Реферат: Компьюторныые вирусы
рес для хакера представляют пароли, которые вы используете для ра-
боты с сервером продайвера. Заполучить пароль, хакер может запрос-
то "просадить" все ваши денежки. К счастью, троянцев, умеющих вы-
полнять указанные функции, довольно мало и все они успешно детек-
тируются антивирусными программами.
4.3 HTML-вирусы.
Вирусы данного типа встречаются редко, так что информация о них
представляет скорее "академический" интерес, нежели практический.
Суть такова: на самой языке HTML, который используется для размет-
ки гипертекстовых документов, никакие вирусы, конечно, написать
нельзя. Но для создания динамических страниц, организации взаимо-
действия с пользователем и прочих действий используются програм-
мное вставки (скрипты) в HTML-документы. Известные HTML-вирусы ис-
пользуют скрипты, написанные на языке VISUAL BASIC. С их помощью
находя HTM и HTML-файлы на локальной машине и записываются в них.
Иногда такие вирусы как-нибудь проявляют себя (например, выводят
сообщения). Малому распространению вирусов данного типа (равно как
и малому их числу) способствует то, что при стандартных настрой-
ках браузера выполнение "опасных"(к таковым относятся и те, в ко-
торых происходит обращение к файлам локального компьютора) скрип-
тов запрещено. Обычные же, "безопасности", скрипты не могут произ-
водить описанные манипуляции.
4.4 Java-вирусы.
В настоящее время известны два вируса, написанные на языке JAVA.
Опасности они практически не представляют. Кратко поясним, в чем
суть. исполняемые модули программ, написанных на JAVA (CLASS-фай-
лы), бывают двух типов: приложения и апплеты. Приложения выпол-
няются под управлением интерпреатора и являются почти обычными
программами (почти, ибо имеют все же некоторые ограничения, напри-
мер, в области работы с памятью). Апплеты, в отличие от приложе-
ний, могут выполняться под управлением броузеров, но на них накла-
дываются значительно более серьезные ограничения для обеспечения
безопасности: апплеты в частности, не имеют почти никакого досту-
па к файловой системе компьютера (в отличии от случая со скритами,
отключить данное ограничение в браузере невозможно). таким обра-
зом, JAVA-вирусы могут быть оформлены только как приложения и для
подавляющего большинства пользователей опасности не предоставляют.
Как правило, каждая конкретная разновидность вируса может зара-
жать только один или два типа файлов. Чаще всего встречаются виру-
сы, заражающие исполнимые файлы. Некоторые вирусы заражают
только EXE файлы, некоторые - только COM , а большинство - и те и
другие. На втором месте по распространенности загрузочные вирусы.
Некоторые вирусы заражают и файлы, и загрузочные области дисков.
Вирусы, заражающие драйверы устройств, встречаются крайне редко;
обычно такие вирусы умеют заражать и исполнимые файлы.
Вирусы, меняющие файловую систему.
В последнее время получили распространение вирусы нового типа -
вирусы, меняющие файловую систему на диске. Эти вирусы обычно на-
зываются DIR. Такие вирусы прячут свое тело в некоторый участок
диска ( обычно - в последний кластер диска ) и помечают его в таб-
лице размещения файлов (FAT) как конец файла. Для всех COM- и
EXE-файлов содержащиеся в соответствующих элементах каталога ука-
затели на первый участок файла заменяются ссылкой на участок дис-
ка, содержащий вирус, а правильный указатель в закодированном ви-
де прячется в неиспользуемой части элемента каталога. Поэтому при
запуске любой программы в память загружается вирус, после чего он
остается в памяти резидентно, подключается к программам DOS для
обработки файлов на диске и при всех обращениях к элементам ката-
лога выдает правильные ссылки.
Таким образом, при работающем вирусе файловая система на диске
кажется совершенно нормальной. При поверхностном просмотре зара-
женного диска на "чистом" компьютере также ничего странного не
наблюдается. Разве лишь при попытке прочесть или скопировать с за-
раженной дискеты программные файлы из них будут прочтены или ско-
пированы только 512 или 1024 байта, даже если файл гораздо длин-
нее. А при запуске любой исполнимой программы с зараженного таким
вирусом диска этот диск, как по волшебству, начинает казаться ис-
правным (неудивительно, ведь компьютер при этом становится зара-
женным).
При анализе на "чистом" компьютере с помощью программ ChkDsk или
NDD файловая система зараженного DIR-вирусом диска кажется совер-
шенно испорченной. Так, программа ChkDsk выдает кучу сообщений о
пересечениях файлов ( "... cross linked on cluster..." ) и о це-
почках потерянных кластеров ("... lost clusters found in...
chains"). Не следует исправлять эти ошибки программами ChkDsk или
NDD - при этом диск окажется совершенно испорченным. Для исправле-
ния зараженных этими вирусами дисков надо использовать только спе-
циальные антивирусные программы ( например, последние версии
Aidstest).
"Невидимые" и самомодифицирующиеся вирусы.
Чтобы предотвратить свое обнаружение, некоторые вирусы применяют
довольно хитрые приемы маскировки. Я расскажу о двух из них: "не-
видимых" (Stealth) и самомодифицирующихся вирусах:
"Невидимые" вирусы.
Многие резидентные вирусы (и файловые, и загрузочные) предотвра-
щают свое обнаружение тем, что перехватывают обращения DOS (и тем
самым прикладных программ) к зараженным файлам и областям диска и
выдают их в исходном виде. Разумеется, этот эффект наблюдается
только на зараженном компьютере - на "чистом" компьютере измене-
ния в загрузочных областях диска можно легко обнаружить.
Замечу, что некоторые антивирусные программы могут все же обнару-
живать "невидимые" вирусы даже на зараженном компьютере. Такие
программы для этого выполняют чтение диска, не пользуясь услугами
DOS (например, ADinf ).
Некоторые антивирусные программы (например, AVSP) используют для
борьбы с вирусами свойство "невидимых" файловых вирусов "вылечи-
вать" зараженные файлы. Они считывают (при работающем вирусе) ин-
формацию из зараженных файлов и записывают их на диск в файл или
файлы, где эта информация хранится в неискаженном виде. Затем, уже
после загрузки с "чистой" дискеты, исполнимые файлы восстанавли-
ваются в исходном виде.
Самомодифицирующиеся вирусы.
Другой способ, применяемый вирусами для того, чтобы укрыться от
обнаружения, - модификация своего тела. Многие вирусы хранят
большую часть своего тела в закодированном виде, чтобы с помощью
дизассемблеров нельзя было разобраться в механизме их работы. Са-
момодифицирующиеся вирусы используют этот прием и часто меняют па-
раметры этой кодировки, а кроме того, изменяют и свою стартовую
часть, которая служит для раскодировки остальных команд вируса.
Таким образом, в теле подобного вируса не имеется ни одной пос-
тоянной цепочки байтов, по которой можно было бы идентифицировать
вирус. Это, естественно, затрудняет нахождение таких вирусов прог-
раммами-детекторами.
Однако программы-детекторы все же научились ловить "простые" са-
момодифицирующиеся вирусы. В этих вирусах вариации механизма рас-
шифровки закодированной части вируса касаются только использова-
ния тех или иных регистров компьютера, констант шифрования, добав-
ления "незначащих" команд и т.д. И программы-детекторы приспособи-
лись обнаруживать команды в стартовой части вируса, несмотря на
маскирующие изменения в них. Но в последнее время появились виру-
сы с чрезвычайно сложными механизмами самомодификации. В них стар-
товая часть вируса генерируется автоматически по весьма сложным
алгоритмам: каждая значащая инструкция расшифровщика передается
одним из сотен тысяч возможных вариантов, при этом используется
более половины всех команд Intel-8088. Проблема распознования та-
ких вирусов надежного решения пока не получила.
Что могут и чего не могут компьютерные вирусы.
У многих пользователей ЭВМ из-за незнания механизма работы ком-
пьютерных вирусов, а также под влиянием различных слухов и неком-
петентных публикаций в печати создается своеобразный комплекс
боязни вирусов ("вирусофобия"). Этот комплекс имеет два проявления:
1. Склонность приписывать любое повреждение данных или необычное
явление действию вирусов. Например, если у "вирусофоба" не форма-
тируется дискета, то он объясняет это не дефектами дискеты или
дисковода, а действием вирусов. Если на жестком диске появляется
сбойный блок, то в этом тоже, разумеется, виноваты вирусы. На са-
мом деле необычные явления на компьютере чаще вызваны ошибками
пользователя, программ или дефектами оборудования, чем действием
вирусов.
2. Преувеличенные представления о возможностях вирусов. Некото-
рые пользователи думают, например, что достаточно вставить в дис-
ковод зараженную дискету, чтобы компьютер заразился вирусом. Рас-
пространено также мнение, что для компьютеров просто стоящих в од-
ной комнате, заражение одного компьютера обязательно тут же приво-
дит к заражению остальных.
Лучшим "лекарством" от вирусофобии является знание того, как ра-
ботают вирусы, что они могут и чего не могут. Вирусы являются
обычными программами, и они не могут совершать никаких сверхъес-
тественных действий.
Для того чтобы компьютер заразился вирусом, необходимо, чтобы на
нем хотя бы один раз была выполнена программа, содержащая вирус.
Поэтому первичное заражение компьютера вирусом может произойти в
одном из следующих случаев:
_ на компьютере была выполнена зараженная программа типа COM или
EXE или зараженный модуль оверлейной программы (типа OVR или OVL);
_ компьютер загружался с дискеты, содержащей зараженный загрузоч-
ный сектор;
_ на компьютере была установлена зараженная операционная система
или зараженный драйвер устройства.
Отсюда следует, что нет никаких оснований бояться заражения ком-
пьютера вирусом, если:
_ на незараженном компьютере производится копирование файлов с
одной дискеты на другую. Если компьютер "здоров", то ни он сам, ни
копируемые дискеты не будут заражены вирусом. Единственный ва-
риант передачи вируса в этой ситуации - это копирование зараженно-
го файла: при этом его копия, разумеется, тоже будет "заражена",
но ни компьютер, ни какие-то другие файлы заражены не будут;
Основные методы защиты от компьютерных вирусов.
Для защиты от вирусов можно использовать:
_ общие средства защиты информации, которые полезны также и как
страховка от физической порчи дисков, неправильно работающих прог-
рамм или ошибочных действий пользователей; профилактические меры,
позволяющие уменьшить вероятность заражения вирусом;
_ специализированные программы для защиты от вирусов.
Общие средства защиты информации полезны не только для защиты от
вируса. Имеются две основные разновидности этих средств:
_ копирование информации - создание копий файлов и системных об-
ластей дисков;
_ разграничение доступа предотвращает несанкционированное ис-
пользование информации, в частности, защиту от изменений прог-
рамм и данных вирусами, неправильно работающими программами и
ошибочными действиями пользователей.
Несмотря на то, что общие средства защиты информации очень важ-
ны для защиты от вирусов, все же их одних недостаточно. Необходи-
мо и применение специализированных программ для защиты от вирусов.
Эти программы можно разделить на несколько видов:
_ Программы-детекторы позволяют обнаруживать файлы, зараженные
одним из нескольких известных вирусов.
_ Программы-доктора, или "фаги", "лечат" зараженные программы или
диски, "выкусывая" из зараженных программ тело вируса, т.е. вос-
станавливая программу в том состоянии, в котором она находилась до
заражения вирусом.
_ Программы-ревизоры сначала запоминают сведения о состоянии
программ и системных областей дисков, а затем сравнивают их сос-
тояния с исходным. При выявлении несоответствий об этом сообщает-
ся пользователю.
_ Доктора-ревизоры - это гибриды ревизоров и докторов, т.е. прог-
раммы, которые не только обнаруживают изменения в файлах и систем-
ных областях дисков, но и могут в случае изменений автоматически
вернуть их в исходное состояние.
_ Программы-фильтры располагаются резидентно в оперативной памя-
ти компьютера и перехватывают те обращения к операционной системе,
которые используются вирусами для размножения и нанесения вреда, и
сообщают о них пользователю. Пользователь может разрешить или зап-
ретить выполнение соответствующей операции.
Следует учесть, что ни один тип антивирусных программ в от-
дельности не может полностью защитить от вирусов и поэтому советы
типа "вставьте команду запуска Aidstest в AUTOEXEC.BAT" не будут
достаточными. Наилучшей стратегией защиты от вирусов является ком-
плексная многоуровневая защита:
_ Перед первым этапом следует разместить программы-детекторы,
позволяющие проверять вновь полученное програмное обеспечение на
наличие вирусов;
_ На первом этапе размещаются программы-фильтры, т.к. они первы-
ми сообщат о работе вируса и предотвратят заражение программ и
дисков;
_ На втором этапе размещаются ревизоры и доктора: они позволяют
обнаружить вирусы, "пробившиеся" через первый этап, а затем выле-
чить зараженные программы, но следует учитывать, что они не всег-
да лечат правильно и идеальным вариантом было бы иметь копию нуж-
ных программ в архивах на дискетах, защищенных от записи.
_ Самый главный этап защиты - разграничение доступа, которое не
позволяет проникшим вирусам и неверно работающим программам испор-
тить важные данные.
Действия при заражении вирусом.
При заражении компьютера вирусом (или при подозрении на это)
важно соблюдать четыре правила:
1. Прежде всего не надо торопиться и принимать опрометчивых реше-
ний: опрометчивые действия могут привести не только к потере час-
ти файлов, которые можно было бы восстановить, но и к повторному
заражению компьютера.
2. Тем не менее одно действие должно быть выполнено немедленно -