Igaüks meist on vähemalt korra elus kokku puutunud arvutiviirusega. Ja on hea, kui kahjur osutus nõrgaks. Lihtsa viirusega saab hõlpsasti hakkama viirusetõrjeprogrammiga. Kuid tõsisem tarkvara, mida tavaliselt häkkerid kasutavad, võib kogu süsteemile ja isikuandmetele korvamatut kahju tekitada.
Paljud teavad, mis on arvutiviirus. Kuid mitte kõik ei mõista täielikult selle rolli ja võimalusi. Seda tüüpi pahavara tarkvara See võib kergesti kopeerida ennast, tungida teiste rakenduste koodidesse, häirida süsteemi mälustruktuuride ja alglaadimissektorite tööd ning levida erinevate sidekanalite kaudu.
Paljud kogenematud kasutajad usuvad, et viiruse ülesanne on isikuandmete kahjustamine või kustutamine. Tegelikult see nii ei ole. Loomulikult on arvutiviirusi erinevat tüüpi, kuid enamasti on nende peamine eesmärk pahavara levitamine. Kuid seotud toimingud on lihtsalt teabe kustutamine, andmeelementide kahjustamine, toimimise blokeerimine ja palju muud.
Oluline on mõista, et arvutiviirus ei ole alati hallatav. Seega, isegi kui häkker ei soovinud pahatahtlikke elemente luua, võib tarkvara arenduse käigus tehtud möödalaskmiste tõttu süsteemi siiski kahjustada ning OS ja muud rakendused ei pruugi selliseid vigu lihtsalt registreerida.
Kogenematud kasutajad nimetavad pahavara sageli viirusteks. See ei ole täiesti õige, kuna konkreetselt viirused on vaid teatud tüüpi tarkvara.
Kui spetsialistid töötasid välja isepaljuneva viiruse, ei teadnud keegi. Kuid just sellised arengud said selle kujunemise aluseks.
Enne isetaastuvate mehhanismide loomist oli vaja paika panna teooria algoritmid. Seda tegi John von Neumann. Juba 1951. aastal avastas ta võimalused sellise programmi loomiseks.
Tema ideed toetasid paljud eksperdid ja ta alustas aktiivset väljaannet, mis oli pühendatud isepaljuneva süsteemi arendamisele.
Ühes artiklis esitleti esimest seda tüüpi mehaanilist disaini. Nii võiksid inimesed õppida tundma kahemõõtmelist struktuuride mudelit, mis võiksid iseseisvalt aktiveerida, jäädvustada ja vabastada.
Selline isepaljunev programm oli ebatäiuslik, kuna virtuaalne "olend" suri platvormi voolu puudumise tõttu.
Teine katse esimeste arvutiviiruste väljatöötamiseks oli ebatavalise pusle nimega "Darwin" leiutamine. 60ndate alguses lõid Ameerika ettevõtte teadlased rea utiliite, mida nad nimetasid "organismideks". Tarkvara tuli laadida arvuti arhiivi. Ühe mängija poolt moodustatud "organismid" pidid neelama vaenlase "organisme" ja võtma nende territooriumi. Võitis see, kes võttis kogu mälu või kogus rohkem punkte.
Paljud usuvad, et inimkond on juba XX sajandi 70ndateks õppinud, mis on arvutiviirus. Kuid siiski ei saa viirusteks nimetada isepaljunevaid programme või mänge, nagu Darwin. Tõelised "kahjurid" said tuntuks palju hiljem ning olid palju mõjukamad ja ohtlikumad.
Kõige rohkem loodud 80ndate alguses. Pärast seda algas pahavara aktiivne arendamine. Selle tulemusena ilmuvad koos Elk Cloneriga Joe Dellingeri viirus, Dirty Dozen projekt ja mitmed viirusetõrjeutiliidid.
Ta oli esimene, kes näitas maailmale saapaviirust. Elk Cloner loodi spetsiaalselt Apple II jaoks. "Kahjur" oli võimalik leida kohe pärast süsteemi käivitamist: ilmus teade väikese luuletusega, milles viirus ähvardas kasutajat isiklike failide kadumise, süsteemi töö katkemise ja kustutamise võimatusega.
Oma tegevust alustab ka John Dellinger. Ta töötas välja ka viiruse Apple II jaoks. Spetsialist tahtis nii väga esimene olla, et jäi ühest pahavarast ilma. Ta hakkas "levima" kogu ülikoolis. Üks mäluanalüüsi sektor tuvastas selle kergesti. Kuigi tavaline kasutaja Ma ei leidnud seda jaotist süsteemist.
John Dellingeri viirus surus alla tuntud puslemängu graafika. Selle tulemusena olid poole kuu pärast kõik "piraat" versioonid "katki". Vea parandamiseks lõi arendaja teise viiruse, mis parandas eelmise versiooni.
1984. aastaks hakkasid paljud eksperdid mõistma, mis on arvutiviirus. Ilmus esimene teadusartikkel, mis tõstatas süsteemse infektsiooni küsimusi ja probleeme. Vaatamata sellele, et termini enda pakkus välja artikli autori kuraator, nimetatakse selle termini autoriks just teadur Cohenit.
Kui paljud hakkasid mõistma, mis on arvutiviirus, sai selgeks, et selle vastu on vaja luua süsteemikaitse. Esimese viirusetõrjeprogrammi töötas välja Andy Hopkins. Sarnane utiliit on alglaadimisfaili teksti analüüsinud alates 1984. aastast, tuues välja kõik koodide ja märguannete kahtlased elemendid.
Korraga osutus see kõige lihtsamaks ja tõhusamaks. Programm võib BIOS-i kaudu toimunud kirjutamis- ja vormindamisprotsesse ümber suunata. Samal ajal lubas ta kasutajal operatsioonidesse sekkuda.
Kaheksakümnendate lõpuks ilmus odav IBM PC. Selle ilmumine andis tõuke suuremahuliste viiruste arengule. Seetõttu toimus lühikese aja jooksul kolm suurt süsteemset katastroofi.
Loomulikult pole arvutiviiruste epideemiaid kunagi varem juhtunud. Seetõttu polnud võitlus nende vastu kerge. Esimene rünnak leidis aset tänu Brain viirusele, mille kaks venda töötasid välja 1986. aastal. Ja juba järgmisel aastal käivitati see kõigis arvutites.
Nüüd on raske öelda, kui ulatuslik epideemia oli. On ainult teada, et viirus mõjutas enam kui 18 tuhat süsteemi. Nagu hiljem selgus, ei tahtnud vennad kellelegi halba teha. Viirus pidi karistama "piraate", kes tarkvara varastasid. Kuid midagi läks valesti ja Brain mõjutas mitte ainult Pakistani ennast, vaid ka kasutajaid kogu maailmas. Paljud eksperdid tutvusid esimese hiilimisviirusega, mis muutis nakatunud sektori täielikuks originaaliks.
Ajuviirusega seostatakse ka kahjurit, mida nimetatakse Jeruusalemmaks. 80ndate lõpus kannatasid selle all mitmed ettevõtted ja ülikoolid. Viirus kustutas aktiveerimisel andmed koheselt. Hiljem sai teatavaks, et tegemist on ühe suurima kahjuriga, mis mõjutas Euroopa, Ameerika ja Lähis-Ida kasutajaid.
Arvutiviirustega nakatumine sellega ei piirdunud. Varsti sai maailm teada Morrise ussist. See oli esimene Unixi sihtmärgiks olnud võrgukahjur. Plaaniti, et utiliit satub arvutisüsteemi ja jääb sinna ilma tuvastamisvõimaluseta. Viiruse autor soovis muuta selle varjatuks ja kahjutuks, kuid asjad ei läinud plaanipäraselt. Viiruse isepaljunemise põhjuseks olid arenduse käigus tehtud vead.
Epideemia on oluliselt mõjutanud süsteemide funktsionaalsust. Hiljem selgus, et kahju ulatus 96 miljoni dollarini. Kuigi, kui autor tahaks operatsioonisüsteemi sihikindlalt kahjustada, oleks summa palju suurem.
Selline ebaõnnestunud areng viis Morrise kohtu ette, kus talle määrati kolmeaastane tingimisi karistus, saadeti üldkasulikule tööle ja sunniti maksma "ümmargune" summa.
Kuni spetsialistid hakkasid mõistma arvutiviiruste liike, tekkisid süsteemsed epideemiad üha sagedamini. Nii sai 1989. aastal DATACRIME tuntuks. See polnud lihtsalt viirus, vaid terve seeria. Vaid mõne kuuga õnnestus tal tabada enam kui 100 000 süsteemi.
Sellest probleemist ei saanud programmeerijad mööda minna ja peagi ilmusid utiliidid, mis skannisid sellele viirusele iseloomulikke ridu.
Kui see viirusprogrammide sari valmis sai, ilmus kohe esimene "Trooja hobune" nimega AIDS. Nii said kasutajad teada lunavarast, mis blokeeris juurdepääsu kõvakettal olevatele andmetele ja näitas monitoril ainsat teavet. AIDS soovis konkreetse aadressi eest 189 dollarit. Loomulikult maksid paljud kasutajad väljapressijale. Kuid ta arreteeriti peagi pärast seda, kui ta tabati tšekkide sissemaksmisel.
Selgus, et teadmisest, mis on arvutiviirus, ei piisa. "Kahjuritel" oli vaja kuidagi vahet teha, et hiljem kaitseutiliite välja töötada. Lisaks on arvuti areng mõjutanud ka arvutiviiruste klassifikatsiooni.
Pahatahtlikke programme saab nüüd klassifitseerida levitamismeetodite ja funktsionaalsuse järgi. Enne Interneti laialdast arengut võis viiruseid salvestada diskettidele ja muudele andmekandjatele. Nüüd edastatakse neid valdavalt kohalike ja ülemaailmsete võrkude kaudu. Koos sellega on kasvanud ka nende funktsionaalsus.
Kahjuks pole veel suudetud selget klassifikatsiooni välja töötada. Viirused võib aga jagada nendeks, mis:
See hõlmab järgmist tüüpi arvutiviiruseid: fail, alglaadimine, skript, lähtekoodi rikkuv viirus, makroviirused.
Näiteks failikahjur mõjutab failisüsteem arvuti selle "paljundamiseks". See on manustatud peaaegu igasse käivitatavasse dokumenti. operatsioonisüsteem. Tavaliselt saab see oma "ohvriks" valida binaarfailid laiendiga ".exe" või ".com", see võib mõjutada dünaamilist teeki, "küttepuid" või partiifaile.
Makroviirus asub tavaliselt rakenduspakettides, nagu Microsoft Office. Makrokeelte abil saavad sellised "kahjurid" liikuda ühest failist teise.
On viirusi, mis võivad nakatada mis tahes operatsioonisüsteemi. Kuid mitte kõigi eesmärk on iga platvormiga "koostööd teha". Seetõttu arendavad häkkerid viirusi üksikute operatsioonisüsteemide jaoks. See hõlmab DOS-i, Windowsi, Linuxi, Unixi ja palju muud.
Arvutiviiruste eripära on see, et nad saavad kasutada spetsiaalseid tehnoloogiaid. Näiteks kasutavad nad tehnikat, mis vähendab nende tuvastamise taset. Seetõttu ei suuda kõige lihtsamad viirusetõrjerakendused kahjurit tuvastada.
Stealth viirused on tõlgitud kui "nähtamatud". Selline tarkvara varjab täielikult või osaliselt oma olemasolu. Selleks peatab viirus kõned OS-ile.
Sellesse rühma kuuluvad juurkomplektid. Neid saab esitada käivitatavate failide, skriptide ja konfiguratsioonidokumentidega. Nende ülesanne on tagada objektide maskeerimine, hallata süsteemis toimuvaid sündmusi ja koguda andmeid.
Viiruste ja viirusetõrje tulekust on möödunud palju aega. Erinevatel aastatel ilmnesid erilised kahjurid, mida kogu maailm mäletas nende katastroofilise mõju tõttu.
Näiteks CIH on viirus, mis oli pühendatud Tšernobõli tuumaelektrijaama tragöödiale. Aktiveerimise hetkel halvas "kahjur" kõigi süsteemide töö. Nimida oli kiireim viirus, miljoni arvuti nakatamiseks kulus veerand tundi.
Slammerit nimetati kõige agressiivsemaks, kuna viirus kustutas teabe 75 000 süsteemist kõigest 10 minutiga. Confickerit peetakse üheks ohtlikumaks "kahjuriks". Uss ründas Windowsi süsteeme ja kahjustas 3 kuu jooksul 12 miljonit arvutit.
2000. aastatel registreeriti ILOVEYOU viirus. Hiljem pääses ta Guinnessi rekordite raamatusse, saades tiitli "Kõige hävitavam arvutiviirus maailmas". See uss mõjutas 15 miljonit arvutit ning erinevatel hinnangutel ulatus kahju maailmamajandusele 10-15 miljardi dollarini.
Nüüd juhtub neid endiselt, kuid võimsad viirusetõrjeprogrammid saavad mõnikord nendega hakkama. On olemas rahvusvaheline sõltumatu organisatsioon, mis analüüsib turvautiliitide toimimist. AV-TEST on esitanud 2017. aasta parimate viirusetõrjeprogrammide nimekirja:
Praegu on need kõige tõhusamad kommunaalteenused. Ja kuigi need kõik on tasulised, on igaühel prooviperiood ja suhteliselt madal aastane kulu.
Arvutiviirused
Arvutiviirus on kõrgelt kvalifitseeritud programmeerija kirjutatud väike programm, mis on võimeline ise paljunema ja sooritama erinevaid hävitavaid toiminguid. Praeguseks on teada üle 50 tuhande arvutiviiruse.
Esimese arvutiviiruse sünnikuupäeva kohta on palju erinevaid versioone. Kuid enamik eksperte nõustub, et arvutiviirused kui sellised ilmusid esmakordselt 1986. aastal, kuigi ajalooliselt on viiruste teke tihedalt seotud ideega luua isepaljunevaid programme. Üks arvutiviiruste "pioneere" on "Brain" viirus, mille lõi Pakistani programmeerija nimega Alvi. Ainuüksi USA-s on see viirus nakatanud enam kui 18 000 arvutit.
Viirused töötavad ainult tarkvara abil. Nad kipuvad end faili külge kinnitama või imbuvad faili kehasse. Sel juhul väidetakse, et fail on viirusega nakatunud. Viirus siseneb arvutisse ainult koos nakatunud failiga. Viiruse aktiveerimiseks peate alla laadima nakatunud faili ja alles pärast seda hakkab viirus ise tegutsema.
Mõned viirused muutuvad nakatunud faili käivitamise ajal residentideks (elavad püsivalt muutmälu arvuti) ja võib nakatada teisi allalaaditud faile ja programme.
Teist tüüpi viirus võib vahetult pärast aktiveerimist põhjustada tõsiseid kahjustusi, näiteks kõvaketta vormindamist. Viiruste tegevus võib avalduda erineval viisil: alates erinevatest tööd segavatest visuaalsetest efektidest kuni täieliku teabekaoni.
Peamised viiruste allikad:
viirusega nakatunud faile sisaldav diskett;
arvutivõrk, sh e-posti süsteem ja Internet;
kõvaketas, mis on nakatunud programmidega töötamise tagajärjel viirusega nakatunud;
eelmise kasutaja RAM-i jäetud viirus.
Arvuti viirusega nakatumise peamised varajased tunnused:
vaba RAM-i hulga vähendamine;
arvuti laadimise ja töö aeglustamine;
arusaamatuid (põhjustamata) muudatusi failides, samuti muudatusi failide viimase muutmise suuruses ja kuupäevas;
vead operatsioonisüsteemi laadimisel;
suutmatus salvestada faile õigetesse kataloogidesse;
arusaamatud süsteemiteated, muusikalised ja visuaalsed efektid jne.
Viiruse aktiivse faasi tunnused:
failide kadumine;
vormindamine kõvaketas;
failide või operatsioonisüsteemi laadimise võimetus.
Seal on palju erinevaid viiruseid. Tavapäraselt võib neid klassifitseerida järgmiselt:
1) alglaadimisviirused või BOOT viirused nakatavad ketaste alglaadimise sektoreid. Väga ohtlik, need võivad viia kogu kettale salvestatud teabe täieliku kadumiseni;
2) faili viirused failid on nakatunud. Jaotatakse:
viirused, mis nakatavad programme (failid laiendiga .EXE ja .COM);
makroviirused viirused, mis nakatavad andmefaile, nagu Wordi dokumendid või Exceli töövihikud;
satelliitviirused kasutavad teiste failide nimesid;
DIR-perekonna viirused moonutavad süsteemiteavet failistruktuuride kohta;
3) alglaadimisfailide viirused võimeline nakatama nii alglaadimissektorite kui ka failide koodi;
4) nähtamatud viirused või STEALTH viirused võltsivad kettalt loetud infot nii, et selle info jaoks mõeldud programm saab valeandmeid. Seda tehnoloogiat, mida mõnikord nimetatakse ka Stealth-tehnoloogiaks, saab kasutada nii BOOT-viiruste kui ka failiviiruste puhul;
5) retroviirused nakatada viirusetõrjeprogramme, püüdes neid hävitada või töövõimetuks muuta;
6) ussiviirused varustama väikesed e-kirjad nn päisega, mis sisuliselt on viiruse enda asukoha veebiaadress. Püüdes sellist sõnumit lugeda, hakkab viirus ülemaailmse Interneti-võrgu kaudu lugema oma "keha" ja pärast allalaadimist alustab hävitavat tegevust. Väga ohtlik, kuna neid on väga raske tuvastada, kuna nakatunud fail ei sisalda tegelikult viiruse koodi.
Kui te ei võta meetmeid arvutiviiruste eest kaitsmiseks, võivad nakatumise tagajärjed olla väga tõsised. Paljudes riikides näeb kriminaalõigus vastutust arvutikuritegude, sealhulgas viiruste sissetoomise eest. Teabe kaitsmiseks viiruste eest kasutatakse üldisi ja tarkvaratööriistu.
Levinud abinõud, mis aitavad vältida viirusega nakatumist ja selle laastavaid tagajärgi, on järgmised:
teabe varundamine (failide ja kõvaketaste süsteemialade koopiate loomine);
juhuslike ja tundmatute programmide kasutamisest keeldumine. Kõige sagedamini levitatakse viirusi koos arvutiprogrammidega;
teabele juurdepääsu piiramine, eelkõige disketi füüsiline kaitse sellelt failide kopeerimise ajal.
Kaitsetarkvaraks liigitatakse erinevad viirusetõrjeprogrammid (viirusetõrjed).
Viirusetõrje on programm, mis tuvastab ja neutraliseerib arvutiviirusi. Tuleb märkida, et viirused on oma arengus viirusetõrjeprogrammidest ees, mistõttu pole isegi viirusetõrje regulaarsel kasutamisel 100% turvagarantii. Viirusetõrjeprogrammid suudavad tuvastada ja hävitada ainult teadaolevaid viiruseid, uue arvutiviiruse ilmumisel pole selle vastu kaitset enne, kui selle jaoks on välja töötatud oma viirusetõrje. Paljud kaasaegsed viirusetõrjepaketid sisaldavad aga spetsiaalset tarkvaramoodulit nimega heuristiline analüsaator, mis suudab uurida failide sisu arvutiviirustele iseloomuliku koodi olemasolu suhtes. See võimaldab õigeaegselt tuvastada uue viirusega nakatumise ohu ja hoiatada selle eest.
Viirusetõrjeprogramme on järgmist tüüpi:
1)detektoriprogrammid: mõeldud ühe tuntud viirusega nakatunud failide leidmiseks. Mõned tuvastusprogrammid võivad ka faile viiruste eest töödelda või nakatunud faile hävitada. On olemas spetsiaalsed, see tähendab detektorid, mis on mõeldud ühe viiruse ja polüfaagid, mis suudab võidelda paljude viirustega;
2) arsti programmid: mõeldud nakatunud ketaste ja programmide desinfitseerimiseks. Programmi ravi seisneb viiruse keha eemaldamises nakatunud programmist. Need võivad olla ka nii polüfaagid kui ka spetsialiseerunud;
3) audiitori programmid: mõeldud failide viirusnakkuse tuvastamiseks ja rikutud failide leidmiseks. Need programmid salvestavad andmeid programmi oleku ja ketaste süsteemialade kohta normaalses olekus (enne nakatumist) ning võrdlevad neid andmeid arvuti töötamise ajal. Kui andmed ei ühti, kuvatakse teade nakatumise võimaluse kohta;
4) arstlikud läbivaatajad: mõeldud failide ja ketaste süsteemialade muutuste tuvastamiseks ning muudatuste korral nende algolekusse viimiseks.
5) filtriprogrammid: mõeldud kõnede pealtkuulamiseks operatsioonisüsteemile, mida viirused paljundamiseks kasutavad, ja kasutajat sellest teavitama. Kasutaja saab vastava toimingu lubada või keelata. Sellised programmid on püsivad, see tähendab, et need asuvad arvuti RAM-is.
6) vaktsiiniprogrammid: kasutatakse failide ja alglaadimissektorite töötlemiseks, et vältida nakatumist teadaolevate viirustega (seda meetodit kasutatakse viimasel ajal üha enam).
Tuleb märkida, et ühe "parima" viirusetõrje valik on äärmiselt ekslik otsus. Soovitatav on kasutada korraga mitut erinevat viirusetõrjepaketti. Viirusetõrjeprogrammi valimisel peaksite pöörama tähelepanu sellisele parameetrile nagu tuvastavate allkirjade arv (märkide jada, mis tunneb viiruse ära). Teine parameeter on tundmatute viiruste heuristilise analüsaatori olemasolu, selle olemasolu on väga kasulik, kuid see aeglustab programmi oluliselt.
Kontrollküsimused
Mis on arvutiviirus?
Kuidas viirus arvutit nakatab?
Kuidas arvutiviirused töötavad?
Milliseid arvutiviirustega nakatumise allikaid teate?
Milliste märkide abil saab tuvastada arvutiviirusega nakatumise fakti?
Mis tüüpi viirusi te teate? Milliseid hävitavaid tegevusi nad teevad?
Milliseid meetmeid võetakse arvutiviirustega nakatumise vältimiseks?
Mis on viirusetõrje? Mis tüüpi viirusetõrjeid teate?
Mis on heuristiline analüsaator? Milliseid funktsioone see täidab?
Arvutiviirused- spetsiaalsed programmid, mille ründajad loovad mis tahes kasu saamiseks. Nende tööpõhimõte võib olla erinev: nad kas varastavad teavet või julgustavad kasutajat ründajate huvides mõnda toimingut tegema, näiteks kontot täiendama või raha saatma.
Tänapäeval on palju erinevaid viirusi. Peamisi neist arutatakse käesolevas artiklis.
Nüüd on neid mitukümmend tuhat. arvutiviirused.
Sõltuvalt elupaigast jagunevad viirused alglaadimiseks, failiks, süsteemiks, võrguks, failide alglaadimiseks.
Käivitusviirused on manustatud ketta alglaadimissektorisse või sektorisse, mis sisaldab süsteemiketta alglaadimisprogrammi.
Failiviirused on manustatud peamiselt .COM ja .EXE täitmisfailidesse.
Süsteemiviirused tungida süsteemimoodulitesse ja välisseadmete draiveritesse, failide eraldamise tabelitesse ja partitsioonitabelitesse.
KOOS võrku viirused elavad arvutivõrkudes; f ail-buutitav (multifunktsionaalne) rünnata ketaste alglaadimissektoreid ja rakendusprogrammifaile.
Viirused jagunevad resident- ja mitteresidentseteks viirusteks vastavalt sellele, kuidas nad keskkonda nakatavad.
Residentide viirused arvuti nakatamisel jätavad nad oma püsiva osa RAM-i, mis seejärel katkestab operatsioonisüsteemi kõned teistele nakkusobjektidele, imbub neisse ja sooritab hävitavaid toiminguid kuni arvuti väljalülitamiseni või taaskäivitamiseni. Mitteresidentsed viirused ärge nakatage arvuti RAM-i on aktiivsed piiratud aja.
Viiruste ehituse algoritmiline omadus mõjutab nende avaldumist ja toimimist. Seega toovad replikaatoriprogrammid oma kiire reprodutseerimise tõttu kaasa põhimälu ületäitumise, samas kui paljundusprogrammide hävitamine muutub keerulisemaks, kui reprodutseeritud programmid ei ole originaali täpsed koopiad. Levinud arvutivõrkudes programmid-"ussid". Nad arvutavad välja võrguarvutite aadressid ja saadavad nendele aadressidele endast koopiaid, hoides omavahel sidet. Juhul kui "uss" suvalises arvutis lakkab olemast, otsivad ülejäänud vaba arvuti ja tutvustavad sama sellesse programmeerida.
"Trooja hobune"on programm, mis on maskeeritud kasulikuks programmiks, mis täidab lisafunktsioone, millest kasutaja isegi ei tea (näiteks kogub teavet nimede ja paroolide kohta, kirjutades need spetsiaalsesse faili, mis on saadaval ainult selle viiruse loojale), või hävitab failisüsteemi.
loogikapomm on programm, mis on sisse ehitatud suurde tarkvarapaketti. See on kahjutu kuni teatud sündmuse toimumiseni, pärast mida rakendatakse selle loogilist mehhanismi. Näiteks hakkab selline viirusprogramm tööle pärast teatud arvu rakendusprogramme, kompleks; teatud faili või failikirje olemasolul või puudumisel jne.
mutantsed programmid, isepaljunevad, taasloovad koopiad, mis erinevad selgelt originaalist.
Nähtamatud viirused või varjatud viirused peatavad operatsioonisüsteemi kõned nakatunud failidele ja kettasektoritele ning asendavad nende asemel nakatamata objekte. Failidele ligi pääsedes kasutavad sellised viirused üsna originaalseid algoritme, mis võimaldavad neil "petta" resideeruvaid viirusetõrjemonitore.
Makroviirused kasutada kontori andmetöötlusprogrammidesse (tekstiredaktorid, arvutustabelid jne) sisseehitatud makrokeelte võimalusi.
Arvutisüsteemide ja võrkude ressurssidele avaldatava mõju astme või hävitava võime järgi eristatakse kahjutuid, mitteohtlikke, ohtlikke ja hävitavaid viirusi.
Kahjutud viirused ei avalda laastavat mõju arvuti tööle, kuid võivad nende taasesitamise tulemusena RAM-i üle koormata.
Mitteohtlikud viirusedärge hävitage faile, vaid vähendage vaba kettaruumi, kuvage graafilisi efekte, looge heliefekte jne. Ohtlikud viirused põhjustavad sageli arvutis mitmesuguseid tõsiseid rikkumisi; hävitav - teabe kustutamine, rakendusprogrammide töö täielik või osaline katkestamine. Pidage meeles, et iga fail, mis on võimeline programmikoodi laadima ja käivitama, on potentsiaalne koht viiruse sissetungimiseks.
Iga inimene, kes tegeleb arvutitega, on kahtlemata korduvalt kohtunud mõistega "viirus", "trooja", "trooja hobune" jms varem, isegi arvutieelsel ajastul, mida kasutati eranditult biomeditsiinilistes ja ajaloolistes uuringutes. Need sõnad tähistavad mingisuguseid programme, mida sageli kasutatakse kogenematute kasutajate hirmutamiseks, kirjeldades nende vastupandamatut jõudu, mis võib hävitada kõik arvutis kuni kõvaketta mehaanilise konstruktsioonini.
Arvutiviirus on pahatahtlik arvutiprogramm, mis sisaldab koodijuppi, mis käivitatakse pärast viiruse käivitamist arvutisüsteemis. Töötamise ajal nakatab viirus enda koopiatega teisi programme.
Viiruse mõju võib ulatuda kergest tüütusest kasutajale kuni kõigi süsteemi andmete täieliku hävitamiseni. Kuid mõned viirused võivad end paljuneda ja levida teistesse süsteemidesse. See muudab viiruste lokaliseerimise ja nende eest kaitsmise keeruliseks. Lihtsa viiruse kirjutamiseks piisab mõne koodirea sisestamisest.
Viirused võivad edasi kanduda sideliinidel või levitada nakatunud meedias. See muudab viiruse looja lokaliseerimise keeruliseks. Mõned viirused võivad peituda teistes programmides või tungida teie arvuti operatsioonisüsteemi.
Viiruste rünnakute suhtes haavatav kõik arvuti operatsioonisüsteemid mõned on aga haavatavamad kui teised. Viirused peidavad end sageli sisse uus arvutimäng, mille saate Internetist alla laadida. Lisaks võib leida viiruseid makrod kontoris kasutatud infosüsteemid või Internetist laaditud veebilehtede komponentides. Viiruste arvutitesse sisenemise viisid on erinevad, kuid neil on üks ühine joon – viirused sisenevad arvutisüsteemidesse. ainult välistest allikatest.
Kui viirus süsteemi siseneb, võib see alustada oma hävitavat tegevust kohe või viirus võib oodata, kuni mõni sündmus aktiveerub, näiteks teatud andmete saamine või teatud kuupäeva või kellaaja saabumine. teatud mitu erinevat tüüpi viiruseid mis võivad arvutisüsteemi tungida.
Trooja hobune on arvutiprogramm, mis on maskeeritud või peidetud programmi osasse. Erinevalt teistest viirustest ei paljune troojalased end süsteemis. Teatud Trooja hobuste vorme saab programmeerida ennast hävitama ja need ei jäta endast jälgi peale nende tekitatud hävingu. Mõned häkkerid kasutavad paroolide hankimiseks ja häkkerile tagasi saatmiseks Trooja hobuseid. Lisaks saab neid kasutada pangapettusteks, kus seaduslikelt kontodelt võetakse välja väikesed rahasummad ja kantakse need salakontole.
Ussid on programmid, mis hävitavad arvutisüsteemi. Nad võivad tungida andmetöötlusprogrammidesse ja andmeid võltsida või hävitada. Ussid on nagu Trooja hobused selle poolest, et nad ei suuda end paljundada. Kuid nagu viirused, võivad need põhjustada suurt hävingut, kui neid õigel ajal ei tuvastata. Ussi või Trooja hobust on palju lihtsam kõrvaldada, kui hävitavast programmist on olemas ainult üks eksemplar.
Loogikapommid sarnane Trooja hobuste jaoks kasutatavate programmidega. Loogikapommidel on aga taimer, mis need etteantud kuupäeval ja kellaajal plahvatab. Näiteks viirus Michelangelo omab päästikut kuulsa maalikunstniku Michelangelo sünnipäevaks – 6. märts. Loogikapomme kasutavad sageli rahulolematud töötajad, kes saavad need pärast ettevõttest lahkumist aktiveerima panna. Näiteks võib loogikapomm plahvatada, kui selle töötaja nimi palgalehelt eemaldatakse. Tänu sisseehitatud viivitusmehhanismile kasutatakse loogikapomme aktiivselt väljapressimiseks. Näiteks võib väljapressija saata sõnumi, et kui talle makstakse teatud summa raha, annab ta juhised loogikapommi väljalülitamiseks.
Päritolu ajalugu viirused on üsna ebamäärased, nagu ka nende arendajate eesmärgid. Arvutiraamatud väidavad, et esimene teadaolev viirus oli programm, mis rakendas universumi mudelit, milles elasid teatud olendid, kes suutsid liikuda, toitu otsida ja süüa, samuti paljuneda ja nälga surra. Raamatu autorite seisukohalt on viirusprogrammid puhtteadusliku uurimistöö tulemus, mis puudutab mõningate iseseisvaks eksisteerimiseks võimeliste tehisorganismide nagu elusolendite loomist. Seda rõhutab ka selliste uuringute põhjal välja töötatud programmide nimetus - viirused, s.o. midagi elavat, mis on võimeline paljunema, muteerima ja ise ellu jääma. Tuleb mõista, et arvutiviiruste loojaid tehakse ettepanek liigitada kahjututeks ekstsentrikuteks, kes tegelevad eranditult tegelikust elust lahutatud teadusprobleemidega.
Me ei süvene selle teema vaidlustesse, märkides vaid, et esimene programm, mis võis tõesti väita, et on viirus, ilmus aastal 1987, ja see oli Pakistani viirus, mille töötasid välja vennad Amdjat ja Bazit Alvi. Nende eesmärk oli karistada (!) USA kodanikke Pakistanis saadete odavate koopiate ostmise eest. Edasi hakkas viiruste arv kasvama laviinilaadse kiirusega ning nende arvutitesse ilmumisest tekkinud kahjud ulatusid miljonite ja sadadesse miljonitesse dollaritesse. Arvutite nakatumine erineva iseloomuga viirustega on omandanud epideemia iseloomu ja nõudnud kaitsemeetmete, sealhulgas seaduslike, kasutuselevõttu. Mõelge, kuidas need pahatahtlikud olendid, viirused, arvutisüsteemidesse sattuvad.
Viiruste tungimise viisid võivad olla väga erinevad. Viirused sisenevad teie arvutisüsteemi paljudest erinevatest allikatest, käivitatavatest programmidest, kolleegide antud programmidest ja failidest, arhiveeritud kujul ostetud tarkvarast. Vaatame struktuuri, mida kasutatakse andmete salvestamiseks disketid tuvastada kohti, mis funktsionaalselt sobivad viiruste varjatud eksisteerimiseks. Disketid võivad salvestada andmefaile, programme ja operatsioonisüsteemi tarkvara. Need on andmefailide edastamise levinumad vahendajad. Diskett koosneb alglaadimissektorist ja andmetest. Vajadusel saab alglaadimissektor salvestada arvuti käivitamiseks vajalikku teavet. See salvestab ka partitsiooniteabe, allalaadimise haldusteabe ja faili asukohateabe. Andmed on kogu tähenduslik teave, mis salvestatakse disketile. Viiruste lemmikelupaik on alglaadimissektorid ja disketile salvestatud käivitatavad failid. Alglaadimissektorisse paigutatud viirused saab käivitada, kui süsteem käivitatakse disketilt. Käivitusfailidesse paigutatud viirused käivitatakse koos nakatunud programmiga, misjärel alustavad nad oma tegevust arvutisüsteemis.
Samad võimalused viiruse edastamiseks pakuvad CD-sid, millest on nüüdseks saanud peamiseks vahendiks failide ja teabe arvutite vahel edastamiseks. CD-d sisaldavad binaarset digitaalset teavet, mis kirjutatakse plaadile, luues plaadi pinnale mikroskoopilisi auke. Teavet loetakse, kui laseri tekitatud valguskiir läbib ketta. CD-d sarnanevad diskettidega selle poolest, et nad kasutavad andmete salvestamiseks ka alglaadimissektorit ja andmestruktuuri.
Internet on pakkunud kasutajatele uusi ühenduvusvõimalusi, mis suurendavad viirusetõrje rikkumiste võimalust. Veebitehnoloogiad, näiteks Java- ja ActiveX-aplettide loomiseks mõeldud tehnoloogiad, hõlbustavad kasutajatel Interneti kaudu suhtlemist, kuid teisest küljest on see mugav vahend pahatahtliku tarkvara levitamiseks. Arvutisse installitud tööjaama kasutajad kasutavad oma ülesannete täitmiseks tarkvara ja andmefaile. Kogu see teave, sealhulgas operatsioonisüsteem, salvestatakse arvuti kõvakettale. Teine alaline salvestuskoht teabele, mida arvuti tööks vajab, on püsiv CMOS-mälu, mis salvestab arvuti põhilise sisend-/väljundsüsteemi (BIOS); BIOS-i rutiine kasutatakse süsteemi algkäivitamisel, nii et nende nakatumine on tõsine oht, hoolimata CMOS-i väiksusest. Seega on arvutis kaks peamist kohta, kuhu saab pidevalt infot salvestada ja uuendada – kõvaketas ja CMOS-mälu. Need arvutisüsteemi komponendid on koht, kuhu viirused arvutit nakatades kõige sagedamini satuvad. Viiruste lemmikpaik on kõvaketas. HDD koosneb järgmistest elementidest. Sektsioonide tabel, mida kasutatakse ketta partitsioonide ja struktuuri jälgimiseks Põhikäivituskirje, mis näitab, kas ketast saab alglaadida või mitte. Alglaadimissektor, mis ütleb süsteemilaadurile, kust otsida esimest operatsioonisüsteemi käivitamiseks vajalikku faili. . Esimene FAT-tabel salvestab kirje, mis näitab, kuidas kõik muud kirjed on andmete salvestamiseks mõeldud kettapiirkonnas seotud. . Teine FAT-tabel, mis on esimese FAT-tabeli varukoopia juhuks, kui esimene tabel on kahjustatud. . Diagnostiline silinder, mida kasutatakse vigade jälgimiseks või riist- või tarkvaraosas esinevate probleemide eraldamiseks. See on sisemiste toimingute jaoks saadaval ainult kõvakettale endale. Kõige sagedamini peidavad viirused alglaadimissektorites, mis võimaldab neil mõjutada süsteemi alglaadimist (vt järgmist jaotist). Teine lemmikkoht on käivitatavad failid. Käivitavad failid sisaldavad järgmisi elemente. Päis, mis teavitab operatsioonisüsteemi selle faili tüübist ja sellest, kas see on ette nähtud töötama praeguse operatsioonisüsteemiga. Lisaks annab päis muud teavet, mida operatsioonisüsteem võib vajada, näiteks faili avamiseks vajaliku mälumahu kohta.Päis hõivab kindla ala, mis suudab faili erinevaid osi eraldada. Jalus, mis teatab arvuti operatsioonisüsteemile, et faili lõpp on kätte jõudnud. Lisaks annab see arvutile teada, mida ta peaks tegema, kui faili lõppu jõuab. Faili saab täita ebaolulise teabega, nii et kettale kirjutatud andmed täidavad teatud ruumi. Käivitatava faili lisa ei sisalda mingit teavet. Näiteks 500 baiti koodi sisaldava käivitatava faili saab kirjutada 512-baidisesse plokki koos 12-baidise täidisega. Käivitatava faili nakatamisel asendab viirus programmi käivitatava koodi enda koodiga. Programmi käivitamisel käivitatakse viirusekood, mis sooritab erinevaid toiminguid nende asemel, mida programm peaks tegema. Viiruse elupaik on otseselt seotud selle toimimisega (nagu päris elusviiruste puhul). Viiruse rünnakuid saab klassifitseerida isegi nende asukoha järgi arvutis.
Viiruserünnakuid on kolm peamist tüüpi.
Alglaadimissektori viirused nakatada arvutisüsteemi alglaadimissektorit või alglaadimisrekordit. Kui arvuti käivitub, aktiveeritakse viirusprogramm. Alglaadimissektori viirused paigutavad algse alglaadimiskoodi ümber või kirjutavad selle üle ja asendavad selle nakatunud alglaadimiskoodiga. Algse alglaadimissektori info kantakse üle ketta teise sektorisse, mis on märgitud halva kettapiirkonnana ja mida edasi ei kasutata. Kuna alglaadimissektor on esimene arvuti käivitumisel laaditav üksus, võib alglaadimissektori viiruste tuvastamine olla keeruline ülesanne. Alglaadimissektori viirused on üks populaarsemaid viiruste liike. Need võivad levida nakatunud diskettide kasutamisega arvuti käivitumisel. See võib kergesti juhtuda, kui taaskäivitate arvuti, kui draivi on sisestatud diskett.
Viirused, mis nakatavad faile, nakatada käivitatavaid faile. Neid saab aktiveerida ainult siis, kui fail on käivitatud. Kõige sagedamini mõjutatud failid on COM, EXE, DLL, DRV, BIN, SYS ja VXD. Faile nakatavad viirused võivad muutuda püsivateks ja kinnituda muude käivitatavate programmide külge. Faile nakatavad viirused asendavad tavaliselt käivitatava faili programmi laadimisjuhised oma juhistega. Seejärel teisaldavad nad algse programmi laadimisjuhise faili teise jaotisesse. See protsess suurendab faili suurust, mis võib aidata viiruste tuvastamisel.
Makrodel põhinevad viirused ( makroviirused) teostab soovimatuid toiminguid, kasutades rakenduse makrokeelt, et levitada end teistele dokumentidele. Nad võivad nakatada näiteks Microsoft Wordi .DOT- ja .DOC-faile ning Microsoft Exceli faile.
Need viirused on platvormideülene viiruseid ja võivad nakatada nii Macintoshi kui ka PC süsteeme.
Teistel viirustel võib olla ühte või mitut ülalkirjeldatud tüüpi omadusi.
* Nähtamatud viirused (slängi termin – "stealth viruses") püüavad töötamise ajal end peita nii operatsioonisüsteemi kui ka viirusetõrjeprogrammide eest. Kõigi operatsioonisüsteemi kasutamise katsete pealtkuulamiseks peab viirus olema mälus. Varjatud viirused võivad peita kõik failisuuruses, kataloogistruktuuris või operatsioonisüsteemi muudes osades tehtud muudatused. See raskendab oluliselt nende tuvastamist. Vargviiruste blokeerimiseks tuleb need tuvastada, kui nad on mälus.
* Krüpteeritud viirused krüpteerivad oma viiruskoodi töötamise ajal, mis võimaldab takistada viiruse avastamist ja äratundmist.
* Polümorfsed viirused võivad iga infektsiooniga oma välimust muuta. Välimuse muutmiseks ja tuvastamise raskendamiseks kasutavad nad mutatsioonide mehhanisme. Polümorfsed viirused on võimelised võtma rohkem kui kaks miljardit erinevat vormi, kuna iga nakkus muudab krüpteerimisalgoritmi. Mitmekomponendilised viirused nakatavad nii alglaadimissektoreid kui ka käivitatavaid faile. See on üks raskemini tuvastatavaid viiruseid, kuna mitmekomponendilised viirused võivad kombineerida mõnda või kõiki varjatud ja polümorfsete viiruste peitmise meetodeid.
* Viimati ilmunud iseuuendavad viirused, mis on suutelised sideseansside ajal varjatult uuendama Interneti kaudu.
* Ebatavaliste süsteemiteadete esinemine.
* Failide kadumine või nende suuruse suurendamine.
* Süsteemi aeglustumine.
* Äkiline kettaruumipuudus.
* Draiv muutub kättesaamatuks.
Viirusetõrjeprogrammid Oluline viis viiruste eest kaitsmiseks on viirusetõrjeprogrammide juurutamine. Viirusetõrjeprogramm peab täitma kolm peamist ülesannet.
* Viiruste tuvastamine.
* Viiruse eemaldamine.
* Ennetav kaitse.
* Viiruse unikaalse digitaalkoodi tuvastamiseks kasutatakse digitaalallkirja skannimist. Digiallkiri on eelinstallitud kuueteistkümnendkood, mille olemasolu failis viitab viirusinfektsioonile. Digitaalallkirja skaneerimine on väga edukas viiruse tuvastamise meetod. See sõltub aga täielikult viiruste digitaalallkirjadega andmebaasi toest ja skannimismootori keerukusest. Kahjustamata failist on võimalik viirust ekslikult tuvastada.
* Heuristiline analüüs (või reeglipõhine skaneerimine) on kiirem kui skaneerimine enamiku traditsiooniliste meetoditega. See meetod kasutab failide tõhusaks analüüsimiseks ja kahtlase viiruskoodi kiireks tuvastamiseks reegleid. Nagu märgitud, emuleerivad kõik heuristilised meetodid ühel või teisel kujul viirusekoodi täitmist. Seetõttu saab viirusearendaja teatud kogemustega kaitsta oma "toodet" heuristilise analüüsi abil tuvastamise eest. Heuristilisel analüüsil on kalduvus saada valehäireid ja paraku sõltub see pidevalt muutuvate viirusetuvastusreeglite komplekti õigsusest.
* Mälu testimine on teine meetod, mida tavaliselt kasutatakse edukalt viiruste tuvastamiseks. See sõltub teadaolevate viiruste asukoha tuvastamisest ja nende koodidest, kui need on mälus. Ja kuigi mälu uurimine on tavaliselt edukas, võib selle meetodi kasutamine nõuda märkimisväärseid arvutiressursse. Lisaks võib see häirida arvuti tavapärast toimimist.
* Katkestuste jälgimine isoleerib ja hoiab ära viiruserünnakud, mis kasutavad katkestuskõnesid. Katkestuskõned on päringud erinevate funktsioonide jaoks süsteemikatkestuste kaudu. Katkestuste jälgimine, nagu mälu uurimine, võib samuti raisata märkimisväärseid süsteemiressursse. See võib põhjustada probleeme seaduslike süsteemikõnedega ja aeglustada süsteemi. Viiruste suure arvu ja seaduslike süsteemikõnede tõttu võib katkestuste jälgimisel olla raskusi viiruste eraldamisega.
* Terviklikkuse kontroll (tuntud ka kui kontrollsumma arvutamine) uurib programmifailide omadusi ja teeb kindlaks, kas neid on viirusekood muudetud. See meetod ei nõua tarkvaravärskendusi, kuna see ei tugine viiruste digitaalallkirjadele. See nõuab aga failide viirusevaba kontrollsummade andmebaasi haldamist. Integrity Control ei suuda tuvastada passiivseid ja aktiivseid varjatud viiruseid. Lisaks ei suuda see tuvastatud viirusi nime ega tüübi järgi tuvastada. Kui viirusetõrjeprogramm on püsiv, jälgib see viiruseid pidevalt. See on traditsiooniline failiserverite turvameede, kuna iga fail peab selle kasutamisel läbima valideerimise. Pidev jälgimine ei pruugi klientmasina jaoks sobida, kuna selle tulemusena töödeldakse liiga palju teavet, mis aeglustab arvuti tööd. Kliendimasinas on eelistatav konfigureerida viirusetõrjeprogramm kindlal ajal töötama. Näiteks võib see käivituda, kui arvuti käivitub või disketilt loetakse uut faili. Mõned paketid (sealhulgas allpool kirjeldatud Norton AntiVirus ja MacAfee VirusScan) kasutavad kõvaketta kindlatel kellaaegadel viiruste kontrollimiseks ajastatud kontrollina tuntud tehnikat. Teine meetod on kasutada viirusetõrjeprogrammi ajal, mil arvuti on jõude. Näiteks saab seda kasutada ekraanisäästja programmi osana.
1. Programmid – detektorid tuvastavad mõne teadaoleva viirusega nakatunud failid, puhtal kujul on sellised programmid praegu haruldased.
2. Faagid ehk programmid - arstid, samuti programmid - vaktsiinid mitte ainult ei leia viirustega nakatunud faile, vaid ka "ravivad" neid, s.t. eemaldage failist viirusprogrammi keha, taastades programmi olekusse, milles see oli enne viirusnakkust. Oma töö alguses otsivad faagid RAM-ist viiruseid, hävitades need ja alles siis jätkavad failide “töötlemist”. Polüfaagid - hävitavad suure hulga viirusi. Aidstest, Scan, Norton AntiVirus, Doctor Web.
3. Programmid-audiitorid on ühed kõige usaldusväärsemad vahendid viiruste eest kaitsmiseks. Audiitorid mäletavad algseisund programmid, kui arvuti pole veel viirusega nakatunud, ja seejärel perioodiliselt võrrelda faili praegust olekut originaaliga. Kui muudatusi tuvastatakse, kuvatakse ekraanil teated. ADinf.
4. Programmid – filtrid ehk “watchmen” – väikesed residentprogrammid, mis on pidevalt arvuti mälus. Nad jälgivad arvuti toiminguid ja tuvastavad kahtlase arvutitegevuse, mis on iseloomulik viirustele. Kui mõni programm proovib määratud toiminguid sooritada, saadab “valvur” teate ning kasutaja saab vastava toimingu sooritamise keelata või lubada. Filtriprogrammid võimaldavad tuvastada viiruse selle olemasolu varajases staadiumis, kuid need ei "ravi" faile ja kettaid.
