Кожен із нас хоча б раз у житті стикався з комп'ютерним вірусом. І добре, якщо шкідник виявився слабким. З простим вірусом легко впорається антивірусник. А ось більш серйозне програмне забезпечення, яке зазвичай використовують хакери, може завдати непоправної шкоди всій системі та особистим даним.
Що таке комп'ютерний вірус, знає багато хто. Але не всі до кінця розуміють його роль та можливості. Цей тип шкідливого програмного забезпеченнялегко може копіювати себе, проникати в код інших додатків, порушувати працездатність системних структур пам'яті та завантажувальних секторів, розповсюджуватися різними каналами зв'язку.
Багато недосвідчених користувачів вважають, що завдання вірусу - пошкодження або видалення особистих даних. Насправді ж це не так. Звичайно, види комп'ютерних вірусів бувають різні, але найчастіше їхня основна мета - поширення шкідливого ПЗ. А ось супутні дії - це видалення інформації, пошкодження елементів даних, блокування функціонування та багато іншого.
Важливо розуміти, що комп'ютерний вірус який завжди керований. Тому, якщо хакер і не хотів створювати шкідливі елементи, програмне забезпечення все одно може нашкодити системі через помилки, які були допущені під час розробки, а ОС та інші програми просто можуть не реєструвати подібні помилки.
Недосвідчені користувачі часто називають вірусами будь-яке шкідливе програмне забезпечення. Це не зовсім правильно, оскільки конкретно віруси – лише вид такого програмного забезпечення.
Коли фахівці розробляли вірус, що самовідтворюється, — не знав ніхто. Але саме такі розробки стали основою для його формування.
Перед тим як створити механізми, що самовідтворюються, потрібно було закласти алгоритми теорії. Цим займався Джон фон Нейман. Вже 1951 року він відкрив способи створення такої програми.
Його ідею підтримали багато фахівців і розпочали активну публікацію, яка була присвячена розробці системи, що самовідтворюється.
В одній із статей було представлено першу механічну конструкцію подібного типу. Так люди змогли дізнатися про двовимірну модель структур, які могли б самостійно активуватися, захоплювати та звільнятися.
Подібна програма, що самовідтворюється, була недосконала за рахунок того, що віртуальна «істота» гинула через відсутність подачі струму на платформу.
Ще однією спробою розробити перші комп'ютерні віруси став винахід незвичайної головоломки під назвою "Дарвін". На початку 60-х років вчені однієї американської фірми створили низку утиліт, які назвали «організмами». Софт потрібно було завантажити до архівів комп'ютера. «Організми», які були сформовані одним гравцем, мали поглинути ворожі «організми» та забрати їхню територію. Вигравав той, хто відбирав усю пам'ять або накопичував більшу кількість балів.
Багато хто вважає: людство дізналося, що таке комп'ютерний вірус вже до 70-х років ХХ століття. Але все ж таки не можна назвати програми, що самовідтворюються, або ігри типу «Дарвін» вірусами. Справжні «шкідники» стали відомі набагато пізніше і були набагато впливовішими та небезпечнішими.
Найбільше створили на початку 80-х років. Після цього почався активний розвиток шкідливого ПЗ. У результаті, разом з Elk Cloner з'являється вірус Джо Деллінджера, проект «Брудна дюжина», а потім і низка антивірусних утиліт.
Був першим, хто показав світові завантажувальний вірус. Elk Cloner було розроблено спеціально для Apple II. Знайти «шкідника» можна було одночасно при завантаженні системи: виникало повідомлення з маленьким віршем, у якому вірус загрожував користувачеві втратою приватних файлів, порушенням системної роботи та неможливістю видалення.
Починає свою діяльність і Джон Деллінджер. Він також розробив вірус Apple II. Фахівець так хотів бути першим, що втратив одну із шкідливих програм. Вона стала "розповзатися" по всьому університету. Один із секторів аналізу пам'яті легко виявляв її. Хоча звичайний користувачзнайти цей розділ у системі не зміг би.
Вірус Джона Деллінджера пригнічував графіку однієї відомої головоломки. Через війну, через півмісяця всі «піратські» версії були «зламані». Щоб виправити помилку, розробник створив ще один вірус, який виправляв попередню версію.
Вже до 1984 року багато фахівців стали розуміти, що таке комп'ютерний вірус. Було випущено першу дослідницьку статтю, яка порушувала питання та проблеми системного зараження. Незважаючи на те, що сам термін був запропонований куратором автора статті, саме дослідника Коена називають автором даного терміна.
Коли багато хто став розуміти, що таке комп'ютерний вірус, з'ясувалося, що є потреба створити захист системи від нього. Першою антивірусною програмою виявилася розробка Енді Хопкінса. Подібна утиліта вже з 1984 року аналізувала текст завантажувального файлу, вказувала на всі сумнівні елементи кодів та повідомлень.
Свого часу вона виявилася найпростішою та найефективнішою. Програма могла перенаправляти процеси запису та форматування, що відбувалися через BIOS. При цьому вона дозволяла користувачеві втручатися в операції.
До кінця вісімдесятих років було випущено дешевий ПК IBM. Його поява стала поштовхом розробки більш масштабних вірусів. Тому за короткий період сталися три великі системні катастрофи.
Звичайно, епідемії комп'ютерних вірусів до цього не траплялися. Тому боротьба з ними виявилася непростою. Перша атака відбулася завдяки вірусу Brain, який розробили два брати ще у 1986 році. А вже наступного року його було запущено на всі комп'ютери.
Наразі складно сказати, наскільки масштабною була епідемія. Відомо лише, що вірус торкнувся понад 18 тисяч систем. Як виявилося згодом, брати не хотіли нікому нашкодити. Вірус мав покарати «піратів», які крали програмне забезпечення. Але щось пішло не так, і Brain торкнувся не лише самого Пакистану, а користувачів по всьому світу. Багато фахівців познайомилися з першим стелс-вірусом, який змінював заражений сектор на цілісний оригінал.
З вірусом Brain пов'язують і шкідника, який відомий як Jerusalem. Наприкінці 80-х років від нього постраждали кілька компаній та вишів. Вірус моментально видаляв дані за їх активації. Пізніше стало відомо, що це один з наймасштабніших шкідників, який торкнувся користувачів з Європи, Америки та Близького Сходу.
У цьому зараження комп'ютерними вірусами не зупинилося. Незабаром світ дізнався про черву Морріса. Це був перший мережевий "шкідник", який був націлений на атаку Unix. Планувалося, що утиліта потрапить до обчислювальної системи та збережеться там, без можливості виявлення. Автор вірусу хотів зробити його прихованим та нешкідливим, але все пішло не за планом. Причиною саморозмноження вірусу стали помилки, допущені під час розробки.
Епідемія сильно вплинула на функціональність систем. Пізніше виявилося, що збитки склали 96 млн доларів. Хоча, якби автор хотів цілеспрямовано нашкодити операційній системі, то сума була б значно більшою.
Така невдала розробка привела Морріса до суду, де йому призначили три роки умовно, відправили на громадські роботи та змусили заплатити «круглу» суму.
Поки фахівці не стали розумітися на типах комп'ютерних вірусів, системні епідемії траплялися все частіше. Так в 1989 став відомий DATACRIME. Це був не просто вірус, а ціла серія. За кілька місяців їй вдалося вразити понад 100 тисяч систем.
Ця проблема не могла пройти повз програмістів, і незабаром було випущено утиліти, які сканували характерні для цього вірусу рядки.
Коли з цією серією вірусних програм було покінчено, з'явився перший «троянський кінь» під назвою AIDS. Так користувачі дізналися про програми-вимагачі, які закривали доступ до даних на жорсткому диску та показували єдину інформацію на моніторі. AIDS вимагав 189 доларів на певну адресу. Звичайно, багато користувачів заплатили здирнику. Але він незабаром був заарештований, попавшись на переведення в готівку чеків.
Виявилося, що знати, що таке комп'ютерний вірус недостатньо. Потрібно було якось розрізняти «шкідників», щоб розробляти захисні утиліти. Крім того, на класифікацію комп'ютерних вірусів вплинув і розвиток ПК.
Шкідливі програми зараз можна класифікувати за методами «розмноження» та функціональністю. До розвитку інтернету віруси могли зберігатися на дискетах та інших носіях. Зараз вони переважно передаються через локальні і глобальні мережі. Водночас зросла і їхня функціональність.
На жаль, розробити чітку класифікацію досі не вдалося. Проте віруси можна розділити на ті, які:
Сюди відносять такі види комп'ютерних вірусів: файлові, завантажувальні, сценарні, що порушують код, макровирусы.
Наприклад, файловий шкідник торкається файлову системукомп'ютера для свого "розмноження". Він впроваджується практично у будь-який виконуваний документ операційної системи. Зазвичай, своєю "жертвою" він може вибрати двійкові файли з розширенням ".exe" або ".com", може зачіпати динамічну бібліотеку, "дрова" або командні файли.
Макровірус зазвичай "поселяється" у прикладних пакетах типу Microsoft Office. За допомогою макромов такі "шкідники" можуть переміщатися від одного файлу до іншого.
Є віруси, які можуть уражати будь-яку операційну систему. Але не всі спрямовані на те, щоб співпрацювати з кожною платформою. Тому хакери розробляють віруси окремих ОС. Сюди входить DOS, Windows, Linux, Unix та багато інших.
Особливість комп'ютерних вірусів у цьому, що можуть використовувати спеціальні технології. Наприклад, застосовують техніку, яка знижує рівень їх виявлення. В результаті, найпростіші антивірусні програми не можуть виявити шкідника.
Стелс-віруси перекладаються як "невидимки". Таке програмне забезпечення повністю або частково приховує свою присутність. Щоб це, вірус перехоплює звернення до ОС.
До цієї групи відносять руткіти. Вони можуть бути представлені файлами, скриптами, конфігураційними документами. Їхнє завдання забезпечити маскування об'єктів, керувати подіями, що відбуваються в системі, збирати дані.
З моменту появи вірусів та антивірусників пройшло дуже багато часу. У різні роки з'являлися особливі шкідники, які запам'ятовувалися усьому світу завдяки катастрофічному впливу.
Наприклад, CIH – вірус, який був присвячений трагедії на Чорнобильській АЕС. У момент активації "шкідник" паралізував роботу всіх систем. Nimida виявився найшвидшим вірусом, якому знадобилося чверть години для зараження мільйона ПК.
Slammer прозвали найагресивнішим за те, що вірус видалив інформацію з 75 тисяч систем лише за 10 хвилин. Conficker прийнято вважати одним із найнебезпечніших «шкідників». Червень атакував системи на ОС Windows і за 3 місяці нашкодив 12 мільйонів комп'ютерів.
У 2000 році був зареєстрований вірус ILOVEYOU. Пізніше він потрапив до Книги рекордів Гіннесса, отримавши звання «найруйнівнішого комп'ютерного вірусу у світі». Цей черв'як уразив 15 мільйонів комп'ютерів, а збитки світової економіки за різними підрахунками склали 10-15 мільярдів доларів.
Наразі досі відбуваються, але з ними часом справляються потужні антивірусні програми. Існує міжнародна незалежна організація, яка аналізує працездатність захисних утиліт. AV-TEST представила список найкращих антивірусників 2017 року:
На даний момент це найефективніші утиліти. І хоча вони всі платні, кожна має пробний період, а також відносно невисоку річну вартість.
Комп'ютерні віруси
Комп'ютерний вірус- це невелика програма, написана програмістом високої кваліфікації, здатна до саморозмноження та виконання різних деструктивних дій. На сьогоднішній день відомо понад 50 тис. комп'ютерних вірусів.
Існує багато різних версій щодо дати народження першого комп'ютерного вірусу. Проте більшість фахівців сходяться на думці, що комп'ютерні віруси, як такі, вперше з'явилися в 1986 році, хоча історично виникнення вірусів тісно пов'язане з ідеєю створення програм, що самовідтворюються. Одним із "піонерів" серед комп'ютерних вірусів вважається вірус "Brain", створений пакистанським програмістом на прізвище Алві. Тільки США цей вірус вразив понад 18 тис. комп'ютерів.
Віруси діють лише програмним шляхом. Вони зазвичай приєднуються до файлу або проникають у тіло файлу. У цьому випадку говорять, що файл заражений вірусом. Вірус потрапляє до комп'ютера лише разом із зараженим файлом. Для активізації вірусу потрібно завантажити заражений файл, і лише після цього вірус починає діяти самостійно.
Деякі віруси під час запуску зараженого файлу стають резидентними (постійно перебувають у оперативної пам'ятікомп'ютера) і можуть заражати інші завантажувані файли та програми.
Інший різновид вірусів відразу після активізації може бути причиною серйозних пошкоджень, наприклад форматувати жорсткий диск. Дія вірусів може виявлятися по-різному: від різних візуальних ефектів, що заважають працювати, до втрати інформації.
Основні джерела вірусів:
дискета, де знаходяться заражені вірусом файли;
комп'ютерна мережа, зокрема система електронної пошти та Internet;
жорсткий диск, на який потрапив вірус у результаті роботи із зараженими програмами;
вірус, що залишився в оперативній пам'яті після попереднього користувача.
Основні ранні ознаки зараження комп'ютера вірусом:
зменшення обсягу вільної оперативної пам'яті;
уповільнення завантаження та роботи комп'ютера;
незрозумілі (без причин) зміни у файлах, а також зміни розмірів та дати останньої модифікації файлів;
помилки під час завантаження операційної системи;
неможливість зберігати файли у потрібних каталогах;
незрозумілі системні повідомлення, музичні та візуальні ефекти тощо.
Ознаки активної фази вірусу:
зникнення файлів;
форматування жорсткого диска;
неможливість завантаження файлів чи операційної системи.
Існує дуже багато різних вірусів. Умовно їх можна класифікувати так:
1) завантажувальні вірусиабо BOOT-віруси заражають boot-сектори дисків. Дуже небезпечні можуть призвести до повної втрати всієї інформації, що зберігається на диску;
2) файлові вірусизаражають файли. Поділяються на:
віруси, що заражають програми (файли з розширенням .EXE та .COM);
макровіруси віруси, що заражають файли даних, наприклад документи Word або робочі книги Excel;
віруси-супутники використовують імена інших файлів;
віруси сімейства DIR спотворюють системну інформацію про файлові структури;
3) завантажувально-файлові вірусиздатні вражати як код boot-секторів, і код файлів;
4) віруси-невидимкиабо STEALTH-віруси фальсифікують інформацію прочитану з диска так, що програма, яка призначена ця інформація отримує невірні дані. Ця технологія, яку іноді так і називають Stealth-технологією, може використовуватися як у BOOT-вірусах, так і у файлових вірусах;
5) ретровірусизаражають антивірусні програми, намагаючись знищити їх чи зробити непрацездатними;
6) віруси-хробакизабезпечують невеликі повідомлення електронної пошти, так званим заголовком, який по суті є Web-адреса місцезнаходження самого вірусу. При спробі прочитати таке повідомлення вірус починає зчитувати через глобальну мережу Internet своє тіло і після завантаження починає деструктивну дію. Дуже небезпечні, тому що виявити їх дуже важко, тому що заражений файл фактично не містить коду вірусу.
Якщо не вживати заходів для захисту від комп'ютерних вірусів, наслідки зараження можуть бути дуже серйозними. У низці країн кримінальне законодавство передбачає відповідальність за комп'ютерні злочини, зокрема за впровадження вірусів. Для захисту інформації від вірусів використовуються загальні та програмні засоби.
До загальних засобів, що допомагають запобігти зараженню вірусом та його руйнівним наслідкам відносять:
резервне копіювання інформації (створення копій файлів та системних областей жорстких дисків);
відмова від використання випадкових та невідомих програм. Найчастіше віруси поширюються разом із комп'ютерними програмами;
обмеження доступу до інформації, зокрема фізичний захист дискети під час копіювання файлів із неї.
До програмних засобів захисту відносять різні антивірусні програми (антивіруси).
Антивірус- це програма, що виявляє та знешкоджує комп'ютерні віруси. Слід зазначити, що віруси у своєму розвитку випереджають антивірусні програми, тому навіть у разі регулярного користування антивірусами немає 100% гарантії безпеки. Антивірусні програми можуть виявляти і знищувати лише відомі віруси, при появі нового комп'ютерного вірусу захисту від нього не існує доти, доки не буде розроблено свій антивірус. Проте, багато сучасних антивірусних пакетів мають у своєму складі спеціальний програмний модуль евристичним аналізатором, який здатний досліджувати вміст файлів на наявність коду, притаманного комп'ютерних вірусів. Це дає можливість своєчасно виявляти та попереджати про небезпеку зараження новим вірусом.
Розрізняють такі типи антивірусних програм:
1)програми-детектори: призначені для знаходження заражених файлів одним із відомих вірусів. Деякі програми-детектори також можуть лікувати файли від вірусів або знищувати заражені файли. Існують спеціалізовані, тобто призначені для боротьби з одним вірусом детектори та поліфаги, які можуть боротися з багатьма вірусами;
2) програми-лікарі: призначені для лікування заражених дисків та програм. Лікування програми полягає у вилученні із зараженої програми тіла вірусу. Також може бути як поліфагами, і спеціалізованими;
3) програми-ревізори: призначено для виявлення зараження вірусом файлів, а також знаходження пошкоджених файлів. Ці програми запам'ятовують дані про стан програми та системних областей дисків у нормальному стані (до зараження) і порівнюють ці дані у процесі роботи комп'ютера. У разі невідповідності даних виводиться повідомлення про можливість зараження;
4) лікарі-ревізори: призначені для виявлення змін у файлах та системних областях дисків та, у разі змін, повертають їх у початковий стан.
5) програми-фільтри: призначені для перехоплення звернень до операційної системи, які використовуються вірусами для розмноження та повідомляють про це користувача. Користувач може дозволити чи заборонити виконання відповідної операції. Такі програми є резидентними, тобто перебувають у оперативної пам'яті комп'ютера.
6) програми-вакцини: використовуються для обробки файлів та boot-секторів з метою запобігання зараженню відомими вірусами (останнім часом цей метод використовується все частіше).
Слід зазначити, що вибір одного «найкращого» антивірусу є вкрай помилковим рішенням. Рекомендується використовувати кілька різних антивірусних пакетів одночасно. Вибираючи антивірусну програму, слід звернути увагу на такий параметр, як кількість сигнатур, що розпізнають (послідовність символів, які гарантовано розпізнають вірус). Другий параметр – наявність евристичного аналізатора невідомих вірусів, його присутність дуже корисна, але суттєво уповільнює час роботи програми.
Контрольні питання
Що таке комп'ютерний вірус?
Як вірус заражає комп'ютер?
Як діють комп'ютерні віруси?
Які ви знаєте джерела зараження комп'ютерним вірусом?
За якими ознаками можна знайти факт зараження комп'ютерним вірусом?
Які ви знаєте типи вірусів? Які деструктивні дії здійснюють?
Які дії вживають для запобігання зараженню комп'ютерним вірусом?
Що таке антивірус? Які типи антивірусів ви знаєте?
Що таке евристичний аналізатор? Які функції він виконує?
Комп'ютерні віруси– спеціальні програми, що створюються зловмисниками для отримання будь-якої вигоди. Принцип їхньої дії може бути різним: вони або крадуть інформацію, або спонукають користувача виконати якісь дії на благо зловмисників, наприклад, поповнити рахунок або надіслати гроші.
На сьогоднішній день існує багато різних вірусів. Про основні з них йтиметься у цій статті.
Наразі налічується кілька десятків тисяч. комп'ютерні віруси.
Залежно від довкілля віруси поділяються на завантажувальні, файлові, системні, мережеві, файлово-завантажувальні.
Завантажувальні вірусивпроваджуються в завантажувальний сектор диска або сектор, що містить програму завантаження системного диска.
Файлові вірусивпроваджуються переважно у виконувані файли з розширенням.COM і.EXE.
Системні вірусипроникають у системні модулі та драйвери периферійних пристроїв, таблиці розміщення файлів та таблиці розділів.
З мережевівіруси живуть у комп'ютерних мережах; ф айлово-завантажувальні (багатофункціональні)вражають завантажувальні сектори дисків та файли прикладних програм.
За способом зараження довкілля віруси поділяються на резидентні та на нерезидентні.
Резидентні вірусипри зараженні комп'ютера залишають в оперативній пам'яті свою резидентну частину, яка потім перехоплює звернення операційної системи до інших об'єктів зараження, впроваджується в них і виконує свої руйнівні дії до вимкнення або перезавантаження комп'ютера. Нерезидентні віруси Чи не заражають оперативну пам'ять ПК є активними обмежений час.
Алгоритмічна особливість побудови вірусів впливає їх прояв і функціонування. Так, реплікаторні програми завдяки своєму швидкому відтворенню призводять до переповнення основної пам'яті, при цьому знищення програм-реплікаторів ускладнюється, якщо програми, що відтворюються, не є точними копіями оригіналу. У комп'ютерних мережах поширені програми-"черв'якиВони обчислюють адреси мережевих комп'ютерів і розсилають за цими адресами свої копії, підтримуючи між собою зв'язок.
"Троянський кінь- це програма, яка, маскуючись під корисну програму, виконує додаткові функції, про що користувач і не здогадується (наприклад, збирає інформацію про імена та паролі, записуючи їх у спеціальний файл, доступний лише творцю даного вірусу), або руйнує файлову систему.
Логічна бомба- Це програма, яка вбудовується у великий програмний комплекс. Вона нешкідлива до настання певної події, після якої реалізується її логічний механізм. Наприклад, така вірусна програма починає працювати після деякої кількості прикладної програми, комплексу; за наявності чи відсутності певного файлу чи запису файлу тощо.
Програми-мутанти,самовідтворюючись, відтворюють копії, які явно відрізняються від оригіналу.
Віруси-невидимки, або стелс-віруси перехоплюють звернення операційної системи до уражених файлів та секторів дисків і підставляють замість себе незаражені об'єкти. Такі віруси при зверненні до файлів використовують досить оригінальні алгоритми, що дозволяють обманювати резидентні антивірусні монітори.
Макро-вірусивикористовують можливості макромов, вбудованих в офісні програми обробки даних (текстові редактори, електронні таблиці тощо).
За ступенем впливу на ресурси комп'ютерних систем і мереж або деструктивним можливостям виділяються нешкідливі, безпечні, небезпечні та руйнівні віруси.
Нешкідливі вірусине надають руйнівного впливу роботу ПК, але можуть переповнювати оперативну пам'ять у результаті свого розмноження.
Небезпечні вірусине руйнують файли, але зменшують вільну дискову пам'ять, виводять на екран графічні ефекти, створюють звукові ефекти тощо. Небезпечні віруси нерідко призводять до різних серйозних порушень у роботі комп'ютера; руйнівні – до стирання інформації, повного чи часткового порушення роботи прикладних програм. Необхідно мати на увазі, що будь-який файл, здатний до завантаження та виконання коду програми, є потенційним місцем, куди може впровадитись вірус.
Кожна людина, що має справу з комп'ютерами, безсумнівно, багато разів зустрічалася з поняттям "вірус", "троян", "троянський кінь" тощо, раніше ще в докомп'ютерну еру, що вживалися виключно в медико-біологічних та історичних дослідженнях. Цими словами позначають деякий різновид програм, якими часто лякають недосвідчених користувачів, розписуючи їхню непереборну силу, здатну зруйнувати в комп'ютері все, аж до механічної конструкції жорсткого диска.
Комп'ютерний вірусє зловмисною комп'ютерною програмою, в якій міститься частина коду, що виконується після запуску вірусу в комп'ютерній системі. Під час роботи вірус заражає інші програми копіями себе.
Ефект дії вірусуможе змінюватись від легкого роздратування користувача до повного знищення всіх даних у системі. Однак деякі віруси можуть реплікувати себе і поширюватися в інші системи. Це ускладнює локалізацію вірусів та захист від них. Щоб написати простий вірус, достатньо запровадити кілька рядків програмного коду.
Віруси можна передавати п про лінії зв'язку або поширювати на інфікованих носіях. Це ускладнює локалізацію автора вірусу. Деякі віруси можуть ховатися в інших програмах або проникати в операційну систему комп'ютера.
Вірусним атакам уразливі всі комп'ютерні операційні системиОднак деякі з них більш уразливі, ніж інші. Віруси нерідко ховаються в нової комп'ютерної гри, яку можна завантажити в Інтернеті. Крім того, віруси можна виявити в макросах, що використовуються в офісних інформаційних системах, або в компонентах сторінок Web, що завантажуються з Інтернету. Шляхи влучення вірусів у комп'ютери різні, але загальне в них одне - віруси входять до комп'ютерних систем тільки із зовнішніх джерел.
Як тільки вірус входить у систему, він може розпочати свою руйнівну діяльність відразу, або ж вірус може очікувати активації якоюсь подією, наприклад, отриманням певних даних або настанням заданої дати чи часу. Відомі кілька різних форм вірусів, які можуть вторгнутися у комп'ютерну систему
Троянський кіньє комп'ютерною програмою, яка маскується або ховається в частині програми. На відміну від інших вірусів, троянці не реплікують себе в системі. Деякі форми троянських коней може бути запрограмовані на саморуйнування і залишають жодних слідів, крім заподіяних ними руйнувань. Деякі хакери використовують троянських коней для отримання паролів та відсилання їх назад хакеру. Крім того, вони можуть використовуватися для банківських шахрайств, коли невеликі суми грошей знімаються із законних рахунків та передаються на секретний рахунок.
Черв'якиє програмами, які руйнують комп'ютерну систему. Вони можуть проникати в програми обробки даних та замінювати або руйнувати дані. Хробаки подібні до троянських коней у тому відношенні, що не можуть реплікувати самих себе. Однак, як віруси, вони можуть спричиняти великі руйнування, якщо їх не виявити вчасно. Набагато простіше ліквідувати хробака чи троянського коня, якщо існує лише єдина копія програми-руйнівника.
Логічні бомбиподібні до програм, що використовуються для троянських коней. Проте логічні бомби мають таймер, який підриває їх у задану дату та час. Наприклад, вірус Michelangeloмає тригер, встановлений на день народження знаменитого художника Мікеланджело – 6 березня. Логічні бомби часто використовуються незадоволеними службовцями, які можуть встановити їх активацію після того, як вони залишать компанію. Наприклад, логічна бомба може "вибухнути", коли ім'я цього службовця виключається з платіжної відомості. Завдяки вбудованому механізму затримки логічні бомби активно використовуються для шантажу. Наприклад, шантажист може надіслати повідомлення, яке говорить, що якщо йому буде виплачено певну суму грошей, він надасть інструкцію для відключення логічної бомби.
Історія зародженнявірусів досить туманна, так само як і цілі, які переслідують їхні розробники. У комп'ютерних книгах стверджується, що першим відомим вірусом була програма, що реалізує модель Всесвіту, в якій мешкали деякі істоти, які вміють рухатися, шукати і поїдати їжу, а також розмножуватися та вмирати з голоду. З погляду авторів книги, програми-віруси є результатом суто наукових досліджень у галузі створення деяких штучних організмів, здатних до самостійного існування, на зразок живих істот. Це підкреслює і назва програм, розроблених виходячи з таких досліджень - віруси, тобто. щось живе, здатне до розмноження, мутації та самовиживання. Треба розуміти, що творців комп'ютерних вірусів нам пропонується віднести до розряду невинних диваків, зайнятих винятково відірваними від реального життя науковими проблемами.
Ми не заглиблюватимемося в полеміку з цього приводу, зазначивши тільки, що перша програма, яка справді могла претендувати на звання вірусу, з'явилася в 1987 року, і це був Пакистанський вірус, розроблений братами Амджатом та Базі том Алві (Amdjat та Bazit Alvi). Їхньою метою було покарати (!) громадян США за купівлю в Пакистані дешевих копій програм. Далі кількість вірусів стала зростати з лавиноподібною швидкістю, а збитки від появи в комп'ютерах стали обчислюватися мільйонами і сотнями мільйонів доларів. Зараження комп'ютерів вірусами різної природи набуло характеру епідемії і зажадало вжиття заходів захисту, в тому числі й юридичних. Розглянемо, як ці шкідливі створіння, віруси, потрапляють у комп'ютерні системи.
Шляхи проникнення вірусів можуть бути найрізноманітнішими. Віруси потрапляють у вашу комп'ютерну систему з безлічі різноманітних джерел, програм, програм і файлів, що передаються вам колегами, програмного забезпечення, що купується в архівованій формі. Давайте розглянемо структуру, що використовується для зберігання даних на гнучких дискахДля виявлення місць, функціонально придатних для прихованого існування вірусів. Гнучкі диски можуть зберігати файли даних, програм та програмне забезпечення операційних систем. Вони служать загальноприйнятим посередником передачі файлів даних. Гнучкий диск складається із завантажувального сектора та даних. У разі потреби в завантажувальному секторі може зберігатися інформація, потрібна для завантаження комп'ютера. Крім того, тут зберігається інформація про розділи, інформація з управління завантаженням та інформація про розміщення файлів. Дані є всю змістовну інформацію, яка зберігається на гнучкому диску. Улюбленим місцем проживання вірусів є завантажувальні сектори та виконувані файли, що зберігаються на гнучкому диску. Поміщені в завантажувальному секторі віруси можуть запускатися під час завантаження системи з дискети. Віруси, поміщені у виконувані файли, запускаються разом із зараженою програмою, після чого розпочинають свою діяльність у комп'ютерній системі.
Ті самі можливості перенесення вірусів забезпечують компакт-диски, що нині стали основним засобом перенесення файлів та інформації між комп'ютерами. У компакт-дисках міститься двійкова цифрова інформація, яка записується на диск шляхом створення мікроскопічних ямок на поверхні диска. Інформація зчитується при проході диском променя світла, що генерується лазером. Компакт-диски подібні до гнучких дисків у тому відношенні, що для зберігання даних в них також використовується структура, що складається з завантажувального сектора і даних.
Інтернет надав користувачам нові можливості встановлення зв'язку, які збільшують потенційну небезпеку проріх у системі захисту від вірусів. Технології Web, наприклад, для створення аплетів Java і ActiveX, полегшують користувачам взаємодію по Інтернету, але, з іншого боку, є зручним засобом для поширення зловмисного програмного забезпечення. Користувачі робочої станції, встановленій на комп'ютері, для виконання своїх завдань використовують програмне забезпечення та файли даних. Вся ця інформація, включаючи операційну систему, зберігається на жорсткому диску комп'ютера. Іншим місцем постійного зберігання інформації, необхідної для роботи, є енергонезалежна пам'ять CMOS, що зберігає базову систему введення/виводу (BIOS) комп'ютера; процедури BIOS використовуються при завантаженні системи, так що їх зараження є серйозною небезпекою, незважаючи на невеликі розміри CMOS. Таким чином, в комп'ютері є два основні місця, здатні постійно зберігати та оновлювати інформацію – жорсткий диск та пам'ять CMOS. Ці компоненти комп'ютерної системи є тим місцем, куди найчастіше потрапляють віруси при інфікуванні комп'ютера. Улюбленим місцем проживання вірусів є жорсткий диск. Жорсткий дискскладається з таких елементів. Таблиця розділів, яка використовується для відстеження розділів та структури диска. Завантажувальний сектор, що вказує на завантажувач системи, де слід шукати перший файл, необхідний для запуску операційної системи. . Перша таблиця FAT зберігає запис, що вказує, як пов'язані всі інші записи області диска, призначеної зберігання даних. . Друга таблиця FAT, що є резервну копію першої таблиці FAT, у разі пошкодження першої таблиці. . Діагностичний циліндр, який використовується для відстеження помилок чи локалізації проблем у частині обладнання чи програми. Він доступний лише жорсткому диску для вирішення внутрішніх завдань. Найчастіше віруси ховаються в завантажувальних секторах, що дозволяє впливати на завантаження системи (див. наступний розділ). Інше улюблене місце - файли, що виконуються. У виконувані файли входять такі елементи. Заголовок, що інформує операційну систему про тип файлу і вказує, чи призначений він для роботи з поточною операційною системою. Крім того, заголовок надає іншу інформацію, яка може знадобитися операційній системі, наприклад обсяг пам'яті, необхідний для відкриття файлу, Заголовок займає певну область, яка може розділяти різні частини файлу. Нижній колонтитул, який інформує операційну систему комп'ютера про досягнення кінця файлу. Крім того, він інформує комп'ютер, що він повинен робити після досягнення кінця файлу. Файл може бути доповнений незначною інформацією, щоб дані, записані на диск, заповнювали певний простір. Доповнення файлу, що виконується, не містить жодної інформації. Наприклад, файл, що містить 500 байт коду, може бути записаний в блоці розміром 512 байт з доповненням 12 байтів одиницями. При зараженні виконуваного файлу вірус замінює виконуваний код програми власним кодом. При запуску програми запускається код вірусу, виконуючи різні дії замість тих, які має виконувати програма. Місце проживання вірусу пов'язане з його функціонуванням безпосередньо (як і у справжніх живих вірусів). Вірусні атаки можна навіть класифікувати за місцем розташування в комп'ютері.
Відомі три основні типи вірусних атак.
Віруси завантажувального сектораінфікують завантажувальний сектор або головний завантажувальний запис комп'ютерної системи. Коли комп'ютер завантажується, програма вірусу активується. Віруси завантажувального сектора насамперед переміщують в інше місце або перезаписують вихідний завантажувальний код і заміщають його інфікованим завантажувальним кодом. Інформація вихідного сектора завантаження переноситься на інший сектор диска, який позначається як дефектна область диска і далі не використовується. Оскільки завантажувальний сектор - перший елемент, що завантажується під час запуску комп'ютера, виявлення вірусів завантажувального сектора може бути нелегким завданням. Віруси завантажувального сектора – один із найпопулярніших типів вірусів. Вони можуть поширюватися за допомогою інфікованих гнучких дисків під час завантаження комп'ютера. Це може легко статися, якщо при перезавантаженні комп'ютера гнучкий диск вставлений в дисковод.
Віруси, що інфікують файли, вражають виконувані файли. Вони можуть активуватися лише під час виконання файлу. Найчастіше уражаються файли типів СОМ, ЕХЕ, DLL, DRV, BIN, SYS та VXD. Віруси, що інфікують файли, можуть ставати резидентними і приєднуватися до інших програм, що виконуються. Віруси, що інфікують файли, зазвичай замінюють інструкції завантаження програми виконуваного файлу своїми власними інструкціями. Потім вони переносять початкову інструкцію завантаження програми до іншого розділу файлу. Цей процес збільшує розмір файлу, що допоможе виявити вірус.
Віруси, в основі яких лежать макроси. макровіруси), виконують непередбачені дії шляхом використання макромови додатка для свого розповсюдження в інші документи. Вони можуть, наприклад, інфікувати файли.DOT та.DOC програми Microsoft Word, а також файли Microsoft Excel.
Ці віруси відносяться до міжплатформнимвірусів можуть інфікувати як системи Macintosh, так і PC.
Інші віруси можуть мати риси одного або кількох описаних вище типів.
* Віруси-невидимки (жаргонна назва - "стелс-віруси") під час роботи намагаються сховатися як від операційної системи, так і антивірусних програм. Щоб перехопити всі спроби використання операційної системи, вірус має бути у пам'яті. Віруси невидимки можуть приховувати всі зміни, які вони вносять до розмірів файлів, структури каталогів або інших розділів операційної системи. Це значно ускладнює їхнє виявлення. Щоб блокувати віруси-невидимки, їх слід виявити, коли вони перебувають у пам'яті.
* Зашифровані віруси під час роботи шифрують свій вірусний код, що дозволяє їм запобігти виявленню та розпізнанню вірусу.
* Поліморфні віруси можуть змінювати свій зовнішній вигляд при кожному інфікуванні. Для зміни зовнішнього вигляду та утруднення виявлення вони використовують механізми мутацій. Поліморфні віруси здатні набувати понад два мільярди різних форм, оскільки при кожному інфікуванні змінюють алгоритм шифрування. Багатокомпонентні віруси інфікують як завантажувальні сектори, і виконувані файли. Це один із найскладніших для виявлення вірусів, оскільки багатокомпонентні віруси можуть поєднувати деякі або всі методи приховування своєї діяльності, притаманні вірусам-невидимкам та поліморфним вірусам.
* Самооновлювальні віруси, які з'явилися останнім часом, здатні потай оновлюватися через Інтернет під час сеансів зв'язку.
* Поява незвичайних системних повідомлень.
* Зникнення файлів або збільшення їх розмірів.
* Уповільнення роботи системи.
* Раптовий недолік дискового простору.
* Диск стає недоступним.
Антивірусні програми Важливий метод захисту від вірусів – розгортання антивірусних програм. Антивірусна програма має виконувати три основні завдання.
* Виявлення вірусу.
* Видалення вірусу.
* Превентивний захист.
* Сканування цифрової сигнатури використовується для визначення унікального цифрового коду вірусу. Цифрова сигнатура є попередньо встановленим шістнадцятковим кодом, наявність якого у файлі свідчить про зараження вірусом. Сканування цифрової сигнатури є найуспішнішим методом ідентифікації вірусів. Він, однак, повністю залежить від підтримки бази даних із цифровими сигнатурами вірусів і тонкощів механізму сканування. Можливе помилкове виявлення вірусу у непошкодженому файлі.
* Евристичний аналіз (або сканування за заданими правилами) виконується швидше, ніж сканування більшістю традиційних методів. Цей метод використовує набір правил ефективного аналізу файлів і швидко виявляє підозрілий вірусний код. Як зазначено, всі евристичні методи у тій чи іншій формі виконують емулювання виконання коду вірусу. Тому, за наявності певного досвіду, розробник вірусу може захистити свій "виріб" від виявлення евристичним аналізом. Евристичний аналіз схильний до помилкових тривог, і, на жаль, залежить від коректності набору правил виявлення вірусу, які постійно змінюються.
* Дослідження пам'яті - ще один метод, який зазвичай успішно застосовується для виявлення вірусів. Він залежить від розпізнавання розташування відомих вірусів та їх кодів, коли вони знаходяться у пам'яті. І хоча дослідження пам'яті зазвичай призводить до успіху, використання такого методу може вимагати значних ресурсів комп'ютера. З іншого боку, може втручатися у нормальний хід виконання операцій комп'ютера.
* Моніторинг переривань працює шляхом локалізації та запобігання вірусним атакам, що використовують виклики переривань. Виклики переривань є запитами різних функцій через системні переривання. Моніторинг переривань, подібно до дослідження пам'яті, також може відвернути значні системні ресурси. Він може стати причиною проблем при легальних системних викликах та уповільнити роботу системи. Через велику кількість вірусів і легальних системних викликів, моніторинг переривань може відчувати труднощі у локалізації вірусів.
* Контроль цілісності (відомий також як обчислення контрольних сум) переглядає характеристики файлів програм і визначає, чи модифіковані вони вірусним кодом. Цей метод не потребує оновлення програмного забезпечення, оскільки не залежить від цифрових підписів вірусів. Однак він вимагає від вас підтримки бази даних контрольних сум файлів, вільних від вірусів. Контроль цілісності не здатний виявляти пасивні та активні віруси-невидимки. Крім того, він не може ідентифікувати виявлені віруси за іменами чи типами. Якщо антивірусна програма є резидентною, вона контролює віруси безперервно. Це традиційна міра захисту файлових серверів, оскільки кожен файл при використанні повинен пройти перевірку. Безперервний контроль може бути невідповідним засобом для клієнтської машини, оскільки може призвести до обробки надто великого обсягу інформації, а це уповільнює роботу комп'ютера. На клієнтській машині краще конфігурувати антивірусну програму на запуск у певний час. Наприклад, вона може запускатися під час завантаження комп'ютера або зчитування нового файлу з гнучкого диска. У деяких пакетах (у тому числі Norton AntiVirus та MacAfee VirusScan, що описані нижче) використовують метод, відомий як сканування за розкладом, для пошуку вірусів на жорсткому диску в задані періоди часу. Ще один метод полягає у використанні антивірусної програми під час простою комп'ютера. Наприклад, його можна використовувати як частину програми заставки.
1. Програми - детектори виявляють файли, заражені одним із відомих вірусів, такі програми в чистому вигляді нині рідкісні.
2. Фаги чи програми - лікарі, і навіть програми - вакцини як знаходять заражені вірусами файли, а й «лікують» їх, тобто. видаляють із файлу тіло програми вірусу, відновлюючи програму в тому стані, в якому вона перебувала до зараження вірусом. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх і лише потім переходять до «лікування» файлів. Поліфаги – знищують велику кількість вірусів. Aidstest, Scan, Norton AntiVirus, Doctor Web.
3. Програми- ревізори відносяться до найнадійніших засобів захисту від вірусів. Ревізори запам'ятовують вихідний станпрограм, тоді коли комп'ютер ще не заражений вірусом, а потім періодично порівнюють поточний стан файлу з вихідним. Якщо виявлено зміни, на екрані дисплея відображаються повідомлення. ADinf.
4. Програми – фільтри або «сторожі» – невеликі резидентні програми, що постійно перебувають у пам'яті комп'ютера. Вони контролюють операції комп'ютера і виявляють підозрілі дії під час роботи комп'ютера, притаманних вірусів. При спробі будь-якої програми зробити зазначені дії «сторож» надсилає повідомлення, а користувач може заборонити або дозволити виконання відповідної операції. Програми фільтри дозволяють виявити вірус на ранній стадії його існування, але вони не лікують файли і диски.
