Реферат на тему:

Комп’ютерні віруси

План

1. Загальна характеристика комп’ютерних вірусів.

1.1. Властивості комп’ютерних вірусів.

1.2. Класифікація вірусів.

2. Основні види вірусів і схеми їх функціонування

2.1. Завантажувальні віруси.

2.2. Файлові віруси.

2.3. Завантажувально-файлові віруси

2.4. Поліморфні віруси.

2.5. Макровіруси.

3. Історія комп’ютерної вірусології.

4. Шляхи проникнення вірусів у комп’ютер.

5. Ознаки появи вірусів.

Загальна характеристика комп’ютерних вірусів

Сьогодні масове застосування персональних комп’ютерів, на жаль,
виявилося пов’язаним з появою програм-вірусів, що самовідтворюються,
перешкоджаючи нормальній роботі комп’ютера, руйнують файлову структуру
дисків і пошкоджують збережену у комп’ютері інформацію.

Незважаючи на прийняті в багатьох країнах закони про боротьбу з
комп’ютерними злочинами й розробку спеціальних програмних засобів
захисту від вірусів, кількість нових програмних вірусів постійно
зростає. Це вимагає від користувача персонального комп’ютера знань про
природу вірусів, способи зараження вірусами й захисту від них.

Властивості комп’ютерних вірусів

Зараз застосовуються персональні комп’ютери, у яких користувач має
вільний доступ до всіх ресурсів машини. Саме це стало причиною
небезпеки, що одержала назву комп’ютерного вірусу.

Формальне визначення поняття «комп’ютерний вірус» дотепер не придумане,
і є серйозні сумніви, що воно взагалі може існувати. Численні спроби
дати «сучасне» визначення вірусу не мали успіху. Щоб відчути всю
складність проблеми, спробуйте, наприклад, дати визначення поняттю
«редактор». Ви або придумаєте щось дуже загальне, або почнете
перелічувати усі відомі типи редакторів. І те й інше навряд чи можна
вважати прийнятним. Тому ми обмежимося розглядом деяких властивостей
комп’ютерних вірусів, що дозволяють говорити про них як про певний
визначений клас програм.

Насамперед вірус — це програма. Таке просте твердження саме по собі
здатне розвіяти безліч легенд про незвичайні можливості комп’ютерних
вірусів. Вірус може перевернути зображення на вашому моніторі, але не
може перевернути сам монітор. До легенд про віруси-убивці, «що знищують
операторів, виводячи на екран смертельну колірну гаму 25-м кадром»,
також не треба ставитися серйозно. На жаль, деякі авторитетні видання
час від часу публікують найсвіжіші новини з комп’ютерних фронтів, які
при ближчому розгляді виявляються наслідком не цілком ясного розуміння
предмета.

Вірус — програма, що має здатність самовідтворюватися. Така здатність є
єдиним засобом, властивим усім типам вірусів. Але не тільки віруси
здатні до самовідтворення. Будь-яка операційна система і ще безліч
програм здатні створювати власні копії. Копії ж вірусу можуть узагалі не
збігатися зі своїм оригіналом.

Вірус не може існувати в «повній ізоляції»: сьогодні не можна уявити
собі вірус, який не використовує код інших програм, інформацію про
файлову структуру або навіть просто імена інших програм. Причина
зрозуміла: вірус повинен яким-небудь способом забезпечити собі передачу
управління.

Класифікація вірусів

Сьогодні відомо більше 70000 програмних вірусів, їх можна класифікувати
за такими ознаками:

— середовище існування;

— спосіб зараження середовища існування;

— вплив;

— особливості алгоритму.

У залежності від середовища існування віруси можна поділити на мережні,
файлові, завантажувальні й файлово-завантажувальні. Мережні віруси
поширюються у різних комп’ютерних мережах. Файлові віруси проникають
головним чином у виконавчі модулі, тобто у файли, що мають розширення
СОМ і ЕХЕ. файлові віруси можуть проникати і в інші типи файлів, але, як
правило, записані в таких файлах, вони ніколи не одержують управління і,
отже, втрачають здатність до розмноження. Завантажувальні віруси
проникають у завантажувальний сектор диска (Boot-сектор) або в сектор,
що містить програму завантаження системного диска (Master Boot Record).
Файлово-завантажувальні віруси заражають як файли, так і завантажувальні
сектори дисків.

За способом зараження віруси поділяються на резидентні й нерезидентна
Резидентний вірус при зараженні (інфікуванні) комп’ютера залишає в
оперативній пам’яті свою резидентну частину, яка потім перехоплює
звертання операційної системи до об’єктів зараження (файлів,
завантажувальних секторів дисків і т. ін.) і проникає в них. Резидентні
віруси знаходяться в пам’яті і є активними аж до вимикання або
перезавантаження комп’ютера. Нерезидентні віруси не заражають пам’ять
комп’ютера і є активними протягом обмеженого часу.

За ступенем впливу віруси можна поділити на такі види:

— безпечні, що не заважають роботі комп’ютера, але зменшують обсяг
вільної оперативної пам’яті й пам’яті на дисках, дії таких вірусів
виявляються в яких-небудь графічних або звукових ефектах;

— небезпечні віруси, що можуть призвести до різних порушень у роботі
комп’ютера;

— дуже небезпечні, вплив яких може призвести до втрати програм, знищення
даних, стирання інформації у системних областях диска.

За особливостями алгоритму віруси важко класифікувати внаслідок їх
різноманітності. Найпростіші віруси — паразитичні, вони змінюють вміст
файлів і секторів диска і можуть бути досить легко виявлені й знищені.
Можна відзначити віруси-реплікатори (їх називають черв’яками), що
поширюються у комп’ютерних мережах, знаходять адреси мережних
комп’ютерів і записують за цими адресами свої копії. Відомі
віруси-невидимки (так звані стелс-віруси), які дуже важко знайти й
знешкодити, тому що вони перехоплюють звертання операційної системи до
уражених файлів і секторів дисків і підставляють замість свого тіла
незаражені ділянки диска. Найважче знайти віруси-мутанти, що містять
алгоритми шифрування-розшифрування, завдяки яким копії одного й того
вірусу не мають жодного повторюваного ланцюжка байтів. Є й так звані
квазівірусні (троянські) програми, що хоча й не здатні до самопоширення,
але дуже небезпечні, тому що, маскуючись під корисну програму, руйнують
завантажувальний сектор і файлову систему дисків.

Основні види вірусів і схеми їх функціонування

Серед усієї розмаїтості вірусів можна виділити такі основні групи:

— завантажувальні;

— файлові;

— файлово-завантажувальні.

Завантажувальні віруси

Розглянемо схему функціонування дуже простого завантажувального вірусу,
Що заражає диски. Ми свідомо уникнемо розгляду всіх численних тонкощів,
які неминуче зустрілися б при послідовному розбиранні алгоритму його
функціонування.

Що відбувається, коли ви вмикаєте комп’ютер? Спершу управління
передається програмі початкового завантаження (ППЗ), що зберігається в
постійно запам’ятовуючому пристрої (ПЗП).

Будь-який диск розмічений на так звані сектори і доріжки. Серед секторів
є кілька службових, що використовуються операційною системою для власних
потреб (у цих секторах не можуть розміщуватися ваші дані). Серед
службових секторів нас поки цікавить один — сектор початкового
завантаження (boot-sector).

У секторі початкового завантаження зберігається інформація про дискету —
кількість поверхонь, кількість доріжок, кількість секторів і т. ін. Але
нас зараз цікавить не ця інформація, а невелика програма початкового
завантаження (ППЗ), що повинна завантажити саму операційну систему і
передати їй управління.

Таким чином, нормальна схема початкового завантаження має такий вигляд:

ППЗ (ПЗП) — ППЗ (диск) — СИСТЕМА.

Тепер розглянемо вірус. У завантажувальних вірусах виділяють дві частини
— так звані голову і хвіст. Хвіст, узагалі кажучи, може бути порожнім.

Нехай у вас є чиста дискета і заражений комп’ютер, під яким ми розуміємо
комп’ютер з активним резидентним вірусом. Як тільки цей вірус виявить,
що в дисководі з’явилася відповідна жертва (у нашому випадку не захищена
від запису і ще не заражена дискета), він приступає до зараження.
Заражаючи дискету, вірус виконує такі дії:

— виділяє певну область диска і позначає її як недоступну для
операційної системи. Це можна зробити по-різному, у найпростішому й
традиційному випадку зайняті вірусом сектори позначаються як збійні
(bad);

— копіює у виділену область диска свій хвіст і оригінальний (здоровий)
завантажувальний сектор;

— заміщає програму початкового завантаження в завантажувальному секторі
(оригінальному) своєю головою;

— організовує ланцюжок передачі управління відповідно до схеми.

Таким чином, голова вірусу тепер першою одержує управління, вірус
установлюється в пам’ять і передає управління оригінальному
завантажувальному секторові. У ланцюжку

ППЗ (ПЗП) — ППЗ (диск) — СИСТЕМА з’являється нова ланка:

ППЗ (ПЗП) — ВІРУС — ППЗ (диск) — СИСТЕМА.

Ми розглянули схему функціонування простого бутового вірусу, що живе в
завантажувальних секторах дискет. Як правило, віруси здатні заражати не
тільки завантажувальні сектори дискет, але і завантажувальні сектори
вінчестерів. При цьому, на відміну від дискет, на вінчестері є два типи
завантажувальних секторів, що містять програми початкового завантаження,
які одержують управління. При завантаженні комп’ютера з вінчестера
першою бере на себе управління програма початкового завантаження в MBR
(Master Boot Record — головний завантажувальний сектор). Якщо ваш
жорсткий диск розбитий на кілька розділів, то лише один із них
позначений як завантажувальний (boot). Програма початкового завантаження
в MBR знаходить завантажувальний розділ вінчестера і передає управління
на програму початкового завантаження цього розділу. Код останньої
збігається з кодом програми початкового завантаження, що міститься на
звичайних дискетах, а відповідні завантажувальні сектори відрізняються
тільки таблицями параметрів. Таким чином, на вінчестері є два об’єкти
атаки завантажувальних вірусів — програма початкового завантаження в MBR
і програма початкового завантаження в boot-секторі завантажувального
диска.

Файлові віруси

Розглянемо тепер схему роботи простого файлового вірусу. Нехай у нас є
інфікований виконуваний файл. При запуску такого файла вірус одержує
управління, виконує деякі дії і передає управління «хазяїнові» (хоча ще
невідомо, хто в такій ситуації хазяїн).

Які ж дії виконує вірус? Він шукає новий об’єкт для зараження —
підходящий за типом файл, який ще не заражений (у тому випадку, якщо
вірус «пристойний», бо трапляються такі, що заражають відразу, нічого не
перевіряючи). Заражаючи файл, вірус проникає в його код, щоб одержати
управління при запуску цього файла. Крім своєї основної функції —
розмноження, — вірус може зробити що-небудь вигадливе (сказати,
запитати, зіграти) — це вже залежить від фантазії автора вірусу. Якщо
файловий вірус резидентний, то він установиться в пам’ять і одержить
можливість заражати файли і виявляти інші можливості не тільки під час
роботи зараженого файла. Заражаючи виконуваний файл, вірус завжди змінює
його код, отже, зараження виконуваного файла завжди можна виявити. Але,
змінюючи код файла, вірус не обов’язково вносить інші зміни:

— він не зобов’язаний змінювати довжину файла;

— не заражає невикористовувані ділянки коду;

— не зобов’язаний змінювати початок файла.

Завантажувально-файлові віруси

Ми не будемо розглядати модель завантажувально-файлового вірусу, тому що
ніякої нової інформації ви при цьому не отримаєте. Але тут випадає
зручна нагода коротко описати занадто «популярний» останнім часом
завантажувально-файловий вірус OneHalf, що заражає головний
завантажувальний сектор (MBR) і виконувані файли. Основна руйнівна дія —
шифрування секторів вінчестера. При кожному запуску вірус шифрує чергову
порцію секторів, а зашифрувавши половину жорсткого диска, радісно
сповіщає про це. Основна проблема при лікуванні цього вірусу полягає в
тому, що недостатньо є просто видалити вірус із MBR і файлів, треба
розшифрувати зашифровану ним інформацію. Але найкраще просто переписати
новий здоровий MBR. Головне — не панікуйте. Зважте все спокійно,
порадьтеся з фахівцями.

Поліморфні віруси

Багато питань пов’язано з терміном «поліморфний вірус». Цей вид
комп’ютерних вірусів сьогодні є найбільш небезпечним. Пояснимо ж, що це
таке.

Поліморфні віруси — віруси, що модифікують свій код у заражених
програмах таким чином, що два екземпляри одного й того вірусу можуть не
збігатися ні в одному біті.

Такі віруси не тільки шифрують свій код, використовуючи різні шляхи
шифрування, але й містять код генерації шифрувальника і розшифровувача,
що відрізняє їх від звичайних шифрувальних вірусів, які також можуть
шифрувати ділянки свого коду, але мають при цьому постійний код
шифрувальника й розшифровувача.

Поліморфні віруси — це віруси з розшифровувачами, які самомодифікуються.
Мета такого шифрування: маючи заражений і оригінальний файли, ви все
одно не зможете проаналізувати його код за допомогою звичайного
дизасемблерування. Цей код зашифрований і являє собою безглуздий набір
команд. Розшифровка здійснюється самим вірусом уже безпосередньо під час
виконання. При цьому можливі варіанти: він може розшифрувати себе усього
відразу, а може виконати таку розшифровку у процесі роботи, може знову
шифрувати уже виконані ділянки. Усе це робиться заради ускладнення
аналізу коду вірусу.

Макровіруси

Програми, що підтримують макроси, ризикують бути зараженими
макровірусами. Макровіруси — це команди, вбудовані у файли разом із
даними. Прикладами таких програм є Word, Excel й інтерпретатори
Postscript. Коли вони відкривають файли даних, то відбувається зараження
макровірусом. Найбільш поширеними є макровіруси для Microsoft Word через
його розповсюдженість і наявність у ньому засобів автоматизації.

Історія комп’ютерної вірусології

Історія комп’ютерної вірусології здається сьогодні постійною «гонкою за
лідером», причому, незважаючи на всю потужність сучасних антивірусних
програм, лідерами є саме віруси. Серед тисяч вірусів лише кілька
десятків є оригінальними розробками, що використовують справді
принципово нові ідеї. Усі інші — «варіації на тему». Але кожна
оригінальна розробка змушує творців антивірусів пристосовуватися до
нових умов, доганяти вірусну технологію. Останнє можна заперечити.
Наприклад, у 1989 році американський студент зумів створити вірус, який
вивів із ладу близько 6000 комп’ютерів міністерства оборони США. Або
епідемія відомого вірусу Dir-II, що вибухнула в 1991 році. Вірус
використовував справді оригінальну, принципово нову технологію і
спочатку зумів широко розповсюдитися за рахунок недосконалості
традиційних антивірусних засобів.

Або сплеск комп’ютерних вірусів у Великобританії: Кристоферу Пайну
вдалося створити віруси Pathogen і Queeq, а також вірус Smeg. Саме
останній був найбільш небезпечним, його можна було накладати на перші
два віруси, і через це після кожного прогону програми вони змінювали
конфігурацію. Тому їх було неможливо знищити. Щоб поширити віруси, Пайн
скопіював комп’ютерні ігри й програми, заразив їх, а потім відправив
назад у мережу. Користувачі завантажували у свої комп’ютери заражені
програми й інфікували диски. Ситуація ускладнилася тим, що Пайн
примудрився занести віруси й у програму, яка з ними бореться. Запустивши
її, користувачі замість знищення вірусів одержували ще один. У
результаті цього були знищені файли безлічі фірм, збитки склали мільйони
фунтів стерлінгів.

Широкої популярності набув американський програміст Моррис. Він відомий
як творець вірусу, який у листопаді 1988 року заразив приблизно 7 тисяч
персональних комп’ютерів, підключених до Інтернету.

Причини появи і поширення комп’ютерних вірусів, з одного боку, криються
в психології людської особистості та її тіньових сторін (заздрості,
мстивості, марнославства невизнаних творців, неможливості конструктивно
застосувати свої здібності), з іншого боку, обумовлені відсутністю
апаратних засобів захисту й протидії з боку операційної системи
персонального комп’ютера.

Шляхи проникнення вірусів у комп’ютер

Основними шляхами проникнення вірусів у комп’ютер є знімні диски (гнучкі
й лазерні), а також комп’ютерні мережі. Зараження жорсткого диска
вірусами може відбутися при завантаженні програми з дискети, що містить
вірус. Таке зараження може бути також випадковим, наприклад, якщо
дискету не вийняли з дисководу А і перезавантажили комп’ютер, при цьому
дискета може бути і не системною. Заразити дискету набагато простіше. На
неї вірус може потрапити, навіть якщо дискету просто вставили в дисковод
зараженого комп’ютера і, наприклад, прочитали її вміст.

Вірус, як правило, проникає в робочу програму у такий спосіб, щоб при її
запуску управління спочатку передалося йому і тільки після виконання
всіх його команд знову повернулося до робочої програми. Одержавши доступ
до управління, вірус насамперед переписує сам себе в іншу робочу
програму і заражає її. Після запуску зараженої програми стає можливим
зараження інших файлів. Найчастіше вірусом заражаються завантажувальний
сектор диска і виконувані файли, що мають розширення EXE, COM, SYS, ВАТ.
Дуже рідко заражаються текстові файли.

Після зараження програми вірус може здійснити яку-небудь диверсію, але
зробить це так, щоб не привернути уваги. І нарешті, не забуває повернути
керування тій програмі, з якої був запущений. Кожне виконання зараженої
програми переносить вірус у наступну. У такий спосіб заражується все
програмне забезпечення.

Ознаки появи вірусів

При зараженні комп’ютера вірусом важливо його знайти. Для цього треба
знати про основні ознаки прояву вірусів. До них можна зарахувати такі:

— припинення роботи або неправильна робота програм, що раніше
функціонували успішно;

— повільна робота комп’ютера;

— неможливість завантаження операційної системи;

— зникнення файлів і каталогів або перекручування їхнього вмісту;

— зміна дати і часу модифікації файлів;

— зміна розмірів файлів;

— несподіване значне збільшення кількості файлів на диску;

— істотне зменшення розміру вільної оперативної пам’яті;

— виведення на екран непередбачених повідомлень або зображень;

— подача непередбачених звукових сигналів;

— часті зависання і збої у роботі комп’ютера.

Слід зазначити, що перелічені вище явища необов’язково викликаються
присутністю вірусу, а можуть бути наслідком інших причин. Тому правильна
діагностика стану комп’ютера завжди утруднена.

Похожие записи