Антивирусные средства

Классификация и характеристика компьютерных вирусов

Условия безопасной работы компьютерных систем и технология обнаружения заражения вирусами

Правило первое: использование только программных продуктов, полученных законным официальным путем.

Правило второе: дублирование информации.

Правило третье: регулярное использование антивирусных средств.

Правило четвертое: особая осторожность при использовании новых съемных носителей информации и новых файлов.

Правило пятое: проверка на специально выделенных для этой цели ЭВМ новых сменных носителей информации и вводимых в систему файлов при работе в распределенных системах или системах коллективного пользования.

Правило шестое: блокировка выполнения записи информации на носитель, если не предполагается ее осуществление.

ПРИ ЗАРАЖЕНИИ КОМПЬЮТЕРА ВИРУСОМ НАДО:

1. ВЫКЛЮЧИТЬ КОМПЬЮТЕР.

2. ВЗЯТЬ ЗАЩИЩЕННУЮ ОТ ЗАПИСИ ДИСКЕТУ С ЭТАЛОННОЙ ОПЕРАЦИОННОЙ СИСТЕМОЙ И ЗАГРУЗИТЬ В КОМПЬЮТЕР ЭТУ ОС (С ДИСКЕТЫ).

3. ЖЕЛАТЕЛЬНО С ЭТОЙ ЖЕ ДИСКЕТЫ ЗАГРУЗИТЬ АНТИВИРУСНУЮ ПРОГРАММУ.

На практическом занятии мы рассмотрим какую-нибудь антивирусную программу.

Профилактика против вирусов может содержать следующие рекомендации:

- Не следует допускать к работе на компьютере посторонних лиц, имеющих свои дискеты.

- Необходимо перед использованием проверять дискеты на наличие вирусов.

- Надо имеет копии наиболее важных программ на дискетах, защищенных от записи.

- Проверять компьютер на наличие вирусов после каждого включения.

- Своевременно обновляйте версии антивирусных программ.

- Для более качественной работы используйте комплексные антивирусные пакеты, включающие в себя и программу-детектор, и программу-«доктор» и программу-фильтр.

Компьютерные вирусы — это исполняемые или интерпретируемые программы, обладающие свойством распространения и самовоспроизведения (репликации) в КС. Вирусы изменяют или уничтожают программное обеспечение или данные. В процессе распространения вирусы могут себя модифицировать.

Все компьютерные вирусы могут быть классифицированы по следующим признакам:

· среда обитания;

· способ заражения;

· степень опасности;

· алгоритм функционирования.

По среде обитания компьютерные вирусы подразделяют на сетевые, файловые, загрузочные и комбинированные.

Средой обитания сетевых вирусов являются элементы компьютерных сетей. Файловые вирусы размешаются в исполняемых файлах. Загрузочные вирусы находятся в загрузочных секторах (областях) внешних запоминающих устройств (boot-секторах). Иногда загрузочные вирусы называют бутовыми. Комбинированные вирусы размешаются в нескольких средах обитания. Примером таких вирусов являются загрузочно-файловые вирусы. Они могут размещаться как в загрузочных секторах накопителей на магнитных дисках, так и в теле загрузочных файлов.

По способу заражения среды обитания компьютерные вирусы делятся на резидентные и нерезидентные.

Резидентные вирусы после их активизации полностью или частично перемещаются из среды обитания (сеть, загрузочный сектор, файл) в оперативную память ЭВМ. Эти вирусы заражают среду обитания и разрушают ее. В отличие от них нерезидентные вирусы попадают в оперативную память и с выключением компьютера, когда оперативная память чистится, их действие прекращается.

По степени опасности для информации вирусы делятся на безвредные, опасные и очень опасные. Безвредные вирусы создаются авторами, которые не ставят перед собой цель нанести какой-либо ущерб ресурсам компьютерной сети (КС). Однако при всей кажущейся безобидности такие вирусы наносят определенный ущерб КС. Во-первых, такие вирусы расходуют ресурсы КС, в той или иной мере снижая эффективность ее функционирования. Во-вторых, компьютерные вирусы могут содержать ошибки, вызывающие опасные последствия для информационных ресурсов КС. Кроме того, при модернизации операционной системы или аппаратных средств КС вирусы, созданные ранее, могут приводить к нарушениям штатного алгоритма работы системы,

Опасные вирусы вызывают существенное снижение эффективности КС, но не приводят к нарушению целостности и конфиденциальности информации, хранящейся в запоминающих устройствах. Последствия таких вирусов могут быть ликвидированы без особых затрат материальных и временных ресурсов.

Очень опасные вирусы вызывают нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе и шифрование) информации, а также блокируют доступ к информации, приводят к отказу аппаратных средств, вызывают их неисправность и наносят ущерб здоровью пользователям. Такие вирусы стирают отдельные файлы, системные области памяти, форматируют диски, получают несанкционированный доступ к информации, шифруют данные и т. п. Предполагается, что на резонансной частоте движущиеся части электромеханических устройств, например в системе позиционирования накопителя на магнитных дисках, могут быть разрушены. Именно такой режим и может быть создан с помощью программы-вируса. Другие авторы утверждают, что возможно задание режимов интенсивного использования электронных схем (например, больших интегральных схем), при которых наступает их перегрев и выход из строя. Возможны также воздействия на психику человека — оператора ЭВМ с помощью подбора видеоизображения, выдаваемого на экран монитора с определенной частотой (25-й кадр).

В соответствии с особенностями алгоритма функционирования вирусы можно подразделить на два класса:

· вирусы, не изменяющие среду обитания (файлы и секторы) при распространении;

· вирусы, изменяющие среду обитания при распространении.

Вирусы, не изменяющие среду обитания, могут быть подразделены на две группы:

· вирусы-«спутники» (companion);

· вирусы-«черви» (worm).

Вирусы-«спутники» не изменяют файлы. Механизм их действия состоит в создании копий исполняемых файлов.

Вирусы-«черви» попадают в рабочую станцию из сети, вычисляют адреса рассылки вируса по другим абонентам сети и осуществляют передачу вируса. Вирус не изменяет файлов и не записывается в загрузочные секторы дисков. Некоторые вирусы-«черви» создают рабочие копии вируса на диске, другие — размещаются только в оперативной памяти ЭВМ.

По сложности, степени совершенства и особенностям маскировки алгоритмов вирусы, изменяющие среду обитания, подразделяются:

· студенческие;

· «стелс» - вирусы (вирусы-невидимки);

· полиморфные.

К студенческим относятся вирусы, создатели которых имеют низкую квалификацию. Такие вирусы, как правило, являются нерезидентными, часто содержат ошибки, просто обнаруживаются и удаляются,

«Стелс» - вирусы и полиморфные вирусы создаются квалифицированными специалистами.

«Стелс» - вирусы маскируют свое присутствие в среде обитания путем перехвата обращений операционной системы к пораженным файлам, секторам и переадресуют ОС к незараженным участкам информации. Вирус является резидентным, маскируется под программы ОС, может перемещаться в памяти. «Стелс» - вирусы обладают способностью противодействовать резидентным антивирусным средствам.

Полиморфные вирусы не имеют постоянных опознавательных групп — сигнатур. Обычные вирусы для распознавания факта заражения среды обитания размещают в зараженном объекте специальную опознавательную двоичную последовательность или последовательность символов (сигнатуру), которая однозначно идентифицирует зараженность файла или сектора. Сигнатуры используются на этапе распространения вирусов для того, чтобы избежать многократного заражения одних и тех же объектов, так как при многократном заражении объекта значительно возрастает вероятность обнаружения вируса.

· Самой известной программой-сканером в России является AIDSTEST Дмитрия Лозинского.

· В особо ответственных системах для борьбы с вирусами необходимо использовать аппаратно-программные средства (например, SHERIF).

· Проверка осуществляется программами-сканерами и программами, выполняющими эвристический анализ (AIDSTEST, DOCTOR WEB, ANTIVIRUS).

· Совершенные программы-ревизоры обнаруживают даже «стелс» - вирусы. Например, программа-ревизор ADINF, разработанная Д. Ю. Мостовым, работает с диском непосредственно по секторам через BIOS.

· Эвристический анализатор имеется в антивирусной программе DOCTOR WEB.

· Перед началом работы целесообразно выполнять программы-сканеры и программы-ревизоры (AIDSTEST и ADINF).

· Примером резидентного сторожа может служить программа VSAFE, входящая в состав MS DOS.

4. К сервисным или служебным программам относятся также и