска, то він записується у завантажувальний сектор жорсткого диска. Активний вірус, постійно перебуваючи в ОП, заражає завантажувальні сектора всіх гнучких дисків, а не тільки системні диски. Зараження робочих гнучких дисків завантажувальними вірусами виконується в розрахунку на помилкові дії користувача ЕОМ в момент завантаження ОС. Якщо встановлений порядок завантаження ОС спочатку з гнучкого диска, а потім - з жорсткого, то при наявності гнучкого диска в накопичувачі буде лічений 1-й сектор з гнучкого диска. Якщо диск був заражений, то цього досить для зараження ЕОМ.

Така ситуація найбільш часто має місце при перезавантаженні ОС після «зависань» або відмов ЕОМ.

Віруси і операційні системи. Програми-віруси створюються для ЕОМ певного типу, працюють з конкретними ОС. Для одних ОС створені тисячі

вірусів. Як приклад можна привести ОС MS DOS, установлюється на ЮМ сумісні персональні комп'ютери. Для Unix, OS/2, Windows та інші ОС, відома невелика кількість вірусів. Привабливість ОС для творців вірусів визначається наступними факторами:

• поширеність ОС;

• відсутність вбудованої антивірусної механізмів;

• відносну легкість;

• тривалості експлуатації.

Всі ці фактори є типовим для MS DOS. Існування антивірусних механізмів, складність системи і відносно малий час рамку операцію робить задачу створення вірусів важко розв'язуваною. Таким чином, автори вірусів для Windows, OS/2, часто вдавалися до використання цих операційних систем знайомий MS DOS для введення вірусів. Головним недоліком MS DOS є можливість повного і безконтрольного доступу будь-якої активної програми до всіх системних ресурсів ЕОМ, включаючи і модулі самої ОС.

Операційна система Microsoft Windows 3.1 і її модифікація Microsoft Windows for Workgroups 3.11 не є самостійними ОС, а більше схожі на дуже великі програми MS DOS. У цих ОС введені обмеження на доступ до ОП. Кожна програма отримує доступ тільки до свого віртуального простору ОП. Доступ же до дисків, файлів і портів зовнішніх пристроїв не обмежений. Зберігають працездатність і завантажувальні віруси, розроблені для MS DOS, так як вони отримують управління ще до завантаження Microsoft Windows 3.1 і на цей період часу дії їх нічим не обмежені. Слабкість захисних функцій ОС Microsoft Windows 95/98 також пояснюється сумісністю з MS DOS. Ця ОС має таку ж стійкість до впливу вірусів, як і Microsoft Windows 3.1. До того ж у цій ОС набули поширення і макровіруси. Набагато краще захист від вірусів Юм операційна система OS/2. Ця система є повністю незалежним від MS DOS. Всі програми, що працює в OS/2, працюють в окремих адресних просторах, що повністю виключає можливість заборони впливу програм. Існує можливість заборонити робочим програмам (несистемним) мати доступ до периферійних пристроїв. Якщо використовується комп'ютер з Microsoft OS/2 використовується як файл-сервера IBM LAN Server, то за допомогою драйвера 386 HPFS можна вказувати права доступу до каталогів та файлів.

Можна також захистити каталоги від запису у файли, що містяться в них. У цій системі існує можливість виконання програм MS DOS. Але в OS / 2 для вірусів, створених для MS DOS, набагато менше можливостей. Хороший захист від вірусів мають мережні операційні системи Microsoft Windows NT і Novell Net Ware, а також операційна система Windows 2000.

Методи і засоби боротьби з вірусами. Масове поширення вірусів, серйозність наслідків їх впливу на ресурси КС викликали необхідність розробки та використання спеціальних антивірусних засобів і методів їх застосування. Антивірусні засоби застосовуються для рішення наступних завдань [55]:

• виявлення вірусів в КС;

• блокування роботи програм-вірусів;

• усунення наслідків впливу вірусів.

Виявлення вірусів бажано здійснювати на стадії їх впровадження або, принаймні, до початку здійснення деструктивних функцій вірусів.

Необхідно відзначити, що не існує антивірусних засобів, що гарантують виявлення всіх можливих вірусів. При виявленні вірусу необхідно відразу ж припинити роботу програми-вірусу, щоб мінімізувати збиток від його впливу на систему. Усунення наслідків впливу вірусів ведеться у двох напрямках:

• видалення вірусів;

• відновлення (при необхідності) файлів, областей пам'яті.

Відновлення системи залежить від типу вірусу, а також від моменту часу виявлення вірусу по відношенню до початку деструктивних дій. Відновлення інформації без використання дублюючої інформації може бути нездійсненним, якщо віруси при впровадженні не зберігають інформацію, на місце якої вони поміщаються в пам'ять, а також, якщо деструктивні дії вже почалися, і вони передбачають зміни інформації. Для боротьби з вірусами використовуються програмні та апаратно-програмні засоби, що застосовуються в визначено іншої послідовності і комбінації, створюючи методи боротьби з вірусами. Можна виділити методи виявлення вірусів і методи видалення вірусів.

Методи виявлення вірусів. Відомі такі методи виявлення вірусів [55]: • сканування;

• виявлення змін;

• евристичний аналіз,

• використання резидентних сторожів;

• вакцинування програм;

• апаратно-програмний захист від вірусів.

Сканування - один з найпростіших методів виявлення вірусів.

Сканування здійснюється програмою-сканером, яка переглядає файли в пошуках пізнавальної частини вірусу - сигнатури. Програма фіксує наявність вже відомих вірусів, за винятком поліморфних вірусів, які застосовують шифрування тіла вірусу, змінюючи при цьому кожен раз і сигнатуру. Програми-сканери можуть зберігати не сигнатури відомих вірусів, а їх контрольні суми. Метод сканування застосуємо для виявлення вірусів, сигнатури яких вже виділені і є постійними. Для ефективного використання методу необхідно регулярне оновлення відомостей про нові віруси. Найвідомішою програмою-сканером в Росії є Aidstest Дмитра Лозінського. Метод виявлення зміні базується на використанні програм-ревізорів. Ці програми визначають і запам'ятовують характеристики всіх областей на дисках, в яких зазвичай розміщуються віруси. При періодичному виконанні програм ревізорів порівнюються Зазвичай програми-ревізори запам'ятовують в спеціальних файлах образи головною завантажувального запису, завантажувальних секторів логічних дисків, характеристики всіх контрольованих файлів, каталогів та номери дефектних кластерів. Можуть контролюватися також об'єм встановленої оперативної пам'яті, кількість підключених до комп'ютера дисків і їх параметри. Головним достоїнством методу є можливість виявлення вірусів всіх типів, а також нових невідомих вірусів. Досконалі програми-ревізори виявляють навіть «стелс» - віруси. Наприклад, програма-ревізор Adinf, розроблена Д. Ю Мостовим, працює з диском безпосередньо по секторам через BIOS. Це не дозволяє використовувати «стелс»-вірусам можливість перехоплення переривань і «підставки» для контролю потрібної вірусу області пам'яті. Є у цього методу і недоліки. За допомогою програм-ревізорів неможливо визначити вірус в файлах, які надходять в систему вже зараженими. Віруси будуть виявлені тільки після розмноження в системі. Сутність евристичного аналізу полягає у перевірці можливих середовищ існування вірусів та виявлення в них команд (груп команд), характерних для вірусів. Такими командами можуть бути команди створення резидентних модулів в оперативній пам'яті, команди прямого звернення до дисків, минаючи ОС. Евристичні аналізатори при виявленні «підозрілих» команд в файлах або завантажувальних секторах видають повідомлення про можливе зараження. Після отримання таких повідомлень необхідно ретельно перевірити імовірно заражені файли і завантажувальні сектора всіма наявними антивірусними засобами. Евристичний аналізатор є, наприклад, в антивірусній програмі Doctor Web.

Метод використання резидентних сторожів заснований на застосуванні програм, які постійно знаходяться в ОП ЕОМ і відстежують всі дії інших програм. У разі виконання якої-небудь програмою підозрілих дій (звернення для запису в завантажувальні сектора, приміщення в ОП резидентних модулів, спроби перехоплення переривань і т. П.) Резидентний сторож видає повідомлення користувачеві. Програма-сторож може завантажувати на виконання інші антивірусні програми для перевірки «підозрілих» програм, а також для контролю всіх вступаючих ззовні файлів (зі змінних дисків, по мережі). Істотним недоліком цього методу є значний відсоток помилкових тривог, що заважає роботі користувача, викликає роздратування і бажання відмовитися від використання резидентних сторожів. Прикладом резидентного сторожа може служити програма Vsafe, що входить до складу MS DOS. Під вакцинацією програм розуміється створення спеціального модуля для контролю її цілісності. В якості характеристики цілісності файлу зазвичай використовується контрольна сума. При зараженні вакцинованого файлу, модуль контролю виявляє зміна контрольної суми і повідомляє про це користувачеві. Метод дозволяє виявляти всі віруси, у тому числі й незнайомі, за винятком «стелc» - вірусів. Самим надійним методом захисту від вірусів є використання апаратно-програмних антивірусних засобів. В даний час для захисту ПЕОМ використовуються спеціальні контролери та їх програмне забезпечення. Контролер встановлюється в роз'єм розширення і має доступ до загальної шини. Це дозволяє йому контролювати всі звернення до дискової системі. У програмному забезпеченні контролера запам'ятовуються області на дисках, зміна яких у звичайних режимах роботи не допускається.

Таким чином, можна встановити захист на зміну головного завантажувального запису, завантажувальних секторів, файлів конфігурації, виконуваних файлів та ін

При виконанні заборонених дій будь-якою програмою контролер видає відповідне повідомлення користувачеві і блокує роботу ПЕОМ. Апаратно-програмні антивірусні засоби мають ряд переваг перед програмними:

• працюють постійно;

• виявляють всі віруси, незалежно від механізму їх дії;

• блокують недозволені дії, які є результатом роботи вірусу або некваліфікованого користувача.

Недолік у цих засобів один - залежність від апаратних засобів ПЕОМ. Зміна останніх веде до необхідності заміни контролера. Прикладом апаратно-програмного захисту від вірусів може служити комплекс Sheriff.

Методи видалення наслідків зараження вірусами. В процесі видалення наслідків зараження вірусами здійснюється видалення вірусів, а також відновлення файлів і областей пам'яті, в яких знаходився вірус. Існує два методи видалення наслідків впливу вірусів антивірусними програмами. Перший метод передбачає відновлення системи після впливу відомих вірусів. Розробник програми-фага, що видаляє вірус, повинен знати структуру вірусу і його характеристики розміщення в середовищі існування.

Другий метод дозволяє відновлювати файли і завантажувальні сектора, заражені невідомими вірусами. Для відновлення файлів програма відновлення повинна завчасно створити і зберігати інформацію про файли, отриману в умовах відсутності вірусів. Маючи інформацію про незараженном файлі і використовуючи відомості про загальні принципи роботи вірусів, здійснюється відновлення файлів. Якщо вірус піддав файл незворотних змін, то відновлення можливо тільки з використанням резервної копії або з дистрибутива. При їх відсутності існує тільки один вихід - знищити файл і відновити його вручну. Якщо антивірусна програма не може відновити головний завантажувальний запис або завантажувальні сектори, то можна спробувати це зробити вручну. У разі невдачі слід відформатувати диск і встановити ОС. Існують віруси, які, потрапляючи в ЕОМ, стають частиною його ОС. Якщо просто видалити такий вірус, то система стає непрацездатною. Одним з таких вірусів є вірус One Half. При завантаженні ЕОМ вірус поступово зашифровує жорсткий диск. При зверненні до вже зашифрованим секторам резидентний вірус One Half перехоплює звернення і розшифровує інформацію. Видалення вірусу призведе до неможливості використовувати зашифровану частину диска. При видаленні такого вірусу необхідно спочатку розшифрувати інформацію на диск. Для цього необхідно знати механізм дії вірусу.

⇐ Предыдущая 14 15 16 17 181920 21 22 23 Следующая ⇒