GeoSELECT.ru



Программирование / Реферат: Компьютерные вирусы (Программирование)

Космонавтика
Уфология
Авиация
Административное право
Арбитражный процесс
Архитектура
Астрология
Астрономия
Аудит
Банковское дело
Безопасность жизнедеятельности
Биология
Биржевое дело
Ботаника
Бухгалтерский учет
Валютные отношения
Ветеринария
Военная кафедра
География
Геодезия
Геология
Геополитика
Государство и право
Гражданское право и процесс
Делопроизводство
Деньги и кредит
Естествознание
Журналистика
Зоология
Инвестиции
Иностранные языки
Информатика
Искусство и культура
Исторические личности
История
Кибернетика
Коммуникации и связь
Компьютеры
Косметология
Криминалистика
Криминология
Криптология
Кулинария
Культурология
Литература
Литература : зарубежная
Литература : русская
Логика
Логистика
Маркетинг
Масс-медиа и реклама
Математика
Международное публичное право
Международное частное право
Международные отношения
Менеджмент
Металлургия
Мифология
Москвоведение
Музыка
Муниципальное право
Налоги
Начертательная геометрия
Оккультизм
Педагогика
Полиграфия
Политология
Право
Предпринимательство
Программирование
Психология
Радиоэлектроника
Религия
Риторика
Сельское хозяйство
Социология
Спорт
Статистика
Страхование
Строительство
Схемотехника
Таможенная система
Теория государства и права
Теория организации
Теплотехника
Технология
Товароведение
Транспорт
Трудовое право
Туризм
Уголовное право и процесс
Управление
Физика
Физкультура
Философия
Финансы
Фотография
Химия
Хозяйственное право
Цифровые устройства
Экологическое право
   

Реферат: Компьютерные вирусы (Программирование)



Коваленко Михаил Сергеевич "Компьютерные вирусы и борьба с ними" (реферат)
1
____________________________________________________________________________
__________________________________ 31.03.02

Приложение 1



[1] Time, семейство
Резидентные неопасные вирусы. Перехватывают INT 1Ch, 21h и
записываются в конец запускаемых .EXE-файлов. Приблизительно раз в час
пищат несколько раз спикером компьютера.
[2] Havoc (Stealth_Boot), семейство
Загрузочные стелс -вирусы. При загрузке с пораженного флоппи
записываются в MBR винчестера. Затем перехватывают INT 13h и поражают
флоппи-диски при чтении с них. Заражение дискет происходит по алгоритму
"Brain" .

В зависимости от системного таймера "Havoc.a,b,Innocent"
стирают сектора дисков. "Havoc.Amse" безобиден, никак не проявляется.
"Havoc.Alfredo" расшифровывает текст и выводит его на принтер:
LIMA - PERU
(c) Laboratorio Luz de Luna
ANGEL X TE SALUDA

[3] Brain, семейство
Состоит из двух практически совпадающих безобидных вирусов: "Brain-Ashar" и
"Brain-Singapore". Они заражают загрузочные сектора дискет при обращении к
ним (INT 13h, AH=02h). Продолжение вируса и первоначальный загрузочный
сектор размещаются в секторах, которые принадлежат свободным кластерам
диска. При поиске этих кластеров вирусам приходится анализировать таблицу
размещения файлов (FAT). В FAT эти кластеры помечаются как сбойные (так
называемые "псевдосбойные" кластеры). У зараженного диска устанавливается
новая метка "(C) Brain". Вирусы используют "стелс"-механизм: при попытке
просмотра загрузочного сектора зараженного диска они "подставляют" истинный
сектор.

[4] Vienna, семейство
Нерезидентные вирусы. При запуске ищут .COM-файлы и записывается в их
конец. Ищут файлы текущем каталоге и в зависимости от версии вируса в
корневом каталоге, либо в каталогах, отмеченных системной переменной PATH.
Заражение происходит при запуске инфицированной программы, при этом
заражается не более одного файла. Многие вирусы семейства при попытке
заражения проверяют у файла значение секунд (или месяца в зависимости от
версии вируса) последней модификации файла. Если оно равно 1Fh (62 секунды,
соответственно 0Dh - 13-й месяц), то файл не заражается. Некоторые
представители семейства в зависимости от таймера могут "убивать" файлы,
записывая в их начало 5 байтов либо команды перехода на перезагрузку JMP
F000:FFF0, либо JMP C800:0005, JMP C800:0000 или JMP C800:0006 в
зависимости от версии вируса.
[5] Cascade
Очень опасен. Иногда выводит сообщение:
IL SISTEMA К FOTTUTO!!
S.E.K. VIRUS Made in ITALY RM
5iD G.Ferraris 90/91 (c)
и стирает сектора дисков. Также уничтожает файл CHKLIST.CPS.

[6] Ping-Pong
Не опасен. Перехватывает INT 8, 13h. Имеет байт, содержащий номер версии
вируса. Если обнаруживает диск, зараженный своей предыдущей версией, то
"обновляет" ее. Вызывает видеоэффект скачущего шарика (знак 07h ASCII),
который перемещается по экрану, отражаясь от знаков и границ экрана.

[7] VirDem, семейство (см.приложение 2,рис.1)
Опасные нерезидентные вирусы, записываются в начало .COM-файлов текущего
диска.

"Virdem.833" двигает по экрану изображение жука.
"VirDem.1542" заполняет экран цветной абстрактной картинкой.
"VirDem.1336.a" снимает и не восстанавливает атрибуты файла.

[8] GoodTimes - миф о компьютерном вирусе
В начале декабря 1994 по сетям Internet и FIDO прошло сообщение о якобы
существующем вирусе, который заражает компьютер посредством электронной
почты - при получении и чтении писем. Сообщение выглядело следующим
образом:


Here is some important information. Beware of a file called GoodTimes.
Happy Chanukah everyone, and be careful out there. There is a virus on
America Online being sent by E-Mail. If you get anything called "Good
Times", DON'T read it or download it. It is a virus that will erase your
hard drive. Forward this to all your friend. It may help them a lot.

Это сообщение вызвало настоящую панику среди пользователей Internet. Было
зафиксировано даже несколько сообщений о действительно зараженных
компьютерах - однако все такие сообщения были "секонд-хенд", но никто в
действительности так никогда и не встретился с этим монстром (по той
причине, что такого вируса никогда и не было).


Весной 1995 история с "GoodTimes" продолжилась еще одним сообщением на ту
же тему - о вирусе, распространяющем себя по всем E-mail адресам, которые
присутствуют в ящиках Inbox и SentMail. Как и в первом случае, никакого
такого вируса обнаружено так и не было.


Тогда же в очередном номере журнала вирусописателей "VLAD" появились
исходные тексты вируса, названного его автором "Good Times" (разработчики
антивирусов назвали сей вирус "GT-Spoof"). Это был обычный DOS-вирус, не
имевший никакого отношения к сетям и Internet.
[9] Vacsina, Yankee, семейство
Семейство вирусов "VACSINA" (не "VACCINA"!) и "Yankee" насчитывает более 40
файловых резидентных неопасных вирусов. Характерной особенностью вирусов
данного семейства является то, что они восстанавливают файлы, зараженные
предыдущими версиями вирусов семейства, и затем инфицируют их снова.
Заражают COM- и EXE-файлы при их выполнении (вирусы версий до 26h) или
загрузке в память (вирусы версий 26h и выше). Стандартно заражают COM-
файлы. Кроме того, вирусы "Vacsina" увеличивают длину заражаемого файла до
параграфа. Начиная с версии 2Ah к файлу после заражения дописываются
дополнительные 4 байта.
Вирусы младших версий (до 23h) инфицируют EXE-файлы специальным образом:
файлы переводятся в формат COM-файлов. Для этого к файлу дописывается
небольшой фрагмент вируса (132 байта), настраивающий адреса по таблице
адресов при загрузке файла в память для выполнения, и изменяются первые три
байта файла (JMP на фрагмент). Дописанные к файлу 132 байта не
распространяют вируса. Их действие заключается только в настройке адресов
программы при ее запуске. Обработанный таким образом файл будет выполняться
операционной системой и заражаться многими вирусами как COM-файл. При
запуске EXE-программы, содержащейся в подобном файле, управление передается
на фрагмент настройки адресов, который анализирует таблицу адресов в
заголовке файла и соответствующим образом корректирует загруженную
программу. Затем управление передается на стартовый адрес, указанный в
заголовке файла. Вирусы перехватывают вектор прерывания 21h, а некоторые
представители семейства "Yankee" - INT 1, 3, 9, 1Ch.
Вирусы вызывают звуковые эффекты: при заражении файла вирусом "VACSINA"
раздается звуковой сигнал (BELL), вирусы "Yankee" в зависимости от
некоторых условий (при одновременном нажатии клавиш Alt-Ctrl-Del либо в
17.00) исполняют мелодию "Yankee Doodle Dandy". При некоторых условиях
вирус "Vacsina.06" расшифровывает и выдает на экран строку "Az sum vasta
lelja."
Yankee.2189
Семейство "Yankee". Зашифрован, периодически 'крутит' символы '/', '', '-
', '|'.
Yankee.Estonia.1716
Семейство "Yankee". Резидентный опасный вирус. По понедельникам в 14 часов
расшифровывает и выводит в центр экрана текст: "Independent Estonia
presents", затем играет "Собачий вальс" и перезагружает компьютер.

[10] Aids (см.приложение 2,рис.2)
Резидентный очень опасный вирус. Перехватывает INT 3, 21h и записывается в
конец EXE-файлов при их закрытии. В каждый 16-й закрываемый COM-файл
записывает часть своего кода (файл не восстанавливается, так как вирус не
сохраняет старое содержимое файла). При запуске такого файла не экран
крупными буквами выдается слово "AIDS".

[11] Peterburg
Бехобидный резидентный вирус. Перехватывает INT 21h и записывается в начало
.COM-файлов при их запуске. Никак не проявляется.

[12] Voronezh, семейство

Voronezh.370,600

Резидентные вирусы, безобидны. Часть вируса "Voronezh.600" (50 байт)
зашифрована (XOR DDh). Перехватывают INT 21h и записываются в начало .COM-
файлов при загрузке их в память для выполнения, "Voronezh.370" не заражает
COMMAND.COM. При внедрении в файл переписывают его начало в конец файла, а
свою копию помещают на освободившееся место в начале. При этом
переписываемая часть файла шифруется (XOR BBh).


Никак не проявляются и не имеют деструктивных функций. "Voronezh.600"
содержит зашифрованный (XOR 1Ah) текст "Oleynikoz S., 1990". Видимо, проба
пера начинающего программиста, так как невооруженным глазом заметно
достаточно слабое знание возможностей языка ассемблера.



Voronezh.650

Резидентный неопасный вирус. Перехватывает INT 21h и поражает выполняемые
COM-файлы по алгоритму вируса "Voronezh.600". При запуске файлов
(приблизительно 1 раз на 60 запусков) сообщает:


Video mode 80x25 not supported


Voronezh.1600

Резидентный опасный вирус. Перехватывает INT 21h и поражает файлы при их
выполнении или открытии. COM-файлы заражаются по схеме вируса
"Voronezh.600". EXE-файлы инфицируются по сложному алгоритму: у них
изменяется пять байт точки входа в программу на код команды CALL FAR
Loc_Virus, при этом изменение адреса точки входа в заголовке файла не
требуется. Вирус корректирует таблицу настройки адресов (ТНА): добавляет в
нее один элемент, соответствующий команде CALL FAR Loc_Virus; необходимым
образом изменяет один элемент ТНА, указывающий на измененные 5 байт (если
такой элемент существует). Затем вирус дописывает к файлу свою копию.


Вирус содержит ошибки: анализируются не более 640 элементов ТНА; не
анализируется случай, когда модифицируемый элемент ТНА указывает на пятый
байт от точки входа (т.е. слово, которое настраивается при загрузке файла,
лежит на границе изменяемых 5 байт). При запуске такого файла возможно
зависание компьютера.


[13] LoveChild, семейство
Очень опасные резидентные вирусы. Перехватывают INT 21h и записывается в
конец COM-файлов.



LoveChild.488

При создании своей резидентной копии копирует себя в таблицу векторов
прерываний по адресу 0000:01E0. Затем заражает .COM-файлы при их загрузке в
память, при открытии и создании. Изменяет первые 4 байта файла на команду
перехода на тело вируса (STI; JMP Loc_Virus).

Имеет деструктивные функции: в зависимости от счетчика времени может
уничтожать файлы или создавать вместо файла подкаталог с таким же именем.
Вирус периодически модифицирует EXE-файлы таким образом, что их запуск
вызовет стирание секторов винчестера (стирается часть информации,
расположенной на секторах, соответствующих 0-3 головкам записи/чтения).



LoveChild.2710

Резидентный очень опасный стелс -вирус. Перехватывает INT 13h, 21h и
записывается в конец COM-файлов. Работает только в DOS 3.30, т.к. делает
"врезку" в теле операционной системы. Если на машине стоит другая версия
DOS, выводит фразу:

Тебе мама не говорила в детстве, что лучше DOS 3.30 версии нет?

после чего портит MBR. С полуночи до 4 часов утра при запуске зараженных
программ распечатывает экран. 22 февраля, 32 апреля (?!), 23 июня, 24
августа, 6 октября и 5 ноября занимается гнусностью: пишет "Привет от
ГКЧП", затем очищает экран и выводит длинное послание, после чего стирает
информацию на винчестере. Вот часть этого сообщения:

Вирусисты всех стран, соединяйтесь. Объединение MMM предлагает за
рубли, по ценам ниже рыночных отечественные вирусы, совместимые с IBM
PC/AT PC/XT с любой периферией. Поставка со склада в Москве.
Гарантийное и послегарнтийное обслуживание. У МММ не было проблем.
LoveChild v4 in reward for software stealing. LoveChild virus family.
(c) Flu Systems intnl. Россия-Украина. Вирусы LoveChild будут
появляться до тех пор, пока в СССР (или как его там) не будет принят
з-н об авторских правах. А пока- червонец в зубы и к Лозинскому

[14] Win95.HPS, aka Hanta (см.приложение 2,рис.3)
Заражает PE-файлы (Portable Executable). При запуске инсталлирует себя в
ядро Windows95/98, перехватывает системные события и записывается в конец
PE EXE-файлов, к которым идет обращение. Длина вируса - 5124 байт.

При заражении файлов шифрует себя полиморфик-кодом и записывает результат в
последнюю секцию файла, предварительно увеличив ее размер, и затем меняет
адрес точки входа в заголовке файла. Размер полиморфик-цикла варьируется от
заражения к заражению, поэтому длина файлов может быть увеличена на
различные значения.


Вирус проявляется видео-эффектом: если инсталляция вируса в память Windows
произошла в субботу, то вирус затем переворачивает справа-налево
изображения в неупакованных BMP-файлах. Повторного переворачивания не
происходит - вирус помечает такие BMP-файлы записав в них метку DEADBABEh.


[15] Win95.CIH
Резидентный вирус, работает только под Windows95 и заражает PE-файлы
(Portable Executable). Имеет довольно небольшую длину - около 1Кб.
Обнаружен "в живом виде" в Тайване в июне 1998 - был разослан автором
вируса в местные Интернет-конференции. За последующую неделю вирусные
эпидемии были зарегистрированы в Австрии, Австралии, Израиле и
Великобретании, затем вирус был обнаружен и в нескольких других странах,
включая Россию.


При запуске зараженного файла вирус инсталлирует свой код в память Windows,
перехватывает обращения к файлам и при открытии PE EXE-файлов записывает в
них свою копию. Содержит ошибки и в некоторых случаях завешивает систему
при запуске зараженных файлов. В зависимости от текущей даты стирает Flash
BIOS и содержимое дисков.


Запись в Flash BIOS возможна только на соответсвующих типах материнских
плат и при разрешающей установке соответственного переключателя. Этот
переключатель обычно установлен в положение "только чтение", однако это
справедливо не для всех производителей компьютеров. К сожалению Flash BIOS
на некоторых современных материнских платах не может быть защищена
переключателем: одни из них разрешают запись в Flash при любом положении
переключателя, на других защита записи в Flash может быть отменена
программно.


При тестировании вируса в лаборатории память Flash BIOS осталась
неповрежденной - по непонятным причинам вирус завесил систему без каких-
либо побочных эффектов. Однако из других источников известно, что вирус при
определенных условиях действительно портит содержимое Flash BIOS.


После успешного стирания Flash-памяти вирус переходит к другой
деструктивной процедуре: стирает информацию на всех установленных
винчестерах. При этом вирус использует прямой доступ к данным на диске и
тем самым обходит встроенную в BIOS стандартную антивирусную защиту от
записи в загрузочные сектора.


Известно три версии вируса. Они достаточно похожи друг на друга и
отличаются лишь незначительными деталями кода в различных подпрограммах.
Версии вируса имеют различные длины, строки текста и дату срабатывания
процедуры стирания дисков и Flash BIOS:

Длина Текст Дата срабатывания Обнаружен "в живом
виде"

1003 CCIH 1.2 TTIT 26 апреля
Да
1010 CCIH 1.3 TTIT 26 апреля
Нет
1019 CCIH 1.4 TATUNG 26 каждого месяца Да - во многих странах[1]

[16] Macro.Word97.Melissa
Заражает файлы документов и шаблонов MS Word и рассылает свои копии в
сообщениях электронной почты при помощи MS Outlook. Вирус распространяется
чрезвычайно быстро: процедура рассылки зараженных писем отсылает большое
количество вирусных копий по адресам из всех списков адресной книги MS
Outlook. Вирус также изменяет системный реестр, выключает антивирусную
защиту MS Word.
Для рассылки своих копий через электронную почту вирус использует
возможность Visual Basic активизировать другие приложения MS Windows и
использовать их процедуры. Вирус вызывает MS Outlook, считывает из базы
адресов Outlook адреса электронной почты и посылает по этим адресам
сообщение. Это сообщение содержит:
Тема: "Important Message From [UserName]" (UserName берется из базы
адресов)

Тело письма: "Here is that document you asked for ... don't show anyone
else ;-)"
К сообщению также присоединен документ (естественно зараженный), причем
вирус присоединяет тот документ, который в данный момент редактируется
(активный документ). Как побочный эффект подобного распространения
передаются файлы пользователя, которые могут содержать конфиденциальные
данные.
Количество рассылаемых писем зависит от конфигурации адресной книги Outlook
(базы адресов e-mail) на конкретном компьютере. Вирус открывает каждый
список в адресной книге и отылает зараженное сообщение по 50 первым адресам
из каждого списка. Если в списке меньше 50 адресов, вирус отсылает
сообщение на все из них. Для каждого списка создается одно зараженное
письмо, поле адресата которого содержит первые 50 адресов из списка.
Вирус использует электронную почту для своего распространения только один
раз - для этого проверяется специальная "метка" в системном реестре:
HKEY_CURRENT_USERSoftwareMicrosoftOffice "Melissa?"

= "... by Kwyjibo"
Если этот ключ не найден, то вирус посылает сообщения электронной почты с
приложенными зараженными документами и создает этот ключ в реестре.
Вирус способен распространяться не только в версии Word97, но и в Word2000.
Эта особенность вируса связана с возможность Word2000 преобразовывать файлы
старого формата в новый при их открытии. При этом в новый формат
конвертируются все необходимые секции файла, включая макро-программы
(включая код вируса). Как результат, вирус получает возможность
распространяться в среде Word 2000.
При запуске вируса в Word 2000 он производит дополнительные действия:
выключает (устанавливает в минимум) установки безопасности (антивирусную
защиту).
Код вируса хранится в одном макро модуле "Melissa" и состоит из одной авто-
процедуры: в зараженных документах это "Document_Open", в NORMAL.DOT
(область глобальных макросов) - "Document_Close". Вирус заражает NORMAL.DOT
при открытии зараженного документа и записывается в другие документы при их
закрытии. При заражении вирус копирует свой код построчно из зараженного
объекта в файл-жертву. В случае заражения области глобальных макросов вирус
переименовывает свою процедуру в "Document_Close", когда же происходит
заражение документов, то вирусная процедура переименовывается в
"Document_Open". В результе вирус заражает Word при открытии зараженного
документа, а при закрытии других документов они, в свою очередь,
оказываются зараженными.
Вирус также содержит процедуру-эффект, которая срабатывает в случае если
день равен минутам в момент активации вирусного кода. Эта процедура
вставляет следующий текст в редактируемый документ:
Twenty-two points, plus triple-word-score, plus fifty points for using all
my letters. Game's over. I'm outta here.
Этот текст, так же, как и прозвище автора вируса ("Kwyjibo"), взят из
телевизионного мульт-сериала "Симпсоны" ("Simpsons").
Вирус также содержит комментарии в своем коде:
WORD/Melissa written by Kwyjibo

Works in both Word 2000 and Word 97

Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!

Word -> Email | Word 97 Word 2000 ... it's a new age!

[17] Explorer, семейство
Неопасные резидентные зашифрованные вирусы. Перехватывают INT 21h и
записываются в конец запускаемых EXE-файлов. Также ищут и поражают *.SYS-
файлы. Уничтожают файлы CHKLIST.MS и CHKLIST.CPS. В зависимости от своих
внутренних счетчиков перехватывают INT 15h, 1Ch и проявляются каким-то
видео-эффектом.

[18] I-Worm.LoveLetter
Этот интернет червь вызвал массовые поражения компьютеров и сетей в начале
мая 2000. Червь распространяется в электронных письмах и при активизации
рассылает себя с зараженных компьютеров. При своем распространении червь
использует почтовую систему Microsoft Outlook и рассылает себя по всем
адресам, которые хранятся в адресной книге Outlook. В результате пораженный
компьютер рассылает столько зараженных писем, сколько адресов хранится в
адресной книге.
Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только
в операционных системах с установленным Windows Scripting Host (WSH) (в
Windows 98, Windows 2000 он установлен по умолчанию).При размножении червь
использует функции Outlook, которые доступны только в Outlook98/2000.
При активизации червь рассылает свои копии по электронной почте,
инсталлирует себя в систему, выполняет деструктивные действия, скачивает из
Интернет и устанавливает в систему троянский файл. Червь также способен
распространяться через IRC-каналы.
Уничтожение файлов
Червь ищет все файлы на всех доступных дисках. Для файлов с разными
расширениями червь выполняет различные действия:
VBS, VBE: записывает вместо них свою копию.
JS, JSE, CSS, WSH, SCT, HTA: переименовывает их с расширением .VBS и
записывает в них свою копию.
JPG, JPEG: добавляет к именам файлов расширение .VBS и записывает в них
свою копию (например, PIC1.JPG.VBS). Оригинальный файл червь удаляет.
MP2, MP3: создает новый файл с именем MP-файла и расширением .VBS и
записывает в него свою копию. У первоначальных MP-файлов устанавливает
атрибут "скрытый".

[19] I-Worm.Sircam (см.приложение 2 , рис 4)
Опасный сетевой червь, распространяющийся по сети Интернет и ресурсам
локальных вычислительных сетей. Файл-носитель червя представляет собой
Windows-приложение, размером около 130 Кб, написанное на языке
программирования Delphi. В процессе распространения червь может прикреплять
к своим файлам дополнительные файлы DOC, XLS, ZIP и других форматов (см.
ниже), так что размер вложенного файла может превышать 130 Кб.
После запуска (например, двойным щелчком на вложенном зараженном файле),
червь внедряется в систему, рассылает зараженные сообщения (содержащие
вложенные файлы с копией червя), заражает компьютеры, подключенные к
доступной ЛВС (если в сети существуют диски, доступные для записи), а
также, в зависимости от системной даты, выполняет встроенную деструктивную
процедуру.
Деструктивные процедуры.
В зависимости от текущей системной даты и времени, червь с вероятностью 5%
удаляет все файлы и поддиректории на диске, где установлена Windows.
При каждой загрузке операционной системы с вероятностью 2% червь создает
файл SirCam.Sys в корневой директории текущего диска и записывает в него
следующий текст:
[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]

[SirCam Version 1.0 Copyright L 2001 2rP Made in / Hecho en - Cuitzeo,
Michoacan Mexico]
С каждым разом червь добавляет этот файл, тем самым постепенно поглощая
свободное место на диске. Эти и многие другие текстовые строки в теле червя
содержатся в зашифрованом виде.

[20] IIS-Worm.CodeRed (AKA "Code Red", "Bady") ( см.приложение 2,
рис.5)
Первый представитель данного семейства сетевых червей, "Code Red" (также
известный под именем "Bady"), по данным ZDNet, он заразил около 12 000
серверов по всему миру и провел крупномасштабную DDoS атаку на Web сервер
Белого дома (www.whitehouse.gov), вызвав нарушение его нормальной работы.
"Bady" заражает только компьютеры под управлением Windows 2000 (без
установленных сервисных пакетов), с установленным Microsoft Internet
Information Server (IIS) и включенной службой индексирования (Indexing
Service). Вместе с тем, именно это программное обеспечение чаще всего
используется на коммерческих Web, FTP и почтовых серверах, что и определило
широкое распространение червя. Масштабы эпидемии могли бы быть еще более
внушительными, если бы червь поражал и другие версии Windows, например
Windows NT и Windows XP. Однако автор червя умышленно "нацелил" его только
на системы Windows 2000.
Для проникновения на удаленные компьютеры червь использует обнаруженную в
июне 2001 г. брешь в системе безопасности IIS, которая позволяет
злоумышленникам запускать на удаленных серверах посторонний программный
код. Для этого "Bady" посылает на случайно выбранный удаленный сервер
специальный запрос дающий компьютеру команду запустить основную программу
червя, которая в свою очередь попытается таким же образом проникнуть на
другие серверы. Одновременно в памяти компьютера может существовать сразу
сотни активных процессов червя, что существенно замедляет работу сервера.

Важной особенностью "Bady" является то, что в процессе работы он не
использует никаких временных или постоянных файлов. Данный червь уникален:
он существует либо в системной памяти зараженных компьютеров, либо в виде
TCP/IP-пакета при пересылке на удаленные машины. Подобная "бестелесность"
представляет серьезную проблему для защиты серверов, поскольку требует
установки специальных антивирусных модулей на межсетевые экраны.
Помимо значительного замедления работы зараженных компьютеров, "Bady" имеет
другие побочные действия. Во-первых, червь перехватывает обращения
посетителей к Web сайту, который управляется зараженным IIS-сервером, и
вместо оригинального содержимого передает им следующую страницу:

После показа фальсифицированной стартовой страницы взломанного Web сайта в
течение 10 часов, червь автоматически возвращает все на свои места и
посетители видят оригинальную версию сайта. Важно отметить, что данный
эффект проявляется только на системах, где по умолчанию используется язык
"US English".
Во-вторых: между 20 и 27 числами каждого месяца включительно червь
осуществляет DDoS (Distributed Denial of Service) атаку на сайт Белого дома
США (www.whitehouse.gov). Для этого копии червя на всех зараженных
компьютерах посылают многочисленные запросы на соединение, что вызывает
зависание сервера, обслуживающего данный Web-сайт.
Для нейтрализации, а также в качестве профилактической меры для
предотвращения проникновения червя на сервер, мы рекомендуем пользователям
немедленно установить "заплатку" для исправления "бреши" в системе
безопасности IIS.



[21] I-Worm.MyLife ( см.приложение 2, рис:6,7. )
Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к
зараженным письмам.
Червь является приложением Windows (PE EXE-файл), имеет размер около 30 K
(упакован UPX, размер распакованного файла - около 55 K), написан на Visual
Basic.
Деструктивная процедура
Червь проверяет текущее время, и если текущее значение минуты больше 45,
червь запускает деструктивную процедуру: он удаляет файлы с раширениями
.SYS и .COM в корневой директории диска C:, файлы с расширениями .COM,
.SYS, .INI, .EXE в каталоге Windows, а также файлы с расширениями .SYS,
.VXD, .EXE, .DLL в системном каталоге Windows.

[22] I-Worm.Cervivec!(см.приложение 2,рис.8)
Интернет-червь Cervivec распространяется через Интернет в виде файлов,
прикрепленных к зараженным письмам. Червь является приложением Windows (PE
EXE-файл), имеет размер около 230K (упакован UPX, размер распакованного
файла - около 670K), написан на Delphi.
Червь активизируется только если пользователь сам запускает зараженные
файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в
систему и запускает процедуры своего распространения. Для скрытия своей
активности червь запускает видео-эффект: разноцветные "червяки", поедающие
экран.[2]



Приложение 2

Графические вирусные эффекты

Рис.1 Рис.2



Рис.3 Рис.4



Рис.5
Рис.6 Рис.7
Рис.6



Рис.8



-----------------------
[1] «Вирусная энциклопедия AVP».Электронный вариант 1999 г.
[2] http://www.viruslist.com/





Реферат на тему: Компьютерные вирусы и антивирусные программы
Введение

Мы живем на стыке двух тысячелетий, когда человечество вступило в эпоху
новой научно-технической революции.
К концу двадцатого века люди овладели многими тайнами превращения
вещества и энергии и сумели использовать эти знания для улучшения своей
жизни. Но кроме вещества и энергии в жизни человека огромную роль играет
еще одна составляющая - информация. Это самые разнообразные сведения,
сообщения, известия, знания, умения.
В середине нашего столетия появились специальные устройства -
компьютеры, ориентированные на хранение и преобразование информации и
произошла компьютерная революция.
Сегодня массовое применение персональных компьютеров, к сожалению,
оказалось связанным с появлением самовоспроизводящихся программ-вирусов,
препятствующих нормальной работе компьютера, разрушающих файловую структуру
дисков и наносящих ущерб хранимой в компьютере информации.
Несмотря на принятые во многих странах законы о борьбе с компьютерными
преступлениями и разработку специальных программных средств защиты от
вирусов, количество новых программных вирусов постоянно растет. Это требует
от пользователя персонального компьютера знаний о природе вирусов, способах
заражения вирусами и защиты от них.



Компьютерные вирусы, их свойства и классификация


Свойства компьютерных вирусов

Сейчас применяются персональные компьютеры, в которых пользователь
имеет свободный доступ ко всем ресурсам машины. Именно это открыло
возможность для опасности, которая получила название компьютерного вируса.
Что такое компьютерный вирус? Формальное определение этого понятия до
сих пор не придумано, и есть серьезные сомнения, что оно вообще может быть
дано. Многочисленные попытки дать «современное» определение вируса не
привели к успеху. Чтобы почувствовать всю сложность проблемы, попробуйте, к
примеру, дать определение понятия «редактор». Вы либо придумаете нечто
очень общее, либо начнете перечислять все известные типы редакторов. И то и
другое вряд ли можно считать приемлемым. Поэтому мы ограничимся
рассмотрением некоторых свойств компьютерных вирусов, которые позволяют
говорить о них как о некотором определенном классе программ.
Прежде всего, вирус - это программа. Такое простое утверждение само по
себе способно развеять множество легенд о необыкновенных возможностях
компьютерных вирусов. Вирус может перевернуть изображение на вашем
мониторе, но не может перевернуть сам монитор. К легендам о вирусах-
убийцах, «уничтожающих операторов посредством вывода на экран смертельной
цветовой гаммы 25-м кадром» также не стоит относиться серьезно. К
сожалению, некоторые авторитетные издания время от времени публикуют «самые
свежие новости с компьютерных фронтов», которые при ближайшем рассмотрении
оказываются следствием не вполне ясного понимания предмета.


Вирус - программа, обладающая способностью к самовоспроизведению. Такая
способность является единственным средством, присущим всем типам вирусов.
Но не только вирусы способны к самовоспроизведению. Любая операционная
система и еще множество программ способны создавать собственные копии.
Копии же вируса не только не обязаны полностью совпадать с оригиналом, но и
могут вообще с ним не совпадать!
Вирус не может существовать в «полной изоляции»: сегодня нельзя
представить себе вирус, который не использует код других программ,
информацию о файловой структуре или даже просто имена других программ.
Причина понятна: вирус должен каким-нибудь способом обеспечить передачу
себе управления.


Классификация вирусов

В настоящее время известно более 5000 программных вирусов, их можно
классифицировать по следующим признакам:
среде обитания
способу заражения среды обитания
воздействию
особенностям алгоритма

В зависимости от среды обитания вирусы можно разделить на сетевые,
файловые, загрузочные и файлово-загрузочные. Сетевые вирусы
распространяются по различным компьютерным сетям. Файловые вирусы
внедряются главным образом в исполняемые модули, т. е. В файлы, имеющие
расширения COM и EXE. Файловые вирусы могут внедряться и в другие типы
файлов, но, как правило, записанные в таких файлах, они никогда не получают
управление и, следовательно, теряют способность к размножению. Загрузочные
вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор,
содержащий программу загрузки системного диска (Master Boot Re-cord).
Файлово-загрузочные вирусы заражают как файлы, так и
загрузочные сектора дисков.
По способу заражения вирусы делятся на резидентные и нерезидентные.
Резидентный вирус при заражении (инфицировании) компьютера оставляет в
оперативной памяти свою резидентную часть, которая потом перехватывает
обращение операционной системы к объектам заражения (файлам, загрузочным
секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в
памяти и являются активными вплоть до выключения или перезагрузки
компьютера. Нерезидентные вирусы не заражают память компьютера и являются
активными ограниченное время.
По степени воздействия вирусы можно разделить на следующие виды:
5. неопасные, не мешающие работе компьютера, но уменьшающие объем
свободной оперативной памяти и памяти на дисках, действия таких
вирусов проявляются в каких-либо графических или звуковых эффектах
6. опасные вирусы, которые могут привести к различным нарушениям в
работе компьютера
7. очень опасные, воздействие которых может привести к потере программ,
уничтожению данных, стиранию информации в системных областях диска.
По особенностям алгоритма вирусы трудно классифицировать из-за большого
разнообразия. Простейшие вирусы - паразитические, они изменяют содержимое
файлов и секторов диска и могут быть достаточно легко обнаружены и
уничтожены. Можно отметить вирусы-репликаторы, называемые червями, которые
распространяются по компьютерным сетям, вычисляют адреса сетевых
компьютеров и записывают по этим адресам свои копии.


Известны вирусы-невидимки, называемые стелс-вирусами, которые очень
трудно обнаружить и обезвредить, так как они перехватывают обращения
операционной системы к пораженным файлам и секторам дисков и подставляют
вместо своего тела незараженные участки диска. Наиболее трудно обнаружить
вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря
которым копии одного и того же вируса не имеют ни одной повторяющейся
цепочки байтов. Имеются и так называемые квазивирусные или «троянские»
программы, которые хотя и не способны к самораспространению, но очень
опасны, так как, маскируясь под полезную программу, разрушают загрузочный
сектор и файловую систему дисков.
Теперь поподробнее о некоторых из этих групп.


Загрузочные вирусы

Рассмотрим схему функционирования очень простого загрузочного вируса,
заражающего дискеты.
Что происходит, когда вы включаете компьютер? Первым делом управление
передается программе начальной загрузки, которая хранится в постоянно
запоминающем устройстве (ПЗУ) т.е. ПНЗ ПЗУ.
Эта программа тестирует оборудование и при успешном завершении проверок
пытается найти дискету в дисководе А:
Всякая дискета размечена на т.н. секторы и дорожки. Секторы
объединяются в кластеры, но это для нас несущественно.
Среди секторов есть несколько служебных, используемых операционной
системой для собственных нужд (в этих секторах не могут размещаться ваши
данные). Среди служебных секторов нас интересует сектор начальной загрузки
(boot-sector).
В секторе начальной загрузки хранится информация о дискете - количество
поверхностей, количество дорожек, количество секторов и пр. Но нас сейчас
интересует не эта информация, а небольшая программа начальной загрузки
(ПНЗ), которая должна загрузить саму операционную систему и передать ей
управление.
Таким образом, нормальная схема начальной загрузки следующая:
ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА
Теперь рассмотрим вирус. В загрузочных вирусах выделяют две части:
голову и т.н. хвост. Хвост может быть пустым.
Пусть у вас имеются чистая дискета и зараженный компьютер, под которым
мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус
обнаружит, что в дисководе появилась подходящая жертва - в нашем случае не
защищенная от записи и еще не зараженная дискета, он приступает к
заражению. Заражая дискету, вирус производит следующие действия:
выделяет некоторую область диска и помечает ее как недоступную операционной
системе, это можно сделать по-разному, в простейшем и традиционном случае
занятые вирусом секторы помечаются как сбойные (bad)
копирует в выделенную область диска свой хвост и оригинальный (здоровый)
загрузочный сектор
замещает программу начальной загрузки в загрузочном секторе (настоящем)
своей головой
организует цепочку передачи управления согласно схеме.
Таким образом, голова вируса теперь первой получает управление, вирус
устанавливается в память и передает управление оригинальному загрузочному
сектору. В цепочке
ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА
появляется новое звено:
ПНЗ (ПЗУ) - ВИРУС - ПНЗ (диск) - СИСТЕМА
Мы рассмотрели схему функционирования простого бутового вируса,
живущего в загрузочных секторах дискет. Как правило, вирусы способны
заражать не только загрузочные секторы дискет, но и загрузочные секторы
винчестеров. При этом в отличие от дискет на винчестере имеются два типа
загрузочных секторов, содержащих программы начальной загрузки, которые
получают управление. При загрузке компьютера с винчестера первой берет на
себя управление программа начальной загрузки в MBR (Master Boot Record -
главная загрузочная запись). Если ваш жесткий диск разбит на несколько
разделов, то лишь один из них помечен как загрузочный (boot). Программа
начальной загрузки в MBR находит загрузочный раздел винчестера и передает
управление на программу начальной загрузки этого раздела. Код последней
совпадает с кодом программы начальной загрузки, содержащейся на обычных
дискетах, а соответствующие загрузочные секторы отличаются только
таблицами параметров. Таким образом, на винчестере имеются два объекта
атаки загрузочных вирусов - программа начальной загрузки в MBR и программа
начальной загрузки в бут-секторе загрузочного диска.


Файловые вирусы

Рассмотрим теперь схему работы простого файлового вируса. В отличие от
загрузочных вирусов, которые практически всегда резидентны, файловые вирусы
совсем не обязательно резидентны. Рассмотрим схему функционирования
нерезидентного файлового вируса. Пусть у нас имеется инфицированный
исполняемый файл. При запуске такого файла вирус получает управление,
производит некоторые действия и передает управление «хозяину»
Какие же действия выполняет вирус? Он ищет новый объект для заражения -
подходящий по типу файл, который еще не заражен. Заражая файл, вирус
внедряется в его код, чтобы получить управление при запуске этого файла.
Кроме своей основной функции - размножения, вирус вполне может сделать что-
нибудь замысловатое (сказать, спросить, сыграть) - это уже зависит от
фантазии автора вируса. Если файловый вирус резидентный, то он установится
в память и получит возможность заражать файлы и проявлять прочие
способности не только во время работы зараженного файла. Заражая
исполняемый файл, вирус всегда изменяет его код - следовательно, заражение
исполняемого файла всегда можно обнаружить. Но, изменяя код файла, вирус не
обязательно вносит другие изменения:
он не обязан менять длину файла
неиспользуемые участки кода
не обязан менять начало файла
Наконец, к файловым вирусам часто относят вирусы, которые «имеют
некоторое отношение к файлам», но не обязаны внедряться в их код.
Таким образом, при запуске любого файла вирус получает управление
(операционная система запускает его сама), резидентно устанавливается в
память и передает управление вызванному файлу.



Загрузочно-файловые вирусы

Мы не станем рассматривать модель загрузочно-файлового вируса, ибо
никакой новой информации вы при этом не узнаете. Но здесь представляется
удобный случай кратко обсудить крайне «популярный» в последнее время
загрузочно-файловый вирус OneHalf, заражающий главный загрузочный сектор
(MBR) и исполняемые файлы. Основное разрушительное действие - шифрование
секторов винчестера. При каждом запуске вирус шифрует очередную порцию
секторов, а, зашифровав половину жесткого диска, радостно сообщает об этом.
Основная проблема при лечении данного вируса состоит в том, что
недостаточно просто удалить вирус из MBR и файлов, надо расшифровать
зашифрованную им информацию.

Полиморфные вирусы

Большинство вопросов связано с термином «полиморфный вирус». Этот вид
компьютерных вирусов представляется на сегодняшний день наиболее опасным.
Объясним же, что это такое.
Полиморфные вирусы - вирусы, модифицирующие свой код в зараженных
программах таким образом, что два экземпляра одного и того же вируса могут
не совпадать ни в одном бите.
Такие вирусы не только шифруют свой код, используя различные пути
шифрования, но и содержат код генерации шифровщика и расшифровщика, что
отличает их от обычных шифровальных вирусов, которые также могут шифровать
участки своего кода, но имеют при этом постоянный код шифровальщика и
расшифровщика.
Полиморфные вирусы - это вирусы с самомодифицирующимися
расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный
файлы, вы все равно не сможете проанализировать его код с помощью обычного
дизассемблирования. Этот код зашифрован и представляет собой бессмысленный
набор команд. Расшифровка производится самим вирусом уже непосредственно во
время выполнения. При этом возможны варианты: он может расшифровать себя
всего сразу, а может выполнить такую расшифровку «по ходу дела», может
вновь шифровать уже отработавшие участки. Все это делается ради затруднения
анализа кода вируса.

Стелс-вирусы
В ходе проверки компьютера антивирусные программы считывают данные -
файлы и системные области с жестких дисков и дискет, пользуясь средствами
операционной системы и базовой системы ввода/вывода BIOS. Ряд вирусов,
после запуска оставляют в оперативной памяти компьютера специальные модули,
перехватывающие обращение программ к дисковой подсистеме компьютера. Если
такой модуль обнаруживает, что программа пытается прочитать зараженный файл
или системную область диска, он на ходу подменяет читаемые данные, как
будто вируса на диске нет.
Стелс-вирусы обманывают антивирусные программы и в результате остаются
незамеченными. Тем не менее, существует простой способ отключить механизм
маскировки стелс-вирусов. Достаточно загрузить компьютер с не зараженной
системной дискеты и сразу, не запуская других программ с диска компьютера
(которые также могут оказаться зараженными), проверить компьютер
антивирусной программой.
При загрузке с системной дискеты вирус не может получить управление и
установить в оперативной памяти резидентный модуль, реализующий стелс-
механизм. Антивирусная программа сможет прочитать информацию, действительно
записанную на диске, и легко обнаружит вирус.


Троянские кони, программные закладки и сетевые черви


Троянский конь – это программа, содержащая в себе некоторую
разрушающую функцию, которая активизируется при наступлении некоторого
условия срабатывания. Обычно такие программы маскируются под какие-нибудь
полезные утилиты. Вирусы могут нести в себе троянских коней или
"троянизировать" другие программы – вносить в них разрушающие функции.
«Троянские кони» представляют собой программы, реализующие помимо
функций, описанных в документации, и некоторые другие функции, связанные с
нарушением безопасности и деструктивными действиями. Отмечены случаи
создания таких программ с целью облегчения распространения вирусов. Списки
таких программ широко публикуются в зарубежной печати. Обычно они
маскируются под игровые или развлекательные программы и наносят вред под
красивые картинки или музыку.
Программные закладки также содержат некоторую функцию, наносящую ущерб
ВС, но эта функция, наоборот, старается быть как можно незаметнее, т.к.
чем дольше программа не будет вызывать подозрений, тем дольше закладка
сможет работать.
Если вирусы и «троянские кони» наносят ущерб посредством
лавинообразного саморазмножения или явного разрушения, то основная функция
вирусов типа «червь», действующих в компьютерных сетях, – взлом атакуемой
системы, т.е. преодоление защиты с целью нарушения безопасности и
целостности.
В более 80% компьютерных преступлений, расследуемых ФБР, "взломщики"
проникают в атакуемую систему через глобальную сеть Internet. Когда такая
попытка удается, будущее компании, на создание которой ушли годы, может
быть поставлено под угрозу за какие-то секунды.
Этот процесс может быть автоматизирован с помощью вируса, называемого
сетевой червь.
Червями называют вирусы, которые распространяются по глобальным сетям,
поражая целые системы, а не отдельные программы. Это самый опасный вид
вирусов, так как объектами нападения в этом случае становятся
информационные системы государственного масштаба. С появлением глобальной
сети Internet этот вид нарушения безопасности представляет наибольшую
угрозу, т. к. ему в любой момент может подвергнуться любой из 40 миллионов
компьютеров, подключенных к этой сети.



Пути проникновения вирусов в компьютер и механизм распределения
вирусных программ


Основными путями проникновения вирусов в компьютер являются съемные
диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого
диска вирусами может произойти при загрузке программы с дискеты, содержащей
вирус. Такое заражение может быть и случайным, например, если дискету не
вынули из дисковода А и перезагрузили компьютер, при этом дискета может
быть и не системной. Заразить дискету гораздо проще. На нее вирус может
попасть, даже если дискету просто вставили в дисковод зараженного
компьютера и, например, прочитали ее оглавление.
Вирус, как правило, внедряется в рабочую программу таким образом, чтобы
при ее запуске управление сначала передалось ему и только после выполнения
всех его команд снова вернулось к рабочей программе. Получив доступ к
управлению, вирус, прежде всего, переписывает сам себя в другую рабочую
программу и заражает ее. После запуска программы, содержащей вирус,
становится возможным заражение других файлов.
Наиболее часто вирусом заражаются загрузочный сектор диска и
исполняемые файлы, имеющие расширения EXE, COM, SYS, BAT. Крайне редко
заражаются текстовые файлы.
После заражения программы вирус может выполнить какую-нибудь диверсию,
не слишком серьезную, чтобы не привлечь внимания. И наконец, не забывает
возвратить управление той программе, из которой был запущен. Каждое
выполнение зараженной программы переносит вирус в следующую. Таким образом,
заразится все программное обеспечение.


Признаки появления вирусов

При заражении компьютера вирусом важно его обнаружить. Для этого следует
знать об основных признаках проявления вирусов. К ним можно отнести
следующие:
8. прекращение работы или неправильная работа ранее успешно
функционировавших программ
9. медленная работа компьютера
10. невозможность загрузки операционной системы
11. исчезновение файлов и каталогов или искажение их содержимого
12. изменение даты и времени модификации файлов
13. изменение размеров файлов
14. неожиданное значительное увеличение количества файлов на диске
15. существенное уменьшение размера свободной оперативной памяти
16. вывод на экран непредусмотренных сообщений или изображений
17. подача непредусмотренных звуковых сигналов
18. частые зависания и сбои в работе компьютера
Следует отметить, что вышеперечисленные явления необязательно
вызываются присутствием вируса, а могут быть следствием других причин.
Поэтому всегда затруднена правильная диагностика состояния компьютера.



Методы защиты от компьютерных вирусов


Каким бы не был вирус, пользователю необходимо знать основные методы
защиты от компьютерных вирусов.
Для защиты от вирусов можно использовать:
> общие средства защиты информации, которые полезны также и как страховка
от физической порчи дисков, неправильно работающих программ или ошибочных
действий пользователя;
> профилактические меры, позволяющие уменьшить вероятность заражения
вирусом;
> специализированные программы для защиты от вирусов.
Общие средства защиты информации полезны не только для защиты от
вирусов. Имеются две основные разновидности этих средств:
> копирование информации - создание копий файлов и системных областей
дисков;
> разграничение доступа предотвращает несанкционированное использование
информации, в частности, защиту от изменений программ и данных вирусами,
неправильно работающими программами и ошибочными действиями
пользователей.


Несмотря на то, что общие средства защиты информации очень важны для
защиты от вирусов, все же их недостаточно. Необходимо и применение
специализированных программ для защиты от вирусов. Эти программы можно
разделить на несколько видов: детекторы, доктора (фаги), ревизоры,
доктора-ревизоры, фильтры и вакцины (иммунизаторы).
ПРОГРАММЫ-ДЕТЕКТОРЫ позволяют обнаруживать файлы, зараженные одним из
нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах
на указанном пользователем диске специфическая для данного вируса
комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится
соответствующее сообщение. Многие детекторы имеют режимы лечения или
уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы
могут обнаруживать только те вирусы, которые ей "известны". Программа Scan
фирмы McAfee Associates и Aidstest Д.Н.Лозинского позволяют обнаруживать
около 9000 вирусов, но всего их более двадцати тысяч! Некоторые программы-
детекторы, например Norton AntiVirus или AVSP фирмы "Диалог-МГУ", могут
настраивать на новые типы вирусов, им необходимо лишь указать комбинации
байтов, присущие этим вирусам. Тем не мнение невозможно разработать такую
программу, которая могла бы обнаруживать любой заранее неизвестный
вирус.
Таким образом, из того, что программа не опознается детекторами как
зараженная, не следует, что она здорова - в ней могут сидеть какой-нибудь
новый вирус или слегка модифицированная версия старого вируса, неизвестные
программам-детекторам.
Многие программы-детекторы (в том числе и Aidstest) не умеют
обнаруживать заражение "невидимыми" вирусами, если такой вирус активен в
памяти компьютера. Дело в том, что для чтения диска они используют функции
DOS, а они перехватываются вирусом, который говорит, что все хорошо.
Правда, Aidstest и другие детекторы пытаются выявить вирус путем
просмотра оперативной памяти, но против некоторых "хитрых" вирусов это не
помогает. Так что надежный диагноз программы-детекторы дают только при
загрузке DOS с "чистой", защищенной от записи дискеты, при этом копия
программы-детектора также должна быть запущена с этой дискеты.
Некоторые детекторы (скажем ADinf фирмы "Диалог-Наука") умеют ловить
"невидимые" вирусы, даже когда они активны. Для этого они читают диск, не
используя вызовы DOS. Правда, этот метод работает не на всех дисководах.
Большинство программ-детекторов имеют функцию "доктора", т.е. они
пытаются вернуть зараженные файлы или области диска в их исходное
состояние. Те файлы, которые не удалось восстановить, как правило, делаются
неработоспособными или удаляются.
Большинство программ-докторов умеют "лечить" только от некоторого
фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые
программы могут обучаться не только способам обнаружения, но и способам
лечения новых вирусов. К таким программам относится AVSP фирмы "Диалог-
МГУ".
ПРОГРАММЫ-РЕВИЗОРЫ имеют две стадии работы. Сначала они запоминают
сведения о состоянии программ и системных областей дисков (загрузочного
сектора и сектора с таблицей разбиения жесткого диска). Предполагается,
что в этот момент программы и системные области дисков не заражены. После
этого с помощью программы-ревизора можно в любой момент сравнить состояние
программ и системных областей дисков с исходным. О выявленных
несоответствиях сообщается пользователю.
Чтобы проверка состояния программ и дисков проходила при каждой
загрузке операционной системы, необходимо включить команду запуска
программы-ревизора в командный файл AUTOEXEC.BAT. Это позволяет обнаружить
заражение компьютерным вирусом, когда он еще не успел нанести большого
вреда. Более того, та же программа-ревизор сможет найти поврежденные
вирусом файлы.



Многие программы-ревизоры являются довольно "интеллектуальными" - они
могут отличать изменения в файлах, вызванные, например, переходом к новой
версии программы, от изменений, вносимых вирусом, и не поднимают ложной
тревоги. Дело в том, что вирусы обычно изменяют файлы весьма
специфическим образом и производят одинаковые изменения в разных
программных файлах. Понятно, что в нормальной ситуации такие изменения
практически никогда не встречаются, поэтому программа-ревизор, зафиксировав
факт таких изменений, может с уверенностью сообщить, что они вызваны
именно вирусом.
Другие программы часто используют различные полумеры – пытаются
обнаружить вирус в оперативной памяти, требуют вызовы из первой строки
файла AUTOEXEC.BAT, надеясь работать на "чистом" компьютере, и т.д. Увы,
против некоторых "хитрых" вирусов все это бесполезно.
Для проверки того, не изменился ли файл, некоторые программы-ревизоры
проверяют длину файла. Но эта проверка недостаточна - некоторые вирусы не
изменяют длину зараженных файлов. Более надежная проверка - прочесть весь
файл и вычислить его контрольную сумму. Изменить файл так, чтобы его
контрольная сумма осталась прежней, практически невозможно.
В последнее время появились очень полезные гибриды ревизоров и
докторов, т.е. ДОКТОРА-РЕВИЗОРЫ,- программы, которые не только обнаруживают
изменения в файлах и системных областях дисков, но и могут в случае
изменений автоматически вернуть их в исходное состояние. Такие программы
могут быть гораздо более универсальными, чем программы-доктора, поскольку
при лечении они используют заранее сохраненную информацию о состоянии
файлов и областей дисков. Это позволяет им вылечивать файлы даже от тех
вирусов, которые не были созданы на момент написания программы.
Но они могут лечить не от всех вирусов, а только от тех, которые
используют "стандартные", известные на момент написания программы,
механизмы заражения файлов.
Существуют также ПРОГРАММЫ-ФИЛЬТРЫ, которые располагаются резидентно в
оперативной памяти компьютера и перехватывают те обращения к операционной
системе, которые используются вирусами для размножения и нанесения
вреда, и сообщают о них пользователя. Пользователь может разрешить или
запретить выполнение соответствующей операции.
Некоторые программы-фильтры не "ловят" подозрительные действия, а
проверяют вызываемые на выполнение программы на наличие вирусов. Это
вызывает замедление работы компьютера.
Однако преимущества использования программ-фильтров весьма значительны
– они позволяют обнаружить многие вирусы на самой ранней стадии, когда
вирус еще не успел размножиться и что-либо испортить. Тем самым можно
свести убытки от вируса к минимуму.
ПРОГРАММЫ-ВАКЦИНЫ, или ИММУНИЗАТОРЫ, модифицируют программы и диски
таким образом, что это не отражается на работе программ, но тот вирус,
от которого производится вакцинация, считает эти программы или диски уже
зараженными. Эти программы крайне неэффективны.



Антивирусные программы



AIDSTEST


В нашей стране, как уже было сказано выше, особую популярность
приобрели антивирусные программы, совмещающие в себе функции детекторов и
докторов. Самой известной из них является программа AIDSTEST Д.Н.
Лозинского. В Украине практически на каждом IBM-совместимом персональном
компьютере есть одна из версий этой программы. Одна из последних версия
обнаруживает более 8000 вирусов.
Aidstest для своего нормального функционирования требует, чтобы в
памяти не было резидентных антивирусов, блокирующих запись в программные
файлы, поэтому их следует выгрузить, либо, указав опцию выгрузки самой
резидентной программе, либо воспользоваться соответствующей утилитой.
При запуске Aidstest проверяет себя оперативную память на наличие
известных ему вирусов и обезвреживает их. При этом парализуются только
функции вируса, связанные с размножением, а другие побочные эффекты могут
оставаться. Поэтому программа после окончания обезвреживания вируса в
памяти выдает запрос о перезагрузке. Следует обязательно последовать этому
совету, если оператор ПЭВМ не является системным программистом,
занимающимся изучением свойств вирусов. При чем следует перезагрузиться
кнопкой RESET, так как при "теплой перезагрузке" некоторые вирусы могут
сохраняться. Вдобавок, лучше запустить машину и Aidstest с
защищённой от записи дискеты, так как при запуске с зараженного диска
вирус может записаться в память резидентом и препятствовать лечению.
Aidstest тестирует свое тело на наличие известных вирусов, а также по
искажениям в своем коде судит о своем заражении неизвестным вирусом. При
этом возможны случаи ложной тревоги, например при сжатии антивируса
упаковщиком. Программа не имеет графического интерфейса, и режимы ее
работы задаются с помощью ключей. Указав путь, можно проверить не весь
диск, а отдельный подкаталог.
Как показала практика, самый оптимальный режим для ежедневной работы
задается ключами /g (проверка всех файлов, а не только с расширением
EXE,COM,SYS) и /s (медленная проверка). Увеличение времени при таких опциях
практически не ощутимо, зато вероятность обнаружения на порядок выше.
При обычном тестировании не следует ставить ключ /f (исправление
зараженных программ и стирание не подлежащих восстановлению), даже с
ключом /q (выдавать запрос об удалении файла), поскольку любая программа, в
том числе и антивирусная, не застрахована от ошибок. Ключ /f следует
использовать тогда, когда Aidstest, а также другие антивирусы указывают
на наличие вируса в каком-либо файле. При этом следует перезапустить
компьютер с защищённой от записи дискеты, так как система может быть
заражена резидентным вирусом, и тогда лечение будет неэффективным, а то и
просто опасным. При обнаружении вируса в ценном файле следует переписать
его на дискету, а ещё лучше - на электронный, диск и там попытаться
вылечить с помощью указания Aidstest-у опции /f. Если попытка не увенчается
успехом, то надо удалить все зараженные копии файла и проверить диск снова.
Если в файле содержится важная информация, которую стирать жалко, то можно
заархивировать файл и подождать выхода новой версии Aidstest или другого
антивируса, способной лечить этот тип вируса. Для ускорения процесса
можно направить зараженный файл в качестве образца Лозинскому.
Для создания в файле протокола работы программы Aidstest служит ключ
/p. Протокол оказывается нужным, когда пользователь не успевает
просмотреть имена зараженных файлов. Для поддержки антивирусного программно
- аппаратного комплекса Sheriff (далее будет рассмотрен подробнее), служит
ключ /z.



DOCTOR WEB


В последнее время стремительно растет популярность другой антивирусной
программы - Doctor Web. Dr.Web так же, как и Aidstest относится к классу
детекторов - докторов, но в отличие от последнего, имеет так называемый
"эвристический анализатор" - алгоритм, позволяющий обнаруживать
неизвестные вирусы. "Лечебная паутина", как переводится с английского
название программы, стала ответом отечественных программистов на нашествие
самомодифицирующихся вирусов-мутантов. Последние при размножении
модифицируют свое тело так, что не остается ни одной характерной цепочки
байт, присутствовавшей в исходной версии вируса. Dr.Web можно назвать
антивирусом нового поколения по сравнению с Aidstest и его аналогами.
Управление режимами также как и в Aidstest осуществляется с помощью
ключей. Пользователь может указать программе, тестировать как весь диск,
так и отдельные подкаталоги или группы файлов, либо же отказаться от
проверки дисков и тестировать только оперативную память. В свою очередь
можно тестировать либо только базовую память, либо, вдобавок, ещё и
расширенную (указывается с помощью ключа /H). Как и Aidstest Doctor Web
может создавать отчет о работе (ключ /P), загружать знакогенератор
Кириллицы (ключ /R), поддерживает работу с программно-аппаратным
комплексом Sheriff (ключ /Z).
Но, конечно, главной особенностью "Лечебной паутины" является наличие
эвристического анализатора, который подключается ключом /S. Баланса между
скоростью и качеством можно добиться, указав ключу уровень эвристического
анализа: 0 - минимальный, 1 - оптимальный, 2 - максимальны

Новинки рефератов ::

Реферат: ОРГАНЫ ГОСУДАРСТВЕННОЙ ВЛАСТИ В СУБЪЕКТАХ РОССИЙСКОЙ ФЕДЕРАЦИИ (Право)


Реферат: Обязательство м его виды в римском праве (Право)


Реферат: Организация и проведение спортивных соревнований в школе (Педагогика)


Реферат: Сеялки и сажалки для пропашных культур. Свекловичные сеялки (Сельское хозяйство)


Реферат: Потребности и предпочтения населения г. Москвы на рынке банковских услуг (Социология)


Реферат: Примирение с потерпевшим (Уголовное право и процесс)


Реферат: Основные функции культуры (Социология)


Реферат: Группы интересов и политика (Политология)


Реферат: Инновационный менеджмент (Менеджмент)


Реферат: Дискретная математика (Конспекты 15 лекций) (Математика)


Реферат: Ремонт оросительной системы (Ботаника)


Реферат: Право (Теория государства и права)


Реферат: Вакуумные люминесцентные индикаторы (Технология)


Реферат: Залежність виникнення неврозів у дітей від типу родини (Психология)


Реферат: Образование в XIX веке (История)


Реферат: Демографическая ситуация в России (Социология)


Реферат: Бухгалтерский учет финансовых результатов (Бухгалтерский учет)


Реферат: Шпаргалка по химии (Химия)


Реферат: Организация страхования в Украине в условиях перехода к рынку (Страхование)


Реферат: Земледелие с основами почвоведения (Ботаника)



Copyright © GeoRUS, Геологические сайты альтруист