Всеки от нас поне веднъж в живота си се е сблъсквал с компютърен вирус. И е добре, ако вредителят е слаб. Една антивирусна програма може лесно да се справи с обикновен вирус. Но по-сериозният софтуер, който хакерите обикновено използват, може да причини непоправими щети на цялата система и лични данни.
Много хора знаят какво е компютърен вирус. Но не всеки разбира напълно неговата роля и възможности. Този тип зловреден софтуер софтуерТой може лесно да се копира, да прониква в кода на други приложения, да нарушава работата на структурите на системната памет и секторите за зареждане и да се разпространява чрез различни комуникационни канали.
Много неопитни потребители смятат, че целта на вируса е да повреди или изтрие лични данни. Всъщност това не е така. Разбира се, има различни видове компютърни вируси, но най-често основната им цел е да разпространяват зловреден софтуер. Но съпътстващите действия са само изтриване на информация, повреда на елементи от данни, блокиране на функционирането и много други.
Важно е да се разбере, че компютърният вирус не винаги е управляем. Следователно, ако хакерът не е искал да създаде злонамерени елементи, софтуерът все още може да навреди на системата поради пропуски, направени по време на разработката, а операционната система и други приложения може просто да не регистрират такива грешки.
Неопитните потребители често наричат всеки злонамерен софтуер вирус. Това не е съвсем вярно, тъй като по-специално вирусите са просто вид такъв софтуер.
Когато специалистите разработиха самовъзпроизвеждащ се вирус, никой не знаеше. Но именно такива разработки станаха основата за неговото формиране.
Преди да се създадат самовъзпроизвеждащи се механизми, беше необходимо да се изложат алгоритмите на теорията. Това е направено от Джон фон Нойман. Още през 1951 г. той открива начини за създаване на такава програма.
Идеята му беше подкрепена от много експерти и започна активна публикация, която беше посветена на разработването на самовъзпроизвеждаща се система.
В една от статиите е представена първата механична конструкция от този тип. Така хората успяха да научат за двуизмерен модел на структури, които могат независимо да активират, улавят и освобождават.
Такава самовъзпроизвеждаща се програма беше несъвършена поради факта, че виртуалното „същество“ умря поради липсата на ток захранване на платформата.
Друг опит за разработване на първите компютърни вируси е изобретяването на необичаен пъзел, наречен "Дарвин". В началото на 60-те години на миналия век учени от американска компания създадоха серия от помощни програми, които наричаха „организми“. Софтуерът трябваше да бъде зареден в архива на компютъра. „Организмите“, образувани от един играч, трябваше да погълнат вражеските „организми“ и да превземат тяхната територия. Победител беше този, който отне цялата памет или натрупа повече точки.
Много хора вярват, че човечеството е научило какво е компютърен вирус още през 70-те години на XX век. Самовъзпроизвеждащите се програми или игри като "Дарвин" обаче не могат да се нарекат вируси. Истинските „вредители“ станаха известни много по-късно и бяха много по-влиятелни и опасни.
Най-много е създадена в началото на 80-те години. След това започна активното развитие на зловреден софтуер. В резултат на това, заедно с Elk Cloner, се появява вирусът на Joe Dellinger, проектът "Dirty Dozen", последван от редица антивирусни програми.
Той беше първият, който показа на света вирус за зареждане. Elk Cloner е проектиран специално за Apple II. Беше възможно да се намери „вредителят“ веднага при стартиране на системата: се появи съобщение с малко стихотворение, в което вирусът заплашваше потребителя със загуба на лични файлове, нарушаване на работата на системата и невъзможност за изтриване.
Джон Делинджър също започва своята дейност. Той също така разработи вирус за Apple II. Специалистът толкова искаше да бъде първият, че пропусна една от злонамерените програми. Тя започна да се "разпространява" из целия университет. Един от секторите на анализа на паметта лесно го откри. все пак редовен потребителНе можах да намеря този раздел в системата.
Вирусът на Джон Делинджър завладяваше графиката на един известен пъзел. В резултат на това след половин месец всички "пиратски" версии бяха "счупени". За да коригира грешката, разработчикът създаде друг вирус, който коригира предишната версия.
До 1984 г. много експерти започват да разбират какво е компютърен вирус. Беше пусната първата изследователска статия, която повдигна проблемите и опасенията за системната инфекция. Въпреки факта, че самият термин е предложен от куратора на автора на статията, именно изследователят Коен се нарича автор на този термин.
Когато мнозина започнаха да разбират какво е компютърен вирус, стана ясно, че има нужда да се създаде системна защита срещу него. Първата антивирусна програма е разработена от Анди Хопкинс. Подобна програма анализира текста на файла за зареждане от 1984 г., като посочва всички съмнителни елементи на кодове и известия.
По едно време се оказа най-простият и най-ефективен. Програмата може да пренасочи процесите на писане и форматиране, които се извършват през BIOS. В същото време тя позволи на потребителя да се намеси в операцията.
В края на осемдесетте години беше пуснат евтин IBM PC. Появата му беше тласък за развитието на по-мащабни вируси. Следователно за кратък период от време са се случили три големи системни бедствия.
Естествено, огнища на компютърни вируси никога досега не са се случвали. Затова борбата с тях се оказа трудна. Първата атака се случи благодарение на мозъчния вирус, който беше разработен от двама братя през 1986 г. И още на следващата година беше пуснат на всички компютри.
Сега е трудно да се каже колко мащабна е била епидемията. Известно е само, че вирусът е засегнал повече от 18 хиляди системи. Както се оказа по-късно, братята не искаха да навредят на никого. Вирусът трябваше да накаже "пирати", които откраднаха софтуер. Но нещо се обърка и Brain докосна не само самия Пакистан, но и потребители по целия свят. Много експерти се запознаха с първия стелт вирус, който промени заразения сектор до неговия пълен оригинал.
Мозъчният вирус също се свързва с вредител, известен като Йерусалим. В края на 80-те години няколко компании и университети пострадаха от него. Вирусът незабавно изтрива данните при активиране. По-късно стана известно, че това е един от най-разпространените вредители, които засягат потребители от Европа, Америка и Близкия изток.
Заразяването с компютърни вируси не спря дотук. Светът скоро научи за червея Морис. Това беше първият мрежов вредител, насочен към Unix. Планирано е помощната програма да влезе в компютърната система и да остане там, без възможност за откриване. Авторът на вируса искаше да го направи скрит и безвреден, но всичко не вървеше по план. Причината за саморазпространението на вируса са грешки, допуснати по време на разработката.
Епидемията засегна сериозно функционалността на системите. По-късно се оказа, че щетите възлизат на 96 милиона долара. Въпреки че, ако авторът е искал умишлено да навреди на операционната система, сумата би била много по-голяма.
Такова неуспешно развитие доведе Морис до съда, където му дадоха три години изпитателен срок, изпратен на общественополезен труд и принуден да плати "кръгла" сума.
Докато специалистите не започнаха да разбират видовете компютърни вируси, системните епидемии се появяваха все по-често. Така DATACRIME стана известен през 1989 г. Не беше просто вирус, а цяла серия. Само за няколко месеца тя успя да удари повече от 100 хиляди системи.
Този проблем не можеше да мине покрай програмистите и скоро бяха пуснати помощни програми, които сканираха линиите, характерни за този вирус.
Когато тази серия от вирусни програми беше премахната, се роди първият троянски кон, СПИН. Ето как потребителите научиха за ransomware, който блокира достъпа до данни на твърдия диск и показва само информация на монитора. СПИН поиска 189 долара за конкретен адрес. Естествено, много потребители плащаха на ransomware. Но скоро беше арестуван, след като беше хванат да осребрява чекове.
Оказа се, че да знаеш какво е компютърен вирус не е достатъчно. Беше необходимо по някакъв начин да се направи разлика между „вредители“, за да се разработят защитни средства след това. В допълнение, развитието на компютъра също повлия на класификацията на компютърните вируси.
Зловредният софтуер вече може да бъде класифициран според неговия метод на разпространение и функционалност. Преди широкото развитие на Интернет вирусите можеха да се съхраняват на флопи дискове и други носители. Сега те се предават основно през локални и глобални мрежи. Заедно с това нарасна и тяхната функционалност.
За съжаление, все още не е възможно да се разработи ясна класификация. Въпреки това, вирусите могат да бъдат разделени на тези, които:
Това включва следните видове компютърни вируси: файлови, зареждащи, скриптови, нарушаващи изходния код, макровируси.
Например, злонамерен софтуер засяга файлова системакомпютър за неговото "възпроизвеждане". Той е вграден в почти всеки изпълним документ. операционна система... Обикновено като своя "жертва" той може да избере двоични файлове с разширение ".exe" или ".com", може да повлияе на библиотеката с динамични връзки, "дърва за огрев" или пакетни файлове.
Макровирусът обикновено се „настанява“ в пакети на приложения като Microsoft Office. С помощта на макроезици такива "вредители" могат да се преместват от един файл в друг.
Има вируси, които могат да заразят всяка операционна система. Но не всички са насочени към „сътрудничество“ с всяка платформа. Затова хакерите разработват вируси за отделни операционни системи. Това включва DOS, Windows, Linux, Unix и много други.
Особеността на компютърните вируси е, че могат да използват специални технологии. Например, използва се техника, която намалява степента на откриване. В резултат на това най-простите антивирусни приложения не могат да открият вредителя.
Стелт вирусите се превеждат като „невидими“. Такъв софтуер напълно или частично прикрива присъствието му. За да направи това, вирусът прихваща обаждания към операционната система.
Тази група включва руткити. Те могат да бъдат представени от изпълними файлове, скриптове, конфигурационни документи. Тяхната задача е да осигуряват маскиране на обекти, да управляват събития, които се случват в системата, да събират данни.
Измина много време от появата на вируси и антивирусни програми. През различни години се появиха специални вредители, които бяха запомнени от целия свят поради тяхното катастрофално влияние.
Например CIH е вирус, посветен на трагедията в атомната електроцентрала в Чернобил. В момента на активиране "вредителят" парализира работата на всички системи. Nimida се оказа най-бързият вирус, който отне четвърт час, за да зарази милион компютри.
Slammer беше наречен най-агресивен, защото вирусът изтри информация от 75 хиляди системи само за 10 минути. Conficker се смята за един от най-опасните „вредители“. Червеят атакува Windows системи и повреди 12 милиона компютри за 3 месеца.
През 2000-те е регистриран вирусът ILOVEYOU. По-късно той влезе в Книгата на рекордите на Гинес, получавайки титлата „Най-разрушителният компютърен вирус в света“. Този червей зарази 15 милиона компютри, а щетите за световната икономика според различни оценки възлизат на 10-15 милиарда долара.
Сега те все още се случват, но мощните антивирусни програми понякога се справят с тях. Има международна независима организация, която анализира работата на комуналните услуги за сигурност. AV-TEST представи списък с най-добрите антивирусни програми за 2017 г.:
Това са най-ефективните помощни програми в момента. Въпреки че всички те са платени, всеки има пробен период и относително ниска годишна цена.
Компютърни вируси
Компютърен вирусе малка програма, написана от висококвалифициран програмист, способен да се саморазпространи и да извършва различни разрушителни действия. Към днешна дата са известни повече от 50 хиляди компютърни вируси.
Има много различни версии относно датата на раждане на първия компютърен вирус. Въпреки това, повечето експерти са съгласни, че компютърните вируси като такива са се появили за първи път през 1986 г., въпреки че исторически появата на вируси е тясно свързана с идеята за създаване на самовъзпроизвеждащи се програми. Един от "пионерите" сред компютърните вируси е вирусът "Brain", създаден от пакистански програмист на име Алви. Само в Съединените щати този вирус е заразил над 18 000 компютри.
Вирусите действат само програмно. Те обикновено се прикрепят към файла или проникват в тялото на файла. В този случай се казва, че файлът е заразен с вирус. Вирусът прониква в компютъра само заедно със заразения файл. За да активирате вируса, трябва да изтеглите заразения файл и едва след това вирусът започва да действа сам.
Някои вируси стават резидентни в паметта по време на изпълнението на заразен файл (те са постоянно разположени в оперативна паметкомпютър) и може да зарази други изтеглени файлове и програми.
Друг вид вирус, веднага след активиране, може да причини сериозни щети, например форматиране на твърд диск. Ефектът на вирусите може да се прояви по различни начини: от различни визуални ефекти, които пречат на работата, до пълна загуба на информация.
Основните източници на вируси:
дискета, съдържаща заразени с вирус файлове;
компютърна мрежа, включваща система за електронна поща и интернет;
твърд диск, който получи вирус в резултат на работа със заразени програми;
вирус, оставен в RAM след предишния потребител.
Основните ранни признаци на вирусна инфекция на вашия компютър са:
намаляване на количеството свободна RAM;
забавяне на зареждането и работата на компютъра;
неразбираеми (без причина) промени във файловете, както и промени в размера и датата на последната модификация на файловете;
грешки при зареждане на операционната система;
невъзможността за запазване на файлове в необходимите директории;
неразбираеми системни съобщения, музикални и визуални ефекти и др.
Признаци на активната фаза на вируса:
изчезване на файлове;
форматиране твърд диск;
невъзможност за зареждане на файлове или операционна система.
Има много различни вируси. Те могат условно да бъдат класифицирани, както следва:
1) зареждащи вирусиили BOOT вирусите заразяват секторите за зареждане на дисковете. Много опасно, може да доведе до пълна загуба на цялата информация, съхранявана на диска;
2) файлови вирусизаразява файлове. се разделят на:
вируси, които заразяват програми (файлове с разширения .EXE и .COM);
Макро вируси Вируси, които заразяват файлове с данни като документи на Word или работни книги на Excel;
сателитните вируси използват имената на други файлове;
DIR вирусите изкривяват системната информация за файловите структури;
3) вируси с файл за зарежданеспособен да заразява както кода на зареждащия сектор, така и кода на файла;
4) невидими вирусиили STEALTH вируси фалшифицират информация, прочетена от диска, така че програмата, която е предназначена за тази информация, получава неверни данни. Тази технология, която понякога се нарича Stealth технология, може да се използва както при BOOT вируси, така и при файлови вируси;
5) ретровирусизаразява антивирусни програми, опитвайки се да ги унищожи или деактивира;
6) вируси на червеипредоставят малки имейл съобщения с т. нар. заглавка, която по същество е уеб адресът на местоположението на самия вирус. Когато се опитва да прочете такова съобщение, вирусът започва да чете своето „тяло“ през глобалната интернет мрежа и след изтеглянето започва разрушително действие. Те са много опасни, тъй като е много трудно да се открият, поради факта, че заразеният файл всъщност не съдържа вирусния код.
Ако не вземете мерки за защита срещу компютърни вируси, последствията от инфекцията могат да бъдат много сериозни. В редица страни наказателното законодателство предвижда отговорност за компютърни престъпления, включително въвеждането на вируси. За защита на информацията от вируси се използват общи и софтуерни инструменти.
Общите средства за защита, които помагат за предотвратяване на инфекция с вируса и неговите опустошителни ефекти, включват:
архивиране на информация (изработване на копия на файлове и системни области на твърди дискове);
отказ от използване на произволни и непознати програми. Най-често вирусите се разпространяват заедно с компютърните програми;
ограничаване на достъпа до информация, по-специално физическа защита на флопи диск при копиране на файлове от него.
Различни антивирусни програми (антивируси) се класифицират като софтуер за защита.
Антивирусна програмае програма, която открива и неутрализира компютърни вируси. Трябва да се отбележи, че вирусите изпреварват антивирусните програми в своето развитие, следователно, дори в случай на редовна употреба на антивируси, няма 100% гаранция за сигурност. Антивирусните програми могат да откриват и унищожават само известни вируси; когато се появи нов компютърен вирус, защита срещу него не съществува, докато не бъде разработена собствена антивирусна програма за него. Въпреки това, много съвременни антивирусни пакети включват специален софтуерен модул, наречен евристичен анализатор, който е в състояние да проверява съдържанието на файлове за наличие на код, типичен за компютърните вируси. Това дава възможност за своевременно идентифициране и предупреждение за опасност от заразяване с нов вирус.
Различават се следните видове антивирусни програми:
1)детекторни програми: са предназначени за намиране на заразени файлове от един от известните вируси. Някои детекторни програми могат също да лекуват файлове от вируси или да унищожават заразени файлове. Има специализирани, тоест детектори, предназначени да се справят с един вирус и полифагикойто може да се бори с много вируси;
2) лечителски програми: предназначен за лечение на заразени дискове и програми. Лечението на програмата се състои в отстраняване на тялото на вируса от заразената програма. Те също могат да бъдат както полифаги, така и специализирани;
3) одиторски програми: предназначен за откриване на вирусна инфекция на файлове, както и за намиране на повредени файлове. Тези програми запомнят данни за състоянието на програмата и системните области на дисковете в нормално състояние (преди заразяване) и сравняват тези данни, докато компютърът работи. В случай на несъответствие на данните се показва съобщение за възможността от заразяване;
4) лечители-одитори: предназначен да открие промени във файловете и системните области на дисковете и в случай на промени да ги върне в първоначалното им състояние.
5) филтриращи програми: предназначен за прихващане на повиквания към операционната система, които се използват от вируси за разпространение и информиране на потребителя за това. Потребителят може да активира или деактивира съответната операция. Такива програми са резидентни, тоест се намират в RAM на компютъра.
6) програми за ваксини: се използват за обработка на файлове и сектори за зареждане с цел предотвратяване на заразяване с известни вируси (напоследък този метод се използва все по-често).
Трябва да се отбележи, че изборът на една "най-добра" антивирусна програма е изключително погрешно решение. Препоръчително е да използвате няколко различни антивирусни пакета едновременно. Когато избирате антивирусна програма, трябва да обърнете внимание на такъв параметър като броя на разпознаващите подписи (последователност от знаци, които гарантирано разпознават вирус). Вторият параметър е наличието на евристичен анализатор за неизвестни вируси, присъствието му е много полезно, но значително забавя времето за работа на програмата.
Контролни въпроси
Какво е компютърен вирус?
Как вирусът заразява компютъра?
Как работят компютърните вируси?
Какви източници на заразяване с компютърни вируси познавате?
По какви признаци можете да откриете факта на инфекция с компютърен вирус?
Какви видове вируси познавате? Какви разрушителни действия извършват?
Какви действия се предприемат за предотвратяване на заразяване с компютърен вирус?
Какво е антивирус? Какви видове антивирусни програми познавате?
Какво е евристичен анализатор? Какви функции изпълнява?
Компютърни вируси- специални програми, създадени от киберпрестъпници за получаване на каквато и да е полза. Техният принцип на работа може да бъде различен: те или крадат информация, или подтикват потребителя да извърши някакво действие в полза на нападателите, например да попълни сметка или да изпрати пари.
Днес има много различни вируси. Основните ще бъдат разгледани в тази статия.
Сега са няколко десетки хиляди. компютърни вируси.
В зависимост от местообитанието вирусите се делят на зареждащи, файлови, системни, мрежови, файлово-зареждащи.
Вируси за зарежданеинжектира се в сектора за зареждане на диска или в сектора, съдържащ програмата за зареждане на системния диск.
Файлови вирусиса вградени основно в изпълними файлове с разширения .COM и .EXE.
Системни вирусипроникване в системни модули и драйвери на периферни устройства, таблици за разпределение на файлове и таблици на дялове.
С мрежавирусите обитават компютърните мрежи; е файл - стартиращ (многофункционален)заразява сектори за зареждане на диска и файлове на приложения.
Според метода на заразяване на околната среда вирусите се подразделят на резидентни и нерезидентни.
Резидентни вирусиКогато компютърът е заразен, той оставя резидентната си част в RAM, която след това прихваща достъпа на операционната система до други обекти на инфекция, инжектира се в тях и извършва разрушителните си действия до изключване или рестартиране на компютъра. Нерезидентни вируси не заразяват RAM на компютъра са активни за ограничено време.
Алгоритмичната особеност на конструирането на вирусите влияе върху тяхното проявление и функциониране. Например, репликаторните програми, поради бързото си възпроизвеждане, водят до препълване на основната памет, докато унищожаването на програмите репликатор става по-трудно, ако възпроизвежданите програми не са точни копия на оригинала. В компютърните мрежи, широко разпространени програми-"червеи". Те изчисляват адресите на мрежовите компютри и изпращат свои копия на тези адреси, поддържайки комуникация помежду си. Ако "червеят" престане да съществува на който и да е компютър, останалите намират безплатен компютър и инжектират същата програма в то.
"троянски кон„Програма, която се маскира като полезна програма, изпълнява допълнителни функции, за които потребителят дори не знае (например, събира информация за имена и пароли, записва ги в специален файл, достъпен само за създателя на този вирус), или унищожава файловата система.
Логическа бомбаТова е програма, която е вградена в голям софтуерен пакет. Той е безвреден, докато не настъпи определено събитие, след което се реализира логическият му механизъм. Например, такава вирусна програма започва да работи след определен брой приложна програма, комплекс; при наличие или отсъствие на конкретен файл или файлов запис и др.
мутантни програми,самовъзпроизвеждащи се, те пресъздават копия, които са ясно различни от оригинала.
Невидими вируси, или стелт вирусите прихващат извикванията на операционната система към заразени файлове и дискови сектори и заместват незаразени обекти за себе си. При достъп до файлове такива вируси използват доста оригинални алгоритми, които позволяват „измама“ на резидентните антивирусни монитори.
Макро вирусиизползвайте възможностите на макроезиците, вградени в програми за обработка на офис данни (текстови редактори, електронни таблици и др.).
Според степента на въздействие върху ресурсите на компютърните системи и мрежи или разрушителните способности се разграничават безвредни, безобидни, опасни и разрушителни вируси.
Безобидни вирусинямат разрушителен ефект върху работата на компютъра, но могат да претоварят RAM в резултат на тяхното възпроизвеждане.
Безобидни вирусине унищожава файлове, но намалява свободното дисково пространство, показва графични ефекти, създава звукови ефекти и т.н. Опасни вируси често водят до различни сериозни смущения в работата на компютъра; разрушителен - за изтриване на информация, пълно или частично нарушаване на работата на приложните програми. Трябва да се има предвид, че всеки файл, който може да зареди и изпълни програмен код, е потенциално място за проникване на вирус.
Всеки, който се занимава с компютри, несъмнено много пъти се е срещал с понятието "вирус", "троянски кон", "троянски кон" и други подобни, по-рано, в предкомпютърната ера, използвано изключително в биомедицински и исторически изследвания. Тези думи обозначават определен вид програми, които често се използват, за да плашат неопитни потребители, описвайки тяхната неустоима сила, която може да унищожи всичко в компютъра, дори механичната структура на твърдия диск.
Компютърен вирусе злонамерена компютърна програма, която съдържа част от код, която се изпълнява след стартиране на вирус в компютърна система. Докато работи, вирусът заразява други програми със свои копия.
Ефектът на вирусаможе да варира от леко раздразнение на потребителя до пълно унищожаване на всички данни в системата. Въпреки това, някои вируси могат да се възпроизвеждат и да се разпространяват в други системи. Това затруднява локализирането на вирусите и защитата срещу тях. За да напишете прост вирус, просто трябва да въведете няколко реда код.
Вирусите могат да се предават относно комуникационни линии или разпространение в заразени медии... Това затруднява локализирането на създателя на вируса. Някои вируси могат да се скрият в други програми или да проникнат в операционната система на компютъра.
Вирусните атаки са уязвими всички компютърни операционни системинякои обаче са по-уязвими от други. Вирусите често се крият в тях нова компютърна игракоито можете да изтеглите онлайн. Освен това вирусите могат да бъдат намерени в макросиизползван в офиса информационни системи, или в компоненти, изтеглени от интернет уеб страниците. Начините, по които вирусите влизат в компютрите, са различни, но имат едно общо нещо – вирусите влизат в компютърните системи само от външни източници.
Веднага след като вирусът влезе в системата, той може да започне своята разрушителна дейност незабавно или вирусът може да изчака за активиране чрез някакво събитие, например получаване на определени данни или настъпване на определена дата или час. Известен няколко различни форми на вирусикоито могат да нахлуят в компютърната система.
троянски коне компютърна програма, която е маскирана или скрита в част от програма. За разлика от други вируси, троянските коне не се възпроизвеждат в системата. Някои форми на троянски коне могат да бъдат програмирани да се самоунищожават и да не оставят никаква следа освен причиненото от тях унищожение. Някои хакери използват троянски коне, за да извличат пароли и да ги изпращат обратно на хакера. В допълнение, те могат да се използват за банкови измами, при които малки суми пари се изтеглят от легитимни сметки и се прехвърлят към тайна сметка.
Червеиса програми, които унищожават компютърна система. Те могат да проникнат в програми за обработка на данни и да заменят или унищожат данни. Червеите са като троянски коне, тъй като не могат да се репликират. Въпреки това, подобно на вирусите, те могат да причинят големи щети, ако не бъдат открити навреме. Много по-лесно е да премахнете червей или троянски кон, ако съществува само едно копие на разрушителната програма.
Логически бомбиса подобни на програмите, използвани за троянски коне. Въпреки това, логическите бомби имат таймер, който ги взривява на дадена дата и час. Например вирус Микеланджелоима комплект спусък за рождения ден на известния художник Микеланджело - 6 март. Логическите бомби често се използват от недоволни служители, които могат да ги настроят да се активират, след като напуснат компанията. Например, логическа бомба може да "детонира", когато името на този служител бъде премахнато от ведомостта. Благодарение на вградения механизъм за забавяне, логическите бомби се използват активно за изнудване. Например, изнудвач може да изпрати съобщение, че ако му бъде платена определена сума пари, той ще даде инструкция за деактивиране на логическата бомба.
История на произходавирусите са доста неясни, както и целите, които преследват техните разработчици. Компютърните книги твърдят, че първият известен вирус е програма, която реализира модел на Вселената, в който са живели някои същества, които могат да се движат, да търсят и ядат храна, както и да се размножават и да умират от глад. От гледна точка на авторите на книгата вирусните програми са резултат от чисто научни изследвания в областта на създаването на някои изкуствени организми, способни да съществуват самостоятелно, като живи същества. Това се подчертава и от името на програмите, разработени на базата на подобни изследвания – вируси, т.е. нещо живо, способно на възпроизвеждане, мутация и самооцеляване. Трябва да разберем, че сме поканени да класифицираме създателите на компютърни вируси като безобидни ексцентрици, занимаващи се изключително с научни проблеми, откъснати от реалния живот.
Няма да навлизаме дълбоко в спора по този въпрос, като отбелязваме само, че първата програма, която наистина може да претендира, че е вирус, се появи в 1987 годинаи това беше пакистанският вирус, разработен от братята Амджат и Базит Алви. Целта им беше да накажат (!) граждани на САЩ за закупуване на евтини копия на програми в Пакистан. Освен това броят на вирусите започна да расте лавинообразно, а загубите от появата им в компютрите започнаха да възлизат на милиони и стотици милиони долари. Заразяването на компютрите с вируси от различно естество придоби характера на епидемия и наложи приемането на защитни мерки, включително законови. Нека разгледаме как тези злонамерени същества, вируси, проникват в компютърните системи.
Вирусите могат да проникнат по различни пътища. Вирусите влизат във вашата компютърна система от голямо разнообразие от източници, изпълними програми, програми и файлове, прехвърлени към вас от колеги, софтуер, закупен в архивиран вид. Нека да разгледаме структурата, използвана за съхранение на данни дискетиза разкриване на места, които са функционално подходящи за скрито съществуване на вируси. Дискетите могат да съхраняват файлове с данни, програми и софтуер на операционната система. Те служат като най-често срещаният посредник за прехвърляне на файлове с данни. Дискетата се състои от сектор за зареждане и данни. Ако е необходимо, секторът за зареждане може да съхранява информация, необходима за зареждане на компютъра. Той също така съхранява информация за дялове, информация за управление на стартиране и информация за местоположението на файла. Данните са цялото съдържание, което се съхранява на флопи диск. Любимото местообитание на вирусите са зареждащите сектори и изпълними файлове, съхранявани на дискета. Вирусите, поставени в сектора за зареждане, могат да бъдат стартирани, когато системата се зареди от флопи диск. Вирусите, вградени в изпълними файлове, се стартират заедно със заразената програма, след което започват дейността си в компютърната система.
Същите възможности за пренос на вируси предоставят компактдискове, които сега се превърнаха в основното средство за прехвърляне на файлове и информация между компютрите. Компактдискове съдържат двоична цифрова информация, която се записва на диска чрез създаване на микроскопични вдлъбнатини по повърхността на диска. Информацията се чете чрез преминаване на лъч светлина, генериран от лазер, през диска. Компактните дискове са подобни на флопи дисковете, тъй като те също използват сектор за зареждане и структура на данни за съхранение на данни.
Интернет предостави на потребителите нови опции за свързване, които увеличават потенциала за дупки в сигурността в тяхната защита от вируси. Уеб технологиите, като създаването на Java и ActiveX аплети, улесняват взаимодействието на потребителите през Интернет, но, от друга страна, служат като удобно средство за разпространение на злонамерен софтуер. Потребителите на работна станция, инсталирана на компютър, използват софтуер и файлове с данни, за да изпълняват задачите си. Цялата тази информация, включително операционната система, се съхранява на твърдия диск на вашия компютър. Друго място за постоянно съхранение на информация, необходима за работата на компютъра, е енергонезависимата CMOS памет, която съхранява основната входно/изходна система (BIOS) на компютъра; BIOS процедурите се използват по време на зареждане на системата, така че заразяването им е сериозна опасност, въпреки малкия размер на CMOS. По този начин в компютъра има две основни места, способни постоянно да съхраняват и актуализират информация - твърдият диск и CMOS паметта. Тези компоненти на компютърната система са местата, където вирусите най-често попадат, когато заразят компютър. Любимото местообитание на вирусите е твърдият диск. HDDсе състои от следните елементи. Таблица на дяловете, използвана за проследяване на дяловете и структурата на диска Основният запис за зареждане, който показва дали този диск може да се стартира или не. Секторът за зареждане, който казва на системния зареждане къде да търси първия файл, необходим за стартиране на операционната система. ... Първият FAT съхранява запис, указващ как всички други записи са свързани в областта за съхранение на данни на диска. ... Вторият FAT, който е резервно копие на първия FAT в случай, че първият е повреден. ... Диагностичен цилиндър, използван за проследяване на грешки или изолиране на проблеми в хардуер или софтуер. Той е достъпен само за самия твърд диск за вътрешни задачи. Най-често вирусите се крият в секторите за зареждане, което им позволява да влияят върху стартирането на системата (вижте следващия раздел). Друго любимо място са изпълними файлове. Изпълнимите файлове включват следните елементи. Заглавка, която информира операционната система за типа на този файл и дали е предназначен да работи с текущата операционна система. В допълнение, заглавката предоставя друга информация, от която може да се нуждае операционната система, като например количеството памет, необходима за отваряне на файла. Заглавката заема специфична област, която може да разделя различни части от файла. Долен колонтитул, който информира операционната система на компютъра, когато краят на файла е достигнат. Освен това той информира компютъра какво да прави след достигане на края на файла. Файлът може да бъде допълнен с незначителна информация, така че записаните на диска данни да запълнят определено пространство. Разширението на изпълнимия файл не съдържа никаква информация. Например, изпълним файл, съдържащ 500 байта код, може да бъде записан в блок от 512 байта с 12 допълнителни байта. Когато заразява изпълним файл, вирусът замества изпълнимия код на програмата със свой собствен код. Когато програмата стартира, вирусният код се стартира, като изпълнява различни действия вместо тези, които програмата трябва да извърши. Местообитанието на вируса е пряко свързано с неговото функциониране (както в случая на истински живи вируси). Вирусните атаки могат дори да бъдат класифицирани според това къде се намират на компютъра.
Има три основни типа вирусни атаки.
Вируси за стартиращ секторзаразява сектора за стартиране или главния запис за зареждане на компютърната система. Когато компютърът се стартира, вирусната програма се активира. Вирусите в сектора на зареждане основно преместват или презаписват оригиналния код за зареждане и го заменят със заразен код за зареждане. Информацията от първоначалния зареждащ сектор се прехвърля в друг сектор на диска, който е маркиран като дефектна дискова област и не се използва по-нататък. Тъй като секторът за стартиране е първият елемент, който се зарежда при стартиране на компютъра, откриването на вируси в сектора за стартиране може да бъде предизвикателство. Вирусите в зареждащия сектор са едни от най-популярните видове вируси. Те могат да се разпространяват чрез използване на заразени дискети, когато компютърът се стартира. Това може лесно да се случи, ако флопи дискът бъде поставен в устройството при рестартиране на компютъра.
Вируси, които заразяват файлове, заразява изпълними файлове. Те могат да бъдат активирани само когато файлът се изпълни. Най-често засегнатите файлове са COM, EXE, DLL, DRV, BIN, SYS и VXD файлове. Вирусите, които заразяват файловете, могат да станат резидентни и да се прикрепят към други изпълними програми. Вирусите, заразяващи файлове, обикновено заменят инструкциите за изтегляне на програмата за изпълними файлове със свои собствени инструкции. След това те преместват оригиналната инструкция за зареждане на програмата в различен раздел на файла. Този процес увеличава размера на файла, което може да помогне при откриването на вируси.
Вируси, базирани на макроси ( макро вируси), извършват непредвидени действия, като използват макроезика на приложението за разпространението им в други документи. Те могат например да заразят файлове на Microsoft Word DOT и DOC, както и файлове на Microsoft Excel.
Тези вируси принадлежат към кросплатформенвируси и може да зарази както системите на Macintosh, така и компютрите.
Други вируси може да имат характеристики на един или повече от описаните по-горе типове.
* Невидимите вируси (сленгово име - "стелт вируси") по време на своята работа се опитват да се скрият от операционната система и антивирусните програми. За да прихване всички опити за използване на операционната система, вирусът трябва да е в паметта. Стелт вирусите могат да скрият всякакви промени, които правят в размерите на файловете, структурите на директории или други секции на операционната система. Това ги прави много по-трудни за откриване. За да блокирате стелт вирусите, те трябва да бъдат открити, докато са в паметта.
* Шифрираните вируси криптират своя вирусен код по време на работа, което им позволява да предотвратят откриването и разпознаването на вируса.
* Полиморфните вируси могат да променят външния си вид при всяка инфекция. Те използват мутационни механизми, за да променят външния си вид и да го затруднят за откриване. Полиморфните вируси могат да приемат повече от два милиарда различни форми, защото променят алгоритъма за криптиране при всяка инфекция. Многокомпонентните вируси заразяват както секторите за зареждане, така и изпълними файлове. Това е един от най-трудните за откриване вируси, тъй като многокомпонентните вируси могат да комбинират някои или всички методи за стелт и полиморфни вируси.
* Самоактуализиращи се вируси, които се появиха съвсем наскоро, способни да се актуализират тайно чрез интернет по време на комуникационни сесии.
* Появата на необичайни системни съобщения.
* Изчезване на файлове или увеличаване на техния размер.
* Забавяне на системата.
* Внезапна липса на дисково пространство.
* Дискът става недостъпен.
Антивирусен софтуер Важен метод за защита срещу вируси е чрез внедряване на антивирусен софтуер. Антивирусната програма има три основни задачи.
* Откриване на вируси.
* Премахване на вируси.
* Проактивна защита.
* Сканирането на цифров подпис се използва за идентифициране на уникалния цифров код на вируса. Цифровият подпис е предварително инсталиран шестнадесетичен код, чието присъствие във файла показва вирусна инфекция. Сканирането на цифров подпис е изключително успешен метод за идентифициране на вируси. Това обаче зависи изцяло от поддържането на база данни с цифрови подписи на вируси и тънкостите на машината за сканиране. Възможно е фалшиво откриване на вирус в неповреден файл.
* Евристичният анализ (или сканирането на правила) е по-бърз от повечето традиционни сканирания. Този метод използва набор от правила за ефективно анализиране на файлове и бързо открива подозрителен вирусен код. Както беше отбелязано, всички евристични методи, под една или друга форма, емулират изпълнението на вирусния код. Следователно, с известен опит, разработчикът на вируси може да защити своя "продукт" от откриване чрез евристичен анализ. Евристичният анализ е склонен към фалшиви аларми и, за съжаление, зависи от правилността на набор от правила за откриване на вируси, които постоянно се променят.
* Пробата на паметта е друг метод, който често се използва успешно за откриване на вируси. Зависи от разпознаването на местоположението на известните вируси и техните кодове, когато са в паметта. Докато изследването на паметта обикновено е успешно, този метод може да бъде ресурсоемък. Освен това може да попречи на нормалната работа на компютъра.
* Мониторингът на прекъсвания работи чрез локализиране и предотвратяване на вирусни атаки, които използват прекъсващи повиквания. Повикванията за прекъсване са заявки за различни функции чрез системни прекъсвания. Мониторингът на прекъсвания, като изследване на паметта, също може да изтощи значителни системни ресурси. Това може да причини проблеми с обажданията на правната система и да забави системата. Поради големия брой вируси и извиквания от правна система, наблюдението на прекъсвания може да има затруднения при локализирането на вируси.
* Контролът на целостта (известен също като изчисляване на контролни суми) изследва характеристиките на програмните файлове и определя дали те са били модифицирани от вирусен код. Този метод не се нуждае от актуализация на софтуера, тъй като не разчита на цифрови подписи от вируси. Това обаче изисква да поддържате безвирусна база данни за контролни суми от файлове. Мониторингът на целостта не е в състояние да открие пасивни и активни стелт вируси. Освен това не може да идентифицира откритите вируси по име или тип. Ако антивирусната програма е резидентна в паметта, тя следи вирусите непрекъснато. Това е традиционна мярка за сигурност за файловите сървъри, тъй като всеки файл трябва да бъде валидиран, когато се използва. Непрекъснатото наблюдение може да е неподходящо за клиентска машина, защото може да обработва твърде много информация, което забавя компютъра. На клиентската машина е за предпочитане да конфигурирате антивирусната програма да работи в определено време. Например, може да се стартира, когато компютърът се стартира или когато нов файл се чете от флопи диск. Някои пакети (включително Norton AntiVirus и MacAfee VirusScan, описани по-долу) използват техника, известна като планирано сканиране, за да сканират твърдия ви диск за вируси в определено време. Друг метод е да използвате антивирусна програма, когато компютърът не работи. Например, може да се използва като част от програма за скрийнсейвър.
1. Програми – детекторите откриват файлове, заразени с някой от известните вируси, такива програми в чист вид вече са рядкост.
2. Фаги или програми – лекари, както и програми – ваксини не само намират файлове, заразени с вируси, но и ги „лекуват“, т.е. изтрийте тялото на вирусната програма от файла, като възстановите програмата до състоянието, в което е била преди заразяването с вируса. В началото на своята работа фагите търсят вируси в RAM паметта, унищожавайки ги, и едва след това пристъпват към „лекуване“ на файлове. Полифаги - унищожават голям брой вируси. Aidstest, Scan, Norton AntiVirus, Doctor Web.
3. Програмите-одитори са сред най-надеждните средства за защита от вируси. Одиторите си спомнят първоначалното състояниепрограми, когато компютърът все още не е заразен с вирус, и след това периодично сравнявайте текущото състояние на файла с оригинала. Ако бъдат открити промени, съобщенията се показват на екрана на дисплея. ADinf.
4. Програми - филтри или "стражове" - малки резидентни програми, които са постоянно разположени в паметта на компютъра. Те наблюдават компютърните операции и откриват подозрителна компютърна дейност, типична за вирусите. Когато някоя програма се опита да изпълни посочените действия, "стражът" изпраща съобщение и потребителят може да забрани или разреши изпълнението на съответната операция. Филтрите могат да открият вирус на ранен етап от съществуването му, но не "лекуват" файлове и дискове.
