Комп'ютерний вірус — комп'ютерна програма, яка має здатність до прихованого саморозмноження. Одночасно зі створенням власних копій віруси можуть завдавати шкоди: знищувати, пошкоджувати, викрадати дані, знижувати або й зовсім унеможливлювати подальшу працездатність операційної системи комп'ютера.
Розрізняють файлові, завантажувальні та макро-віруси. Можливі також комбінації цих типів. Нині відомі десятки тисяч комп'ютерних вірусів, які поширюються через мережу Інтернет по всьому світу. Необізнані користувачі ПК помилково відносять до комп'ютерних вірусів також інші види зловмисного ПЗ — програм-шпигунів чи навіть спам.
Розрізняють файлові, завантажувальні та макро-віруси. Можливі також комбінації цих типів. Нині відомі десятки тисяч комп'ютерних вірусів, які поширюються через мережу Інтернет по всьому світу. Необізнані користувачі ПК помилково відносять до комп'ютерних вірусів також інші види зловмисного ПЗ — програм-шпигунів чи навіть спам.
Класифiкацiя вiрусiв
Об’єкти, до яких вносяться комп’ютернi вiруси, називаються середовищем iснування вiрусiв. Залежно вiд середовища iснування розрiзняють такi типи вiрусiв.
Файлові вiруси—проникають у файли, що виконуються (exe, com, bat), у системнi файли, файли драйверiв (sys, drv, vxd), файли бiблiотек (DLL), а також у ряд iнших типiв файлiв. Пiсля вкорiнення файловi вiруси починають розмножуватися пiд час кожного запуску файла.
Завантажувальнi вiруси — заражають завантажувальний сектор диска (Boot сектор) або сектор, що мiстить програму системного завантажувача вiнчестера (Master Boot Record). Такий вiрус замiщає собою програму в завантажувальному секторi, внаслiдок цього потрапляє до оперативної пам’ятi й перехоплює керування вiдразу пiд час завантаження операцiйної системи.
Файлово‑завантажувальнi вiруси можуть проникати як уфайли, такi в завантажувальнi сектори. До таких вiрусiв належать, зокрема, стелс-вiруси i найнебезпечнiшi екземпляри полiморфних вiрусiв.
Макровiруси проникають у файли документiв (пакет Microsoft Office) й iншi файли, пiдготовленi в додатках, що мають свою мову макрокоманд. Формально цi вiруси є файловими, але заражають вони не файли, що виконуються, а файли даних. Небезпека макровiрусiв не стiльки в їхнiй руйнiвнiй дії, скiльки в поширеності документiв, пiдготовлених у популярних системах Word i Excel.
Мережнi вiруси поширюються по комп’ютернiй мережi. Особливiсть цих вiрусiв полягає в тому, що вони заражають тiльки оперативну пам’ять комп’ютерiв i не записуються на носiї iнформацiї.
Можлива класифiкацiя вiрусiв не тiльки за середовищем їхнього iснування, а й за iншими характеристиками, за способом зараження, за руйнiвними можливостями, за алгоритмом роботи.
У зв’язку з iснуванням рiзних способiв зараження часто використовують термiни «резидентний» i «нерезидентний» вiрус.
Резидентнi вiруси потрапляють до оперативної пам’ятi комп’ютера i можуть постiйно виявляти свою активнiсть аж до вимикання або перезавантаження комп’ютера.
Нерезидентнi вiруси, навпаки, до пам’ятi не потрапляють i активнi лише протягомчасу, пов’язаного з виконаннямпевних завдань.
Класифiкацiя вiрусiв за алгоритмом їхньої роботи неможлива через велику кiлькiсть (десятки тисяч) вiрусiв. Алгоритми роботи нових вiрусiв набагато витонченiшi вiд алгоритмiв вiрусiв, що створенi десять рокiв тому. До вiрусiв зi складним алгоритмом роботи належать полiморфнi вiруси. Їх важко виявити, тому що вони мають зашифрований програмний код, який є нiби безглуздим набором команд. Розшифровування коду виконується самим вiрусом у процесi його виконання.
Вірусами зi складним алгоритмом є також стелс-вiруси. Їх неможливо побачити пiд час перегляду файлiв засобами операцiйної системи. Стелс-вiруси можуть перехоплювати звернення до операцiйної системи. Пiд час вiдкриття ураженого файла вони негайно видаляють iз нього свiй програмний код, а пiд час закриття файла вiдновлюють його.
Історія починається в 1983 році, коли американський учений Фред Коэн (Fred Cohen) у своїй дисертаційній роботі, присвяченої дослідженню комп'ютерних програм, що самовідтворюються, уперше ввів термін комп'ютерний вірус. Відома навіть точна дата - 3 листопада 1983 року, коли на щотижневому семінарі по комп'ютерній безпеці в Університеті Південної Каліфорнії (США) був запропонований проект по створенню програми, що самопоширюється, що відразу охрестили вірусом. Для її налагодження треба було 8 годин комп'ютерного часу на машині VAX 11/750 під керуванням операційної системи Unix і рівно через тиждень, 10 листопада відбулася перша демонстрація. Фредом Коэном за результатами цих досліджень була опублікована робота "Computer Viruses: theory and experiments" с докладним описом проблеми.
Антивіруси
Для захисту вiд вiрусiв розробляються спецiальнi антивiруснi програми, що дозволяють виявляти вiруси, лiкувати зараженi файли й диски, запобiгати пiдозрiлим дiям. Сучаснi антивiруснi програми—це комплекси, що поєднують функцiї детектора, ревiзора й охоронця. До таких комплексiв належить широко вiдома програма Norton Antivirus, а також пакет Ami‑Viral Toolkit Pro (скорочено AVP). Останнiй — найпопулярнiший у країнах СНД — створено в Росiї в лабораторiї Є. Касперського.
Профiлактичнi заходи
З вiрусами можна боротися не тiльки після їхньої появи, а й шляхом виконання певних профiлактичних заходiв, якi зменшують ймовiрнiсть зараження або вiрусної атаки.
З усіх методів антивірусного захисту можна виділити дві основні групи:
· Сигнатурні методи - точні методи виявлення вірусів, засновані на порівнянні файлу з відомими зразками вірусів
· Евристичні методи - приблизні методи виявлення, які дозволяють з певною вірогідністю припустити, що файл заражений
· Сигнатурні методи - точні методи виявлення вірусів, засновані на порівнянні файлу з відомими зразками вірусів
· Евристичні методи - приблизні методи виявлення, які дозволяють з певною вірогідністю припустити, що файл заражений
Детектори: знаходять файли, які заражені одним із відомих вірусів. Такі програми перевіряють, чи є у файлах та на дисках специфічна для даного вірусу комбінація байтів. У разі виявлення виводиться відповідне повідомлення. Однак, якщо програма не розпізнається детекторами як заражена, то, можливо, у ній знаходиться новий вірус або модифікована версія старого, невідомого програмі-детектору.
Доктори (фаги) — лікують заражені програми або диски, при цьому знищують код вірусу (вилучають із програми тіло вірусу), тобто відновлюють програму до того стану, у якому вона була до зараження вірусом. Як правило, такі програми розраховані на конкретні типи вірусів та базуються на порівнянні послідовностей кодів, які містяться в тілі вірусу, з кодами програм, що перевіряються. Програми-доктори необхідно періодично поновлювати з метою одержання нових версій, які виявляють нові версії вірусів.
Ревізори — аналізують стан файлів та системних полів диску і порівнюють його з вихідним станом, який було збережено в одному з файлів даних ревізора. У випадку виявлення невідповідностей повідомляють про них користувачеві.
Фільтри — завантажуються резидентно до оперативної пам'яті, перехоплюють ті звернення до системи, які використовуються вірусами для розмноження та нанесення шкоди, та повідомляють про них. До переваг таких програм відноситься можливість виявлення невідомих вірусів. Недоліком таких програм є неможливість відстежування вірусів, які звертаються безпосередньо до постійної пам'яті, а також завантажувальних вірусів.
Вакцини — модифікують програми і диски так, що це не відображається на роботі програм, але вірус, від якого виконується вакцинація, вважає програми та диски вже зараженими.
Доктори (фаги) — лікують заражені програми або диски, при цьому знищують код вірусу (вилучають із програми тіло вірусу), тобто відновлюють програму до того стану, у якому вона була до зараження вірусом. Як правило, такі програми розраховані на конкретні типи вірусів та базуються на порівнянні послідовностей кодів, які містяться в тілі вірусу, з кодами програм, що перевіряються. Програми-доктори необхідно періодично поновлювати з метою одержання нових версій, які виявляють нові версії вірусів.
Ревізори — аналізують стан файлів та системних полів диску і порівнюють його з вихідним станом, який було збережено в одному з файлів даних ревізора. У випадку виявлення невідповідностей повідомляють про них користувачеві.
Фільтри — завантажуються резидентно до оперативної пам'яті, перехоплюють ті звернення до системи, які використовуються вірусами для розмноження та нанесення шкоди, та повідомляють про них. До переваг таких програм відноситься можливість виявлення невідомих вірусів. Недоліком таких програм є неможливість відстежування вірусів, які звертаються безпосередньо до постійної пам'яті, а також завантажувальних вірусів.
Вакцини — модифікують програми і диски так, що це не відображається на роботі програм, але вірус, від якого виконується вакцинація, вважає програми та диски вже зараженими.
Сканери (застарілий варіант «полифаги») Визначають наявність вірусу по БД [2], що зберігає сигнатури (або їх контрольні суми) вірусів. Їх ефективність визначається актуальністю вірусної бази і наявністю евристичного аналізатора
Ревізори запам'ятовують стан файлової системи, що робить надалі можливим аналіз змін. (Клас близький до IDS).
Сторожа (монітори). Відслідковують потенційно небезпечні операції, видаючи користувачеві відповідний запит на дозвіл / заборона операції.
Вакцини. Змінюють щеплений файл таким чином, щоб вірус, проти якого робиться щеплення, вже вважав файл зараженим. У сучасних (2007) умовах, коли кількість можливих вірусів вимірюється десятками тисяч, цей підхід непридатний.
Комментариев нет:
Отправить комментарий