Зворотний зв'язок

Комп'ютерні віруси й антивірусні програмні засоби

Масове використання ПК у мережному режимі, включаючи вихід у глобальну мережу Інтернет, породило проблему зараження їхніми комп'ютерними вірусами.

Комп'ютерним вірусом прийнято називати спеціально написану, звичайно невелику по розмірах програму, здатну мимовільно приєднуватися до інших програм (тобто заражати їх), створювати свої копії (не обов'язково цілком співпадаючі з оригіналом) і впроваджувати їх у файли, системні області комп'ютера й в інші об'єднані з ним комп'ютери з метою порушення нормальної роботи програм, псування файлів і каталогів, створення різних перешкод при роботі на комп'ютері.

Уперше термін «комп'ютерний вірус» ужив співробітник Лехайского університету (США) Ф. Коэн у 1984 р. на 7-й конференції по безпеці інформації, що проходила в США. Однак перше згадування про подібний тип програмах для ЕОМ відноситься до середини минулого сторіччя. Саме тоді американські вчені Джон фон Нейман і Норберт Вінер, займаючись проблемами алгоритмічного забезпечення і програмного керування ЕОМ, відкрили можливість саморозмноження штучних алгоритмічних конструкцій, тобто програмного коду.

Відповідно до підготовленого Російська аналітична центром «Лабораторія Касперського» звіту-огляду вірусної активності за 2002 р. в усьому світі інтенсивність вірусних інцидентів (тобто повідомлень компаній і приватних осіб про те, що вони піддалися атаці комп'ютерних чи вірусів інших шкідливих кодів) постійно росте. Одночасно збільшується і збиток, нанесений світовому співтовариству цими створюваними людиною програмами. Так, у 2002 р. цей збиток оцінювався майже в 14,5 млрд дол., перевищивши аналогічний показник 2001 р. майже на 10%, а в 2000 р., по підрахунках фахівців, ця цифра була ще вище -17,1 млрд дол.

У 2002 р. було зафіксовано 12 великих і 34 менш значних вірусних епідемій. При цьому, по опублікованим даної (www.messagelabs.com),кількість вірусів, що пересилаються по електронній пошті, за рік виросло в два рази, і нині злобливі коди містяться приблизно в кожнім 200-м листі. Самими шкідливими програмами в 2002 р. виявилися програми «поштові хробаки» (понад 61% від загального числа випадків) і макровіруси Word97 (близько 2%). Ненецікаво, що віруси «поштові хробаки» уперше з'явилися в 1998 р.

Світова практика комп'ютерної вірусології свідчить, що основним джерелом погрози для організацій і приватних осіб залишається електронна пошта. З нею зв'язано понад 96% усіх зареєстрованих у 2002 р. випадків. Через електронну пошту до персональних комп'ютерів добираються не тільки «мережні хробаки», але і звичайні віруси, у тому числі «троянські коні». Через інші служби Інтернету, до приклада через FTP, IRC, відсоток зараження комп'ютерів вірусами складав 2,3%. Більш низок відсоток зараження комп'ютерів вірусами через заражені мобільні нагромаджувачі інформації (флопи-, CD-, магнітооптичні й інші диски).

. Спосіб функціонування більшості вірусів - це така зміна системних файлів комп'ютера, щоб вірус починав свою діяльність при кожнім завантаженні. Деякі віруси інфікують файли завантаження системи, інші спеціалізуються на ЕХЕ-, СОМ- і інших програмних файлах. Усякий раз, коли користувач копіює файли на гнучкий чи диск посилає інфіковані файли по модему, передана копія вірусу намагається установити себе на новий диск.

Звичайно вірус розробляється так, щоб він з'явився, коли відбувається деяка подія виклику, наприклад п'ятниця 13-і, інша дата, визначене число перезавантажень зараженого чи якогось конкретного додатка, відсоток заповнення твердого диска й ін.

Після того як вірус виконає потрібні йому дії, вона передає керування тій програмі, у якій він знаходиться, і її робота якийсь час не відрізняється від роботи незараженої. Усі дії вірусу можуть виконуватися досить швидко і без видачі яких-небудь повідомлень, тому користувач часто і не зауважує, що комп'ютер працює з «дивинами». До ознак появи вірусу можна віднести:

• уповільнення роботи комп'ютера;

• неможливість завантаження операційної системи;

• часті «зависання» і збої в роботі комп'ютера;

• припинення чи роботи неправильну роботу раніше що успішно функціонували програм;

• збільшення кількості файлів на диску;

• зміна розмірів файлів;

• періодична поява на екрані монітора недоречних повідомлень;

• зменшення обсягу вільної оперативної пам'яті;

• помітне зростання часу доступу до твердого диска;

• зміна дати і часу створення файлів;

• руйнування файлової структури (зникнення файлів, перекручування каталогів і ін.);

• загоряння сигнальної лампочки дисковода, коли до нього немає звертання, і ін.

Треба помітити, що названі симптоми необов'язково викликаються комп'ютерними вірусами, вони можуть бути наслідком інших причин, тому комп'ютер варто періодично діагностувати.У багатьох країнах діють законодавчі заходи для боротьбі з комп'ютерними злочинами і злочинними діями, розробляються антивірусні програмні засоби, однак кількість нових програмних вірусів зростає. Обличчя, що використовують свої знання і досвід для несанкціонованого доступу до інформаційних і обчислювальних ресурсів, до одержання конфіденційної і секретної інформації, до здійснення шкідливих дій, називають хакерами.

Діяльність хакерів найчастіше буває соціально небезпечної. У червні 1987 р. спецслужбами ФРН був арештований М. Шпеер, «взломавший» комп'ютерну систему військової бази в Алабамі, що зберігала зведення про боєздатність ракет великої дальності, інформаційну мережу ЦРУ, банк даних Пентагона й інших державних установ. У листопаду 1988 р. аспірант факультету інформатики Корнелського університету (США) Р.Моррис запустив у мережу Інтернет вірус-хробак, названий згодом «вірусом Морриса». Протягом декількох годин програма заразила близько 6000 ЕОМ, у тому числі військової мережі Міністерства оборони США, що працювали під керуванням операційної системи UNIX. Покарання за це діяння в суді було зм'якшено тими доводами, що програма-вірус створювалася для перевірки захисту комп'ютерів, і небажані наслідки виникли через технічну помилку, допущеної автором програми.

У травні 2000 р. вірус за назвою «I love you» (Я тебе люблю), написаний студентом з Філіппін і розповсюджений по електронній пошті, вразив 3,1 млн персональних комп'ютерів у США і країнах Європи. Збиток від цієї витівки для фірм, по оцінках фахівців, склав 8,7 млрд дол., а також приніс масу неприємностей простим користувачам. Зараженими виявилися навіть комп'ютерні системи британського парламенту й американського конгресу.

За даними фахівців в області комп'ютерної економіки, у 2002 р. збиток від комп'ютерних вірусів великого бізнесу (компаній, що входять у список Fortune 500) склав 14,5 млрд дол. Реальні ж збитки з урахуванням інших компаній, державних структур і приватних осіб значно вище.

За більш деталізованою схемою класифікації комп'ютерних зловмисників поділяють на хакерів (hacker), кракерів (cracker) і фрикерів (phracer).

Дії хакерів, чи комп'ютерних хуліганів, можуть наносити істотна шкода власникам комп'ютерів і власникам (творцям) інформаційних ресурсів, тому що приводять до простоїв комп'ютерів, необхідності відновлення зіпсованих даних або до дискредитації юридичних чи фізичних осіб, наприклад, шляхом перекручування інформації на електронних дошках чи оголошень на Web-серверах в Інтернету. Мотиви дій комп'ютерних зловмисників усілякі: прагнення до фінансових придбань; бажання нашкодити і помститися керівництву організації, з якої по тим чи іншим причинам звільнився співробітник; психологічні риси людини (заздрість, марнославство, бажання виявити свою технічну перевагу над іншими, просто хуліганство й ін.).

Основними шляхами зараження комп'ютерів вірусами є знімні диски (дискети і CD-ROM) і комп'ютерні мережі. Зараження твердого диска комп'ютера може відбутися при завантаженні комп'ютера з дискети, що містить вірус. Для посилення безпеки необхідно звертати увага на те, як і відкіля отримана програма (із сумнівного джерела, чи мається наявність сертифіката, чи експлуатувалася раніш і т.д.). Однак головна причина зараження комп'ютерів вірусами - відсутність в операційних системах ефективних засобів захисту інформації від несанкціонованого доступу.

За даними спеціальної літератури, у світовій практиці було зареєстровано близько 70 тис. комп'ютерних вірусів, і щотижня з'являються нові віруси. Одна зі схем класифікації комп'ютерних вірусів представлена на мал. 11.2.

Рис. 11.2. Класифікація комп'ютерних вірусів

У залежності від середовища обитания віруси класифікуються як завантажувальні, файлові, системні, мережні, файлово-загрузоні.

Завантажувальні віруси впроваджуються в завантажувальний сектор чи диска в сектор, що містить програму завантаження системного диска.

Файлові віруси впроваджуються в основному у файли, що виконуються, з розширенням .СОМ і .ЕХЕ.

Системні віруси проникають у системні модулі і драйвери периферійних пристроїв, таблиці розміщення файлів і таблиці розділів.

Мережні віруси живуть у комп'ютерних мережах; файлово-загрузочні (багатофункціональні) уражають завантажувальні сектори дисків і файли прикладних програм.

По способі зараження середовища обитания віруси підрозділяються на резидентні і на нерезидентні.

Резидентні віруси при зараженні комп'ютера залишають в оперативній пам'яті свою резидентну частина, що потім перехоплює звертання операційної системи до інших об'єктів зараження, впроваджується в них і виконує свої руйнівні дії аж до чи вимикання перезавантаження комп'ютера. Нерезидентні віруси не заражають оперативну пам'ять ПК і є активними обмежений час.Алгоритмічна особливість побудови вірусів впливає на їхній прояв і функціонування. Так, репликаторні програми завдяки своєму швидкому відтворенню приводять до переповнення основної пам'яті, при цьому знищення програм-реплікаторів ускладнюється, якщо відтворені програми не є точними копіями оригіналу. У комп'ютерних мережах поширені програми-хробаки. Вони обчислюють адреси мережних комп'ютерів і розсилають по цих адресах свої копії, підтримуючи між собою зв'язок. У випадку припинення існування «хробака» на якому-небудь ПК що залишилися відшукують вільний комп'ютер і впроваджують у нього таку ж програму.

«Троянський кінь» - це програма, що, маскуючи під корисну програму, виконує доповнюючі функції, про що користувач і не догадується (наприклад, збирає інформацію про імена і паролі, записуючи їх у спеціальний файл, доступний лише творцю даного вірусу), або руйнує файлову систему.

Логічна бомба - це програма, що вбудовується у великий програмний комплекс. Вона нешкідлива до настання визначеної події, після якого реалізується її логічний механізм. Наприклад, така вірусна програма починає працювати після деякого числа прикладної програми, комплексу, при чи наявності відсутності визначеного чи файлу запису файлу і т.д.

Програми-мутанти, самовідтворюючи, відтворюють копії, що явно відрізняються від оригіналу.

Віруси-невидимки, чи стелс-віруси, перехоплюють звертання операційної системи до уражених файлів і секторів дисків і підставляють замість себе незаражені об'єкти. Такі ' віруси при звертанні до файлів використовують досить оригінальні алгоритми, що дозволяють «обманювати» резидентні антивірусні монітори.

Макровіруси використовують можливості макромов, убудованих в офісні програми обробки даних (текстові редактори, електронні таблиці і т.д.).

По ступені впливу на ресурси комп'ютерних систем і мереж, чи по деструктивних можливостях, виділяються нешкідливі, безпечні, небезпечні і руйнівні віруси.

Нешкідливі віруси не роблять руйнівного впливу на роботу ПК, але можуть переповняти оперативну пам'ять у результаті свого розмноження.

Безпечні віруси не руйнують файли, але зменшують вільну дискову пам'ять, виводять на екран графічні малюнки, створюють звукові ефекти і т.д. Небезпечні віруси нерідко приводять до різних серйозних порушень у роботі комп'ютера; руйнівні - до стирання інформації, повному чи частковому порушенню роботи прикладних програм. Необхідно мати у виді, що будь-який файл, здатний до завантаження і виконання коду програми, є потенційним місцем, куди може упровадитися вірус.

Масове поширення комп'ютерних вірусів викликало розробку антивірусних програм, що дозволяють виявляти і знищувати віруси, «лікувати» заражені ресурси.

В основі роботи більшості антивірусних програм лежить принцип пошуку сигнатури вірусів. Вірусна сигнатура - це деяка унікальна характеристика вірусної програми, що видає присутність вірусу в комп'ютерній системі.

Звичайно в антивірусні програми входить періодично обновлювана база даних сигнатур вірусів. Антивірусна програма переглядає комп'ютерну систему, проводячи порівняння і відшукуючи відповідність із сигнатурами в базі даних. Коли програма знаходить відповідність, вона намагається вичистити виявлений вірус.

По методу роботи антивірусні програми підрозділяються на фільтри, ревізора-доктора, детектори, вакцини й ін.

Програми-фільтри, чи «сторожа», постійно знаходяться в оперативній пам'яті, будучи резидентними, і перехоплюють усі запити до операційної системи на виконання підозрілих дій, тобто операцій, використовуваних вірусами для свого розмноження і псування інформаційних і програмних ресурсів у комп'ютері, у тому числі для переформатування твердого диска. Такими діями можуть бути спроби зміни атрибутів файлів, корекції виконува СОМ- чи Ехе-файлов, запису в завантажувальні сектори диска й ін.

При кожнім запиті на таку дію на екран комп'ютера видається повідомлення про те, яке дія викликана і яка програма бажає його виконувати. Користувач у відповідь на це повинен або дозволити виконання дії, або заборонити його. Подібна часто повторювана «настирливість», що дратує користувача, і те, що обсяг оперативної пам'яті зменшується через необхідність постійного перебування в ній «сторожа», є головними недоліками цих програм. До того ж програми-фільтри не «лікують» чи файли диски, для цього необхідно використовувати інші антивірусні програми.

Надійним засобом захисту від вірусів вважаються програми-ревізори. Вони запам'ятовують вихідний стан програм, каталогів і системних областей диска, коли комп'ютер ще не був заражений вірусом, а потім періодично порівнюють поточне стан з вихідним. При виявленні невідповідностей (по довжині файлу, даті модифікації, коду циклічного контролю файлу й ін.) повідомлення про це видається користувачу.Програми-доктора не тільки виявляють, але і «лікують» заражені чи програми диски, «выкусывая» із заражених програм тіло вірусу. Програми цього типу поділяються на фаги і поліфаги. Останні служать для виявлення і знищення великої кількості різноманітних вірусів.

Програми-детектори дозволяють виявляти файли, заражені одним чи декількома відомими розроблювачам програм вірусами.

Чи вакцини імунізатори, відносяться до резидентним програм. Вони модифікують програми і диски таким чином, що це не відбивається на роботі програм, але вірус, від якого виробляється вакцинація, вважає їхній уже зараженими і не впроваджується в них.

До дійсного часу закордонними і вітчизняними фірмами і фахівцями розроблена велика кількість антивірусних програм. Багато хто з них, що одержали широке визнання, постійно поповнюються новими засобами для боротьби з вірусами і супроводжуються розроблювачами.

У російських користувачів персональних комп'ютерів відомою популярністю користається антивірусний комплект ЗАТ «Діалог-Наука» - сімейство антивірусних програм Doctor Web.

Комплексний антивірус Doctor Web містить у собі компоненти, що забезпечують різні рівні боротьби з комп'ютерними вірусами :

• для захисту корпоративних мереж;

• для захисту робочих станцій;

• для захисту автономних комп'ютерів (домашнє користування);

• для реалізації спеціалізованих рішень.

Сімейство Doctor Web включає антивіруси для ряду операційних систем, включаючи Windows 95/98/Me/NT/2000/XP, DOS, OS/2, Novell NetWare, Linux, FreeBSD, Solaris (Intel) і ін.

Програма-антивірус Doctor Web призначен для пошуку і виявлення файлових, завантажувальних і файлово-загрузочних вірусів. Особливістю програми є закладені в ній три методи, що дозволяють виявляти віруси: по їх сигнатурі, за допомогою евристичного аналізатора, з використанням емулятора процесора.

Пошук вірусів по сигнатурі ( інша назва цього процесу - сканування вірусів) дозволяє дуже швидко знайти набір вірусних зразків, уже відомих розроблювачу антивірусної програми. Використання ж евристичного аналізатора дозволяє виявляти такі віруси, сигнатури яких відсутні в антивірусній базі. Прийом емуляції процесора забезпечує боротьбу зі складними шифрованими і поліморфними вірусами.

Особливою властивістю сімейства програм Doctor Web є модульний принцип побудови, що забезпечує можливість їхньої роботи на різних програмних платформах. Програма включає оболонку, орієнтовану на роботу в конкретному середовищі; ядро, що не залежить від середовища, і вірусну базу, регулярно поповнювану. Така структура дозволяє ті самі файли вірусної бази Doctor Web використовувати для різних програмних платформ, підключати ядро до різних оболонок і додатків, а також реалізувати механізм автоматичного поповнення вірусних баз і відновлення версій оболонки і ядра через мережу Інтернет.

Антивірусний сканер. Doctor Web для Windows 95/98/Me/NT/ 2000/ХР перевіряє файли, каталоги і диски комп'ютера на основі установок користувача. Також забезпечується повна перевірка всієї пам'яті комп'ютера, включаючи системну і пам'ять усіх віртуальних машин у середовищі NT/2000/XP. Цей сканер знаходить і знешкоджує складні з вірусами «троянський кінь» програми, у тому числі «» паролі, щокрадуться, для доступу в Інтернет.

Антивірусна програма SplDer Guard для Windows 95/98/Ме/ NT/2000/XP орієнтована на організацію захисту персонального комп'ютера від вірусів і являє собою резидентний сторож, тобто програма постійно знаходиться в пам'яті комп'ютера. Сторож SplDer використовує те ж ядро і вірусну базу, що і всі сканери сімейства Doctor Web, але може робити всі перевірки автоматично, не відволікаючи користувача на спеціальні дії по забезпеченню антивірусної безпеки. Програма не тільки виявляє і лікує усі відомі віруси (завантажувальні, файлові, макрокомандні, HTML-віруси), але і здійснює перевірку упакованих файлів і архівів, перевірку і видалення вірусів з оперативної пам'яті.

Вхідна до складу сімейства антивірусна програма Doctor Web для Novell NetWare запускається на сервері модуль, що як завантажується, у середовищі мережної операційної системи Novell NetWare версій від 3.11 до 5.1. Вона дозволяє проводити перевірку томів сервера по заздалегідь заданому розкладі; здійснювати перевірку прихожих на сервер і файлів, що ідуть з його; оповіщати адміністратора про виявлені інфіковані і підозрілі файли, вести протокол перевірки; вибирати тому, каталоги і файли, що підлягають перевірці, і др.

У 2001 р. у сімействі Doctor Web з'явився новий компонент для роботи в середовищі досить мало використовуваних операційних систем Linux, FreeBSD і Solaris, названий програмою-демоном Dr. Web. Зовнішнього антивірусного фільтра, що підключається в якості, ця програма перевіряє минаючі через поштовий сервер повідомлення електронної пошти, а також організує добір «комп'ютерного сміття», виступаючи як спамфильтр.У листопаду 2002 р. розроблений антивірусний модуль Dr. Web для The Bat! для забезпечення антивірусного захисту при роботі з поштовими повідомленнями в поштовій програмі The Bat!. Цей модуль дозволяє перевіряти на наявність вірусів вхідну пошту при її одержанні і при відкритті вкладення. При виявленні вірусу модуль у залежності від настроювання в поштовій програмі The Bat! (меню «Властивості», пункт «Антивірусний захист») може зробити одне з наступних дій:

• перемістити лист у спеціальну поштову папку «Карантин» для наступного аналізу;

• спробувати вилікувати заражені частини листа;

• видалити заражені частини з листа;

• видалити лист цілком.

У боротьбі з комп'ютерними вірусами дуже важлива швидкість реакції - чим швидше створюється «вакцина» проти нового вірусу, тим більша кількість комп'ютерів і інформації, що знаходиться на них, удається врятувати. З жовтня 2000 р. доповнення вірусної бази Doctor Web виходять регулярно. При цьому щоденне і щотижневе доповнення доступні на сторінці Web-сервера цієї компанії (www.DialogNauka.ru/dsav/russian/add-on).

З програмою Doctor Web можна працювати як у режимі повноекранного інтерфейсу з використанням меню і діалогових вікон, так і в режимі командного рядка. При роботі в режимі повноекранного інтерфейсу після запуску антивірусної програми користувач використовує необхідні установки через пункти основного меню: Тест Настроювання Доповнення.

Перехід на операційні системи Windows NT/2000 породив проблеми з захистом від вірусів, створюваних спеціально для цього середовища. Крім того, з'явився новий різновид інфекції - макровіруси, «вживляемые» у документи, підготовлювані текстовим процесором Word і електронними таблицями Excel. Відомими антивірусними програмами є AntiViral Toolkit Pro (A VP32), Norton Antivirus Sophos SWEEP, Thunder BYTE Antivirus Utilities і ін. Ці програми працюють у виді програм-сканерів і проводять антивірусний контроль оперативної пам'яті, папок і дисків, містять алгоритми для розпізнавання нових типів вірусів, дозволяють у процесі перевірки лікувати файли і диски.

Програма AntiViral Toolkit Pro (A VP32) є 32-розрядним додатком, що працює в середовищі Windows NT, має зручний користувальницький інтерфейс, систему допомоги, гнучку систему настроювань, обираних користувачем, розпізнає більш 7 тис. різних вірусів. Для роботи цієї програми комп'ютер повинний мати не менш 4 Мбайт оперативної пам'яті і не менш 2 Мбайт вільного місця на твердому диску. AntiViral Toolkit Pro розпізнає (детектують) і видаляє поліморфні віруси, віруси-мутанти і віруси-невидимки, макровіруси, що заражають документ Word і таблиці Excel, об'єкти Access - «троянські коні».

Важлива особливість цієї програми складається в можливості контролю усіх файлових операцій у системі у фоновому режимі і виявленні вірусів до моменту реального зараження системи, а також у можливості детектировання вірусів усередині архівів формату ZIP, ARJ, ZHA, RAR.

З огляду на розвиток локальних комп'ютерних мереж, електронної пошти і мережі Інтернет і впровадження мережний ОС Windows NT, розроблювачами антивірусних програм розроблені і поставляються на ринок такі програми, як Mail Checker - для перевірки вхідної і вихідної електронної пошти, AntiViral Toolkit Pro для Novell NetWare (A VPN) - для виявлення, лікування, видалення і переміщення в спеціальний каталог уражених вірусом файлів при роботі з мережний ОС Novell NetWare версій 3.x і 4.x.

AVPN працює як антивірусний сканер і фільтр, постійно контролюючи файли, що зберігаються на сервері. У режимі фільтра скануються на наявність відомих файлових вірусів файли, що приходять на сервер і виходять із сервера (у тому числі що запускаються і що зчитуються), у режимі сканера відбувається негайне чи автоматичне сканування томів сервера.

AVPN має можливість видаляти, переміщати і «лікувати» заражені об'єкти; перевіряти упаковані й архівні файли; детектувати невідомі віруси за допомогою евристичного механізму; перевіряти в режимі сканера вилучені сервери; відключати заражену станцію від мережі і т.д.

Крім того, AVPN легко набудовується для сканування файлів різних типів; має зручну схему поповнення антивірусної бази; посилає повідомлення про зараження сервера вірусом по мережі, електронній пошті і на пейджер; здійснює автоматичне ведення файлу-звіту про виконувані операції і керування програмою з робочої станції.

Використана література

1.Коваленко Микола Миколайович Комп"ютерні віруси і захист інформації.- К: Наукова думка, 1999.- 268с.

2.Законодавчі та нормативні документи України у сфері інформації, видавничої та бібліотечної справи: Тематична добірка: У 2-х ч. Ч. 1. Правове регулювання у сфері інформації/ Укл. Т.Ю.Жигун.- 2-ге вид., доп.- К.: Книжкова палата України, 2002.- 124с.- 13.00

3.Кулик, Анатолій Ярославович Адаптивні алгоритми передавання інформації: Монографія.- Вінниця: Універсум, 2003.- 214с.- 18.00


Реферати!

У нас ви зможете знайти і ознайомитися з рефератами на будь-яку тему.







Не знайшли потрібний реферат ?

Замовте написання реферату на потрібну Вам тему

Замовити реферат