8.3. Компьютерные вирусы

История возникновения проблемы связана с именем Фреда Коэна (FredCochen), известного специалиста в области компьютерной безопасности, научного сотрудника Лехайского университета (США). Работая над проблемой защиты от несанкционированного копирования программного продукта, он написал небольшую программу, которая обладала способностью к быстрому самовоспроизведению и совершению различных негативных действий: стиранию важной информации на системном диске, уничтожению файлов, изменению переменных в ОС и т.д. Программа активизировалась в случае незаконного копирования исходной авторской программы. Работа Коэна была опубликована в 1984 г., но тогда не нашла отклика у специалистов. Сегодня заражение вирусом или проникновение троянской программы на ПК является обыденным явлением.

При заражении компьютера вирусом важно вовремя его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести следующие:

• прекращение работы или неправильная работа ранее успешно функционировавших программ;

• медленная работа компьютера;

• невозможность загрузки ОС;

• исчезновение файлов и каталогов или искажение их содержимого;

• изменение даты и времени модификации файлов;

• изменение размеров файлов;

• неожиданное значительное увеличение количества файлов на диске;

• существенное уменьшение размера свободной оперативной памяти;

• вывод на экран непредусмотренных сообщений или изображений;

• подача непредусмотренных звуковых сигналов;

• частые «зависания» и сбои в работе компьютера и др.

Сегодня многие угрозы безопасности КС могут эффективно реализовываться при помощи программных вирусов (ПВ). Такое название они получили за схожесть с биологическими вирусами, в частности, из – за способности к саморазмножению.

Под ПВ понимается автономно функционирующая программа, обладающая способностью к самовключению в тела других программ и последующему самовоспроизведению и самораспространению в компьютерных сетях и отдельных ПК. ПВ разделяют на компьютерные(КВ)исетевые (СВ)вирусы. Последние используют для размножения телекоммуникационные каналы информационных систем.

Принципиальное отличие вируса от троянской программы состоит в том, что после запуска его в КС он существует самостоятельно, и в процессе своего функционирования заражает программы путем включения в них своего текста. Программы, зараженные вирусом, называют также вирусоносителями. Первые вирусы, достаточно примитивные, появились в 1987 г., и с этого времени их количество растет (рис. 8.15), достигнув к 2000 г. несколько десятков тысяч видов.

Существуют различные классифицирующие признаки для анализа вирусов. Основными из них являются:

• среда обитания (файловые, бутовые, пакетные и т.д.);

• способ заражения среды обитания (резидентные, нерезидентные);

• вид деструктивных воздействий (безвредные, неопасные, опасные, очень опасные);

• особенности алгоритма (вирусы – паразиты, вирусы – «невидимки», комбинированные вирусы и т.д.);

• способы создания (Н – вирусы, А – вирусы, созданные, соответственно, ручными и автоматизированными средствами);

• способы удаления (AVO – вирусы и AVN – вирусы, уничтожаемые, соответственно, одной или несколькими антивирусными программами) и т.д.

Заражение программы (исполняемого файла) происходит таким образом, чтобы вирус получил управление раньше самой программы. Для этого он либо встраивается в начало программы, либо имплантируется в ее тело так, чтобы первой командой зараженной программы являлся безусловный переход на вирус. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие – либо другие вредоносные действия, после чего отдает управление вирусоносителю. Первичное заражение происходит в процессе поступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как магнитные носители (дискеты, CD и т.д.), так и телекоммуникационные каналы.

Физическая структура вируса достаточно проста. Он состоит из головы и, возможно, хвоста. Под головой вируса понимается его компонент, получающий управление первым. Хвост – это часть вируса, расположенная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, называютнесегментированными, тогда как вирусы, содержащие голову и хвост, –сегментированными.

Цикл жизни вируса обычно включает следующие периоды: внедрения, инкубационный, репликации (саморазмножения) и проявления. В течение инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например, необратимую коррекцию информации на магнитных носителях (жестких либо гибких).

По данным Лаборатории Касперского в настоящее время наибольшее количество заражений вызвали сетевые черви (77,19%) – вредоносные программы, имеющие функции распространения по ИНТЕРНЕТ (электронная почта, Web – сервисы, сетевые пейджеры, IRC – каналы и др.). На втором месте оказались компьютерные макровирусы (16,33%), на третьем – троянские программы (6,49%) (рис. 8.16).

Причина вирусной активности заключается в неуниверсальности и недостаточной эффективности существующих антивирусных программ для новых типов вирусов. Сигнатуры (устойчивые последовательности байтов в телах вирусов, однозначно их идентифицирующие) новых КВ отсутствуют в БД существующих антивирусных пакетов. Их появление там возможно только по прошествии определенного промежутка времени, необходимого на исследование тела вируса и разработки необходимого антивируса.