- •Введение
- •1. История компьютерной вирусологии и причины появления вирусов
- •2. Компьютерные вирусы, их свойства и классификация
- •2.1 Что такое компьютерный вирус?
- •2.2. Классификация вирусов
- •3. Основные виды вирусов и схемы их функционирования
- •3.1 Загрузочные вирусы
- •3.2. Файловые вирусы
- •3.3. Загрузочно-файловые вирусы
- •3.4. Макровирусы
- •4. Пути проникновения вирусов в компьютер и механизм распределения вирусных программ
- •5. Признаки появления вирусов
- •6. Обнаружение вирусов и меры по защите и профилактике
- •6.1. Как обнаружить вирус? Традиционный подход
- •6.2. Программы обнаружения и защиты от вирусов
- •6.3. Основные меры по защите от вирусов
- •Заключение
2. Компьютерные вирусы, их свойства и классификация
2.1 Что такое компьютерный вирус?
На этот, казалось бы, простой вопрос до сих пор не найден однозначный ответ. В специализированной литературе можно найти сотни определений понятиям «компьютерный вирус», при этом многие из них различаются, чуть ли не диаметрально. Отечественная «вирусология» обычно придерживается следующего определения: компьютерным вирусом называется программа, без ведома пользователя внедряющаяся в компьютеры и производящая там различные несанкционированные действия. Это определение было бы неполным, если бы не ещё одно свойство, обязательное для компьютерного вируса. Это его способность «размножаться», т.е. создавать свои дубликаты и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. Причём дубликаты вируса могут и не совпадать с оригиналом.
Способность вирусов к «размножению» вызывает у некоторых людей желание сравнить их с «особой формой жизни» и даже наделять эти программы неким «злым интеллектом», заставляющем совершать их мерзкие выходки ради достижения поставленной цели. Однако это не более чем вымысел и игра фантазии.
К легендам о вирусах-убийцах, «уничтожающих операторов посредством вывода на экран смертельной цветовой гаммы 25-м кадром» также не стоит относиться серьезно.
Подобное восприятие событий напоминает средневековое представление о злых духах и ведьмах, которых никто не видел, но все боялись. «Размножение» вирусов ничем не отличается от, например, копирования программой файлов из одной директории в другую. Отличие лишь в том, что эти действия производятся без ведома пользователя, т.е. на экране не появляется никаких сообщений. Во всём остальном вирус – самая обычная программа, использующая те или иные команды компьютера.
Компьютерные вирусы – один из подвидов большого класса программ, называемых вредоносными кодами. В группу вредоносных кодов входят также так называемые «черви» и «Троянские кони». Их главное отличие от вирусов в том, что они не могут размножаться.
Программа-червь распространяется по компьютерным сетям (локальным или глобальным), не прибегая к «размножению». Вместо этого она автоматически, без ведома пользователя, рассылает свой оригинал, например, по электронной почте.
«Троянские» программы вообще лишены каких либо встроенных функций распространения: они попадают на компьютеры исключительно «с помощью» своих авторов или лиц, незаконно их использующих.
Итак, компьютерный вирус - это программа, написанная в машинных кодах, способная внедряться в другие программы, хранящиеся на дисках других запоминающих устройствах компьютера; прикрепляться к программам и передаваться по сетям.
2.2. Классификация вирусов
На сегодняшний день зарегистрировано около 55 тысяч компьютерных вирусов. Их число постоянно растёт, появляются совершенно новые, ранее неизвестные типы. Классифицировать вирусы становится труднее год от года. В общем случае их можно разделить на группы по следующим основным признакам:
среде обитания,
воздействию,
особенностям алгоритма.
В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные (комбинированные), драйверные, макровирусы.
Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т. е. в файлы, имеющие расширения COM и EXE.
Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению.
Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record). Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.
Макровирусы поражают документы, выполненные в некоторых прикладных программах, имеющих средства для исполнения так называемых макрокоманд. В частности, к таким документам относятся документы текстового процессора Microsoft Word. Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд. Как и у других типов вирусов, результат атаки может быть как относительно безобидным, так и разрушительным.
Драйверные вирусы заражают драйверы устройств компьютера или запускают себя путём включения в файл конфигурации дополнительной строки.
По степени воздействия вирусы можно разделить на следующие виды:
неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах,
опасные вирусы, которые могут привести к различным нарушениям в работе компьютера,
очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.
Вирусы можно также различать по используемым ими алгоритмам работы, т.е. различным программным хитростям, делающим их столь опасными и трудноуловимыми.
Во-первых, все вирусы можно разделить на резидентные и нерезидентные.
Резидентный вирус подобен шпиону, постоянно работающему в чужой стране. Попав при загрузке в оперативную память компьютера, вирус остаётся в ней до тех пор, пока компьютер не будет выключен или перезагружен. Именно оттуда вирус-резидент и совершает свои деструктивные действия. Нерезидентные вирусы не заражают память компьютера и способны «размножаться», только если их запустить.
К резидентным можно также отнести все макровирусы. Они присутствуют в памяти компьютера в течение всего времени работы заражённого ими приложения.
Во-вторых, вирусы бывают видимыми и невидимыми. Для простого обывателя невидимость вируса – пожалуй, самое загадочное его свойство. Однако ничего демонического в этом нет. «Невидимость» заключается в том, что вирус посредством программных уловок не даёт пользователю или антивирусной программе заметить изменения, которые он внёс в заражённый файл. Постоянно присутствуя в памяти компьютера, вирус-невидимка перехватывает запросы операционной системы на чтение и запись таких файлов. Перехватив запрос, он подставляет вместо заражённого файла его первоначальный, неиспорченный вариант. Таким образом, пользователю всегда попадаются на глаза только «чистые» программы, в то время как вирус незаметно вершит своё «чёрное дело». Одним из первых файловых вирусо-невидимок был «Frodo», а первым загрузочным невидимкой – вирус «Brain».
Чтобы максимально замаскироваться от антивирусных программ, практически все вирусы используют методы самошифрования или полиморфичности, т.е. они могут сами себя зашифровывать и видоизменять. Меняя свой внешний вид (программный код), вирусы полностью сохраняют способность совершать те или иные вредоносные действия. Раньше антивирусные программы умели обнаруживать вирусы только «в лицо», т.е. по их уникальному программному коду. Поэтому появление вирусов-полиморфиков несколько лет назад произвело настоящую революцию в компьютерной вирусологии. Сейчас уже существуют универсальные методы борьбы и с такими вирусами.