Лекция 11.2. Защита информации от компьютерных вирусов

План

1. Понятие компьютерного вируса.

2. Классифика­ция компьютерных вирусов.

3. Классификация антивирусных программ.

 

Вопрос 1. Понятие компьютерного вируса.

Компьютерный вирус — это, как правило, небольшая по объему компьютерная программа, обладающая следующими свойствами:

♦ возможностью создавать свои копии и внедрять их в другие про­граммы;

♦ скрытость (латентность) существования до определенного момента;

♦ несанкционированность (со стороны пользователя) производимых ею действий;

♦ наличие отрицательных последствий от ее функционирования.
Следует отметить, что не все программы, обычно называемые виру­
сами, обладают всеми из перечисленных свойств.

Компьютерным вирусам, как и биологическим, характерны опреде­ленные стадии существования:

♦ латентная стадия, в которой вирусом никаких действий не предпринимается;

♦ инкубационная стадия, в которой основная задача вируса — создать как можно больше своих копий и внедрить их в среду обитания;

♦ активная стадия, в которой вирус, продолжая размножаться, проявляется и выполняет свои деструктивные действия.

 

Вопрос 2.. Классифика­ция компьютерных вирусов.

Классификация вредоносных программ приведена на рис.1. По среде обитания вирусы можно разделить на:

♦ файловые;

♦ загрузочные;

♦ файлово-загрузочные;

♦ сетевые;

♦ макровирусы.

Рис. 1.Классификация вредоносных программ

Файловые вирусы чаще всего внедряются в исполняемые файлы, имеющие расширения.ехе и хот, но могут внедряться и в объектные файлы, библиотеки, в командные пакетные файлы, программные файлы на языках процедурного программирования. Файловые вирусы могут создавать файлы-двойники.

Загрузочные вирусы внедряются в загрузочный сектор дискеты (boot-sector) или в сектор, содержащий программу загрузки систем­ного диска (master boot record). При загрузке ОС с зараженного диска такой вирус изменяет программу начальной загрузки либо модифи­цирует таблицу размещения файлов на диске, создавая трудности в работе компьютера или даже делая невозможным запуск операцион­ной системы.

Файлово-загрузочные вирусы интегрируют возможности двух пре­дыдущих групп.

Макровирусы заражают и искажают текстовые файлы (.doc) и фай­лы электронных таблиц некоторых популярных редакторов. Комби­нированные сетевые макровирусы не только заражают создаваемые документы, но и рассылают копии этих документов по электронной почте (печально известный вирус «I love you»).

Сетевые черви используют для своего распространения команды и протоколы телекоммуникационных систем (электронной почты, компьютерных сетей). Они подразделяются на Internet-черви (рас­пространяются по Интернету), LAN-черви (распространяются по ло­кальной сети), IRC-черви (Internet Relay Chat) — распространяются через чаты. Существуют также смешанные типы, которые совмещают в себе сразу несколько технологий.

В отдельную группу выделяются троянские программы, которые не размножаются и не рассылаются сами.

Троянские программы подразделяют на несколько видов (см. рис.1), которые маскируются под полезные программы и выполняют деструк­тивные функции. Они могут обеспечить злоумышленнику скрытый несанкционированный доступ к информации на компьютере пользова­теля и ее похищение (отсюда их название). Такие программы иногда называют утилитами несанкционированного удаленного управления.

Эмуляторы DDoS-атак (Distributed Denial of Service) приводят к -атакам на веб-серверы, при которых на веб-сервер из разных мест поступает большое количество пакетов, что и приводит к отказам ра­боты системы.

Дроппер (от англ. drop — бросать) — программа, которая «сбрасы­вает» в систему вирус или другие вредоносные программы, при этом сама больше ничего не делает.

Скрипт-вирусы — это вирусы, написанные на скрипт-языках, таких как Visual Basic Script, Java Script и др.

По способу заражения среды обитания вирусы делятся на:

♦ резидентные;

♦ нерезидентные.

Резидентные вирусы после завершения инфицированной програм­мы остаются в оперативной памяти и продолжают свои деструктив­ные действия, заражая следующие исполняемые программы и проце­дуры вплоть до момента выключения компьютера. Нерезидентные вирусы запускаются вместе с зараженной программой и после ее за­вершения из оперативной памяти удаляются.

По алгоритмам функционирования вирусы делятся на следующие группы:

- паразитические вирусы, изменяющие содержимое файлов или секторов диска. Они достаточно просто могут быть обнаружены и уничтожены;

- вирусы-репликаторы («черви»), саморазмножающиеся и распро­страняющиеся по компьютерным сетям. Сами деструктивных действий не выполняют;

- вирусы-невидимки способны прятаться при попытках их обна­ружения. Они перехватывают запрос антивирусной программы и мгновенно либо удаляют временно свое тело из зараженного
файла, либо подставляют вместо своего тела незараженные участ­ки файлов;

- самошифрующиеся вирусы (в режиме простоя зашифрованы и расшифровываются только в момент начала работы вируса);

- мутирующие вирусы (периодически автоматически видоизменя­ются: копии вируса не имеют ни одной повторяющейся цепочки байт), необходимо каждый раз создавать новые антивирусные
базы для обезвреживания этих вирусов;

- «отдыхающие» вирусы (основное время проводят в латентном состоянии и активизируются только при определенных услови­ях, например, вирус «Чернобыль» функционирует только в день
годовщины чернобыльской трагедии).

Для своевременного обнаружения и удаления вирусов важно знать основные признаки появления вируса в компьютере:

♦ неожиданная неработоспособность компьютера или его компонентов;

♦ невозможность загрузки операционной системы;

♦ медленная работа компьютера;

♦ частые зависания и сбои в компьютере;

♦ прекращение работы ранее успешно исполнявшихся программ;

♦ искажение или исчезновение файлов и каталогов;

♦ непредусмотренное форматирование диска;

♦ необоснованное увеличение количества файлов на диске;

♦ необоснованное изменение размера файлов;

♦ искажение данных в CMOS-памяти;

♦ существенное уменьшение объема свободной оперативной памяти;

♦ вывод на экран непредусмотренных сообщений и изображений;

♦ появление непредусмотренных звуковых сигналов.

Источниками непреднамеренного вирусного заражения могут явить­ся съемные носители информации и системы телекоммуникаций. Съемные носители информации — чаще всего это дискеты, съемные жесткие диски, контрафактные компакт-диски.

 

Вопрос 3. Классификация антивирусных программ.

Для обнаружения и удаления компьютерных вирусов разработано много различных программ.

Антивирусные программы можно разделить на:

♦ программы-детекторы;

♦ программы-ревизоры,

♦ программы-фильтры;

♦ программы-доктора, или дезинфекторы, фаги;

♦ программы-вакцины, или иммунизаторы.

Приведем краткие характеристики антивирусных программ.

Программы-детекторы осуществляют поиск компьютерных виру­сов в памяти машины и при их обнаружении сообщают об этом. Де­текторы могут искать как уже известные вирусы (ищут характерную для конкретного уже известного вируса последовательность байтов — сигнатуру вируса), так и произвольные вирусы (путем подсчета кон­трольных сумм для массива файла).

Программы-ревизоры являются развитием детекторов, но выпол­няют более сложную работу. Они запоминают исходное состояние программ, каталогов, системных областей и периодически или по ука­занию пользователя сравнивают его с текущим. При сравнении прове­ряется длина файлов, дата их создания и модификации, контрольные суммы и байты циклического контроля и другие параметры. Ревизо­ры эффективнее детекторов.

Программы-фильтры обеспечивают выявление подозрительных, характерных для вирусов действий (коррекция исполняемых.ехе и.com файлов, запись в загрузочные секторы дисков, изменение атри­бутов файлов, прямая запись на диск по прямому адресу и т. д.). При обнаружении таких действий фильтры посылают пользователю за­прос о подтверждении правомерности таких процедур.

Программы-доктора — самые распространенные и популярные (на­пример, Kaspersky Antivirus, Doctor Web, Norton Antiviras и т. д.), кото­рые не только обнаруживают, но и лечат зараженные вирусами файлы и загрузочные секторы дисков. Они сначала ищут вирусы в оператив­ной памяти и уничтожают их там (удаляют тело резидентного файла), а затем лечат файлы и диски. Многие программы-доктора являются полифагами и обновляются достаточно часто.

Программы-вакцины применяются для предотвращения заражения файлов и дисков известными вирусами. Вакцины модифицируют файл или диск таким образом, что он воспринимается программой-вирусом уже зараженным, и поэтому вирус не внедряется.

Для защиты компьютера от вирусов необходимо:

♦ не использовать нелицензионные или непроверенные программ­ные продукты;

♦ иметь на компьютере один или несколько наборов антивирусных программ и обновлять их еженедельно;

♦ не пользоваться дискетами с чужих компьютеров, а при необхо­димости такого использования сразу же проверять их антивирус­ными программами;

♦ не запускать программ, назначение которых неизвестно или не­понятно;

♦ использовать антивирусные программы для входного контроля информации, поступающей по сети;

♦ не раскрывать вложения в электронные письма от неизвестных отправителей;

♦ при переносе на компьютер архивированных файлов сразу же после разархивирования проверять их антивирусными програм­мами;

♦ перед открытием текстовых, табличных и иных файлов, содержа­щих макросы, проверять их на наличие вирусов;

♦ периодически проверять винчестер на наличие вирусов;

♦ не оставлять дискеты в дисководе при включении и выключении компьютера во избежание заражения их загрузочными вирусами.

 

 

⇐ Предыдущая11121314151617181920Следующая ⇒

Поделиться:

Воспользуйтесь поиском по сайту: