Каталог :: Информатика

Реферат: Типи вірусів та сучасні антивірусні заходи

Дер­жа­в­на Ми­т­на Слу­ж­ба Укра­ї­ни
Ака­де­мія Ми­т­ної Слу­ж­би Укра­ї­ни
         Реферат з основ інформатики та обчислювальної техніки на тему:         
      “Типи вірусів та сучасні антивірусні програмні засоби”      
                                                                          
                                                                          
                                                                          
                                                                          
                                                                          
     

Ви­ко­нав: ку­р­сант І ку­р­су групи П-03-1

Ма­ка­ров М. С.

Дніп­ро­пе­т­ровськ 2003 г. План: 1. Вступ. Основні положення 5 2. Поділ вірусів за деструктивно-класифікаційними ознаками: 2.1. Середовище перебування 6 2.2. Способи зараження 8 2.3. Бутові віруси 9 2.4. Віруси в структурі файлової системи 9 2.5. Stealth-віруси 9 2.6. Поліморфні віруси 10 2.7. CD-ROM-віруси 10 3. Класифікація антивірусних програм 12 4. Засоби боротьби з вірусами 13 5. Висновки. Важливість антивірусного захисту 15 6. Додаток. Дев’ятнадцять найбільш шкідливих мережевих вірусів 16 7. Список використаної літератури 17 Вступ. Основні положення. Проблема безпеки інформації в період загальної інформатизації, широкого впровадження e-технологій — одне із найгостріших питань сьогодення. Комплексне вирішення проблеми безпеки інформації як складової частини національної безпеки держави в цілому ґрунтується на розробці загальної стратегії. Необхідно створити єдину правову, організаційну та матеріально- технічну базу з урахуванням міжнародних норм і правил безпеки інформації, а також оптимізувати чинні в країні нормативні, організаційні та регламентуючі документи. Способи захисту інформації можна поділити на способи її захисту від пошкоджень і способи захисту від несанкціонованого доступу. Основною властивістю комп’ютерних вірусів є саморозмноження. Тому процедура, що здійснює цю функцію, займає в алгоритмі вірусу центральне місце, всі інші функції (прояв, засоби маскування і т.д.) мають другорядне значення. Для організації антивірусного захисту ПЕОМ коротко розглянемо основні принципи роботи та лікування різних класів вірусів. Поділ вірусів за деструктивно-класифікаційними ознаками. Комп'ютерні віруси поділяються на первинні класи за деструктивно- класифікаційними ознаками, способами їх створення і знешкодження: þ за місцезнаходженням вірусів (файлові, бутові, файлово-бутові, пакетні, мережеві, віруси в структурі файло­вої системи, WinWord-віруси, Windows-віруси, OS/2-віруси, Novell NеtWare-віруси, BIOS-віруси, CD-ROM-віруси); þ за способом зараження середовища мешкання ві­русів (резидентні, нерезидентні); þ за наслідками деструктивних дій вірусів (нешкідли­ві, не уразливі, уразливі, дуже уразливі); þ за особливостями алгоритму вірусу (stealth-віруси, worm-віруси, companion-віруси, МtЕ-віруси, DIR-віруси, driver-віруси, віруси-паразити, віруси-привиди, «тро­янські» програми, логічні бомби, комбіновані віруси та ін.); þ за способами знешкодження вірусів (знешкоджені однією антивірусною програмою (АVО-віруси) і знешкоджені кількома антивірусними програмами або n-комплектом антивірусів (АVN-віруси); þ за способом створення вірусів (створені ручними засобами розробки (Н-віруси) і створені автоматизова­ними засобами розробки (А-віруси). Середовище перебування. Файлові віруси проникають у виконавчі файли. Звичайний файловий вірус, після передачі йому управління, виконує такі дії: 1. Він перевіряє ОЗУ на наявність своєї копії і інфікує пам’ять комп’ютера, якщо копія вірусу не знайдена; 2. Може виконувати додаткові функції: здійснювати які-небудь деструктивні дії, демонструвати візуальні або звукові ефекти і т.д.; 3. Поновлює оригінальний код програми; 4. Повертає управління основній програмі; Під час поновлення програми в первісному вигляді вірус використовує інформацію, що зберігається в його тілі при зараженні файлу. Це може бути довжина файлу, перші три байти в разі COM-файлу або декілька байтів заголовка в разі EXE-файлу Файлові віруси при розповсюдженні вкорінюються в початок, кінець або середину файлу. Спосіб укорінення в кінець файлу очевидний — він просто дописує своє тіло в кінець файлу. Існує кілька способів укорінення в середину файлу. Код вірусу може бути скопійований: 1. У таблицю настройки адрес (для EXE-файлів); 2. В область стека; 3. Поверх коду або даних програми (при цьому програма безповоротно пошкоджується). LAN-віруси (мережеві). Насамперед, треба враховувати велику загрозу розповсюдження вірусів по мережах. Віруси розповсюджуються від користувача до користувача при обміні програмними продуктами. Локальні мережі (LAN) широко застосовуються для спільного використання програмних пакетів, обміну програмами та даними між користувачами. Вірус найчастіше може потрапити на ПЕОМ, підключену до локальної мережі, коли користувач копіює собі файли з мережі або просто запускає програми із мережевих папок. Проте на практиці ситуація не настільки драматична, оскільки мережеві ОС надають штатні механізми захисту та розподілу користувачів. При грамотному використанні цих можливостей можна обмежити простір, в якому буде розповсюджуватись вірус, тільки робочою областю того користувача, який вніс його в систему. WinWord-віруси (макровіруси) — це досить нові віруси, які розповсюджуються з електронними документами. Перші такі віруси з’явились в 1995 р. Таке повідомлення нібито фантастичне, оскільки вірус повинен мити команди , що виконуються, а в документі міститься тільки текст та його шрифтове оформлення. Але разом з документом можуть зберігатися макрокоманди, які створюються з використанням спеціальної мови програмування WORD Basic. Ці макрокоманди фактично є програмами. Віруси, які використовують такі шляхи розповсюдження, принципово можуть бути не тільки в MS Word, а і в інших прикладаннях MS Office. Найбільш доцільною протидією від таких нових версій макровірусів є постійне оновлення своїх антивірусних програм та уважне вивчення публікацій з антивірусної тематики. Резидентні віруси — це віруси, які вкорінюють в ОС свій резидентний модуль. такі віруси, як правило, перевіряють ОЗУ на наявність своєї копії, щоб запобігти повторному зараженню системи. Відомі два способи перевірки резидентним вірусом своєї копії в ОЗУ ПЕОМ. Перший полягає в тому, що вірус вводить нову функцію деякого переривання, дія якої заключується в повернені сигнального значення. при перевірці іншим способом, вірус просто сканує пам’ять комп’ютера. ці способи можуть поєднуватись один з одним. При інфікуванні ПЕОМ, вірус може записати свою резидентну частку в будь-яке вільне місце оперативної пам’яті. При цьому об’єм оперативної пам’яті може і не змінитись, оскільки вірус розміщує резидентний модуль у вільних або мало використовуваних системних областях. Способи зараження. Існують три способи зараження EXE-файлів: 4. EXE-файл переводиться в формат COM-файлу, а потім заражується, як COM- файл; 5. У заголовку EXE-файлу значення точки входу в програму змінюється таким чином, що відразу після запуску управління переходить на вірус; 6. Точка входу не змінюється, але вірус замінює команди, які знаходяться за адресою точки входу таким чином, щоб вони передали йому керування. Бутові віруси заражують сектор завантаження або завантажувальний запис вінчестера. При інфікуванні диска вірус переносить оригінальний сектор у будь-який інший сектор диска і копіює себе в завантажувальний сектор вінчестера (або в MBR). Якщо довжина вірусу більша за довжину сектора, то в заражуваному секторі міститься перша частини вірусу, інші його частини містяться в інших секторах. Якщо ці частини розміщуються у перших вільних секторах, то ті, як правило, позначаються як збійні (точніше, сектори утворюють кластер або кластери, які позначаються як псевдозбійні кластери). У подальшому, вірус перехоплює звернення ОС до дисків і, залежно від деяких умов, інфікує їх. Віруси в структурі файлової системи — це найвитонченіші віруси, вони здатні вносити зміни в службові структури файлової системи таким чином, що вірус включається в файли, які призначені для виконання, явно не вкорінюючи в них свій код. Такі віруси використовують дуже незвичайну технологію розмноження. При цьому, усі записи в папках, що стосуються програм, модифікуються таким чином, що першим кластером програми стає кластер, який містить код вірусу. Отже, під час запуску будь-якої програми замість неї працює вірус. Першим вірусом, що використовував подібну технологію, був DIR-вірус. Stealth-віруси — це такі, що намагаються приховати свою присутність у ПЕОМ. Це вдається тому що вони працюють разом з ОС та використовують усі її стандартні функції для свого маскування. Stealth-віруси мають резидентний модуль, який постійно знаходиться в оперативній пам’яті комп’ютера. Цей модуль встановлюється під час запуску зараженої програми або при завантаженні з диску, який заражено Boot-вірусом. Маскування Stealth-вірусів спрацьовує тільки тоді, коли в ОЗУ ПЕОМ знаходиться резидентний модуль вірусу. Тому, якщо ПЕОМ завантажується з дискети, у вірусу немає ніяких шансів одержати управління, і тому Stealth- механізм не спрацьовує. Щоб досягти ще меншої вразливості, використвується комбінований метод маскування. Віруси комбінують в собі властивості не тільки Stealth-, а й поліморфних вірусів. MtE-віруси (поліморфні віруси), щоб утруднити виявлення, шифрують свій код. Кожен раз, коли вірус заражує нову програму, він зашифровує свій власний код, використовуючи новий ключ. У результаті два примірника таких вірусів можуть значно відрізнятись, навіть мати рузну довжину. Якщо запускається заражена програма і вірус одержує управління, він починає розшифровувати свій код. Процедура розшифрування не може бути зашифрована, інакше вона не працюватиме, Цим користуються антивірусні програми, що використовують, як сігнатуру, код процедури розшифрування. Але зараз віруси, що самошифруються, стали доповнюватися генераторами дешифровки. Вони створюють для кожної нової копії вірусу свій унікальний розшифровщик. Два екземпляри такого вірусу не будуть мати жодного збігу послідовності коду. CD-ROM-віруси. На цей час майже основним носієм інформації стають компакт- диски. На відміну від вінчестерів і дискет, через CD-ROM вірус розповсюджується лише тоді, коли файл було інфіковано і таким записано на компакт-диск. Якщо ви не довіряєте своєму компакт-диску, то можна скопіювати заражений файл на жорсткий диск і відразу вилікувати його за допомогою антивірусу. Класифікація антивірусних програм. Для захисту від різноманітних вірусів існує декілька видів антивірусів, що різняться за своїми функціями: Детектори (сканери) перевіряють оперативну або зовнішню пам’ять на наявність вірусу за допомогою розрахованої контрольної суми або сігнатури і складають список ушкоджених програм. Якщо детектор — резидентний, то програма перевіряється і тільки в разі відсутності вірусів вона активується. Детекторами є, наприклад, програма MS AntiVirus. Фаги (поліфаги) виявляють та знешкоджують вірус (фаг) або кілька вірусів. Сучасні версії поліфагів, як правило, можуть проводити евристичний аналіз файлу, досліджуючи його на наявність коду, характерного для вірусу (додання частини однієї програми в іншу,шифрування коду тощо). Фагами є, наприклад, програми Aidstest, DrWeb. Ревізори — програми, що контролюють можливі засоби зараження комп’ютера, тобто вони можуть виявити вірус, невідомий програмі. Ці програми перевіряють стан BOOT-сектора, FAT-таблиці, атрибути файлів. При створенні будь-яких змін користувачеві видається повідомлення (навіть у разі відсутності вірусів, але наявності змін). Ревізором є, наприклад, програма Adinf. Сторожі — резидентні програми, які постійно зберігаються у пам’яті комп’ютера й у визначений користувачем час перевіряють оперативну пам’ять комп’ютера, файли, BOOT-сектор, FAT-таблицю. Сторожем є, наприклад, програма AVP, що може виявити понад 47000 вірусів. Вакцини — це програми, які використовуються для оброблення файлів та завантажувальних секторів з метою передчасного виявлення вірусів. Засоби боротьби з вірусами. Існує вислів: ніж швидко вилікуватись, краще не хворіти зовсім. Це відноситься і до комп’ютерних вірусів. Якщо вірус вже діє на комп’ютері, треба його, звичайно, знешкодити (видалити зовсім, вилікувати, або ж, перемістити в якусь окрему папку для подальшого лікування). З цією задачею дуже ефективно справляються антивіруси, що мають евристичний аналізатор та вміють лікувати файли. Навіть непотрібно, щоб вірус мав величезну базу даних (наприклад, в останніх версіях Kaspersky Antivirus розміри цієї бази становлять вже більше 47000 записів, а сумарний об’єм на диску сягає 50 кБ!). Отже, існуючі на комп’ютері віруси треба знаходити та знешкоджувати, але як бути з “потенційною загрозою”, звідки чекати небезпеки? Віруси потрапляють на комп’ютер з Інтернету, через e-mail, p2p-мережі, з чужих дискет та CD-ROM (зрозуміло, також ±R, ±RW та ін.). У двох останніх випадках рекомендується запустити сканування носіїв та, у випадку, якщо будуть знайдені віруси, скопіювати ці файли на вінчестер та намагатися вилікувати їх. Для CD-ROM зі складною структурою (автозапуском, системою пошуку та ін.) має сенс створення віртуального його аналогу, що може бути вилікуваний. Якщо ви хвилюєтесь про internet-, e-mail- та р2р-віруси, то, по словах Євгена Касперського, «найкраще усього <.> просто взяти велику сокиру та перерубати лінію вашого зв’язку з провайдером. Або ж, можна встановити брандмауер»[1]. Коротше кажучи, брандмауер — це спеціалізована програма, що фільтрує вхідний (а деякі — ще й вихідний) контент мережного обміну. В більшості випадків брандмауер — це комплексна програма, що включає до себе аналізатор усіх вхідних файлів і, у разі підозри на вірус, викликає антивірус (наприклад, так діє Kerio Personal Firewall); іноді останній (або його демо-версія), входить до складу брандмауеру (Norton Internet Security). Також, до його складу (у більшості випадків) входить аналізатор файлів, прикріплених до e-mail-листів (хоча, частіше всього, цей “аналізатор” просто перейменовує усі clip-файли, але зустрічаються і справжні антивіруси (наприклад, ZoneAlarm Email Watcher). Що ж до р2р-протоколів і мереж (KaZaA, Gnutella.), то цей контент майже не контролюється, але віруси тут набули просто неймовірного поширення. Так, за дослідами журналу “Chip-Россия” у жовтні 2003 року, лише один з 37 скачаних за півгодини файлів був неінфікований (34 черв’яка, 2 троянця та 1 Windows-вірус) [2]. Більше того, як можна побачити в додатку, р2р-черв’як входить до десятки найшкідливіших мережевих програм. Що можна порекомендувати для буденного захисту від вірусів? Ось три правила, які дозволять істотно зменшити кількість вірусів на вашому ПК та знизять вірогідність заражування: þ Регулярно перевіряйте папки на предмет невідомих вам файлів; особливу увагу треба приділяти файлам з атрибутами “системный”, ”скрытый”; þ Не довіряйте файлам менше 200 кБ. Чим більше файл, тим менш вірогідно, що він інфікований; þ Звертайте увагу (якщо це, звичайно, можливо) на кількість користувачів, що вже мають цей файл. Але, треба відмітити, усе вищесказане не гарантує 100%-ного захисту. Вихід з цього становища, можливо, буде знайдено у подальших мережевих проектах, наприклад у “Internet-2”. Одним з головних постулатів якого є фраза «Ми — за безпечний серфінг». Висновки. Важливість антивірусного захисту. Незважаючи на великі зусилля як теоретичного, так і практичного характеру щодо вирішення пробле­ми захисту інформації, його сучасний стан дуже далекий від будь-якого надійного розв'язання. Більше того, виникла ціла низка нових проблем, які пов'язані з захистом від комп'ютер­них вірусів. Фахівці навіть доходять висновку щодо кар­динальної зміни погляду на проблему організації антивірусного захисту з урахуванням загроз від проникнення комп'ютерних вірусів. Втрати від пандемії поліморфного вірусу OneHalf 3455, 3477 у комп'ютерних системах України наприкінці 1994 р. були настільки великими і несподіваними (без­слідно знищувались у базах та банках даних цілі масиви інформації в низці останніх циліндрів їх жор­стких дисків), що остаточно змусило керівни­ків державних, а особливо банківських і комерційних структур, по-іншому глянути на безумовну необхідність фінансування та наявність антивірусного захисту своїх комп'ютерних систем. Після цієї вірусної пандемії єдиний операційний день будь-якого банку починається з кон­тролю стану захищеності від комп'ютерних вірусів, тому що практика минулих та можливих в майбутньому непе­редбачених вірусних атак показує, що без такого захисту (за оцінками фахівців провідних західних країн) банк на­ступного дня може стати банкрутом. Безумовно, що це повністю стосується і ПЕОМ. Додаток.19 найбільш шкідливих мережевих вірусів[3]

№ п/п

Назва шкідливої програми

Доля в загальному числі вірусних інцедентів

1

I-Worm.SoBig47,75%

2

I-Worm.Swen36,50%

3

I-Worm.Mimail6,50%

4

I-Worm.Klez2,52%

5

I-Worm.Lentin2,35%

6

I-Worm.Tanatos0,81%

7

I-Worm.Dumaru0,68%

8

Worm.Win32.Lovesan0,35%

9

Worm.P2P.Spybot0,14%

10

Win95.CIH0,11%

11

Backdoor.SdBot0,09%

12

I-Worm.Ganda0,09%

13

VBS.Redlot0,08%

14

Win32.Parite0,08%

15

Worm.Win32.Welchia0,08%

16

Win32.Funiove0,08%

17

I-Worm.Roron0,07%

18

Backdoor.Optix.Pro0,07%

19

I-Worm.Fizzer0,07%
Список використаної літератури. 7. Андерсон Криста, Мининси Марк. Локальные сети. Полное руководство. — К.: ВЕК+, 1999; 8. Дибкова Л. М. Інформатика та комп’ютерна техніка. — К.: Академвидав, 2002; 9. Ярочкин В. И. Безопасность информационных систем. — М.: «Ось-89», 1996; Chip-Россия, №№ 5, 2002 – 12, 2003. — М.: Vogel BURDA Communications, 2002 – 2003.
[1] Чем грозит нам Интернет?//Chip-Россия, №9,2003 р.,— Vogel BURDA Communications, стр. 152 [2] Там же. Звичайно, при виборі використовувались найбільш часті для вірусів імена, пов’язані із порнографією, нелегальним софтом тощо. [3] По даним «Лаборатории Касперского», на 3-й тиждень листопада 2003 р.